Memahami konektivitas jaringan Azure Virtual Desktop

Azure Virtual Desktop menghosting sesi klien pada host sesi yang berjalan di Azure. Microsoft mengelola bagian layanan atas nama pelanggan dan menyediakan titik akhir yang aman untuk menghubungkan klien dan host sesi. Diagram berikut memberikan gambaran umum tingkat tinggi tentang koneksi jaringan yang digunakan oleh Azure Virtual Desktop.

Konektivitas sesi

Azure Virtual Desktop menggunakan Protokol Desktop Jarak Jauh (RDP) untuk menyediakan kapabilitas tampilan dan input jarak jauh melalui koneksi jaringan. RDP awalnya dirilis dengan Windows NT 4.0 Terminal Server Edition dan terus berkembang dengan setiap perilisan Microsoft Windows dan Windows Server. Sejak awal, RDP dikembangkan untuk independen dari tumpukan transmisi yang mendasarinya, dan hari ini mendukung beberapa jenis transmisi.

Transmisi koneksi terbalik

Azure Virtual Desktop menggunakan transmisi koneksi terbalik untuk membuat sesi jarak jauh dan untuk membawa lalu lintas RDP. Tidak seperti penyebaran Layanan Desktop Jauh lokal, transmisi koneksi terbalik tidak menggunakan pendengar TCP untuk menerima koneksi RDP masuk. Sebagai gantinya, ini menggunakan konektivitas keluar ke infrastruktur Azure Virtual Desktop melalui koneksi HTTPS.

Saluran komunikasi host sesi

Setelah memulai host sesi Azure Virtual Desktop, layanan Pemuat Agen Desktop Jarak Jauh menetapkan saluran komunikasi persisten broker Azure Virtual Desktop. Saluran komunikasi ini berlapis di atas koneksi Keamanan Lapisan Transportasi (TLS) yang aman dan berfungsi sebagai bus untuk pertukaran pesan layanan antara host sesi dan infrastruktur Azure Virtual Desktop.

Urutan koneksi klien

Urutan koneksi klien adalah sebagai berikut:

1. Menggunakan pengguna klien Azure Virtual Desktop yang didukung untuk berlangganan ke Ruang Kerja Azure Virtual Desktop.

2. Microsoft Entra mengautentikasi pengguna dan mengembalikan token yang digunakan untuk menghitung sumber daya yang tersedia untuk pengguna.

3. Klien meneruskan token ke layanan langganan umpan Azure Virtual Desktop.

4. Layanan langganan umpan Azure Virtual Desktop memvalidasi token.

5. Layanan langganan umpan Azure Virtual Desktop meneruskan daftar desktop dan aplikasi yang tersedia kembali ke klien dalam bentuk konfigurasi koneksi yang ditandatangani secara digital.

6. Klien menyimpan konfigurasi koneksi untuk setiap sumber daya yang tersedia dalam satu set .rdp file.

7. Saat pengguna memilih sumber daya untuk disambungkan .rdp , klien menggunakan file terkait dan membuat koneksi TLS 1.2 yang aman ke instans gateway Azure Virtual Desktop dengan bantuan Azure Front Door dan meneruskan informasi koneksi. Latensi dari semua gateway dievaluasi, dan gateway dimasukkan ke dalam grup 10 md. Gateway dengan latensi terendah lalu jumlah koneksi terendah yang ada dipilih.

8. Gateway Azure Virtual Desktop memvalidasi permintaan dan meminta broker Azure Virtual Desktop untuk mengatur koneksi.

9. Broker Azure Virtual Desktop mengidentifikasi host sesi dan menggunakan saluran komunikasi persisten yang dibuat sebelumnya untuk menginisialisasi koneksi.

10. Tumpukan Desktop Jauh memulai koneksi TLS 1.2 ke instans gateway Azure Virtual Desktop yang sama seperti yang digunakan oleh klien.

11. Setelah klien dan host sesi tersambung ke gateway, gateway mulai menyampaikan data di antara kedua titik akhir. Koneksi ini menetapkan transportasi koneksi terbalik dasar untuk koneksi RDP melalui terowongan berlapis, menggunakan versi TLS yang disepakati bersama yang didukung dan diaktifkan antara klien dan host sesi, hingga TLS 1.3.

12. Setelah transportasi dasar diatur, klien memulai jabat tangan RDP.

Keamanan koneksi

TLS digunakan untuk semua koneksi. Versi yang digunakan tergantung pada koneksi mana yang dibuat dan kemampuan klien dan host sesi:

• Untuk semua koneksi yang dimulai dari klien dan host sesi ke komponen infrastruktur Azure Virtual Desktop, TLS 1.2 digunakan. Azure Virtual Desktop menggunakan cipher TLS 1.2 yang sama dengan Azure Front Door. Anda perlu memastikan bahwa komputer klien dan host sesi dapat menggunakan cipher ini.

• Untuk transportasi koneksi terbalik, klien dan host sesi terhubung ke gateway Azure Virtual Desktop. Setelah koneksi TCP untuk transportasi dasar dibuat, klien atau host sesi memvalidasi sertifikat gateway Azure Virtual Desktop. RDP kemudian membuat koneksi TLS berlapis antara klien dan host sesi menggunakan sertifikat host sesi. Versi TLS menggunakan versi TLS yang disepakati bersama yang didukung dan diaktifkan antara klien dan host sesi, hingga TLS 1.3. TLS 1.3 didukung mulai Windows 11 (21H2) dan di Windows Server 2022. Untuk mempelajari selengkapnya, lihat Dukungan TLS Windows 11. Untuk sistem operasi lainnya, tanyakan kepada vendor sistem operasi untuk dukungan TLS 1.3.

Secara default, sertifikat yang digunakan untuk enkripsi RDP dibuat sendiri oleh OS selama penyebaran. Anda juga dapat menyebarkan sertifikat yang dikelola secara terpusat yang dikeluarkan oleh otoritas sertifikasi perusahaan. Untuk informasi selengkapnya tentang mengonfigurasi sertifikat, lihat Konfigurasi sertifikat pendengar Desktop Jauh.

Langkah berikutnya

• Untuk mempelajari tentang persyaratan bandwidth untuk Azure Virtual Desktop, lihat Memahami Persyaratan Bandwidth Remote Desktop Protocol (RDP) untuk Azure Virtual Desktop.
• Untuk mulai menggunakan Kualitas Layanan (QoS) untuk Azure Virtual Desktop, lihat Menerapkan Kualitas Layanan ( Quality of Service, QoS) untuk Azure Virtual Desktop.