Azure 實驗室服務 - 管理員指南

注意

本文參考自 2022 年 8 月更新以來, 實驗室計畫取代實驗室 帳戶之後可用的功能。 如需詳細資訊,請參閱 2022 年 8 月更新的新功能

注意

如果是使用 2022 年 8 月更新以前的 Azure 實驗室服務版本,請參閱使用實驗室帳戶時的系統管理員指南

管理大學雲端資源的資訊技術 (IT) 管理員通常負責為其學校設定實驗室計畫。 在他們設定實驗室計畫之後,系統管理員或授課者會建立與實驗室計畫相關聯的實驗室。 本文提供相關 Azure 資源的高階概述以及建立概述的指引。

視建立實驗室計畫時所選擇的設定而定,某些資源會裝載於訂用帳戶中,而有些資源會裝載於 Azure 實驗室服務管理的訂用帳戶中。

  • 實驗室 VM 是在 Azure 實驗室服務所擁有的 Azure 訂用帳戶下進行託管。
  • 實驗室計畫、實驗室、計算資源庫和映像版本,並裝載於您的訂用帳戶內。
  • 如果使用進階網路功能,則實驗室 VM 的虛擬網路和網路相關資源會裝載在您的訂用帳戶內。 否則,虛擬網路會裝載於由 Azure 實驗室服務管理的訂用帳戶中。
  • 您可以在相同或不同的資源群組中擁有實驗室計畫、實驗室和計算資源庫。

如需有關架構的詳細資料,請參閱實驗室架構基本概念

訂用帳戶

您的大學可能有一或多個 Azure 訂用帳戶。 您使用訂用帳戶來管理在帳戶中所使用所有 Azure 資源和服務的計費和安全性,包括實驗室計畫和實驗室。

實驗室計畫和其訂用計畫之間的關聯性很重要,因為:

  • 帳單是透過包含實驗室計畫的訂用帳戶來進行回報。
  • 您可以在訂用帳戶的 Azure Active Directory (Azure AD) 租用戶中授與使用者管理 Azure 實驗室服務實驗室計畫和實驗室的能力。 您可以將某人新增為實驗室計畫擁有者、實驗室計畫參與者、實驗室建立者或實驗室擁有者。 如需內建 RBAC 角色的詳細資訊,請參閱管理身分識別

實驗室虛擬機器 (VM) 是在 Azure 實驗室服務擁有的訂用帳戶下進行管理及託管。

資源群組

訂用帳戶包含一或多個資源群組。 資源群組是用來建立 Azure 資源的邏輯分組,以在相同的解決方案中一起使用。

當您建立實驗室計畫時,您必須設定包含該實驗室計畫的資源群組。 請謹慎為您的資源群組命名。 實驗室會依實驗室服務入口網站中的資源群組名稱進行分組:https://labs.azure.com

當您建立 Azure Compute Gallery 時,也需要資源群組。 您可以將實驗室計畫和計算資源庫放在相同的資源群組或兩個不同的資源群組中。 如果您打算跨各種解決方案共用計算資源庫,則可能會需要採用第二種方法。

建議您事先投入時間來規劃資源群組的結構。 建立實驗室計畫或計算資源庫資源群組之後,便無法進行變更。 如果您需要變更這些資源的資源群組,您必須將其刪除並重新建立。

實驗室計畫

一組會影響實驗室建立的實驗室計畫設定。 實驗室計畫可與零個或多個實驗室相關聯。 開始使用 Azure 實驗室服務時,最常只有一個實驗室計畫。 當您的實驗室使用量規模擴大時,您稍後可以選擇建立更多的實驗室計畫。

以下清單重點介紹可能有益於多個實驗計畫的案例:

  • 跨實驗室管理不同的原則需求

    當您建立實驗室計畫時,您要設定適用於所有新建立實驗室的原則,例如:

    • Azure 虛擬網路,具有實驗室可存取的共用資源。 例如,您可能有一組實驗室需要存取虛擬網路內的授權伺服器。
    • 實驗室可用來建立 VM 的虛擬機器映像。 例如,您可能有一組實驗室需要存取 Linux 資料科學 VM 的 Azure Marketplace 映像。

