Compreender a conectividade de rede do Azure Virtual Desktop

A Área de Trabalho Virtual do Azure fornece a capacidade de hospedar sessões de cliente nos hosts de sessão em execução no Azure. A Microsoft gerencia partes dos serviços em nome do cliente e fornece pontos de extremidade seguros para conectar clientes e hosts de sessão. O diagrama abaixo fornece uma visão geral de alto nível das conexões de rede usadas pela Área de Trabalho Virtual do Azure

Conectividade da sessão

A Área de Trabalho Virtual do Azure usa o protocolo RDP (Remote Desktop Protocol) para fornecer recursos de exibição e entrada remotos em conexões de rede. O RDP foi inicialmente lançado com o Windows NT 4.0 Terminal Server Edition e estava evoluindo continuamente a cada versão do Microsoft Windows e do Windows Server. Desde o início, o RDP desenvolveu-se para ser independente de sua pilha de transporte subjacente, e hoje suporta vários tipos de transporte.

Transporte de conexão reversa

A Área de Trabalho Virtual do Azure está usando o transporte de conexão reversa para estabelecer a sessão remota e para transportar tráfego RDP. Ao contrário das implantações dos Serviços de Área de Trabalho Remota locais, o transporte de conexão reversa não usa um ouvinte TCP para receber conexões RDP de entrada. Em vez disso, ele está usando a conectividade de saída para a infraestrutura da Área de Trabalho Virtual do Azure por meio da conexão HTTPS.

Canal de comunicação do anfitrião da sessão

Após a inicialização do host de sessão da Área de Trabalho Virtual do Azure, o serviço Carregador do Agente da Área de Trabalho Remota estabelece o canal de comunicação persistente do agente da Área de Trabalho Virtual do Azure. Esse canal de comunicação é colocado em camadas sobre uma conexão TLS (Transport Layer Security) segura e serve como um barramento para troca de mensagens de serviço entre o host da sessão e a infraestrutura da Área de Trabalho Virtual do Azure.

Sequência de conexão do cliente

Sequência de conexão do cliente descrita abaixo:

1. Usando o usuário cliente de Área de Trabalho Virtual do Azure com suporte se inscreve no Espaço de Trabalho de Área de Trabalho Virtual do Azure
2. O Microsoft Entra autentica o usuário e retorna o token usado para enumerar recursos disponíveis para um usuário
3. O cliente passa o token para o serviço de assinatura de feed da Área de Trabalho Virtual do Azure
4. O serviço de assinatura de feed da Área de Trabalho Virtual do Azure valida o token
5. O serviço de assinatura de feed da Área de Trabalho Virtual do Azure passa a lista de áreas de trabalho e aplicativos disponíveis de volta para o cliente na forma de configuração de conexão assinada digitalmente
6. O cliente armazena a configuração de conexão para cada recurso disponível em um conjunto de arquivos .rdp
7. Quando um usuário seleciona o recurso a ser conectado, o cliente usa o arquivo .rdp associado e estabelece a conexão TLS 1.2 segura com uma instância de gateway da Área de Trabalho Virtual do Azure com a ajuda do Azure Front Door e passa as informações de conexão. A latência de todos os gateways é avaliada e os gateways são colocados em grupos de 10ms. O gateway com a menor latência e, em seguida, o menor número de conexões existentes é escolhido.
8. O gateway da Área de Trabalho Virtual do Azure valida a solicitação e solicita ao agente da Área de Trabalho Virtual do Azure para orquestrar a conexão
9. O agente da Área de Trabalho Virtual do Azure identifica o host da sessão e usa o canal de comunicação persistente estabelecido anteriormente para inicializar a conexão
10. A pilha de Área de Trabalho Remota inicia a conexão TLS 1.2 com a mesma instância de gateway da Área de Trabalho Virtual do Azure usada pelo cliente
11. Depois que o cliente e o host de sessão se conectam ao gateway, o gateway começa a retransmitir os dados brutos entre ambos os pontos de extremidade, isso estabelece o transporte de conexão reversa de base para o RDP
12. Depois que o transporte base é definido, o cliente inicia o handshake RDP

Segurança da Ligação

O TLS 1.2 é usado para todas as conexões iniciadas dos clientes e hosts de sessão para os componentes de infraestrutura da Área de Trabalho Virtual do Azure. A Área de Trabalho Virtual do Azure usa as mesmas cifras TLS 1.2 que o Azure Front Door. É importante garantir que os computadores clientes e os hosts de sessão possam usar essas cifras. Para o transporte de conexão inversa, o cliente e o host da sessão se conectam ao gateway da Área de Trabalho Virtual do Azure. Depois de estabelecer a conexão TCP, o cliente ou host de sessão valida o certificado do gateway da Área de Trabalho Virtual do Azure. Depois de estabelecer o transporte base, o RDP estabelece uma conexão TLS aninhada entre o cliente e o host da sessão usando os certificados do host da sessão. Por padrão, o certificado usado para criptografia RDP é gerado automaticamente pelo sistema operacional durante a implantação. Se desejar, os clientes podem implantar certificados gerenciados centralmente emitidos pela autoridade de certificação corporativa. Para obter mais informações sobre como configurar certificados, consulte a documentação do Windows Server.

Próximos passos

• Para saber mais sobre os requisitos de largura de banda para a Área de Trabalho Virtual do Azure, consulte Noções básicas sobre os requisitos de largura de banda do protocolo RDP (Remote Desktop Protocol) para a Área de Trabalho Virtual do Azure.
• Para começar a usar a Qualidade de Serviço (QoS) para a Área de Trabalho Virtual do Azure, consulte Implementar Qualidade de Serviço (QoS) para a Área de Trabalho Virtual do Azure.