Link Privado do Azure com a Área de Trabalho Virtual do Azure

  • Artigo

Você pode usar o Link Privado do Azure com a Área de Trabalho Virtual do Azure para se conectar de forma privada aos seus recursos remotos. Ao criar um ponto de extremidade privado, o tráfego entre sua rede virtual e o serviço permanece na rede da Microsoft, portanto, você não precisa mais expor seu serviço à Internet pública. Você também usa uma VPN ou o ExpressRoute para seus usuários com o cliente de Área de Trabalho Remota para se conectar à rede virtual. Manter o tráfego dentro da rede Microsoft melhora a segurança e mantém seus dados seguros. Este artigo descreve como o Link Privado pode ajudar a proteger seu ambiente da Área de Trabalho Virtual do Azure.

A Área de Trabalho Virtual do Azure tem três fluxos de trabalho com três tipos de recursos correspondentes de pontos de extremidade privados:

  1. Descoberta inicial do feed: permite que o cliente descubra todos os workspaces atribuídos a um usuário. Para habilitar esse processo, você deve criar um único ponto de extremidade privado para o sub-recurso global para qualquer workspace. No entanto, você pode criar somente um ponto de extremidade privado em toda a implantação da Área de Trabalho Virtual do Azure. Esse ponto de extremidade cria entradas DNS (Sistema de Nomes de Domínio) e rotas de IP privadas para o FQDN (nome de domínio totalmente qualificado) global necessário para a descoberta inicial do feed. Essa conexão se torna uma rota única e compartilhada para todos os clientes usarem.

  2. Download do feed: o cliente baixa todos os detalhes de conexão de um usuário específico para os workspaces que hospedam seus grupos de aplicativos. Você cria um ponto de extremidade privado para o sub-recurso de feed para cada workspace que deseja usar com o Link Privado.

  3. Conexões com pools de hosts: cada conexão com um pool de hosts tem dois lados: clientes e VMs (máquinas virtuais) de host de sessão. Para habilitar as conexões, você precisa criar um ponto de extremidade privado para o sub-recurso de conexão para cada pool de hosts que deseja usar com o Link Privado.

O diagrama de alto nível a seguir mostra como o Link Privado conecta com segurança um cliente local ao serviço da Área de Trabalho Virtual do Azure. Para obter informações mais detalhadas sobre conexões de cliente, consulte Sequência de conexão do cliente.

A high-level diagram that shows Private Link connecting a local client to the Azure Virtual Desktop service.

A tabela a seguir resume os pontos de extremidade privados necessários:

Finalidade Tipo de recurso Sub-recurso de destino Quantidade
Descoberta inicial do feed Microsoft.DesktopVirtualization/workspaces global Um para todas as implantações da Área de Trabalho Virtual do Azure
Download do feed Microsoft.DesktopVirtualization/workspaces feed Um por workspace
Conexões com pools de hosts Microsoft.DesktopVirtualization/hostpools connection Um por pool de host

Você pode compartilhar esses pontos de extremidade privados em sua topologia de rede ou isolar suas redes virtuais, para assim cada um ter seu próprio ponto de extremidade privado para o pool de hosts ou workspace.

Cenários com suporte

Ao adicionar o Link Privado com a Área de Trabalho Virtual do Azure, você tem as seguintes opções para se conectar à Área de Trabalho Virtual do Azure. Cada um pode ser habilitado ou desabilitado, dependendo dos seus requisitos.

  • As VMs de host de sessão e de clientes usam rotas privadas.
  • Os clientes usam rotas públicas enquanto as VMs de host de sessão usam rotas privadas.
  • As VMs de host de sessão e de clientes usam rotas públicas. O Link Privado não é usado.

Para conexões com um workspace, exceto o usado para descoberta de feed inicial (sub-recurso global), a tabela a seguir detalha o resultado de cada cenário:

Configuração Resultado
Acesso público habilitado de todas as redes Solicitações de feed de workspace são permitidas de rotas públicas.

Solicitações de feed de workspace são permitidas de rotas particulares.
Acesso público desabilitado de todas as redes Solicitações de feed de workspace são negadas de rotas públicas.

Solicitações de feed de workspace são permitidas de rotas particulares.

Com o transporte de conexão reversa, há duas conexões de rede para conexões a pools de host: o cliente para o gateway e o host da sessão para o gateway. Além de habilitar ou desabilitar o acesso público para ambas as conexões, você também pode optar por habilitar o acesso público para clientes que se conectam ao gateway, e permitir apenas acesso privado para hosts da sessão que se conectam ao gateway. A tabela a seguir detalha o resultado de cada cenário:

Configuração Resultado
Acesso público habilitado de todas as redes Sessões remotas são permitidas quando o cliente ou o host da sessão está usando uma rota pública.

Sessões remotas são permitidas quando o cliente ou o host da sessão está usando uma rota particular.
Acesso público desabilitado de todas as redes Sessões remotas são negadas quando o cliente ou o host da sessão está usando uma rota pública.

