你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure 实验室服务中实验室计划的受支持的网络方案
使用适用于实验室计划的 Azure 实验室服务高级网络,可以实现各种网络体系结构和拓扑。 本文列出了 Azure 实验室服务中的不同网络方案及其支持。
网络方案
下表列出了 Azure 实验室服务中的常见网络方案和拓扑及其支持。
方案 | Enabled | 详细信息 |
---|---|---|
实验室到实验室的通信 | 是 | 详细了解 如何设置实验室到实验室的通信。 如果实验室用户需要多个虚拟机,则可以 配置嵌套虚拟化。 |
打开实验室 VM 的其他端口 | 否 | 即使使用高级网络,也不能在实验室 VM 上打开其他端口。 |
启用远程许可证服务器,例如本地、跨区域 | 是 | 添加指向 许可证服务器的用户定义的路由(UDR )。 如果实验室软件需要按名称而不是 IP 地址连接到许可证服务器,则需要 配置客户提供的 DNS 服务器 或向实验室模板中的文件添加条目 hosts 。如果多个服务需要访问许可证服务器、从多个区域使用它们,或者许可证服务器是其他基础结构的一部分,则可以使用 中心辐射型 Azure 网络最佳做法。 |
访问本地资源,例如许可证服务器 | 是 | 可以使用以下选项访问本地资源: - 配置 Azure ExpressRoute 或创建 站点到站点 VPN 连接 (桥接网络)。 - 使用仅允许来自 Azure 实验室服务的传入连接的防火墙将公共 IP 添加到本地服务器。 此外,若要从实验室 VM 访问本地资源,请添加用户定义的路由(UDR)。 |
使用中心辐射型网络模型 | 是 | 此方案与实验室计划和高级网络按预期工作。 Azure 实验室服务不支持许多配置更改,例如在路由表上添加默认路由。 了解不支持的 虚拟网络配置更改。 |
通过专用 IP 地址访问实验室 VM(仅限专用实验室) | 不建议使用 | 此方案正常运行,但使实验室用户难以连接到其实验室 VM。 在 Azure 实验室服务网站中,实验室用户无法标识实验室 VM 的专用 IP 地址。 此外,“连接”按钮指向实验室 VM 的公共终结点。 实验室创建者需要为实验室用户提供实验室 VM 的专用 IP 地址。 VM 重置映像后,此专用 IP 地址可能会更改。 如果实现此方案,请不要删除与实验室关联的公共 IP 地址或负载均衡器。 如果删除了这些资源,实验室将无法缩放或发布。 |
使用防火墙保护本地资源 | 是 | 支持在实验室 VM 与特定资源之间放置防火墙。 |
将实验室 VM 置于防火墙后面。 例如,内容筛选、安全性等。 | 否 | 典型的防火墙设置不适用于 Azure 实验室服务,除非通过专用 IP 地址连接到实验室 VM(请参阅前面的方案)。 设置防火墙时,会将默认路由添加到子网的路由表中。 此默认路由引入了非对称路由问题,这会中断与实验室的 RDP/SSH 连接。 |
使用第三方超肩监视软件 | 是 | 实验室计划的高级网络支持此方案。 |
为实验室使用自定义域名,例如 lab1.labs.myuniversity.edu.au |
否 | 此方案不起作用,因为 FQDN 是在创建实验室时根据实验室的公共 IP 地址定义的。 对公共 IP 地址的更改不会传播到模板 VM 或实验室 VM 的“连接”按钮。 |
为实验室启用强制隧道,其中与实验室 VM 的所有通信都不会通过公共 Internet 进行。 这也称为 完全隔离的实验室。 | 否 | 此方案无法开箱即用。 将路由表与包含默认路由的子网关联后,实验室用户就会失去与实验室的连接。 若要启用此方案,请按照按专用 IP 地址访问实验室 VM 的步骤进行操作。 |
启用内容筛选 | 依赖的对象 | 支持的内容筛选方案: - 实验室 VM 上的第三方内容筛选软件: 1.实验室用户应以非管理员身份运行以避免卸载或禁用软件 2.确保不会阻止对 Azure 的出站调用。 - 基于 DNS 的内容筛选:筛选适用于高级网络,并在实验室的子网上指定 DNS 服务器。 可以使用支持内容筛选的 DNS 服务器来执行基于 DNS 的筛选。 - 基于代理的内容筛选:如果实验室 VM 可以使用支持内容筛选的客户提供的代理服务器,则筛选适用于高级网络。 它的工作方式类似于基于 DNS 的解决方案。 不支持的内容筛选: - 网络设备(防火墙):有关详细信息,请参阅将实验室 VM 置于防火墙后面的方案。 规划内容筛选解决方案时,实现概念证明,以确保一切按预期端到端工作。 |
将连接代理(如 Parsec)用于高帧性游戏方案 | 不建议使用 | Azure 实验室服务不支持此方案,并且会遇到与通过专用 IP 地址访问实验室 VM 相同的难题。 |
网络现场 方案,由网络上的一组易受攻击的 VM 组成,供实验室用户发现和入侵(道德黑客攻击) | 是 | 此方案适用于实验室计划的高级网络。 了解 道德黑客类类型。 |
为实验室 VM 启用 Azure Bastion | 否 | Azure 实验室服务不支持 Azure Bastion。 |
设置域控制器的视线 | 不建议使用 | Microsoft Entra 混合加入或 AD 域加入 VM 需要从实验室到域控制器的视线;但是,由于产品限制,我们目前不建议实验室 VM 加入/注册 Microsoft Entra、Microsoft Entra 混合加入或 AD 域加入。 |
后续步骤
- 使用高级网络连接虚拟网络的实验室计划
- 教程:设置实验室到实验室的通信
- 在 Azure 实验室服务社区站点上 提供反馈或请求新功能
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