本文說明 Microsoft Dev Box 的架構和關鍵概念,以協助您成功設定服務。 Microsoft 開發箱可讓開發人員自助存取預先設定且隨時可供編碼的雲端式工作站。 您可以設定服務以符合您的開發團隊和專案結構、管理安全性和網路設定,以安全地存取資源。
觀看此影片以深入瞭解 Microsoft Dev Box:
關鍵組成部分和關係
開發人員在開發人員入口網站中建立開發箱之前,您必須先在 Microsoft 開發箱中設定開發人員中心和專案。
核心工作流程涉及:
- 設定具有共用資源的開發人員中心
- 為團隊或業務功能建立專案
- 設定具有特定設定的開發箱集區
- 開發人員透過入口網站從集區建立開發箱
開發環境啟動後,開發人員可以透過開發人員入口網站遠端連線到它。 開發人員方塊使用者可以完全控制他們建立的開發方塊,而且可以從開發人員入口網站管理它們。
開發人員中心
開發人員中心是需要類似設定的最上層資源和 專案 集合。 您可以建立的開發人員中心數目沒有限制,但大部分的組織只需要一個。
開發人員中心可讓平臺工程師使用網路連線來設定開發小組所取用的網路。
Azure 部署環境 也會使用開發人員中心來組織資源。 組織可以針對這兩項服務使用相同的開發人員中心。
Catalogs
開發箱中的目錄是工作和指令碼的集合,可在佈建期間自動設定開發箱。 藉由將目錄附加至開發人員中心,您可以將其工作提供給該開發人員中心內的所有專案。 或者,您可以將目錄直接附加至專案,以將任務可用性限制為該特定專案。 您可以自訂提供的範例任務或建立自己的目錄,以符合團隊的需求。
目錄也包含用於團隊特定自訂的影像定義檔案。
若要瞭解如何建立 Dev Box 自定義,請參閱 Microsoft Dev Box 自定義。
隨附此逐步解說的專案
在 Dev Box 中,專案代表組織內的小組或商務功能,而且是開發小組的存取點。 每個專案都是 開發箱集區的集合,而每個集區都代表區域或工作負載。 當您將專案與開發人員中心建立關聯時,即會對專案自動套用開發人員中心層級的所有設定。
每個專案只能與一個開發人員中心相關聯。 開發管理員會藉由建立開發箱集區來設定專案可用的開發箱,以指定映像定義、自訂映像、市集映像或舊版開發箱定義。
若要讓開發人員建立自己的開發箱,您必須指派開發箱使用者角色,為 開發人員提供專案的存取權 。
您可以在相同的開發人員中心設定 部署環境 的專案,以及 Dev Box 資源的專案。
專案政策
Microsoft Dev Box 中的專案原則會定義哪些資源 (例如映像、網路和 SKU) 可供專案使用,以強制執行治理和合規性。 它確保開發團隊只能使用批准的資源,幫助組織控制和簡化資源使用。
開發箱集區
開發箱集區是你們共同管理並套用類似設定的開發箱集合。 您可以建立多個開發箱集區,以支援在不同區域或不同工作負載上工作的混合式小組的需求。
開發箱集區會指定開發箱的設定,包括映像來源 (映像定義、自定義映像、市集映像或舊版開發箱定義)、計算大小、儲存體、網路連線和其他設定。 從開發箱集區建立的所有開發箱都會共用相同的組態。
影像定義
映像定義是以 YAML 為基礎的自訂檔案,可定義基底映像並套用小組特定的自訂。 它們可以內建在可重複使用的映像中,以最佳化開發箱建立時間。 映像定義可讓您在建立開發箱集區時獨立選取計算大小和儲存體,從而提供更大的彈性。
若要深入瞭解如何建立和使用映像定義,請參閱設定小組自訂。
開發箱定義
附註
開發箱定義是舊版選項。 建議您使用映像定義、自訂映像或市集映像,以便在選取運算大小和儲存體時更靈活。
開發箱定義會指定來源映像和大小,包括組合在一起的計算大小和儲存體大小。 從 Azure Marketplace 選取來源映像,或從您自己的 Azure Compute Gallery 執行個體選取自訂映像。 Dev Box 支援 Windows 10 和 Windows 11 的用戶端版本。 您可以在開發人員中心的多個專案中使用開發箱定義。
針對新的部署,請考慮直接在開發箱集區中使用市集映射或自定義映射,以允許獨立選擇計算和儲存體設定。
網路連線
IT 系統管理員和平臺工程師會根據其組織原則來設定他們用於建立開發箱的網路。 網路連線會儲存組態資訊,例如 Active Directory 聯結類型和虛擬網路,這些資訊讓開發環境可以連線到網路資源。
