مشاركة عبر

Azure Private Link مع Azure Virtual Desktop

  • مقالة

يمكنك استخدام Azure Private Link مع Azure Virtual Desktop للاتصال بشكل خاص بمواردك البعيدة. من خلال إنشاء نقطة نهاية خاصة، تظل نسبة استخدام الشبكة بين شبكتك الظاهرية والخدمة على شبكة Microsoft، لذلك لم تعد بحاجة إلى عرض خدمتك على الإنترنت العام. يمكنك أيضا استخدام VPN أو ExpressRoute للمستخدمين لديك مع عميل سطح المكتب البعيد للاتصال بالشبكة الظاهرية. يؤدي الحفاظ على نسبة استخدام الشبكة داخل شبكة Microsoft إلى تحسين الأمان والحفاظ على أمان بياناتك. توضح هذه المقالة كيف يمكن أن يساعدك Private Link في تأمين بيئة Azure Virtual Desktop.

يحتوي Azure Virtual Desktop على ثلاثة مهام سير عمل مع ثلاثة أنواع موارد مقابلة لاستخدامها مع نقاط النهاية الخاصة. مهام سير العمل هذه هي:

  1. اكتشاف الموجز الأولي: يتيح للعميل اكتشاف جميع مساحات العمل المعينة لمستخدم. لتمكين هذه العملية، يجب إنشاء نقطة نهاية خاصة واحدة إلى المورد الفرعي العمومي إلى أي مساحة عمل. ومع ذلك، يمكنك إنشاء نقطة نهاية خاصة واحدة فقط في نشر Azure Virtual Desktop بأكمله. تنشئ نقطة النهاية هذه إدخالات نظام أسماء المجالات (DNS) ومسارات IP الخاصة لاسم المجال المؤهل بالكامل العمومي (FQDN) اللازم لاكتشاف الموجز الأولي. يصبح هذا الاتصال مسارا مشتركا واحدا لجميع العملاء لاستخدامه.

  2. تنزيل الموجز: يقوم العميل بتنزيل جميع تفاصيل الاتصال لمستخدم معين لمساحات العمل التي تستضيف مجموعات التطبيقات الخاصة به. يمكنك إنشاء نقطة نهاية خاصة للمورد الفرعي للموجز لكل مساحة عمل تريد استخدامها مع Private Link.

  3. الاتصالات بتجمعات المضيفين: كل اتصال بتجمع مضيف له جانبان - العملاء ومضيفو الجلسة. تحتاج إلى إنشاء نقطة نهاية خاصة للمورد الفرعي للاتصال لكل تجمع مضيف تريد استخدامه مع Private Link.

يوضح الرسم التخطيطي عالي المستوى التالي كيفية توصيل Private Link بشكل آمن لعميل محلي بخدمة Azure Virtual Desktop. لمزيد من المعلومات التفصيلية حول اتصالات العميل، راجع تسلسل اتصال العميل.

رسم تخطيطي عالي المستوى يظهر الارتباط الخاص الذي يربط عميلا محليا بخدمة Azure Virtual Desktop.

السيناريوهات المدعومة

عند إضافة Private Link مع Azure Virtual Desktop، لديك السيناريوهات المدعومة التالية للاتصال ب Azure Virtual Desktop. يعتمد السيناريو الذي تختاره على متطلباتك. يمكنك إما مشاركة نقاط النهاية الخاصة هذه عبر مخطط الشبكة أو يمكنك عزل الشبكات الظاهرية بحيث يكون لكل منها نقطة نهاية خاصة بها إلى تجمع المضيف أو مساحة العمل.

