DevTest Labs vállalati referenciaarchitektúra

Ez a cikk egy referenciaarchitektúrát tartalmaz az Azure DevTest Labs vállalati környezetben való üzembe helyezéséhez. Az architektúra a következő főbb elemeket tartalmazza:

  • Helyszíni kapcsolat az Azure ExpressRoute-on keresztül
  • Távoli asztali átjáró virtuális gépekre történő távoli bejelentkezésekhez
  • Privát összetevő-adattárhoz való csatlakozás
  • Más szolgáltatásként nyújtott platform (PaaS) összetevők, amelyeket a laborok használnak

Architecture

Az alábbi ábra egy tipikus DevTest Labs vállalati üzembe helyezést mutat be. Ez az architektúra több különböző Azure-előfizetésben lévő tesztkörnyezetet csatlakoztat egy vállalat helyszíni hálózatához.

Egy vállalati DevTest Labs-telepítés referenciaarchitektúrájának ábrája.

DevTest Labs-összetevők

A DevTest Labs segítségével a vállalatok egyszerűen és gyorsan hozzáférhetnek az Azure-erőforrásokhoz. Minden tesztkörnyezet szoftvert szolgáltatásként (SaaS), infrastruktúrát szolgáltatásként (IaaS) és platformszolgáltatásokat (PaaS) tartalmaz. A tesztkörnyezet felhasználói virtuális gépeket, PaaS-környezeteket és virtuálisgép-összetevőket hozhatnak létre és konfigurálhatnak.

Az előző ábrán a Team Lab 1 az Azure Subscription 1-ben olyan Azure-összetevőket mutat be, amelyeket a tesztkörnyezetek hozzáférhetnek és használhatnak. További információ: About DevTest Labs.

Connectivity components

Helyszíni kapcsolatra van szükség, ha a laboroknak hozzá kell férniük a helyszíni vállalati erőforrásokhoz. Gyakori forgatókönyvek a következők:

  • Egyes helyszíni adatok nem helyezhetők át a felhőbe.
  • Laboratóriumi virtuális gépeket szeretne csatlakoztatni egy helyszíni tartományhoz.
  • Az összes felhőbeli hálózati forgalmat egy helyszíni tűzfalon szeretné kikényszeríteni a biztonság vagy a megfelelőség érdekében.

Ez az architektúra az ExpressRoute-t használja a helyszíni hálózathoz való kapcsolódáshoz. A helyek közötti VPN-t is használhatja.

A helyszíni távoli asztali átjáró lehetővé teszi a kimenő távoli asztali protokoll (RDP) kapcsolatok létesítését a DevTest Labs felé. A vállalatok általában letiltják a kimenő kapcsolatokat a vállalati tűzfalon. A kapcsolat engedélyezéséhez a következő lehetőségeket használhatja:

  • Használjon távoli asztali átjárót, és engedélyezze az átjáró terheléselosztójának statikus IP-címét.
  • Kényszerített bújtatással átirányíthatja az összes RDP-forgalmat az ExpressRoute-ra vagy a helyek közötti VPN-kapcsolatra. A kényszerített bújtatás gyakori funkció a nagyvállalati szintű DevTest Labs-környezetekben.

Networking components

Ebben az architektúrában a Microsoft Entra ID minden hálózat identitás- és hozzáférés-kezelését biztosítja. A tesztkörnyezeti virtuális gépek általában helyi rendszergazdai fiókkal rendelkeznek a hozzáféréshez. Ha elérhető egy Microsoft Entra-azonosító, helyszíni vagy Microsoft Entra Domain Services-tartomány , csatlakoztathatja a tesztkörnyezeti virtuális gépeket a tartományhoz. A felhasználók ezután a tartományalapú identitásukkal csatlakozhatnak a virtuális gépekhez.

