教學課程:設定實驗室與進階網路進行實驗室通訊

  • 發行項

注意

本文參考實驗室方案中 可用的 功能,這些功能取代了實驗室帳戶。

Azure 實驗室服務進階網路功能可讓您控制使用實驗室計畫建立的實驗室網路。 您可以使用進階網路來實作各種案例,包括 連線到授權伺服器 、使用 適用于 Azure 網路的 中樞輪輻模型,或實驗室對實驗室通訊。 在本教學課程中,您會為 Web 開發類別設定實驗室對實驗室通訊。

完成本教學課程之後,您將有一個實驗室,其中包含兩個實驗室虛擬機器,可彼此通訊:伺服器 VM 和用戶端 VM。

Architecture diagram showing two labs that use the same subnet of a virtual network.

深入瞭解 Azure 實驗室服務 中支援的網路案例。

在本教學課程中,您會了解如何:

  • 建立資源群組
  • 建立虛擬網路和子網路
  • 將子網委派給 Azure 實驗室服務
  • 建立網路安全性群組
  • 更新網路安全性群組輸入規則
  • 將網路安全性群組與虛擬網路產生關聯
  • 使用進階網路建立實驗室計畫
  • 建立兩個實驗室
  • 在範本 VM 上啟用 ICMP
  • 發佈這兩個實驗室
  • 測試實驗室 VM 之間的通訊

必要條件

  • 具有有效訂用帳戶的 Azure 帳戶。 如尚未擁有 Azure 訂用帳戶,請在開始之前先建立免費帳戶
  • 有權在訂用帳戶中建立和管理資源的 Azure 帳戶,例如 參與者 擁有者 Azure RBAC 角色。

建立資源群組

資源群組 是一個邏輯容器,其中會部署和管理 Azure 資源,例如 Web 應用程式、資料庫和儲存體帳戶。 例如,您可以選擇稍後在一個簡單的步驟中刪除整個資源群組。

下列步驟示範如何使用Azure 入口網站來 建立資源群組 。 為了簡單起見,您會在相同的資源群組中建立本教學課程的所有資源。

  1. 登入 Azure 入口網站
  2. 選取 [資源群組]。
  3. 從頂端功能表中選取 [+ 建立 ]。
  4. 在 [建立資源群組] 頁面的 [ 基本] 索引卷 標上,執行下列動作:
    1. 針對 [ 訂用帳戶 ],選擇您要在其中建立實驗室的訂用帳戶。
    2. 針對 [ 資源群組 ],輸入 MyResourceGroup
    3. 針對 [ 區域 ],選取最接近您的區域。 如需可用區域的詳細資訊,請參閱 Azure 地理位置 Screenshot of create new resource group page in the Azure portal.
  5. 選取 [檢閱 + 建立] 。
  6. 檢閱摘要,然後選取 [建立]。

建立虛擬網路和子網路

下列步驟示範如何使用 Azure 入口網站來建立可與 Azure 實驗室服務搭配使用的虛擬網路和子網。

重要

搭配進階網路使用 Azure 實驗室服務時,虛擬網路、子網、實驗室計畫和實驗室必須全都位於相同的區域中。 如需各種產品支援哪些區域的詳細資訊,請參閱 依區域的 Azure 產品。

  1. 開啟 先前建立的 MyResourceGroup

  2. 選取 Azure 入口網站左上角的 [+ 建立 ],然後搜尋 「虛擬網路」。

  3. 選取 [ 虛擬網路] 圖格,然後選取 [ 建立 ]。 Screenshot of Virtual network tile in the Azure Marketplace.

  4. 在 [建立虛擬網路] 的 [ 基本] 索引卷 標上,執行下列動作:

    1. 針對 [ 訂用帳戶 ],選擇與資源群組相同的訂用帳戶。
    2. 針對 [ 資源群組 ],選擇 [MyResourceGroup ]。
    3. 針對 [ 名稱 ],輸入 MyVirtualNetwork
    4. 針對 [ 區域 ],選擇 Azure 實驗室服務也支援的區域。 如需支援區域的詳細資訊,請參閱 依區域 區分的 Azure 實驗室服務。
    5. 選取 [ 下一步:IP 位址 ]。

    Screenshot of Basics tab of Create virtual network page in the Azure portal.

