DevTest Labs kurumsal başvuru mimarisi

  • Makale

Bu makalede, bir kuruluşta Azure DevTest Labs'i dağıtmak için bir başvuru mimarisi sağlanır. Mimari aşağıdaki temel öğeleri içerir:

  • Azure ExpressRoute aracılığıyla şirket içi bağlantı
  • Sanal makinelerde (VM) uzaktan oturum açmak için bir uzak masaüstü ağ geçidi
  • Özel yapıt deposuna bağlantı
  • Laboratuvarların kullandığı diğer hizmet olarak platform (PaaS) bileşenleri

Mimari

Aşağıdaki diyagramda tipik bir DevTest Labs kurumsal dağıtımı gösterilmektedir. Bu mimari, farklı Azure aboneliklerindeki birkaç laboratuvarı bir şirketin şirket içi ağına bağlar.

Kurumsal DevTest Labs dağıtımı için başvuru mimarisini gösteren diyagram.

DevTest Labs bileşenleri

DevTest Labs, kuruluşların Azure kaynaklarına erişim sağlamasını kolaylaştırır ve hızlı hale getirir. Her laboratuvar hizmet olarak yazılım (SaaS), hizmet olarak altyapı (IaaS) ve PaaS kaynakları içerir. Laboratuvar kullanıcıları VM'ler, PaaS ortamları ve VM yapıtları oluşturabilir ve yapılandırabilir.

Önceki diyagramda, Azure Abonelik 1'deki Team Lab 1, laboratuvarların erişebileceği ve kullanabileceği Azure bileşenlerine bir örnek gösterir. Daha fazla bilgi için bkz . DevTest Labs Hakkında.

Bağlantı bileşenleri

Laboratuvarlarınızın şirket içi şirket kaynaklarına erişmesi gerekiyorsa şirket içi bağlantı gerekir. Yaygın senaryolar şunlardır:

  • Bazı şirket içi veriler buluta taşınamaz.
  • Laboratuvar VM'lerini şirket içi etki alanına eklemek istiyorsunuz.
  • Güvenlik veya uyumluluk nedeniyle tüm bulut ağ trafiğini şirket içi güvenlik duvarı üzerinden zorlamak istiyorsunuz.

Bu mimaride şirket içi ağa bağlantı için ExpressRoute kullanılır. Siteden siteye VPN de kullanabilirsiniz.

Şirket içi bir uzak masaüstü ağ geçidi , DevTest Labs'e giden uzak masaüstü protokolü (RDP) bağlantılarını etkinleştirir. Kurumsal kurumsal güvenlik duvarları genellikle şirket güvenlik duvarında giden bağlantıları engeller. Bağlantıyı etkinleştirmek için şunları yapabilirsiniz:

  • Uzak masaüstü ağ geçidi kullanın ve ağ geçidi yük dengeleyicinin statik IP adresine izin verin.
  • Tüm RDP trafiğini ExpressRoute veya siteden siteye VPN bağlantısı üzerinden yeniden yönlendirmek için zorlamalı tünel kullanın. Zorlamalı tünel, kurumsal ölçekli DevTest Labs dağıtımları için yaygın işlevlerdir.

Ağ bileşenleri

Bu mimaride, Microsoft Entra ID tüm ağlarda kimlik ve erişim yönetimi sağlar. Laboratuvar VM'lerinin genellikle erişim için bir yerel yönetim hesabı vardır. Microsoft Entra Kimliği, şirket içi veya Microsoft Entra Domain Services etki alanı varsa laboratuvar VM'lerini etki alanına katılabilirsiniz. Kullanıcılar daha sonra vm'lere bağlanmak için etki alanı tabanlı kimliklerini kullanabilir.

