Azure 實驗室服務中的架構基礎

重要

Azure 實驗室服務將於 2027 年 6 月 28 日淘汰。如需詳細資訊，請參閱淘汰指南。

注意

本文參考實驗室計畫中可用的功能，取代實驗室帳戶。

Azure 實驗室服務是 SaaS (軟體即服務) 解決方案，這表示其會為你管理 Azure 實驗室服務所需的基礎結構資源。本文涵蓋 Azure 實驗室服務所使用的基本資源，以及實驗室的基本架構。

雖然 Azure 實驗室服務是受控服務，但您可以設定服務來與您自己的資源整合。例如，使用虛擬網路插入將實驗室虛擬機連線到您自己的網路，而不是使用虛擬網路對等互連。或藉由連結 Azure Compute Gallery 來重複使用您自己的自訂虛擬機映像。

下圖顯示未啟用進階網路功能的實驗室基本架構。實驗室計劃裝載於您的訂用帳戶中。實驗室虛擬機器以及為了支援虛擬機器所需的資源，都裝載於 Azure 實驗室服務所擁有的訂用帳戶中。

Azure 實驗室服務中基本實驗室的架構圖表。

裝載的資源

Azure 實驗室服務會裝載資源，以在其中一個 Microsoft 管理的 Azure 訂用帳戶中執行實驗室。這些資源包括：

Azure 會監視這些受控訂用帳戶是否有可疑活動。請務必注意，這項監視是透過 VM 擴充功能或網路模式監視，在虛擬機器外部進行。如果啟用了在中斷連線時關機的功能，則虛擬機器會啟用診斷擴充功能。此擴充功能可讓 Azure 實驗室服務收到遠端桌面通訊協定 (RDP) 工作階段中斷連線事件的通知。

依預設，每個實驗室都會由自己的虛擬網路加以隔離。

實驗室使用者會透過負載平衡器連線到其實驗室虛擬機器。實驗室虛擬機器沒有公用 IP 位址，只會有私人 IP 位址。遠端連線到實驗室虛擬機的連接字串會使用負載平衡器的公用 IP 位址，以及下列之間的隨機埠：

視作業系統而定，負載平衡器上的輸入規則會將連線轉送到實驗室虛擬機器的連接埠 22 (SSH) 或連接埠 3389 (RDP)。網路安全組 (NSG) 會封鎖對任何其他埠的外部流量。

如果實驗室使用進階網路功能，則每個實驗室都會使用相同的子網委派給 Azure 實驗室服務，並聯機到實驗室計劃。您也會負責建立具有輸入安全性規則的 NSG，以允許 RDP 和 SSH 流量，讓實驗室使用者可以連線到其 VM。

Azure 實驗室服務會管理不同層級實驗室虛擬機的存取權：

啟動或停止實驗室 VM。 Azure 實驗室服務會授與實驗室用戶許可權，以在自己的虛擬機上執行這類動作。服務也會控制實驗室虛擬機聯機資訊的存取。
註冊實驗室。 Azure 實驗室服務提供兩種不同的存取設定：受限制和不受限制。 受限制的存取表示，Azure 實驗室服務會先確認實驗室使用者是否已新增至實驗室，然後再確定是否允許存取。 非限制存取表示，只要實驗室中有容量，任何使用者都可以使用實驗室註冊連結來註冊實驗室。不受限存取對於駭客松活動很有用。如需詳細資訊，請參閱管理實驗室使用者一文。
虛擬機器認證。裝載於實驗室的實驗室虛擬機器會由實驗室建立者設定使用者名稱和密碼。或者，實驗室建立者也可以讓已註冊的使用者在第一次登入時選擇自己的密碼。