你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure 实验室服务中实验室计划支持的网络方案和体系结构
重要
Azure 实验室服务将于 2027 年 6 月 28 日停用。 有关详细信息,请参阅停用指南。
使用适用于实验室计划的 Azure 实验室服务高级网络,可以实现各种网络体系结构和拓扑。 本文列出了不同网络方案及其在 Azure 实验室服务中受支持的情况。
网络方案
下表列出了常见网络方案和拓扑及其在 Azure 实验室服务中受支持的情况。
| 场景 | Enabled | 详细信息 |
|---|---|---|
| 实验室到实验室通信 | 是 | 详细了解如何设置实验室到实验室通信。 如果实验室用户需要多个虚拟机,则可以配置嵌套虚拟化。 |
| 打开实验室 VM 的其他端口 | 否 | 即使使用高级网络,也不能在实验室 VM 上打开其他端口。 |
| 启用远程许可证服务器,例如本地、跨区域 | 是 | 添加指向许可证服务器的用户定义的路由 (UDR)。 如果实验室软件需要按名称而不是 IP 地址连接到许可证服务器,则需要配置客户提供的 DNS 服务器或向实验室模板中的 hosts 文件添加条目。如果多个服务需要访问许可证服务器、从多个区域使用许可证服务器,或者许可证服务器是其他基础结构的一部分,则可以使用中心辐射型 Azure 网络最佳做法。 |
| 访问本地资源,例如许可证服务器 | 是 | 可以使用以下选项访问本地资源: - 配置 Azure ExpressRoute 或创建站点到站点 VPN 连接(桥接网络)。 - 使用仅允许来自 Azure 实验室服务的传入连接的防火墙将公共 IP 添加到本地服务器。 此外,若要从实验室 VM 访问本地资源,请添加用户定义的路由 (UDR)。 |
| 使用中心辐射型网络模型 | 是 | 使用实验室计划和高级网络时此方案按预期工作。 Azure 实验室服务不支持许多配置更改,例如在路由表上添加默认路由。 详细了解不受支持的虚拟网络配置更改。 |
| 通过专用 IP 地址访问实验室 VM(仅限专用实验室) | 不建议使用 | 此方案正常运行,但使实验室用户难以连接到其实验室 VM。 在 Azure 实验室服务网站中,实验室用户无法识别实验室 VM 的专用 IP 地址。 此外,“连接”按钮指向实验室 VM 的公共终结点。 实验室创建者需要为实验室用户提供实验室 VM 的专用 IP 地址。 VM 重置映像后,此专用 IP 地址可能会更改。 如果实现此方案,请不要删除与实验室关联的公共 IP 地址或负载均衡器。 如果删除了这些资源,实验室将无法扩展或发布。 |
| 使用防火墙保护本地资源 | 是 | 支持在实验室 VM 与特定资源之间放置防火墙。 |
| 在防火墙后放置实验室 VM。 例如,内容筛选、安全性等。 | 否 | 典型的防火墙设置不适用于 Azure 实验室服务,除非通过专用 IP 地址连接到实验室 VM(请参阅前面的方案)。 设置防火墙时,会将默认路由添加到子网的路由表中。 此默认路由引入了非对称路由问题,这会中断与实验室的 RDP/SSH 连接。 |
| 使用第三方即时权限提升监控软件 | 是 | 实验室计划的高级网络支持此方案。 |
为实验室使用自定义域名,例如 lab1.labs.myuniversity.edu.au |
否 | 此方案不起作用,因为 FQDN 是在创建实验室时根据实验室的公共 IP 地址定义的。 对公共 IP 地址的更改不会传播到模板 VM 或实验室 VM 的“连接”按钮。 |
| 为实验室启用强制隧道,其中与实验室 VM 的所有通信都不会通过公共 Internet 进行。 这也称为完全隔离的实验室。 | 否 | 此方案无法开箱即用。 将路由表与包含默认路由的子网关联后,实验室用户会立即失去与实验室的连接。 若要启用此方案,请按照通过专用 IP 地址访问实验室 VM 的步骤进行操作。 |
| 启用内容筛选 | 依赖的对象 | 支持的内容筛选方案: - 实验室 VM 上的第三方内容筛选软件: 1.实验室用户应以非管理员身份运行,以避免卸载或禁用软件 2.确保不会阻止对 Azure 的出站调用。 - 基于 DNS 的内容筛选:筛选适用于高级网络,并在实验室子网上指定 DNS 服务器。 可以使用支持内容筛选的 DNS 服务器来执行基于 DNS 的筛选。 - 基于代理的内容筛选:如果实验室 VM 可以使用支持内容筛选的客户提供的代理服务器,则筛选适用于高级网络。 它的工作方式类似于基于 DNS 的解决方案。 不受支持的内容筛选: - 网络设备(防火墙):有关详细信息,请参阅在防火墙后放置实验室 VM 的方案。 计划内容筛选解决方案时,实现概念证明,以确保一切按预期端到端运行。 |
| 对高帧速率游戏方案使用连接代理(如 Parsec) | 不建议使用 | Azure 实验室服务不支持此方案,并且会遇到与通过专用 IP 地址访问实验室 VM 相同的难题。 |
| 网络领域方案由网络上的一组易受攻击的 VM 组成,供实验室用户发现和入侵(道德黑客攻击) | 是 | 此方案适用于实验室计划的高级网络。 详细了解道德黑客类类型。 |
| 启用对实验室 VM 使用 Azure Bastion | 否 | Azure 实验室服务不支持 Azure Bastion。 |
| 设置与域控制器的视距 | 不建议使用 | 需要从实验室到域控制器的视距才能使 VM 混合加入 Microsoft Entra 或加入 AD 域;但目前并不建议实验室 VM 加入/注册 Microsoft Entra、混合加入 Microsoft Entra 或加入 AD 域,因为产品有限制。 |
后续步骤
- 使用高级网络将实验室计划连接到虚拟网络
- 教程:设置实验室到实验室通信
- 在 Azure 实验室服务社区站点上提供反馈或请求新功能