Udostępnij za pośrednictwem

Usługa Azure Private Link z usługą Azure Virtual Desktop

  • Artykuł

Usługa Azure Private Link z usługą Azure Virtual Desktop umożliwia prywatne łączenie się z zasobami zdalnymi. Tworząc prywatny punkt końcowy, ruch między siecią wirtualną a usługą pozostaje w sieci firmy Microsoft, więc nie musisz już uwidaczniać usługi w publicznym Internecie. Do nawiązania połączenia z siecią wirtualną należy również użyć sieci VPN lub usługi ExpressRoute dla użytkowników z klientem usług pulpitu zdalnego. Utrzymywanie ruchu w sieci firmy Microsoft zwiększa bezpieczeństwo i zapewnia bezpieczeństwo danych. W tym artykule opisano, jak usługa Private Link może pomóc w zabezpieczeniu środowiska usługi Azure Virtual Desktop.

Usługa Azure Virtual Desktop ma trzy przepływy pracy z trzema odpowiednimi typami zasobów do użycia z prywatnymi punktami końcowymi. Te przepływy pracy to:

  1. Początkowe odnajdywanie kanału informacyjnego: umożliwia klientowi odnajdywanie wszystkich obszarów roboczych przypisanych do użytkownika. Aby włączyć ten proces, należy utworzyć pojedynczy prywatny punkt końcowy w zasobie globalnym dla dowolnego obszaru roboczego. Jednak w całym wdrożeniu usługi Azure Virtual Desktop można utworzyć tylko jeden prywatny punkt końcowy. Ten punkt końcowy tworzy wpisy systemu nazw domen (DNS) i prywatne trasy IP dla globalnej w pełni kwalifikowanej nazwy domeny (FQDN) wymagane do odnajdywania początkowego źródła danych. To połączenie staje się jedną udostępnioną trasą dla wszystkich klientów do użycia.

  2. Pobieranie kanału informacyjnego: klient pobiera wszystkie szczegóły połączenia dla określonego użytkownika dla obszarów roboczych hostujących grupy aplikacji. Prywatny punkt końcowy dla zasobu podrzędnego kanału informacyjnego dla każdego obszaru roboczego, którego chcesz używać z usługą Private Link.

  3. Połączenia z pulami hostów: każde połączenie z pulą hostów ma dwie strony — klientów i hostów sesji. Należy utworzyć prywatny punkt końcowy dla zasobu podrzędnego połączenia dla każdej puli hostów, której chcesz użyć z usługą Private Link.

Na poniższym diagramie wysokiego poziomu pokazano, jak usługa Private Link bezpiecznie łączy klienta lokalnego z usługą Azure Virtual Desktop. Aby uzyskać bardziej szczegółowe informacje o połączeniach klientów, zobacz Sekwencja połączeń klienta.

Diagram wysokiego poziomu przedstawiający usługę Private Link łączącą klienta lokalnego z usługą Azure Virtual Desktop.

Obsługiwane scenariusze

Podczas dodawania usługi Private Link z usługą Azure Virtual Desktop masz następujące obsługiwane scenariusze łączenia się z usługą Azure Virtual Desktop. Wybrany scenariusz zależy od wymagań. Możesz udostępnić te prywatne punkty końcowe w topologii sieci lub odizolować sieci wirtualne tak, aby każdy z nich miał własny prywatny punkt końcowy do puli hostów lub obszaru roboczego.

  1. Wszystkie części połączenia — początkowe odnajdywanie kanałów informacyjnych, pobieranie kanału informacyjnego i połączenia sesji zdalnej dla klientów i hostów sesji — używają tras prywatnych. Potrzebne są następujące prywatne punkty końcowe:

    Purpose Typ zasobu Docelowy zasób podrzędny Ilość punktu końcowego
    Połączenia z pulami hostów Microsoft.DesktopVirtualization/hostpools połączenie Jeden na pulę hostów
    Pobieranie kanału informacyjnego Microsoft.DesktopVirtualization/workspaces źródło Jeden na obszar roboczy
    Początkowe odnajdywanie kanału informacyjnego Microsoft.DesktopVirtualization/workspaces globalne Tylko jeden dla wszystkich wdrożeń usługi Azure Virtual Desktop

  2. Pobieranie kanału informacyjnego i połączenia sesji zdalnej dla klientów i hostów sesji używają tras prywatnych, ale początkowe odnajdywanie kanałów informacyjnych używa tras publicznych. Potrzebne są następujące prywatne punkty końcowe. Punkt końcowy początkowego odnajdywania kanału informacyjnego nie jest wymagany.

    Purpose Typ zasobu Docelowy zasób podrzędny Ilość punktu końcowego
    Połączenia z pulami hostów Microsoft.DesktopVirtualization/hostpools połączenie Jeden na pulę hostów
    Pobieranie kanału informacyjnego Microsoft.DesktopVirtualization/workspaces źródło Jeden na obszar roboczy

  3. Tylko połączenia sesji zdalnej dla klientów i hostów sesji używają tras prywatnych, ale początkowe odnajdywanie kanałów informacyjnych i pobieranie kanałów informacyjnych używają tras publicznych. Potrzebne są następujące prywatne punkty końcowe. Punkty końcowe do obszarów roboczych nie są wymagane.

    Purpose Typ zasobu Docelowy zasób podrzędny Ilość punktu końcowego
    Połączenia z pulami hostów Microsoft.DesktopVirtualization/hostpools połączenie Jeden na pulę hostów

  4. Zarówno klienci, jak i maszyny wirtualne hosta sesji używają tras publicznych. Usługa Private Link nie jest używana w tym scenariuszu.

Ważne

  • Jeśli tworzysz prywatny punkt końcowy na potrzeby odnajdywania początkowego źródła danych, obszar roboczy używany dla globalnego zasobu podrzędnego zarządza udostępnioną w pełni kwalifikowaną nazwą domeny (FQDN), ułatwiając początkowe odnajdywanie kanałów informacyjnych we wszystkich obszarach roboczych. Należy utworzyć oddzielny obszar roboczy, który jest używany tylko w tym celu i nie ma żadnych grup aplikacji zarejestrowanych w nim. Usunięcie tego obszaru roboczego spowoduje, że wszystkie procesy odnajdywania kanału informacyjnego przestaną działać.

  • Nie można kontrolować dostępu do obszaru roboczego używanego do początkowego odnajdywania kanału informacyjnego (globalnego zasobu podrzędnego). Jeśli skonfigurujesz ten obszar roboczy tak, aby zezwalał tylko na dostęp prywatny, ustawienie zostanie zignorowane. Ten obszar roboczy jest zawsze dostępny z publicznych tras.

  • Alokacje adresów IP mogą ulec zmianie w miarę wzrostu zapotrzebowania na adresy IP. Podczas rozszerzania pojemności potrzebne są dodatkowe adresy dla prywatnych punktów końcowych. Ważne jest, aby rozważyć potencjalne wyczerpanie przestrzeni adresowej i zapewnić wystarczającą ilość miejsca na rozwój. Aby uzyskać więcej informacji na temat określania odpowiedniej konfiguracji sieci dla prywatnych punktów końcowych w topologii piasty lub szprych, zobacz Drzewo decyzyjne wdrożenia usługi Private Link.

Wyniki konfiguracji

Skonfigurujesz ustawienia odpowiednich obszarów roboczych usługi Azure Virtual Desktop i pul hostów, aby ustawić dostęp publiczny lub prywatny. W przypadku połączeń z obszarem roboczym, z wyjątkiem obszaru roboczego używanego do odnajdywania początkowego źródła danych (globalny zasób podrzędny), poniższa tabela zawiera szczegółowe informacje o wyniku każdego scenariusza:

Konfigurowanie Wynik
Dostęp publiczny włączony ze wszystkich sieci Żądania kanału informacyjnego obszaru roboczegodozwolone z publicznych tras.

Żądania kanału informacyjnego obszaru roboczego są dozwolone z tras prywatnych .
Dostęp publiczny wyłączony ze wszystkich sieci Żądania kanału informacyjnego obszaru roboczego są odrzucane z tras publicznych .

Żądania kanału informacyjnego obszaru roboczego są dozwolone z tras prywatnych .

W przypadku transportu połączenia odwrotnego istnieją dwa połączenia sieciowe dla połączeń z pulami hostów: klient z bramą i host sesji z bramą. Oprócz włączania lub wyłączania dostępu publicznego dla obu połączeń można również włączyć dostęp publiczny dla klientów łączących się z bramą i zezwalać tylko na dostęp prywatny dla hostów sesji łączących się z bramą. Poniższa tabela zawiera szczegółowe informacje o wynikach każdego scenariusza:

Konfigurowanie Wynik
Dostęp publiczny włączony ze wszystkich sieci Sesje zdalne są dozwolone, gdy host klienta lub sesji używa trasy publicznej.

Sesje zdalne są dozwolone , gdy klient lub host sesji korzysta z trasy prywatnej .
Dostęp publiczny wyłączony ze wszystkich sieci Sesje zdalne są odrzucane, gdy host klienta lub sesji używa trasy publicznej.

Sesje zdalne są dozwolone , gdy zarówno klient, jak i host sesji używają trasy prywatnej .
Dostęp publiczny włączony dla sieci klienckich, ale wyłączony dla sieci hostów sesji Sesje zdalne są odrzucane , jeśli host sesji używa trasy publicznej , niezależnie od trasy używanej przez klienta.

Sesje zdalne są dozwolone tak długo, jak host sesji używa trasy prywatnej , niezależnie od trasy używanej przez klienta.

Sekwencja połączeń klienta

Gdy użytkownik łączy się z usługą Azure Virtual Desktop za pośrednictwem usługi Private Link, a usługa Azure Virtual Desktop jest skonfigurowana tak, aby zezwalała tylko na połączenia klientów z tras prywatnych, sekwencja połączeń jest następująca:

  1. W przypadku obsługiwanego klienta użytkownik subskrybuje obszar roboczy. Urządzenie użytkownika wysyła zapytanie DNS o adres rdweb.wvd.microsoft.com (lub odpowiedni adres dla innych środowisk platformy Azure).

  2. Prywatna strefa DNS dla privatelink-global.wvd.microsoft.com zwraca prywatny adres IP dla początkowego odnajdywania kanału informacyjnego (globalny zasób podrzędny). Jeśli nie używasz prywatnego punktu końcowego do początkowego odnajdywania kanału informacyjnego, zwracany jest publiczny adres IP.

  3. Dla każdego obszaru roboczego w kanale informacyjnym zapytanie DNS jest tworzone dla adresu <workspaceId>.privatelink.wvd.microsoft.com.

  4. Prywatna strefa DNS dla privatelink.wvd.microsoft.com zwraca prywatny adres IP do pobrania kanału informacyjnego obszaru roboczego i pobiera źródło danych przy użyciu portu TCP 443.

  5. Podczas nawiązywania połączenia z sesją .rdp zdalną plik pochodzący z pobranego źródła danych obszaru roboczego zawiera adres usługi bramy usługi Azure Virtual Desktop o najniższym opóźnieniu dla urządzenia użytkownika. Zapytanie DNS jest wykonywane na adres w formacie <hostpooId>.afdfp-rdgateway.wvd.microsoft.com.

  6. Prywatna strefa DNS dla privatelink.wvd.microsoft.com zwraca prywatny adres IP usługi bramy usługi Azure Virtual Desktop do użycia dla puli hostów udostępniającej sesję zdalną. Orkiestracja za pośrednictwem sieci wirtualnej i prywatnego punktu końcowego używa portu TCP 443.

  7. Po orkiestracji ruch sieciowy między klientem, usługą bramy usługi Azure Virtual Desktop i hostem sesji jest przesyłany do portu w zakresie portów dynamicznych TCP z zakresu od 1 do 65535.

