Azure 實驗室服務 - 使用實驗室帳戶時的管理員指南
重要
Azure Lab Services 將於 2027 年 6 月 28 日淘汰。 如需詳細資訊,請參閱淘汰指南。
重要
本文中的資訊適用於實驗室帳戶。 Azure 實驗室服務實驗室計畫取代實驗室帳戶。 了解如何從建立實驗計畫開始。 對於現有的實驗室帳戶客戶,建議您從實驗室帳戶遷移至實驗室計劃。
管理大學雲端資源的資訊技術 (IT) 管理員通常負責為其學校設定實驗室帳戶。 管理員或授課者在設定好實驗室帳戶後,便會建立屬於該帳戶的實驗室。 本文提供相關 Azure 資源的高階概述以及建立概述的指引。
- 實驗室是在 Azure 實驗室服務所管理的 Azure 訂用帳戶下加以託管。
- 實驗室帳戶、共用映像庫、映像版本是在您的訂用帳戶下託管。
- 您可以將您的實驗室帳戶和共用映像庫放在相同的資源群組中。 在此圖中,其位於不同的資源群組。
如需有關架構的詳細資料,請參閱實驗室架構基本概念。
訂用帳戶
您的大學可能有一或多個 Azure 訂用帳戶。 您使用訂用帳戶來管理在帳戶中所使用所有 Azure 資源和服務的計費和安全性,包括實驗室帳戶。
實驗室帳戶和其訂用帳戶之間的關聯性很重要,因為:
- 帳單是透過包含實驗室帳戶的訂用帳戶來回報。
- 您可以向訂用帳戶的 Microsoft Entra 租用戶中的使用者授與 Azure 實驗室服務的存取權。 您可以將使用者新增為實驗室帳戶擁有者或參與者,或新增為實驗室建立者或實驗室擁有者。
實驗室及其虛擬機器 (VM) 是在 Azure 實驗室服務所管理的訂用帳戶下管理及託管。
資源群組
訂用帳戶包含一或多個資源群組。 資源群組是用來建立 Azure 資源的邏輯分組,以在相同的解決方案中一起使用。
當您建立實驗室帳戶時,您必須設定包含該實驗室帳戶的資源群組。
建立共用映像庫時,也需要資源群組。 您可以將實驗室帳戶和共用映像庫放在相同的資源群組或兩個不同的資源群組中。 如果您打算跨各種解決方案共用映像庫,則可能會需要採用第二種方法。
當您建立實驗室帳戶時,可以同時自動建立和連結共用映像庫。 這個做法會導致實驗室帳戶和共用映像庫在不同的資源群組中建立。 在遵循在建立實驗室帳戶時設定共用映像庫教學課程所述的步驟時,您會看到這項行為。 本文開頭的映像會使用此設定。
建議您事先投入時間來規劃資源群組的結構。 實驗室帳戶或共用映像庫資源群組建立後便無法變更。 如果您需要變更這些資源的資源群組,則必須刪除並重新建立實驗室帳戶或共用映像庫。
實驗室帳戶
實驗室帳戶可做為一或多個實驗室的容器。 開始使用 Azure 實驗室服務時,最常只有一個實驗室帳戶。 當您的實驗室使用量規模擴大時,您稍後可以選擇建立更多的實驗室帳戶。
以下清單重點介紹可能有益於多個實驗室帳戶的案例:
跨實驗室管理不同的原則需求
當您設定實驗室帳戶時,可以設定套用至實驗室帳戶下「所有」實驗室的原則,例如:
Azure 虛擬網路,具有實驗室可存取的共用資源。 例如,您可能有一組實驗室需要存取虛擬網路中的共用資料集。
實驗室可用來建立 VM 的虛擬機器映像。 例如,您可能有一組實驗室需要存取 Linux 資料科學 VM 的 Azure Marketplace 映像。
如果每個實驗室都有獨特的原則需求,則建立個別的實驗室帳戶來個別管理每個實驗室可能很有助益。
向每個實驗室帳戶指派不同的預算
