使用進階網路將實驗室計畫連線至虛擬網路

本文說明如何使用 Azure 實驗室服務進階網路，將實驗室計畫連線到虛擬網路。 使用進階網路功能，您可以更充分掌控實驗室的虛擬網路組態。 例如，若要連線到內部部署資源，例如授權伺服器，或使用使用者定義的路由（UDR）。 深入瞭解 進階網路 功能支援的網路案例和拓撲。

實驗室計畫的進階網路功能會 取代搭配實驗室帳戶使用的 Azure 實驗室服務虛擬網路對等互連 。

請遵循下列步驟來為您的實驗室計畫設定進階網路功能：

1. 將虛擬網路子網委派給 Azure 實驗室服務實驗室方案。 委派可讓 Azure 實驗室服務在虛擬網路中建立實驗室範本和實驗室虛擬機器。
2. 設定網路安全性群組，以允許對實驗室範本虛擬機器和實驗室虛擬機器的輸入 RDP 或 SSH 流量。
3. 建立具有進階網路的實驗室計畫，使其與虛擬網路子網產生關聯。
4. （選擇性）設定虛擬網路。

只有在建立實驗室計畫時，才能啟用進階網路功能。 進階網路不是稍後可以更新的設定。

下圖顯示 Azure 實驗室服務進階網路設定的概觀。 實驗室範本和實驗室虛擬機器會指派子網中的 IP 位址，而網路安全性群組可讓實驗室使用者使用 RDP 或 SSH 連線到實驗室 VM。

注意

如果您的組織需要執行內容篩選，例如符合 兒童網際網路保護法（CIPA） 的規範，您將需要使用協力廠商軟體。 如需詳細資訊，請參閱支援網路案例 中內容篩選的指引 。

必要條件

• 具有有效訂用帳戶的 Azure 帳戶。 免費建立帳戶。
• 您的 Azure 帳戶在虛擬網路上具有 網路參與者 角色或此角色的父系。
• 與您建立實驗室計畫的相同 Azure 區域中的 Azure 虛擬網路和子網。 瞭解如何建立 虛擬網路 和 子網 。
• 子網對於實驗室方案中所有實驗室的範本 VM 和實驗室 VM 有足夠的可用 IP 位址（每個實驗室使用 512 個 IP 位址）。

1.委派虛擬網路子網

若要在 Azure 實驗室服務中使用虛擬網路子網進行進階網路功能，您必須 將子網 委派給 Azure 實驗室服務實驗室方案。 子網委派會明確授與 Azure 實驗室服務的許可權，以在子網中建立服務特定的資源，例如實驗室虛擬機器。

您一次只能委派一個實驗室計畫，以便搭配一個子網使用。

請遵循下列步驟來委派子網以搭配實驗室計畫使用：

1. 登入 Azure 入口網站。

2. 移至您的虛擬網路，然後選取 [ 子網 ]。

3. 選取您想要委派給 Azure 實驗室服務的專用子網。

   重要

   您用於 Azure 實驗室服務的子網不應已用於 VNET 閘道或 Azure Bastion。

4. 在 [將子網委派給服務 ] 中，選取 [Microsoft.LabServices/labplans ]，然後選取 [ 儲存 ]。

   

5. 確認 Microsoft.LabServices/labplans 出現在 子網的 [委派給] 資料行中。

   

2.設定網路安全性群組

當您將實驗室計畫連線到虛擬網路時，您必須設定網路安全性群組 （NSG） 以允許從使用者電腦到範本虛擬機器和實驗室虛擬機器的輸入 RDP/SSH 流量。 NSG 包含存取控制規則，可根據流量方向、通訊協定、來源位址和埠，以及目的地位址和埠來允許或拒絕流量。

NSG 的規則可以隨時變更，而且變更會套用至所有相關聯的實例。 可能需要 10 分鐘的時間，NSG 變更才會生效。

重要

如果您未設定網路安全性群組，您將無法透過 RDP 或 SSH 存取實驗室範本 VM 和實驗室 VM。

進階網路的網路安全性群組組態包含兩個步驟：

1. 建立允許 RDP/SSH 流量的網路安全性群組
2. 將網路安全性群組與虛擬網路子網產生關聯

您可以使用 NSG 來控制虛擬網路中一或多個虛擬機器（VM）、角色實例、網路介面卡（NIC）或子網的流量。 NSG 包含存取控制規則，可根據流量方向、通訊協定、來源位址和埠，以及目的地位址和埠來允許或拒絕流量。 NSG 的規則可以隨時變更，而且變更會套用至所有相關聯的實例。

如需 NSG 的詳細資訊，請流覽 什麼是 NSG 。

您可以使用 NSG 來控制虛擬網路中一或多個虛擬機器（VM）、角色實例、網路介面卡（NIC）或子網的流量。 NSG 包含存取控制規則，可根據流量方向、通訊協定、來源位址和埠，以及目的地位址和埠來允許或拒絕流量。 NSG 的規則可以隨時變更，而且變更會套用至所有相關聯的實例。

