Dela via

DevTest Labs företagsreferensarkitektur

Den här artikeln innehåller en referensarkitektur för distribution av Azure DevTest Labs i ett företag. Arkitekturen innehåller följande viktiga element:

  • Lokal anslutning via Azure ExpressRoute
  • En fjärrskrivbordsgateway för fjärrinloggningar till virtuella datorer
  • Anslutning till en privat artefaktlagringsplats
  • Andra PaaS-komponenter (plattform som en tjänst) som labben använder

Architecture

Följande diagram visar en typisk DevTest Labs-företagsdistribution. Den här arkitekturen ansluter flera labb i olika Azure-prenumerationer till ett företags lokala nätverk.

Diagram som visar en referensarkitektur för en DevTest Labs-företagsdistribution.

DevTest Labs-komponenter

DevTest Labs gör det enkelt och snabbt för företag att ge åtkomst till Azure-resurser. Varje labb innehåller saaS(software as a service), infrastruktur som en tjänst (IaaS) och PaaS-resurser. Labbanvändare kan skapa och konfigurera virtuella datorer, PaaS-miljöer och VM-artefakter.

I föregående diagram visar Team Lab 1 i Azure Subscription 1 ett exempel på Azure-komponenter som labb kan komma åt och använda. Mer information finns i Om DevTest Labs.

Connectivity components

Du behöver lokal anslutning om dina labb måste komma åt lokala företagsresurser. Vanliga scenarier är:

  • Vissa lokala data kan inte flyttas till molnet.
  • Du vill ansluta virtuella labbdatorer till en lokal domän.
  • Du vill tvinga all molnnätverkstrafik via en lokal brandvägg för säkerhet eller efterlevnad.

Den här arkitekturen använder ExpressRoute för anslutning till det lokala nätverket. Du kan också använda ett plats-till-plats-VPN.

Lokalt möjliggör en fjärrskrivbordsgateway utgående RDP-anslutningar (Remote Desktop Protocol) till DevTest Labs. Företag blockerar vanligtvis utgående anslutningar i företagets brandvägg. Om du vill aktivera anslutningen kan du:

  • Använd en fjärrskrivbordsgateway och tillåt den statiska IP-adressen för gatewayens lastbalanserare.
  • Använd tvingad tunneltrafik för att omdirigera all RDP-trafik tillbaka över ExpressRoute- eller plats-till-plats-VPN-anslutningen. Tvingad tunnling är en vanlig funktion för DevTest Labs-distributioner i företagsskala.

Networking components

I den här arkitekturen tillhandahåller Microsoft Entra ID identitets- och åtkomsthantering i alla nätverk. Virtuella labbdatorer har vanligtvis ett lokalt administrativt konto för åtkomst. Om det finns ett Microsoft Entra-ID, en lokal domän eller Entra Domain Services-domän tillgänglig kan du ansluta virtuella labbdatorer till domänen. Användarna kan sedan använda sina domänbaserade identiteter för att ansluta till de virtuella datorerna.

Nätverkstopologin i Azure styr hur labbresurser får åtkomst till och kommunicerar med lokala nätverk och Internet. Den här arkitekturen visar en vanlig metod som företag använder för att nätverka DevTest Labs. Labbarna ansluter med peerkopplade virtuella nätverk i en hub-spoke-konfiguration, via ExpressRoute- eller plats-till-plats-VPN-anslutningen, till det lokala nätverket.

Eftersom DevTest Labs använder Azure Virtual Network direkt finns det inga begränsningar för hur du konfigurerar nätverksinfrastrukturen. Du kan konfigurera en nätverkssäkerhetsgrupp för att begränsa molntrafiken baserat på källans och målets IP-adresser. Du kan till exempel bara tillåta trafik som kommer från företagsnätverket till labbets nätverk.

Scalability considerations

DevTest Labs har inga inbyggda kvoter eller gränser, men andra Azure-resurser som används av labb har kvoter på prenumerationsnivå. I en typisk företagsdistribution behöver du flera Azure-prenumerationer för att täcka en stor DevTest Labs-distribution. Företag når ofta följande kvoter:

  • Resource groups. DevTest Labs skapar en resursgrupp för varje ny virtuell dator och labbanvändare skapar miljöer i resursgrupper. Prenumerationer kan innehålla så många som 980 resursgrupper, så det är gränsen för virtuella datorer och miljöer i en prenumeration.

    Två strategier kan hjälpa dig att hålla dig inom resursgruppens gränser:

    • Placera alla virtuella datorer i samma resursgrupp. Den här strategin hjälper dig att uppfylla resursgruppsgränsen, men den påverkar gränsen för resurstyp per resursgrupp.
    • Använd delade offentliga IP-adresser. Om virtuella datorer tillåts ha offentliga IP-adresser placerar du alla virtuella datorer av samma storlek och region i samma resursgrupp. Den här konfigurationen kan hjälpa dig att uppfylla både resursgruppskvoter och resurstypskvoter per resursgrupp.

