Azure Lab Services のファイアウォール設定を決定する

この記事では、Azure Lab Services のラボによって使用される特定のパブリック IP アドレスを検索する方法について説明します。 これらの IP アドレスを使用してファイアウォール設定を構成し、ラボ ユーザーがラボ仮想マシンに接続できるように受信規則と送信規則を指定できます。

組織や学校はそれぞれ、自分たちのニーズに最も合った方法で、所有するネットワークを構成します。 時にはそれに、所有するネットワークの外にあるマシンに対するリモート デスクトップ プロトコル (RDP) 接続や Secure Shell (SSH) 接続をブロックするファイアウォール規則の設定が含まれています。 Azure Lab Services はパブリック クラウドで実行されるため、ローカル ネットワークからの接続時に VM へのアクセスをラボ ユーザーに許可するために、追加の構成が必要になる場合があります。

各ラボで、単一のパブリック IP アドレスと複数のポートを使用します。 各ラボのパブリック IP アドレスは異なります。 テンプレート VM とラボ VM の両方のすべての VM で、このパブリック IP アドレスが使用されます。 ラボのパブリック IP アドレスは変更されません。 各 VM には、異なるポート番号が割り当てられます。 SSH 接続のポート範囲は 4980 から 4989 と 5000 から 6999 です。 RDP 接続のポート範囲は 4990 から 4999 と 7000 から 8999 です。 ラボ作成者とラボ ユーザーを正しい VM に接続するために、パブリック IP アドレスとポート番号の組み合わせが使用されます。

ラボ アカウントを使用している場合は、「ラボ アカウントを使用する場合のラボのファイアウォール設定をする」を参照してください。

ラボのパブリック IP を見つける

カスタマイズ可能なラボを使用している場合は、ラボの作成後にいつでもパブリック IP アドレスを取得できます。 カスタマイズできないラボを使用している場合、ラボのパブリック IP アドレスを取得できるためには、ラボが公開されていて、その容量が 1 以上である必要があります。

Az.LabServices PowerShell モジュールを使用して、ラボのパブリック IP アドレスを取得できます。

$ResourceGroupName = "MyResourceGroup"
$LabName = "MyLab"
$LabPublicIP = $null

$lab =  Get-AzLabServicesLab -Name $LabName -ResourceGroupName $ResourceGroupName
if (-not $lab){
    Write-Error "Could find lab $($LabName) in resource group $($ResourceGroupName)."
}

if($lab.NetworkProfilePublicIPId){
    #Lab is using advance networking
    # Get public IP from networking properties
    $LabPublicIP = Get-AzResource -ResourceId $lab.NetworkProfilePublicIPId | Get-AzPublicIpAddress | Select-Object -expand IpAddress
}else{
    #Get first VM from lab
    # If customizable lab, this is the template VM
    # If non-customizable lab, this is the first VM published.
    $vm =  $lab | Get-AzLabServicesVM | Select -First 1

    if ($vm){
        if($vm.ConnectionProfileSshAuthority){
            $connectionAuthority = $vm.ConnectionProfileSshAuthority.Split(":")[0]
        }else{
            $connectionAuthority = $vm.ConnectionProfileRdpAuthority.Split(":")[0]
        }
        $LabPublicIP = [System.Net.DNS]::GetHostByName($connectionAuthority).AddressList.IPAddressToString | Where-Object {$_} | Select -First 1

    }
}

if ($LabPublicIP){
    Write-Output "Public IP for $($lab.Name) is $LabPublicIP."
}else{
    Write-Error "Lab must be published to get public IP address."
}

Az.LabServices PowerShell モジュールを使用するその他の例とその使用方法については、「クイック スタート: PowerShell と Azure モジュールを使用してラボ プランを作成する」および「クイック スタート: PowerShell と Azure モジュールを使用してラボを作成する」を参照してください。 Az.LabServices PowerShell モジュールで使用できるコマンドレットの詳細については、Az.LabServices リファレンスを参照してください。

まとめ

ラボのパブリック IP アドレスを確認できるようになりました。 パブリック IP アドレスとポート範囲 4980 から 4989、5000 から 6999、および 7000 から 8999 について、組織のファイアウォールのインバウンド規則とアウトバウンド規則を作成できます。 ルールが更新されると、ラボ ユーザーはネットワーク ファイアウォールでアクセスがブロックされることなく、自分の VM にアクセスできます。

関連するコンテンツ

• 管理者として、ラボが仮想ネットワークに接続できるようにします。
• ラボ作成者として、管理者と協力して共有リソースを持つラボを作成します。
• ラボ作成者として、ラボを公開します。