  5. 在 [ IP 位址] 索引 標籤上,建立實驗室所使用的子網。

    1. 選取 [+ 新增子網]
    2. 針對 [子網名稱 ],輸入 labservices-subnet
    3. 針對 [ 子網位址範圍 ],輸入 CIDR 標記法中的範圍。 例如,10.0.1.0/24 有足夠的 IP 位址供 251 個實驗室 VM 使用。 (Azure 會為每個子網保留五個 IP 位址。若要為 VM 建立具有更多可用 IP 位址的子網,請使用不同的 CIDR 前置詞長度。 例如,實驗室 VM 的 10.0.0.0/20 會有超過 4000 個 IP 位址的空間。 如需新增子網的詳細資訊,請參閱 新增子網
    4. 選取 [確定]。

  6. 選取 [檢閱 + 建立] 。

    Screenshot of IP addresses tab of the Create virtual network page in the Azure portal.

  7. 通過驗證後,選取 [建立]

將子網委派給 Azure 實驗室服務

接下來,您會設定要與 Azure 實驗室服務搭配使用的子網。 若要搭配 Azure 實驗室服務使用子網,必須將 子網委派給服務

  1. 開啟 MyVirtualNetwork 資源。
  2. 選取左側功能表上的 [子網] 專案。
  3. 選取 labservices-subnet 子網
  4. 在 [ 子網委派 ] 區段下,選取 [將子網委派至服務 ] 設定的 Microsoft.LabServices/labplans
  5. 選取 [儲存]。

Screenshot of subnet information windows. Subnet delegation property is highlighted.

建立網路安全性群組

您可以使用 NSG 來控制虛擬網路中一或多個虛擬機器(VM)、角色實例、網路介面卡(NIC)或子網的流量。 NSG 包含存取控制規則,可根據流量方向、通訊協定、來源位址和埠,以及目的地位址和埠來允許或拒絕流量。 NSG 的規則可以隨時變更,而且變更會套用至所有相關聯的實例。

如需 NSG 的詳細資訊,請流覽 什麼是 NSG

在 Azure 實驗室服務中使用進階網路時,需要 NSG。

若要建立 NSG,請完成下列步驟:

  1. 選取 Azure 入口網站左上角的 [+ 建立資源 ],然後搜尋 「網路安全性群組」。 Screenshot of Azure Marketplace with virtual network security group tile.
  2. 選取 [ 網路安全性群組] 圖格,然後選取 [ 建立 ]。
  3. 在 [建立網路安全性群組] 的 [ 基本] 索引卷 標上,執行下列動作:
    1. 針對 [ 訂用帳戶 ],選擇與先前所使用的相同訂用帳戶。
    2. 針對 [ 資源群組 ],選擇 [MyResourceGroup ]。
    3. 針對 [ 名稱 ],輸入 MyNsg
    4. 針對 [ 區域 ],選擇與先前建立的 MyVirtualNetwork 相同的區域。
    5. 選取 [檢閱 + 建立] 。 Screenshot of the Basics tab of the Create Network security group page in the Azure portal.
  4. 通過驗證後,選取 [建立]

更新網路安全性群組輸入規則

若要確保實驗室使用者可以使用遠端桌面連線到實驗室 VM,您必須建立安全性規則以允許這種類型的流量。 當您使用 Linux 時,必須調整 SSH 的規則。

若要建立規則,允許您先前建立之子網的 RDP 和 SSH 流量:

  1. 開啟 MyNsg

  2. 選取左側功能表上的 [ 輸入安全性規則 ]。

  3. 從頂端功能表列選取 [+ 新增 ]。 填寫詳細資料以新增輸入安全性規則,如下所示:

    1. 針對 [ 來源 ],選取 [ 任何 ]。
    2. 針對 [ 來源埠範圍 ],選取 *
    3. 針對 [ 目的地 ],選取 [ IP 位址 ]。
    4. 針對 [ 目的地 IP 位址/CIDR 範圍 ],從 先前建立的 labservices-subnet 選取子網範圍。
    5. 針對 [ 服務 ],選取 [ 自訂 ]。
    6. 針對 [ 目的地埠範圍 ],輸入 22,3389 。 埠 22 適用于安全殼層通訊協定 (SSH)。 埠 3389 適用于遠端桌面通訊協定 (RDP)。
    7. 針對 [ 通訊協定 ],選取 [ 任何 ]。
    8. 針對 [ 動作 ],選取 [ 允許 ]。
    9. 針對 [ 優先順序 ],選取 [1000 ]。 優先順序必須高於 RDP 和/或 SSH 的其他 拒絕 規則。
    10. 針對 [ 名稱 ],輸入 AllowRdpSshForLabs
    11. 選取新增

    Screenshot of Add inbound rule window for Network security group.

  4. 等候規則建立。

  5. 選取功能表列上的 [ 重新 整理]。 新的規則現在會顯示在規則清單中。

將網路安全性群組與虛擬網路建立關聯

您現在有具有輸入安全性規則的 NSG,可讓實驗室 VM 連線到虛擬網路。

若要將 NSG 與您稍早建立的虛擬網路產生關聯:

  1. 開啟 MyVirtualNetwork
  2. 選取 左側功能表上的 [子網 ]。
  3. 從頂端功能表列選取 [+ 關聯 ]。
  4. 在 [ 關聯子網 ] 頁面上,執行下列動作:
    1. 針對 [虛擬網路 ],選取 [MyVirtualNetwork ]。
    2. 針對 [ 子網 ],選取 [labservices-subnet ]。
    3. 選取 [確定]。

Screenshot of Associate subnet page in the Azure portal.

警告

連線網路安全性群組至子網是 必要步驟 。 如果沒有與子網相關聯的網路安全性群組,實驗室使用者將無法連線到其實驗室 VM。

使用進階網路建立實驗室計畫

現在已建立並設定虛擬網路,您可以建立實驗室計畫:

  1. 選取 Azure 入口網站左上角的 [建立資源] 。

  2. 搜尋 實驗室計畫

  3. 在 [實驗室計畫] 圖格,選取 [建立] 下拉式清單,然後選擇 [實驗室計畫]。

    All Services -> Lab Services

  4. 在 [建立實驗室計畫] 頁面的 [基本資訊] 索引標籤上執行下列動作:

    1. 針對 Azure 訂用帳戶 ,選取先前使用的訂用帳戶。
    2. 針對 [資源群組],請選取現有資源群組或選取 [新建],然後輸入新資源群組的名稱。
    3. 針對 [名稱],輸入實驗室計畫名稱。 如需命名限制的詳細資訊,請參閱 Microsoft.LabServices 資源名稱規則
    4. 針對 [區域],選取您要在其中建立實驗室計畫的位置/區域。

    Screenshot of the basics page for lab plan creation.

  5. 選取 [下一步:網路]

  6. 在 [ 網路] 索引 標籤上,執行下列動作:

    1. 取 [啟用進階網路功能 ]。
    2. 針對 [虛擬網路 ],選擇 [ MyVirtualNetwork ]。
    3. 針對 [ 子網 ],選擇 [labservices-subnet ]。
    4. 選取 [檢閱 + 建立]。

    Screenshot of the networking page for lab plan creation.

  7. 驗證成功時請選取 [建立]。 Review + create -> Create

注意

只有在建立實驗室計畫時,才能啟用進階網路功能。 稍後無法新增進階網路功能。

建立兩個實驗室

接下來,建立兩個使用進階網路的實驗室。 這些實驗室會使用 與 Azure 實驗室服務相關聯的 labservices-subnet 。 使用 MyLabPlan 建立的任何實驗室 VM 都可以彼此通訊。 使用 NSG、防火牆等等,即可限制通訊。

執行下列步驟來建立這兩個實驗室。 重複這些步驟:伺服器 VM 和用戶端 VM。

  1. 流覽至 Azure 實驗室服務網站: https://labs.azure.com

  2. 選取 [登入],然後輸入您的認證。 Azure 實驗室服務支援組織帳戶和 Microsoft 帳戶。

  3. 從功能表列的下拉式清單中選取 [MyResourceGroup ]。

  4. 選取 [新增實驗室]。

    Screenshot of Azure Lab Services portal. New lab button is highlighted.

  5. 在 [新增實驗室] 視窗中,執行下列動作:

    1. 指定 名稱 。 名稱應該很容易識別。 針對 實驗室使用 MyServerLab 搭配伺服器 VM,並使用 MyClientLab 搭配用戶端 VM 使用實驗室。 如需命名限制的詳細資訊,請參閱 Microsoft.LabServices 資源名稱規則
    2. 選擇虛擬機器映射 。 在本教學課程中,請使用 Windows 11 專業版 ,但您可以視需要選擇另一個可用的映射。 如需啟用虛擬機器映射的詳細資訊,請參閱 指定實驗室建立者 可用的 Marketplace 映射。
    3. 針對 [大小 ],選取 [ ]。
    4. 區域 只有一個區域。 當實驗室使用進階網路功能時,實驗室必須位於與相關聯子網相同的區域中。
    5. 選取 [下一步] 。

    Screenshot of the New lab window for Azure Lab Services.

  6. 在 [虛擬機器認證] 頁面上,為實驗室中的所有 VM 指定預設的管理員認證。 指定 系統管理員的名稱 密碼 。 根據預設,所有實驗室 VM 的密碼都與這裡指定的密碼相同。 選取 [下一步] 。

    Screenshot that shows the Virtual machine credentials window when creating a new Azure Lab Services lab.

    重要

    請記下您的使用者名稱和密碼。 這些資訊不會出現第二次。

  7. 在 [實驗室原則] 頁面上,保留預設選取項目,並選取 [下一步]。

  8. 在 [ 範本虛擬機器設定 ] 視窗上,保留 [建立範本虛擬機器 ] 上的 選取專案。 選取完成

    Screenshot of the Template virtual machine settings windows when creating a new Azure Lab Services lab.

  9. 您應該會在下列畫面中看見範本 VM 建立的狀態。

    Screenshot of status of the template VM creation.

  10. 等候範本 VM 建立。

在實驗室範本上啟用 ICMP

建立實驗室之後,啟用 ICMP (ping) 以測試實驗室 VM 之間的通訊。 首先,在兩個實驗室的範本 VM 上啟用 ICMP。 在範本 VM 上啟用 ICMP 也會在實驗室 VM 上啟用它。 發佈實驗室之後,實驗室 VM 就能夠互相偵測。

若要啟用 ICMP,請針對每個實驗室中的每個範本 VM 完成下列步驟。

  1. 在實驗室的 [ 範本] 頁面上,啟動並聯機到範本 VM。

    1. 選取 [ 開始範本 ]。

    Screenshot of Azure Lab Services template page. The Start template menu button is highlighted.

    注意

    範本 VM 在執行時會產生 成本 ,因此,當您不需要執行範本 VM 時,請確定範本 VM 已關閉。

    1. 範本啟動之後,請選取 [連線至範本 ]。

    Screenshot of Azure Lab Services template page. The Connect to template menu button is highlighted.

