Noções básicas sobre a conectividade de rede da Área de Trabalho Virtual do Azure
A Área de Trabalho Virtual do Azure fornece a capacidade de hospedar sessões de cliente nos hosts de sessão em execução no Azure. A Microsoft gerencia partes dos serviços em nome do cliente e fornece pontos de extremidade seguros para conectar clientes e hosts de sessão. O diagrama a seguir fornece uma visão geral de alto nível das conexões de rede usadas pela Área de Trabalho Virtual do Azure
Conectividade de sessão
A Área de Trabalho Virtual do Azure usa protocolo RDP (RDP) para fornecer recursos remotos de exibição e entrada em conexões de rede. O RDP foi lançado inicialmente com o Windows NT 4.0 Terminal Server Edition e estava evoluindo continuamente a cada versão do Microsoft Windows e do Windows Server. Desde o início, o RDP desenvolveu para ser independente de sua pilha de transporte subjacente e, atualmente, dá suporte a vários tipos de transporte.
Transporte de conexão inversa
A Área de Trabalho Virtual do Azure está usando o transporte de conexão inversa para estabelecer a sessão remota e para transportar o tráfego RDP. Ao contrário das implantações Serviços de Área de Trabalho Remota locais, o transporte de conexão inversa não usa um ouvinte TCP para receber conexões RDP de entrada. Em vez disso, ele está usando a conectividade de saída para a infraestrutura da Área de Trabalho Virtual do Azure pela conexão HTTPS.
Canal de comunicação do host de sessão
Após a inicialização do host de sessão da Área de Trabalho Virtual do Azure, o serviço de carregador de agente de Área de Trabalho Remota estabelece o canal de comunicação persistente do agente da Área de Trabalho Virtual do Azure. Esse canal de comunicação é em camadas sobre uma conexão TLS (Segurança de Camada de Transporte) segura e serve como um barramento para troca de mensagens de serviço entre o host da sessão e a infraestrutura da Área de Trabalho Virtual do Azure.
Sequência de conexão do cliente
Sequência de conexão do cliente descrita abaixo:
- Usar o usuário do cliente de área de trabalho virtual do Azure com suporte assina o espaço de trabalho virtual da área de trabalho do Azure
- O Microsoft Entra autentica o usuário e retorna o token usado para enumerar os recursos disponíveis para um usuário
- O cliente passa o token para o serviço de assinatura do feed de área de trabalho virtual do Azure
- O serviço de assinatura do feed de área de trabalho virtual do Azure valida o token
- O serviço de assinatura do feed da Área de Trabalho Virtual do Azure passa a lista de áreas de trabalho e aplicativos disponíveis de volta para o cliente na forma de uma configuração de conexão assinada digitalmente
- O cliente armazena a configuração de conexão de cada recurso disponível em um conjunto de arquivos .rdp
- Quando um usuário seleciona o recurso para se conectar, o cliente usa o arquivo .rdp associado e estabelece a conexão TLS 1.2 segura com uma instância do gateway da Área de Trabalho Virtual do Azure com a ajuda do Azure Front Door e passa as informações de conexão. A latência de todos os gateways é avaliada e os gateways são colocados em grupos de 10ms. O gateway com a menor latência e o menor número de conexões existentes é escolhido.
- O gateway de área de trabalho virtual do Azure valida a solicitação e solicita que o agente de área de trabalho virtual do Azure coordene a conexão
- O agente de área de trabalho virtual do Azure identifica o host de sessão e usa o canal de comunicação persistente estabelecido anteriormente para inicializar a conexão
- A pilha da área de Trabalho Remota inicia a conexão TLS 1.2 com a mesma instância de gateway de área de trabalho virtual do Azure usada pelo cliente
- Depois que o cliente e o host de sessão conectarem-se ao gateway, o gateway começará a retransmitir os dados brutos entre os dois pontos de extremidade, isso estabelece o transporte de conexão inversa de base para o RDP
- Depois que o transporte base é definido, o cliente inicia o handshake RDP
Segurança da conexão
O TLS 1.2 é usado para todas as conexões iniciadas dos clientes e hosts de sessão para os componentes de infraestrutura de área de trabalho virtual do Azure. A Área de Trabalho Virtual do Azure usa as mesmas criptografias TLS 1.2 que o Azure Front Door. É importante garantir que os computadores cliente e os hosts de sessão possam usar essas codificações. Para o transporte de conexão reversa, o cliente e o host de sessão se conectam ao gateway de área de trabalho virtual do Azure. Depois de estabelecer a conexão TCP, o cliente ou o host de sessão valida o certificado do gateway de área de trabalho virtual do Azure. Depois de estabelecer o transporte base, o RDP estabelece uma conexão TLS aninhada entre o host de sessão e o cliente usando os certificados do host da sessão. Por padrão, o certificado usado para criptografia de RDP é gerado automaticamente pelo sistema operacional durante a implantação. Se desejar, os clientes podem implantar certificados gerenciados centralmente emitidos pela autoridade de certificação corporativa. Para mais informações sobre como configurar certificados, consulte Documentação do Windows Server.
Próximas etapas
- Para saber mais sobre os requisitos de largura de banda da Área de Trabalho Virtual do Azure, confira Noções básicas sobre os requisitos de largura de banda do protocolo RDP para a Área de Trabalho Virtual do Azure.
- Para começar a usar a qualidade de serviço (QoS) para a Área de Trabalho Virtual do Azure, consulte Implementar a Qualidade de Serviço (QoS) para a área de trabalho virtual do Azure.