  • Resurser per resursgrupp, per resurstyp. Standardgränsen för resurser per resursgrupp, per resurstyp, är 800. Om du placerar alla virtuella datorer i samma resursgrupp når du den här gränsen mycket tidigare, särskilt om de virtuella datorerna har många extra diskar.

  • Storage accounts. Varje labb i DevTest Labs levereras med ett lagringskonto. Azure-kvoten för antalet lagringskonton per region per prenumeration är som standard 250 . Så det maximala antalet DevTest Labs i en region är också 250. Med en kvotökning kan du skapa så många som 500 lagringskonton per region. Mer information finns i Öka Azure Storage-kontokvoter.

  • Role assignments. En rolltilldelning ger en användare eller huvudansvarig åtkomst till en resurs. Azure har en gräns på 4 000 rolltilldelningar per prenumeration.

    Som standard skapar DevTest Labs en resursgrupp för varje virtuell labbdator. Skaparen av den virtuella datorn får ägarbehörighet för den virtuella datorn och läsarbehörigheten för resursgruppen. Varje virtuell labbdator använder därför två rolltilldelningar. Om du beviljar användarbehörighet till labbet används även rolltilldelningar.

  • API reads/writes. Du kan automatisera Azure och DevTest Labs med hjälp av REST API:er, PowerShell, Azure CLI och Azure SDK. Varje Azure-prenumeration tillåter så många som 12 000 läsbegäranden och 1 200 skrivbegäranden per timme. Om du automatiserar DevTest Labs kan du nå gränsen för API-begäranden.

Manageability considerations

Du kan använda Azure Portal för att hantera en enda DevTest Labs-instans åt gången, men företag kan ha flera Azure-prenumerationer och många labb att administrera. Att göra ändringar konsekvent i alla labb kräver skriptautomatisering.

Här är några exempel på hur du använder skript i DevTest Labs-distributioner:

  • Ändra labinställningar. Uppdatera en specifik labbinställning för alla labb med hjälp av PowerShell-skript, Azure CLI eller REST-API:er. Uppdatera till exempel alla labb för att tillåta en ny VM-instansstorlek.

  • Uppdaterar personliga åtkomsttoken för artefaktlagringsplats (PAT). PAT:er för Git-lagringsplatser upphör vanligtvis att gälla om 90 dagar, ett år eller två år. För att säkerställa kontinuitet är det viktigt att utöka PAT. Eller så kan du skapa en ny PAT och använda automatisering för att tillämpa den på alla labb.

  • Begränsa ändringar i labbinställningar. Om du vill begränsa vissa inställningar, till exempel att tillåta användning av Marketplace-avbildningar, kan du använda Azure Policy för att förhindra ändringar i en resurstyp. Eller så kan du skapa en anpassad roll och bevilja användare den rollen i stället för en inbyggd labbroll. Du kan begränsa ändringar för de flesta labbinställningar, till exempel intern support, labbmeddelanden och tillåtna VM-storlekar.

  • Tillämpa en namngivningskonvention för virtuella datorer. Du kan använda Azure Policy för att ange ett namngivningsmönster som hjälper dig att identifiera virtuella datorer i molnbaserade miljöer.

Du hanterar Azure-resurser för DevTest Labs på samma sätt som för andra ändamål. Azure Policy gäller till exempel för virtuella datorer som du skapar i ett labb. Microsoft Defender för molnet kan rapportera om efterlevnaden av labb-VM. Azure Backup kan tillhandahålla regelbundna säkerhetskopior för virtuella labbdatorer.

Security considerations

DevTest Labs drar automatiskt nytta av inbyggda Azure-säkerhetsfunktioner. Om du vill kräva att inkommande fjärrskrivbordsanslutningar endast kommer från företagsnätverket kan du lägga till en nätverkssäkerhetsgrupp i det virtuella nätverket på fjärrskrivbordsgatewayen.

En annan säkerhetsövervägande är den behörighetsnivå som du beviljar labbanvändare. Labbägare använder rollbaserad åtkomstkontroll i Azure (Azure RBAC) för att tilldela roller till användare och ange behörigheter på resurs- och åtkomstnivå. De vanligaste DevTest Labs-behörigheterna är Ägare, Deltagare och Användare. Du kan också skapa och tilldela anpassade roller. Mer information finns i Lägga till ägare och användare i Azure DevTest Labs.

Next step

Se nästa artikel i den här serien: Leverera ett konceptbevis