透過網路隔離複製虛擬機器
虛擬實驗室管理是一個在軟體開發週期內出現的區域。 Visual Studio Lab Management 是讓開發人員和測試人員在 Visual Studio 中管理虛擬實驗室的產品。 使用 Visual Studio Lab Management,開發小組可以支援虛擬技術在它們的開發和測試實驗室組成虛擬機器的複雜多層環境。 它們可以部署應用程式的建置和執行測試這些環境。
其中一個使用虛擬開發和測試實驗室的動機只是建立完全相同的複本,或是 複製已部署的虛擬機器可以複製檔案陣列。 複製在許多情況下相當有用。 例如,開發人員需要測試人員的環境複本重現問題時可以建立該環境的複製品。 在測試小組,每個個別測試人員可以複製環境的複本並協調它們的測試工作小組給其他成員使用。 複製節省開發人員和測試人員的時間,因為它們不用在他們建立的每個環境重複必須安裝作業系統和其他軟體。
需求
- Visual Studio Ultimate, Visual Studio Premium, Visual Studio Test Professional
即使複製虛擬環境是簡單的,您必須考慮複製的後果。 在複製環境中的機器的電腦名稱和原始環境中的機器相同。 在某些情況下,它們可以有相同的 MAC 位址和 IP 位址。 這可能導致其中一個複製品遺失網路連接,或針對其中一個的網路流量到達其他的複製品。 最後,一個非預期的後果可能是您應用程式部署到特定複製品並卻行另一個複製品的測試。
注意事項 |
---|
您只能與 SCVMM 環境的網路隔離。此功能不適用於標準環境。 |
Visual Studio Lab Management 解決這些問題並呼叫 網路隔離的技巧有助於虛擬環境安全複製。 本主題討論在網路隔離的運作方式和比較重複使用或不使用網路隔離。 第一個範例說明在複製品之間在不使用網路隔離時可能發中的各種衝突。 您可以使用 Visual Studio Lab Management,使用連續範例檢查多個方案可避免衝突。
網路衝突
圖 1 顯示您可以建立使用 Lab Management 的典型的虛擬環境。 這個環境,叫做原始環境,有兩個虛擬機器:Web 伺服器和伺服器 db。 這些機器 Web 服務和資料庫伺服器角色分別在 3 層 Web 應用程式。 在此範例中,我們假設開發小組的成員建立此環境並將它們部署的 Web 應用程式的最新組建給它。 我們也假設一個叫做最新組建的快照會在組建被佈署之後在環境中被拍攝 快照集是環境的時間點狀態。 您可以隨時還原和從儲存狀態繼續執行。 這個圖表顯示在原始環境中的兩個虛擬機器的電腦名稱、MAC 位址和 IP 位址。
原始環境
圖表 2 顯示除了原始環境之外的複製環境。 在複製後,當兩個環境都啟動了,下列類型的網路衝突可能會發生:
電腦名稱衝突
IP 位址衝突
MAC 位址衝突
同一個網路上的原始和複製的環境
每一個的確切結果衝突多項因素決定:在虛擬機器中的作業系統,在實驗室中的網路基礎結構,依此類推。 在圖表2 中,我們假設靜態 IP 位址和靜態 MAC 位址在原始環境中的每個虛擬機器都已設定。 因此,當環境被複製了,複製的虛擬機器使用相同 IP 和 MAC 位址。
電腦名稱衝突
電腦名稱是使用者指定的易記名稱以識別在網路中的電腦。 有兩個通訊協定用來解析加入至其 IP 位址的電腦名稱:網路 I/O 系統和網域伺服器 (DNS)。 當具有相同的電腦名稱的兩部電腦都在相同的網路區段啟動,網路 I/O 系統會偵測到名稱衝突並警告使用者。 通常,只有在電腦位於相同的網路區段,網路 I/O 系統可以偵測衝突。 如果電腦不在相同的網路區段,或者警告被忽略了,下一個階段的衝突會在 DNS 發生。 DNS 是指在中央儲存機制註冊其名稱。 當 DNS 名稱相同的兩台電腦都嘗試註冊,第二部電腦可能會覆寫第一部電腦上建立的項目。 在這種情況下,開始的第一個電腦不可將名稱解析。
具有單一避免或固定電腦名稱衝突。 非建立環境的相同複本,而是您可以使用呼叫 sysprep 的機制自訂每個複製品。 Sysprep 是 Windows 作業系統的一部分。 當您使用 sysprep 複製環境時,環境中每部虛擬機器將取得不同於原始環境的唯一電腦名稱、IP 位址和電腦位址。 不過,複製品之間將不再是相同的。
每個複製品都有自己獨特的名字的影響是,無論是透過 sysprep 還是透過使用者以手動方式避免衝突,取決於安裝在虛擬機器上的軟體。 若要了解,請參閱範例。 當應用程式在環境中進行部署, web.config 檔案會在 Web 伺服器上建立。 在這個檔案中,做為連接字串的一部分,我們已設定電腦名稱為db-server 。 該檔案中的程式碼片段所示:
<?xml version="1.0"?>
<configuration>
<appSettings>
<add key="ConnectionString"
value="Persist Security Info=True;User ID=dbuser;
Password=password;Initial Catalog=Store;Data Source=db-server"/>
</appSettings>
</configuration>
當我們在複製的環境中變更資料庫伺服器的電腦名稱,我們必須如下手動變更 web.config 檔案以使用新名稱 (db-server2 是新的電腦名稱 (其中為指定給複製的環境中的虛擬機器)。
<?xml version="1.0"?>
<configuration>
<appSettings>
<add key="ConnectionString"
value="Persist Security Info=True;User ID=dbuser;
Password=password;Initial Catalog=Store;Data Source=db-server2"/>
</appSettings>
</configuration>
此外,當其電腦名稱變更時, SQL Server 需要其他步驟。 SQL 指令碼完成這項作業的程式碼片段所示:
sp_dropserver db-server
sp_addserver db-server2, local
GO
上述範例示範如果變更電腦名稱必須如何重新設定應用程式。 可被了解的,此程序會依據應用程式。 如果應用程式的電腦名稱已寫進至資料庫中的項目,需要以類似的方式來變更這些項目。 在某些情況下,當電腦名稱變更時,您可能必須重新安裝應用程式。 執行這類重新設定並重新安裝顯然是什麼我們要先檢查以避免使用複寫的原因。 這需要可以安全地允許多個複製品共存,而不是電腦名稱衝突的較強固的應用程式無關的方案。
IP 位址衝突
網際網路通訊協定 (IP) 位址 (IP) 是供電腦可以在 TCP 網路彼此通訊。 IP 位址被 DHCP 伺服器指派為靜態或動態靜態。 在電腦上的每個連接的網路介面都有 IP 位址。 如果已設定為使用靜態 IP 位址的虛擬機器在網路複製中放置和原始虛擬機器相同,除了電腦名稱衝突之外,還會有 IP 位址衝突,。 您可以藉由變更其中一個複製品的 IP 位址手動修正這種衝突。 同樣地,變更 IP 位址的影響視安裝在虛擬機器的應用程式使用靜態 IP 位址。
當您開始複製設定動態 IP 位址的虛擬機器時,會有一段期間有網路衝突。 在第一個虛擬機器複製之後,連接的第二個虛擬機器的網路偵測到衝突並透過更新更正本身的IP 位址。 會有一小段時間會存在類似的衝突,就是在複製的環境還原至原始環境拍攝的快照時。 衝突的這些期間通常不夠長去影響應用程式。
MAC 位址衝突
媒體存取控制 (MAC) 位址是指派給電腦上的每個網路介面位址。 在實體機器的情況下,指派給每個網路介面卡的製造商。 在虛擬機器的情況下,有兩種方式可以指派 MAC 位址:靜態或動態 MAC。 您可以於虛擬機器的網路介面指定使用特定的 MAC 位址。 這稱為" 靜態" MAC。 另外,您也可以讓管理程序動態指定電腦位址。 這稱為動態 MAC。 在虛擬機器已啟動時,動態 MAC 位址由 Hyper-V 從 MAC 位址集區指定。 每個主應用程式會產生一份計劃 MAC 位址,讓它們不與另一個主機上的虛擬機器衝突。
如果靜態 MAC 位址為虛擬機器使用原始的環境,則在複製的環境中的虛擬機器會有相同的 MAC 位址。 這會導致立即 MAC 衝突。 因為它們不是由電腦統整報告,一定會更難偵測重複MAC 位址。 即使是在報告中,這樣的訊息會登記到 Windows 事件檢視器。 對使用者而言,重複的 MAC 位址可能會造成兩個影響。 一種結果是在其中一個或兩個要複製的網路連線失敗。 另一種結果是機器定址網路封包會到達其他電腦。 當某個原始電腦和其複製品 (Clone) 具有相同的 MAC 位址時,其 IP 位址也是相同的。 即使 DHCP 用來取得動態 IP 位址, DHCP 伺服器會指派相同的IP 位址當他們的 MAC 位址相同 。
使用動態 MAC 位址,就某種程度可避免 MAC 衝突。 不過,當複製的環境還原至原始環境拍攝之快照時,這些虛擬機器包括 MAC 位址會將整個復原狀態。 會再次導致 MAC 衝突,而先前所描述的相同問題仍存在直到複製的虛擬機器已重新啟動。 重新啟動複製的環境讓管理程序從其範圍發行和更新 MAC 位址。
我們剛剛說明衝突的表單的偵測和解決,然後繼續在解析工作手動修正 OS/application ,經常是相當費時,而且容易出錯,對於提供虛擬實驗室管理的使用者來說。 在許多情況下,變更這些參數有任何項目會導致虛擬環境產生 Bug 重新產生或相似的問題於中斷的實際執行環境。 安裝應用程式準則一次加入該環境中的虛擬環境和非較大複製建立多個相同複本比一般使用者可以預期需要更複雜的方法。
網路隔離
到目前為止已識別出兩個需求。 第一個要求是複製的環境中的虛擬機器必須具有與原始環境相同的電腦名稱、MAC 位址和 IP 位址。 但是,同時這些複製品必須從環境外部獨立定址。 這在特定複製品是必要的,例如,為了讓某人能夠從他們的桌面連接到每個複製品,為應用程式加入至部署,或是針對特定複製執行測試。 這會導致產生第二個要求,是要複製之環境的虛擬機器必須擁有和在原始環境不同的唯一電腦名稱、MAC 位址和 IP 位址。 以邏輯方式完成下列兩個條件是為了讓每個虛擬機器上兩個介面:電腦名稱、IP 位址和電腦位址是每個複製品自己的私用介面;每個複製品的公用介面來說,這些值是唯一的。
若要防止私用介面的網路衝突,它們必須連接至每個複製品的私人網路。 私人網路受限於環境內虛擬機器上的虛擬網路。 由於這個網路沒有在環境界限外公開,所以即使有相同電腦名稱、MAC 位址和 IP 位址使用另一個複製品,也沒有衝突的可能性。 對於從環境外部的存取範圍,所有公用介面必須連接至通用公用網路。 公用網路或實驗室網路是虛擬機器可與用戶端和其他機器互動的環境。
圖 3 顯示私用和公用介面位址網路如何處理衝突。
在 Visual Studio Lab Management 的網路隔離
Visual Studio Lab Management 可以引入在每部虛擬機器中的兩個網路介面實作 SCVMM 環境的網路隔離。 這些網路介面是連接至私人網路的私用介面,另一個是連接至公用網路的功用介面。
Lab Management 軟體,以及在每個虛擬機器安裝代理程式時,可確保原始環境和複製的環境可以共存,而不會發生衝突。
私人網路的私用介面
下列是摘要說明電腦名稱、MAC 位址和 IP 位址如何指派給環境的私用介面。
電腦名稱: 私人網路的電腦名稱是透過網路 I/O 系統解析,而不需要由 Lab Management 軟體進行任何額外的處理。 在每個複製品用NetBIOS一起設定網路 I/O 系統電腦名稱的應用程式會如預期般運作。 在我們的範例中, Web 伺服器電腦會使用名稱參考 db 伺服器電腦。 這些名稱與在原始和複製的環境中都相同。 因此,在複製的環境不需要變更 web.config 檔案。
因為在私人網路沒有 DNS 伺服器,我們需要解決這種狀況,將虛擬機器用完整網域名稱 (FQDN) (FQDNs) 彼此參考而非在Network 輸入輸出系統名稱時。 例如,如果 web.config 檔案參考的 db 伺服器為 db-server.lab.contoso.com,解析的 IP 位址不可能為沒有私人網路的 DNS 名稱。 若要解決這個問題,正在虛擬機器的實驗室執行代理程式會增加在同一個環境虛擬機器的主應用程式檔案的項目。 主機檔案是另一種表示必須解析為特定的 IP 位址的作業系統名稱。 在範例中,在 Web 伺服器檔案的主應用程式會具有下列項目:
192.168.23.2 db-server.lab.contoso.com
IP 位址: 一個靜態 IP 位址從 192.168.23.1 - 255 範圍指派給每個虛擬機器私人網路介面。 例如, Web 伺服器的私用介面取得 192.168.23.1, db 伺服器的私用介面取得 192.168.23.2。 Lab Management 會確定每個複製品的 Web 伺服器和 db 伺服器取得相同的靜態 IP 位址。 因此,即使在 Web 伺服器上的 Web.config 檔案設定為使用 db 伺服器的 IP 位址,它在複製的環境不需要重新設定。 在設定為使用網路隔離的環境中,任何與這個相同範圍中的私用介面,從 IP 位址 192.168.23.1開始。 在這範圍內的最大所需數目的位址與環境中最大的虛擬機器數相同。 由於這組 IP 位址以私人網路外不是 routable,使用一個預先定義的範圍都是安全的,只要相同範圍在公用網路上未使用。
MAC 位址: 一個隨機靜態 MAC 位址會指派給每個在網路隔離環境中的虛擬機器私人網路介面。 在範例中,重新命名原始的 Web 伺服器的私用介面被給了一個新的 MAC 位址,例如 00-15-5D-07-57-01。 Lab Management 確保 Web 伺服器取得和在複製的環境相同的電腦位址。 由於這組 MAC 位址自私人網路外無法從外部繞進,所以使用隨機地址很安全只要不在該主應用程式的管理程序範圍內使用。
在公用網路上的公用介面
下列是電腦名稱、MAC 位址和 IP 位址如何指派給環境的公用介面的摘要說明。
電腦名稱: 我們不要NetBIOS系統在公用網路上解析電腦名稱,因為這麼做會造成電腦名稱衝突。 若要防止這種情況, Lab Management 停用在每部虛擬機器的公用介面的網路 I/O 系統廣播。 類似於NetBIOS系統,您可能不希望虛擬機器註冊其 DNS 中的網路 I/O 系統電腦名稱。 Lab Management 停用 DNS 註冊的每個公用介面。 在沒有NetBIOS和預設 DNS 登入時,我們仍然希望虛擬機器在公用網路上可以使用唯一名稱。 在 DNS 記錄為"A"的 Lab Management 表示每個虛擬機器會產生唯一的別名和暫存器。 在我們的範例中,原始環境的 Web 伺服器上註冊使用類似 VSLM-195ea870-34d87df83883add23-47ab86ff.lab.contoso.com 為唯一的別名。 在複製的環境的同一部 Web 伺服器註冊名稱可以不同像 VSLM-87ead667a-8787adde877919aaa-2001874d0.lab.contoso.com 。
IP 位址: 在每部虛擬機器的公用網路介面配置,由 DHCP 伺服器取得動態 IP 位址。 這可確保在原始虛擬機器和複製環境都有唯一的 IP 位址。 例如,在原始環境的 Web 伺服器上取得 IP 位址 172.52.20.140,並在複製的環境的同一部 Web 伺服器可以取得 IP 位址 172.52.20.205。
**MAC 位址:**為了避免MAC衝突 ,在每部虛擬機器的公用網路介面可以從管理程序獲得動態 MAC 位址。 這可確保在我們的範例中的 Web 伺服器電腦取得原始和複製的環境不相同的電腦位址。 不過,如前面所述,當複製環境從原始環境的快照還原後,複製虛擬機器會假設MAC和IP位址和原始的相同。 例如,當複製的環境還原到最新的快照時, Web 伺服器的 IP 位址為 10.86.51.61 (請參閱圖 3),這個值與在原始環境中的相同。 同樣也會發生在MAC位址。 當 IP 位址衝突是暫時的直到由 DHCP 更新, MAC 衝突會存在直到虛擬機器已重新啟動。 由於這項限制,使用管理程序動態指定的 MAC 位址公用介面的不是一個可行的解決方案。
若要解決這個問題, Lab Management 會使用他的 MAC 位址集區。 集區中不同的 MAC 位址會指派給虛擬機器公用介面。 每當複製的環境還原至快照, Lab Management 自動變更 MAC 位址可避免衝突。 若要了解的運作方式,請考慮在原始環境中 Web 伺服器電腦位址是 1D-D8-B7-1C-00-05,且在複製環境中的 Web 伺服器電腦位址是 1D-D8-B7-1C-00-07。 當複製的環境還原至原始環境時擷取的快照, Web 伺服器電腦位址短暫變成 1D-D8-B7-1C-00-05。 Lab Management 會變更這個回 1D-D8-B7-1C-00-07 防止網路衝突。
使用網路隔離的典型互動
接著,這裡所討論的情形,發生於當環境內部的兩個虛擬機器彼此通訊:
Web 伺服器使用網路 I/O 系統或主機檔案剖析電腦名稱「db-server」至 IP 位址 db-server 的私用介面 (192.168.23.2)。
Web 伺服器在這個 IP 位址使用通訊 db-server 。
當在環境外的用戶端必須與複製環境中執行 Web 伺服器通訊,會遵循下列程序:
用戶端查詢 Lab Management 軟體取得在複製的環境 Web 伺服器的唯一別名。
Lab Management 軟體會回應一個唯一的別名。
DNS 伺服器解決 IP 位址 Web 伺服器的公用介面 (10.86.51.63)的唯一別名。
這個 IP 位址用戶端與 Web 伺服器通訊。
網路隔離的替代方法
使用兩個介面不是網路隔離的唯一方法。 一種非常類似的方法是使用雙向 NAT。 NAT 是建立需要與公用網路上的裝置連接裝置的私人網路常用手法。 即使在一般 NAT 溝通永遠必須來自私人網路,雙向(bi-directional ) NAT (或2-way NAT) 保留這個步驟和允許私人網路或公用網路上的機器初始化溝通。
使用這個方法,才能了解網路隔離,雙向 NAT 伺服器必須被環境引入。 特殊虛擬機器通常設為達到雙向 NAT 伺服器角色的環境。 當在網路隔離的環境時,虛擬機器的公開和私密 IP 位址的指派方式,與在兩個介面的存取方式相同。 不過,而不是在虛擬機器上指派公開 IP 位址給一個網路介面,對應表儲存於雙向 NAT 伺服器的 NAT 資料表。
環境中的兩個虛擬機器筆次溝通的步驟為使用雙向NAT方法,這和他的在兩個介面的方法相同
Web 伺服器使用網路 I/O 系統或主機檔案剖析電腦名稱「db-server」至 IP 位址 db-server 的私用介面 (192.168.23.2)。
Web 伺服器在這個 IP 位址使用通訊 db-server 。
當環境外來的客戶必須和複製品內的Web伺服器溝通的步驟有些微的不同,如以下所示:
透過實作這種 NAT 方法,用戶端查詢 Lab Management 軟體取得在複製的環境中 Web 伺服器的唯一別名。 (Visual Studio Lab Management 不實作這種 NAT 方法)。
Lab Management 軟體會回應一個唯一的別名。
DNS 伺服器解決唯一別名到公用 IP 位址 Web 伺服器 (10.86.51.63)。
這個 IP 位址實際上對應到雙向 NAT 伺服器的介面。 假設用戶端會與 Web 伺服器通訊,用戶端使用雙向 NAT 伺服器通訊。
NAT 伺服器擷取所儲存的其配置表對應並轉譯公用 IP 位址 (10.86.51.63) 至私人 IP 位址 (192.168.23.1)。
NAT 伺服器轉送來自用戶端的訊息私人網路的為 192.168.23.1,這是 Web 伺服器的 IP 位址。
這個方法的優點是兩個介面的方法是在環境中的虛擬機器完成且不需要修改以任何方式。 不需要在每個虛擬機器引入另外一個網路介面。 引入了網路介面到虛擬機器可能會導致某些應用程式中斷。
這個網路隔離方法的另一個優點是整個邏輯會封裝為額外的虛擬機器。 不需要在其他每個虛擬機器中各有一個代理程式。 透過額外的虛擬機器繞送所有封包也為支援網路隔離的更多進階功能提供了一個控制點,例如:
隔離外部: 不允許在環境外初始化的用戶端的網路封包送達環境內部的虛擬機器。
**只在特定通訊埠例外狀況允許外部:**不允許環境外初始化的用戶端網路封包送達環境內部的虛擬機器,除非他們被特定通訊埠當做目標。
這些功能可用雙向 NAT 方法輕鬆地實作藉由引入 NAT 在伺服器上的防火牆。這個雙向 NAT 方法的主要缺點是某些應用程式不能跨 NAT 運作。 如 DCOM 和 .NET 遠端通訊協定,通常是用於 Windows 應用程式,當用戶端和伺服器被一個 NAT 伺服器分離時無法使用。 這是 Visual Studio Lab Management 使用雙重介面方法的原因。 這個雙向 NAT 方法的另一個缺點是它需要在每個環境中的其他虛擬機器,在建立或其他作業期間在虛擬環境中,引入額外負荷。
其他衝突
到目前為止,我們說明了電腦名稱, IP 位址和電腦位址衝突如何透過網路隔離定址。 當環境複製時,可能會發生其他表單的衝突。 當對虛擬環境外部的元件有相依性時,複製環境就有可能會造成衝突。 在本節中,我們會看到兩個可能會發生衝突的常見案例。
Active Directory衝突
Windows機器和應用程是常常為了目錄服務或需要使用者正明和授權而依賴於 Active Directory (AD) 用 AD 使用群組原則的集中管理 Windows 電腦是很常見的作法。 使用我們的範例,我們假設 Web 伺服器和 db 伺服器在原始環境會聯結至 AD 處理的網域。 在環境外裝載AD。 當我們複製這個環境時,我們現在還有兩個相同的Web 伺服器複製品 (Clone);不過,在AD中只有包含一個項目。 這顯然是您預期的行為,且可能會造成問題。 例如,如果其中一個 Web 伺服器複製品從網域因為使用者動作而失去連結,另一個複製品也會中斷連接。 不小心造成的變更會影響另一個環境。
若要防止 Active Directory 衝突, AD 伺服器必須裝載在環境內部的虛擬機器。 AD 伺服器在環境外不應該和其他目錄有任何信任關係。
對於在網路隔離的環境設定AD有一些額外的考量。 首先,不應該連接 AD 虛擬機器至公用網路。 在兩個介面的方法,這表示 AD 虛擬機器不應該具有公用介面。 在雙向 NAT 方法中,這表示 NAT 表格不應該包含虛擬機器的對應。
接著,因為 AD 在獨立樹系中,必須在環境中使用 DNS 伺服器。 在其他環境中的虛擬機器必須使用私人網路之 DNS 伺服器,才能適當地用AD通訊。 例如,除非 DNS 伺服器正確的設定私用介面,否則虛擬機器可能無法聯結私人網域。
當您的環境包含 AD 虛擬機器時, Visual Studio Lab Management 會自動從公用網路中斷 AD 並設定虛擬機器私用介面的 DNS 設定。
裝載。 例如,當應用程式必須提供與其他現有的企業應用程式時整合時,可能會發生這種情況。 目前沒有已知的方案當機器被加入到環境外的主網域還能安全的複製它。
資料庫衝突
虛擬環境的另一個常見的使用方式與裝載在環境以外的應用程式的資料庫。 通常,這樣一來,當資料庫太大時複製每個環境中的資料庫並不可行。 也可能會發生,當應用程式正在開發中但其他主機上一個簡單的 Web 用戶端也在和資料庫互動。 在這種情況下,當兩個相同複製品 (Clone) 與資料庫互動時,資料庫伺服器無法區分兩用戶端的差別。
摘要
提供建立虛擬環境相同複製至數個情節是重要的虛擬實驗室管理。 不過,當相同複製品建立時,他們就有電腦名稱, IP 位址和電腦位址衝突。 簡單的技術,例如變更電腦名稱或 IP 位址,修正這些衝突通常需要應用程式的重新設定或重新安裝並有效地使建立相同複製品的檢視。 網路隔離可以解決這個問題,讓您同時建立和執行兩個複製品。
後續步驟
規劃 SCVMM 環境: 時得知為 SCVMM 環境使用不同的選項,例如使用執行中的虛擬機器、預存虛擬機器、範本、預存環境的網路隔離。 請參閱 建立與管理 SCVMM 環境指引。
建立網路隔離環境: 這個主題中,如果您準備建立網路隔離環境。 請參閱 建立和使用網路隔離的環境。