Configurar o Link Privado com a Área de Trabalho Virtual do Azure

Artigo
04/19/2024

Este artigo mostra como configurar o Link Privado com a Área de Trabalho Virtual do Azure para se conectar de forma privada aos seus recursos remotos. Para obter mais informações sobre o uso do Link Privado com a Área de Trabalho Virtual do Azure, incluindo limitações, confira Link Privado do Azure com a Área de Trabalho Virtual do Azure.

Pré-requisitos

Para usar o Link Privado com a Área de Trabalho Virtual do Azure, você precisa dos seguintes itens:

Um pool de host existente com hosts da sessão, grupo de aplicativos e workspace.
Uma rede virtual e uma sub-rede existentes que você deseja usar para pontos de extremidade privados.
As permissões de controle de acesso baseado em função do Azure necessárias para criar pontos de extremidade privados.
Um aplicativo com suporte em um dispositivo local para acessar uma sessão remota:
- Aplicativo de Área de Trabalho Remota em qualquer plataforma. Se estiver usando o cliente de Área de Trabalho Remota para Windows, será necessário usar a versão 1.2.4066 ou posterior para se conectar usando um ponto de extremidade privado.
- Aplicativo do Windows no macOS ou iOS/iPadOS.
Se você quiser usar a CLI do Azure ou o Azure PowerShell localmente, confira Usar a CLI do Azure e o Azure PowerShell com a Área de Trabalho Virtual do Azure para garantir que você tenha a extensão da CLI do Azure desktopvirtualization ou o módulo Az.DesktopVirtualization do PowerShell instalado. Como alternativa, use o Azure Cloud Shell.
Os cmdlets do Azure PowerShell da Área de Trabalho Virtual do Azure que dão suporte ao Link Privado estão em versão prévia. Você precisará baixar e instalar a versão prévia do módulo Az.DesktopVirtualization para usar esses cmdlets, que foram adicionados na versão 5.0.0.

Habilitar o Link Privado com a Área de Trabalho Virtual do Azure em uma assinatura

Para usar o Link Privado com a Área de Trabalho Virtual do Azure, você precisa registrar novamente o provedor de recursos Microsoft.DesktopVirtualization em cada assinatura que você quer usar o Link Privado com a Área de Trabalho Virtual do Azure.

Selecione a guia relevante ao seu cenário.

Azure
Azure US Gov e 21Vianet

Registrar novamente o provedor de recursos da Área de Trabalho Virtual do Azure

Antes de usar o Link Privado com a Área de Trabalho Virtual do Azure, você precisa registrar novamente o provedor de recursos do Microsoft.DesktopVirtualization. Você precisa fazer isso para cada assinatura que quiser usar para o Link Privado com a Área de Trabalho Virtual do Azure:

Entre no portal do Azure.
Na barra de pesquisa, insira Assinaturas e selecione a entrada de serviço correspondente.
Selecione o nome da assinatura e, em seguida, na seção Configurações, selecione Provedores de recursos.
Procure e selecione Microsoft.DesktopVirtualization e, em seguida, selecione Registrar novamente.
Verifique se o status do Microsoft.DesktopVirtualization é Registrado.

Criar pontos de extremidade privados

Durante o processo de configuração, você precisa criar pontos de extremidade privados para os recursos a seguir, dependendo do seu cenário.

Todas as partes da conexão — descoberta de feed inicial, download de feed e conexões de sessão remota para clientes e hosts de sessão — usam rotas privadas. Você precisa dos seguintes pontos de extremidade privados:

Finalidade	Tipo de recurso	Sub-recurso de destino	Quantidade de pontos de extremidade
Conexões com pools de hosts	Microsoft.DesktopVirtualization/hostpools	connection	Um por pool de host
Download do feed	Microsoft.DesktopVirtualization/workspaces	feed	Um por workspace
Descoberta inicial do feed	Microsoft.DesktopVirtualization/workspaces	global	Apenas um para todas as implantações da Área de Trabalho Virtual do Azure

O download de feed e as conexões de sessão remota para clientes e hosts de sessão usam rotas privadas, mas a descoberta de feed inicial usa rotas públicas. Você precisa dos seguintes pontos de extremidade privados. O ponto de extremidade para a descoberta de feed inicial não é necessário.

Finalidade	Tipo de recurso	Sub-recurso de destino	Quantidade de pontos de extremidade
Conexões com pools de hosts	Microsoft.DesktopVirtualization/hostpools	connection	Um por pool de host
Download do feed	Microsoft.DesktopVirtualization/workspaces	feed	Um por workspace

Somente conexões de sessão remota para clientes e hosts de sessão usam rotas privadas, mas a descoberta de feed inicial e o download de feed usam rotas públicas. Você precisa dos pontos de extremidade privados a seguir. Não são necessários pontos de extremidade para workspaces.

Finalidade Tipo de recurso Sub-recurso de destino Quantidade de pontos de extremidade

Conexões com pools de hosts Microsoft.DesktopVirtualization/hostpools connection Um por pool de host
As VMs de host de sessão e de clientes usam rotas públicas. O Link Privado não é usado neste cenário.

Importante

Se você criar um ponto de extremidade privado para a descoberta de feed inicial, o espaço de trabalho usado para o sub-recurso global irá reger o Nome de Domínio Totalmente Qualificado (FQDN) compartilhado, facilitando a descoberta inicial de feeds em todos os espaços de trabalho. Você deve criar um espaço de trabalho separado que seja usado somente para essa finalidade e não tenha nenhum grupo de aplicativos registrado. A exclusão desse espaço de trabalho fará com que todos os processos de descoberta de feed parem de funcionar.
Não é possível controlar o acesso ao workspace usado para a descoberta inicial do feed (sub-recurso global). Se você configurar esse workspace para permitir apenas o acesso particular, a configuração será ignorada. Esse workspace é sempre acessível a partir de rotas públicas.
As alocações de endereço IP estão sujeitas a alterações à medida que a demanda por endereços IP aumenta. Durante expansões de capacidade, endereços adicionais são necessários para pontos de extremidade privados. É importante considerar o esgotamento potencial do espaço de endereço e garantir espaço suficiente para o crescimento. Para obter mais informações sobre como determinar a configuração de rede apropriada para pontos de extremidade privados em uma topologia de hub ou spoke, consulte Árvore de decisão para implantação do Link Privado.

