Elementi di base dell'architettura in Azure Lab Services

  • Articolo

Importante

Azure Lab Services verrà ritirato il 28 giugno 2027. Per altre informazioni vedere la Guida al ritiro.

Nota

Questo articolo fa riferimento alle funzionalità disponibili nei piani lab, che hanno sostituito gli account lab.

Azure Lab Services è una soluzione SaaS (Software-as-a-Service), il che significa che le risorse dell'infrastruttura richieste da Azure Lab Services vengono gestite automaticamente. Questo articolo illustra le risorse fondamentali usate da Azure Lab Services e l'architettura di base di un lab.

Mentre Azure Lab Services è un servizio gestito, è possibile configurare il servizio per l'integrazione con le proprie risorse. Ad esempio, connettere le macchine virtuali lab alla propria rete con l'inserimento della rete virtuale anziché usare il peering di rete virtuale. In alternativa, riusare le proprie immagini di macchine virtuali personalizzate collegando una raccolta di calcolo di Azure.

Il diagramma seguente illustra l'architettura di base di un lab senza funzionalità di rete avanzate abilitate. Il piano lab è ospitato nella sottoscrizione. Le macchine virtuali del lab, insieme alle risorse necessarie per supportare le macchine virtuali, sono ospitate in una sottoscrizione di proprietà di Azure Lab Services.

Diagramma dell'architettura del lab di base in Azure Lab Services.

Risorse ospitate

Azure Lab Services ospita le risorse per eseguire un lab in una delle sottoscrizioni di Azure gestite da Microsoft. Tali risorse includono:

  • macchina virtuale modello all'autore del lab per configurare il lab
  • macchina virtuale lab per consentire a ogni utente del lab di connettersi in remoto
  • elementi correlati alla rete, ad esempio un servizio di bilanciamento del carico, una rete virtuale e un gruppo di sicurezza di rete

Azure monitora queste sottoscrizioni gestite per individuare attività sospette. È importante notare che questo monitoraggio viene eseguito esternamente alle macchine virtuali tramite le estensioni di VM o il monitoraggio dei modelli di rete. Se si abilita arresto alla disconnessione, viene abilitata un'estensione di diagnostica nella macchina virtuale. L'estensione notifica a Azure Lab Services l'evento di disconnessione della sessione RDP (Remote Desktop Protocol).

Rete virtuale

Per impostazione predefinita, ogni lab è isolato nella rispettiva rete virtuale.

Gli utenti del lab si connettono alla loro macchina virtuale lab tramite un sistema di bilanciamento del carico. Le macchine virtuali lab non hanno un indirizzo IP pubblico e hanno solo un indirizzo IP privato. La stringa di connessione per connettersi in remoto alla macchina virtuale del lab usa l'indirizzo IP pubblico del servizio di bilanciamento del carico e una porta casuale tra:

  • 4980-4989 e 5000-6999 per le connessioni SSH
  • 4990-4999 e 7000-8999 per le connessioni RDP

Le regole in ingresso nel sistema di bilanciamento del carico inoltrano la connessione, a seconda del sistema operativo, alla porta 22 (SSH) o alla porta 3389 (RDP) della macchina virtuale lab. Un gruppo di sicurezza di rete blocca il traffico esterno verso qualsiasi altra porta.

Se il lab usa la rete avanzata, ogni lab usa la stessa subnet delegata ad Azure Lab Services e connessa al piano lab. Si è anche responsabili della creazione di un gruppo di sicurezza di rete con una regola di sicurezza in ingresso per consentire il traffico RDP e SSH in modo che gli utenti del lab possano connettersi alle macchine virtuali.

Controllo di accesso alle macchine virtuali lab

Azure Lab Services gestisce l'accesso alle macchine virtuali lab a diversi livelli:

  • Avviare o arrestare una macchina virtuale lab. Azure Lab Services concede agli utenti del lab l'autorizzazione per eseguire tali azioni nelle proprie macchine virtuali. Il servizio controlla anche l'accesso alle informazioni di connessione della macchina virtuale del lab.

  • Registrarsi per un lab. Azure Lab Services offre due impostazioni di accesso diverse: con restrizioni e senza restrizioni. L'accesso limitato significa che Azure Lab Services verifica che gli utenti del lab vengano aggiunti al lab prima di consentire l'accesso. L'accesso senza restrizioni significa che qualsiasi utente può registrarsi per un lab usando il collegamento di registrazione del lab, se è presente capacità nel lab. L'accesso senza restrizioni può essere utile per eventi hackathon. Per altre informazioni, vedere l'articolo Gestire gli utenti del lab.

  • Credenziali della macchina virtuale. Le macchine virtuali lab degli studenti ospitate nel lab hanno un nome utente e una password impostati dall'autore del lab. In alternativa, l'autore del lab può consentire agli utenti registrati di scegliere la loro password al primo accesso.

Passaggi successivi