    如果每個實驗室都有獨特的原則需求,則建立個別的實驗室計畫來個別管理每個實驗室可能很有助益。

  • 隔離試驗實驗室和作用或生產實驗室

    在某些情況下,您可能會想要變更實驗室計畫的試驗原則,而不影響作用實驗室。 在這種情況下,為試驗目的建立個別的實驗室計畫,可讓您隔離變更。

實驗室

實驗室包含每個指派給單一學生的 VM。 一般來說,您可以預期:

  • 每個課程都有一個實驗室。
  • 針對您所使用的每學期、每學季或其他學術系統,建立一組新的實驗室。 對於需要使用相同映像的課程,您應該使用計算資源庫。 如此一來,您就可以跨實驗室和學術期間重複使用映像。

在決定如何規劃您的實驗室結構時,請考慮下列幾點:

  • 實驗室中的所有 VM 都使用相同的已發佈映像進行部署。

    因此,如果您的課程需要在同一時間發佈不同的實驗室映像,則必須為每個映像建立個別的實驗室。

  • 使用量配額是在實驗室層級設定,並套用至實驗室內的所有使用者

    若要為使用者設定不同的配額,您必須建立個別的實驗室。 不過,在您設定配額之後,可以為特定使用者增加更多時數。

  • 啟動或關閉排程是在實驗室層級設定,並套用至實驗室內的所有 VM

    類似於配額設定,如果您需要為使用者設定不同的排程,則必須為每個排程建立個別的實驗室。

依預設,每個實驗室都有自己的虛擬網路。 如果您已啟用進階網路功能,每個實驗室都會使用指定的網路。

Azure Compute Gallery 會連結至實驗室帳戶,並做為儲存映像的中央存放庫。 當授課者選擇從實驗室的範本 VM 匯出時,映像會儲存在映像庫中。 每次授課者對範本 VM 進行變更並匯出範本 VM 時,就會在資源庫中建立新的映像定義和\或版本。

授課者可以在建立新的實驗室時,從計算映像庫發佈發佈版本。 雖然映像庫會儲存映像的多個版本,但授課者只能在建立實驗室期間選取最新版本。 依序根據 MajorVersion 的最高值、MinorVersion、Patch,選擇最新版本。 如需版本設定的詳細資訊,請參閱映像版本

計算資源庫是選擇性的資源,在一開始只有幾個實驗室時可能不是立即需要。 不過,計算資源庫可提供許多優點,在您擴大至更多實驗室時非常有用:

  • 您可以儲存及管理範本 VM 映像的版本

    對於建立自訂映像或是對 Azure Marketplace 資源庫中的映像進行變更 (軟體、設定等等) 非常有用。 例如,授課者通常需要安裝不同的軟體或工具。 不同版本的範本 VM 映像可以匯出至計算資源庫,而不需要學生自行手動安裝這些必要條件。 然後,您可以在建立新的實驗室時使用這些映像版本。

  • 您可以跨實驗室共用及重複使用範本 VM 映像

    您可以儲存並重複使用映像,如此一來,您就不需要在每次建立新的實驗室時從頭設定映像。 例如,如果多個課程需要使用相同的映像,您可以建立一次映像,並將其匯出至計算資源庫,以便跨實驗室共用。

  • 您可以從實驗室外部的其他環境上傳您自己的自訂映像

    您可以在實驗室內容之外上傳其他環境的自訂映像。 例如,您可以從自己的實體實驗室環境,或從 Azure VM 將映像上傳至計算資源庫。 將映像匯入資源庫之後,您接著就可以使用映像來建立實驗室。

若要以邏輯方式將計算資源庫映像分組,您可以執行下列其中一種方法:

  • 建立多個計算資源庫。 每個實驗室計畫只能連線至一個計算資源庫,因此這個選項也需要您建立多個實驗室計畫。
  • 使用由多個實驗室計畫共用的單一計算資源庫。 在此案例中,每個實驗室計畫只能啟用適用於該計畫中實驗室的映像。

命名

當您開始使用 Azure 實驗室服務時,建議您為 Azure 和 Azure 實驗室服務相關資源建立命名慣例。 如需了解資源命名限制,請參閱 Microsoft.LabServices 命名規則和限制。 雖然您所建立的命名慣例是針對貴組織的需求而設,但下表提供了一般準則:

資源類型 角色 建議模式 範例
資源群組 包含一個或多個實驗室計畫、實驗室和/或計算資源庫。 rg-labs-{org-name}-{env}-{instance}, rg-labs-{dept-name}-{env}-{instance} rg-labs-contoso-pilot, rg-labs--math-prod-001
實驗室計畫 新建立實驗室的範本。 lp-{org-name}-{env}-{instance}, lp-{dept-name}-{env}-{instance} lp-contoso, lp-contoso-pilot, lp-math-001
實驗室 包含一個或多個學生 VM。 {class-name}-{time}-{educator} CS101-Fall2021, CS101-Fall2021-JohnDoe
Azure Compute Gallery 包含一或多個 VM 映像版本 sig-{org-name}-{env}-{instance}, sig-{dept-name}-{env}-{instance} sig-contoso-001, sig-math-prod

在後續表格中,我們使用建議名稱模式中的一些字詞和權杖。 讓我們更詳細地探討這些字詞。

模式字詞/權杖 定義 範例
{org-name} 組織簡短名稱的權杖,不含空格。 contoso
{dept-name} 組織部門簡短名稱的權杖。 math, bio, cs
{env} 環境名稱的權杖 生產環境,小型測試的試驗
{instance} 在已建立多個資源的情況下所要識別執行個體的數目。 001, 123
{class-name} 受支援課程的簡短名稱或程式碼的權杖。 CS101, Bio101
{educator} 執行實驗室的授課者別名。 johndoe
{time} 提供課程時間的簡短名稱權杖 (不含空格)。 Spring2021, Dec2021
rg 表示資源是資源群組。
lp 表示資源是實驗室計畫。
sig 表示資源是計算資源庫。

如需有關命名其他 Azure 資源的詳細資訊,請參閱適用於 Azure 資源的命名慣例

區域

設定 Azure 實驗室服務的資源時,您必須提供託管該資源的資料中心所在區域 (或位置)。 實驗室計畫可以啟用可在其中建立實驗室的一個或多個區域。 後續小節說明區域或位置如何影響與設定實驗室相關的每個資源。

  • 資源群組。 區域會指定用於儲存資源群組相關資訊的資料中心。 資源群組包含的 Azure 資源可以位於與其父代不同的區域中。
  • 實驗室計畫。 實驗室計畫的位置會指出資源所在的區域。 當實驗室計畫連線到您自己的虛擬網路時,網路必須與實驗室計畫位於相同的區域中。 此外,將會在與該虛擬網路相同的 Azure 區域中建立實驗室。
  • 實驗室。 實驗室所在的位置會有所不同,且不需要與實驗室計畫位於相同的位置。 系統管理員可透過實驗室計畫設定來控制在哪些區域中可建立實驗室。 一般規則是將資源的區域設定為最接近其使用者的地區。 以實驗室而言,這表示要建立最接近您學生的實驗室。 以所有學生來自世界各地的線上課程而言,請做出最佳的判斷,在中心位置建立實驗室。 或者,您可以根據學生的區域,將課程分割成多個實驗室。

注意

為了協助確保區域有足夠的 VM 容量,請務必先要求容量

VM 大小調整

當管理員或實驗室建立者建立實驗室時,他們可以依據其教室的需求,從各種 VM 大小中進行選擇。 請記住,大小可用性取決於實驗室計畫所在的區域。

如需 VM 大小及其成本的相關資訊,請參閱 Azure 實驗室服務定價

大小 vCPU 最小值 記憶體下限:GiB 數列 使用建議
小型 2 4 Standard_F2s_v2 最適合用於命令列、開啟網頁瀏覽器、低流量網頁伺服器、小型至中型資料庫。
4 8 Standard_F4s_v2 最適合用於關聯式資料庫、記憶體內部快取及分析。
中型 (巢狀虛擬化) 4 16 Standard_D4s_v4 最適合用於關聯式資料庫、記憶體內部快取及分析。 此大小也支援巢狀虛擬化。
大型 8 16 Standard_F8s_v2 最適合用於需要更快 CPU、更高本機磁碟效能、大型資料庫、大型記憶體快取的應用程式。
大型 (巢狀虛擬化) 8 32 Standard_D8s_v4 最適合用於需要更快 CPU、更高本機磁碟效能、大型資料庫、大型記憶體快取的應用程式。 此大小也支援巢狀虛擬化。
小型 GPU (計算) 6 112 Standard_NC6s_v3 最適合用於電腦密集型應用程式,例如 AI 和深度學習。
小型 GPU (視覺化) 8 28 Standard_NVas_v4 *僅限 Windows 最適合用於使用 OpenGL 和 DirectX 等架構進行遠端視覺化、串流、遊戲及編碼。
中型 GPU (視覺化) 12 112 Standard_NV12s_v3 最適合用於使用 OpenGL 和 DirectX 等架構進行遠端視覺化、串流、遊戲及編碼。

注意

建立實驗室時,您可能不會在清單中看到預期的 VM 大小。 此清單會根據所選區域的目前容量填入。

RBAC 角色

藉由使用 [Azure 角色型存取控制 (RBAC)] 來存取實驗室計畫和實驗室,您可以指派下列角色:

  • 擁有者

    建立實驗室計畫的系統管理員會自動受指派為實驗室計畫擁有者的角色。 擁有者角色可以:

    • 變更實驗室計畫設定。
    • 將實驗室計畫的存取權授與其他系統管理員 (授與擁有者或參與者的身分)。
    • 將實驗室的存取權授與授課者 (授與建立者、擁有者或參與者的身分)。
    • 在實驗室計畫中建立和管理所有實驗室。
  • 參與者

    受指派參與者角色的管理員可以:

    • 變更實驗室計畫設定。
    • 在實驗室計畫中建立和管理所有實驗室。

    不過,參與者無法將實驗室計畫或實驗室的存取權授與其他使用者。

  • 實驗室建立者

    在實驗室計畫中設定時,此角色可讓使用者帳戶在實驗室計畫中建立實驗室。 使用者帳戶也可以查看與實驗室計畫位於相同資源群組中的現有實驗室。 套用至資源群組時,此角色可讓使用者檢視現有的實驗室,並建立新的實驗室。 他們將可完全控管自己建立的任何實驗室,因為其受指派為建立實驗室的擁有者。 如需詳細資訊,請參閱 [將使用者新增至實驗室建立者角色]

  • 實驗室參與者

    套用至現有實驗室時,此角色可讓使用者完全管理實驗室。 套用至資源群組時,此角色可讓使用者帳戶完全管理現有的實驗室,並在該資源群組中建立新的實驗室。

    實驗室擁有者和參與者角色之間的主要差異在於,只有擁有者可以授與其他使用者管理實驗室的存取權。 參與者「無法」授與其他使用者管理實驗室的存取權。

  • 實驗室操作員

    套用至資源群組或實驗室時,此角色可讓使用者有限度地管理現有的實驗室。 此角色無法讓使用者建立新的實驗室。 在現有的實驗室中,使用者可以管理其他使用者、調整個別使用者的配額、管理排程,以及啟動/停止 VM。 使用者帳戶將能夠發佈實驗室。 使用者無法變更實驗室容量或變更實驗室層級的配額。 使用者將無法變更範本標題或描述。

  • 實驗室助理

    套用至資源群組或實驗室時,此角色可讓使用者檢視現有的實驗室。 實驗室助理只能在實驗室 VM 上執行動作 (重設、啟動、停止、連線),並將邀請傳送至實驗室。 他們無法變更實驗室、建立實驗室、發佈實驗室、變更實驗室容量或管理實驗室配額、個別配額或排程。

  • 實驗室服務參與者

    套用至資源群組時,這可讓使用者完全控管該資源群組中的所有實驗室服務情境。

  • 實驗室服務讀者

    套用至資源群組時,這可讓使用者檢視所有實驗室計畫和實驗室資源,但無法進行變更。 不包含可能連線到實驗室計畫的外部資源映像資源庫和虛擬網路。

當您指派角色時,請遵守以下提示:

  • 一般而言,只有系統管理員必須是實驗室計畫擁有者或參與者角色。 實驗室計畫可能有一個以上的擁有者或參與者。
  • 若要讓授課者能夠建立新的實驗室並管理他們建立的實驗室,只需要為其指派實驗室建立者角色即可。
  • 若要讓授課者能夠管理特定實驗室,但不能建立新的實驗室,請針對他們將會管理的每個實驗室,將其指派為實驗室的所有者或參與者。 例如,您可能會想要讓教授和助教共同擁有實驗室。

如需指派給每個角色的權限相關詳細資料,請參閱 Azure 內建角色

內容篩選

您的學校可能需要執行內容篩選,以避免學生存取不適當的網站。 例如,為了符合兒童網際網路保護法案 (CIPA)。 Azure 實驗室服務不提供內容篩選的內建支援,也不支援網路層級篩選。

學校通常會安裝協力廠商軟體,以在每部電腦上執行內容篩選,藉此篩選內容。 若要在每部電腦上安裝協力廠商內容篩選軟體,您應該在每個實驗室的範本 VM 上安裝軟體。

在此解決方案中,有幾個重點要醒目提示:

  • 如果您打算使用自動關機設定,則必須使用協力廠商軟體將數個 Azure 主機名稱解除封鎖。 自動關機設定使用的診斷延伸模組必須能夠與實驗室服務進行通訊。 否則,將無法針對實驗室啟用自動關機設定。
  • 您可能也需要讓每位學生在其 VM 上使用非系統管理員帳戶,讓他們無法將內容篩選軟體解除安裝。 建立實驗室時,必須完成新增非系統管理員帳戶。

如果您的學校需要執行內容篩選,請透過 Azure 實驗室服務的問答集與我們連絡,以取得詳細資訊。

端點管理

許多端點管理工具,例如Microsoft Configuration Manager,都需要 Windows VM 具有唯一的電腦安全性性識別碼, (SID) 。 使用 SysPrep 來建立一般化映像通常可確保當 VM 從映像開機時,每部 Windows 電腦都會產生新的唯一電腦 SID。

使用實驗室服務時,如果您利用範本來建立實驗室,則實驗室 VM 會有相同的 SID。 即使您使用一般化映像來建立實驗室,範本 VM 和學生 VM 全都會有相同的電腦 SID。 VM 具有相同的 SID,因為範本 VM 的映像在發佈以建立學生 VM 時,會處於特殊狀態。

若要取得使用唯一 SID 的實驗室 VM,請建立不含範本 VM 的實驗室。 您必須從 Azure Marketplace 或連結的 Azure Compute Gallery 使用一般化映像。 若要使用您自己的 Azure Compute Gallery,請參閱在 Azure 實驗室服務中連結計算資源庫或中斷其連結。 您可以使用 PsGetSid 之類的工具來驗證電腦 SID。

如果您打算使用端點管理工具或類似軟體,建議您不要針對實驗室使用範本 VM。

定價

Azure 實驗室服務

若要了解定價,請參閱 Azure 實驗室服務定價

Azure 成本管理中的計費項目是依實驗室 VM。 實驗室計畫識別碼和實驗室名稱的標籤會自動新增至每個項目,以取得更有彈性的分析與預算。

如果您打算使用計算資源庫來儲存及管理映像版本,您也需要考慮計算資源庫服務的價格。

建立計算資源庫並連結至您的實驗室計畫是免費的。 在您將映像版本儲存至映像庫之前,並不會產生費用。 使用計算資源庫的價格通常相當低廉,但請務必了解其計算方式,因為共用映像庫不包含在 Azure 實驗室服務的價格中。

儲存體費用

若要儲存映像版本,計算資源庫預設會使用標準硬碟 (HDD) 受控磁碟。 搭配實驗室服務使用計算資源庫時,建議您使用 HDD 受控磁碟。 所使用 HDD 受控磁碟的大小取決於所儲存映像版本的大小。 實驗室服務支援最多 128 GB 的映像和磁碟大小。 若要了解定價,請參閱受控磁碟定價

Azure 實驗室服務不支援將其他磁片連結至實驗室範本或實驗室 VM。

複寫和網路輸出費用

當您使用實驗室範本 VM 儲存映像版本時,Azure 實驗室服務會先將其儲存在來源區域中。 不過,您很可能必須將來源映像版本複寫至一個或多個目標區域。

當映像版本從來源區域複寫到其他目標區域時,就會產生網路輸出費用。 當映像的資料開始從來源區域傳出,就會依據映像版本的大小開始計費。 如需定價的詳細資料,請參閱頻寬定價詳細資料

教育解決方案客戶可能免繳輸出費用。 若要深入了解,請連絡您的帳戶管理員。

如需詳細資訊,請參閱教育機構計畫頁面常見問題一節中的「學術客戶適用的資料轉送計畫為何,及如何符合資格?」。

如需儲存映像及其複寫成本的相關資訊,請參閱 Azure Compute Gallery 中的計費

成本管理

請務必讓實驗室計畫管理員定期從映像庫中刪除不必要的映像版本,以管理成本。

請謹慎移除特定區域的複寫,以降低成本。 複寫變更可能會對 Azure 實驗室服務造成負面影響,損及從儲存在計算資源庫中的映像發佈 VM 的能力。

下一步

如需設定及管理實驗室的詳細資訊,請參閱: