Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Możesz użyć Azure Private Link z usługą Azure Virtual Desktop, aby prywatnie łączyć się z zasobami zdalnymi. Tworząc prywatny punkt końcowy, ruch między siecią wirtualną a usługą pozostaje w sieci firmy Microsoft, więc nie musisz już ujawniać usługi w publicznym Internecie. Możesz również użyć sieci VPN lub usługi ExpressRoute dla użytkowników z klientem pulpitu zdalnego w celu nawiązania połączenia z siecią wirtualną. Utrzymywanie ruchu w sieci firmy Microsoft zwiększa bezpieczeństwo i zapewnia bezpieczeństwo danych. W tym artykule opisano, w jaki sposób Private Link mogą pomóc w zabezpieczeniu środowiska usługi Azure Virtual Desktop.
Jak działa Private Link z usługą Azure Virtual Desktop?
Usługa Azure Virtual Desktop ma trzy przepływy pracy z trzema odpowiednimi typami zasobów do użycia z prywatnymi punktami końcowymi. Te przepływy pracy to:
Początkowe odnajdywanie kanału informacyjnego: umożliwia klientowi odnajdywanie wszystkich obszarów roboczych przypisanych do użytkownika. Aby włączyć ten proces, należy utworzyć jeden prywatny punkt końcowy dla globalnego zasobu podrzędnego do dowolnego obszaru roboczego. Jednak w całym wdrożeniu usługi Azure Virtual Desktop można utworzyć tylko jeden prywatny punkt końcowy. Ten punkt końcowy tworzy wpisy systemu nazw domen (DNS) i prywatne trasy IP dla globalnej w pełni kwalifikowanej nazwy domeny (FQDN) wymaganej do początkowego odnajdywania kanału informacyjnego. To połączenie staje się pojedynczą, udostępnioną trasą dla wszystkich klientów do użycia.
Pobieranie kanału informacyjnego: klient pobiera wszystkie szczegóły połączenia dla określonego użytkownika dla obszarów roboczych, które hostują grupy aplikacji. Tworzysz prywatny punkt końcowy dla zasobu podrzędnego kanału informacyjnego dla każdego obszaru roboczego, którego chcesz użyć z Private Link.
Connections do hostowania pul: każde połączenie z pulą hostów ma dwie strony — klientów i hostów sesji. Musisz utworzyć prywatny punkt końcowy dla zasobu podrzędnego połączenia dla każdej puli hostów, której chcesz użyć z Private Link.
Na poniższym diagramie wysokiego poziomu pokazano, jak Private Link bezpiecznie łączy klienta lokalnego z usługą Azure Virtual Desktop. Aby uzyskać bardziej szczegółowe informacje na temat połączeń klienta, zobacz Sekwencja połączeń klienta.
Obsługiwane scenariusze
Podczas dodawania Private Link za pomocą usługi Azure Virtual Desktop dostępne są następujące obsługiwane scenariusze nawiązywania połączenia z usługą Azure Virtual Desktop. Który scenariusz wybierzesz, zależy od wymagań. Możesz udostępnić te prywatne punkty końcowe w topologii sieci lub wyizolować sieci wirtualne, aby każdy z nich miał własny prywatny punkt końcowy do puli hostów lub obszaru roboczego.
Wszystkie części połączenia — początkowe odnajdywanie kanałów informacyjnych, pobieranie kanałów informacyjnych i połączenia sesji zdalnej dla klientów i hostów sesji — używają tras prywatnych. Potrzebne są następujące prywatne punkty końcowe:
Cel Typ zasobu Docelowy zasób podrzędny Ilość punktów końcowych Connections do pul hostów Microsoft.DesktopVirtualization/hostpools połączenie Jeden na pulę hostów Pobieranie kanału informacyjnego Microsoft.DesktopWirtualizacja/obszary robocze karmić Jeden na obszar roboczy Początkowe odnajdywanie kanału informacyjnego Microsoft.DesktopWirtualizacja/obszary robocze globalny Tylko jeden dla wszystkich wdrożeń usługi Azure Virtual Desktop Połączenia pobierania kanału informacyjnego i sesji zdalnej dla klientów i hostów sesji używają tras prywatnych, ale początkowe odnajdywanie kanałów informacyjnych używa tras publicznych. Potrzebne są następujące prywatne punkty końcowe. Punkt końcowy początkowego odnajdywania kanału informacyjnego nie jest wymagany.