  1. تستخدم جميع أجزاء الاتصال - اكتشاف الموجز الأولي وتنزيل الموجز واتصالات الجلسة البعيدة للعملاء ومضيفي الجلسة - المسارات الخاصة. تحتاج إلى نقاط النهاية الخاصة التالية:

    الغرض نوع المورد المورد الفرعي المستهدف كمية نقطة النهاية
    الاتصالات بتجمعات المضيفين Microsoft.DesktopVirtualization/hostpools الاتصال واحد لكل تجمع مضيف
    تنزيل الموجز Microsoft.DesktopVirtualization/workspaces علف واحد لكل مساحة عمل
    اكتشاف الموجز الأولي Microsoft.DesktopVirtualization/workspaces العمومي واحد فقط لجميع عمليات نشر Azure Virtual Desktop

  2. يستخدم تنزيل الموجز واتصالات الجلسة البعيدة للعملاء ومضيفي الجلسة المسارات الخاصة، ولكن اكتشاف الموجز الأولي يستخدم المسارات العامة. تحتاج إلى نقاط النهاية الخاصة التالية. نقطة النهاية لاكتشاف الموجز الأولي غير مطلوبة.

    الغرض نوع المورد المورد الفرعي المستهدف كمية نقطة النهاية
    الاتصالات بتجمعات المضيفين Microsoft.DesktopVirtualization/hostpools الاتصال واحد لكل تجمع مضيف
    تنزيل الموجز Microsoft.DesktopVirtualization/workspaces علف واحد لكل مساحة عمل

  3. تستخدم اتصالات الجلسة البعيدة فقط للعملاء ومضيفي الجلسة المسارات الخاصة، ولكن استخدام اكتشاف الموجز الأولي وتنزيل الموجز المسارات العامة. تحتاج إلى نقطة النهاية الخاصة التالية. نقاط النهاية إلى مساحات العمل غير مطلوبة.

    الغرض نوع المورد المورد الفرعي المستهدف كمية نقطة النهاية
    الاتصالات بتجمعات المضيفين Microsoft.DesktopVirtualization/hostpools الاتصال واحد لكل تجمع مضيف

  4. يستخدم كل من العملاء والأجهزة الظاهرية لمضيف الجلسة المسارات العامة. لا يتم استخدام Private Link في هذا السيناريو.

هام

  • إذا قمت بإنشاء نقطة نهاية خاصة لاكتشاف الموجز الأولي، فإن مساحة العمل المستخدمة للمورد الفرعي العمومي تحكم اسم المجال المؤهل بالكامل (FQDN) المشترك، مما يسهل الاكتشاف الأولي للموجزات عبر جميع مساحات العمل. يجب إنشاء مساحة عمل منفصلة تستخدم فقط لهذا الغرض ولا تحتوي على أي مجموعات تطبيقات مسجلة فيها. سيؤدي حذف مساحة العمل هذه إلى توقف جميع عمليات اكتشاف الموجز عن العمل.

  • لا يمكنك التحكم في الوصول إلى مساحة العمل المستخدمة لاكتشاف الموجز الأولي (المورد الفرعي العمومي). إذا قمت بتكوين مساحة العمل هذه للسماح بالوصول الخاص فقط، يتم تجاهل الإعداد. يمكن الوصول إلى مساحة العمل هذه دائما من المسارات العامة.

  • تخضع تخصيصات عناوين IP للتغيير مع زيادة الطلب على عناوين IP. أثناء توسيع السعة، هناك حاجة إلى عناوين إضافية لنقاط النهاية الخاصة. من المهم أن تفكر في استنفاد مساحة العنوان المحتملة وتضمن مساحة كافية للنمو. لمزيد من المعلومات حول تحديد تكوين الشبكة المناسب لنقاط النهاية الخاصة في طوبولوجيا مركزية أو محورية، راجع شجرة القرار لنشر الارتباط الخاص.

نتائج التكوين

يمكنك تكوين الإعدادات على مساحات عمل Azure Virtual Desktop ذات الصلة وتجمعات المضيف لتعيين الوصول العام أو الخاص. بالنسبة للاتصالات بمساحة عمل، باستثناء مساحة العمل المستخدمة لاكتشاف الموجز الأولي (المورد الفرعي العمومي)، يوضح الجدول التالي تفاصيل نتيجة كل سيناريو:

التكوين النتيجة
تمكين الوصول العام من جميع الشبكات يسمح بطلبات موجز مساحة العمل من المسارات العامة .

يسمح بطلبات موجز مساحة العمل من المسارات الخاصة.
تم تعطيل الوصول العام من جميع الشبكات يتم رفض طلبات موجز مساحة العمل من المسارات العامة .

يسمح بطلبات موجز مساحة العمل من المسارات الخاصة.

مع نقل الاتصال العكسي، هناك اتصالان للشبكة للاتصالات بتجمعات المضيف: العميل إلى البوابة، ومضيف جلسة العمل إلى البوابة. بالإضافة إلى تمكين الوصول العام أو تعطيله لكلا الاتصالين، يمكنك أيضا اختيار تمكين الوصول العام للعملاء المتصلين بالبوابة والسماح فقط بالوصول الخاص لمضيفي الجلسة الذين يتصلون بالبوابة. يوضح الجدول التالي تفاصيل نتيجة كل سيناريو:

التكوين النتيجة
تمكين الوصول العام من جميع الشبكات يسمح بجلسات العمل البعيدة عندما يستخدم العميل أو مضيف الجلسة مسارا عاما .

يسمح بالجلسات البعيدة عندما يستخدم العميل أو مضيف الجلسة مسارا خاصا .
تم تعطيل الوصول العام من جميع الشبكات يتم رفض جلسات العمل البعيدة عندما يستخدم العميل أو مضيف الجلسة مسارا عاما .

يسمح بالجلسات البعيدة عندما يستخدم كل من العميل ومضيف الجلسة مسارا خاصا .
تمكين الوصول العام لشبكات العميل، ولكن معطل لشبكات مضيف الجلسة يتم رفض جلسات العمل البعيدة إذا كان مضيف الجلسة يستخدم مسارا عاما ، بغض النظر عن المسار الذي يستخدمه العميل.

يسمح بالجلسات البعيدة طالما أن مضيف الجلسة يستخدم مسارا خاصا ، بغض النظر عن المسار الذي يستخدمه العميل.

تسلسل اتصال العميل

عندما يتصل مستخدم ب Azure Virtual Desktop عبر Private Link، ويتم تكوين Azure Virtual Desktop للسماح باتصالات العميل فقط من المسارات الخاصة، يكون تسلسل الاتصال كما يلي:

  1. مع عميل مدعوم، يشترك المستخدم في مساحة عمل. يستعلم جهاز المستخدم عن DNS للعنوان rdweb.wvd.microsoft.com (أو العنوان المقابل لبيئات Azure الأخرى).

  2. تقوم منطقة DNS الخاصة بك privatelink-global.wvd.microsoft.com بإرجاع عنوان IP الخاص لاكتشاف الموجز الأولي (المورد الفرعي العمومي). إذا كنت لا تستخدم نقطة نهاية خاصة لاكتشاف الموجز الأولي، يتم إرجاع عنوان IP عام.

  3. لكل مساحة عمل في الموجز، يتم إنشاء استعلام DNS للعنوان <workspaceId>.privatelink.wvd.microsoft.com.

  4. تقوم منطقة DNS الخاصة privatelink.wvd.microsoft.com بإرجاع عنوان IP الخاص لتنزيل موجز مساحة العمل، وتنزيل الموجز باستخدام منفذ TCP 443.

  5. عند الاتصال بجلسة عمل بعيدة، .rdp يحتوي الملف الذي يأتي من تنزيل موجز مساحة العمل على عنوان خدمة بوابة Azure Virtual Desktop بأقل زمن انتقال لجهاز المستخدم. يتم إجراء استعلام DNS إلى عنوان بالتنسيق <hostpooId>.afdfp-rdgateway.wvd.microsoft.com.

  6. تقوم منطقة DNS الخاصة بك privatelink.wvd.microsoft.com بإرجاع عنوان IP الخاص لخدمة بوابة Azure Virtual Desktop لاستخدامها لتجمع المضيف الذي يوفر جلسة العمل البعيدة. يستخدم التنسيق من خلال الشبكة الظاهرية ونقطة النهاية الخاصة منفذ TCP 443.

  7. بعد التزامن، يتم نقل حركة مرور الشبكة بين العميل وخدمة بوابة Azure Virtual Desktop ومضيف الجلسة إلى منفذ في نطاق المنفذ الديناميكي TCP من 1 إلى 65535.

هام

إذا كنت تنوي تقييد منافذ الشبكة إما من أجهزة عميل المستخدم أو الأجهزة الظاهرية لمضيف الجلسة إلى نقاط النهاية الخاصة، فستحتاج إلى السماح بنسبة استخدام الشبكة عبر نطاق منفذ TCP الديناميكي بالكامل من 1 - 65535 إلى نقطة النهاية الخاصة لمورد تجمع المضيف باستخدام المورد الفرعي للاتصال . مطلوب نطاق منفذ TCP الديناميكي بالكامل لأن شبكة Azure الخاصة تعين هذه المنافذ داخليا إلى البوابة المناسبة التي تم تحديدها أثناء تزامن العميل. إذا قمت بتقييد المنافذ إلى نقطة النهاية الخاصة، فقد لا يتمكن المستخدمون من الاتصال ب Azure Virtual Desktop.

المشكلات المعروفة والقيود

يحتوي الارتباط الخاص مع Azure Virtual Desktop على القيود التالية:

  • قبل استخدام Private Link ل Azure Virtual Desktop، تحتاج إلى تمكين Private Link مع Azure Virtual Desktop على كل اشتراك Azure تريد الارتباط الخاص مع Azure Virtual Desktop.

  • يمكن استخدام جميع عملاء سطح المكتب البعيد للاتصال ب Azure Virtual Desktop مع Private Link. إذا كنت تستخدم عميل سطح المكتب البعيد لنظام التشغيل Windows على شبكة خاصة دون الوصول إلى الإنترنت وكنت مشتركا في كل من الموجزات العامة والخاصة، فلن تتمكن من الوصول إلى موجزك.

  • بعد تغيير نقطة نهاية خاصة إلى تجمع مضيف، يجب إعادة تشغيل خدمة Remote Desktop Agent Loader (RDAgentBootLoader) على كل مضيف جلسة عمل في تجمع المضيف. تحتاج أيضا إلى إعادة تشغيل هذه الخدمة كلما قمت بتغيير تكوين شبكة تجمع المضيف. بدلا من إعادة تشغيل الخدمة، يمكنك إعادة تشغيل كل مضيف جلسة عمل.

  • استخدام كل من Private Link وRDP Shortpath للشبكات المدارة غير مدعوم، ولكن يمكنهم العمل معا. يمكنك استخدام Private Link وRDP Shortpath للشبكات المدارة على مسؤوليتك الخاصة. لا يتم دعم جميع خيارات RDP Shortpath الأخرى باستخدام STUN أو TURN مع Private Link.

  • في وقت مبكر من معاينة الارتباط الخاص مع Azure Virtual Desktop، شاركت نقطة النهاية الخاصة لاكتشاف الموجز الأولي (للمورد الفرعي العمومي ) اسم privatelink.wvd.microsoft.com منطقة DNS الخاصة مع نقاط النهاية الخاصة الأخرى لمساحات العمل وتجمعات المضيفين. في هذا التكوين، لا يمكن للمستخدمين إنشاء نقاط نهاية خاصة حصريا لتجمعات المضيفين ومساحات العمل. اعتبارا من 1 سبتمبر 2023، لن يتم دعم مشاركة منطقة DNS الخاصة في هذا التكوين. تحتاج إلى إنشاء نقطة نهاية خاصة جديدة للمورد الفرعي العمومي لاستخدام اسم منطقة DNS الخاصة ل privatelink-global.wvd.microsoft.com. للحصول على خطوات القيام بذلك، راجع اكتشاف الموجز الأولي.

الخطوات التالية

  • تعرف على كيفية إعداد Private Link باستخدام Azure Virtual Desktop.
  • تعرف على كيفية تكوين Azure Private Endpoint DNS في تكامل Private Link DNS.
  • للحصول على أدلة عامة لاستكشاف الأخطاء وإصلاحها للارتباط الخاص، راجع استكشاف مشكلات اتصال نقطة النهاية الخاصة في Azure وإصلاحها.
  • فهم اتصال شبكة Azure Virtual Desktop.
  • راجع قائمة URL المطلوبة للحصول على قائمة عناوين URL التي تحتاج إلى إلغاء حظرها لضمان وصول الشبكة إلى خدمة Azure Virtual Desktop.