除了透過單一實驗室帳戶回報所有實驗室成本,您可能需要更清楚分配的預算。 例如,您可以為大學的數學系、資訊科學系等建立不同的實驗室帳戶,以將預算分給各系。 接著,您可以使用 Azure 成本管理檢視每個個別實驗室帳戶的成本。
隔離試驗實驗室和作用或生產實驗室
在某些情況下,您可能會想要變更實驗室帳戶的試驗原則,而不影響作用中的實驗室或生產實驗室。 在這種情況下,為試驗目的建立個別的實驗室帳戶,可讓您隔離變更。
實驗室
實驗室包含每個指派給單一學生的 VM。 一般來說,您可以預期:
- 每個課程都有一個實驗室。
- 針對您所使用的每學期、每學季或其他學術系統,建立一組新的實驗室。 對於需要使用相同映像的課程,您應該使用共用映像庫。 如此一來,您就可以跨實驗室和學術期間重複使用映像。
在決定如何規劃您的實驗室結構時,請考慮下列幾點:
實驗室中的所有 VM 都使用相同的已發佈映像進行部署
因此,如果您的課程需要在同一時間發佈不同的實驗室映像,則必須為每個映像建立個別的實驗室。
使用量配額是在實驗室層級設定,並套用至實驗室內的所有使用者
若要為使用者設定不同的配額,您必須建立個別的實驗室。 不過,在您設定實驗室的配額之後,可以為特定使用者增加更多時數。
啟動或關閉排程是在實驗室層級設定,並套用至實驗室內的所有 VM
類似於配額設定,如果您需要為使用者設定不同的排程,則必須為每個排程建立個別的實驗室。
依預設,每個實驗室都有自己的虛擬網路。 如果您已啟用虛擬網路對等互連,每個實驗室會有自己的子網路,且與指定的虛擬網路對等互連。
共用映像庫
共用映像庫會連結至實驗室帳戶,並做為儲存映像的中央存放庫。 當授課者選擇從實驗室的範本 VM 匯出時,映像會儲存在映像庫中。 每次授課者對範本 VM 進行變更並匯出範本 VM 時,就會在資源庫中建立新的映像定義和\或版本。
授課者可以在建立新的實驗室時,從共用映像庫發佈映像版本。 雖然映像庫會儲存映像的多個版本,但授課者只能在建立實驗室期間選取最新版本。 依序根據 MajorVersion 的最高值、MinorVersion、Patch,選擇最新版本。 如需版本設定的詳細資訊,請參閱映像版本。
共用映像庫服務是選擇性的資源,在一開始只有幾個實驗室時可能不是立即需要。 不過,共用映像庫可提供許多優點,在您擴大至更多實驗室時非常有用:
您可以儲存及管理範本 VM 映像的版本
對於建立自訂映像或是對 Azure Marketplace 資源庫中的映像進行變更 (軟體、設定等等) 非常有用。 例如,授課者通常需要安裝不同的軟體或工具。 不同版本的範本 VM 映像可以匯出至共用映像庫,而不需要學生自行手動安裝這些必要條件。 然後,您可以在建立新的實驗室時使用這些映像版本。
您可以跨實驗室共用及重複使用範本 VM 映像
您可以儲存並重複使用映像,如此一來,您就不需要在每次建立新的實驗室時從頭設定映像。 例如,如果多個課程需要使用相同的映像,您可以建立一次映像,並將其匯出至共用映像庫,以便跨實驗室共用。
您可以從實驗室外部的其他環境上傳您自己的自訂映像
您可以在實驗室內容之外上傳其他環境的自訂映像。 例如,您可以從自己的實體實驗室環境,或從 Azure VM 將映像上傳至共用映像庫。 將映像匯入資源庫之後,您接著就可以使用映像來建立實驗室。
若要運用邏輯將共用映像分組,您可以進行下列其中一項操作:
- 建立多個共用映像庫。 每個實驗室帳戶只能與一個共用映像庫連線,因此,此做法也會需要您建立多個實驗室帳戶。
- 請使用由多個實驗室帳戶共用的單一共用映像庫。 在此案例中,每個實驗室帳戶只能啟用適用於該帳戶中實驗室的映像。
