你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

如何在 Azure 实验室服务中创建具有共享资源的实验室

注意

本文引用了实验室计划中可用的功能，该计划取代了实验室帐户。

注意

如果使用实验室帐户，请参阅如何使用实验室帐户在 Azure 实验室服务中创建具有共享资源的实验室。

创建实验室时，可能需要在实验室中的所有学生之间共享某些资源。 例如，有一个用于数据库类的授权服务器或 SQL Server。 本文将介绍为实验室启用共享资源的步骤。 我们还将讨论如何限制对共享资源的访问。

体系结构

如下图中所示，我们有一个实验室计划，其中包含一个实验室。 该实验室计划将启用高级网络。 在本示例中，实验室的虚拟网络是共享资源的同一网络。 （可选）路由可用于将实验室 VM 连接到其他子网中的共享资源。 实验室 VM 可以使用共享服务器的专用 IP 进行连接。 此外，虚拟网络与实验室计划和实验室位于同一区域。

设置共享资源

必须先创建共享资源的虚拟网络，然后再创建实验室计划或实验室。 有关如何创建虚拟网络和子网的详细信息，请参阅创建虚拟网络和创建子网。 规划虚拟网络范围是设计网络时的重要步骤。 有关规划网络的详细信息，请参阅计划虚拟网络一文。

共享资源可以是在虚拟机上运行的软件，也可以是 Azure 提供的服务。 应该可以通过专用 IP 地址访问共享资源。 通过设置共享资源仅可通过专用 IP 进行访问，即可限制对该共享资源的访问权限。

该图中还显示了网络安全组 (NSG)，其作用是限制来自学生 VM 的流量。 例如，可以编写一条安全规则，规定来自学生 VM 的 IP 地址的流量只能访问一个共享资源，而不能访问其他任何资源。 有关如何设置安全规则的详细信息，请参阅管理网络安全组。

如果共享资源是运行必要软件的 Azure 虚拟机，则可能需要修改此虚拟机的默认防火墙规则。

实验室计划

若要使用共享资源，实验室计划必须设置为使用高级网络。 有关详细信息，请参阅连接到 Azure 实验室服务中的虚拟网络。 在本例中，实验室服务将实验室 VM 网络资源注入到包含共享资源的虚拟网络。

警告

必须在创建实验室计划期间启用高级网络。 创建后无法添加此功能。

将实验室计划设置为使用高级网络后，模板 VM 和学生 VM 应该可以访问共享资源。 可能需要更新虚拟网络的网络安全组、虚拟网络的用户定义的路由或服务器的防火墙规则。

提示

最常见的共享资源之一是许可证服务器。 以下列表提供了成功配置服务器的几条提示。

• 必须在创建实验室计划时启用高级网络。

• 许可证服务器需要与实验室计划和虚拟网络位于同一区域。

• 虚拟机默认使用动态专用 IP。 在安装任何软件之前，请将专用 IP 设置为静态。

• 控制对许可证服务器的访问是关键所在。 设置 VM 后，仍然需要拥有相应的访问权限才能进行维护、故障排除和更新。 下面是控制访问的几种方式：

  • 在 Microsoft Defender for Cloud 中设置实时 (JIT) 访问。
  • 设置网络安全组以限制访问。
  • 设置 Bastion 以允许对服务器进行安全访问。

后续步骤

以管理员身份创建启用了高级网络的实验室计划。