Azure ağ topolojisi , laboratuvar kaynaklarının şirket içi ağlara ve İnternet'e nasıl erişip bunlarla iletişim kurağını denetler. Bu mimari, kuruluşların DevTest Labs ağına ortak bir yol gösterir. Laboratuvarlar, ExpressRoute veya siteden siteye VPN bağlantısı aracılığıyla şirket içi ağa merkez-uç yapılandırmasında eşlenmiş sanal ağlarla bağlanır.

DevTest Labs doğrudan Azure Sanal Ağ kullandığından, ağ altyapısını nasıl ayarlayacağınız konusunda herhangi bir kısıtlama yoktur. Bulut trafiğini kaynak ve hedef IP adreslerine göre kısıtlamak için bir ağ güvenlik grubu ayarlayabilirsiniz. Örneğin, yalnızca şirket ağından laboratuvarın ağlarına gelen trafiğe izin vekleyebilirsiniz.

Ölçeklenebilirlik konusunda dikkat edilmesi gerekenler

DevTest Labs'in yerleşik kotaları veya sınırları yoktur, ancak laboratuvarların kullandığı diğer Azure kaynaklarının abonelik düzeyi kotaları vardır. Tipik bir kurumsal dağıtımda, büyük bir DevTest Labs dağıtımını kapsayacak birkaç Azure aboneliğine ihtiyacınız vardır. Kuruluşlar genellikle aşağıdaki kotalara ulaşır:

  • Kaynak grupları. DevTest Labs her yeni VM için bir kaynak grubu oluşturur ve laboratuvar kullanıcıları kaynak gruplarında ortamlar oluşturur. Abonelikler en fazla 980 kaynak grubu içerebilir, bu nedenle bir abonelikteki VM'lerin ve ortamların sınırı bu kadardır.

    İki strateji, kaynak grubu sınırları altında kalmanıza yardımcı olabilir:

    • Tüm VM'ler aynı kaynak grubuna gider. Bu strateji, kaynak grubu sınırını karşılamanıza yardımcı olur, ancak kaynak grubu başına kaynak türü sınırını etkiler.
    • Paylaşılan genel IP'leri kullanın. VM'lerin genel IP adreslerine sahip olması için izin veriliyorsa, aynı boyutta ve bölgede bulunan tüm VM'leri aynı kaynak grubuna yerleştirin. Bu yapılandırma hem kaynak grubu kotalarını hem de kaynak grubu başına kaynak türü kotalarını karşılamaya yardımcı olur.

  • Kaynak türü başına kaynak grubu başına kaynaklar. Kaynak türü başına kaynak grubu başına kaynaklar için varsayılan sınır 800'dür. Tüm VM'leri aynı kaynak grubuna yerleştirmek, özellikle de VM'lerde çok fazla disk varsa bu sınıra çok daha erken gelir.

  • Depolama hesapları. DevTest Labs'deki her laboratuvar bir depolama hesabıyla birlikte gelir. Abonelik başına bölge başına depolama hesabı sayısı için Azure kotası varsayılan olarak 250'dir . Bu nedenle, bir bölgedeki en fazla DevTest Lab sayısı da 250'dir. Kota artışıyla bölge başına en fazla 500 depolama hesabı oluşturabilirsiniz. Daha fazla bilgi için bkz . Azure Depolama hesabı kotalarını artırma.

  • Rol atamaları. Rol ataması, bir kullanıcıya veya sorumluya kaynağa erişim verir. Azure'da abonelik başına 2.000 rol ataması sınırı vardır.

    Varsayılan olarak, DevTest Labs her laboratuvar VM'si için bir kaynak grubu oluşturur. VM oluşturucusu, VM için sahip izni ve kaynak grubu için okuyucu izni alır. Bu nedenle her laboratuvar VM'sinde iki rol ataması kullanılır. Laboratuvara kullanıcı izinleri vermek, rol atamalarını da kullanır.

  • API okuma/yazma işlemleri. REST API'leri, PowerShell, Azure CLI ve Azure SDK'yı kullanarak Azure ve DevTest Labs'i otomatikleştirebilirsiniz. Her Azure aboneliği saatte en fazla 12.000 okuma isteğine ve 1.200 yazma isteğine izin verir. DevTest Labs'i otomatikleştirerek API isteklerinde sınıra basabilirsiniz.

Yönetilebilirlik konusunda dikkat edilmesi gerekenler

Aynı anda tek bir DevTest Labs örneğini yönetmek için Azure portalını kullanabilirsiniz, ancak kuruluşların yönetebileceği birden çok Azure aboneliği ve çok sayıda laboratuvar olabilir. Tüm laboratuvarlarda tutarlı değişiklikler yapmak için betik otomasyonu gerekir.

DevTest Labs dağıtımlarında betik kullanmaya ilişkin bazı örnekler aşağıda verilmiştir:

  • Laboratuvar ayarları değiştiriliyor. PowerShell betikleri, Azure CLI veya REST API'lerini kullanarak tüm laboratuvarlarda belirli bir laboratuvar ayarını güncelleştirin. Örneğin, tüm laboratuvarları yeni bir VM örneği boyutuna izin verecek şekilde güncelleştirin.

  • Yapıt deposu kişisel erişim belirteçlerini (PAT) güncelleştirme. Git depoları için PAT'ların süresi genellikle 90 gün, bir yıl veya iki yıl içinde dolar. Sürekliliği sağlamak için PAT'yi genişletmek önemlidir. Alternatif olarak, yeni bir PAT oluşturun ve tüm laboratuvarlara uygulamak için otomasyonu kullanın.

  • Laboratuvar ayarlarında yapılan değişiklikleri kısıtlama. Market görüntüsü kullanımına izin verme gibi belirli ayarları kısıtlamak için Azure İlkesi kullanarak kaynak türünde değişiklik yapılmasını engelleyebilirsiniz. İsterseniz özel bir rol oluşturabilir ve kullanıcılara yerleşik laboratuvar rolü yerine bu rolü vekleyebilirsiniz. İç destek, laboratuvar duyuruları ve izin verilen VM boyutları gibi çoğu laboratuvar ayarı için değişiklikleri kısıtlayabilirsiniz.

  • VM'ler için adlandırma kuralı uygulama. bulut tabanlı ortamlardaki VM'leri tanımlamaya yardımcı olan bir adlandırma düzeni belirtmek için Azure İlkesi kullanabilirsiniz.

DevTest Labs için Azure kaynaklarını diğer amaçlarla olduğu gibi yönetirsiniz. Örneğin, Azure İlkesi laboratuvarda oluşturduğunuz VM'ler için geçerlidir. Bulut için Microsoft Defender laboratuvar VM uyumluluğunu bildirebilir. Azure Backup, laboratuvar VM'leri için düzenli yedeklemeler sağlayabilir.

Güvenlik konuları

DevTest Labs, yerleşik Azure güvenlik özelliklerinden otomatik olarak yararlanır. Gelen uzak masaüstü bağlantılarının yalnızca şirket ağından kaynaklandığını zorunlu kılması için, uzak masaüstü ağ geçidindeki sanal ağa bir ağ güvenlik grubu ekleyebilirsiniz.

Güvenlikle ilgili dikkat edilmesi gereken bir diğer nokta da laboratuvar kullanıcılarına verdiğiniz izin düzeyidir. Laboratuvar sahipleri, kullanıcılara rol atamak ve kaynak ile erişim düzeyi izinleri ayarlamak için Azure rol tabanlı erişim denetimini (Azure RBAC) kullanır. En yaygın DevTest Labs izinleri Sahip, Katkıda Bulunan ve Kullanıcı'dır. Ayrıca özel roller oluşturabilir ve atayabilirsiniz. Daha fazla bilgi için bkz . Azure DevTest Labs'de sahip ve kullanıcı ekleme.

Sonraki adımlar

Bu serideki bir sonraki makaleye bakın: Kavram kanıtı sunma.