Share via

Conectividade e topologia de rede da Área de Trabalho Virtual do Azure

  • Artigo

O design e a implementação dos recursos de rede do Azure na Área de Trabalho Virtual do Azure são essenciais para sua zona de aterrissagem da Área de Trabalho Virtual do Azure. Este artigo baseia-se em vários princípios e recomendações de arquitetura de zona de aterrissagem em escala empresarial do Azure para gerenciar a topologia de rede e a conectividade em escala.

As bases de design incluem:

  • Integração híbrida para conectividade entre ambientes locais, multicloud e edge e usuários globais. Para obter mais informações, confira Suporte a escala empresarial para híbrido e multinuvem.
  • Desempenho e confiabilidade em escala para uma experiência consistente e de baixa latência e escalabilidade para cargas de trabalho.
  • Segurança de rede baseada em confiança zero para ajudar a proteger os perímetros de rede e os fluxos de tráfego. Para obter mais informações, confira Estratégias de segurança de rede no Azure.
  • Extensibilidade para expandir facilmente uma área de cobertura de rede sem retrabalho de projeto.

Conceitos e componentes de rede

  • A Rede Virtual Azure é o bloco de construção fundamental das redes privadas no Azure. Com a Rede Virtual, muitos tipos de recursos do Azure, como as Máquinas Virtuais do Azure, podem se comunicar entre si, com a Internet e com os datacenters locais. Uma rede virtual é semelhante a uma rede tradicional que você opera em seu próprio datacenter. Mas uma rede virtual oferece à infraestrutura do Azure benefícios de escala, disponibilidade e isolamento.
  • Uma topologia de rede hub-spoke é um tipo de arquitetura de rede na qual uma rede virtual hub atua como um ponto central de conectividade com várias redes virtuais spoke. O hub também pode ser o ponto de conectividade para datacenters locais. As redes virtuais spoke fazem peer com o hub e ajudam a isolar cargas de trabalho.
  • A WAN Virtual do Azure é um serviço de rede que reúne funcionalidades de rede, segurança e roteamento para fornecer uma interface operacional.
  • Uma NVA (solução de virtualização de rede) é um dispositivo de rede que dá suporte a funções como conectividade, entrega de aplicativos, otimização de WAN (rede de longa distância) e segurança. As NVAs incluem o Firewall do Azure e o Azure Load Balancer.
  • Em um cenário de encapsulamento forçado, todo o tráfego vinculado à Internet originado em máquinas virtuais (VMs) do Azure é roteado ou forçado a passar por um dispositivo de inspeção e auditoria. O acesso não autorizado à Internet pode levar à divulgação de informações ou outros tipos de violações de segurança sem a inspeção ou a auditoria de tráfego.
  • Os grupos de segurança de rede são usados para filtrar o tráfego de rede de e para os recursos do Azure em uma rede virtual do Azure. Um grupo de segurança de rede contém regras de segurança que permitem ou negam o tráfego de rede de entrada ou de saída em relação a vários tipos de recursos do Azure.
  • Os grupos de segurança de aplicativos fornecem uma maneira de configurar a segurança de rede como uma extensão natural da estrutura de um aplicativo. Você pode usar grupos de segurança de aplicativos para agrupar VMs e definir diretivas de segurança de rede baseadas nesses grupos. Você pode reutilizar sua política de segurança em escala sem precisar manter manualmente endereços IP explícitos.
  • As rotas definidas pelo usuário (UDRs) podem ser usadas para substituir as rotas padrão do sistema do Azure. Você também pode usar UDRs para adicionar rotas extras a uma tabela de rotas de sub-rede.
  • O Caminho Curto do Protocolo de Área de Trabalho Remota (RDP Shortpath) é um recurso da Área de Trabalho Virtual do Azure baseado no URCP (Universal Rate Control Protocol). O RDP Shortpath estabelece um transporte direto baseado no protocolo UDP (User Datagram Protocol) entre um cliente de Área de Trabalho Remota do Windows com suporte e hosts de sessão da Área de Trabalho Virtual do Azure. O URCP aprimora as conexões UDP fornecendo monitoramento ativo das condições de rede e dos recursos de qualidade de serviço (QoS).
  • O Link Privado do Azure com a Área de Trabalho Virtual do Azure (Visualização) fornece uma maneira de usar um ponto de extremidade privado no Azure para conectar hosts de sessão ao serviço de Área de Trabalho Virtual do Azure. Com o Link Privado, o tráfego entre sua rede virtual e o serviço de Área de Trabalho Virtual do Azure viaja na rede de backbone da Microsoft. Como resultado, você não precisa se conectar à Internet pública para acessar os serviços de Área de Trabalho Virtual do Azure.

Cenários de rede

Para estabelecer a zona de aterrissagem da Área de Trabalho Virtual do Azure, o design e a implementação dos recursos de rede são essenciais. Os produtos e serviços de rede do Azure dão suporte a uma ampla variedade de funcionalidades. A arquitetura escolhida e a forma como estruturam os serviços dependem das cargas de trabalho, da governança e dos requisitos da organização.

Os principais requisitos e considerações a seguir afetam suas decisões de implantação da Área de Trabalho Virtual do Azure:

  • Requisitos de entrada e saída da Internet.
  • Uso de NVA na arquitetura atual.
  • Conectividade da Área de Trabalho Virtual do Azure com uma rede virtual do hub padrão ou um hub de WAN Virtual.
  • O modelo de conexão do host de sessão. Você pode usar um modelo nativo ou RDP Shortpath.
  • Requisitos de inspeção de tráfego para:
    • Saída da Internet da Área de Trabalho Virtual do Azure.
    • Entrada da Internet para a Área de Trabalho Virtual do Azure.
    • Tráfego da Área de Trabalho Virtual do Azure para datacenters locais.
    • Tráfego da Área de Trabalho Virtual do Azure para outras instâncias da Rede Virtual.
    • Tráfego na rede virtual da Área de Trabalho Virtual do Azure.

O cenário de rede mais comum para a Área de Trabalho Virtual do Azure é uma topologia hub-and-spoke com conectividade híbrida.

Cenário 1: Hub e spoke com conectividade híbrida

Esse cenário usa o modelo de conexão de host de sessão padrão.

Perfil do cliente

Este cenário é ideal se:

  • Não for preciso inspeção de tráfego entre as redes da Área de Trabalho Virtual do Azure e outras redes virtuais do Azure.
  • Não for preciso inspeção de tráfego entre as redes da Área de Trabalho Virtual do Azure e os datacenters locais.
  • Você não precisa de inspeção de tráfego do tráfego de saída da Internet das redes da Área de Trabalho Virtual do Azure.
  • Você não precisa controlar os endereços IP públicos usados durante a conversão de endereços de rede (SNAT) de origem para conexões de Internet de saída da Área de Trabalho Virtual do Azure.
  • Você não impõe o tráfego interno da rede da Área de Trabalho Virtual do Azure.
  • Você tem conectividade híbrida pré-existente para ambientes locais, por meio da Rota Expressa do Azure ou de uma VPN (rede virtual privada) site a site (S2S).
  • Você tem servidores personalizados pré-existentes dos Serviços de Domínio Active Directory (AD DS) e do Sistema de Nomes de Domínio (DNS).
  • Você consome a Área de Trabalho Virtual do Azure usando um modelo de conexão padrão, não o Shortpath RDP.

Componentes de arquitetura

Você pode implementar este cenário com:

  • Servidores AD DS e servidores DNS personalizados.
  • Grupos de segurança de rede.
  • Observador de Rede do Azure.
  • Internet de saída por meio de um caminho de rede virtual padrão do Azure.
  • ExpressRoute ou um gateway de rede virtual VPN para conectividade híbrida com sistemas locais.
  • Uma zona DNS privada do Azure.
  • Pontos de extremidade privados do Azure.
  • Contas de armazenamento de Arquivos do Azure.
  • Azure Key Vault.

Diagrama de arquitetura do cenário que usa um hub e fala com conectividade híbrida.