與開發箱集區相關聯的網路聯機會決定託管開發箱的位置。 您可以使用 Microsoft 託管的網路連線,或自備 Azure 網路連線。 如果您需要控制虛擬網路、需要存取公司資源,或使用 Active Directory 帳戶向開發箱進行驗證,您可以使用 Azure 網路連線。
Dev Box 支援兩種類型的網路連線:
- Microsoft 裝載的網路連線 - Microsoft 會管理開發箱的網路基礎結構和相關服務。
-
Azure 網路連線 - 您可以管理開發箱的網路基礎結構和相關服務。
- 如果您的開發箱需要獨佔連線到雲端式資源,請使用原生 Microsoft Entra ID 聯結。
- 如果您的開發主機需要連線到本機資源和雲端資源,請使用混合式 Microsoft Entra ID 聯結。
若要深入瞭解原生 Microsoft Entra 聯結和 Microsoft Entra 混合式聯結,請參閱 規劃 Microsoft Entra 裝置部署。
Dev Box 的 Azure 區域
設定 Dev Box 之前,您必須為組織選擇最佳區域。
- 開發人員中心和專案通常存在於與主要辦公室或 IT 管理中心相同的區域中。
- 開發箱集區可以位於不同的區域,視其使用的網路連線而定。 開發人員應該從距離自己最近的集區建立開發箱,以降低延遲。
網路連線中指定的虛擬網路區域會決定開發箱的區域。 您可以根據支援開發人員的區域建立多個網路連線。 然後可以在建立開發箱集區時使用這些連線,以確保開發箱使用者會在距離他們最近的區域中建立開發箱。 使用靠近開發箱使用者的區域可提供最佳體驗。
若要協助您決定要使用的區域,請檢查:
如果您偏好的區域不適用於 Dev Box,請選擇 500 英里內的區域。
開發箱
開發箱是您透過自助式開發人員入口網站建立的預先設定工作站。 新的開發箱具有開發箱使用者立即提高生產力所需的所有工具、二進位檔和設定。 您可以建立和管理多個開發箱,以處理多個工作流。
身為開發箱使用者,您可以控制自己的開發箱。 您可以根據需要創建更多內容,並在使用完畢後刪除它們。
開發人員可以使用開發人員入口網站,從開發箱集區建立開發箱。 他們可能會根據虛擬機器映像、計算資源或託管開發箱的位置,從特定集區中選擇。
Microsoft Dev Box 架構
代託管結構可讓 Microsoft 服務在訂用帳戶擁有者將適當且限定範圍的許可權委派給虛擬網路之後,將託管的 Azure 服務附加至客戶訂用帳戶。 此連線模型可讓 Microsoft 服務提供軟體即服務和使用者授權服務,而不是標準取用型服務。
Microsoft 開發箱會使用代託管結構,這表示開發箱存在於 Microsoft 所擁有的訂用帳戶中。 因此,Microsoft 會產生執行和管理此基礎結構的成本。 開發箱會部署在由 Microsoft 管理的訂用帳戶中,並連線至客戶的虛擬網路。
Microsoft 開發箱會管理 Microsoft 開發箱訂用帳戶中的容量和區域內可用性。 Microsoft Dev Box 會根據您在建立 Dev Box 集區時選取的網路連線,來決定裝載 Dev Box 的 Azure 區域。
若要保護您的數據,Microsoft Dev Box 預設會使用平臺管理的金鑰來加密磁碟。 您不需要啟用 BitLocker,否則可能會導致無法存取您的開發裝置。
如需 Azure 中資料儲存和保護的詳細資訊,請參閱:Azure 客戶資料保護。
針對網路連線,您也可以選擇 Microsoft 託管的網路連線,以及您在自己的訂用帳戶中建立的 Azure 網路連線。
下圖顯示 Microsoft 開發箱的邏輯架構。
網路連線
網路連線可控制開發箱的建立和託管位置,並可讓您連線到其他 Azure 或公司資源。 視您的控制層級而定,您可以使用 Microsoft 託管的網路連線或自己的 Azure 網路連線。
Microsoft 託管的網路連線會以 SaaS 方式提供網路連線。 Microsoft 會管理您開發箱的網路基礎結構和相關服務。 Microsoft 託管的網路是僅限雲端的部署,可支援加入 Microsoft Entra。 此選項與 Microsoft Entra 混合式聯結模型不相容。
您也可以使用 Azure 網路連線(以自有網路為基礎)來連線到 Azure 虛擬網路,並選擇性地連線到企業資源。 透過 Azure 網路連線,您可以管理和控制整個網路設定和設定。 您可以使用 Microsoft Entra 聯結或 Microsoft Entra 混合式聯結選項搭配 Azure 網路連線,讓您連線到內部部署 Azure Active Directory Domain Services。
如果您使用自己的 Azure 虛擬網路,Microsoft 開發箱可讓您使用虛擬網路安全性和路由功能,包括:
在 Microsoft 開發箱中,您會將網路連線與專案中的開發箱集區產生關聯。 然後在此開發箱集區中建立的所有開發箱都會託管在網路連線的 Azure 區域中。 如果您使用 Azure 網路連線,請先將網路連線新增至開發人員中心,然後將連線與開發箱集區產生關聯。
然後,您可以設定開發箱集區和網路連線,以優化該地理區域中開發人員的延遲。 若要深入了解跨 Azure 區域的延遲,請參閱依區域劃分的來回行程延遲資料。
Microsoft Intune 整合
Microsoft Intune 可用來管理您的開發箱。 每個開發箱使用者都需要一個 Microsoft Intune 授權,而且可以建立多個開發箱。 佈建開發箱之後,您可以像 Microsoft Intune 中的任何其他 Windows 裝置一樣進行管理。 例如,您可以建立裝置組態配置檔,在 Windows 中開啟和關閉不同的設定,或將應用程式和更新推送至您的使用者開發箱。
Microsoft Intune 和相關聯的 Windows 元件具有必須透過虛擬網路允許的各種網路端點。 如果您沒有使用 Microsoft Intune 來管理這些裝置類型,則可以安全地忽略 Apple 和 Android 端點。
識別服務
Microsoft Dev Box 使用 Microsoft Entra ID,並可選地使用內部部署的 Active Directory Domain Services (AD DS)。 Microsoft Entra ID 提供:
- Microsoft 開發箱開發人員入口網站的使用者驗證。
- Microsoft Intune 的裝置身分識別服務,透過 Microsoft Entra 混合式加入或 Microsoft Entra Join。
當您將開發箱設定為使用 Microsoft Entra 混合式聯結時,AD DS 會提供:
- 開發箱的內部部署網域加入。
- 遠端桌面通訊協定 (RDP) 連線的使用者驗證。
當您將開發箱設定為使用 Microsoft Entra 混合式聯結時,Microsoft Entra ID 會提供:
- 開發箱的網域加入機制。
- 用於 RDP 連線的使用者驗證。
附註
Microsoft 開發箱支援公司與學校帳戶。 它不支援使用來賓帳戶或個人帳戶。
使用者連線
當開發方塊執行時,開發人員可以從開發人員入口網站連線到它。
開發箱連線是由 Azure 虛擬桌面提供。 不會從網際網路直接連線到開發箱。 相反地,會建立下列連線:
- 從開發箱到 Azure 虛擬桌面端點
- 從遠端桌面用戶端到 Azure 虛擬桌面端點。
如需這些端點的詳細資訊,請參閱 Azure 虛擬桌面的必要 FQDN 和端點。 若要簡化網路安全性控制項的設定,請使用 Azure 虛擬桌面的服務標籤來識別這些端點。 如需詳細資訊,請參閱 Azure 服務標籤概觀。
您不需要設定開發箱來建立這些連線。 Microsoft Dev Box 可將 Azure 虛擬桌面連線元件無縫整合到資源庫或自訂映像檔中。
若要深入了解 Azure 虛擬桌面網路的網路架構,請參閱了解 Azure 虛擬網路連線。
Microsoft 開發箱不支援非 Microsoft 連線代理程式。
開始使用Microsoft開發方塊
若要開始使用 Microsoft 開發箱,您需要設定開發人員中心。 開發人員中心是專案和資源的容器。 您可以在 Azure 入口網站中建立開發人員中心,然後在該開發人員中心內建立專案。 每個專案都可以有自己的一組資源,包括開發方塊、網路和映像。
使用基本範本開始您的 Dev Box 旅程:Microsoft Dev Box。
Microsoft開發箱的新功能
若要瞭解 Microsoft Dev Box 中的最新功能和更新,請參閱 Microsoft Dev Box 的新功能。