Azure 實驗室服務 - 管理員指南

注意

本文參考自 2022 年 8 月更新以來可用的功能,其中 實驗室計畫取代了 實驗室帳戶。 如需詳細資訊,請參閱 2022 年 8 月更新的新功能

注意

如果在 2022 年 8 月更新之前使用 Azure 實驗室服務版本,請參閱 使用實驗室帳戶時的系統管理員指南

資訊技術 (管理大學雲端資源的 IT) 系統管理員,通常會負責為其學校設定實驗室計畫。 在他們設定實驗室計畫之後,系統管理員或授課者會建立與實驗室計畫相關聯的實驗室。 本文提供相關 Azure 資源的概要概觀,以及建立資源的指導方針。

視建立實驗室方案時所選擇的設定而定,某些資源會裝載在您的訂用帳戶中,有些資源則會裝載于 Azure 實驗室服務管理的訂用帳戶中。

  • 實驗室 VM 裝載于 Azure 實驗室服務所擁有的 Azure 訂用帳戶內。
  • 實驗室方案、實驗室、計算資源庫和映射版本,並裝載于您的訂用帳戶內。
  • 如果使用進階網路功能,則實驗室 VM 的虛擬網路和網路相關資源會裝載在您的訂用帳戶內。 否則,虛擬網路會裝載在 Azure 實驗室服務管理的訂用帳戶中。
  • 您可以在相同或不同的資源群組中擁有實驗室計畫、實驗室和計算資源庫。

如需架構的詳細資訊,請參閱 實驗室架構基本概念

訂用帳戶

您的大學可能有一或多個 Azure 訂用帳戶。 您可以使用訂用帳戶來管理其內所有 Azure 資源和服務的計費和安全性,包括實驗室方案和實驗室。

實驗室方案與其訂用帳戶之間的關聯性很重要,因為:

  • 計費會透過包含實驗室方案的訂用帳戶報告。
  • 您可以在訂用帳戶的 Azure Active Directory (Azure AD) 租使用者授與使用者管理 Azure 實驗室服務和實驗室的能力。 您可以將某人新增為實驗室計畫擁有者、實驗室計畫參與者、實驗室建立者或實驗室擁有者。 如需內建 RBAC 角色的詳細資訊,請參閱 管理身分識別

(VM) 的實驗室虛擬機器會在 Azure 實驗室服務所擁有的訂用帳戶內為您管理及裝載。

資源群組

訂用帳戶包含一或多個資源群組。 資源群組是用來建立 Azure 資源的邏輯分組,以在相同的解決方案中一起使用。

當您建立實驗室計畫時,必須設定包含實驗室計畫的資源群組。 請仔細為您的資源組名。 實驗室會依實驗室服務入口網站中的資源組名分組: https://labs.azure.com

當您建立 Azure 計算資源庫時,也需要資源群組。 您可以將實驗室方案和計算資源庫放在相同的資源群組或兩個不同的資源群組中。 如果您打算跨各種解決方案共用計算資源庫,建議您採用第二種方法。

建議您事先投入時間來規劃資源群組的結構。 建立實驗室計畫或計算資源庫資源群組之後, 就無法 變更。 如果您需要變更這些資源的資源群組,您必須刪除並重新建立這些資源。

實驗室計畫

會影響實驗室建立的實驗室計畫組態。 實驗室計畫可以與零或多個實驗室相關聯。 當您開始使用 Azure 實驗室服務時,最常有單一實驗室計畫。 當您的實驗室使用量相應增加時,您可以選擇稍後建立更多實驗室計畫。

下列清單醒目提示多個實驗室計畫可能有説明的案例:

  • 跨實驗室管理不同的原則需求

    當您建立實驗室計畫時,您會設定適用于所有新建立實驗室的原則,例如:

    • 具有實驗室可存取之共用資源的 Azure 虛擬網路。 例如,您可能有一組實驗室需要存取虛擬網路內的授權伺服器。
    • 實驗室可用來建立 VM 的虛擬機器映射。 例如,您可能有一組實驗室需要存取適用于 Linux 的資料科學 VM Azure Marketplace 映射。

    如果您的每個實驗室都有獨特的原則需求,建立個別的實驗室計畫來個別管理每個實驗室可能很有説明。

  • 隔離試驗實驗室與作用中或生產實驗室

    您可能有想要試驗實驗室計畫的原則變更,而不會影響作用中實驗室的情況。 在此類型的案例中,為試驗目的建立個別的實驗室計畫,可讓您隔離變更。

實驗室

實驗室包含每個指派給單一學生的 VM。 一般來說,您可以預期:

  • 每個類別都有一個實驗室。
  • 針對您正在使用的每個半年度、每季或其他學術系統建立一組新的實驗室。 對於需要使用相同映射的類別,您應該使用 計算資源庫。 如此一來,您就可以在實驗室和學術期間重複使用影像。

當您決定如何建構實驗室時,請考慮下列幾點:

  • 實驗室中的所有 VM 都會以已發佈的相同映射進行部署。

    因此,如果您有類別需要同時發佈不同的實驗室映射,則必須為每個映射建立個別的實驗室。

  • 使用量配額是在實驗室層級設定,並套用至實驗室內的所有使用者

    若要為使用者設定不同的配額,您必須建立個別的實驗室。 不過,在設定配額之後,可以將更多小時新增至特定使用者。

  • 啟動或關閉排程是在實驗室層級設定,並套用至實驗室內的所有 VM

    類似于配額設定,如果您需要為使用者設定不同的排程,則需要為每個排程建立個別的實驗室。

根據預設,每個實驗室都有自己的虛擬網路。 如果您 已啟用進階網路功能,則每個實驗室都會使用指定的網路。

Azure 計算資源庫會連結至實驗室計畫,並作為儲存映射的中央存放庫。 當授課者選擇從實驗室的範本 VM 匯出映射時,映射會儲存在資源庫中。 每當授課者對範本 VM 進行變更並匯出它時,就會在資源庫中建立新的映射定義和\或版本。

授課者可以在建立新的實驗室時,從計算資源庫發佈映射版本。 雖然資源庫會儲存多個版本的映射,但授課者只能在實驗室建立期間選取最新版本。 根據 MajorVersion 的最高值、MinorVersion、Patch,選擇最新版本。 如需版本控制的詳細資訊,請參閱 映射版本

如果您只從幾個實驗室開始,計算資源庫是選擇性資源,您可能不需要立即使用。 不過,計算資源庫提供許多優點,當您相應增加至更多實驗室時會很有説明:

  • 您可以儲存和管理範本 VM 映射的版本

    建立自訂映射或 (軟體、組態等 (變更,) 從Azure Marketplace資源庫建立映射會很有用。 例如,教育工作者通常會要求安裝不同的軟體或工具。 相較于要求學生自行手動安裝這些必要條件,不同的範本 VM 映射版本可以匯出至計算資源庫。 然後,您可以在建立新的實驗室時使用這些映射版本。

  • 您可以跨實驗室共用和重複使用範本 VM 映射

    您可以儲存並重複使用映射,這樣您就不需要在每次建立新的實驗室時從頭開始進行設定。 例如,如果多個類別需要使用相同的映射,您可以建立一次映射,並將它匯出至計算資源庫,以便跨實驗室共用。

  • 您可以從實驗室外部的其他環境上傳您自己的自訂映射

    您可以在 實驗室內容之外上傳其他環境的自訂影像。 例如,您可以從自己的實體實驗室環境或 Azure VM 將映射上傳至計算資源庫。 將映射匯入資源庫之後,您就可以使用映射來建立實驗室。

若要以邏輯方式將計算資源庫映射分組,您可以執行下列其中一種方法:

  • 建立多個計算資源庫。 每個實驗室計畫只能連線到一個計算資源庫,因此此選項也需要您建立多個實驗室計畫。
  • 使用多個實驗室計畫共用的單一計算資源庫。 在此情況下,每個實驗室計畫只能啟用適用于該方案中實驗室的映射。

命名

當您開始使用 Azure 實驗室服務時,建議您建立 Azure 和 Azure 實驗室服務相關資源的命名慣例。 如需資源命名限制,請參閱 Microsoft.LabServices 命名規則和限制。 雖然您所建立的命名慣例對您組織的需求而言是唯一的,但下表提供一般指導方針:

資源類型 角色 建議模式 範例
資源群組 包含一或多個實驗室計畫、實驗室和/或計算資源庫。 rg-labs-{org-name}-{env}-{instance}, rg-labs-{dept-name}-{env}-{instance} rg-labs-contoso-pilot,rg-labs--math-prod-001
實驗室計畫 新建立實驗室的範本。 lp-{org-name}-{env}-{instance}, lp-{dept-name}-{env}-{instance} lp-contoso、lp-contoso-pilot、lp-math-001
實驗室 包含一或多個學生 VM。 {class-name}-{time}-{educator} CS101-Fall2021、CS101-Fall2021-JohnDoe
Azure Compute Gallery 包含一或多個 VM 映像版本 sig-{org-name}-{env}-{instance}, sig-{dept-name}-{env}-{instance} sig-contoso-001, sig-math-prod

在後續表格中,我們在建議的名稱模式中使用了一些詞彙和權杖。 讓我們更詳細地探討這些詞彙。

模式字詞/權杖 定義 範例
{org-name} 沒有空格的組織簡短名稱權杖。 contoso
{dept-name} 組織部門簡短名稱的權杖。 math, bio, cs
{env} 環境名稱的權杖 生產環境,試驗小型測試
{instance} 如果已建立多個資源,要識別實例的數位。 001, 123
{class-name} 支援類別的簡短名稱或程式碼的 Token。 CS101、Bio101
{educator} 執行實驗室的授課者別名。 johndoe
{time} 簡短名稱的權杖 (沒有空格) 提供類別的時間。 Spring2021,Dec2021
Rg 表示資源是資源群組。
lp 表示資源是實驗室計畫。
sig 表示資源是計算資源庫。

如需命名其他 Azure 資源的詳細資訊,請參閱 Azure 資源的命名慣例

區域

當您設定 Azure 實驗室服務資源時,您必須提供將裝載資源的資料中心區域或位置。 實驗室計畫可以啟用可建立實驗室的一或多個區域。 下一節說明區域或位置如何影響與設定實驗室相關的每個資源。

  • 資源群組。 區域會指定儲存資源群組相關資訊的資料中心。 包含在資源群組內的 Azure 資源可以位於與其父系不同的區域中。
  • 實驗室計畫。 實驗室計畫的位置指出資源所在的區域。 當實驗室計畫連線到您自己的虛擬網路時,網路必須與實驗室計畫位於相同的區域中。 此外,實驗室將會建立在與該虛擬網路相同的 Azure 區域中。
  • 實驗室。 實驗室所在的位置會有所不同,而且不需要與實驗室計畫位於相同的位置。 系統管理員可透過實驗室計畫設定控制可在哪些區域中建立實驗室。 一般規則是將資源的區域設定為最接近其使用者的地區。 對於實驗室,這表示建立最接近您學生的實驗室。 對於學生位於世界各地的線上課程,請使用您最佳的判斷來建立位於中央的實驗室。 或者,您可以根據學生的區域將班級分割成多個實驗室。

注意

為了協助確保區域有足夠的 VM 容量,請務必先 要求容量

VM 大小調整

當系統管理員或實驗室建立者建立實驗室時,可以根據教室的需求,從各種 VM 大小中進行選擇。 請記住,大小可用性取決於實驗室計畫所在的區域。

如需 VM 大小及其成本的相關資訊,請參閱 Azure 實驗室服務定價

大小 最小 vCPU 最小記憶體:GiB 數列 使用建議
小型 2 4 Standard_F2s_v2 最適合用於命令列、開啟網頁瀏覽器、低流量網頁伺服器、小型到中型資料庫。
4 8 Standard_F4s_v2 最適合關係資料庫、記憶體內部快取和分析。
中型 (巢狀虛擬化) 4 16 Standard_D4s_v4 最適合關係資料庫、記憶體內部快取和分析。 此大小也支援巢狀虛擬化。
大型 8 16 Standard_F8s_v2 最適合需要更快速 CPU、較佳本機磁片效能、大型資料庫、大型記憶體快取的應用程式。
大型 (巢狀虛擬化) 8 32 Standard_D8s_v4 最適合需要更快速 CPU、較佳本機磁片效能、大型資料庫、大型記憶體快取的應用程式。 此大小也支援巢狀虛擬化。
小型 GPU (計算) 6 112 Standard_NC6s_v3 最適合用於需要大量電腦的應用程式,例如 AI 和深度學習。
小型 GPU (視覺效果) 8 28 * Standard_NVas_v4僅限 Windows 最適合使用 OpenGL 和 DirectX 等架構進行遠端視覺效果、串流、遊戲和編碼。
中型 GPU (視覺效果) 12 112 Standard_NV12s_v3 最適合使用 OpenGL 和 DirectX 等架構進行遠端視覺效果、串流、遊戲和編碼。

注意

在建立實驗室時,您可能不會在清單中看到某些預期的 VM 大小。 清單會根據所選區域中目前的容量填入。

RBAC 角色

藉由使用 [Azure 角色型存取控制 (RBAC)] 來存取實驗室計畫和實驗室,您可以指派下列角色:

  • 擁有者

    建立實驗室計畫的系統管理員會自動獲指派實驗室計畫擁有者角色。 擁有者角色可以:

    • 變更實驗室計畫設定。
    • 將實驗室計畫的存取權授與其他系統管理員 (授與擁有者或參與者的身分)。
    • 將實驗室的存取權授與授課者 (授與建立者、擁有者或參與者的身分)。
    • 在實驗室計畫中建立和管理所有實驗室。
  • 參與者

    獲指派參與者角色的系統管理員可以:

    • 變更實驗室計畫設定。
    • 在實驗室計畫中建立和管理所有實驗室。

    不過,參與者 無法 將實驗室計畫或實驗室的存取權授與其他使用者。

  • 實驗室建立者

    在實驗室計畫上設定時,此角色可讓使用者帳戶從實驗室計畫建立實驗室。 使用者帳戶也可以查看與實驗室計畫位於相同資源群組中的現有實驗室。 套用至資源群組時,此角色可讓使用者檢視現有的實驗室,並建立新的實驗室。 他們會完全控制他們建立的任何實驗室,因為它們被指派為擁有者給那些建立的實驗室。 如需詳細資訊,請參閱 [將使用者新增至實驗室建立者角色]

  • 實驗室參與者

    套用至現有實驗室時,此角色可讓使用者完全管理實驗室。 套用至資源群組時,此角色可讓使用者帳戶完全管理現有的實驗室,並在該資源群組中建立新的實驗室。

    實驗室擁有者和參與者角色之間的主要差異在於,只有擁有者可以授與其他使用者管理實驗室的存取權。 參與者 無法 授與其他使用者管理實驗室的存取權。

  • 實驗室操作員

    套用至資源群組或實驗室時,此角色可讓使用者有限地管理現有的實驗室。 此角色無法讓使用者建立新的實驗室。 在現有的實驗室中,使用者可以管理使用者、調整個別使用者的配額、管理排程,以及啟動/停止 VM。 使用者帳戶將能夠發佈實驗室。 使用者無法變更實驗室容量或變更實驗室層級的配額。 使用者將無法變更範本標題或描述。

  • 實驗室助理

    套用至資源群組或實驗室時,此角色可讓使用者檢視現有的實驗室。 實驗室助理只能在實驗室 VM 上執行動作, (重設、啟動、停止、連線) ,並將邀請傳送至實驗室。 他們無法變更實驗室、建立實驗室、發佈實驗室、變更實驗室容量或管理實驗室配額、個別配額或排程。

  • 實驗室服務參與者

    套用至資源群組時,可讓使用者完全控制該資源群組中的所有實驗室服務案例。

  • 實驗室服務讀取者

    套用至資源群組時,可讓使用者檢視所有實驗室計畫和實驗室資源,但無法變更。 不包含可能連線到實驗室計畫的外部資源映像資源庫和虛擬網路。

當您指派角色時,請遵守以下提示:

  • 一般而言,只有系統管理員必須是實驗室計畫擁有者或參與者角色。 實驗室計畫可能有一個以上的擁有者或參與者。
  • 若要讓授課者能夠建立新的實驗室並管理他們建立的實驗室,只需要為其指派實驗室建立者角色即可。
  • 若要讓授課者能夠管理特定實驗室,但 無法 建立新的實驗室,請為他們將管理的每個實驗室指派擁有者或參與者角色。 例如,您可能會想要讓教授和助教共同擁有實驗室。

如需指派給每個角色之許可權的詳細資訊,請參閱 Azure 內建角色

內容篩選

您的學校可能需要執行內容篩選,以防止學生存取不適當的網站。 例如,為了符合 兒童網際網路保護法案 (CIPA) 。 Azure 實驗室服務不提供內容篩選的內建支援,也不支援網路層級篩選。

學校通常會透過安裝協力廠商軟體來篩選內容,以在每個電腦上執行內容篩選。 若要在每部電腦上安裝協力廠商內容篩選軟體,您應該在每個實驗室的範本 VM 上安裝軟體。

在此解決方案中,有一些重點要醒目提示:

  • 如果您打算使用 自動關機設定,則必須使用協力廠商軟體解除封鎖數個 Azure 主機名稱。 自動關機設定會使用必須能夠與實驗室服務通訊的診斷延伸模組。 否則,自動關機設定將無法啟用實驗室。
  • 您可能也想要讓每位學生在其 VM 上使用非系統管理員帳戶,讓他們無法卸載內容篩選軟體。 建立實驗室時,必須新增非系統管理員帳戶。

如果您的學校需要執行內容篩選,請透過 Azure 實驗室服務的 Q & A 與我們連絡以取得詳細資訊。

端點管理

許多端點管理工具,例如 Microsoft 端點管理員,都需要 Windows VM 具有唯一的電腦安全性性識別碼, (SID) 。 使用 SysPrep 來建立 一般化 映射通常可確保當 VM 從映射開機時,每個 Windows 電腦都會產生新的唯一電腦 SID。

使用實驗室服務時,如果您使用範本建立實驗室,則實驗室 VM 會有相同的 SID。 即使您使用 一般化 映射來建立實驗室,範本 VM 和學生 VM 都會有相同的機器 SID。 VM 具有相同的 SID,因為範本 VM 的映射在發佈以建立學生 VM 時處於 特殊 狀態。

若要取得具有唯一 SID 的實驗室 VM,請建立不含範本 VM 的實驗室。 您必須從Azure Marketplace或連結的 Azure 計算資源庫使用一般化映射。 若要使用您自己的 Azure 計算資源庫,請參閱 連結或中斷連結 Azure 實驗室服務中的計算資源庫。 您可以使用 PsGetSid之類的工具來驗證機器 SID。

如果您打算使用端點管理工具或類似的軟體,建議您不要針對實驗室使用範本 VM。

定價

Azure 實驗室服務

若要瞭解定價,請參閱 Azure 實驗室服務定價

Azure 成本管理中的計費專案是每個實驗室 VM。 實驗室計畫識別碼和實驗室名稱的標籤會自動新增至每個專案,以取得更有彈性的分析與預算。

如果您打算使用計算資源庫來儲存和管理映射版本,您也必須考慮計算資源庫服務的定價。

建立計算資源庫並將其附加至實驗室方案是免費的。 在您將映射版本儲存至資源庫之前,不會產生任何費用。 使用計算資源庫的價格通常相當微不足道,但請務必瞭解其計算方式,因為它不包含在 Azure 實驗室服務的定價中。

儲存體費用

若要儲存映射版本,計算資源庫預設會使用標準硬碟 (HDD) 受控磁片。 搭配實驗室服務使用計算資源庫時,建議您使用 HDD 受控磁片。 使用的 HDD 受控磁片大小取決於所儲存映射版本的大小。 實驗室服務支援最多 128 GB 的映射和磁片大小。 若要瞭解定價,請參閱 受控磁片定價

複寫和網路輸出費用

當您使用實驗室範本 VM 儲存映射版本時,Azure 實驗室服務會先將它儲存在來源區域中。 不過,您很可能必須將來源映射版本複寫至一或多個目的地區域。

當映射版本從來源區域複寫至其他目的地區域時,就會發生網路輸出費用。 當映像的資料開始從來源區域傳出,就會依據映像版本的大小開始計費。 如需定價詳細資料,請參閱 頻寬定價詳細資料

教育 解決方案 客戶可能會放棄輸出費用。 若要深入瞭解,請連絡您的帳戶管理員。

如需詳細資訊,請參閱 教育機構計畫 頁面的常見問題一節中的「學術客戶有哪些資料傳輸計畫及如何符合資格?」。

如需儲存映射及其複寫成本的相關資訊,請參閱 Azure 計算資源庫中的計費

成本管理

實驗室計畫系統管理員必須定期從資源庫刪除不必要的映射版本來管理成本。

請小心移除特定區域的複寫,以降低成本。 複寫變更可能會對 Azure 實驗室服務從儲存在計算資源庫中的映射發佈 VM 的能力造成負面影響。

下一步

如需設定和管理實驗室的詳細資訊,請參閱: