使用進階網路將實驗室計畫連線至虛擬網路
本文說明如何使用 Azure 實驗室服務進階網路,將實驗室計畫連線到虛擬網路。 使用進階網路功能,您可以更充分掌控實驗室的虛擬網路組態。 例如,若要連線到內部部署資源,例如授權伺服器,或使用使用者定義的路由(UDR)。 深入瞭解 進階網路 功能支援的網路案例和拓撲。
實驗室計畫的進階網路功能會 取代搭配實驗室帳戶使用的 Azure 實驗室服務虛擬網路對等互連 。
請遵循下列步驟來為您的實驗室計畫設定進階網路功能:
- 將虛擬網路子網委派給 Azure 實驗室服務實驗室方案。 委派可讓 Azure 實驗室服務在虛擬網路中建立實驗室範本和實驗室虛擬機器。
- 設定網路安全性群組,以允許對實驗室範本虛擬機器和實驗室虛擬機器的輸入 RDP 或 SSH 流量。
- 建立具有進階網路的實驗室計畫,使其與虛擬網路子網產生關聯。
- (選擇性)設定虛擬網路。
只有在建立實驗室計畫時,才能啟用進階網路功能。 進階網路不是稍後可以更新的設定。
下圖顯示 Azure 實驗室服務進階網路設定的概觀。 實驗室範本和實驗室虛擬機器會指派子網中的 IP 位址,而網路安全性群組可讓實驗室使用者使用 RDP 或 SSH 連線到實驗室 VM。
注意
如果您的組織需要執行內容篩選,例如符合 兒童網際網路保護法(CIPA) 的規範,您將需要使用協力廠商軟體。 如需詳細資訊,請參閱支援網路案例 中內容篩選的指引 。
必要條件
- 具有有效訂用帳戶的 Azure 帳戶。 免費建立帳戶。
- 您的 Azure 帳戶在虛擬網路上具有 網路參與者 角色或此角色的父系。
- 與您建立實驗室計畫的相同 Azure 區域中的 Azure 虛擬網路和子網。 瞭解如何建立 虛擬網路 和 子網 。
- 子網對於實驗室方案中所有實驗室的範本 VM 和實驗室 VM 有足夠的可用 IP 位址(每個實驗室使用 512 個 IP 位址)。
1.委派虛擬網路子網
若要在 Azure 實驗室服務中使用虛擬網路子網進行進階網路功能,您必須 將子網 委派給 Azure 實驗室服務實驗室方案。 子網委派會明確授與 Azure 實驗室服務的許可權,以在子網中建立服務特定的資源,例如實驗室虛擬機器。
您一次只能委派一個實驗室計畫,以便搭配一個子網使用。
請遵循下列步驟來委派子網以搭配實驗室計畫使用:
登入 Azure 入口網站。
移至您的虛擬網路,然後選取 [ 子網 ]。
選取您想要委派給 Azure 實驗室服務的專用子網。
重要
您用於 Azure 實驗室服務的子網不應已用於 VNET 閘道或 Azure Bastion。
在 [將子網委派給服務 ] 中,選取 [Microsoft.LabServices/labplans ],然後選取 [ 儲存 ]。
確認 Microsoft.LabServices/labplans 出現在 子網的 [委派給] 資料行中。
2.設定網路安全性群組
當您將實驗室計畫連線到虛擬網路時,您必須設定網路安全性群組 (NSG) 以允許從使用者電腦到範本虛擬機器和實驗室虛擬機器的輸入 RDP/SSH 流量。 NSG 包含存取控制規則,可根據流量方向、通訊協定、來源位址和埠,以及目的地位址和埠來允許或拒絕流量。
NSG 的規則可以隨時變更,而且變更會套用至所有相關聯的實例。 可能需要 10 分鐘的時間,NSG 變更才會生效。
重要
如果您未設定網路安全性群組,您將無法透過 RDP 或 SSH 存取實驗室範本 VM 和實驗室 VM。
進階網路的網路安全性群組組態包含兩個步驟:
- 建立允許 RDP/SSH 流量的網路安全性群組
- 將網路安全性群組與虛擬網路子網產生關聯
您可以使用 NSG 來控制虛擬網路中一或多個虛擬機器(VM)、角色實例、網路介面卡(NIC)或子網的流量。 NSG 包含存取控制規則,可根據流量方向、通訊協定、來源位址和埠,以及目的地位址和埠來允許或拒絕流量。 NSG 的規則可以隨時變更,而且變更會套用至所有相關聯的實例。
如需 NSG 的詳細資訊,請流覽 什麼是 NSG 。
您可以使用 NSG 來控制虛擬網路中一或多個虛擬機器(VM)、角色實例、網路介面卡(NIC)或子網的流量。 NSG 包含存取控制規則,可根據流量方向、通訊協定、來源位址和埠,以及目的地位址和埠來允許或拒絕流量。 NSG 的規則可以隨時變更,而且變更會套用至所有相關聯的實例。
如需 NSG 的詳細資訊,請流覽 什麼是 NSG 。
建立網路安全性群組以允許流量
請遵循下列步驟來建立 NSG,並允許輸入 RDP 或 SSH 流量:
如果您還沒有網路安全性群組,請遵循下列步驟來 建立網路安全性群組 (NSG)。
請務必在與虛擬網路和實驗室計畫相同的 Azure 區域中建立網路安全性群組。
建立輸入安全性規則以允許 RDP 和 SSH 流量。
移至Azure 入口網站 中的 網路安全性群組。
選取 [輸入安全性規則],然後選取 [+ 新增]。
輸入新輸入安全性規則的詳細資料:
設定 值 來源 選取 [ 任何 ]。 來源連接埠範圍 輸入 *。 目的地 選取 [ IP 位址 ]。 目的地 IP 位址/CIDR 範圍 選取虛擬網路子網的範圍。 服務 選取自訂。 目的地連接埠範圍 輸入 22,3389 。 埠 22 適用于安全殼層通訊協定 (SSH)。 埠 3389 適用于遠端桌面通訊協定 (RDP)。 通訊協定 選取 [ 任何 ]。 動作 選取允許。 優先順序 輸入 1000 。 優先順序必須高於 RDP 或 SSH 的其他 拒絕 規則。 名稱 輸入 AllowRdpSshForLabs 。 選取 [新增 ] 以將輸入安全性規則新增至 NSG。
將子網與網路安全性群組產生關聯
接下來,將 NSG 與虛擬網路子網產生關聯,以將流量規則套用至虛擬網路流量。
移至您的網路安全性群組,然後選取 [ 子網 ]。
從頂端功能表列選取 [+ 關聯 ]。
針對 [虛擬網路 ],選取您的虛擬網路。
針對 [ 子網 ],選取您的虛擬網路子網。
選取 [ 確定 ] 以將虛擬網路子網與網路安全性群組產生關聯。
3.使用進階網路建立實驗室計畫
既然您已設定子網和網路安全性群組,您可以使用進階網路來建立實驗室計畫。 當您在實驗室方案中建立新的實驗室時,Azure 實驗室服務會在虛擬網路子網中建立實驗室範本和實驗室虛擬機器。
重要
建立實驗室計畫時,您必須設定進階網路功能。 您無法在稍後階段啟用進階網路功能。
若要在 Azure 入口網站中建立具有進階網路的實驗室計畫:
登入 Azure 入口網站。
選取 Azure 入口網站左上角的 [建立資源 ],然後搜尋 實驗室計畫 。
在 [建立實驗室計畫 ] 頁面的 [基本] 索引 標籤上 輸入資訊。
如需詳細資訊,請參閱 使用 Azure 實驗室服務 建立實驗室方案。
在 [ 網路] 索引 標籤中,選取 [ 啟用進階網路 ] 來設定虛擬網路子網。
針對 [虛擬網路 ],選取您的虛擬網路。 針對 [ 子網 ],選取您的虛擬網路子網。
如果您的虛擬網路未出現在清單中,請確認實驗室計畫位於與虛擬網路相同的 Azure 區域中,您已 將子網委派給 Azure 實驗室服務 ,且您的 Azure 帳戶具有必要的許可權 。
選取 [ 檢閱 + 建立 ] 以建立具有進階網路的實驗室計畫。
實驗室使用者和實驗室管理員現在可以使用 RDP 或 SSH 連線到其實驗室虛擬機器或實驗室範本虛擬機器。
當您建立新的實驗室時,所有虛擬機器都會在虛擬網路中建立,並在子網範圍內指派 IP 位址。
4. (選擇性) 更新網路組態設定
當您在 Azure 實驗室服務中使用進階網路功能時,建議您使用虛擬網路和子網的預設組態設定。
針對特定的網路案例,您可能需要更新網路設定。 深入瞭解 Azure 實驗室服務和 對應網路組態中支援的網路架構和拓撲。
您可以使用進階網路建立實驗室計畫之後,修改虛擬網路設定。 不過,當您變更 虛擬網路 上的 DNS 設定時,必須重新開機任何執行中的實驗室虛擬機器。 如果實驗室 VM 已停止,它們會在啟動時自動接收更新的 DNS 設定。
警告
設定進階網路功能之後,不支援下列網路設定變更:
- 刪除與實驗室計畫相關聯的虛擬網路或子網。 這會導致實驗室停止運作。
- 當建立虛擬機器時,請變更子網位址範圍(範本 VM 或實驗室 VM)。
- 變更公用 IP 位址上的 DNS 標籤。 這會導致實驗室 VM 停止 運作的 [連線] 按鈕。
- 變更 Azure 負載平衡器上的前端 IP 組態 。 這會導致實驗室 VM 停止 運作的 [連線] 按鈕。
- 變更公用 IP 位址上的 FQDN。
- 使用路由表搭配子網的預設路由(強制通道)。 這會導致使用者失去與實驗室的連線。
- 不支援使用 Azure 防火牆 或 Azure Bastion。
下一步
- 將計算資源庫附加至實驗室計畫 。
- 設定實驗室計畫的 自動關機設定。
- 將實驗室建立者新增至實驗室計畫 。
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應