共用方式為

Azure DevTest Labs 中的網路隔離

  • 發行項

本文將逐步引導您在 Azure DevTest Labs 中建立網路隔離的實驗室。

依預設,Azure DevTest Labs 會為每個實驗室建立新的 Azure 虛擬網路。 虛擬網路可充當安全邊界,將實驗室資源與公用網際網路隔離開來。 若要確保實驗室資源遵循組織網路原則,您可以使用數個其他網路選項:

  • 在您選取的現有虛擬網路中,隔離所有實驗室虛擬機器 (VM)環境
  • 將 Azure 虛擬網路加入內部部署網路,以安全地連線至內部部署資源。 如需詳細資訊,請參閱 DevTest Labs 企業參考架構:連線元件
  • 將實驗室完全隔離至選取的虛擬網路,包括 VM、環境、實驗室儲存體帳戶和金鑰保存庫。 本文說明如何設定網路隔離。

啟用網路隔離

您只能在實驗室建立期間,在Azure 入口網站中啟用網路隔離。 若要將現有的實驗室和相關聯實驗室資源轉換為隔離的網路模式,請使用 PowerShell 指令碼 Convert-DtlLabToIsolatedNetwork.ps1

在實驗室建立期間,您可以啟用預設實驗室虛擬網路的網路隔離,或選擇另一個預先存在的虛擬網路以用於實驗室。

使用預設虛擬網路和子網路

若要針對 DevTest Labs 為實驗室建立的預設虛擬網路和子網路啟用網路隔離:

  1. 實驗室建立期間,在 [建立 DevTest 實驗室] 畫面上,選取 [網路] 索引標籤。

  2. 在 [隔離實驗室資源] 旁,選取 [是]

  3. 完成建立實驗室。

    顯示啟用預設網路網路隔離的螢幕快照。

建立實驗室之後,不需要採取進一步的動作。 實驗室現在會處理隔離資源。

使用不同的虛擬網路和子網路

若要針對實驗室使用不同的現有虛擬網路,並針對該網路啟用網路隔離:

  1. 實驗室建立期間,在 [建立 DevTest 實驗室] 畫面的 [網路] 索引標籤上,從下拉式清單中選取網路。 此清單只會顯示與實驗室位於相同區域和訂用帳戶中的網路。

    顯示選取虛擬網路的螢幕快照。

  2. 選取子網路。

    顯示選取子網的螢幕快照。

  3. 在 [隔離實驗室資源] 旁,選取 [是]

    顯示啟用所選網路網路隔離的螢幕快照。

  4. 完成建立實驗室。

設定服務端點

如果您為預設值以外的虛擬網路啟用網路隔離,請完成下列步驟,將實驗室儲存體帳戶和金鑰保存庫隔離至您選取的網路。 建立實驗室之後,但在進行任何其他實驗室設定或建立任何實驗室資源之前,請執行這些步驟。

設定實驗室儲存體帳戶的端點

  1. 在實驗室的 [概觀] 頁面上,選取 [資源群組]

    顯示選取實驗室資源群組的螢幕快照。

  2. 在資源群組的 [概觀] 頁面上,選取實驗室的儲存體帳戶。 實驗室儲存體帳戶的命名慣例為 a\<labName>\<4-digit number>。 舉例來說,如果實驗室名稱為 contosolab,儲存體帳戶名稱可為 acontosolab1234

    顯示選取實驗室記憶體帳戶的螢幕快照。

  3. 在 [儲存體帳戶] 頁面上,從左側導覽選取 [網路]。 在 [防火牆和虛擬網路] 索引標籤上,確定已選取 [允許受信任服務清單上的 Azure 服務存取此儲存體帳戶]

    顯示允許信任服務存取資源群組的螢幕快照。

    DevTest Labs 是受信任的 Microsoft 服務,因此選取此選項可讓實驗室以網路隔離模式正常運作。

  4. 選取 [新增現有的虛擬網路]。

    顯示資源群組網路窗格的螢幕快照,其中已醒目提示新增現有的虛擬網路。

  5. [新增網路] 窗格中,選取您在建立實驗室時所選擇的虛擬網路和子網路,然後選取 [新增]

    顯示 [新增網络] 窗格的螢幕快照,其中已醒目提示虛擬網络、子網和 [新增]。

  6. 在 [網路] 頁面上,選取 [儲存]

Azure 儲存體現在允許來自新增虛擬網路的輸入連線,讓實驗室能夠在網路隔離模式中成功運作。

您可以使用 PowerShell 或 Azure CLI 來自動化這些步驟,以設定多個實驗室的網路隔離。 如需詳細資訊,請參閱設定 Azure 儲存體防火牆和虛擬網路

設定實驗室金鑰保存庫的端點

  1. 在實驗室的 [概觀] 頁面上,選取 [資源群組]

  2. 在資源群組 [概觀] 頁面上,選取實驗室的金鑰保存庫。

    顯示選取實驗室金鑰保存庫的螢幕快照。

  3. 在 [金鑰保存庫] 頁面上,從左側導覽選取 [網路]。 在 [防火牆和虛擬網路] 索引標籤上,確定已選取 [允許受信任的 Microsoft 服務略過此防火牆]

    顯示允許受信任服務存取金鑰保存庫的螢幕快照。

  4. 選取 [新增現有的虛擬網路]

    顯示 [金鑰保存庫網络] 窗格的螢幕快照,其中已醒目提示新增現有的虛擬網路。

  5. 在 [新增網路] 窗格中,選取您在建立實驗室時所選擇的虛擬網路和子網路,然後選取 [啟用]

    顯示啟用金鑰保存庫中虛擬網路和子網的螢幕快照。

  6. 成功啟用服務端點之後,請選取 [新增]

    顯示在金鑰保存庫中新增虛擬網路和子網的螢幕快照。

  7. 在 [網路] 頁面上,選取 [儲存]

考量

以下是在網路隔離模式中使用實驗室時要記住的一些事項:

啟用從實驗室外部存取儲存體帳戶

實驗室擁有者必須明確地啟用從允許的端點存取網路隔離實驗室的儲存體帳戶。 將 VHD 上傳至儲存體帳戶以建立自訂映像等動作需要此存取權。 您可以建立實驗室 VM,並從該 VM 安全地存取實驗室的儲存體帳戶,以啟用存取。

如需詳細資訊,請參閱使用 Azure 私人端點連線至儲存體帳戶

提供儲存體帳戶以匯出實驗室使用量資料

若要匯出網路隔離實驗室的使用方式資料,實驗室擁有者必須明確提供儲存體帳戶,並在帳戶內產生 Blob 以儲存資料。 如果使用者未明確提供要使用的儲存體帳戶,匯出使用量資料會在網路隔離模式中失敗。

如需詳細資訊,請參閱從 Azure DevTest Labs 匯出或刪除個人資料

設定金鑰保存庫存取原則

啟用金鑰保存庫服務端點只會影響防火牆。 請務必在金鑰保存庫 [存取原則] 區段中設定適當的金鑰保存庫存取權限。

如需詳細資訊,請參閱指派 Key Vault 存取原則

下一步