Cel Typ zasobu Docelowy zasób podrzędny Ilość punktów końcowych Connections do pul hostów Microsoft.DesktopVirtualization/hostpools połączenie Jeden na pulę hostów Pobieranie kanału informacyjnego Microsoft.DesktopWirtualizacja/obszary robocze karmić Jeden na obszar roboczy Tylko połączenia sesji zdalnej dla klientów i hostów sesji używają tras prywatnych, ale początkowe odnajdywanie kanału informacyjnego i pobieranie kanału informacyjnego używają tras publicznych. Potrzebne są następujące prywatne punkty końcowe. Punkty końcowe do obszarów roboczych nie są wymagane.
Cel Typ zasobu Docelowy zasób podrzędny Ilość punktów końcowych Connections do pul hostów Microsoft.DesktopVirtualization/hostpools połączenie Jeden na pulę hostów Zarówno klienci, jak i maszyny wirtualne hosta sesji używają tras publicznych. Private Link nie jest używana w tym scenariuszu.
Ważna
Jeśli tworzysz prywatny punkt końcowy na potrzeby początkowego odnajdywania kanału informacyjnego, obszar roboczy używany dla globalnego zasobu podrzędnego zarządza udostępnioną w pełni kwalifikowaną nazwą domeny (FQDN), ułatwiając początkowe odnajdywanie kanałów informacyjnych we wszystkich obszarach roboczych. Należy utworzyć oddzielny obszar roboczy, który jest używany tylko do tego celu i nie ma żadnych grup aplikacji zarejestrowanych w nim. Usunięcie tego obszaru roboczego spowoduje, że wszystkie procesy odnajdywania kanału informacyjnego przestaną działać.
Nie można kontrolować dostępu do obszaru roboczego używanego do początkowego odnajdywania źródła danych (globalnego zasobu podrzędnego). Jeśli skonfigurujesz ten obszar roboczy tak, aby zezwalał tylko na dostęp prywatny, to ustawienie jest ignorowane. Ten obszar roboczy jest zawsze dostępny z tras publicznych.
Alokacje adresów IP mogą ulec zmianie w miarę wzrostu zapotrzebowania na adresy IP. Podczas rozszerzania pojemności potrzebne są dodatkowe adresy dla prywatnych punktów końcowych. Ważne jest, aby wziąć pod uwagę potencjalne wyczerpanie przestrzeni adresowej i zapewnić wystarczającą ilość miejsca na rozwój. Aby uzyskać więcej informacji na temat określania odpowiedniej konfiguracji sieci dla prywatnych punktów końcowych w topologii koncentratora lub szprychy, zobacz Drzewo decyzyjne dotyczące wdrażania Private Link.
Wyniki konfiguracji
Ustawienia odpowiednich obszarów roboczych i pul hostów usługi Azure Virtual Desktop można skonfigurować w celu ustawienia dostępu publicznego lub prywatnego. W przypadku połączeń z obszarem roboczym, z wyjątkiem obszaru roboczego używanego do początkowego odnajdywania źródła danych (globalnego zasobu podrzędnego), w poniższej tabeli szczegółowo opisano wynik każdego scenariusza:
| Konfiguracja | Wynik |
|---|---|
| Dostęp publiczny włączony ze wszystkich sieci | Żądania kanału informacyjnego obszaru roboczego są dozwolone z tras publicznych . Żądania kanału informacyjnego obszaru roboczego są dozwolone z tras prywatnych . |
| Dostęp publiczny wyłączony ze wszystkich sieci | Żądania kanału informacyjnego obszaru roboczego są odrzucane z tras publicznych . Żądania kanału informacyjnego obszaru roboczego są dozwolone z tras prywatnych . |
W przypadku transportu odwrotnego połączenia istnieją dwa połączenia sieciowe dla połączeń z pulami hostów: klient z bramą i host sesji bramy. Oprócz włączania lub wyłączania dostępu publicznego dla obu połączeń można również włączyć dostęp publiczny dla klientów łączących się z bramą i zezwolić na dostęp prywatny tylko dla hostów sesji łączących się z bramą. W poniższej tabeli szczegółowo opisano wynik każdego scenariusza:
| Konfiguracja | Wynik |
|---|---|
| Dostęp publiczny włączony ze wszystkich sieci | Sesje zdalne są dozwolone , gdy klient lub host sesji używa trasy publicznej . Sesje zdalne są dozwolone , gdy klient lub host sesji używa trasy prywatnej . |
| Dostęp publiczny wyłączony ze wszystkich sieci | Sesje zdalne są odrzucane , gdy klient lub host sesji używa trasy publicznej . Sesje zdalne są dozwolone , gdy zarówno klient, jak i host sesji używają trasy prywatnej . |
| Dostęp publiczny włączony dla sieci klienckich, ale wyłączony dla sieci hostów sesji | Sesje zdalne są odrzucane , jeśli host sesji używa trasy publicznej , niezależnie od trasy, z której korzysta klient. Sesje zdalne są dozwolone , o ile host sesji używa trasy prywatnej , niezależnie od trasy, z której korzysta klient. |
Sekwencja połączeń klienta
Gdy użytkownik nawiązuje połączenie z usługą Azure Virtual Desktop za pośrednictwem Private Link, a usługa Azure Virtual Desktop jest skonfigurowana tak, aby zezwalała na połączenia klienta tylko z tras prywatnych, sekwencja połączeń jest następująca:
W przypadku obsługiwanego klienta użytkownik subskrybuje obszar roboczy. Urządzenie użytkownika wysyła zapytanie do systemu DNS o adres
rdweb.wvd.microsoft.com(lub odpowiedni adres dla innych środowisk platformy Azure).Prywatna strefa DNS dla privatelink-global.wvd.microsoft.com zwraca prywatny adres IP początkowego odnajdywania kanału informacyjnego (globalny zasób podrzędny). Jeśli nie używasz prywatnego punktu końcowego do początkowego odnajdywania kanału informacyjnego, zwracany jest publiczny adres IP.
Dla każdego obszaru roboczego w zestawie danych jest tworzone zapytanie DNS dla adresu
<workspaceId>.privatelink.wvd.microsoft.com.Prywatna strefa DNS dla privatelink.wvd.microsoft.com zwraca prywatny adres IP do pobrania kanału informacyjnego obszaru roboczego i pobiera kanał informacyjny przy użyciu portu TCP 443.
Podczas nawiązywania połączenia z sesją
.rdpzdalną plik pochodzący z pobierania kanału informacyjnego obszaru roboczego zawiera adres usługi bramy usługi Azure Virtual Desktop z najniższym opóźnieniem dla urządzenia użytkownika. Zapytanie DNS jest wykonywane na adres w formacie<hostpooId>.afdfp-rdgateway.wvd.microsoft.com.Prywatna strefa DNS dla privatelink.wvd.microsoft.com zwraca prywatny adres IP dla usługi bramy usługi Azure Virtual Desktop do użycia dla puli hostów zapewniającej sesję zdalną. Orkiestracja za pośrednictwem sieci wirtualnej i prywatnego punktu końcowego używa portu TCP 443.
Po orkiestracji ruch sieciowy między klientem, usługą bramy usługi Azure Virtual Desktop i hostem sesji jest przenoszony do portu w zakresie portów dynamicznych TCP od 1 do 65535.
Ważna
Jeśli zamierzasz ograniczyć porty sieciowe z urządzeń klienckich użytkownika lub maszyn wirtualnych hosta sesji do prywatnych punktów końcowych, musisz zezwolić na ruch między całym dynamicznym zakresem portów TCP od 1 do 65535 do prywatnego punktu końcowego zasobu puli hostów przy użyciu zasobu podrzędnego połączenia . Cały zakres portów dynamicznych TCP jest wymagany, ponieważ sieć prywatna platformy Azure wewnętrznie mapuje te porty na odpowiednią bramę wybraną podczas orkiestracji klienta. Jeśli ograniczysz porty do prywatnego punktu końcowego, użytkownicy mogą nie mieć możliwości nawiązania połączenia z usługą Azure Virtual Desktop.
Znane problemy i ograniczenia
Private Link z usługą Azure Virtual Desktop ma następujące ograniczenia:
Przed użyciem Private Link dla usługi Azure Virtual Desktop należy włączyć Private Link z usługą Azure Virtual Desktop w każdej subskrypcji platformy Azure, którą chcesz Private Link za pomocą usługi Azure Virtual Desktop.
Wszystkich klientów pulpitu zdalnego do nawiązywania połączenia z usługą Azure Virtual Desktop można używać z Private Link. Jeśli używasz klienta pulpitu zdalnego dla systemu Windows w sieci prywatnej bez dostępu do Internetu i subskrybujesz kanały informacyjne publiczne i prywatne, nie możesz uzyskać dostępu do kanału informacyjnego.
Po zmianie prywatnego punktu końcowego na pulę hostów należy ponownie uruchomić usługę modułu ładującego agenta pulpitu zdalnego (RDAgentBootLoader) na każdym hoście sesji w puli hostów. Należy również ponownie uruchomić tę usługę za każdym razem, gdy zmienisz konfigurację sieci puli hostów. Zamiast ponownie uruchamiać usługę, można ponownie uruchomić każdego hosta sesji.
Używanie zarówno Private Link, jak i protokołu RDP Shortpath dla sieci zarządzanych jest obecnie w wersji zapoznawczej. Zapoznaj się z dodatkowymi warunkami użytkowania dla wersji zapoznawczych platformy Microsoft Azure, aby zapoznać się z warunkami prawnymi dotyczącymi funkcji platformy Azure, które są w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze udostępnione do ogólnej dostępności. Wszystkie inne opcje ścieżki krótkiej protokołu RDP korzystające z usługi STUN lub TURN nie są obsługiwane w przypadku Private Link.
Na początku wersji zapoznawczej Private Link z usługą Azure Virtual Desktop prywatny punkt końcowy początkowego odnajdywania kanału informacyjnego (dla globalnego zasobu podrzędnego) współużytkuje nazwę prywatnej
privatelink.wvd.microsoft.comstrefy DNS z innymi prywatnymi punktami końcowymi dla obszarów roboczych i pul hostów. W tej konfiguracji użytkownicy nie mogą ustanawiać prywatnych punktów końcowych wyłącznie dla pul hostów i obszarów roboczych. Od 1 września 2023 r. udostępnianie prywatnej strefy DNS w tej konfiguracji nie będzie już obsługiwane. Musisz utworzyć nowy prywatny punkt końcowy dla globalnego zasobu podrzędnego, aby użyć nazwy prywatnej strefy DNS .privatelink-global.wvd.microsoft.comAby uzyskać instrukcje w tym celu, zobacz Początkowe odnajdywanie kanału informacyjnego.
Następne kroki
- Dowiedz się, jak skonfigurować Private Link za pomocą usługi Azure Virtual Desktop.
- Dowiedz się, jak skonfigurować usługę DNS prywatnego punktu końcowego platformy Azure na Private Link integracji z usługą DNS.
- Aby uzyskać ogólne przewodniki rozwiązywania problemów dotyczące Private Link, zobacz Rozwiązywanie problemów z łącznością prywatnego punktu końcowego platformy Azure.
- Omówienie łączności sieciowej usługi Azure Virtual Desktop.
- Zobacz listę wymaganych adresów URL , aby uzyskać listę adresów URL, które należy odblokować, aby zapewnić dostęp sieciowy do usługi Azure Virtual Desktop.