命名
當您開始使用 Azure 實驗室服務時,建議您為 Azure 和 Azure 實驗室服務相關資源建立命名慣例。 雖然您所建立的命名慣例是針對貴組織的需求而設,但下表提供了一般準則:
資源類型 | 角色 | 建議模式 | 範例 |
---|---|---|---|
資源群組 | 包含一個或多個實驗室計畫、實驗室和/或共用映像庫。 | {org-name}labs-{env}-rg, {dept-name}labs-rg | contosolabs-rg, contosolabs-pilot-rg, contosolabs-prod-rg, mathdept-rg |
實驗室帳戶 | 包含一或多個實驗室。 | {org-name}-{env}-la, {dept-name}-{env}-la | contoso-la, mathdept-la, cs-pilot-la |
實驗室 | 包含一個或多個學生 VM。 | {class-name}-{time}-{educator} | CS101-Fall2021, CS101-Fall2021-JohnDoe |
共用映像庫 | 包含一或多個 VM 映像版本 | {org-name}-sig, {dept-name}-sig | contoso-sig, mathdept-sig |
在上表中,我們使用建議名稱模式中的一些字詞和權杖。 讓我們更詳細地探討這些字詞。
模式字詞/權杖 | 定義 | 範例 |
---|---|---|
{org-name} | 組織簡短名稱的權杖,不含空格。 | contoso |
{dept-name} | 組織部門簡短名稱的權杖。 | math, bio, cs |
{env} | 環境名稱的權杖 | 生產環境,小型測試的試驗 |
{class-name} | 受支援課程的簡短名稱或程式碼的權杖。 | CS101, Bio101 |
{educator} | 執行實驗室的授課者別名。 | johndoe |
{time} | 提供課程時間的簡短名稱權杖 (不含空格)。 | Spring2021, Dec 2021 |
rg | 表示資源是資源群組。 | |
/a | 表示資源是實驗室帳戶。 | |
sig | 表示資源是共用映像庫。 |
如需有關命名其他 Azure 資源的詳細資訊,請參閱適用於 Azure 資源的命名慣例。
區域/位置
設定 Azure 實驗室服務的資源時,您必須提供託管該資源的資料中心所在區域 (或位置)。 後續小節說明區域或位置如何影響與設定實驗室相關的每個資源。
資源群組
區域會指定用於儲存資源群組相關資訊的資料中心。 資源群組包含的 Azure 資源可以位於與其父代不同的區域中。
實驗室帳戶
實驗室帳戶的位置會指出資源所在的區域。
實驗室
實驗室存在的位置會根據下列因素而有所不同:
實驗室帳戶與虛擬網路對等互連
當實驗室帳戶與虛擬網路位於相同區域時,您可以將實驗室帳戶與虛擬網路對等互連。 當實驗室帳戶與虛擬網路對等互連時,會在與實驗室帳戶和虛擬網路相同的區域中自動建立實驗室。
注意
當實驗室帳戶與虛擬網路對等互連時時,會停用 [允許實驗室建立者挑選實驗室位置] 設定。 如需詳細資訊,請參閱允許實驗室建立者挑選實驗室的位置。
沒有與任何虛擬網路對等互連,而且不允許實驗室建立者挑選實驗室位置
當「沒有」任何虛擬網路與實驗室帳戶對等互連,而且不允許實驗室建立者挑選實驗室位置時,就會在具有可用 VM 容量的區域中自動建立實驗室。 具體而言,Azure 實驗室服務會在與實驗室帳戶位於相同地理位置的區域中尋找可用性。
沒有與任何虛擬網路對等互連,而且不允許實驗室建立者挑選實驗室位置
當「沒有」任何虛擬網路對等互連,而且允許實驗室建立者挑選實驗室位置時,實驗室建立者可選取的位置會取決於可用的容量。
注意
為了確保區域中有足夠的 VM 容量,請務必先在建立實驗室時,透過實驗室帳戶要求容量。
一般規則是將資源的區域設定為最接近其使用者的地區。 以實驗室而言,這表示要建立最接近您學生的實驗室。 以所有學生來自世界各地的線上課程而言,請做出最佳的判斷,在中心位置建立實驗室。 或者,您可以根據學生的區域,將課程分割成多個實驗室。
VM 大小調整
當管理員或實驗室建立者建立實驗室時,他們可以依據其教室的需求,從各種 VM 大小中進行選擇。 請記住,大小可用性取決於實驗室帳戶所在的區域。
在下表中,請注意有幾個 VM 大小對應至多個 VM 系列。 根據可用的容量,實驗室服務可以使用針對 VM 大小列出的任何 VM 系列。 定價取決於 VM 大小,不論針對該特定大小使用的 VM 系列實驗室服務是哪一種,定價都會相同。 如需每個 VM 大小的定價詳細資訊,請參閱實驗室服務定價指南。
大小 | vCPU | 記憶體 (GB) | 數列 | 建議的使用 |
---|---|---|---|---|
Small | 2 | 4 | A2_v2 | 最適合用於命令列、開啟網頁瀏覽器、低流量網頁伺服器、小型至中型資料庫。 |
中 | 4 | 8 | A4_v2 | 最適合用於關聯式資料庫、記憶體內部快取及分析。 |
大型 | 8 | 16 | A8_v2 | 最適合用於需要更快 CPU、更高本機磁碟效能、大型資料庫、大型記憶體快取的應用程式。 |
中型 (巢狀虛擬化) | 4 | 16 | D4s_v3 | 最適合用於關聯式資料庫、記憶體內部快取及分析。 此大小支援巢狀虛擬化。 |
大型 (巢狀虛擬化) | 8 | 32 | D8s_v3 | 最適合用於需要更快 CPU、更高本機磁碟效能、大型資料庫、大型記憶體快取的應用程式。 此大小支援巢狀虛擬化。 |
GPU 大小
大小 | vCPU | 記憶體 (GB) | 數列 | 建議的使用 | GPU/Accelerator | 加速器記憶體 (GB) |
---|---|---|---|---|---|---|
小型 GPU (計算) | 8 | 56 | NC8asT4_v3 | AI 和深度學習等電腦密集型應用程式 | NVIDIA Tesla T4 | 16 |
6 | 112 | NC6s_v3 | AI 和深度學習等電腦密集型應用程式 | NVIDIA Tesla V100 | 16 | |
小型 GPU (視覺化) | 12 | 110 | NV12ads_A10_v5 | 遠端視覺效果和串流 | NVIDIA A10 (1/3) | 8 |
中型 GPU (視覺化) | 18 | 220 | NV18ads_A10_v5 | 遠端視覺效果和串流 | NVIDIA A10 (1/2) | 12 |
12 | 112 | NV12_v3 | 遠端視覺效果和串流 | NVIDIA Tesla M60 | 8 |
管理身分識別
藉由使用 [Azure 角色型存取控制 (RBAC)] 來存取實驗室帳戶和實驗室,您可以指派下列角色:
實驗室帳戶擁有者
