如何使用實驗室帳戶在 Azure 實驗室服務中建立具有共用資源的實驗室

重要

本文中的資訊適用于實驗室帳戶。 Azure 實驗室服務 實驗室方案 會取代 實驗室帳戶 。 瞭解如何透過建立實驗室計畫 來開始使用 。 對於現有的實驗室帳戶客戶，建議您 從實驗室帳戶移轉至實驗室方案 。

當您建立實驗室時，可能需要在實驗室中的所有學生之間共用一些資源。 例如，您有資料庫類別的授權伺服器或 SQL Server。 本文將討論為實驗室啟用共用資源的步驟。 我們也會討論如何限制共用資源的存取。

架構

如下圖所示，我們將有實驗室帳戶與實驗室。 實驗室帳戶會有 vnet 對等互連設定，讓實驗室的虛擬網路連線到共用資源的網路。 在下圖中，有兩個虛擬網路具有非重迭的 IP 範圍。 這些 IP 範圍只是範例範圍。 此外，共用資源虛擬網路位於與實驗室帳戶相同的訂用帳戶中。

設定共用資源

建立實驗室之前，必須先建立共用資源的虛擬網路。 如需如何建立虛擬網路的詳細資訊，請參閱 建立虛擬網路 。 規劃虛擬網路範圍，使其不會與實驗室電腦的 IP 位址重迭很重要。 如需規劃網路的詳細資訊，請參閱 規劃虛擬網路 一文。 在此範例中，共用資源位於虛擬網路中，範圍為 10.2.0.0/16。 如果尚未完成， 請建立子網 來保存共用資源。 在此範例中，我們使用 10.2.0.0/24 範圍，但您的範圍可能會因網路需求而有所不同。

共用資源可以是在虛擬機器或 Azure 提供服務上執行的軟體。 共用資源應該可透過私人 IP 位址取得。 透過僅透過私人 IP 提供共用資源，您可以限制該共用資源的存取權。

此圖也顯示網路安全性群組 （NSG），可用來限制來自學生 VM 的流量。 例如，您可以撰寫安全性規則，指出來自學生 VM IP 位址的流量只能存取一個共用資源，而沒有其他內容。 如需如何設定安全性規則的詳細資訊，請參閱 管理網路安全性群組 。 如果您想要限制特定實驗室的共用資源存取，請從 實驗室的實驗室設定取得實驗室 的 IP 位址。 然後，設定輸入規則，只允許來自該 IP 位址的存取。 別忘了允許該 IP 位址的埠 49152 到 65535。 您可以選擇性地使用 虛擬機器集區頁面 來尋找學生 VM 的私人 IP 位址。

如果您的共用資源是執行必要軟體的 Azure 虛擬機器，您可能需要修改虛擬機器的預設防火牆規則。

共用資源的提示 - 授權伺服器

最常見的共用資源之一是授權伺服器，以下是如何成功設定授權伺服器的一些秘訣。

伺服器區域

授權伺服器必須連線到對等互連至實驗室的虛擬網路。 因為授權伺服器必須位於與實驗室帳戶相同的區域中。

靜態私人 IP 和 MAC 位址

根據預設，虛擬機器具有動態私人 IP。 在您設定任何軟體之前，請將私人 IP 設定為靜態 。 私人 IP 和 MAC 位址現在已設定為靜態。

控制存取權

控制授權伺服器的存取權是金鑰。 設定 VM 時，維護、疑難排解和更新仍然需要存取權。 以下是一些控制存取的方式：

• 在 適用於雲端的 Microsoft Defender 內設定 Just in Time （JIT） 存取權。
• 設定網路安全性群組以限制存取。
• 設定 Bastion 以允許安全存取授權伺服器。

實驗室帳戶

若要使用共用資源，必須設定實驗室帳戶才能使用 對等互連的虛擬網路 。 在此情況下，我們將對等互連至保留共用資源的虛擬網路。

警告

您必須在實驗室帳戶與共用資源虛擬網路對等互連之後 ，建立 類別的實驗室。

範本電腦

當實驗室計畫/實驗室帳戶設定為使用進階網路功能時，範本電腦現在應該可以存取共用資源。 視存取的共用資源而定，您可能需要更新防火牆規則。

下一步

身為系統管理員， 在您的實驗室帳戶 上設定虛擬網路對等互連。