當您登入範本 VM 時,請修改 VM 上的防火牆規則以允許 ICMP。 因為您使用 Windows 11,因此您可以使用 PowerShell 和 Enable-NetFilewallRule Cmdlet。 若要開啟 PowerShell 視窗:

  1. 選取 [開始] 按鈕。
  2. 輸入 「PowerShell」
  3. 選取 Windows PowerShell 應用程式。

執行下列程式碼:

Enable-NetFirewallRule -Name CoreNet-Diag-ICMP4-EchoRequest-In
Enable-NetFirewallRule -Name CoreNet-Diag-ICMP4-EchoRequest-Out

在實驗室的 [ 範本] 頁面上,選取 [ 停止 ] 以停止範本 VM。

發佈這兩個實驗室

在此步驟中,您將發佈實驗室。 當您發佈範本 VM 時,Azure 實驗室服務會使用範本在實驗室中建立 VM。 所有虛擬機器具有與範本相同的設定。

  1. 在 [ 範本] 頁面上,選取 [ 發佈 ]。

    Screenshot of Azure Lab Services template page. The Publish menu button is highlighted.

  2. 輸入實驗室所需的機器數目,然後選取 [ 發佈 ]。

    Screenshot of confirmation window for publish action of Azure.

    警告

    發佈是不可逆轉的動作! 無法復原。

  3. 您會看到發佈 範本頁面的狀態。 等候發佈完成。

測試實驗室 VM 之間的通訊

在本節中,確認不同實驗室中的兩個實驗室虛擬機器能夠彼此通訊。

首先,從每個實驗室啟動並聯機到實驗室 VM。 完成每個實驗室的下列步驟。

  1. 在 Azure 實驗室服務網站 開啟實驗室。

  2. 選取 左側功能表上的 [虛擬機器集區 ]。

  3. 選取虛擬機器集區中列出的單一 VM。

  4. 記下 VM 的私人 IP 位址 。 您稍後需要伺服器實驗室和用戶端實驗室 VM 的私人 IP 位址。

  5. 選取 [ 狀態 ] 滑杆,將狀態從 [已停止 ] 變更為 [啟動]。

    注意

    當實驗室授課者啟動實驗室 VM 時,實驗室使用者的配額不會受到影響。 使用者的配額會指定排程課程時間以外實驗室使用者可用的實驗室時數。 如需配額的詳細資訊,請參閱 設定使用者的 配額。

  6. 狀態為 [ 正在執行 ] 之後,請選取執行中 VM 的連線圖示。 開啟下載 RDP 檔案以連線到 VM。 如需不同作業系統上連線體驗的詳細資訊,請參閱 連線實驗室 VM

Screen shot of virtual machine pool page for Azure Lab Services lab.

現在,使用 Ping 公用程式來測試跨實驗室通訊。 從伺服器實驗室中的實驗室 VM,開啟命令提示字元。 使用 ping {ip-address}{ip-address}是您 先前注意到的用戶端 VM 私人 IP 位址 。 此測試也可以從實驗室 VM 從用戶端實驗室到伺服器實驗室中的實驗室 VM 完成。

Screen shot command window with the ping command executed.

完成後,流覽至每個實驗室的 [虛擬機器集 區] 頁面,選取實驗室 VM,然後選取 [狀態 ] 滑杆以停止實驗室 VM。

清除資源

如果您不打算繼續使用此應用程式,請使用下列步驟刪除虛擬網路、網路安全性群組、實驗室計畫和實驗室:

  1. Azure 入口網站 中,選取您要刪除的資源群組。
  2. 選取 [刪除資源群組]
  3. 若要確認刪除,請輸入資源群組的名稱

疑難排解

實驗室建立失敗, You are not authorized to access this resource

當您建立新的實驗室計畫時,可能需要幾分鐘的時間,許可權才能傳播至實驗室層級。 您可以在資源群組層級指派實驗室建立者角色,以防止此行為:

  1. Azure 入口網站 中,移至包含實驗室計畫的資源群組。
  2. 從左側導覽中選取 [存取控制][IAM ]。
  3. 選取新增>新增角色指派
  4. 實驗室建立者 角色指派給使用者帳戶。

下一步

將實驗室使用者新增至實驗室