建立實驗室帳戶的管理員會自動被指派為實驗室帳戶擁有者的角色。 擁有者角色可以:
- 變更實驗室帳戶的設定。
- 將實驗室帳戶的存取權授與其他系統管理員 (授與擁有者或參與者的身分)。
- 將實驗室的存取權授與授課者 (授與建立者、擁有者或參與者的身分)。
- 在實驗室帳戶中建立和管理所有實驗室。
實驗室帳戶參與者
受指派參與者角色的管理員可以:
- 變更實驗室帳戶的設定。
- 在實驗室帳戶中建立和管理所有實驗室。
不過,參與者無法將實驗室帳戶或實驗室的存取權授與其他使用者。
實驗室建立者
若要在實驗室帳戶中建立實驗室,授課者必須是實驗室建立者角色的成員。 系統會自動將建立實驗室的授課者新增為實驗室擁有者。 如需詳細資訊,請參閱 [將使用者新增至實驗室建立者角色]。
實驗室擁有者或參與者
實驗室擁有者或參與者角色中的授課者可以檢視和變更實驗室的設定。 該人員也必須是實驗室帳戶讀者角色的成員。
實驗室擁有者和參與者角色之間的主要差異在於,只有擁有者可以授與其他使用者管理實驗室的存取權。 參與者「無法」授與其他使用者管理實驗室的存取權。
共用映像庫
當您將共用映像庫連結至實驗室帳戶時,實驗室帳戶擁有者和參與者與實驗室建立者、實驗室擁有者和實驗室參與者會自動獲得可以檢視和儲存映像庫中映像的存取權。
當您指派角色時,請遵守以下提示:
- 一般而言,只有系統管理員必須是實驗室帳戶擁有者或參與者角色。 實驗室帳戶可能有一個以上的擁有者或參與者。
- 若要讓授課者能夠建立新的實驗室並管理他們建立的實驗室,只需要為其指派實驗室建立者角色即可。
- 若要讓授課者能夠管理特定實驗室,但不能建立新的實驗室,請針對其所管理的每個實驗室,將其指派為擁有者或參與者角色。 例如,您可能會想要讓教授和助教共同擁有實驗室。 如需詳細資訊,請參閱新增擁有者至實驗室。
內容篩選
您的學校可能需要執行內容篩選,以避免學生存取不適當的網站。 例如,為了符合兒童網際網路保護法案 (CIPA)。 實驗室服務不會提供內建的內容篩選支援。
學校通常會考慮進行的內容篩選方法有兩種:
- 設定防火牆以篩選網路層級的內容。
- 直接在執行內容篩選的每部電腦上安裝協力廠商軟體。
實驗室服務目前不支援第一種方法。 實驗室服務會在 Microsoft 管理的 Azure 訂用帳戶內裝載每個實驗室的虛擬網路。 因此,您無法存取基礎虛擬網路以在網路層級執行內容篩選。 如需實驗室服務架構的詳細資訊,請閱讀架構基本概念一文。
相反地,建議您使用第二種方法,也就是在每個實驗室的範本 VM 上安裝協力廠商軟體。 在此解決方案中,有幾個重點要醒目提示:
- 如果您打算使用自動關機設定,則必須使用協力廠商軟體將數個 Azure 主機名稱解除封鎖。 自動關機設定使用的診斷延伸模組必須能夠與實驗室服務進行通訊。 否則,無法針對實驗室啟用自動關機設定。
- 您可能也需要讓每位學生在其 VM 上使用非系統管理員帳戶,讓他們無法將內容篩選軟體解除安裝。 根據預設,實驗室服務會建立系統管理員帳戶,讓每位學生用來登入其 VM。 您可以使用特製化映像來新增非系統管理員帳戶,但有一些已知限制。
如果您的學校需要執行內容篩選,請透過 Azure 實驗室服務的論壇與我們連絡,以取得詳細資訊。
端點管理
許多端點管理工具 (例如 Microsoft Configuration Manager) 都需要 Windows VM 具有唯一的電腦安全性識別碼 (SID)。 使用 SysPrep 來建立一般化映像通常可確保當 VM 從映像開機時,每部 Windows 電腦都會產生新的唯一電腦 SID。
使用實驗室服務時,即使您使用一般化映像來建立實驗室,範本 VM 和學生 VM 全都會有相同的電腦 SID。 VM 具有相同的 SID,因為範本 VM 的映像在發佈以建立學生 VM 時,會處於特殊狀態。
例如,Azure Marketplace 映像會一般化。 如果您從 Win 10 市集映像建立實驗室並發佈範本 VM,實驗室內的所有學生 VM 都會有與範本 VM 相同的機器 SID。 您可以使用 PsGetSid 之類的工具來驗證電腦 SID。
如果您打算使用端點管理工具或類似的軟體,建議您使用實驗室 VM 進行測試,以確保其可在機器 SID 相同時正常運作。
定價
Azure 實驗室服務
若要了解定價,請參閱 Azure 實驗室服務定價。
共用映像庫
如果您打算使用共用映像庫來儲存及管理映像版本,您也需要考慮共用映像庫服務的價格。
建立共用映像庫並連結至您的實驗室帳戶是免費的。 在您將映像版本儲存至映像庫之前,並不會產生費用。 使用共用映像庫的價格通常相當低廉,但請務必了解其計算方式,因為共用映像庫不包含在 Azure 實驗室服務的價格中。
儲存體費用
若要儲存映像版本,共用映像庫預設會使用標準硬碟 (HDD) 受控磁碟。 搭配實驗室服務使用共用映像庫時,建議您使用 HDD 受控磁碟。 所使用之 HDD 受控磁碟的大小取決於所儲存映像版本的大小。 實驗室服務支援最多 128 GB 的映像和磁碟大小。 若要了解定價,請參閱受控磁碟定價。
複寫和網路輸出費用
當您使用實驗室的範本 VM 儲存映像版本時,Azure 實驗室服務會先將其儲存在來源區域中,然後自動將來源映像版本複寫至一或多個目標區域。
請務必注意,Azure 實驗室服務會自動將來源映像版本複寫到實驗室所在地理位置中的所有目標區域。 例如,如果您的實驗室位於美國地理位置,則映像版本會複寫到美國境內八個區域中的每一個。
當映像版本從來源區域複寫到其他目標區域時,就會發生網路輸出費用。 當映像的資料開始從來源區域傳出,就會依據映像版本的大小開始計費。 如需定價的詳細資料,請參閱頻寬定價詳細資料。
教育解決方案客戶可能免繳輸出費用。 若要深入了解,請連絡您的帳戶管理員。
如需詳細資訊,請參閱教育機構計畫頁面常見問題一節中的「學術客戶適用的資料轉送計畫為何,及如何符合資格?」。
定價範例
讓我們看看將範本 VM 映像儲存至共用映像庫的成本範例。 假設以下案例:
- 您有一個自訂 VM 映像。
- 您要儲存兩個版本的映像。
- 您的實驗室位於美國,美國總共有八個區域。
- 每個映像版本的大小為 32 GB;因此,HDD 受控磁碟的價格是每月 $1.54。
每月總成本估計為:
- 映像數目 × 版本數目 × 複本數目 × 受控磁碟價格 = 每月總成本
在此範例中,成本是:
- 1 個自訂映像 (32 GB) × 2 個版本 × 8 個美國區域 × $1.54 = 每月 $24.64
注意
上述計算僅作為範例之用。 其涵蓋與使用共用映像庫相關聯的儲存體成本,且不包含輸出成本。 如需儲存體的實際定價,請參閱受控磁碟定價。
成本管理
請務必讓實驗室帳戶管理員定期從映像庫中刪除不必要的映像版本,以管理成本。
請勿為了降低成本而刪除特定區域的複本 (雖然共用映像庫中有此選項)。 複寫變更可能會對 Azure 實驗室服務造成負面影響,損及從儲存在共用映像庫中的映像發佈 VM 的能力。
下一步
如需設定及管理實驗室的詳細資訊,請參閱: