Azure 實驗室服務 - 使用實驗室帳戶時,管理員istrator 指南
重要
本文中的資訊適用于實驗室帳戶。 Azure 實驗室服務 實驗室方案 會取代 實驗室帳戶 。 瞭解如何透過建立實驗室計畫 來開始使用 。 對於現有的實驗室帳戶客戶,建議您 從實驗室帳戶移轉至實驗室方案 。
管理大學雲端資源的資訊技術(IT)系統管理員通常負責為其學校設定實驗室帳戶。 設定實驗室帳戶之後,系統管理員或授課者會建立包含在帳戶內的實驗室。 本文提供相關 Azure 資源的高階概觀,以及建立資源的指引。
- 實驗室裝載于 Azure 實驗室服務所擁有的 Azure 訂用帳戶內。
- 實驗室帳戶、共用映射庫和映射版本會裝載在您的訂用帳戶內。
- 您可以在相同的資源群組中擁有實驗室帳戶和共用映射庫。 在此圖表中,它們位於不同的資源群組中。
如需架構的詳細資訊,請參閱 實驗室架構基本概念 。
訂用帳戶
您的大學可能有一或多個 Azure 訂用帳戶。 您可以使用訂用帳戶來管理其內使用的所有 Azure 資源和服務的計費和安全性,包括實驗室帳戶。
實驗室帳戶與其訂用帳戶之間的關聯性很重要,因為:
- 計費會透過包含實驗室帳戶的訂用帳戶回報。
- 您可以在訂用帳戶的 Microsoft Entra 租使用者存取 Azure 實驗室服務中授與使用者。 您可以將使用者新增為實驗室帳戶擁有者或參與者,或作為實驗室建立者或實驗室擁有者。
實驗室及其虛擬機器(VM)會為您管理及裝載于 Azure 實驗室服務所擁有的訂用帳戶內。
資源群組
訂用帳戶包含一或多個資源群組。 資源群組可用來建立 Azure 資源的邏輯群組,這些資源會在相同的解決方案內一起使用。
當您建立實驗室帳戶時,您必須設定包含實驗室帳戶的資源群組。
當您建立 共用映射庫 時,也需要資源群組。 您可以將實驗室帳戶和共用映射庫放在相同的資源群組或兩個不同的資源群組中。 如果您打算跨各種解決方案共用映射庫,您可能會想要採用第二種方法。
當您建立實驗室帳戶時,可以同時自動建立和附加共用映射庫。 此選項會導致實驗室帳戶和共用映射庫在不同的資源群組中建立。 當您遵循實驗室帳戶建立 教學課程時設定共用映射庫中所述 的步驟時,您會看到此行為。 本文開頭的映射會使用此組態。
建議您預先投資時間來規劃資源群組的結構,因為 建立實驗室帳戶或共用映射庫資源群組之後,就無法 變更實驗室帳戶或共用映射庫資源群組。 如果您需要變更這些資源的資源群組,您必須刪除並重新建立實驗室帳戶或共用映射庫。
實驗室帳戶
實驗室帳戶可作為一或多個實驗室的容器。 當您開始使用 Azure 實驗室服務時,最常見的是擁有單一實驗室帳戶。 當實驗室使用量相應增加時,您可以選擇稍後建立更多實驗室帳戶。
下列清單會醒目提示多個實驗室帳戶可能有説明的案例:
跨實驗室管理不同的原則需求
當您設定實驗室帳戶時,您會設定套用至 實驗室帳戶下所有 實驗室的原則,例如:
具有實驗室可存取之共用資源的 Azure 虛擬網路。 例如,您可能有一組實驗室需要存取虛擬網路內的共用資料集。
實驗室可用來建立 VM 的虛擬機器映射。 例如,您可能有一組實驗室需要存取 適用于 Linux Azure Marketplace 映射的 資料科學 VM。
如果您的每個實驗室都有唯一的原則需求,建立個別的實驗室帳戶以個別管理每個實驗室可能很有説明。
將個別預算指派給每個實驗室帳戶
您不需要透過單一實驗室帳戶報告所有實驗室成本,而是需要更清楚的分配預算。 例如,您可以為大學的數學系、電腦科學系等建立個別的實驗室帳戶,以跨部門分配預算。 接著,您可以使用 Azure 成本管理 來檢視每個個別實驗室帳戶 的成本。
隔離試驗實驗室與作用中或生產實驗室
您可能有想要試驗實驗室帳戶的原則變更,而不會影響作用中或生產實驗室的情況。 在此案例中,為試驗目的建立個別的實驗室帳戶可讓您隔離變更。
實驗室
實驗室包含每個指派給單一學生的 VM。 一般而言,您可以預期:
- 每個類別都有一個實驗室。
- 針對您所使用的每個學期、季或其他學術系統,建立一組新的實驗室。 對於需要使用相同映射的類別,您應該使用 共用映射庫 。 如此一來,您就可以在實驗室和學術期間重複使用影像。
當您決定如何建構實驗室時,請考慮下列幾點:
實驗室中的所有 VM 都會以已發佈的相同映射進行部署
因此,如果您有一個類別需要同時發佈不同的實驗室映射,則必須為每個映射建立個別的實驗室。
使用量配額是在實驗室層級設定,並套用至實驗室內的所有使用者
若要為使用者設定不同的配額,您必須建立個別的實驗室。 不過,設定配額之後,可以將更多小時新增至特定使用者。
啟動或關機排程是在實驗室層級設定,並套用至實驗室內的所有 VM
類似于配額設定,如果您需要為使用者設定不同的排程,則必須為每個排程建立個別的實驗室。
根據預設,每個實驗室都有自己的虛擬網路。 如果您已啟用虛擬網路對等互連,則每個實驗室都會有自己的子網與指定的虛擬網路對等互連。
共用映像庫
共用映射庫會附加至實驗室帳戶,並作為儲存映射的中央存放庫。 當授課者選擇從實驗室的範本 VM 匯出映射時,映射會儲存在資源庫中。 每次授課者變更範本 VM 並匯出範本時,都會在資源庫中建立新的映射定義和\或版本。
授課者可以在建立新的實驗室時,從共用映射庫發佈映射版本。 雖然資源庫會儲存多個版本的映射,但授課者只能在實驗室建立期間選取最新版本。 根據 MajorVersion 的最高值、MinorVersion 和 Patch,選擇最新版本。 如需版本設定的詳細資訊,請參閱 映射版本 。
共用映射庫服務是選擇性資源,如果您只從少數實驗室開始,您可能不需要立即使用。 不過,共用映射庫提供許多優點,可協助您相應增加至更多實驗室:
您可以儲存和管理範本 VM 映射的版本
從 Azure Marketplace 資源庫建立自訂映射或進行變更(軟體、組態等)對映射很有用。 例如,教育工作者通常會要求安裝不同的軟體或工具。 不同版本的範本 VM 映射可以匯出至共用映射庫,而不是要求學生自行手動安裝這些必要條件。 然後,您可以在建立新的實驗室時使用這些映射版本。
您可以在實驗室之間共用和重複使用範本 VM 映射
您可以儲存並重複使用映射,因此您不需要在每次建立新實驗室時從頭開始進行設定。 例如,如果多個類別需要使用相同的映射,您可以建立它一次,並將其匯出至共用映射庫,以便跨實驗室共用。
您可以從實驗室外部的其他環境上傳您自己的自訂映射
您可以在 實驗室 內容之外上傳其他環境的自訂影像。 例如,您可以從自己的實體實驗室環境,或從 Azure VM 將映射上傳至共用映射庫。 將映射匯入資源庫之後,您就可以使用映射來建立實驗室。
若要以邏輯方式將共用映射分組,您可以執行下列其中一項:
- 建立多個共用映射庫。 每個實驗室帳戶只能連線到一個共用映射庫,因此此選項也需要您建立多個實驗室帳戶。
- 使用多個實驗室帳戶共用的單一共用映射庫。 在此情況下,每個實驗室帳戶只能啟用適用于該帳戶中實驗室的映射。
命名
當您開始使用 Azure 實驗室服務時,建議您建立 Azure 和 Azure 實驗室服務相關資源的命名慣例。 雖然您建立的命名慣例對貴組織的需求而言是獨一無二的,但下表提供一般指導方針:
| 資源類型 | 角色 | 建議模式 | 範例 |
|---|---|---|---|
| 資源群組 | 包含一或多個實驗室計畫、實驗室和/或共用映射庫。 | {org-name}labs-{env}-rg, {dept-name}labs-rg | contosolabs-rg、contosolabs-pilot-rg、contosolabs-prod-rg、mathdept-rg |
| 實驗室帳戶 | 包含一或多個實驗室。 | {org-name}-{env}-la, {dept-name}-{env}-la | contoso-la、mathdept-la、cs-pilot-la |
| 實驗室 | 包含一或多個學生 VM。 | {class-name}-{time}-{educator} | CS101-Fall2021、CS101-Fall2021-JohnDoe |
| 共用映像庫 | 包含一或多個 VM 映射版本 | {org-name}-sig, {dept-name}-sig | contoso-sig,mathdept-sig |
在程式表中,我們在建議的名稱模式中使用了一些詞彙和權杖。 讓我們更詳細地探討這些術語。
| 模式字詞/權杖 | 定義 | 範例 |
|---|---|---|
| {org-name} | 沒有空格之組織簡短名稱的權杖。 | contoso |
| {dept-name} | 組織部門簡短名稱的權杖。 | math、 bio、 cs |
| {env} | 環境名稱的權杖 | 生產環境,小型測試的試驗 |
| {class-name} | 支援類別之簡短名稱或程式碼的權杖。 | CS101、Bio101 |
| {educator} | 執行實驗室的教育工作者別名。 | johndoe |
| {time} | 簡短名稱的權杖(不含空格),以供提供類別的時間。 | Spring2021,2021 年 12 月 |
| Rg | 指出資源是資源群組。 | |
| /a | 指出資源是實驗室帳戶。 | |
| sig | 指出資源是共用映射庫。 |
如需命名其他 Azure 資源的詳細資訊,請參閱 Azure 資源的 命名慣例。
區域/位置
當您設定 Azure 實驗室服務資源時,您必須提供將裝載資源的資料中心區域或位置。 下一節說明區域或位置如何影響設定實驗室所涉及的每個資源。
資源群組
區域會指定儲存資源群組相關資訊的資料中心。 資源群組中包含的 Azure 資源可以位於與其父系不同的區域中。
實驗室帳戶
實驗室帳戶的位置表示資源所在的區域。
實驗室
實驗室所在的位置會根據下列因素而有所不同:
實驗室帳戶會與虛擬網路對等互連
當實驗室帳戶位於相同區域時,您可以將 虛擬網路與虛擬網路 對等互連。 當實驗室帳戶與虛擬網路對等互連時,實驗室會自動在與實驗室帳戶和虛擬網路相同的區域中建立實驗室。
注意
當實驗室帳戶與虛擬網路對等互連時, 會停用 [允許實驗室建立者挑選實驗室位置 ] 設定。 如需詳細資訊,請參閱 允許實驗室建立者挑選實驗室 的位置。
沒有虛擬網路已對等互連, 且不允許實驗室建立者挑選實驗室位置
當 沒有任何 虛擬網路與實驗室帳戶對等互連,且 不允許 實驗室建立者 挑選實驗室位置 時,實驗室會自動建立在具有可用 VM 容量的區域。 具體而言,Azure 實驗室服務會在與實驗室帳戶 位於相同地理位置的區域中 尋找可用性。
沒有虛擬網路已對等互連, 且允許實驗室建立者挑選實驗室位置
當 沒有任何 虛擬網路對等互連,且 允許 實驗室建立者 挑選實驗室位置 時,實驗室建立者可以選取的位置取決於可用的容量。
注意
為了協助確保區域有足夠的 VM 容量,請務必在建立實驗室時先透過實驗室帳戶要求容量。
一般規則是將資源的區域設定為最接近其使用者的區域。 對於實驗室,這表示建立最接近您學生的實驗室。 對於學生位於世界各地的線上課程,請使用您最好的判斷來建立位於中央的實驗室。 或者,您可以根據您的學生區域將班級分割成多個實驗室。
VM 大小調整
當系統管理員或實驗室建立者建立實驗室時,可以根據教室的需求,從各種 VM 大小中選擇。 請記住,大小可用性取決於實驗室帳戶所在的區域。
在下表中,請注意,有數個 VM 大小會對應至一個以上的 VM 系列。 根據容量可用性,實驗室服務可能會使用針對 VM 大小列出的任何 VM 系列。 例如, 小型 VM 大小會對應至使用 Standard_A2_v2 或 Standard_A2 VM 系列。 當您選擇 [小型 ] 作為實驗室的 VM 大小時,實驗室服務會先嘗試使用 Standard_A2_v2 系列。 不過,當容量不足時,實驗室服務會改用 Standard_A2 系列。 定價取決於 VM 大小,不論該特定大小使用哪一個 VM 系列實驗室服務,都相同。 如需每個 VM 大小定價的詳細資訊,請參閱 實驗室服務定價指南 。
| 大小 | 最小 vCPU | RAM 下限 | 數列 | 建議的使用 |
|---|---|---|---|---|
| Small | 2 個 vCPU | 3.5 GB RAM | Standard_A2_v2,Standard_A2 | 最適合用於命令列、開啟網頁瀏覽器、低流量網頁伺服器、小型至中型資料庫。 |
| 中 | 4 個 vCPU | 7 GB RAM | Standard_A4_v2,Standard_A3 | 最適合關係資料庫、記憶體內部快取和分析。 |
| 中型 (巢狀虛擬化) | 4 個 vCPU | 16 GB RAM | Standard_D4s_v3 | 最適合關係資料庫、記憶體內部快取和分析。 此大小也支援巢狀虛擬化。 |
| 大型 | 8 vCPU | 16 GB RAM | Standard_A8_v2,Standard_A7 | 最適合需要更快 CPU、更好的本機磁片效能、大型資料庫、大型記憶體快取的應用程式。 |
| 大型 (巢狀虛擬化) | 8 vCPU | 32 GB RAM | Standard_D8s_v3 | 最適合需要更快 CPU、更好的本機磁片效能、大型資料庫、大型記憶體快取的應用程式。 此大小也支援巢狀虛擬化。 |
| 小型 GPU(視覺效果) | 6 個 vCPU | 56 GB RAM | Standard_NV6 | 最適合使用 OpenGL 和 DirectX 等架構的遠端視覺效果、串流、遊戲和編碼。 |
| 小型 GPU (計算) | 6 個 vCPU | 56 GB RAM | Standard_NC6、 Standard_NC6s_v3 | 最適合電腦密集型應用程式,例如 AI 和深度學習。 |
| 中型 GPU (視覺效果) | 12 個 vCPU | 112 GB RAM | Standard_NV12、 Standard_NV12s_v3 、 Standard_NV12s_v2 | 最適合使用 OpenGL 和 DirectX 等架構的遠端視覺效果、串流、遊戲和編碼。 |
管理身分識別
藉由使用 Azure 角色型存取控制 (RBAC) 來存取實驗室帳戶和實驗室,您可以指派下列角色:
實驗室帳戶 擁有者
建立實驗室帳戶的系統管理員會自動指派實驗室帳戶擁有者角色。 擁有者角色可以:
- 變更實驗室帳戶設定。
- 以擁有者或參與者身分,將實驗室帳戶的存取權授與其他系統管理員。
- 將實驗室的存取權授與授課者 (授與建立者、擁有者或參與者的身分)。
- 在實驗室帳戶中建立和管理所有實驗室。
實驗室帳戶 參與者
獲指派參與者角色的系統管理員可以:
- 變更實驗室帳戶設定。
- 在實驗室帳戶中建立和管理所有實驗室。
不過,參與者 無法 將實驗室帳戶或實驗室的存取權授與其他使用者。
實驗室建立者
若要在實驗室帳戶內建立實驗室,授課者必須是實驗室建立者角色的成員。 建立實驗室的教育工作者會自動新增為實驗室擁有者。 如需詳細資訊,請參閱 [將使用者新增至實驗室建立者角色]。
實驗室 擁有者 或 參與者
實驗室擁有者或參與者角色中的授課者可以檢視和變更實驗室的設定。 該人員也必須是實驗室帳戶讀者角色的成員。
實驗室擁有者和參與者角色之間的主要差異在於,只有擁有者可以授與其他使用者管理實驗室的存取權。 參與者 無法 授與其他使用者管理實驗室的存取權。
共用映射庫
當您將共用映射庫附加至實驗室帳戶時,實驗室帳戶擁有者和參與者和實驗室建立者、實驗室擁有者和實驗室參與者會自動獲得檢視和儲存資源庫中映射的存取權。
當您指派角色時,請遵守以下提示:
- 一般而言,只有系統管理員必須是實驗室帳戶擁有者或參與者角色的成員。 實驗室帳戶可能有多個擁有者或參與者。
- 若要讓授課者能夠建立新的實驗室並管理他們建立的實驗室,只需要為其指派實驗室建立者角色即可。
- 若要讓授課者能夠管理特定實驗室,但 無法 建立新的實驗室,請為其管理的每個實驗室指派擁有者或參與者角色。 例如,您可能會想要讓教授和助教共同擁有實驗室。 如需詳細資訊,請參閱 將擁有者新增至實驗室 。
內容篩選
您的學校可能需要進行內容篩選,以防止學生存取不適當的網站。 例如,遵守 兒童互聯網保護法(CIPA)。 實驗室服務不提供內容篩選的內建支援。
學校通常考慮進行內容篩選的方法有兩種:
- 設定防火牆以篩選網路層級的內容。
- 直接在每部執行內容篩選的電腦上安裝協力廠商軟體。
實驗室服務目前不支援第一種方法。 實驗室服務會在 Microsoft 管理的 Azure 訂用帳戶內裝載每個實驗室的虛擬網路。 因此,您無法存取基礎虛擬網路,才能在網路層級進行內容篩選。 如需實驗室服務架構的詳細資訊,請閱讀架構基本概念 一文 。
相反地,我們建議使用第二種方法,也就是在每個實驗室的範本 VM 上安裝協力廠商軟體。 在此解決方案中,有幾個重點要醒目提示:
- 如果您打算使用 自動關機設定 ,則必須使用協力廠商軟體來解除封鎖數個 Azure 主機名稱。 自動關機設定會使用必須能夠與實驗室服務通訊的診斷擴充功能。 否則,自動關機設定將無法啟用實驗室。
- 您可能也想要讓每個學生在其 VM 上使用非系統管理員帳戶,讓他們無法卸載內容篩選軟體。 根據預設,實驗室服務會建立每個學生用來登入其 VM 的系統管理員帳戶。 您可以使用特製化映射來新增非系統管理員帳戶,但有一些已知的限制。
如果您的學校需要進行內容篩選,請透過 Azure 實驗室服務的論壇 與我們連絡以取得詳細資訊。
端點管理
許多端點管理工具,例如 Microsoft Configuration Manager ,都需要 Windows VM 具有唯一的電腦安全性性識別碼(SID)。 使用 SysPrep 建立一般化 映射,通常可確保每部 Windows 電腦在 VM 從映射開機時產生新的唯一機器 SID。
使用實驗室服務時,即使您使用 一般化 映射來建立實驗室,範本 VM 和學生 VM 都會有相同的機器 SID。 VM 具有相同的 SID,因為範本 VM 的映射 在發佈以建立學生 VM 時處於特殊 狀態。
例如,Azure Marketplace 映射會一般化。 如果您從 Win 10 市集映射建立實驗室併發布範本 VM,實驗室中的所有學生 VM 都會有與範本 VM 相同的機器 SID。 您可以使用 PsGetSid 之類的 工具來驗證電腦 SID 。
如果您打算使用端點管理工具或類似的軟體,建議您使用實驗室 VM 進行測試,以確保在電腦 SID 相同時正常運作。
定價
Azure 實驗室服務
若要瞭解定價,請參閱 Azure 實驗室服務定價 。
共用映像庫
如果您打算使用共用映射庫來儲存和管理映射版本,您也必須考慮共用映射庫服務的定價。
建立共用映射庫並將它附加至您的實驗室帳戶是免費的。 將映射版本儲存到資源庫之前,不會產生任何費用。 使用共用映射庫的定價通常相當微不足道,但請務必瞭解其計算方式,因為它不包含在 Azure 實驗室服務的定價中。
儲存體費用
為了儲存映射版本,共用映射庫預設會使用標準硬碟 (HDD) 受控磁片。 搭配實驗室服務使用共用映射庫時,建議您使用 HDD 受控磁片。 使用的 HDD 受控磁片大小取決於所儲存映射版本的大小。 實驗室服務支援最多 128 GB 的映射和磁片大小。 若要瞭解定價,請參閱 受控磁片定價 。
複寫和網路輸出費用
當您使用實驗室範本 VM 儲存映射版本時,Azure Lab Services 會先將它儲存在來源區域中,然後自動將來源映射版本複寫至一或多個目的地區域。
請務必注意,Azure 實驗室服務會自動將來源映射版本複寫至實驗室所在地理位置 內的所有 目的地區域。 例如,如果您的實驗室位於美國地理位置,則會將映射版本複寫到美國內八個區域中的每一個。
當映射版本從來源區域複寫到其他目的地區域時,就會發生網路輸出費用。 當映射的資料最初從來源區域傳輸輸出時,費用金額會根據映射版本的大小而定。 如需定價詳細資料,請參閱 頻寬定價詳細資料 。
教育解決方案 客戶可能會免除 輸出費用。 若要深入瞭解,請連絡您的帳戶管理員。
如需詳細資訊,請參閱教育機構 課程頁面常見問題一節 中的「學術客戶有哪些資料傳輸計畫,以及如何符合資格?」。
定價範例
讓我們看看將範本 VM 映射儲存至共用映射庫的成本範例。 假設下列案例:
- 您有一個自訂 VM 映射。
- 您正在儲存兩個版本的映射。
- 您的實驗室位於美國,總共有八個區域。
- 每個映射版本的大小為 32 GB;因此,HDD 管理的磁片價格是每月 $1.54。
每月總成本估計為:
- 映射數目××受控磁片價格×複本數目 = 每月總成本
在此範例中,成本為:
- 1 個自訂映射 (32 GB) × 2 個版本× 8 個美國區域× $1.54 = 每月 $24.64
注意
上述計算僅供範例之用。 它涵蓋與使用 共用映射庫 相關聯的儲存體成本,且不包含 輸出成本。 如需儲存體的實際定價,請參閱 受控磁碟定價 。
成本管理
實驗室帳戶系統管理員必須定期從資源庫刪除不需要的映射版本來管理成本。
請勿將複寫刪除至特定區域,以降低成本,但此選項存在於共用映射庫中。 複寫變更可能會對 Azure 實驗室服務從共用映射庫中儲存的映射發佈 VM 的能力產生負面影響。
下一步
如需設定和管理實驗室的詳細資訊,請參閱:
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應