Az Azure hálózati topológiája szabályozza, hogy a laborerőforrások hogyan férnek hozzá és kommunikáljanak a helyszíni hálózatokkal és az internettel. Ez az architektúra egy gyakori módszert mutat be, amelyet a vállalatok használnak a DevTest Labs hálózatára. A laboratóriumok összekapcsolt virtuális hálózatokkal csillagszerű konfigurációban csatlakoznak, az ExpressRoute vagy a helyek közötti VPN-kapcsolaton keresztül, a helyszíni hálózathoz.

Mivel a DevTest Labs közvetlenül az Azure Virtual Network-t használja, nincs korlátozás a hálózati infrastruktúra beállítására. Beállíthat egy hálózati biztonsági csoportot , amely a forrás- és cél IP-címek alapján korlátozza a felhő forgalmát. Engedélyezheti például, hogy csak a vállalati hálózatból származó forgalom hasson a labor hálózatára.

Scalability considerations

A DevTest Labs nem rendelkezik beépített kvótákkal vagy korlátozásokkal, de a tesztkörnyezetek által használt egyéb Azure-erőforrások előfizetésszintű kvótákkal rendelkeznek. Egy tipikus nagyvállalati üzembe helyezéshez több Azure-előfizetésre van szükség egy nagy DevTest Labs-telepítés lefedéséhez. A vállalatok általában a következő kvótákat érik el:

  • Resource groups. A DevTest Labs minden új virtuális géphez létrehoz egy erőforráscsoportot, a tesztkörnyezetek felhasználói pedig erőforráscsoportokban hoznak létre környezeteket. Az előfizetések legfeljebb 980 erőforráscsoportot tartalmazhatnak, így ez az előfizetésben lévő virtuális gépek és környezetek korlátja.

    Két stratégia segíthet az erőforráscsoport korlátain belül maradni:

    • Helyezze az összes virtuális gépet ugyanabba az erőforráscsoportba. Ez a stratégia segít az erőforráscsoport-korlát betartásában, de hatással van az erőforrástípusonkénti korlátra.
    • Megosztott nyilvános IP-címek használata. Ha a virtuális gépek nyilvános IP-címekkel rendelkeznek, helyezze az azonos méretű és régiós virtuális gépeket ugyanabba az erőforráscsoportba. Ez a konfiguráció segíthet az erőforráscsoport-kvóták és az erőforráscsoportonkénti erőforrástípus-kvóták teljesítésében.
  • Erőforrások erőforráscsoportonként, erőforrástípusonként. Az erőforrások erőforráscsoportonkénti alapértelmezett korlátja erőforrástípusonként 800. Ha az összes virtuális gépet ugyanabba az erőforráscsoportba helyezi, sokkal hamarabb éri el ezt a korlátot, különösen akkor, ha a virtuális gépeken sok extra lemez található.

  • Storage accounts. A DevTest Labs minden laborja rendelkezik tárfiókkal. Az előfizetésenként régiónkénti tárfiókok számának Azure-kvótája alapértelmezés szerint 250 . Így a DevTest Labs maximális száma egy régióban szintén 250. A kvótanöveléssel régiónként akár 500 tárfiókot is létrehozhat. További információ: Azure Storage-fiókkvóták növelése.

  • Role assignments. A szerepkör-hozzárendelések hozzáférést biztosítanak egy felhasználónak vagy az egyszerű felhasználónak egy erőforráshoz. Az Azure-nak előfizetésenként legfeljebb 4000 szerepkör-hozzárendelése van.

    Alapértelmezés szerint a DevTest Labs minden tesztkörnyezeti virtuális géphez létrehoz egy erőforráscsoportot. A virtuális gép létrehozója tulajdonosi engedélyt kap a virtuális gépre, és olvasói engedélyt kap az erőforráscsoportra. Ezért minden tesztkörnyezeti virtuális gép két szerepkör-hozzárendelést használ. Ha felhasználói engedélyeket ad a labornak, szerepkör-hozzárendeléseket is használ.