Considerações

  • Esse cenário não acomoda a conectividade de rede direta entre um cliente e um host de sessão pública ou privada. Não é possível usar o Shortpath RDP nesse cenário.
  • O gateway do plano de controle da Área de Trabalho Virtual do Azure, que usa um ponto de extremidade público, gerencia conexões de cliente. Como resultado, os clientes da Área de Trabalho Virtual do Azure podem criar conexões de saída para URLs de Área de Trabalho Virtual do Azure necessárias. Para obter mais informações sobre URLs necessárias, consulte a seção Internet deste artigo e URLs necessárias para a Área de Trabalho Virtual do Azure.
  • Não são necessários endereços IP públicos ou outros caminhos de entrada públicos para hosts de sessão. O tráfego de clientes para hosts de sessão flui por meio do gateway do plano de controle da Área de Trabalho Virtual do Azure.
  • Não há emparelhamento de rede virtual entre raios da Área de Trabalho Virtual do Azure. Todo o tráfego passa pelo hub de conectividade.
  • As conexões de saída da Internet dos hosts de sessão da Área de Trabalho Virtual do Azure passam pelo processo padrão de conversão de endereço de rede (NAT) de saída do Azure. Endereços IP públicos dinâmicos do Azure são usados. Os clientes não têm controle sobre os endereços IP públicos de saída usados.
  • As conexões de hosts de sessão com contas de armazenamento de Arquivos do Azure são estabelecidas usando pontos de extremidade privados.
  • As zonas DNS privadas do Azure são usadas para resolver namespaces de ponto de extremidade privados para os seguintes serviços:
    • Contas de armazenamento de Arquivos do Azure, que usam o nome privatelink.file.core.windows.net
    • Cofres de chaves, que usam o nome privatelink.vaultcore.azure.net
  • A filtragem de rede não é imposta para esse cenário. Mas os grupos de segurança de rede são colocados em todas as sub-redes para que você possa monitorar o tráfego e obter insights. No Inspetor de Rede, a análise de tráfego e o recurso de log de fluxo do grupo de segurança de rede são usados para esses fins.

Cenário 2: Hub e spoke com conectividade híbrida em redes gerenciadas usando RDP Shortpath

Para obter orientações detalhadas de implantação, consulte Conectividade de caminho curto RDP para redes gerenciadas.

Perfil do cliente

Este cenário é ideal se:

  • Você deseja limitar o número de conexões pela Internet aos hosts de sessão da Área de Trabalho Virtual do Azure.
  • Você tem conectividade híbrida pré-existente de um ambiente local para o Azure, por meio da Rota Expressa ou de uma VPN S2S ou ponto a site (P2S).
  • Você tem conectividade de rede de linha de visão direta entre clientes RDP e hosts de Área de Trabalho Virtual do Azure. Normalmente, uma das seguintes configurações é usada nesse cenário:
    • Redes locais que são roteadas para redes do Azure Virtual Desktop Azure
    • Conexões VPN de cliente que são roteadas para redes virtuais do Azure Virtual Desktop Azure
  • Você precisa limitar o uso de largura de banda de hosts de VM em redes privadas, como uma VPN ou Rota Expressa.
  • Você deseja priorizar o tráfego da Área de Trabalho Virtual do Azure em sua rede.
  • Não for preciso inspeção de tráfego entre as redes da Área de Trabalho Virtual do Azure e outras redes virtuais do Azure.
  • Não for preciso inspeção de tráfego entre as redes da Área de Trabalho Virtual do Azure e os datacenters locais.
  • Você tem servidores personalizados AD DS ou DNS pré-existentes.

Componentes de arquitetura

Você pode implementar este cenário com:

  • ExpressRoute ou um gateway de rede virtual VPN para conectividade híbrida com ambientes locais com largura de banda suficiente.
  • Servidores AD DS e servidores DNS personalizados.
  • Grupos de segurança de rede.
  • Internet de saída por meio de um caminho de rede virtual padrão do Azure.
  • Objetos de diretiva de grupo (GPOs) de domínio ou GPOs locais.
  • Contas de armazenamento de Arquivos do Azure.
  • Pontos de extremidade privados do Azure.
  • Uma zona DNS privada do Azure.

Diagrama de arquitetura do cenário que usa RDP Shortpath para redes privadas.

Considerações

  • A conectividade híbrida deve estar disponível, por meio de uma VPN ou Rota Expressa, com conectividade de rede direta do cliente RDP para hosts de VM privados na porta 3390.

Observação

Para redes gerenciadas, a porta UDP padrão pode ser alterada.

