Az Azure Virtual Desktop hálózati kapcsolatainak ismertetése
Az Azure Virtual Desktop lehetővé teszi az ügyfél-munkamenetek üzemeltetését az Azure-ban futó munkamenet-gazdagépeken. A Microsoft kezeli a szolgáltatások egyes részeit az ügyfél nevében, és biztonságos végpontokat biztosít az ügyfelek és a munkamenet-gazdagépek csatlakoztatásához. Az alábbi ábra az Azure Virtual Desktop által használt hálózati kapcsolatok magas szintű áttekintését mutatja be
Munkamenet-kapcsolat
Az Azure Virtual Desktop távoli asztali protokollt (RDP) használ a távoli megjelenítési és bemeneti képességek hálózati kapcsolatokon keresztüli biztosításához. Az RDP kezdetben a Windows NT 4.0 Terminal Server Edition kiadással jelent meg, és folyamatosan fejlődik minden Microsoft Windows- és Windows Server-kiadással. Az RDP a kezdetektől fogva független volt a mögöttes átviteli veremtől, és ma már több átviteli típust is támogat.
Fordított csatlakozású átvitel
Az Azure Virtual Desktop fordított kapcsolatú átvitelt használ a távoli munkamenet létrehozásához és az RDP-forgalom hordozásához. A helyszíni távoli asztali szolgáltatások üzemelő példányaival ellentétben a fordított kapcsolat átvitele nem használ TCP-figyelőt a bejövő RDP-kapcsolatok fogadásához. Ehelyett kimenő kapcsolatot használ az Azure Virtual Desktop-infrastruktúrához a HTTPS-kapcsolaton keresztül.
Munkamenet-gazdagép kommunikációs csatornája
Az Azure Virtual Desktop munkamenetgazda indításakor a Távoli asztali ügynökbetöltő szolgáltatás létrehozza az Azure Virtual Desktop-közvetítő állandó kommunikációs csatornáját. Ez a kommunikációs csatorna egy biztonságos Transport Layer Security (TLS) kapcsolatra van rétegzve, és a munkamenet-gazdagép és az Azure Virtual Desktop-infrastruktúra közötti szolgáltatásüzenet-csere buszaként szolgál.
Ügyfélkapcsolat-sorrend
Az alábbiakban ismertetett ügyfélkapcsolat-sorozat:
- A támogatott Azure Virtual Desktop-ügyfélfelhasználó előfizet az Azure Virtual Desktop-munkaterületre
- A Microsoft Entra hitelesíti a felhasználót, és visszaadja a felhasználó számára elérhető erőforrások számbavételéhez használt jogkivonatot
- Az ügyfél jogkivonatot ad át az Azure Virtual Desktop-hírcsatorna-előfizetési szolgáltatásnak
- Az Azure Virtual Desktop-hírcsatorna-előfizetési szolgáltatás ellenőrzi a jogkivonatot
- Az Azure Virtual Desktop-hírcsatorna-előfizetési szolgáltatás digitálisan aláírt kapcsolatkonfiguráció formájában továbbítja az elérhető asztalok és alkalmazások listáját az ügyfélnek
- Az ügyfél az egyes elérhető erőforrások kapcsolatkonfigurációját .rdp-fájlok készletében tárolja
- Amikor egy felhasználó kiválasztja a csatlakozni kívánt erőforrást, az ügyfél a társított .rdp fájlt használja, és létrehozza a biztonságos TLS 1.2-kapcsolatot egy Azure Virtual Desktop-átjárópéldányhoz az Azure Front Door segítségével, és átadja a kapcsolati adatokat. A rendszer kiértékeli az összes átjáró késését, és az átjárókat 10ms-csoportokba helyezi. A legalacsonyabb késéssel rendelkező átjáró, majd a meglévő kapcsolatok legalacsonyabb száma lesz kiválasztva.
- Az Azure Virtual Desktop-átjáró ellenőrzi a kérést, és felkéri az Azure Virtual Desktop-közvetítőt a kapcsolat vezénylésére
- Az Azure Virtual Desktop-közvetítő azonosítja a munkamenet-gazdagépet, és a korábban létrehozott állandó kommunikációs csatornát használja a kapcsolat inicializálásához
- A Távoli asztal verem kezdeményezi a TLS 1.2-kapcsolatot az ügyfél által használt Azure Virtual Desktop-átjárópéldánysal
- Miután az ügyfél és a munkamenet-gazdagép is csatlakozott az átjáróhoz, az átjáró elkezdi a nyers adatok átvitelét mindkét végpont között, ezzel létrehozza az RDP alapirányú fordított kapcsolatát.
- Az alapátvitel beállítása után az ügyfél elindítja az RDP kézfogást
Kapcsolatbiztonság
A TLS 1.2 az ügyfelek és a munkamenet-gazdagépek és az Azure Virtual Desktop-infrastruktúra összetevői által kezdeményezett összes kapcsolathoz használható. Az Azure Virtual Desktop ugyanazokat a TLS 1.2-titkosításokat használja, mint az Azure Front Door. Fontos meggyőződni arról, hogy az ügyfélszámítógépek és a munkamenet-gazdagépek is használhatják ezeket a titkosításokat. A fordított kapcsolat átviteléhez az ügyfél és a munkamenet-gazdagép is csatlakozik az Azure Virtual Desktop-átjáróhoz. A TCP-kapcsolat létrehozása után az ügyfél vagy munkamenet-gazdagép ellenőrzi az Azure Virtual Desktop-átjáró tanúsítványát. Az alapátvitel létrehozása után az RDP beágyazott TLS-kapcsolatot hoz létre az ügyfél és a munkamenet-gazdagép között a munkamenetgazda tanúsítványai használatával. Alapértelmezés szerint az RDP-titkosításhoz használt tanúsítványt az operációs rendszer saját maga hozza létre az üzembe helyezés során. Igény szerint az ügyfelek központilag felügyelt tanúsítványokat helyezhetnek üzembe, amelyeket a vállalati hitelesítésszolgáltató állít ki. A tanúsítványok konfigurálásáról további információt a Windows Server dokumentációjában talál.
Következő lépések
- Az Azure Virtual Desktop sávszélesség-követelményeiről az Azure Virtual Desktop távoli asztali protokoll (RDP) sávszélesség-követelményeinek ismertetése című témakörben olvashat.
- Az Azure Virtual Desktop szolgáltatásminőségével (QoS) kapcsolatos első lépésekért tekintse meg az Azure Virtual Desktop szolgáltatásminőségének (QoS) implementálását ismertető témakört.