Sessões remotas são permitidas quando o cliente e o host da sessão estão usando uma rota particular.
Acesso público habilitado para redes cliente, mas desabilitado para redes de host da sessão As sessões remotas serão negadas se o host da sessão estiver usando uma rota pública, independentemente da rota que o cliente está usando.

Sessões remotas são permitidas desde que o host da sessão esteja usando uma rota particular, independentemente da rota que o cliente está usando.

Importante

  • Um ponto de extremidade privado para o sub-recurso global de um workspace controla o FQDN (nome de domínio totalmente qualificado) compartilhado para a descoberta inicial do feed. Isso, por sua vez, permite a descoberta de feed para todos os workspaces. Devido à grande importância do workspace conectado ao ponto de extremidade privado, excluí-lo fará com que todos os processos de descoberta de feed parem de funcionar. Recomendamos que você crie um workspace de espaço reservado não utilizado para o sub-recurso global.

  • Não é possível controlar o acesso ao workspace usado para a descoberta inicial do feed (sub-recurso global). Se você configurar esse workspace para permitir apenas o acesso particular, a configuração será ignorada. Esse workspace é sempre acessível a partir de rotas públicas.

  • Se você pretende restringir portas de rede dos dispositivos cliente do usuário ou das VMs do host de sessão para os pontos de extremidade privados, precisa permitir o tráfego em todo o intervalo de portas dinâmicas TCP de 1 a 65535 para o ponto de extremidade privado do recurso do pool de hosts usando o sub-recurso de conexão. Todo o intervalo de portas dinâmicas TCP é necessário, porque o mapeamento de porta é usado para todos os gateways globais por meio do endereço IP do ponto de extremidade privado correspondente ao sub-recurso de conexão. Caso você restrinja as portas para o ponto de extremidade privado, talvez os usuários não consigam se conectar com sucesso à Área de Trabalho Virtual do Azure.

Sequência de conexão do cliente

Quando um usuário se conecta à Área de Trabalho Virtual do Azure pelo Link Privado e ela é configurada para permitir apenas conexões de cliente de rotas particulares, a sequência de conexão é a seguinte:

  1. Com um cliente com suporte, um usuário assina um workspace. O dispositivo do usuário consulta o DNS para o endereço rdweb.wvd.microsoft.com (ou o endereço correspondente para outros ambientes do Azure).

  2. Sua zona DNS particular para privatelink-global.wvd.microsoft.com retorna o endereço IP privado para a descoberta inicial do feed (sub-recurso global).

  3. Para cada workspace no feed, uma consulta DNS é feita para o endereço <workspaceId>.privatelink.wvd.microsoft.com.

  4. Sua zona DNS particular para privatelink.wvd.microsoft.com retorna o endereço IP privado para o download do feed do workspace.

  5. Ao conectar uma sessão remota, o arquivo .rdp que vem do download do feed do workspace contém o endereço do gateway da Área de Trabalho Remota. Uma consulta DNS é feita para o endereço <hostpooId>.afdfp-rdgateway.wvd.microsoft.com.

  6. Sua zona DNS particular para privatelink.wvd.microsoft.com retorna o endereço IP privado para o gateway da Área de Trabalho Remota a ser usado para o pool de host que fornece a sessão remota.

Limitações e problemas conhecidos

O Link Privado com a Área de Trabalho Virtual do Azure tem as seguintes limitações:

  • Antes de usar o Link Privado para a Área de Trabalho Virtual do Azure, você precisa habilitar o Link Privado para a Área de Trabalho Virtual do Azure em cada assinatura do Azure para a qual quiser criar um Link Privado com a Área de Trabalho Virtual do Azure.

  • Todos os Clientes da Área de Trabalho Remota para se conectar à Área de Trabalho Virtual do Azure podem ser usados com o Link Privado. Se você estiver usando o Cliente de Área de Trabalho Remota para Windows em uma rede privada sem acesso à Internet e estiver inscrito em feeds públicos e privados, não poderá acessar o feed.

  • Depois de alterar um ponto de extremidade privado para um pool de hosts, você deve reiniciar o serviço Carregador de Agente da Área de Trabalho Remota (RDAgentBootLoader) em cada host da sessão no pool de host. Você também precisa reiniciar esse serviço sempre que alterar a configuração da rede de um pool de hosts. Em vez de reiniciar o serviço, você pode reiniciar cada host da sessão.

  • O uso do Link Privado e do Shortpath RDP tem as seguintes limitações:

  • No início da versão prévia do Link Privado com a Área de Trabalho Virtual do Azure, o ponto de extremidade privado para a descoberta inicial do feed (para o sub-recurso global) compartilhou o nome privatelink.wvd.microsoft.com da zona DNS privada de com outros pontos de extremidade privados para workspaces e pools de hosts. Nessa configuração, os usuários não conseguem estabelecer pontos de extremidade privados exclusivamente para pools de hosts e workspaces. A partir de 1º de setembro de 2023, não haverá mais suporte para o compartilhamento da zona DNS privada nessa configuração. Você precisa criar um novo ponto de extremidade privado para que o sub-recurso global use o nome da zona DNS privada privatelink-global.wvd.microsoft.com. Para obter as etapas para fazer isso, consulte Descoberta inicial do feed.

Próximas etapas