Principy síťového připojení ve službě Azure Virtual Desktop

Azure Virtual Desktop poskytuje možnost hostovat relace klientů na hostitelích relací spuštěných v Azure. Microsoft spravuje části služeb jménem zákazníka a poskytuje zabezpečené koncové body pro připojení klientů a hostitelů relací. Následující diagram poskytuje základní přehled síťových připojení používaných službou Azure Virtual Desktop.

Připojení k relaci

Azure Virtual Desktop používá protokol RDP (Remote Desktop Protocol) k poskytování funkcí vzdáleného zobrazení a vstupu přes síťová připojení. Protokol RDP byl původně vydán s systém Windows NT 4.0 Terminal Server Edition a neustále se vyvíjí s každou verzí systému Microsoft Windows a Windows Server. Od počátku se protokol RDP vyvinul tak, aby byl nezávislý na základním transportní zásobníku, a dnes podporuje více typů přenosu.

Přenos zpětného připojení

Azure Virtual Desktop používá přenos zpětného připojení k navázání vzdálené relace a přenosů protokolu RDP. Na rozdíl od nasazení místní vzdálené plochy nepoužívá přenos zpětného připojení k příjmu příchozích připojení RDP naslouchací proces TCP. Místo toho využívá odchozí připojení k infrastruktuře služby Azure Virtual Desktop přes připojení HTTPS.

Komunikační kanál hostitele relace

Při spuštění hostitele relace služby Azure Virtual Desktop vytvoří služba Loader agenta vzdálené plochy trvalý komunikační kanál zprostředkovatele služby Azure Virtual Desktop. Tento komunikační kanál je vrstvený nad zabezpečené připojení TLS (Transport Layer Security) a slouží jako sběrnice pro výměnu zpráv mezi hostitelem relace a infrastrukturou služby Azure Virtual Desktop.

Posloupnost připojení klienta

Posloupnost připojení klienta popsaná níže:

1. Používání podporovaných uživatelů klienta Služby Azure Virtual Desktop se přihlásí k odběru pracovního prostoru Služby Azure Virtual Desktop
2. Microsoft Entra ověří uživatele a vrátí token použitý k vytvoření výčtu prostředků dostupných pro uživatele.
3. Klient předá token službě odběru informačního kanálu Azure Virtual Desktopu.
4. Služba odběru informačního kanálu Azure Virtual Desktop ověří token.
5. Služba odběru informačního kanálu služby Azure Virtual Desktop předává seznam dostupných desktopů a aplikací zpět klientovi ve formě konfigurace digitálně podepsaného připojení.
6. Klient ukládá konfiguraci připojení pro každý dostupný prostředek v sadě souborů .rdp.
7. Když uživatel vybere prostředek, který se má připojit, klient použije přidružený soubor .rdp a vytvoří zabezpečené připojení TLS 1.2 k instanci brány Služby Azure Virtual Desktop pomocí služby Azure Front Door a předá informace o připojení. Vyhodnocuje se latence ze všech bran a brány se zakládají do skupin 10 ms. Brána s nejnižší latencí a následným nejnižším počtem stávajících připojení se vybere.
8. Brána Služby Azure Virtual Desktop ověří požadavek a požádá zprostředkovatele služby Azure Virtual Desktop o orchestraci připojení.
9. Zprostředkovatel služby Azure Virtual Desktop identifikuje hostitele relace a používá dříve vytvořený trvalý komunikační kanál k inicializaci připojení.
10. Zásobník vzdálené plochy inicializuje připojení TLS 1.2 ke stejné instanci brány Služby Azure Virtual Desktop, jakou používá klient.
11. Jakmile se klient i hostitel relace připojí k bráně, brána začne předávat nezpracovaná data mezi oběma koncovými body, tím se vytvoří základní přenos zpětného připojení pro protokol RDP.
12. Po nastavení základního přenosu spustí klient metodu handshake protokolu RDP.

Zabezpečení připojení

Protokol TLS 1.2 se používá pro všechna připojení iniciovaná z klientů a hostitelů relací ke komponentám infrastruktury služby Azure Virtual Desktop. Azure Virtual Desktop používá stejné šifry TLS 1.2 jako Azure Front Door. Je důležité zajistit, aby klientské počítače i hostitelé relací mohli tyto šifry používat. Pro přenos zpětného připojení se klient i hostitel relace připojují k bráně služby Azure Virtual Desktop. Po navázání připojení TCP ověří klient nebo hostitel relace certifikát brány Služby Azure Virtual Desktop. Po navázání základního přenosu vytvoří protokol RDP vnořené připojení TLS mezi klientem a hostitelem relace pomocí certifikátů hostitele relace. Ve výchozím nastavení je certifikát používaný pro šifrování RDP automaticky generován operačním systémem během nasazení. V případě potřeby můžou zákazníci nasadit centrálně spravované certifikáty vydané certifikační autoritou organizace. Další informace o konfiguraci certifikátů najdete v dokumentaci k systému Windows Server.

Další kroky

• Informace o požadavcích na šířku pásma pro Azure Virtual Desktop najdete v tématu Vysvětlení požadavků na šířku pásma protokolu RDP (Remote Desktop Protocol) pro Azure Virtual Desktop.
• Pokud chcete začít používat technologii QoS (Quality of Service) pro Azure Virtual Desktop, přečtěte si téma Implementace technologie QoS (Quality of Service) pro Azure Virtual Desktop.