  • API reads/writes. Az Azure-t és a DevTest Labs-t REST API-k, PowerShell, Azure CLI és Azure SDK használatával automatizálhatja. Minden Azure-előfizetés legfeljebb 12 000 olvasási kérést és óránként 1200 írási kérést tesz lehetővé. Ha automatizálja a DevTest Labst, elérheti az API-kérések korlátját.

Manageability considerations

Az Azure Portal használatával egyszerre egyetlen DevTest Labs-példányt kezelhet, de a nagyvállalatok több Azure-előfizetéssel és számos felügyeleti tesztkörnyezetben is rendelkezhetnek. Az összes tesztkörnyezetben egységesen végzett módosítások szkriptek automatizálását igénylik.

Íme néhány példa a szkriptelés DevTest Labs-környezetekben való használatára:

  • Tesztkörnyezet beállításainak módosítása. Az összes tesztkörnyezetben frissíthet egy adott tesztkörnyezeti beállítást PowerShell-szkriptek, Azure CLI vagy REST API-k használatával. Frissítse például az összes laboratóriumot, hogy egy új virtuális géppéldány méretét lehessen használni.

  • Az összetevő-adattár személyes hozzáférési jogkivonatainak (PAT-k) frissítése. A Git-adattárak paT-jai általában 90 nap, egy vagy két év múlva lejárnak. A folytonosság biztosítása érdekében fontos kiterjeszteni a PAT-t. Vagy létrehozhat egy új PAT-t, és automatizálással alkalmazhatja az összes tesztkörnyezetben.

  • A tesztkörnyezet beállításainak módosításának korlátozása. Az olyan beállítások korlátozására, mint például a Marketplace-rendszerképek használata, az Azure Policy segítségével megakadályozhatja a módosításokat egy erőforrástípusnál. Létrehozhat egyéni szerepkört is, és a felhasználók számára ezt a szerepkört adhatja meg a beépített laborszerepkör helyett. Korlátozhatja a legtöbb tesztkörnyezeti beállítás módosításait, például a belső támogatást, a tesztkörnyezeti bejelentéseket és az engedélyezett virtuálisgép-méreteket.

  • Elnevezési konvenció alkalmazása virtuális gépekre. Az Azure Policy használatával megadhat egy elnevezési mintát , amely segít azonosítani a felhőalapú környezetekben lévő virtuális gépeket.

A DevTest Labs Azure-erőforrásait ugyanúgy kezelheti, mint más célokra. Az Azure Policy például a tesztkörnyezetben létrehozott virtuális gépekre vonatkozik. Felhőhöz készült Microsoft Defender jelentéskészítést végezhet a tesztkörnyezeti virtuális gépek megfelelőségéről. Az Azure Backup rendszeres biztonsági mentéseket biztosít a tesztkörnyezeti virtuális gépekhez.

Security considerations

A DevTest Labs automatikusan kihasználja az Azure beépített biztonsági funkcióit. Ha azt szeretné, hogy a bejövő távoli asztali kapcsolatok csak a vállalati hálózatról származjanak, hozzáadhat egy hálózati biztonsági csoportot a távoli asztali átjáró virtuális hálózatához.

Egy másik biztonsági szempont az a jogosultsági szint, amelyet a tesztkörnyezet felhasználóinak ad meg. A labortulajdonosok azure-beli szerepköralapú hozzáférés-vezérléssel (Azure RBAC) rendelnek szerepköröket a felhasználókhoz, és erőforrás- és hozzáférési szintű engedélyeket állíthatnak be. A DevTest Labs leggyakoribb engedélyei a tulajdonos, a közreműködő és a felhasználó. Egyéni szerepköröket is létrehozhat és hozzárendelhet. További információ: Tulajdonosok és felhasználók hozzáadása az Azure DevTest Labsban.

Next step

Tekintse meg a következő cikket ebben a sorozatban: A koncepció igazolása