  • Um GPO de domínio ou GPO local deve ser usado para habilitar o UDP em redes gerenciadas.
  • A conectividade híbrida deve ter largura de banda suficiente para permitir conexões diretas UDP com hosts VM.
  • A conectividade híbrida deve ter roteamento direto para permitir conexões com hosts VM.
  • O gateway do plano de controle da Área de Trabalho Virtual do Azure, que usa um ponto de extremidade público, gerencia conexões de cliente. Como resultado, os clientes da Área de Trabalho Virtual do Azure podem criar conexões de saída para URLs de Área de Trabalho Virtual do Azure necessárias. Para obter mais informações sobre URLs necessárias, consulte a seção Internet deste artigo e URLs necessárias para a Área de Trabalho Virtual do Azure.
  • Não são necessários endereços IP públicos ou outros caminhos de entrada públicos para hosts de sessão. O tráfego de clientes para hosts de sessão flui por meio do gateway do plano de controle da Área de Trabalho Virtual do Azure.
  • A conexão de saída com a Internet dos hosts de sessão da Área de Trabalho Virtual do Azure passa pelo processo NAT de saída padrão do Azure. Endereços IP públicos dinâmicos do Azure são usados. Os clientes não têm controle sobre os endereços IP públicos de saída usados.
  • As conexões de hosts de sessão com contas de armazenamento de Arquivos do Azure são estabelecidas usando pontos de extremidade privados.
  • As zonas DNS privadas do Azure são usadas para resolver namespaces de ponto de extremidade privados.
  • A filtragem de rede não é imposta para esse cenário. Mas os grupos de segurança de rede são colocados em todas as sub-redes para que você possa monitorar o tráfego e obter insights. No Inspetor de Rede, a análise de tráfego e o recurso de log de fluxo do grupo de segurança de rede são usados para esses fins.

Observação

Atualmente, a Área de Trabalho Virtual do Azure não oferece suporte ao uso de Link Privado e Shortpath RDP ao mesmo tempo.

Cenário 3: Hub e spoke com redes públicas usando o RDP Shortpath

Para obter orientações detalhadas de implantação, consulte Conectividade de caminho curto RDP para redes públicas.

Perfil do cliente

Este cenário é ideal se:

  • Suas conexões de cliente da Área de Trabalho Virtual do Azure atravessam a Internet pública. Os cenários típicos incluem usuários que trabalham em casa, usuários de filiais remotas que não estão conectados a redes corporativas e usuários terceirizados remotos.
  • Você tem conexões de alta latência ou baixa largura de banda com hosts de sessão de Áreas de Trabalho Virtuais do Azure.
  • Você precisa limitar o uso de largura de banda dos hosts de sessão da Área de Trabalho Virtual do Azure por meio de políticas de rede de QoS.
  • Você deseja priorizar o tráfego da Área de Trabalho Virtual do Azure em sua rede por meio de políticas de QoS.
  • As conexões RDP do cliente começam a partir de redes com largura de banda e velocidade inconsistentes.
  • Você tem conectividade de saída direta dos hosts de sessão da Área de Trabalho Virtual do Azure. Você não usa um roteamento de túnel forçado por meio de redes locais.
  • Não for preciso inspeção de tráfego entre as redes da Área de Trabalho Virtual do Azure e outras redes virtuais do Azure.
  • Não for preciso inspeção de tráfego entre as redes da Área de Trabalho Virtual do Azure e os datacenters locais.
  • Você tem servidores personalizados AD DS ou DNS pré-existentes.

Componentes de arquitetura

Você pode implementar este cenário com:

  • ExpressRoute ou um gateway de rede virtual VPN para conectividade híbrida com ambientes locais. Essa configuração é apropriada quando há largura de banda suficiente para oferecer suporte a conexões com aplicativos locais, dados ou conexões do AD DS. Não recomendamos o uso de túnel forçado para enviar tráfego da Área de Trabalho Virtual do Azure por meio de roteadores locais.
  • Servidores AD DS e servidores DNS personalizados.
  • Grupos de segurança de rede.
  • Observador de Rede.
  • Internet de saída por meio de um caminho de rede virtual padrão do Azure.
  • GPOs de domínio ou GPOs locais.
  • Contas de armazenamento de Arquivos do Azure.
  • Pontos de extremidade privados do Azure.
  • Uma zona DNS privada do Azure.

Diagrama de arquitetura para o cenário que usa RDP Shortpath para redes públicas.

Considerações

  • Permitir os seguintes tipos de conexões:

    • Conexões UDP de saída de hosts de sessão da Área de Trabalho Virtual do Azure para os serviços Travessia de Sessão de Área de Trabalho Virtual do Azure para NAT (STUN) e Travessia Usando NAT de Retransmissão (TURN) na porta 3478
    • Conexões UDP de clientes RDP no intervalo de portas 49152–65535

    A configuração que configura essas conexões é ativada por padrão e mantém o mesmo nível de criptografia que a conexão reversa TCP (Transmission Control Protocol). Para obter informações sobre como limitar intervalos de portas de cliente RDP, consulte Limitar o intervalo de portas ao usar o Shortpath RDP para redes públicas.

  • O gateway do plano de controle da Área de Trabalho Virtual do Azure, que usa um ponto de extremidade público, gerencia conexões de cliente. Como resultado, os clientes da Área de Trabalho Virtual do Azure podem criar conexões de saída para URLs de Área de Trabalho Virtual do Azure necessárias. Para obter mais informações sobre URLs necessárias, consulte a seção Internet deste artigo e URLs necessárias para a Área de Trabalho Virtual do Azure.

  • Os roteadores de consumidor que normalmente são encontrados em redes de usuários domésticos devem ter o Universal Plug and Play (UPnP) habilitado.

  • Não são necessários endereços IP públicos ou outros caminhos de entrada públicos para hosts de sessão. O tráfego de clientes para hosts de sessão flui por meio do gateway do plano de controle da Área de Trabalho Virtual do Azure.

  • A conexão de saída com a Internet dos hosts de sessão da Área de Trabalho Virtual do Azure passa pelo processo NAT de saída padrão do Azure. Endereços IP públicos dinâmicos do Azure são usados. Os clientes não têm controle sobre os endereços IP públicos de saída usados.

  • Você precisa configurar a marcação DSCP (ponto de código de serviços diferenciados) nos hosts de sessão. Use GPOs locais ou GPOs de domínio para essa configuração. Quando você usa marcadores DSCP, os dispositivos de rede podem aplicar políticas de QoS para o tráfego da Área de Trabalho Virtual do Azure. Para obter mais informações, consulte Implementar QoS (Qualidade de Serviço) para a Área de Trabalho Virtual do Azure.

  • As conexões de hosts de sessão com contas de armazenamento de Arquivos do Azure são estabelecidas usando pontos de extremidade privados.

  • As zonas DNS privadas do Azure são usadas para resolver namespaces de ponto de extremidade privados.

  • A filtragem de rede não é imposta para esse cenário. Mas os grupos de segurança de rede são colocados em todas as sub-redes para que você possa monitorar o tráfego e obter insights. No Inspetor de Rede, a análise de tráfego e o recurso de log de fluxo do grupo de segurança de rede são usados para esses fins.

Recomendações e considerações gerais de design

As seções a seguir fornecem considerações gerais de design e recomendações para conectividade e topologia de rede da Área de Trabalho Virtual do Azure.

Topologia de rede Hub e spoke vs. WAN Virtual

A WAN virtual oferece suporte à conectividade de trânsito entre VPN e Rota Expressa , mas não oferece suporte a topologias de hub e spoke.

Serviços de identidade

Os requisitos de conectividade dos serviços de identidade nos hosts de sessão da Área de Trabalho Virtual do Azure dependem do modelo de identidade.

  • Para VMs ingressadas nos Serviços de Domínio Microsoft Entra: as redes de Área de Trabalho Virtual do Azure devem ter conectividade com a rede onde o serviço de identidade está hospedado.
  • Para VMs ingressadas na ID do Microsoft Entra: os hosts de sessão da Área de Trabalho Virtual do Azure criam conexões de saída para pontos de extremidade públicos da ID do Microsoft Entra. Como resultado, nenhuma configuração de conectividade privada é necessária.

DNS

Os hosts de sessão da Área de Trabalho Virtual do Azure têm os mesmos requisitos de resolução de nome que qualquer outra carga de trabalho de IaaS (infraestrutura como serviço). Como resultado, é necessária conectividade com servidores DNS personalizados ou acesso por meio de um link de rede virtual para zonas DNS privadas do Azure. Zonas DNS privadas extras do Azure são necessárias para hospedar os namespaces de ponto de extremidade privados de determinados serviços de plataforma como serviço (PaaS), como contas de armazenamento e serviços de gerenciamento de chaves.

Para obter mais informações, confira Configuração do DNS do ponto de extremidade privado do Azure.

Para facilitar a configuração do cliente de Área de Trabalho Virtual do Azure do usuário final, incluindo a assinatura do feed dos Serviços de Área de Trabalho Remota (RDS), é melhor configurar a descoberta de email. Você precisa configurar a descoberta de email no domínio DNS público e, em seguida, assinar seu feed RDS. Para obter mais informações, consulte Configurar a descoberta de email para assinar seu feed RDS.

Largura de Banda e latência

A Área de Trabalho Virtual do Azure usa RDP. Para saber mais sobre RDP, consulte Requisitos de largura de banda do protocolo RDP.

A latência de conexão varia, dependendo do local dos usuários e das VMs. Os serviços de Área de Trabalho Virtual do Azure são implementados continuamente em novas regiões geográficas para melhorar a latência. Para minimizar a latência que os clientes de Área de Trabalho Virtual do Azure experimentam, use o Estimador da Experiência de Área de Trabalho Virtual do Azure. Esta ferramenta fornece amostras de tempo de ida e volta (RTT) dos clientes. Você pode usar essas informações para colocar hosts de sessão na região mais próxima dos usuários finais e com o RTT mais baixo. Para obter informações sobre como interpretar resultados da ferramenta de estimador, consulte Analisar a qualidade da conexão na Área de Trabalho Virtual do Azure.

QoS com RDP Shortpath

O Shortpath RDP para redes gerenciadas fornece um transporte direto baseado em UDP entre um cliente de Área de Trabalho Remota e um host de sessão. RDP Shortpath para redes gerenciadas fornece uma maneira de configurar políticas de QoS para os dados RDP. A QoS na Área de Trabalho Virtual do Azure permite que o tráfego RDP em tempo real sensível a atrasos de rede "corte na linha" na frente de tráfego menos sensível.

Você pode usar o RDP Shortpath de duas maneiras:

  • Em redes gerenciadas, onde a conectividade direta é estabelecida entre o cliente e o host de sessão quando você usa uma conexão privada, como uma conexão de Rota Expressa ou uma VPN.
  • Em redes públicas, onde a conectividade direta é estabelecida entre o cliente e o host de sessão quando você usa uma conexão pública. Exemplos de conexões públicas incluem redes domésticas, redes de cafeterias e redes de hotéis. Há dois tipos de conexão possíveis quando você usa uma conexão pública:

    • Uma conexão UDP direta entre um cliente e um host de sessão que usa o protocolo STUN.

    • Uma conexão UDP indireta que usa o protocolo TURN com uma retransmissão entre um cliente RDP e um host de sessão. Essa opção será usada se o gateway ou roteador não permitir conexões UDP diretas.

      Observação

      O uso do RDP Shortpath para redes públicas com o TURN para Área de Trabalho Virtual do Azure está atualmente em visualização. Para obter mais informações, consulte RDP Shortpath for Azure Virtual Desktop.

O caminho RDP estende os recursos de multitransporte RDP. Ele não substitui o transporte de conexão reversa, mas o complementa.

O agenciamento de sessão inicial é gerenciado por meio do serviço Área de Trabalho Virtual do Azure e do transporte de conexão reversa, que é baseado em TCP. Todas as tentativas de conexão são ignoradas, a menos que correspondam primeiro à sessão de conexão reversa.

O RDP Shortpath, que é baseado em UDP, é estabelecido após a autenticação. Se o RDP Shortpath for estabelecido com êxito, o transporte de conexão reversa será descartado. Em seguida, todo o tráfego flui sobre um dos métodos RDP Shortpath que esta seção lista anteriormente.

Para obter mais informações, consulte Implementar QoS (Qualidade de Serviço) para a Área de Trabalho Virtual do Azure.

Internet

Os clientes e recursos de computação da Área de Trabalho Virtual do Azure exigem acesso a pontos de extremidade públicos específicos, portanto, precisam de conexões vinculadas à Internet. Cenários de rede, como encapsulamento forçado para aprimorar a segurança e a filtragem, têm suporte quando os requisitos da Área de Trabalho Virtual do Azure são atendidos.

Para entender os requisitos para hosts de sessão da Área de Trabalho Virtual do Azure e dispositivos cliente, consulte URLs necessárias para a Área de Trabalho Virtual do Azure.

Requisitos de porta e protocolo

Os modelos de conexão da Área de Trabalho Virtual do Azure usam as seguintes portas e protocolos:

  • Modelo padrão: 443/TCP
  • Modelo de caminho curto RDP: 443/TCP e 3390/UDP ou 3478/UDP para o protocolo STUN ou TURN

Continuidade dos negócios e recuperação de desastres

Para continuidade de negócios e recuperação de desastres, uma determinada configuração de rede é necessária. Especificamente, para implantar e recuperar recursos em um ambiente de destino, use uma das seguintes configurações:

  • Uma configuração de rede com os mesmos recursos do ambiente de origem
  • Uma configuração de rede que tem conectividade com serviços de identidade e DNS

Próximas etapas

Saiba mais sobre a organização de recursos para um cenário de escala empresarial da Área de Trabalho Virtual do Azure.

Organização do recurso