如需 NSG 的詳細資訊，請流覽 什麼是 NSG 。

建立網路安全性群組以允許流量

請遵循下列步驟來建立 NSG，並允許輸入 RDP 或 SSH 流量：

1. 如果您還沒有網路安全性群組，請遵循下列步驟來 建立網路安全性群組 （NSG）。

   請務必在與虛擬網路和實驗室計畫相同的 Azure 區域中建立網路安全性群組。

2. 建立輸入安全性規則以允許 RDP 和 SSH 流量。

   1. 移至Azure 入口網站 中的 網路安全性群組。

   2. 選取 [輸入安全性規則]，然後選取 [+ 新增]。

   3. 輸入新輸入安全性規則的詳細資料：

      設定	值
      來源	選取 [ 任何 ]。
      來源連接埠範圍	輸入 *。
      目的地	選取 [ IP 位址 ]。
      目的地 IP 位址/CIDR 範圍	選取虛擬網路子網的範圍。
      服務	選取自訂。
      目的地連接埠範圍	輸入 22,3389 。 埠 22 適用于安全殼層通訊協定 （SSH）。 埠 3389 適用于遠端桌面通訊協定 （RDP）。
      通訊協定	選取 [ 任何 ]。
      動作	選取允許。
      優先順序	輸入 1000 。 優先順序必須高於 RDP 或 SSH 的其他 拒絕 規則。
      名稱	輸入 AllowRdpSshForLabs 。

   4. 選取 [新增 ] 以將輸入安全性規則新增至 NSG。

將子網與網路安全性群組產生關聯

接下來，將 NSG 與虛擬網路子網產生關聯，以將流量規則套用至虛擬網路流量。

1. 移至您的網路安全性群組，然後選取 [ 子網 ]。

2. 從頂端功能表列選取 [+ 關聯 ]。

3. 針對 [虛擬網路 ]，選取您的虛擬網路。

4. 針對 [ 子網 ]，選取您的虛擬網路子網。

   

5. 選取 [ 確定 ] 以將虛擬網路子網與網路安全性群組產生關聯。

3.使用進階網路建立實驗室計畫

既然您已設定子網和網路安全性群組，您可以使用進階網路來建立實驗室計畫。 當您在實驗室方案中建立新的實驗室時，Azure 實驗室服務會在虛擬網路子網中建立實驗室範本和實驗室虛擬機器。

重要

建立實驗室計畫時，您必須設定進階網路功能。 您無法在稍後階段啟用進階網路功能。

若要在 Azure 入口網站中建立具有進階網路的實驗室計畫：

1. 登入 Azure 入口網站。

2. 選取 Azure 入口網站左上角的 [建立資源 ]，然後搜尋 實驗室計畫 。

3. 在 [建立實驗室計畫 ] 頁面的 [基本] 索引 標籤上 輸入資訊。

   如需詳細資訊，請參閱 使用 Azure 實驗室服務 建立實驗室方案。

4. 在 [ 網路] 索引 標籤中，選取 [ 啟用進階網路 ] 來設定虛擬網路子網。

5. 針對 [虛擬網路 ]，選取您的虛擬網路。 針對 [ 子網 ]，選取您的虛擬網路子網。

   如果您的虛擬網路未出現在清單中，請確認實驗室計畫位於與虛擬網路相同的 Azure 區域中，您已 將子網委派給 Azure 實驗室服務 ，且您的 Azure 帳戶具有必要的許可權 。

   

6. 選取 [ 檢閱 + 建立 ] 以建立具有進階網路的實驗室計畫。

   實驗室使用者和實驗室管理員現在可以使用 RDP 或 SSH 連線到其實驗室虛擬機器或實驗室範本虛擬機器。

   當您建立新的實驗室時，所有虛擬機器都會在虛擬網路中建立，並在子網範圍內指派 IP 位址。

4. （選擇性） 更新網路組態設定

當您在 Azure 實驗室服務中使用進階網路功能時，建議您使用虛擬網路和子網的預設組態設定。

針對特定的網路案例，您可能需要更新網路設定。 深入瞭解 Azure 實驗室服務和 對應網路組態中支援的網路架構和拓撲。

您可以使用進階網路建立實驗室計畫之後，修改虛擬網路設定。 不過，當您變更 虛擬網路 上的 DNS 設定時，必須重新開機任何執行中的實驗室虛擬機器。 如果實驗室 VM 已停止，它們會在啟動時自動接收更新的 DNS 設定。

警告

設定進階網路功能之後，不支援下列網路設定變更：

• 刪除與實驗室計畫相關聯的虛擬網路或子網。 這會導致實驗室停止運作。
• 當建立虛擬機器時，請變更子網位址範圍（範本 VM 或實驗室 VM）。
• 變更公用 IP 位址上的 DNS 標籤。 這會導致實驗室 VM 停止 運作的 [連線] 按鈕。
• 變更 Azure 負載平衡器上的前端 IP 組態 。 這會導致實驗室 VM 停止 運作的 [連線] 按鈕。
• 變更公用 IP 位址上的 FQDN。
• 使用路由表搭配子網的預設路由（強制通道）。 這會導致使用者失去與實驗室的連線。
• 不支援使用 Azure 防火牆 或 Azure Bastion。

下一步

• 將計算資源庫附加至實驗室計畫 。
• 設定實驗室計畫的 自動關機設定。
• 將實驗室建立者新增至實驗室計畫 。