Conexões com pools de hosts

Para criar um ponto de extremidade privado para o sub-recurso de conexão para conexões com um pool de hosts, selecione a guia relevante para o seu cenário e siga as etapas.

Veja como criar um ponto de extremidade privado para o sub-recurso de conexão para conexões com um pool de hosts usando o portal do Azure.

Entre no portal do Azure.
Na barra de pesquisa, digite Área de Trabalho Virtual do Azure e selecione a entrada de serviço correspondente para acessar a visão geral da Área de Trabalho Virtual do Azure.
Selecione Pools de hosts e, em seguida, selecione o nome do pool de host para o qual você deseja criar um sub-recurso de conexão.
Na visão geral do pool de host, selecione Rede, Conexões de ponto de extremidade privado e, por fim, Novo ponto de extremidade privado.

Na guia Básico, complete as seguintes informações:

Parâmetro	Valor/Descrição
Subscription	Selecione a assinatura na qual você deseja criar o ponto de extremidade privado na lista suspensa.
Resource group	O padrão é automaticamente o mesmo grupo de recursos do seu workspace para o ponto de extremidade privado, mas você também pode selecionar um grupo alternativo existente na lista suspensa ou criar um novo.
Nome	Insira um nome para o novo ponto de extremidade privado.
Nome da interface de rede	O nome da interface de rede é preenchido automaticamente com base no nome que você deu ao ponto de extremidade privado, mas você também pode especificar um nome diferente.
Região	O padrão é automaticamente a mesma região do Azure que o workspace e é onde o ponto de extremidade privado é implantado. Essa deve ser a mesma região da rede virtual e dos hosts de sessão.

Depois de concluir essa guia, selecione Avançar: Recurso.

Na guia Recurso, valide os valores de Assinatura, Tipo de recurso e Recurso e, em seguida, para Sub-recurso de destino, selecione Conexão. Depois de concluir essa guia, selecione Avançar: Rede Virtual.

Na guia Rede Virtual, preencha as seguintes informações:

Parâmetro	Valor/Descrição
Rede virtual	Selecione a rede virtual na qual deseja criar o ponto de extremidade privado na lista suspensa.
Sub-rede	Selecione a sub-rede da rede virtual na qual deseja criar o ponto de extremidade privado na lista suspensa.
Política de rede para pontos de extremidade privados	Selecione editar se quiser escolher uma política de rede de sub-rede. Para obter mais informações, confira Gerenciar políticas de rede para pontos de extremidade privados.
Configuração de IP privado	Selecione Alocar dinamicamente o endereço IP ou Alocar estaticamente o endereço IP. O espaço de endereço é da sub-rede selecionada. Se você optar por alocar estaticamente os endereços IP, preencha o Nome e o IP Privado para cada membro listado.
Grupo de segurança do aplicativo	Opcional: selecione um grupo de segurança de aplicativo existente para o ponto de extremidade privado na lista suspensa ou crie um novo. Você também pode adicionar um posteriormente.

Depois de concluir essa guia, selecione Avançar: DNS.

Na guia DNS, escolha se deseja usar a Zona DNS Privada do Azure selecionando Sim ou Não para Integrar com a zona DNS privada. Se você selecionar Sim, selecione a assinatura e o grupo de recursos nos quais será criada a zona DNS privada privatelink.wvd.microsoft.com. Para obter mais informações, confira Configuração de DNS do ponto de extremidade privado do Azure.

Depois de concluir essa guia, selecione Avançar: marcas.
Opcional: Na guia Marcas, você pode inserir os pares de nome/valor necessários e, em seguida, selecione Avançar: Examinar + criar.
Na guia Examinar + criar, verifique se a validação está aprovada e examine as informações que são usadas durante a implantação.
Selecione Criar para criar o ponto de extremidade privado para o sub-recurso de conexão.

Veja como criar um ponto de extremidade privado para o sub-recurso de conexão usado para conexões com um pool de host usando os módulos do PowerShell Az.Network e Az.DesktopVirtualization. Certifique-se de alterar os valores <placeholder> para os seus valores.

Abra o Azure Cloud Shell no portal do Azure com o tipo de terminal PowerShell ou execute o PowerShell em seu dispositivo local.
- Se estiver usando o Cloud Shell, verifique se o contexto do Azure está definido para a assinatura que você deseja usar.
- Se estiver usando o PowerShell localmente, primeiro conecte-se com o Azure PowerShell e, em seguida, certifique-se de que seu contexto do Azure está definido para a assinatura que você deseja usar.

Obtenha os detalhes da rede virtual e da sub-rede que deseja usar para o ponto de extremidade privado e armazene-os em uma variável executando os seguintes comandos:

# Get the subnet details for the virtual network
$subnet = (Get-AzVirtualNetwork -Name <VNetName> -ResourceGroupName <ResourceGroupName>).Subnets | ? Name -eq <SubnetName>

Crie uma conexão de serviço Link Privado para um pool de hosts com o sub-recurso de conexão executando os seguintes comandos.

# Get the resource ID of the host pool
$hostPoolId = (Get-AzWvdHostPool -Name <HostPoolName> -ResourceGroupName <ResourceGroupName>).Id

# Create the service connection
$parameters = @{
    Name = '<ServiceConnectionName>'
    PrivateLinkServiceId = $hostPoolId
    GroupId = 'connection'
}

$serviceConnection = New-AzPrivateLinkServiceConnection @parameters

Por fim, crie o ponto de extremidade privado executando os comandos em um dos exemplos a seguir.

Para criar um ponto de extremidade privado com um endereço IP alocado dinamicamente:

# Specify the Azure region. This must be the same region as your virtual network and session hosts.
$location = '<Location>'

# Create the private endpoint
$parameters = @{
    Name = '<PrivateEndpointName>'
    ResourceGroupName = '<ResourceGroupName>'
    Location = $location
    Subnet = $subnet
    PrivateLinkServiceConnection = $serviceConnection
}

New-AzPrivateEndpoint @parameters

Para criar um ponto de extremidade privado com endereços IP alocados estaticamente:

# Specify the Azure region. This must be the same region as your virtual network and session hosts.
$location = '<Location>'

# Create a hash table for each private endpoint IP configuration
$ip1 = @{
    Name = 'ipconfig1'
    GroupId = 'connection'
    MemberName = 'broker'
    PrivateIPAddress = '<IPAddress>'
}

$ip2 = @{
    Name = 'ipconfig2'
    GroupId = 'connection'
    MemberName = 'diagnostics'
    PrivateIPAddress = '<IPAddress>'
}

$ip3 = @{
    Name = 'ipconfig3'
    GroupId = 'connection'
    MemberName = 'gateway-ring-map'
    PrivateIPAddress = '<IPAddress>'
}

$ip4 = @{
    Name = 'ipconfig4'
    GroupId = 'connection'
    MemberName = 'web'
    PrivateIPAddress = '<IPAddress>'
}

# Create the private endpoint IP configurations
$ipConfig1 = New-AzPrivateEndpointIpConfiguration @ip1
$ipConfig2 = New-AzPrivateEndpointIpConfiguration @ip2
$ipConfig3 = New-AzPrivateEndpointIpConfiguration @ip3
$ipConfig4 = New-AzPrivateEndpointIpConfiguration @ip4

# Create the private endpoint
$parameters = @{
    Name = '<PrivateEndpointName>'
    ResourceGroupName = '<ResourceGroupName>'
    Location = $location
    Subnet = $subnet
    PrivateLinkServiceConnection = $serviceConnection
    IpConfiguration = $ipConfig1, $ipConfig2, $ipConfig3, $ipConfig4
}

New-AzPrivateEndpoint @parameters

A saída deve ser semelhante à saída a seguir. Verifique se o valor de ProvisioningState é Êxito.

ResourceGroupName Name            Location ProvisioningState Subnet
----------------- ----            -------- ----------------- ------
privatelink       endpoint-hp01   uksouth  Succeeded

Você precisa configurar o DNS para seu ponto de extremidade privado para resolver o nome DNS do ponto de extremidade privado na rede virtual. O nome da zona DNS privada é privatelink.wvd.microsoft.com. Para ver as etapas de criação e configuração da zona DNS privada com o Azure PowerShell, confira Configurar a zona DNS privada.

Veja como criar um ponto de extremidade privado para o sub-recurso de conexão usado para conexões com um pool de host usando as extensões de rede e de virtualização de área de trabalho para a CLI do Azure.

Importante

Nos exemplos a seguir, será necessário alterar os valores de <placeholder> para os seus próprios.

Abra o Azure Cloud Shell no portal do Azure com o tipo de terminal Bash ou execute a CLI do Azure em seu dispositivo local.
- Se estiver usando o Cloud Shell, verifique se o contexto do Azure está definido para a assinatura que você deseja usar.
- Se você estiver usando a CLI do Azure localmente, primeiro entre com a CLI do Azure e certifique-se de que o contexto do Azure esteja definido como a assinatura que você deseja usar.

Crie uma conexão de serviço Link Privado e o ponto de extremidade privado para um pool de hosts com o sub-recurso de conexão executando os comandos em um dos exemplos a seguir.

Para criar um ponto de extremidade privado com um endereço IP alocado dinamicamente:

# Specify the Azure region. This must be the same region as your virtual network and session hosts.
location=<Location>

# Get the resource ID of the host pool
hostPoolId=$(az desktopvirtualization hostpool show \
    --name <HostPoolName> \
    --resource-group <ResourceGroupName> \
    --query [id] \
    --output tsv)

# Create a service connection and the private endpoint
az network private-endpoint create \
    --name <PrivateEndpointName> \
    --resource-group <ResourceGroupName> \
    --location $location \
    --vnet-name <VNetName> \
    --subnet <SubnetName> \
    --connection-name <ConnectionName> \
    --private-connection-resource-id $hostPoolId \
    --group-id connection \
    --output table

Para criar um ponto de extremidade privado com endereços IP alocados estaticamente:

# Specify the Azure region. This must be the same region as your virtual network and session hosts.
location=<Location>

# Get the resource ID of the host pool
hostPoolId=$(az desktopvirtualization hostpool show \
    --name <HostPoolName> \
    --resource-group <ResourceGroupName> \
    --query [id] \
    --output tsv)

# Store each private endpoint IP configuration in a variable
ip1={name:ipconfig1,group-id:connection,member-name:broker,private-ip-address:<IPAddress>}
ip2={name:ipconfig2,group-id:connection,member-name:diagnostics,private-ip-address:<IPAddress>}
ip3={name:ipconfig3,group-id:connection,member-name:gateway-ring-map,private-ip-address:<IPAddress>}
ip4={name:ipconfig4,group-id:connection,member-name:web,private-ip-address:<IPAddress>}

# Create a service connection and the private endpoint
az network private-endpoint create \
    --name <PrivateEndpointName> \
    --resource-group <ResourceGroupName> \
    --location $location \
    --vnet-name <VNetName> \
    --subnet <SubnetName> \
    --connection-name <ConnectionName> \
    --private-connection-resource-id $hostPoolId \
    --group-id connection \
    --ip-configs [$ip1,$ip2,$ip3,$ip4] \
    --output table

A saída deve ser semelhante à saída a seguir. Verifique se o valor de ProvisioningState é Êxito.

CustomNetworkInterfaceName    Location    Name                  ProvisioningState    ResourceGroup
----------------------------  ----------  --------------------  -------------------  ---------------
                              uksouth     endpoint-hp01         Succeeded            privatelink

Você precisa configurar o DNS para seu ponto de extremidade privado para resolver o nome DNS do ponto de extremidade privado na rede virtual. O nome da zona DNS privada é privatelink.wvd.microsoft.com. Para ver as etapas de criação e configuração da zona DNS privada com a CLI do Azure, confira Configurar a zona DNS privada.

Importante

Você precisa criar um ponto de extremidade privado para o sub-recurso de conexão para cada pool de hosts que deseja usar com o Link Privado.

Download do feed

Para criar um ponto de extremidade privado para o sub-recurso de feed de um workspace, selecione a guia relevante para o cenário e siga as etapas.

Na visão geral da Área de Trabalho Virtual do Azure, selecione Workspaces e, em seguida, selecione o nome do workspace para o qual deseja criar um sub-recurso de feed.
Na visão geral do workspace, selecione Rede, em seguida, Conexões de ponto de extremidade privado e, por fim, Novo ponto de extremidade privado.

Na guia Básico, complete as seguintes informações:

Parâmetro	Valor/Descrição
Subscription	Selecione a assinatura na qual você deseja criar o ponto de extremidade privado na lista suspensa.
Resource group	O padrão é automaticamente o mesmo grupo de recursos do seu workspace para o ponto de extremidade privado, mas você também pode selecionar um grupo alternativo existente na lista suspensa ou criar um novo.
Nome	Insira um nome para o novo ponto de extremidade privado.
Nome da interface de rede	O nome da interface de rede é preenchido automaticamente com base no nome que você deu ao ponto de extremidade privado, mas você também pode especificar um nome diferente.
Região	O padrão é automaticamente a mesma região do Azure que o workspace e é onde o ponto de extremidade privado é implantado. Isso deve estar na mesma região que a sua rede virtual.

Depois de concluir essa guia, selecione Avançar: Recurso.

Na guia Recurso, valide os valores para Assinatura, Tipo de recurso e Recurso e, em seguida, para Sub-recurso de destino, selecione feed. Depois de concluir essa guia, selecione Avançar: Rede Virtual.

Na guia Rede Virtual, preencha as seguintes informações:

Parâmetro	Valor/Descrição
Rede virtual	Selecione a rede virtual na qual deseja criar o ponto de extremidade privado na lista suspensa.
Sub-rede	Selecione a sub-rede da rede virtual na qual deseja criar o ponto de extremidade privado na lista suspensa.
Política de rede para pontos de extremidade privados	Selecione editar se quiser escolher uma política de rede de sub-rede. Para obter mais informações, confira Gerenciar políticas de rede para pontos de extremidade privados.
Configuração de IP privado	Selecione Alocar dinamicamente o endereço IP ou Alocar estaticamente o endereço IP. O espaço de endereço é da sub-rede selecionada. Se você optar por alocar estaticamente os endereços IP, preencha o Nome e o IP Privado para cada membro listado.
Grupo de segurança do aplicativo	Opcional: selecione um grupo de segurança de aplicativo existente para o ponto de extremidade privado na lista suspensa ou crie um novo. Você também pode adicionar um posteriormente.

Depois de concluir essa guia, selecione Avançar: DNS.

Na guia DNS, escolha se deseja usar a Zona DNS Privada do Azure selecionando Sim ou Não para Integrar com a zona DNS privada. Se você selecionar Sim, selecione a assinatura e o grupo de recursos nos quais será criada a zona DNS privada privatelink.wvd.microsoft.com. Para obter mais informações, confira Configuração de DNS do ponto de extremidade privado do Azure.

Depois de concluir essa guia, selecione Avançar: marcas.
Opcional: Na guia Marcas, você pode inserir os pares de nome/valor necessários e, em seguida, selecione Avançar: Examinar + criar.
Na guia Examinar + criar, verifique se a validação está aprovada e examine as informações que são usadas durante a implantação.
Selecione Criar para criar o ponto de extremidade privado para o sub-recurso de feed.

Na mesma sessão do PowerShell, crie uma conexão de serviço Link Privado para um workspace com o sub-recurso de feed executando os seguintes comandos. Nesses exemplos, são usadas a mesma rede virtual e a mesma sub-rede.

# Get the resource ID of the workspace
$workspaceId = (Get-AzWvdWorkspace -Name <WorkspaceName> -ResourceGroupName <ResourceGroupName>).Id

# Create the service connection
$parameters = @{
    Name = '<ServiceConnectionName>'
    PrivateLinkServiceId = $workspaceId
    GroupId = 'feed'
}

$serviceConnection = New-AzPrivateLinkServiceConnection @parameters

Por fim, crie o ponto de extremidade privado executando os comandos em um dos exemplos a seguir.

Para criar um ponto de extremidade privado com um endereço IP alocado dinamicamente:

# Specify the Azure region. This must be the same region as your virtual network.
$location = '<Location>'

# Create the private endpoint
$parameters = @{
    Name = '<PrivateEndpointName>'
    ResourceGroupName = '<ResourceGroupName>'
    Location = $location
    Subnet = $subnet
    PrivateLinkServiceConnection = $serviceConnection
}

New-AzPrivateEndpoint @parameters

Para criar um ponto de extremidade privado com um endereço IP alocado estaticamente:

# Specify the Azure region. This must be the same region as your virtual network.
$location = '<Location>'

# Create a hash table for each private endpoint IP configuration
$ip1 = @{
    Name = 'ipconfig1'
    GroupId = 'feed'
    MemberName = 'web-r1'
    PrivateIPAddress = '<IPAddress>'
}

$ip2 = @{
    Name = 'ipconfig2'
    GroupId = 'feed'
    MemberName = 'web-r0'
    PrivateIPAddress = '<IPAddress>'
}

# Create the private endpoint IP configurations
$ipConfig1 = New-AzPrivateEndpointIpConfiguration @ip1
$ipConfig2 = New-AzPrivateEndpointIpConfiguration @ip2

# Create the private endpoint
$parameters = @{
    Name = '<PrivateEndpointName>'
    ResourceGroupName = '<ResourceGroupName>'
    Location = $location
    Subnet = $subnet
    PrivateLinkServiceConnection = $serviceConnection
    IpConfiguration = $ipConfig1, $ipConfig2
}

New-AzPrivateEndpoint @parameters

A saída deve ser semelhante à que se segue. Verifique se o valor de ProvisioningState é Êxito.

ResourceGroupName Name            Location ProvisioningState Subnet
----------------- ----            -------- ----------------- ------
privatelink       endpoint-ws01   uksouth  Succeeded

Você precisa configurar o DNS para seu ponto de extremidade privado para resolver o nome DNS do ponto de extremidade privado na rede virtual. O nome da zona DNS privada é privatelink.wvd.microsoft.com. Para ver as etapas de criação e configuração da zona DNS privada com o Azure PowerShell, confira Configurar a zona DNS privada.

Na mesma sessão da CLI, crie uma conexão de serviço Link Privado e o ponto de extremidade privado para um workspace com o sub-recurso de feed executando os seguintes comandos.

Para criar um ponto de extremidade privado com um endereço IP alocado dinamicamente:

# Specify the Azure region. This must be the same region as your virtual network.
location=<Location>

# Get the resource ID of the workspace
workspaceId=$(az desktopvirtualization workspace show \
    --name <WorkspaceName> \
    --resource-group <ResourceGroupName> \
    --query [id] \
    --output tsv)

# Create a service connection and the private endpoint
az network private-endpoint create \
    --name <PrivateEndpointName> \
    --resource-group <ResourceGroupName> \
    --location $location \
    --vnet-name <VNetName> \
    --subnet <SubnetName> \
    --connection-name <ConnectionName> \
    --private-connection-resource-id $workspaceId \
    --group-id feed \
    --output table

Para criar um ponto de extremidade privado com endereços IP alocados estaticamente:

# Specify the Azure region. This must be the same region as your virtual network.
location=<Location>

# Get the resource ID of the workspace
workspaceId=$(az desktopvirtualization workspace show \
    --name <WorkspaceName> \
    --resource-group <ResourceGroupName> \
    --query [id] \
    --output tsv)

# Store each private endpoint IP configuration in a variable
ip1={name:ipconfig1,group-id:feed,member-name:web-r1,private-ip-address:<IPAddress>}
ip2={name:ipconfig2,group-id:feed,member-name:web-r0,private-ip-address:<IPAddress>}

# Create a service connection and the private endpoint
az network private-endpoint create \
    --name <PrivateEndpointName> \
    --resource-group <ResourceGroupName> \
    --location $location \
    --vnet-name <VNetName> \
    --subnet <SubnetName> \
    --connection-name <ConnectionName> \
    --private-connection-resource-id $workspaceId \
    --group-id feed \
    --ip-configs [$ip1,$ip2] \
    --output table

A saída deve ser semelhante à que se segue. Verifique se o valor de ProvisioningState é Êxito.

CustomNetworkInterfaceName    Location    Name                  ProvisioningState    ResourceGroup
----------------------------  ----------  --------------------  -------------------  ---------------
                              uksouth     endpoint-ws01         Succeeded            privatelink

Você precisa configurar o DNS para seu ponto de extremidade privado para resolver o nome DNS do ponto de extremidade privado na rede virtual. O nome da zona DNS privada é privatelink.wvd.microsoft.com. Para ver as etapas de criação e configuração da zona DNS privada com a CLI do Azure, confira Configurar a zona DNS privada.

Importante

Você precisa criar um ponto de extremidade privado para o sub-recurso de feed para cada workspace que deseja usar com o Link Privado.

Descoberta inicial do feed

Para criar um ponto de extremidade privado para o sub-recurso global usado para a descoberta de feed inicial, selecione a guia relevante para o seu cenário e siga as etapas.

Importante

Crie apenas um ponto de extremidade privado para o sub-recurso global para todas as implantações da Área de Trabalho Virtual do Azure.
Um ponto de extremidade privado para o sub-recurso global de um workspace controla o FQDN (nome de domínio totalmente qualificado) compartilhado para a descoberta inicial do feed. Isso, por sua vez, permite a descoberta de feed para todos os workspaces. Devido à grande importância do workspace conectado ao ponto de extremidade privado, excluí-lo fará com que todos os processos de descoberta de feed parem de funcionar. Recomendamos que você crie um workspace de espaço reservado não utilizado para o sub-recurso global.

Na visão geral da Área de Trabalho Virtual do Azure, selecione Workspaces e, em seguida, selecione o nome de um workspace que você deseja usar para o sub-recurso global.
1. Opcional: em vez disso, crie um workspace de espaço reservado para encerrar o ponto de extremidade global seguindo as instruções em Criar um workspace.
Na visão geral do workspace, selecione Rede, em seguida, Conexões de ponto de extremidade privado e, por fim, Novo ponto de extremidade privado.

Na guia Básico, complete as seguintes informações:

Parâmetro	Valor/Descrição
Subscription	Selecione a assinatura na qual você deseja criar o ponto de extremidade privado na lista suspensa.
Resource group	O padrão é automaticamente o mesmo grupo de recursos do seu workspace para o ponto de extremidade privado, mas você também pode selecionar um grupo alternativo existente na lista suspensa ou criar um novo.
Nome	Insira um nome para o novo ponto de extremidade privado.
Nome da interface de rede	O nome da interface de rede é preenchido automaticamente com base no nome que você deu ao ponto de extremidade privado, mas você também pode especificar um nome diferente.
Região	O padrão é automaticamente a mesma região do Azure que o workspace e é onde o ponto de extremidade privado será implantado. Isso deve estar na mesma região que a sua rede virtual.

Depois de concluir essa guia, selecione Avançar: Recurso.

Na guia Recurso, valide os valores para Assinatura, Tipo de recurso e Recurso e, em seguida, para Sub-recurso de destino, selecione global. Depois de concluir essa guia, selecione Avançar: Rede Virtual.

Na guia Rede Virtual, preencha as seguintes informações:

Parâmetro	Valor/Descrição
Rede virtual	Selecione a rede virtual na qual deseja criar o ponto de extremidade privado na lista suspensa.
Sub-rede	Selecione a sub-rede da rede virtual na qual deseja criar o ponto de extremidade privado na lista suspensa.
Política de rede para pontos de extremidade privados	Selecione editar se quiser escolher uma política de rede de sub-rede. Para obter mais informações, confira Gerenciar políticas de rede para pontos de extremidade privados.
Configuração de IP privado	Selecione Alocar dinamicamente o endereço IP ou Alocar estaticamente o endereço IP. O espaço de endereço é da sub-rede selecionada. Se você optar por alocar estaticamente os endereços IP, preencha o Nome e o IP Privado para cada membro listado.
Grupo de segurança do aplicativo	Opcional: selecione um grupo de segurança de aplicativo existente para o ponto de extremidade privado na lista suspensa ou crie um novo. Você também pode adicionar um posteriormente.

Depois de concluir essa guia, selecione Avançar: DNS.

Na guia DNS, escolha se deseja usar a Zona DNS Privada do Azure selecionando Sim ou Não para Integrar com a zona DNS privada. Se você selecionar Sim, selecione a assinatura e o grupo de recursos nos quais será criada a zona DNS privada privatelink-global.wvd.microsoft.com. Para obter mais informações, confira Configuração de DNS do ponto de extremidade privado do Azure.

Depois de concluir essa guia, selecione Avançar: marcas.
Opcional: Na guia Marcas, você pode inserir os pares de nome/valor necessários e, em seguida, selecione Avançar: Examinar + criar.
Na guia Examinar + criar, verifique se a validação está aprovada e examine as informações que são usadas durante a implantação.
Selecione Criar para criar o ponto de extremidade privado para o sub-recurso global.

Opcional: crie um workspace de espaço reservado para encerrar o ponto de extremidade global seguindo as instruções em Criar um workspace.

Na mesma sessão do PowerShell, crie uma conexão de serviço Link Privado para o workspace com o sub-recurso global executando os seguintes comandos. Nesses exemplos, são usadas a mesma rede virtual e a mesma sub-rede.

# Get the resource ID of the workspace
$workspaceId = (Get-AzWvdWorkspace -Name <WorkspaceName> -ResourceGroupName <ResourceGroupName>).Id

# Create the service connection
$parameters = @{
    Name = '<ServiceConnectionName>'
    PrivateLinkServiceId = $workspaceId
    GroupId = 'global'
}

$serviceConnection = New-AzPrivateLinkServiceConnection @parameters

Por fim, crie o ponto de extremidade privado executando os comandos em um dos exemplos a seguir.

Para criar um ponto de extremidade privado com um endereço IP alocado dinamicamente:

# Specify the Azure region. This must be the same region as your virtual network.
$location = '<Location>'

# Create the private endpoint
$parameters = @{
    Name = '<PrivateEndpointName>'
    ResourceGroupName = '<ResourceGroupName>'
    Location = $location
    Subnet = $subnet
    PrivateLinkServiceConnection = $serviceConnection
}

New-AzPrivateEndpoint @parameters

Para criar um ponto de extremidade privado com um endereço IP alocado estaticamente:

# Specify the Azure region. This must be the same region as your virtual network.
$location = '<Location>'

$ip = @{
    Name = '<IPConfigName>'
    GroupId = 'global'
    MemberName = 'web'
    PrivateIPAddress = '<IPAddress>'
}

$ipConfig = New-AzPrivateEndpointIpConfiguration @ip

# Create the private endpoint
$parameters = @{
    Name = '<PrivateEndpointName>'
    ResourceGroupName = '<ResourceGroupName>'
    Location = $location
    Subnet = $subnet
    PrivateLinkServiceConnection = $serviceConnection
    IpConfiguration = $ipconfig
}

New-AzPrivateEndpoint @parameters

A saída deve ser semelhante à que se segue. Verifique se o valor de ProvisioningState é Êxito.

ResourceGroupName Name            Location ProvisioningState Subnet
----------------- ----            -------- ----------------- ------
privatelink       endpoint-global uksouth  Succeeded

Você precisa configurar o DNS para seu ponto de extremidade privado para resolver o nome DNS do ponto de extremidade privado na rede virtual. O nome da zona DNS privada é privatelink-global.wvd.microsoft.com. Para ver as etapas de criação e configuração da zona DNS privada com o Azure PowerShell, confira Configurar a zona DNS privada.

Opcional: crie um workspace de espaço reservado para encerrar o ponto de extremidade global seguindo as instruções em Criar um workspace.

Na mesma sessão da CLI, crie uma conexão de serviço Link Privado e o ponto de extremidade privado para o workspace com o sub-recurso global executando os seguintes comandos:

Para criar um ponto de extremidade privado com um endereço IP alocado dinamicamente:

# Specify the Azure region. This must be the same region as your virtual network.
location=<Location>

# Get the resource ID of the workspace
workspaceId=$(az desktopvirtualization workspace show \
    --name <WorkspaceName> \
    --resource-group <ResourceGroupName> \
    --query [id] \
    --output tsv)

# Create a service connection and the private endpoint
az network private-endpoint create \
    --name <PrivateEndpointName> \
    --resource-group <ResourceGroupName> \
    --location $location \
    --vnet-name <VNetName> \
    --subnet <SubnetName> \
    --connection-name <ConnectionName> \
    --private-connection-resource-id $workspaceId \
    --group-id global \
    --output table

Para criar um ponto de extremidade privado com endereços IP alocados estaticamente:

# Specify the Azure region. This must be the same region as your virtual network.
location=<Location>

# Get the resource ID of the workspace
workspaceId=$(az desktopvirtualization workspace show \
    --name <WorkspaceName> \
    --resource-group <ResourceGroupName> \
    --query [id] \
    --output tsv)

# Store each private endpoint IP configuration in a variable
ip={name:ipconfig,group-id:global,member-name:web,private-ip-address:<IPAddress>}

# Create a service connection and the private endpoint
az network private-endpoint create \
    --name <PrivateEndpointName> \
    --resource-group <ResourceGroupName> \
    --location $location \
    --vnet-name <VNetName> \
    --subnet <SubnetName> \
    --connection-name <ConnectionName> \
    --private-connection-resource-id $workspaceId \
    --group-id global \
    --ip-config $ip \
    --output table

A saída deve ser semelhante à que se segue. Verifique se o valor de ProvisioningState é Êxito.

CustomNetworkInterfaceName    Location    Name                  ProvisioningState    ResourceGroup
----------------------------  ----------  --------------------  -------------------  ---------------
                              uksouth     endpoint-global       Succeeded            privatelink

Você precisa configurar o DNS para seu ponto de extremidade privado para resolver o nome DNS do ponto de extremidade privado na rede virtual. O nome da zona DNS privada é privatelink-global.wvd.microsoft.com. Para ver as etapas de criação e configuração da zona DNS privada com a CLI do Azure, confira Configurar a zona DNS privada.

Fechar rotas públicas

Depois de criar pontos de extremidade privado privados, você também pode controlar se o tráfego tem permissão para vir de rotas públicas. Você pode controlar isso em um nível granular usando a Área de Trabalho Virtual do Azure ou, de forma mais ampla, usando um grupo de segurança de rede (NSG) ou o Firewall do Azure.

Rotas de controle com a Área de Trabalho Virtual do Azure

Com a Área de Trabalho Virtual do Azure, você pode controlar de forma independente o tráfego público para workspaces e pools de hosts. Selecione a guia relevante para o seu cenário e siga as etapas. Não é possível configurar isso na CLI do Azure. Você precisa repetir essas etapas para cada workspace e pool de hosts que usar com o Link Privado.

Portal
PowerShell do Azure

Workspaces

Na visão geral da Área de Trabalho Virtual do Azure, selecione Workspaces e, em seguida, selecione o nome do workspace para controlar o tráfego público.
Na visão geral do pool de host, selecione Rede e, em seguida, selecione a guia Acesso público.

Selecione uma das seguintes opções:

Configuração	Descrição
Habilitar o acesso público de todas as redes	Os usuários finais podem acessar o feed pela Internet pública ou pelos pontos de extremidade privados.
Desabilitar o acesso público e usar o acesso privado	Os usuários finais só podem acessar o feed por meio dos pontos de extremidade privados.

Selecione Salvar.

Pools de hosts

Na visão geral da Área de Trabalho Virtual do Azure, selecione Pools de hosts e, em seguida, selecione o nome do pool de host para controlar o tráfego público.
Na visão geral do pool de host, selecione Rede e, em seguida, selecione a guia Acesso público.

Selecione uma das seguintes opções:

Configuração	Descrição
Habilitar o acesso público de todas as redes	Os usuários finais podem acessar o feed e os hosts de sessão com segurança por meio da internet pública ou dos pontos de extremidade privados.
Habilitar o acesso público para usuários finais; usar o acesso privado para hosts de sessão	Os usuários finais podem acessar o feed com segurança por meio da internet pública, mas precisam usar pontos de extremidade privados para acessar os hosts de sessão.
Desabilitar o acesso público e usar o acesso privado	Os usuários finais só podem acessar o feed e os hosts de sessão por meio dos pontos de extremidade privados.

Selecione Salvar.

Importante

Os cmdlets do Azure PowerShell da Área de Trabalho Virtual do Azure que dão suporte ao Link Privado estão em versão prévia. Você precisará baixar e instalar a versão prévia do módulo Az.DesktopVirtualization para usar esses cmdlets, que foram adicionados na versão 5.0.0.

Workspaces

Na mesma sessão do PowerShell, você pode desabilitar o acesso público e usar o acesso privado executando o seguinte comando:

$parameters = @{
    Name = '<WorkspaceName>'
    ResourceGroupName = '<ResourceGroupName>'
    PublicNetworkAccess = 'Disabled'
}

Update-AzWvdWorkspace @parameters

Para habilitar o acesso público de todas as redes, execute o seguinte comando:

$parameters = @{
    Name = '<WorkspaceName>'
    ResourceGroupName = '<ResourceGroupName>'
    PublicNetworkAccess = 'Enabled'
}

Update-AzWvdWorkspace @parameters

Pools de hosts

Na mesma sessão do PowerShell, você pode desabilitar o acesso público e usar o acesso privado executando o seguinte comando:

$parameters = @{
    Name = '<HostPoolName>'
    ResourceGroupName = '<ResourceGroupName>'
    PublicNetworkAccess = 'Disabled'
}

Update-AzWvdHostPool @parameters

Para habilitar o acesso público de todas as redes, execute o seguinte comando:

$parameters = @{
    Name = '<HostPoolName>'
    ResourceGroupName = '<ResourceGroupName>'
    PublicNetworkAccess = 'Enabled'
}

Update-AzWvdHostPool @parameters

Para usar o acesso público para usuários finais, mas usar o acesso privado para hosts de sessão, execute o seguinte comando:

$parameters = @{
    Name = '<HostPoolName>'
    ResourceGroupName = '<ResourceGroupName>'
    PublicNetworkAccess = 'EnabledForSessionHostsOnly'
}

Update-AzWvdHostPool @parameters

Para usar o acesso privado para usuários finais, mas usar o acesso público para hosts de sessão, execute o seguinte comando:

$parameters = @{
    Name = '<HostPoolName>'
    ResourceGroupName = '<ResourceGroupName>'
    PublicNetworkAccess = 'EnabledForClientsOnly'
}

Update-AzWvdHostPool @parameters

Importante

A alteração do acesso aos hosts de sessão não afetará as sessões existentes. Depois de alterar um ponto de extremidade privado para um pool de hosts, você deve reiniciar o serviço Carregador de Agente da Área de Trabalho Remota (RDAgentBootLoader) em cada host da sessão no pool de host. Você também precisa reiniciar esse serviço sempre que alterar a configuração da rede de um pool de hosts. Em vez de reiniciar o serviço, você pode reiniciar cada host da sessão.

Bloquear rotas públicas com grupos de segurança de rede ou o Firewall do Azure

Se você estiver usando grupos de segurança de rede ou o Firewall do Azure para controlar as conexões dos dispositivos clientes do usuário ou dos hosts de sessão com os pontos de extremidade privados, poderá usar a marca de serviço WindowsVirtualDesktop para bloquear o tráfego da Internet pública. Se você bloquear o tráfego público da Internet usando essa marca de serviço, todo o tráfego de serviço usará somente rotas privadas.

Cuidado

Verifique se o tráfego entre os pontos de extremidade privados e os endereços na lista de URLs necessárias não está bloqueado.
Não bloqueie determinadas portas dos dispositivos clientes do usuário ou dos hosts de sessão para o ponto de extremidade privado de um recurso de pool de host usando o sub-recurso de conexão. Todo o intervalo de portas dinâmicas TCP de 1 a 65535 para o ponto de extremidade privado é necessário porque o mapeamento de portas é usado para todos os gateways globais por meio do endereço IP do ponto de extremidade privado único correspondente ao sub-recurso de conexão. Caso você restrinja as portas para o ponto de extremidade privado, talvez os usuários não consigam se conectar com sucesso à Área de Trabalho Virtual do Azure.

Validar o Link Privado com a Área de Trabalho Virtual do Azure

Depois de fechar as rotas públicas, você deve validar se o Link Privado com a Área de Trabalho Virtual do Azure está funcionando. Você pode fazer isso verificando o estado da conexão de cada ponto de extremidade privado, o status dos hosts de sessão e testando se os usuários podem atualizar e se conectar aos recursos remotos.

Verificar o estado da conexão de cada ponto de extremidade privado

Para verificar o estado da conexão de cada ponto de extremidade privado, selecione a guia relevante para o cenário e siga as etapas. Repita essas etapas para cada workspace e pool de hosts que usar com o Link Privado.

Workspaces

Na visão geral da Área de Trabalho Virtual do Azure, selecione Workspaces e, em seguida, selecione o nome do workspace para o qual você deseja verificar o estado da conexão.
Na visão geral do workspace, selecione Rede e, em seguida, Conexões de ponto de extremidade privado.
Para o ponto de extremidade privado listado, verifique se o Estado da conexão está Aprovado.

Pools de hosts

Na visão geral da Área de Trabalho Virtual do Azure, selecione Pools de hosts e, em seguida, selecione o nome do pool de host para o qual você deseja verificar o estado da conexão.
Na visão geral do pool de host, selecione Rede e, em seguida, Conexões de ponto de extremidade privado.
Para o ponto de extremidade privado listado, verifique se o Estado da conexão está Aprovado.

Importante

Você precisa usar a versão prévia do módulo Az.DesktopVirtualization para executar os seguintes comandos. Para obter mais informações e para baixar e instalar o módulo de versão prévia, confira Galeria do PowerShell.

Workspaces

Na mesma sessão do PowerShell, execute os seguintes comandos para verificar o estado da conexão de um workspace:

(Get-AzWvdWorkspace -Name <WorkspaceName> -ResourceGroupName <ResourceGroupName).PrivateEndpointConnection | FL Name, PrivateLinkServiceConnectionStateStatus, PrivateLinkServiceConnectionStateDescription, PrivateLinkServiceConnectionStateActionsRequired

A saída deve ser semelhante à que se segue. Verifique se o valor de PrivateLinkServiceConnectionStateStatus está Aprovado.

Name                                             : endpoint-ws01
PrivateLinkServiceConnectionStateStatus          : Approved
PrivateLinkServiceConnectionStateDescription     : Auto-approved
PrivateLinkServiceConnectionStateActionsRequired : None

Pools de hosts

Na mesma sessão do PowerShell, execute os seguintes comandos para verificar o estado da conexão de um pool de host:

(Get-AzWvdHostPool -Name <HostPoolName> -ResourceGroupName <ResourceGroupName).PrivateEndpointConnection | FL Name, PrivateLinkServiceConnectionStateStatus, PrivateLinkServiceConnectionStateDescription, PrivateLinkServiceConnectionStateActionsRequired

A saída deve ser semelhante à que se segue. Verifique se o valor de PrivateLinkServiceConnectionStateStatus está Aprovado.

Name                                             : endpoint-hp01
PrivateLinkServiceConnectionStateStatus          : Approved
PrivateLinkServiceConnectionStateDescription     : Auto-approved
PrivateLinkServiceConnectionStateActionsRequired : None

Na mesma sessão da CLI, execute os seguintes comandos para verificar o estado da conexão de um workspace ou de um pool de host:

az network private-endpoint show \
    --name <PrivateEndpointName> \
    --resource-group <ResourceGroupName> \
    --query "{name:name, privateLinkServiceConnectionStates:privateLinkServiceConnections[].privateLinkServiceConnectionState}"

A saída deve ser semelhante à que se segue. Verifique se o valor do status está Aprovado.

{
  "name": "endpoint-ws01",
  "privateLinkServiceConnectionStates": [
    {
      "actionsRequired": "None",
      "description": "Auto-approved",
      "status": "Approved"
    }
  ]
}

Verificar o status dos hosts de sessão

Verifique o status dos hosts de sessão na Área de Trabalho Virtual do Azure.
1. Na visão geral da Área de Trabalho Virtual do Azure, selecione Pools de hosts e, em seguida, selecione o nome do pool de host.
2. Na seção Gerenciar, selecione Hosts de sessão.
3. Examine a lista de hosts de sessão e verifique se o status deles está Disponível.

Verificar se os usuários podem se conectar

Para testar se os usuários podem se conectar aos seus recursos remotos:

Use o cliente da Área de Trabalho Remota e verifique se você pode assinar e atualizar espaços de trabalho.
Por fim, verifique se os usuários podem se conectar a uma sessão remota.

Próximas etapas

Saiba mais sobre o Link Privado com a Área de Trabalho Virtual do Azure em Usar Link Privado para a Área de Trabalho Virtual do Azure.
Saiba como configurar o DNS do ponto de extremidade privado do Azure em Integração do DNS do Link Privado.
Para guias de solução de problemas gerais do Link Privado, confira Solucionar problemas de conectividade do ponto de extremidade privado do Azure.
Entenda como a conectividade do serviço da Área de Trabalho Virtual do Azure funciona na Conectividade de rede da Área de Trabalho Virtual do Azure.
Confira a Lista de URLs necessárias para obter a lista de URLs que você precisa desbloquear para garantir o acesso à rede do serviço da Área de Trabalho Virtual do Azure.

Compartilhar via

Configurar o Link Privado com a Área de Trabalho Virtual do Azure

Pré-requisitos

Habilitar o Link Privado com a Área de Trabalho Virtual do Azure em uma assinatura

Registrar novamente o provedor de recursos da Área de Trabalho Virtual do Azure

Registrar o Link Privado com a Área de Trabalho Virtual do Azure (Azure para o Governo dos EUA e o Azure operado somente pela 21Vianet)

Registrar novamente o provedor de recursos da Área de Trabalho Virtual do Azure

Criar pontos de extremidade privados

Conexões com pools de hosts

Download do feed

Descoberta inicial do feed

Fechar rotas públicas

Rotas de controle com a Área de Trabalho Virtual do Azure

Workspaces

Pools de hosts

Workspaces

Pools de hosts

Bloquear rotas públicas com grupos de segurança de rede ou o Firewall do Azure

Validar o Link Privado com a Área de Trabalho Virtual do Azure

Verificar o estado da conexão de cada ponto de extremidade privado

Workspaces

Pools de hosts

Workspaces

Pools de hosts

Verificar o status dos hosts de sessão

Verificar se os usuários podem se conectar

Próximas etapas

Comentários

Recursos adicionais