Ważne

Jeśli zamierzasz ograniczyć porty sieciowe z urządzeń klienckich użytkownika lub maszyn wirtualnych hosta sesji do prywatnych punktów końcowych, należy zezwolić na ruch w całym zakresie portów dynamicznych TCP z zakresu od 1 do 65535 do prywatnego punktu końcowego dla zasobu puli hostów przy użyciu zasobu podrzędnego połączenia . Wymagany jest cały zakres portów dynamicznych TCP, ponieważ sieć prywatna platformy Azure wewnętrznie mapuje te porty na odpowiednią bramę wybraną podczas aranżacji klienta. Jeśli ograniczysz porty do prywatnego punktu końcowego, użytkownicy mogą nie być w stanie nawiązać połączenia z usługą Azure Virtual Desktop.

Znane problemy i ograniczenia

Usługa Private Link z usługą Azure Virtual Desktop ma następujące ograniczenia:

  • Przed użyciem usługi Private Link dla usługi Azure Virtual Desktop należy włączyć usługę Private Link z usługą Azure Virtual Desktop w każdej subskrypcji platformy Azure, którą chcesz połączyć prywatnie z usługą Azure Virtual Desktop .

  • Wszyscy klienci usług pulpitu zdalnego do nawiązywania połączenia z usługą Azure Virtual Desktop mogą być używane z usługą Private Link. Jeśli używasz klienta pulpitu zdalnego dla systemu Windows w sieci prywatnej bez dostępu do Internetu i subskrybujesz zarówno publiczne, jak i prywatne źródła danych, nie możesz uzyskać dostępu do kanału informacyjnego.

  • Po zmianie prywatnego punktu końcowego na pulę hostów należy ponownie uruchomić usługę modułu ładującego agenta usług pulpitu zdalnego (RDAgentBootLoader) na każdym hoście sesji w puli hostów. Należy również ponownie uruchomić tę usługę za każdym razem, gdy zmienisz konfigurację sieciową puli hostów. Zamiast ponownie uruchamiać usługę, można ponownie uruchomić każdego hosta sesji.

  • Używanie zarówno usługi Private Link, jak i protokołu RDP Shortpath dla sieci zarządzanych nie jest obsługiwane, ale mogą współpracować ze sobą. Możesz użyć usługi Private Link i protokołu RDP Shortpath dla sieci zarządzanych na własne ryzyko. Wszystkie inne opcje shortpath protokołu RDP przy użyciu funkcji STUN lub TURN nie są obsługiwane w usłudze Private Link.

  • Na początku wersji zapoznawczej usługi Private Link z usługą Azure Virtual Desktop prywatny punkt końcowy początkowego odnajdywania kanału informacyjnego (dla globalnego zasobu podrzędnego) udostępnił prywatną nazwę privatelink.wvd.microsoft.com strefy DNS z innymi prywatnymi punktami końcowymi dla obszarów roboczych i pul hostów. W tej konfiguracji użytkownicy nie mogą ustanowić prywatnych punktów końcowych wyłącznie dla pul hostów i obszarów roboczych. Od 1 września 2023 r. udostępnianie prywatnej strefy DNS w tej konfiguracji nie będzie już obsługiwane. Musisz utworzyć nowy prywatny punkt końcowy dla globalnego zasobu podrzędnego, aby użyć nazwy prywatnej strefy DNS .privatelink-global.wvd.microsoft.com Aby uzyskać instrukcje, które należy wykonać, zobacz Wstępne odnajdywanie kanału informacyjnego.

Następne kroki

  • Dowiedz się, jak skonfigurować usługę Private Link za pomocą usługi Azure Virtual Desktop.
  • Dowiedz się, jak skonfigurować usługę DNS prywatnego punktu końcowego platformy Azure na stronie Integracja usługi DNS usługi Private Link.
  • Aby uzyskać ogólne przewodniki rozwiązywania problemów dotyczące usługi Private Link, zobacz Rozwiązywanie problemów z łącznością z prywatnym punktem końcowym platformy Azure.
  • Omówienie łączności sieciowej usługi Azure Virtual Desktop.
  • Zapoznaj się z listą Wymaganych adresów URL, aby uzyskać listę adresów URL, które należy odblokować, aby zapewnić dostęp sieciowy do usługi Azure Virtual Desktop.