Nastavení Private Link pomocí Azure Virtual Desktopu

V tomto článku se dozvíte, jak nastavit Private Link se službou Azure Virtual Desktop pro privátní připojení ke vzdáleným prostředkům. Další informace o používání Private Link se službou Azure Virtual Desktop, včetně omezení, najdete v tématu Azure Private Link se službou Azure Virtual Desktop.

Požadavky

Abyste mohli používat Private Link se službou Azure Virtual Desktop, potřebujete následující věci:

• Existující fond hostitelů s hostiteli relací, skupinou aplikací a pracovním prostorem

• Existující virtuální síť a podsíť , které chcete použít pro privátní koncové body.

• Požadovaná Azure oprávnění řízení přístupu na základě role k vytváření privátních koncových bodů.

• Podporovaná aplikace na místním zařízení pro přístup ke vzdálené relaci:

  • Aplikace Vzdálená plocha na libovolné platformě Pokud používáte klienta Vzdálené plochy pro Windows, musíte pro připojení pomocí privátního koncového bodu použít verzi 1.2.4066 nebo novější.
  • Windows App v systému macOS nebo iOS/iPadOS.

• Pokud chcete používat Azure CLI nebo Azure PowerShell místně, přečtěte si téma Použití rozhraní příkazového řádku Azure a Azure PowerShell se službou Azure Virtual Desktop a ujistěte se, že máte nainstalované rozšíření rozhraní příkazového řádku Azure desktopu nebo modul PowerShellu Az.DesktopVirtualization. Případně použijte Azure Cloud Shell.

• Azure PowerShell rutiny pro Azure Virtual Desktop, které podporují Private Link, jsou ve verzi Preview. Abyste mohli používat tyto rutiny přidané ve verzi 5.0.0, budete si muset stáhnout a nainstalovat verzi Preview modulu Az.DesktopVirtualization .

Povolení Private Link se službou Azure Virtual Desktop v předplatném

Pokud chcete používat Private Link se službou Azure Virtual Desktop, musíte znovu zaregistrovat poskytovatele prostředků Microsoft.DesktopVirtualization u každého předplatného, které chcete používat Private Link se službou Azure Virtual Desktop.

Vyberte kartu relevantní pro váš scénář.

Azure

Opětovná registrace poskytovatele prostředků Azure Virtual Desktop

Než budete moct používat Private Link se službou Azure Virtual Desktop, musíte znovu zaregistrovat poskytovatele prostředků Microsoft.DesktopVirtualization. Musíte to udělat pro každé předplatné, které chcete použít pro Private Link s Azure Virtual Desktop:

1. Přihlaste se na portál Microsoft Azure.

2. Na panelu hledání zadejte Předplatná a vyberte odpovídající položku služby.

3. Vyberte název předplatného a pak v části Nastavení vyberte Poskytovatelé prostředků.

4. Vyhledejte a vyberte Microsoft.DesktopVirtualizace a pak vyberte Znovu zaregistrovat.

5. Ověřte, že stav Microsoft.DesktopVirtualization je Registrováno.

Azure US Gov a 21Vianet

Registrace Private Link ve službě Azure Virtual Desktop (Azure pro státní správu USA a Azure provozované pouze společností 21Vianet)

Pro Azure pro státní správu USA a Azure provozované společností 21Vianet je nejprve potřeba zaregistrovat předplatné Azure pro Private Link u služby Azure Virtual Desktop:

1. Přihlaste se na portál Microsoft Azure.

2. Na panelu hledání zadejte Předplatná a vyberte odpovídající položku služby.

3. Vyberte název předplatného a pak v části Nastavení vyberte Funkce ve verzi Preview.

4. Vyberte rozevírací seznam pro typ filtru a nastavte ho na Microsoft.DesktopVirtualization.

5. Vyberte Azure Virtual Desktop Private Link a pak vyberte Zaregistrovat.

Opětovná registrace poskytovatele prostředků Azure Virtual Desktop

Po registraci předplatného musíte znovu zaregistrovat poskytovatele prostředků Microsoft.DesktopVirtualization . Musíte to udělat pro každé předplatné, které chcete použít pro Private Link s Azure Virtual Desktop:

1. Přihlaste se na portál Microsoft Azure.

2. Na panelu hledání zadejte Předplatná a vyberte odpovídající položku služby.

3. Vyberte název předplatného a pak v části Nastavení vyberte Poskytovatelé prostředků.

4. Vyhledejte a vyberte Microsoft.DesktopVirtualizace a pak vyberte Znovu zaregistrovat.

5. Ověřte, že stav Microsoft.DesktopVirtualization je Registrováno.

Vytváření privátních koncových bodů

Během procesu instalace musíte v závislosti na vašem scénáři vytvořit privátní koncové body pro následující prostředky.

1. Všechny části připojení – počáteční zjišťování kanálu, stahování informačního kanálu a připojení ke vzdáleným relacím pro klienty a hostitele relací – používají privátní trasy. Potřebujete následující privátní koncové body:

   Účel	Typ prostředku	Cílový dílčí prostředek	Množství koncového bodu
   Připojení k fondům hostitelů	Microsoft.DesktopVirtualization/hostpools	Připojení	Jeden na fond hostitelů
   Stažení informačního kanálu	Microsoft.DesktopVirtualization/workspaces	Krmivo	Jeden na pracovní prostor
   Počáteční zjišťování informačního kanálu	Microsoft.DesktopVirtualization/workspaces	Globální	Pouze jedno pro všechna nasazení služby Azure Virtual Desktop

2. Připojení ke stažení informačního kanálu a připojení ke vzdáleným relacím pro klienty a hostitele relací používají privátní trasy, ale počáteční zjišťování informačního kanálu používá veřejné trasy. Potřebujete následující privátní koncové body. Koncový bod pro počáteční zjišťování informačního kanálu se nevyžaduje.

   Účel	Typ prostředku	Cílový dílčí prostředek	Množství koncového bodu
   Připojení k fondům hostitelů	Microsoft.DesktopVirtualization/hostpools	Připojení	Jeden na fond hostitelů
   Stažení informačního kanálu	Microsoft.DesktopVirtualization/workspaces	Krmivo	Jeden na pracovní prostor

3. Privátní trasy používají pouze připojení ke vzdáleným relacím pro klienty a hostitele relací, ale veřejné trasy používají počáteční zjišťování informačního kanálu a stahování kanálu. Potřebujete následující privátní koncové body. Koncové body do pracovních prostorů se nevyžadují.

   Účel	Typ prostředku	Cílový dílčí prostředek	Množství koncového bodu
   Připojení k fondům hostitelů	Microsoft.DesktopVirtualization/hostpools	Připojení	Jeden na fond hostitelů

4. Klienti i virtuální počítače hostitelů relací používají veřejné trasy. Private Link se v tomto scénáři nepoužívá.

Důležité

• Pokud vytvoříte privátní koncový bod pro počáteční zjišťování informačního kanálu, pracovní prostor použitý pro globální dílčí prostředek řídí sdílený plně kvalifikovaný název domény (FQDN), což usnadňuje počáteční zjišťování informačních kanálů ve všech pracovních prostorech. Měli byste vytvořit samostatný pracovní prostor, který se používá jenom k tomuto účelu a nemá zaregistrované žádné skupiny aplikací. Odstraněním tohoto pracovního prostoru přestanou fungovat všechny procesy zjišťování informačního kanálu.

• Nemůžete řídit přístup k pracovnímu prostoru používanému pro počáteční zjišťování informačního kanálu (globální dílčí prostředek). Pokud tento pracovní prostor nakonfigurujete tak, aby umožňoval pouze privátní přístup, bude toto nastavení ignorováno. Tento pracovní prostor je vždy přístupný z veřejných tras.

• Přidělení IP adres se může změnit s rostoucí poptávkou po IP adresách. Během rozšiřování kapacity jsou pro privátní koncové body potřeba další adresy. Je důležité zvážit potenciální vyčerpání adresního prostoru a zajistit dostatečný prostor pro růst. Další informace o určení vhodné konfigurace sítě pro privátní koncové body v hvězdicové nebo hvězdicové topologii najdete v tématu Rozhodovací strom pro nasazení Private Link.

Připojení k fondům hostitelů

Pokud chcete vytvořit privátní koncový bod pro dílčí prostředek připojení pro připojení k fondu hostitelů, vyberte příslušnou kartu pro váš scénář a postupujte podle pokynů.

Portál

Tady je postup vytvoření privátního koncového bodu pro dílčí prostředek připojení pro připojení k fondu hostitelů pomocí Azure Portal.

1. Přihlaste se na portál Microsoft Azure.

2. Do vyhledávacího panelu zadejte Azure Virtual Desktop a výběrem odpovídající položky služby přejděte na Azure Přehled služby Virtual Desktop.

3. Vyberte Fondy hostitelů a pak vyberte název fondu hostitelů, pro který chcete vytvořit dílčí prostředek připojení .

4. V přehledu fondu hostitelů vyberte Sítě, pak Připojení privátních koncových bodů a nakonec Nový privátní koncový bod.

5. Na kartě Základy vyplňte následující informace:

   Parametr	Hodnota/popis
   Předplatné	V rozevíracím seznamu vyberte předplatné, ve které chcete vytvořit privátní koncový bod.
   Skupina prostředků	Tato možnost automaticky nastaví stejnou skupinu prostředků jako váš pracovní prostor pro privátní koncový bod, ale můžete také vybrat alternativní existující skupinu z rozevíracího seznamu nebo vytvořit novou.
   Name (Název)	Zadejte název nového privátního koncového bodu.
   Název síťového rozhraní	Název síťového rozhraní se vyplní automaticky na základě názvu, který jste dali privátnímu koncovému bodu, ale můžete také zadat jiný název.
   Oblasti	Ve výchozím nastavení se automaticky použije stejná Azure oblast jako pracovní prostor a privátní koncový bod se nasadí. Musí to být stejná oblast jako vaše virtuální síť a hostitelé relací.

   Po dokončení této karty vyberte Další: Prostředek.

6. Na kartě Prostředek ověřte hodnoty pro Předplatné, Typ prostředku a Prostředek a pak v části Cílový dílčí prostředek vyberte připojení. Po dokončení této karty vyberte Další: Virtual Network.

7. Na kartě Virtual Network vyplňte následující informace:

   Parametr	Hodnota/popis
   Virtuální síť	V rozevíracím seznamu vyberte virtuální síť, ve které chcete vytvořit privátní koncový bod.
   Podsítě	V rozevíracím seznamu vyberte podsíť virtuální sítě, ve které chcete vytvořit privátní koncový bod.
   Zásady sítě pro privátní koncové body	Pokud chcete zvolit zásadu sítě podsítě, vyberte Upravit . Další informace najdete v tématu Správa zásad sítě pro privátní koncové body.
   Konfigurace privátní IP adresy	Vyberte Dynamicky přidělovat IP adresu nebo Staticky přidělit IP adresu. Adresní prostor pochází z vybrané podsítě. Pokud se rozhodnete přidělovat IP adresy staticky, musíte vyplnit Název a Privátní IP adresu pro každého člena v seznamu.
   Skupina zabezpečení aplikace	Volitelné: Vyberte existující skupinu zabezpečení aplikace pro privátní koncový bod z rozevíracího seznamu nebo vytvořte novou. Můžete ho přidat i později.

   Po dokončení této karty vyberte Další: DNS.

8. Na kartě DNS zvolte, jestli chcete použít Azure Privátní DNS Zónu, a to tak, že u možnosti Integrace s privátní zónou DNS vyberete Ano nebo Ne. Pokud vyberete Ano, vyberte předplatné a skupinu prostředků, ve kterých chcete vytvořit privátní zónu privatelink.wvd.microsoft.comDNS . Další informace najdete v tématu Azure konfigurace DNS privátního koncového bodu.

   Po dokončení této karty vyberte Další: Značky.

9. Volitelné: Na kartě Značky můžete zadat libovolné páry název/hodnota , které potřebujete, a pak vybrat Další: Zkontrolovat a vytvořit.

10. Na kartě Zkontrolovat a vytvořit se ujistěte, že ověření proběhlo úspěšně, a zkontrolujte informace, které se používají při nasazování.

11. Vyberte Vytvořit a vytvořte privátní koncový bod pro dílčí prostředek připojení.

Azure PowerShell

Tady je postup vytvoření privátního koncového bodu pro dílčí prostředek připojení, který se používá pro připojení k fondu hostitelů pomocí modulů PowerShellu Az.Network a Az.DesktopVirtualization. Nezapomeňte změnit <placeholder> vlastní hodnoty.

1. Otevřete Azure Cloud Shell v Azure Portal s typem terminálu PowerShellu nebo spusťte PowerShell na místním zařízení.

   • Pokud používáte Cloud Shell, ujistěte se, že je kontext Azure nastavený na předplatné, které chcete použít.

   • Pokud používáte PowerShell místně, nejdřív se přihlaste pomocí Azure PowerShell a pak se ujistěte, že je kontext Azure nastavený na předplatné, které chcete použít.

2. Spuštěním následujících příkazů získejte podrobnosti o virtuální síti a podsíti, které chcete použít pro privátní koncový bod, a uložte je do proměnné:

   # Get the subnet details for the virtual network
   $subnet = (Get-AzVirtualNetwork -Name <VNetName> -ResourceGroupName <ResourceGroupName>).Subnets | ? Name -eq <SubnetName>
   

3. Spuštěním následujících příkazů vytvořte připojení služby Private Link pro fond hostitelů s dílčím prostředkem připojení.

   # Get the resource ID of the host pool
   $hostPoolId = (Get-AzWvdHostPool -Name <HostPoolName> -ResourceGroupName <ResourceGroupName>).Id
   
   # Create the service connection
   $parameters = @{
       Name = '<ServiceConnectionName>'
       PrivateLinkServiceId = $hostPoolId
       GroupId = 'connection'
   }
   
   $serviceConnection = New-AzPrivateLinkServiceConnection @parameters
   

4. Nakonec vytvořte privátní koncový bod spuštěním příkazů v jednom z následujících příkladů.

   1. Vytvoření privátního koncového bodu s dynamicky přidělenou IP adresou:

      # Specify the Azure region. This must be the same region as your virtual network and session hosts.
      $location = '<Location>'
      
      # Create the private endpoint
      $parameters = @{
          Name = '<PrivateEndpointName>'
          ResourceGroupName = '<ResourceGroupName>'
          Location = $location
          Subnet = $subnet
          PrivateLinkServiceConnection = $serviceConnection
      }
      
      New-AzPrivateEndpoint @parameters
      

   2. Vytvoření privátního koncového bodu se staticky přidělenými IP adresami:

      # Specify the Azure region. This must be the same region as your virtual network and session hosts.
      $location = '<Location>'
      
      # Create a hash table for each private endpoint IP configuration
      $ip1 = @{
          Name = 'ipconfig1'
          GroupId = 'connection'
          MemberName = 'broker'
          PrivateIPAddress = '<IPAddress>'
      }
      
      $ip2 = @{
          Name = 'ipconfig2'
          GroupId = 'connection'
          MemberName = 'diagnostics'
          PrivateIPAddress = '<IPAddress>'
      }
      
      $ip3 = @{
          Name = 'ipconfig3'
          GroupId = 'connection'
          MemberName = 'gateway-ring-map'
          PrivateIPAddress = '<IPAddress>'
      }
      
      $ip4 = @{
          Name = 'ipconfig4'
          GroupId = 'connection'
          MemberName = 'web'
          PrivateIPAddress = '<IPAddress>'
      }
      
      # Create the private endpoint IP configurations
      $ipConfig1 = New-AzPrivateEndpointIpConfiguration @ip1
      $ipConfig2 = New-AzPrivateEndpointIpConfiguration @ip2
      $ipConfig3 = New-AzPrivateEndpointIpConfiguration @ip3
      $ipConfig4 = New-AzPrivateEndpointIpConfiguration @ip4
      
      # Create the private endpoint
      $parameters = @{
          Name = '<PrivateEndpointName>'
          ResourceGroupName = '<ResourceGroupName>'
          Location = $location
          Subnet = $subnet
          PrivateLinkServiceConnection = $serviceConnection
          IpConfiguration = $ipConfig1, $ipConfig2, $ipConfig3, $ipConfig4
      }
      
      New-AzPrivateEndpoint @parameters
      

   Výstup by měl být podobný následujícímu výstupu. Zkontrolujte, že hodnota ProvisioningState je Succeeded( Úspěch).

   ResourceGroupName Name            Location ProvisioningState Subnet
   ----------------- ----            -------- ----------------- ------
   privatelink       endpoint-hp01   uksouth  Succeeded
   

5. Abyste mohli přeložit název DNS privátního koncového bodu ve virtuální síti, musíte nakonfigurovat DNS pro váš privátní koncový bod . Název zóny privátního DNS je privatelink.wvd.microsoft.com. Postup vytvoření a konfigurace zóny privátního DNS s Azure PowerShell najdete v tématu Konfigurace zóny privátního DNS.

rozhraní příkazového řádku Azure

Tady je postup vytvoření privátního koncového bodu pro dílčí prostředek připojení, který se používá pro připojení k fondu hostitelů pomocí rozšíření sítě a desktopovévirtualizace pro Azure CLI.

Důležité

V následujících příkladech budete muset změnit <placeholder> vlastní hodnoty.

1. Otevřete Azure Cloud Shell v Azure Portal s typem terminálu Bash nebo na místním zařízení spusťte Azure CLI.

   • Pokud používáte Cloud Shell, ujistěte se, že je kontext Azure nastavený na předplatné, které chcete použít.

   • Pokud používáte Azure CLI místně, nejprve se přihlaste pomocí Azure CLI a pak se ujistěte, že je váš Azure kontext nastavený na předplatné, které chcete použít.

2. Spuštěním příkazů v jednom z následujících příkladů vytvořte připojení služby Private Link a privátní koncový bod pro fond hostitelů s dílčím prostředkem připojení.

   1. Vytvoření privátního koncového bodu s dynamicky přidělenou IP adresou:

      # Specify the Azure region. This must be the same region as your virtual network and session hosts.
      location=<Location>
      
      # Get the resource ID of the host pool
      hostPoolId=$(az desktopvirtualization hostpool show \
          --name <HostPoolName> \
          --resource-group <ResourceGroupName> \
          --query [id] \
          --output tsv)
      
      # Create a service connection and the private endpoint
      az network private-endpoint create \
          --name <PrivateEndpointName> \
          --resource-group <ResourceGroupName> \
          --location $location \
          --vnet-name <VNetName> \
          --subnet <SubnetName> \
          --connection-name <ConnectionName> \
          --private-connection-resource-id $hostPoolId \
          --group-id connection \
          --output table
      

   2. Vytvoření privátního koncového bodu se staticky přidělenými IP adresami:

      # Specify the Azure region. This must be the same region as your virtual network and session hosts.
      location=<Location>
      
      # Get the resource ID of the host pool
      hostPoolId=$(az desktopvirtualization hostpool show \
          --name <HostPoolName> \
          --resource-group <ResourceGroupName> \
          --query [id] \
          --output tsv)
      
      # Store each private endpoint IP configuration in a variable
      ip1={name:ipconfig1,group-id:connection,member-name:broker,private-ip-address:<IPAddress>}
      ip2={name:ipconfig2,group-id:connection,member-name:diagnostics,private-ip-address:<IPAddress>}
      ip3={name:ipconfig3,group-id:connection,member-name:gateway-ring-map,private-ip-address:<IPAddress>}
      ip4={name:ipconfig4,group-id:connection,member-name:web,private-ip-address:<IPAddress>}
      
      # Create a service connection and the private endpoint
      az network private-endpoint create \
          --name <PrivateEndpointName> \
          --resource-group <ResourceGroupName> \
          --location $location \
          --vnet-name <VNetName> \
          --subnet <SubnetName> \
          --connection-name <ConnectionName> \
          --private-connection-resource-id $hostPoolId \
          --group-id connection \
          --ip-configs [$ip1,$ip2,$ip3,$ip4] \
          --output table
      

   Výstup by měl být podobný následujícímu výstupu. Zkontrolujte, že hodnota ProvisioningState je Succeeded( Úspěch).

   CustomNetworkInterfaceName    Location    Name                  ProvisioningState    ResourceGroup
   ----------------------------  ----------  --------------------  -------------------  ---------------
                                 uksouth     endpoint-hp01         Succeeded            privatelink
   

3. Abyste mohli přeložit název DNS privátního koncového bodu ve virtuální síti, musíte nakonfigurovat DNS pro váš privátní koncový bod . Název zóny privátního DNS je privatelink.wvd.microsoft.com. Postup vytvoření a konfigurace zóny privátního DNS s Azure CLI najdete v tématu Konfigurace privátní zóny DNS.

Důležité

Pro každý fond hostitelů, který chcete používat s Private Link, musíte vytvořit privátní koncový bod pro dílčí prostředek připojení.

---

Stažení informačního kanálu

Pokud chcete vytvořit privátní koncový bod pro dílčí prostředek informačního kanálu pro pracovní prostor, vyberte příslušnou kartu pro váš scénář a postupujte podle pokynů.

Portál

1. V přehledu Azure Virtual Desktop vyberte Pracovní prostory a pak vyberte název pracovního prostoru, pro který chcete vytvořit dílčí prostředek informačního kanálu.

2. V přehledu pracovního prostoru vyberte Sítě, pak Připojení privátních koncových bodů a nakonec Nový privátní koncový bod.

3. Na kartě Základy vyplňte následující informace:

   Parametr	Hodnota/popis
   Předplatné	V rozevíracím seznamu vyberte předplatné, ve které chcete vytvořit privátní koncový bod.
   Skupina prostředků	Tato možnost automaticky nastaví stejnou skupinu prostředků jako váš pracovní prostor pro privátní koncový bod, ale můžete také vybrat alternativní existující skupinu z rozevíracího seznamu nebo vytvořit novou.
   Name (Název)	Zadejte název nového privátního koncového bodu.
   Název síťového rozhraní	Název síťového rozhraní se vyplní automaticky na základě názvu, který jste dali privátnímu koncovému bodu, ale můžete také zadat jiný název.
   Oblasti	Ve výchozím nastavení se automaticky použije stejná Azure oblast jako pracovní prostor a privátní koncový bod se nasadí. Musí se jednat o stejnou oblast jako vaše virtuální síť.

   Po dokončení této karty vyberte Další: Prostředek.

4. Na kartě Prostředek ověřte hodnoty pro Předplatné, Typ prostředku a Prostředek a pak v části Cílový dílčí prostředek vyberte informační kanál. Po dokončení této karty vyberte Další: Virtual Network.

5. Na kartě Virtual Network vyplňte následující informace:

   Parametr	Hodnota/popis
   Virtuální síť	V rozevíracím seznamu vyberte virtuální síť, ve které chcete vytvořit privátní koncový bod.
   Podsítě	V rozevíracím seznamu vyberte podsíť virtuální sítě, ve které chcete vytvořit privátní koncový bod.
   Zásady sítě pro privátní koncové body	Pokud chcete zvolit zásadu sítě podsítě, vyberte Upravit . Další informace najdete v tématu Správa zásad sítě pro privátní koncové body.
   Konfigurace privátní IP adresy	Vyberte Dynamicky přidělovat IP adresu nebo Staticky přidělit IP adresu. Adresní prostor pochází z vybrané podsítě. Pokud se rozhodnete přidělovat IP adresy staticky, musíte vyplnit Název a Privátní IP adresu pro každého člena v seznamu.
   Skupina zabezpečení aplikace	Volitelné: Vyberte existující skupinu zabezpečení aplikace pro privátní koncový bod z rozevíracího seznamu nebo vytvořte novou. Můžete ho přidat i později.

   Po dokončení této karty vyberte Další: DNS.

6. Na kartě DNS zvolte, jestli chcete použít Azure Privátní DNS Zónu, a to tak, že u možnosti Integrace s privátní zónou DNS vyberete Ano nebo Ne. Pokud vyberete Ano, vyberte předplatné a skupinu prostředků, ve kterých chcete vytvořit privátní zónu privatelink.wvd.microsoft.comDNS . Další informace najdete v tématu Azure konfigurace DNS privátního koncového bodu.

   Po dokončení této karty vyberte Další: Značky.

7. Volitelné: Na kartě Značky můžete zadat libovolné páry název/hodnota , které potřebujete, a pak vybrat Další: Zkontrolovat a vytvořit.

8. Na kartě Zkontrolovat a vytvořit se ujistěte, že ověření proběhlo úspěšně, a zkontrolujte informace, které se používají při nasazování.

9. Vyberte Vytvořit a vytvořte privátní koncový bod pro dílčí prostředek informačního kanálu.

Azure PowerShell

1. Ve stejné relaci PowerShellu vytvořte připojení služby Private Link pro pracovní prostor s dílčím prostředkem informačního kanálu spuštěním následujících příkazů. V těchto příkladech se používá stejná virtuální síť a podsíť.

   # Get the resource ID of the workspace
   $workspaceId = (Get-AzWvdWorkspace -Name <WorkspaceName> -ResourceGroupName <ResourceGroupName>).Id
   
   # Create the service connection
   $parameters = @{
       Name = '<ServiceConnectionName>'
       PrivateLinkServiceId = $workspaceId
       GroupId = 'feed'
   }
   
   $serviceConnection = New-AzPrivateLinkServiceConnection @parameters
   

2. Nakonec vytvořte privátní koncový bod spuštěním příkazů v jednom z následujících příkladů.

   1. Vytvoření privátního koncového bodu s dynamicky přidělenou IP adresou:

      # Specify the Azure region. This must be the same region as your virtual network.
      $location = '<Location>'
      
      # Create the private endpoint
      $parameters = @{
          Name = '<PrivateEndpointName>'
          ResourceGroupName = '<ResourceGroupName>'
          Location = $location
          Subnet = $subnet
          PrivateLinkServiceConnection = $serviceConnection
      }
      
      New-AzPrivateEndpoint @parameters
      

   2. Vytvoření privátního koncového bodu se staticky přidělenou IP adresou:

      # Specify the Azure region. This must be the same region as your virtual network.
      $location = '<Location>'
      
      # Create a hash table for each private endpoint IP configuration
      $ip1 = @{
          Name = 'ipconfig1'
          GroupId = 'feed'
          MemberName = 'web-r1'
          PrivateIPAddress = '<IPAddress>'
      }
      
      $ip2 = @{
          Name = 'ipconfig2'
          GroupId = 'feed'
          MemberName = 'web-r0'
          PrivateIPAddress = '<IPAddress>'
      }
      
      # Create the private endpoint IP configurations
      $ipConfig1 = New-AzPrivateEndpointIpConfiguration @ip1
      $ipConfig2 = New-AzPrivateEndpointIpConfiguration @ip2
      
      # Create the private endpoint
      $parameters = @{
          Name = '<PrivateEndpointName>'
          ResourceGroupName = '<ResourceGroupName>'
          Location = $location
          Subnet = $subnet
          PrivateLinkServiceConnection = $serviceConnection
          IpConfiguration = $ipConfig1, $ipConfig2
      }
      
      New-AzPrivateEndpoint @parameters
      

   Výstup by měl být podobný následujícímu. Zkontrolujte, že hodnota ProvisioningState je Succeeded( Úspěch).

   ResourceGroupName Name            Location ProvisioningState Subnet
   ----------------- ----            -------- ----------------- ------
   privatelink       endpoint-ws01   uksouth  Succeeded
   

3. Abyste mohli přeložit název DNS privátního koncového bodu ve virtuální síti, musíte nakonfigurovat DNS pro váš privátní koncový bod . Název zóny privátního DNS je privatelink.wvd.microsoft.com. Postup vytvoření a konfigurace zóny privátního DNS s Azure PowerShell najdete v tématu Konfigurace zóny privátního DNS.

rozhraní příkazového řádku Azure

1. Ve stejné relaci rozhraní příkazového řádku vytvořte připojení služby Private Link a privátní koncový bod pro pracovní prostor s dílčím prostředkem informačního kanálu spuštěním následujících příkazů.

   1. Vytvoření privátního koncového bodu s dynamicky přidělenou IP adresou:

      # Specify the Azure region. This must be the same region as your virtual network.
      location=<Location>
      
      # Get the resource ID of the workspace
      workspaceId=$(az desktopvirtualization workspace show \
          --name <WorkspaceName> \
          --resource-group <ResourceGroupName> \
          --query [id] \
          --output tsv)
      
      # Create a service connection and the private endpoint
      az network private-endpoint create \
          --name <PrivateEndpointName> \
          --resource-group <ResourceGroupName> \
          --location $location \
          --vnet-name <VNetName> \
          --subnet <SubnetName> \
          --connection-name <ConnectionName> \
          --private-connection-resource-id $workspaceId \
          --group-id feed \
          --output table
      

   2. Vytvoření privátního koncového bodu se staticky přidělenými IP adresami:

      # Specify the Azure region. This must be the same region as your virtual network.
      location=<Location>
      
      # Get the resource ID of the workspace
      workspaceId=$(az desktopvirtualization workspace show \
          --name <WorkspaceName> \
          --resource-group <ResourceGroupName> \
          --query [id] \
          --output tsv)
      
      # Store each private endpoint IP configuration in a variable
      ip1={name:ipconfig1,group-id:feed,member-name:web-r1,private-ip-address:<IPAddress>}
      ip2={name:ipconfig2,group-id:feed,member-name:web-r0,private-ip-address:<IPAddress>}
      
      # Create a service connection and the private endpoint
      az network private-endpoint create \
          --name <PrivateEndpointName> \
          --resource-group <ResourceGroupName> \
          --location $location \
          --vnet-name <VNetName> \
          --subnet <SubnetName> \
          --connection-name <ConnectionName> \
          --private-connection-resource-id $workspaceId \
          --group-id feed \
          --ip-configs [$ip1,$ip2] \
          --output table
      

   Výstup by měl být podobný následujícímu. Zkontrolujte, že hodnota ProvisioningState je Succeeded( Úspěch).

   CustomNetworkInterfaceName    Location    Name                  ProvisioningState    ResourceGroup
   ----------------------------  ----------  --------------------  -------------------  ---------------
                                 uksouth     endpoint-ws01         Succeeded            privatelink
   

2. Abyste mohli přeložit název DNS privátního koncového bodu ve virtuální síti, musíte nakonfigurovat DNS pro váš privátní koncový bod . Název zóny privátního DNS je privatelink.wvd.microsoft.com. Postup vytvoření a konfigurace zóny privátního DNS s Azure CLI najdete v tématu Konfigurace privátní zóny DNS.

Důležité

Pro každý pracovní prostor, který chcete používat s Private Link, musíte vytvořit privátní koncový bod pro dílčí prostředek informačního kanálu.

Počáteční zjišťování informačního kanálu

Pokud chcete vytvořit privátní koncový bod pro globální dílčí prostředek použitý k počátečnímu zjišťování informačního kanálu, vyberte příslušnou kartu pro váš scénář a postupujte podle pokynů.

Důležité

• Pro všechna nasazení služby Virtual Desktop Azure vytvořte pouze jeden privátní koncový bod pro globální dílčí prostředek.

• Privátní koncový bod globálního dílčího prostředku libovolného pracovního prostoru řídí sdílený plně kvalifikovaný název domény (FQDN) pro počáteční zjišťování kanálu. To zase umožňuje zjišťování informačních kanálů pro všechny pracovní prostory. Protože je pracovní prostor připojený k privátnímu koncovému bodu tak důležitý, jeho odstranění způsobí, že všechny procesy zjišťování informačních kanálů přestanou fungovat. Doporučujeme vytvořit nepoužívaný zástupný pracovní prostor pro globální dílčí prostředek.

Portál

1. V přehledu služby Azure Virtual Desktop vyberte Pracovní prostory a pak vyberte název pracovního prostoru, který chcete použít pro globální dílčí prostředek.

   1. Volitelné: Místo toho vytvořte zástupný pracovní prostor pro ukončení globálního koncového bodu podle pokynů k vytvoření pracovního prostoru.

2. V přehledu pracovního prostoru vyberte Sítě, pak Připojení privátních koncových bodů a nakonec Nový privátní koncový bod.

3. Na kartě Základy vyplňte následující informace:

   Parametr	Hodnota/popis
   Předplatné	V rozevíracím seznamu vyberte předplatné, ve které chcete vytvořit privátní koncový bod.
   Skupina prostředků	Tato možnost automaticky nastaví stejnou skupinu prostředků jako váš pracovní prostor pro privátní koncový bod, ale můžete také vybrat alternativní existující skupinu z rozevíracího seznamu nebo vytvořit novou.
   Name (Název)	Zadejte název nového privátního koncového bodu.
   Název síťového rozhraní	Název síťového rozhraní se vyplní automaticky na základě názvu, který jste dali privátnímu koncovému bodu, ale můžete také zadat jiný název.
   Oblasti	Tím se automaticky nastaví stejná Azure oblast jako pracovní prostor a privátní koncový bod se nasadí. Musí se jednat o stejnou oblast jako vaše virtuální síť.

   Po dokončení této karty vyberte Další: Prostředek.

4. Na kartě Prostředek ověřte hodnoty pro Předplatné, Typ prostředku a Prostředek a pak jako Cílový dílčí prostředek vyberte globální. Po dokončení této karty vyberte Další: Virtual Network.

5. Na kartě Virtual Network vyplňte následující informace:

   Parametr	Hodnota/popis
   Virtuální síť	V rozevíracím seznamu vyberte virtuální síť, ve které chcete vytvořit privátní koncový bod.
   Podsítě	V rozevíracím seznamu vyberte podsíť virtuální sítě, ve které chcete vytvořit privátní koncový bod.
   Zásady sítě pro privátní koncové body	Pokud chcete zvolit zásadu sítě podsítě, vyberte Upravit . Další informace najdete v tématu Správa zásad sítě pro privátní koncové body.
   Konfigurace privátní IP adresy	Vyberte Dynamicky přidělovat IP adresu nebo Staticky přidělit IP adresu. Adresní prostor pochází z vybrané podsítě. Pokud se rozhodnete přidělovat IP adresy staticky, musíte vyplnit Název a Privátní IP adresu pro každého člena v seznamu.
   Skupina zabezpečení aplikace	Volitelné: Vyberte existující skupinu zabezpečení aplikace pro privátní koncový bod z rozevíracího seznamu nebo vytvořte novou. Můžete ho přidat i později.

   Po dokončení této karty vyberte Další: DNS.

6. Na kartě DNS zvolte, jestli chcete použít Azure Privátní DNS Zónu, a to tak, že u možnosti Integrace s privátní zónou DNS vyberete Ano nebo Ne. Pokud vyberete Ano, vyberte předplatné a skupinu prostředků, ve kterých chcete vytvořit privátní zónu privatelink-global.wvd.microsoft.comDNS . Další informace najdete v tématu Azure konfigurace DNS privátního koncového bodu.

   Po dokončení této karty vyberte Další: Značky.

7. Volitelné: Na kartě Značky můžete zadat libovolné páry název/hodnota , které potřebujete, a pak vybrat Další: Zkontrolovat a vytvořit.

8. Na kartě Zkontrolovat a vytvořit se ujistěte, že ověření proběhlo úspěšně, a zkontrolujte informace, které se používají při nasazování.

9. Vyberte Vytvořit a vytvořte privátní koncový bod pro globální dílčí prostředek.

Azure PowerShell

1. Volitelné: Vytvořte zástupný pracovní prostor pro ukončení globálního koncového bodu podle pokynů k vytvoření pracovního prostoru.

2. Ve stejné relaci PowerShellu vytvořte připojení služby Private Link pro pracovní prostor s globálním dílčím prostředkem spuštěním následujících příkazů. V těchto příkladech se používá stejná virtuální síť a podsíť.

   # Get the resource ID of the workspace
   $workspaceId = (Get-AzWvdWorkspace -Name <WorkspaceName> -ResourceGroupName <ResourceGroupName>).Id
   
   # Create the service connection
   $parameters = @{
       Name = '<ServiceConnectionName>'
       PrivateLinkServiceId = $workspaceId
       GroupId = 'global'
   }
   
   $serviceConnection = New-AzPrivateLinkServiceConnection @parameters
   

3. Nakonec vytvořte privátní koncový bod spuštěním příkazů v jednom z následujících příkladů.

   1. Vytvoření privátního koncového bodu s dynamicky přidělenou IP adresou:

      # Specify the Azure region. This must be the same region as your virtual network.
      $location = '<Location>'
      
      # Create the private endpoint
      $parameters = @{
          Name = '<PrivateEndpointName>'
          ResourceGroupName = '<ResourceGroupName>'
          Location = $location
          Subnet = $subnet
          PrivateLinkServiceConnection = $serviceConnection
      }
      
      New-AzPrivateEndpoint @parameters
      

   2. Vytvoření privátního koncového bodu se staticky přidělenou IP adresou:

      # Specify the Azure region. This must be the same region as your virtual network.
      $location = '<Location>'
      
      $ip = @{
          Name = '<IPConfigName>'
          GroupId = 'global'
          MemberName = 'web'
          PrivateIPAddress = '<IPAddress>'
      }
      
      $ipConfig = New-AzPrivateEndpointIpConfiguration @ip
      
      # Create the private endpoint
      $parameters = @{
          Name = '<PrivateEndpointName>'
          ResourceGroupName = '<ResourceGroupName>'
          Location = $location
          Subnet = $subnet
          PrivateLinkServiceConnection = $serviceConnection
          IpConfiguration = $ipconfig
      }
      
      New-AzPrivateEndpoint @parameters
      

   Výstup by měl být podobný následujícímu. Zkontrolujte, že hodnota ProvisioningState je Succeeded( Úspěch).

   ResourceGroupName Name            Location ProvisioningState Subnet
   ----------------- ----            -------- ----------------- ------
   privatelink       endpoint-global uksouth  Succeeded
   

4. Abyste mohli přeložit název DNS privátního koncového bodu ve virtuální síti, musíte nakonfigurovat DNS pro váš privátní koncový bod . Název zóny privátního DNS je privatelink-global.wvd.microsoft.com. Postup vytvoření a konfigurace zóny privátního DNS s Azure PowerShell najdete v tématu Konfigurace zóny privátního DNS.

rozhraní příkazového řádku Azure

1. Volitelné: Vytvořte zástupný pracovní prostor pro ukončení globálního koncového bodu podle pokynů k vytvoření pracovního prostoru.

2. Ve stejné relaci rozhraní příkazového řádku vytvořte připojení služby Private Link a privátní koncový bod pro pracovní prostor s globálním dílčím prostředkem spuštěním následujících příkazů:

   1. Vytvoření privátního koncového bodu s dynamicky přidělenou IP adresou:

      # Specify the Azure region. This must be the same region as your virtual network.
      location=<Location>
      
      # Get the resource ID of the workspace
      workspaceId=$(az desktopvirtualization workspace show \
          --name <WorkspaceName> \
          --resource-group <ResourceGroupName> \
          --query [id] \
          --output tsv)
      
      # Create a service connection and the private endpoint
      az network private-endpoint create \
          --name <PrivateEndpointName> \
          --resource-group <ResourceGroupName> \
          --location $location \
          --vnet-name <VNetName> \
          --subnet <SubnetName> \
          --connection-name <ConnectionName> \
          --private-connection-resource-id $workspaceId \
          --group-id global \
          --output table
      

   2. Vytvoření privátního koncového bodu se staticky přidělenými IP adresami:

      # Specify the Azure region. This must be the same region as your virtual network.
      location=<Location>
      
      # Get the resource ID of the workspace
      workspaceId=$(az desktopvirtualization workspace show \
          --name <WorkspaceName> \
          --resource-group <ResourceGroupName> \
          --query [id] \
          --output tsv)
      
      # Store each private endpoint IP configuration in a variable
      ip={name:ipconfig,group-id:global,member-name:web,private-ip-address:<IPAddress>}
      
      # Create a service connection and the private endpoint
      az network private-endpoint create \
          --name <PrivateEndpointName> \
          --resource-group <ResourceGroupName> \
          --location $location \
          --vnet-name <VNetName> \
          --subnet <SubnetName> \
          --connection-name <ConnectionName> \
          --private-connection-resource-id $workspaceId \
          --group-id global \
          --ip-config $ip \
          --output table
      

   Výstup by měl být podobný následujícímu. Zkontrolujte, že hodnota ProvisioningState je Succeeded( Úspěch).

   CustomNetworkInterfaceName    Location    Name                  ProvisioningState    ResourceGroup
   ----------------------------  ----------  --------------------  -------------------  ---------------
                                 uksouth     endpoint-global       Succeeded            privatelink
   

3. Abyste mohli přeložit název DNS privátního koncového bodu ve virtuální síti, musíte nakonfigurovat DNS pro váš privátní koncový bod . Název zóny privátního DNS je privatelink-global.wvd.microsoft.com. Postup vytvoření a konfigurace zóny privátního DNS s Azure CLI najdete v tématu Konfigurace privátní zóny DNS.

Zavírání veřejných tras

Po vytvoření privátních koncových bodů můžete také řídit, jestli provoz může přicházet z veřejných tras. Můžete to řídit na podrobné úrovni pomocí služby Azure Virtual Desktop nebo obecněji pomocí skupiny zabezpečení sítě (NSG) nebo Azure Firewall.

Řízení tras pomocí Azure Virtual Desktopu

S Azure Virtual Desktop můžete nezávisle řídit veřejný provoz pracovních prostorů a fondů hostitelů. Vyberte kartu relevantní pro váš scénář a postupujte podle pokynů. V Azure CLI to nejde nakonfigurovat. Tento postup je potřeba zopakovat pro každý pracovní prostor a fond hostitelů, který používáte s Private Link.

Portál

Pracovní prostory

1. V přehledu služby Azure Virtual Desktop vyberte Pracovní prostory a pak vyberte název pracovního prostoru pro řízení veřejného provozu.

2. V přehledu fondu hostitelů vyberte Sítě a pak vyberte kartu Veřejný přístup .

3. Vyberte jednu z následujících možností:

   Nastavení	Popis
   Povolení veřejného přístupu ze všech sítí	Koncoví uživatelé mají přístup k informačnímu kanálu přes veřejný internet nebo privátní koncové body.
   Zakázání veřejného přístupu a použití privátního přístupu	Koncoví uživatelé mají přístup k informačnímu kanálu jenom přes privátní koncové body.

4. Vyberte Uložit.

Fondy hostitelů

1. V přehledu služby Azure Virtual Desktop vyberte Fondy hostitelů a pak vyberte název fondu hostitelů pro řízení veřejného provozu.

2. V přehledu fondu hostitelů vyberte Sítě a pak vyberte kartu Veřejný přístup .

3. Vyberte jednu z následujících možností:

   Nastavení	Popis
   Povolení veřejného přístupu ze všech sítí	Koncoví uživatelé mají zabezpečený přístup k hostitelům informačního kanálu a relací přes veřejný internet nebo privátní koncové body.
   Povolení veřejného přístupu pro koncové uživatele a použití privátního přístupu pro hostitele relací	Koncoví uživatelé mají k informačnímu kanálu zabezpečený přístup přes veřejný internet, ale pro přístup k hostitelům relací musí používat privátní koncové body.
   Zakázání veřejného přístupu a použití privátního přístupu	Koncoví uživatelé mají přístup pouze k hostitelům informačního kanálu a relací přes privátní koncové body.

4. Vyberte Uložit.

Azure PowerShell

Důležité

Azure PowerShell rutiny pro Azure Virtual Desktop, které podporují Private Link, jsou ve verzi Preview. Abyste mohli používat tyto rutiny přidané ve verzi 5.0.0, budete si muset stáhnout a nainstalovat verzi Preview modulu Az.DesktopVirtualization .

Pracovní prostory

1. Ve stejné relaci PowerShellu můžete zakázat veřejný přístup a použít privátní přístup spuštěním následujícího příkazu:

   $parameters = @{
       Name = '<WorkspaceName>'
       ResourceGroupName = '<ResourceGroupName>'
       PublicNetworkAccess = 'Disabled'
   }
   
   Update-AzWvdWorkspace @parameters
   

2. Pokud chcete povolit veřejný přístup ze všech sítí, spusťte následující příkaz:

   $parameters = @{
       Name = '<WorkspaceName>'
       ResourceGroupName = '<ResourceGroupName>'
       PublicNetworkAccess = 'Enabled'
   }
   
   Update-AzWvdWorkspace @parameters
   

Fondy hostitelů

1. Ve stejné relaci PowerShellu můžete zakázat veřejný přístup a použít privátní přístup spuštěním následujícího příkazu:

   $parameters = @{
       Name = '<HostPoolName>'
       ResourceGroupName = '<ResourceGroupName>'
       PublicNetworkAccess = 'Disabled'
   }
   
   Update-AzWvdHostPool @parameters 
   

2. Pokud chcete povolit veřejný přístup ze všech sítí, spusťte následující příkaz:

   $parameters = @{
       Name = '<HostPoolName>'
       ResourceGroupName = '<ResourceGroupName>'
       PublicNetworkAccess = 'Enabled'
   }
   
   Update-AzWvdHostPool @parameters
   

3. Pokud chcete použít veřejný přístup pro koncové uživatele, ale privátní přístup pro hostitele relací, spusťte následující příkaz:

   $parameters = @{
       Name = '<HostPoolName>'
       ResourceGroupName = '<ResourceGroupName>'
       PublicNetworkAccess = 'EnabledForSessionHostsOnly'
   }
   
   Update-AzWvdHostPool @parameters
   

4. Pokud chcete použít privátní přístup pro koncové uživatele, ale veřejný přístup pro hostitele relací, spusťte následující příkaz:

   $parameters = @{
       Name = '<HostPoolName>'
       ResourceGroupName = '<ResourceGroupName>'
       PublicNetworkAccess = 'EnabledForClientsOnly'
   }
   
   Update-AzWvdHostPool @parameters
   

Důležité

Změna přístupu pro hostitele relací nebude mít vliv na existující relace. Po změně privátního koncového bodu na fond hostitelů musíte restartovat službu Zavaděč agenta vzdálené plochy (RDAgentBootLoader) na každém hostiteli relací ve fondu hostitelů. Tuto službu je také potřeba restartovat při každé změně síťové konfigurace fondu hostitelů. Místo restartování služby můžete restartovat jednotlivé hostitele relace.

Blokování veřejných tras pomocí skupin zabezpečení sítě nebo Azure Firewall

Pokud používáte skupiny zabezpečení sítě nebo Azure Firewall k řízení připojení z uživatelských klientských zařízení nebo hostitelů relací k privátním koncovým bodům, můžete k blokování provozu z veřejného internetu použít značku služby WindowsVirtualDesktop. Pokud pomocí této značky služby zablokujete veřejný internetový provoz, budou všechny přenosy služeb používat jenom privátní trasy.

Upozornění

• Ujistěte se, že neblokujete provoz mezi vašimi privátními koncovými body a adresami v seznamu požadovaných adres URL.

• Neblokujte určité porty z uživatelských klientských zařízení nebo hostitelů relací do privátního koncového bodu pro prostředek fondu hostitelů pomocí dílčího prostředku připojení . Celý dynamický rozsah portů TCP 1 až 65535 k privátnímu koncovému bodu je potřeba, protože mapování portů se používá na všechny globální brány prostřednictvím jedné IP adresy privátního koncového bodu odpovídající dílčímu prostředku připojení . Pokud omezíte porty na privátní koncový bod, je možné, že se uživatelé nebudou moct úspěšně připojit ke službě Azure Virtual Desktop.

Ověření Private Link pomocí Azure Virtual Desktopu

Po uzavření veřejných tras byste měli ověřit, že Private Link s Azure Virtual Desktopem funguje. Můžete to udělat tak, že zkontrolujete stav připojení jednotlivých privátních koncových bodů, stav hostitelů relací a otestujete, že se uživatelé můžou aktualizovat a připojit ke svým vzdáleným prostředkům.

Kontrola stavu připojení jednotlivých privátních koncových bodů

Pokud chcete zkontrolovat stav připojení jednotlivých privátních koncových bodů, vyberte kartu odpovídající vašemu scénáři a postupujte podle pokynů. Tyto kroky byste měli opakovat pro každý pracovní prostor a fond hostitelů, který používáte s Private Link.

Portál

Pracovní prostory

1. V přehledu služby Azure Virtual Desktop vyberte Pracovní prostory a pak vyberte název pracovního prostoru, u kterého chcete zkontrolovat stav připojení.

2. V přehledu pracovního prostoru vyberte Sítě a pak Připojení privátních koncových bodů.

3. U uvedeného privátního koncového bodu zkontrolujte , že je stav připojeníschváleno.

Fondy hostitelů

1. V přehledu služby Azure Virtual Desktop vyberte Fondy hostitelů a pak vyberte název fondu hostitelů, u kterého chcete zkontrolovat stav připojení.

2. V přehledu fondu hostitelů vyberte Sítě a pak Připojení privátních koncových bodů.

3. U uvedeného privátního koncového bodu zkontrolujte , že je stav připojeníschváleno.

Azure PowerShell

Důležité

Pokud chcete spustit následující příkazy, musíte použít verzi Preview modulu Az.DesktopVirtualization. Další informace a informace o stažení a instalaci modulu Preview najdete v tématu Galerie prostředí PowerShell.

Pracovní prostory

1. Ve stejné relaci PowerShellu spuštěním následujících příkazů zkontrolujte stav připojení pracovního prostoru:

   (Get-AzWvdWorkspace -Name <WorkspaceName> -ResourceGroupName <ResourceGroupName).PrivateEndpointConnection | FL Name, PrivateLinkServiceConnectionStateStatus, PrivateLinkServiceConnectionStateDescription, PrivateLinkServiceConnectionStateActionsRequired
   

   Výstup by měl být podobný následujícímu. Zkontrolujte, jestli je hodnota PrivateLinkServiceConnectionStateStatusschválená.

   Name                                             : endpoint-ws01
   PrivateLinkServiceConnectionStateStatus          : Approved
   PrivateLinkServiceConnectionStateDescription     : Auto-approved
   PrivateLinkServiceConnectionStateActionsRequired : None
   

Fondy hostitelů

1. Ve stejné relaci PowerShellu spuštěním následujících příkazů zkontrolujte stav připojení fondu hostitelů:

   (Get-AzWvdHostPool -Name <HostPoolName> -ResourceGroupName <ResourceGroupName).PrivateEndpointConnection | FL Name, PrivateLinkServiceConnectionStateStatus, PrivateLinkServiceConnectionStateDescription, PrivateLinkServiceConnectionStateActionsRequired
   

   Výstup by měl být podobný následujícímu. Zkontrolujte, jestli je hodnota PrivateLinkServiceConnectionStateStatusschválená.

   Name                                             : endpoint-hp01
   PrivateLinkServiceConnectionStateStatus          : Approved
   PrivateLinkServiceConnectionStateDescription     : Auto-approved
   PrivateLinkServiceConnectionStateActionsRequired : None
   
   

rozhraní příkazového řádku Azure

1. Ve stejné relaci rozhraní příkazového řádku spusťte následující příkazy, které zkontrolují stav připojení pracovního prostoru nebo fondu hostitelů:

   az network private-endpoint show \
       --name <PrivateEndpointName> \
       --resource-group <ResourceGroupName> \
       --query "{name:name, privateLinkServiceConnectionStates:privateLinkServiceConnections[].privateLinkServiceConnectionState}"
   

   Výstup by měl být podobný následujícímu. Zkontrolujte, že hodnota pro stavje Schváleno.

   {
     "name": "endpoint-ws01",
     "privateLinkServiceConnectionStates": [
       {
         "actionsRequired": "None",
         "description": "Auto-approved",
         "status": "Approved"
       }
     ]
   }
   

Kontrola stavu hostitelů relací

1. Zkontrolujte stav hostitelů relací ve službě Azure Virtual Desktop.

   1. V přehledu Azure Virtual Desktopu vyberte Fondy hostitelů a pak vyberte název fondu hostitelů.

   2. V části Spravovat vyberte Hostitelé relací.

   3. Zkontrolujte seznam hostitelů relací a zkontrolujte, jestli je jejich stav K dispozici.

Kontrola, že se uživatelé můžou připojit

Testování, že se uživatelé můžou připojit ke svým vzdáleným prostředkům:

1. Použijte klienta Vzdálené plochy a ujistěte se, že se můžete přihlásit k odběru a aktualizovat pracovní prostory.

2. Nakonec se ujistěte, že se uživatelé můžou připojit ke vzdálené relaci.

Povolení protokolu UDP přes Private Link (výslovný souhlas)

Pokud chcete pro spravované sítě přes Azure Virtual Desktop Private Link používat přenosy založené na protokolu UDP, jako je například RDP Shortpath, musíte explicitně povolit protokol UDP v pracovním prostoru nebo fondu hostitelů a zajistit, aby veřejné možnosti shortpath byly zakázané.

1. V Azure Portal otevřete prostředky Azure Virtual DesktopHost nebo Pracovní prostory.

2. Přejděte do části Sítě → veřejný přístup.

3. V části Veřejný přístup zvolte jednu z následujících možností:

   • Povolení veřejného přístupu pro koncové uživatele, použití privátního přístupu pro hostitele relací nebo

   • Zakázání veřejného přístupu a použití privátního přístupu

     When either of these options is selected, the portal displays an additional opt‑in checkbox:  
     

     

4. Zapněte možnost Povolit přímou síťovou cestu UDP přes Private Link, aby se povolily přenosy založené na protokolu UDP (například RDP Shortpath pro spravované sítě).

5. Přejděte na kartu RDP Shortpath a zakažte veřejné možnosti shortpath:

   • RDP Shortpath pro veřejné sítě (přes STUN)

   • RDP Shortpath pro veřejné sítě (přes TURN) Portál zablokuje možnost Uložit a zobrazí chybu konfigurace, pokud jsou tyto veřejné možnosti stále povolené.
     

6. Vyberte Uložit.

RDP Shortpath pro spravované sítě – ověření konfigurace

• Pokud je povolená funkce RDP Shortpath pro spravované sítě , portál zabrání povolení veřejných možností shortpath (STUN nebo TURN) a blokuje možnost Uložit , dokud konflikt nevyřešíte.

• Pokud možnost pouze privátní není povolena, všechny možnosti Shortpath by měly být zakázány. bloky portálu Uložit , pokud nejsou

Požadavky a omezení

• Pro přenosy UDP přes Private Link se vyžaduje výslovný souhlas: Povolit přímou síťovou cestu UDP přes Private Link musí být povolená na stránce Sítě pracovního prostoru nebo fondu hostitelů.

• Funkce STUN/TURN (Public Network Shortpath) není podporována u Private Link. Použijte funkci RDP Shortpath pro spravované sítě nebo RDP Shortpath pro spravované sítě (STUN) s Private Link.

Důležité

Zaškrtávací políčko pro vyjádření výslovného souhlasu s protokolem UDP se stane povinným pro povolení funkce RDP Shortpath s privátním propojením. Pokud políčko zaškrtnuté není, funkce RDP Shortpath se pro Private Link připojení zablokuje.

Další kroky

• Další informace o konfiguraci funkce RDP Shortpath najdete v tématu Konfigurace funkce RDP Shortpath.

• Další informace o Private Link pro Azure Virtual Desktop najdete v článku Použití Private Link se službou Azure Virtual Desktop.

• Informace o konfiguraci DNS privátního koncového bodu Azure najdete v tématu Private Link integrace DNS.

• Obecné průvodce odstraňováním potíží pro Private Link najdete v tématu Řešení potíží s připojením k privátnímu koncovému bodu Azure.

• Zjistěte, jak funguje připojení ke službě Azure Virtual Desktop na Azure připojení k síti služby Virtual Desktop.

• Seznam adres URL, které je potřeba odblokovat, abyste zajistili síťový přístup ke službě Azure Virtual Desktop, najdete v seznamu Požadovaných adres URL.