Az Azure Virtual Desktop hálózati kapcsolatainak ismertetése

Az Azure Virtual Desktop lehetővé teszi az ügyfél-munkamenetek üzemeltetését az Azure-ban futó munkamenet-gazdagépeken. A Microsoft kezeli a szolgáltatások egyes részeit az ügyfél nevében, és biztonságos végpontokat biztosít az ügyfelek és a munkamenet-gazdagépek csatlakoztatásához. Az alábbi ábra az Azure Virtual Desktop által használt hálózati kapcsolatok magas szintű áttekintését mutatja be

Munkamenet-kapcsolat

Az Azure Virtual Desktop távoli asztali protokollt (RDP) használ a távoli megjelenítési és bemeneti képességek hálózati kapcsolatokon keresztüli biztosításához. Az RDP kezdetben a Windows NT 4.0 Terminal Server Edition kiadással jelent meg, és folyamatosan fejlődik minden Microsoft Windows- és Windows Server-kiadással. Az RDP a kezdetektől fogva független volt a mögöttes átviteli veremtől, és ma már több átviteli típust is támogat.

Fordított csatlakozású átvitel

Az Azure Virtual Desktop fordított kapcsolatú átvitelt használ a távoli munkamenet létrehozásához és az RDP-forgalom hordozásához. A helyszíni távoli asztali szolgáltatások üzemelő példányaival ellentétben a fordított kapcsolat átvitele nem használ TCP-figyelőt a bejövő RDP-kapcsolatok fogadásához. Ehelyett kimenő kapcsolatot használ az Azure Virtual Desktop-infrastruktúrához a HTTPS-kapcsolaton keresztül.

Munkamenet-gazdagép kommunikációs csatornája

Az Azure Virtual Desktop munkamenetgazda indításakor a Távoli asztali ügynökbetöltő szolgáltatás létrehozza az Azure Virtual Desktop-közvetítő állandó kommunikációs csatornáját. Ez a kommunikációs csatorna egy biztonságos Transport Layer Security (TLS) kapcsolatra van rétegzve, és a munkamenet-gazdagép és az Azure Virtual Desktop-infrastruktúra közötti szolgáltatásüzenet-csere buszaként szolgál.

Ügyfélkapcsolat-sorrend

Az alábbiakban ismertetett ügyfélkapcsolat-sorozat:

1. A támogatott Azure Virtual Desktop-ügyfélfelhasználó előfizet az Azure Virtual Desktop-munkaterületre
2. A Microsoft Entra hitelesíti a felhasználót, és visszaadja a felhasználó számára elérhető erőforrások számbavételéhez használt jogkivonatot
3. Az ügyfél jogkivonatot ad át az Azure Virtual Desktop-hírcsatorna-előfizetési szolgáltatásnak
4. Az Azure Virtual Desktop-hírcsatorna-előfizetési szolgáltatás ellenőrzi a jogkivonatot
5. Az Azure Virtual Desktop-hírcsatorna-előfizetési szolgáltatás digitálisan aláírt kapcsolatkonfiguráció formájában továbbítja az elérhető asztalok és alkalmazások listáját az ügyfélnek
6. Az ügyfél az egyes elérhető erőforrások kapcsolatkonfigurációját .rdp-fájlok készletében tárolja
7. Amikor egy felhasználó kiválasztja a csatlakozni kívánt erőforrást, az ügyfél a társított .rdp fájlt használja, és létrehozza a biztonságos TLS 1.2-kapcsolatot egy Azure Virtual Desktop-átjárópéldányhoz az Azure Front Door segítségével, és átadja a kapcsolati adatokat. A rendszer kiértékeli az összes átjáró késését, és az átjárókat 10ms-csoportokba helyezi. A legalacsonyabb késéssel rendelkező átjáró, majd a meglévő kapcsolatok legalacsonyabb száma lesz kiválasztva.
8. Az Azure Virtual Desktop-átjáró ellenőrzi a kérést, és felkéri az Azure Virtual Desktop-közvetítőt a kapcsolat vezénylésére
9. Az Azure Virtual Desktop-közvetítő azonosítja a munkamenet-gazdagépet, és a korábban létrehozott állandó kommunikációs csatornát használja a kapcsolat inicializálásához
10. A Távoli asztal verem kezdeményezi a TLS 1.2-kapcsolatot az ügyfél által használt Azure Virtual Desktop-átjárópéldánysal
11. Miután az ügyfél és a munkamenet-gazdagép is csatlakozott az átjáróhoz, az átjáró elkezdi a nyers adatok átvitelét mindkét végpont között, ezzel létrehozza az RDP alapirányú fordított kapcsolatát.
12. Az alapátvitel beállítása után az ügyfél elindítja az RDP kézfogást

Kapcsolatbiztonság

A TLS 1.2 az ügyfelek és a munkamenet-gazdagépek és az Azure Virtual Desktop-infrastruktúra összetevői által kezdeményezett összes kapcsolathoz használható. Az Azure Virtual Desktop ugyanazokat a TLS 1.2-titkosításokat használja, mint az Azure Front Door. Fontos meggyőződni arról, hogy az ügyfélszámítógépek és a munkamenet-gazdagépek is használhatják ezeket a titkosításokat. A fordított kapcsolat átviteléhez az ügyfél és a munkamenet-gazdagép is csatlakozik az Azure Virtual Desktop-átjáróhoz. A TCP-kapcsolat létrehozása után az ügyfél vagy munkamenet-gazdagép ellenőrzi az Azure Virtual Desktop-átjáró tanúsítványát. Az alapátvitel létrehozása után az RDP beágyazott TLS-kapcsolatot hoz létre az ügyfél és a munkamenet-gazdagép között a munkamenetgazda tanúsítványai használatával. Alapértelmezés szerint az RDP-titkosításhoz használt tanúsítványt az operációs rendszer saját maga hozza létre az üzembe helyezés során. Igény szerint az ügyfelek központilag felügyelt tanúsítványokat helyezhetnek üzembe, amelyeket a vállalati hitelesítésszolgáltató állít ki. A tanúsítványok konfigurálásáról további információt a Windows Server dokumentációjában talál.

Következő lépések

• Az Azure Virtual Desktop sávszélesség-követelményeiről az Azure Virtual Desktop távoli asztali protokoll (RDP) sávszélesség-követelményeinek ismertetése című témakörben olvashat.
• Az Azure Virtual Desktop szolgáltatásminőségével (QoS) kapcsolatos első lépésekért tekintse meg az Azure Virtual Desktop szolgáltatásminőségének (QoS) implementálását ismertető témakört.