使用進階網路將實驗室計畫連線到虛擬網路

本文說明如何使用 Azure 實驗室服務進階網路將實驗室計畫連線到虛擬網路。 透過進階網路功能，您可以更充分掌控實驗室的虛擬網路組態。 例如，若要連線到內部部署資源，例如授權伺服器，或使用使用者定義的路由， (UDR) 。 深入瞭解 進階網路支援的網路案例和拓撲。

實驗室計畫的進階網路功能會取代與實驗室帳戶搭配使用的 Azure 實驗室服務虛擬網路對等互連 。

請遵循下列步驟來設定實驗室計畫的進階網路功能：

1. 將虛擬網路子網委派給 Azure 實驗室服務實驗室方案。 委派可讓 Azure 實驗室服務在虛擬網路中建立實驗室範本和實驗室虛擬機器。
2. 設定網路安全性群組，以允許對實驗室範本虛擬機器和實驗室虛擬機器的輸入 RDP 或 SSH 流量。
3. 建立具有進階網路的實驗室計畫，使其與虛擬網路子網產生關聯。
4. (選擇性) 設定虛擬網路。

只有在建立實驗室計畫時，才能啟用進階網路功能。 進階網路功能不是稍後可以更新的設定。

下圖顯示 Azure 實驗室服務進階網路設定的概觀。 實驗室範本和實驗室虛擬機器會指派子網中的 IP 位址，而網路安全性群組可讓實驗室使用者使用 RDP 或 SSH 連線到實驗室 VM。

注意

如果您的組織需要執行內容篩選，例如符合 子系網際網路保護法案 (CIPA) ，您必須使用協力廠商軟體。 如需詳細資訊，請參閱 支援網路案例中內容篩選的指引。

必要條件

• 具有有效訂用帳戶的 Azure 帳戶。 免費建立帳戶。
• 您的 Azure 帳戶具有虛擬網路上此角色的網路 參與者 角色或父代。
• 與建立實驗室計畫相同的 Azure 區域中的 Azure 虛擬網路和子網。 瞭解如何建立 虛擬網路 和 子網。
• 子網對於所有實驗室的範本 VM 和實驗室 VM 有足夠的可用 IP 位址， (每個實驗室都會在實驗室方案中使用 512 個 IP 位址) 。

1.委派虛擬網路子網

若要在 Azure 實驗室服務中使用虛擬網路子網進行進階網路功能，您必須 將子網委派 給 Azure 實驗室服務實驗室方案。 子網委派會明確授與 Azure 實驗室服務的許可權，以在子網中建立服務特定的資源，例如實驗室虛擬機器。

您一次只能委派一個實驗室計畫，以搭配一個子網使用。

請遵循下列步驟來委派子網，以搭配實驗室計畫使用：

1. 登入 Azure 入口網站。

2. 移至您的虛擬網路，然後選取 [ 子網]。

3. 選取您想要委派給 Azure 實驗室服務的專用子網。

   重要

   您用於 Azure 實驗室服務的子網應該尚未用於 VNET 閘道或 Azure Bastion。

4. 在 [將子網委派給服務]中，選取 [Microsoft.LabServices/labplans]，然後選取 [ 儲存]。

   

5. 確認 Microsoft.LabServices/labplans 出現在子網的 [ 委派至 ] 資料行中。

   

2.設定網路安全性群組

當您將實驗室計畫連線到虛擬網路時，您必須設定網路安全性群組 (NSG) ，以允許從使用者的電腦到範本虛擬機器和實驗室虛擬機器的輸入 RDP/SSH 流量。 NSG 包含存取控制規則，可根據流量方向、通訊協定、來源位址和連接埠與目的地位址和連接埠，允許或拒絕流量。

NSG 的規則可以隨時變更，而變更時會套用至所有相關聯的執行個體。 NSG 變更最多可能需要 10 分鐘才會生效。

重要

如果您未設定網路安全性群組，您將無法透過 RDP 或 SSH 存取實驗室範本 VM 和實驗室 VM。

進階網路的網路安全性群組組態包含兩個步驟：

1. 建立允許 RDP/SSH 流量的網路安全性群組
2. 建立網路安全性群組與虛擬網路子網的關聯

您可以在虛擬網路中，使用 NSG 控制傳輸至一個或多個虛擬機器 (VM)、角色執行個體、網路介面卡 (NIC) 或子網路的流量。 NSG 包含存取控制規則，可根據流量方向、通訊協定、來源位址和連接埠與目的地位址和連接埠，允許或拒絕流量。 NSG 的規則可以隨時變更，而變更時會套用至所有相關聯的執行個體。

如需 NSG 的詳細資訊，請瀏覽 何謂 NSG。

您可以在虛擬網路中，使用 NSG 控制傳輸至一個或多個虛擬機器 (VM)、角色執行個體、網路介面卡 (NIC) 或子網路的流量。 NSG 包含存取控制規則，可根據流量方向、通訊協定、來源位址和連接埠與目的地位址和連接埠，允許或拒絕流量。 NSG 的規則可以隨時變更，而變更時會套用至所有相關聯的執行個體。

如需 NSG 的詳細資訊，請瀏覽 何謂 NSG。

建立網路安全性群組以允許流量

請遵循下列步驟來建立 NSG 並允許輸入 RDP 或 SSH 流量：

1. 如果您還沒有網路安全性群組，請遵循下列步驟來 建立網路安全性群組 (NSG) 。

   請務必在與虛擬網路和實驗室計畫相同的 Azure 區域中建立網路安全性群組。

2. 建立輸入安全性規則以允許 RDP 和 SSH 流量。

   1. 移至Azure 入口網站中的網路安全性群組。

   2. 選取 [輸入安全性規則]，然後選取 [+ 新增]。

   3. 輸入新輸入安全性規則的詳細資料：

      設定	值
      來源	選取 [任何]。
      來源連接埠範圍	輸入 *。
      目的地	選取 [IP 位址]。
      目的地 IP 位址/CIDR 範圍	選取虛擬網路子網的範圍。
      服務	選取 [自訂]。
      目的地連接埠範圍	輸入 22，3389。 埠 22 適用於安全殼層通訊協定 (SSH)。 埠 3389 適用於遠端桌面通訊協定 (RDP)。
      通訊協定	選取 [任何]。
      動作	選取 [允許]。
      優先順序	輸入 1000。 優先順序必須高於 RDP 或 SSH 的其他 拒絕 規則。
      名稱	輸入 AllowRdpSshForLabs。

   4. 選取 [新增 ] 將輸入安全性規則新增至 NSG。

建立子網與網路安全性群組的關聯

接下來，將 NSG 與虛擬網路子網建立關聯，以將流量規則套用至虛擬網路流量。

1. 移至您的網路安全性群組，然後選取 [ 子網]。

2. 從頂端功能表列選取 [+ 關聯]。

3. 在 [虛擬網路] 中，選取您的虛擬網路。

4. 針對 [子網]，選取您的虛擬網路子網。

   

5. 選取 [確定 ] 以建立虛擬網路子網與網路安全性群組的關聯。

3.使用進階網路建立實驗室計畫

既然您已設定子網和網路安全性群組，您可以建立具有進階網路的實驗室計畫。 當您在實驗室方案中建立新的實驗室時，Azure 實驗室服務會在虛擬網路子網中建立實驗室範本和實驗室虛擬機器。

重要

建立實驗室計畫時，您必須設定進階網路功能。 您無法在稍後階段啟用進階網路功能。

若要在Azure 入口網站中建立具有進階網路的實驗室計畫：

1. 登入 Azure 入口網站。

2. 選取Azure 入口網站左上角的 [建立資源]，然後搜尋實驗室計畫。

3. 在 [建立實驗室計畫] 頁面的 [基本] 索引標籤上輸入資訊。

   如需詳細資訊，請參閱 使用 Azure 實驗室服務建立實驗室計畫。

4. 在 [ 網路] 索引標籤 中，選取 [啟用進階網路 ] 來設定虛擬網路子網。

5. 在 [虛擬網路] 中，選取您的虛擬網路。 針對 [子網]，選取您的虛擬網路子網。

   如果您的虛擬網路未出現在清單中，請確認實驗室計畫位於與虛擬網路相同的 Azure 區域中，您已 將子網委派給 Azure 實驗室服務，且您的 Azure 帳戶具有必要的許可權。

   

6. 選取 [檢閱 + 建立 ] 以建立具有進階網路的實驗室計畫。

   實驗室使用者和實驗室管理員現在可以使用 RDP 或 SSH 連線到其實驗室虛擬機器或實驗室範本虛擬機器。

   當您建立新的實驗室時，所有虛擬機器都會在虛擬網路中建立，並在子網範圍內指派 IP 位址。

4. (選擇性) 更新網路組態設定

建議您在 Azure 實驗室服務中使用進階網路時，使用虛擬網路和子網的預設組態設定。

針對特定的網路案例，您可能需要更新網路設定。 深入瞭解 Azure 實驗室服務中支援的網路架構和拓撲 ，以及對應的網路設定。

建立具有進階網路的實驗室計畫之後，您可以修改虛擬網路設定。 不過，當您變更 虛擬網路上的 DNS 設定時，您必須重新開機任何執行中的實驗室虛擬機器。 如果實驗室 VM 已停止，它們會在啟動時自動收到更新的 DNS 設定。

警告

設定進階網路功能之後，不支援下列網路設定變更：

• 刪除與實驗室計畫相關聯的虛擬網路或子網。 這會導致實驗室停止運作。
• 當虛擬機器建立 (範本 VM 或實驗室 VM) 時，請變更子網位址範圍。
• 變更公用 IP 位址上的 DNS 標籤。 這會導致實驗室 VM 的 [ 連線 ] 按鈕停止運作。
• 變更 Azure 負載平衡器上的 前端 IP 組態 。 這會導致實驗室 VM 的 [ 連線 ] 按鈕停止運作。
• 變更公用 IP 位址上的 FQDN。
• 使用路由表搭配子網的預設路由 (強制通道) 。 這會導致使用者失去其實驗室的連線能力。
• 不支援使用 Azure 防火牆 或 Azure Bastion。

下一步

• 將計算資源庫附加至實驗室計畫。
• 設定實驗室計畫的自動關機設定。
• 將實驗室建立者新增至實驗室計畫。