Configurar o Link Privado com a Área de Trabalho Virtual do Azure

Artigo
04/19/2024

Este artigo mostra como configurar o Link Privado com a Área de Trabalho Virtual do Azure para se conectar de forma privada aos seus recursos remotos. Para obter mais informações sobre como usar o Link Privado com a Área de Trabalho Virtual do Azure, incluindo limitações, consulte Link Privado do Azure com a Área de Trabalho Virtual do Azure.

Pré-requisitos

Para usar o Private Link com a Área de Trabalho Virtual do Azure, você precisa das seguintes coisas:

Um pool de hosts existente com hosts de sessão, um grupo de aplicativos e espaço de trabalho.
Uma rede virtual e uma sub-rede existentes que você deseja usar para pontos de extremidade privados.
As permissões de controle de acesso baseadas em função do Azure necessárias para criar pontos de extremidade privados.
Se estiver a utilizar o cliente de Ambiente de Trabalho Remoto para Windows, tem de utilizar a versão 1.2.4066 ou posterior para ligar utilizando um ponto de extremidade privado.
Se você quiser usar a CLI do Azure ou o Azure PowerShell localmente, consulte Usar a CLI do Azure e o Azure PowerShell com a Área de Trabalho Virtual do Azure para garantir que você tenha a extensão da CLI do Azure de virtualização de área de trabalho ou o módulo do PowerShell Az.DesktopVirtualization instalado. Como alternativa, use o Azure Cloud Shell.
Os cmdlets do Azure PowerShell para a Área de Trabalho Virtual do Azure que oferecem suporte ao Link Privado estão em visualização. Você precisará baixar e instalar a versão de visualização do módulo Az.DesktopVirtualization para usar esses cmdlets, que foram adicionados na versão 5.0.0.

Habilitar Link Privado com a Área de Trabalho Virtual do Azure em uma assinatura

Para usar o Link Privado com a Área de Trabalho Virtual do Azure, você precisa registrar novamente o provedor de recursos Microsoft.DesktopVirtualization em cada assinatura que deseja usar o Link Privado com a Área de Trabalho Virtual do Azure.

Importante

Para o Azure para o Governo dos EUA e o Azure operado pela 21Vianet, também tem de registar a funcionalidade para cada subscrição.

Registrar Link Privado com a Área de Trabalho Virtual do Azure (Azure para Governo dos EUA e Azure operado apenas pela 21Vianet)

Para registrar o recurso Link Privado da Área de Trabalho Virtual do Azure:

Inicie sessão no portal do Azure.
Na barra de pesquisa, introduza Subscrições e selecione a entrada de serviço correspondente.
Selecione o nome da sua subscrição e, em seguida, na secção Definições , selecione Pré-visualizar funcionalidades.
Selecione a lista suspensa para o Tipo de filtro e defina-a como Microsoft.DesktopVirtualization.
Selecione Azure Virtual Desktop Private Link e, em seguida, selecione Registrar.

Registre novamente o provedor de recursos

Para registrar novamente o provedor de recursos Microsoft.DesktopVirtualization:

Inicie sessão no portal do Azure.
Na barra de pesquisa, introduza Subscrições e selecione a entrada de serviço correspondente.
Selecione o nome da sua subscrição e, em seguida, na secção Definições, selecione Fornecedores de recursos.
Procure e selecione Microsoft.DesktopVirtualization e, em seguida, selecione Registrar novamente.
Verifique se o status de Microsoft.DesktopVirtualization está registrado.

Criar pontos finais privados

Durante o processo de instalação, você cria pontos de extremidade privados para os seguintes recursos, dependendo do seu cenário.

Tanto os clientes quanto as VMs de host de sessão usam rotas privadas. Você precisa dos seguintes pontos de extremidade privados:

Propósito	Tipo de recurso	Recurso secundário de destino	Quantidade do ponto final	Quantidade de endereço IP
Conexões com pools de hosts	Microsoft.DesktopVirtualization/hostpools	ligação	Um por grupo de anfitriões	Quatro por ponto final
Download do feed	Microsoft.DesktopVirtualization/workspaces	feed	Um por espaço de trabalho	Dois por parâmetro de avaliação
Descoberta inicial de feed	Microsoft.DesktopVirtualization/workspaces	global	Apenas uma para todas as suas implantações da Área de Trabalho Virtual do Azure	Um por parâmetro de avaliação

Os clientes usam rotas públicas, enquanto as VMs do host de sessão usam rotas privadas. Você precisa dos seguintes pontos de extremidade privados. Os pontos de extremidade para espaços de trabalho não são necessários.

Propósito	Tipo de recurso	Recurso secundário de destino	Quantidade do ponto final	Quantidade de endereço IP
Conexões com pools de hosts	Microsoft.DesktopVirtualization/hostpools	ligação	Um por grupo de anfitriões	Quatro por ponto final

Importante

As alocações de endereços IP estão sujeitas a alterações à medida que a demanda por endereços IP aumenta. Durante as expansões de capacidade, endereços adicionais são necessários para pontos de extremidade privados. É importante que você considere a possível exaustão do espaço de endereçamento e garanta espaço suficiente para o crescimento. Para obter mais informações sobre como determinar a configuração de rede apropriada para pontos de extremidade privados em uma topologia de hub ou spoke, consulte Árvore de decisão para implantação de link privado.

Conexões com pools de hosts

Para criar um ponto de extremidade privado para o subrecurso de conexão para conexões com um pool de hosts, selecione a guia relevante para seu cenário e siga as etapas.

Veja como criar um ponto de extremidade privado para o subrecurso de conexão para conexões com um pool de hosts usando o portal do Azure.

Inicie sessão no portal do Azure.
Na barra de pesquisa, digite Área de Trabalho Virtual do Azure e selecione a entrada de serviço correspondente para ir para a visão geral da Área de Trabalho Virtual do Azure.
Selecione Pools de hosts e, em seguida, selecione o nome do pool de hosts para o qual você deseja criar um subrecurso de conexão .
Na visão geral do pool de hosts, selecione Rede, Conexões de ponto de extremidade privado e, finalmente, Novo ponto de extremidade privado.

Na guia Noções básicas, preencha as seguintes informações:

Parâmetro	Valor/Descrição
Subscrição	Selecione a assinatura na qual você deseja criar o ponto de extremidade privado na lista suspensa.
Grupo de recursos	O padrão é automaticamente para o mesmo grupo de recursos do seu espaço de trabalho para o ponto de extremidade privado, mas você também pode selecionar um existente alternativo na lista suspensa ou criar um novo.
Nome	Insira um nome para o novo ponto de extremidade privado.
Nome da interface de rede	O nome da interface de rede é preenchido automaticamente com base no nome que você deu ao ponto de extremidade privado, mas você também pode especificar um nome diferente.
País/Região	Isso assume automaticamente como padrão a mesma região do Azure que o espaço de trabalho e é onde o ponto de extremidade privado é implantado. Essa deve ser a mesma região que sua rede virtual e hosts de sessão.

Depois de concluir esta guia, selecione Avançar: Recurso.

Na guia Recurso, valide os valores para Assinatura, Tipo de recurso e Recurso e, em seguida, para Subrecurso de destino, selecione conexão. Depois de concluir esta guia, selecione Avançar: Rede Virtual.

Na guia Rede Virtual, preencha as seguintes informações:

Parâmetro	Valor/Descrição
Rede virtual	Selecione a rede virtual na qual você deseja criar o ponto de extremidade privado na lista suspensa.
Sub-rede	Selecione a sub-rede da rede virtual na qual você deseja criar o ponto de extremidade privado na lista suspensa.
Política de rede para terminais privados	Selecione editar se quiser escolher uma política de rede de sub-rede. Para obter mais informações, consulte Gerenciar políticas de rede para pontos de extremidade privados.
Configuração de IP privado	Selecione Alocar endereço IP dinamicamente ou Alocar endereço IP estaticamente. O espaço de endereço é da sub-rede selecionada. Se você optar por alocar estaticamente endereços IP, você precisa preencher o Nome e IP privado para cada membro listado.
Grupo de segurança de aplicações	Opcional: selecione um grupo de segurança de aplicativo existente para o ponto de extremidade privado na lista suspensa ou crie um novo. Você também pode adicionar um mais tarde.

Depois de concluir esta guia, selecione Avançar: DNS.

Na guia DNS, escolha se deseja usar a Zona DNS Privada do Azure selecionando Sim ou Não para Integrar com zona DNS privada. Se você selecionar Sim, selecione a assinatura e o grupo de recursos no qual criar a zona privatelink.wvd.microsoft.comDNS privada . Para obter mais informações, veja Configuração do DNS do Ponto Final Privado do Azure.

Depois de concluir esta guia, selecione Avançar: Tags.
Opcional: no separador Etiquetas, pode introduzir quaisquer pares nome/valor de que necessite e, em seguida, selecionar Seguinte: Rever + criar.
Na guia Revisar + criar, verifique se a validação é aprovada e revisa as informações usadas durante a implantação.
Selecione Criar para criar o ponto de extremidade privado para o subrecurso de conexão.

Veja como criar um ponto de extremidade privado para o subrecurso de conexão usado para conexões com um pool de hosts usando os módulos Az.Network e Az.DesktopVirtualization PowerShell.

Importante

Nos exemplos a seguir, você precisará alterar os valores para os <placeholder> seus próprios.

Inicie o Azure Cloud Shell no portal do Azure com o tipo de terminal do PowerShell ou execute o PowerShell no seu dispositivo local.
1. Se estiver a utilizar o Cloud Shell, certifique-se de que o seu contexto do Azure está definido para a subscrição que pretende utilizar.
2. Se você estiver usando o PowerShell localmente, primeiro entre com o Azure PowerShell e, em seguida, verifique se o contexto do Azure está definido para a assinatura que você deseja usar.

Obtenha os detalhes da rede virtual e da sub-rede que você deseja usar para o ponto de extremidade privado e armazene-os em uma variável executando os seguintes comandos:

# Get the subnet details for the virtual network
$subnet = (Get-AzVirtualNetwork -Name <VNetName> -ResourceGroupName <ResourceGroupName>).Subnets | ? Name -eq <SubnetName>

Crie uma conexão de serviço de Link Privado para um pool de hosts com o subrecurso de conexão executando os comandos a seguir.

# Get the resource ID of the host pool
$hostPoolId = (Get-AzWvdHostPool -Name <HostPoolName> -ResourceGroupName <ResourceGroupName>).Id

# Create the service connection
$parameters = @{
    Name = '<ServiceConnectionName>'
    PrivateLinkServiceId = $hostPoolId
    GroupId = 'connection'
}

$serviceConnection = New-AzPrivateLinkServiceConnection @parameters

Finalmente, crie o ponto de extremidade privado executando os comandos em um dos exemplos a seguir.

Para criar um ponto de extremidade privado com um endereço IP alocado dinamicamente:

# Specify the Azure region. This must be the same region as your virtual network and session hosts.
$location = '<Location>'

# Create the private endpoint
$parameters = @{
    Name = '<PrivateEndpointName>'
    ResourceGroupName = '<ResourceGroupName>'
    Location = $location
    Subnet = $subnet
    PrivateLinkServiceConnection = $serviceConnection
}

New-AzPrivateEndpoint @parameters

Para criar um ponto de extremidade privado com endereços IP alocados estaticamente:

# Specify the Azure region. This must be the same region as your virtual network and session hosts.
$location = '<Location>'

# Create a hash table for each private endpoint IP configuration
$ip1 = @{
    Name = 'ipconfig1'
    GroupId = 'connection'
    MemberName = 'broker'
    PrivateIPAddress = '<IPAddress>'
}

$ip2 = @{
    Name = 'ipconfig2'
    GroupId = 'connection'
    MemberName = 'diagnostics'
    PrivateIPAddress = '<IPAddress>'
}

$ip3 = @{
    Name = 'ipconfig3'
    GroupId = 'connection'
    MemberName = 'gateway-ring-map'
    PrivateIPAddress = '<IPAddress>'
}

$ip4 = @{
    Name = 'ipconfig4'
    GroupId = 'connection'
    MemberName = 'web'
    PrivateIPAddress = '<IPAddress>'
}

# Create the private endpoint IP configurations
$ipConfig1 = New-AzPrivateEndpointIpConfiguration @ip1
$ipConfig2 = New-AzPrivateEndpointIpConfiguration @ip2
$ipConfig3 = New-AzPrivateEndpointIpConfiguration @ip3
$ipConfig4 = New-AzPrivateEndpointIpConfiguration @ip4

# Create the private endpoint
$parameters = @{
    Name = '<PrivateEndpointName>'
    ResourceGroupName = '<ResourceGroupName>'
    Location = $location
    Subnet = $subnet
    PrivateLinkServiceConnection = $serviceConnection
    IpConfiguration = $ipConfig1, $ipConfig2, $ipConfig3, $ipConfig4
}

New-AzPrivateEndpoint @parameters

Sua saída deve ser semelhante à saída a seguir. Verifique se o valor de ProvisioningState é Succeeded.

ResourceGroupName Name            Location ProvisioningState Subnet
----------------- ----            -------- ----------------- ------
privatelink       endpoint-hp01   uksouth  Succeeded

Você precisa configurar o DNS para seu ponto de extremidade privado para resolver o nome DNS do ponto de extremidade privado na rede virtual. O nome da zona DNS privada é privatelink.wvd.microsoft.com. Para conhecer as etapas para criar e configurar a zona DNS privada com o Azure PowerShell, consulte Configurar a zona DNS privada.

Veja como criar um ponto de extremidade privado para o subrecurso de conexão usado para conexões com um pool de hosts usando as extensões de virtualização de rede e área de trabalho para a CLI do Azure.

Importante

Nos exemplos a seguir, você precisará alterar os valores para os <placeholder> seus próprios.

Inicie o Azure Cloud Shell no portal do Azure com o tipo de terminal Bash ou execute a CLI do Azure no seu dispositivo local.
1. Se estiver a utilizar o Cloud Shell, certifique-se de que o seu contexto do Azure está definido para a subscrição que pretende utilizar.
2. Se você estiver usando a CLI do Azure localmente, primeiro entre com a CLI do Azure e, em seguida, verifique se o contexto do Azure está definido para a assinatura que você deseja usar.

Crie uma conexão de serviço de Link Privado e o ponto de extremidade privado para um pool de hosts com o subrecurso de conexão executando os comandos em um dos exemplos a seguir.

Para criar um ponto de extremidade privado com um endereço IP alocado dinamicamente:

# Specify the Azure region. This must be the same region as your virtual network and session hosts.
location=<Location>

# Get the resource ID of the host pool
hostPoolId=$(az desktopvirtualization hostpool show \
    --name <HostPoolName> \
    --resource-group <ResourceGroupName> \
    --query [id] \
    --output tsv)

# Create a service connection and the private endpoint
az network private-endpoint create \
    --name <PrivateEndpointName> \
    --resource-group <ResourceGroupName> \
    --location $location \
    --vnet-name <VNetName> \
    --subnet <SubnetName> \
    --connection-name <ConnectionName> \
    --private-connection-resource-id $hostPoolId \
    --group-id connection \
    --output table

Para criar um ponto de extremidade privado com endereços IP alocados estaticamente:

# Specify the Azure region. This must be the same region as your virtual network and session hosts.
location=<Location>

# Get the resource ID of the host pool
hostPoolId=$(az desktopvirtualization hostpool show \
    --name <HostPoolName> \
    --resource-group <ResourceGroupName> \
    --query [id] \
    --output tsv)

# Store each private endpoint IP configuration in a variable
ip1={name:ipconfig1,group-id:connection,member-name:broker,private-ip-address:<IPAddress>}
ip2={name:ipconfig2,group-id:connection,member-name:diagnostics,private-ip-address:<IPAddress>}
ip3={name:ipconfig3,group-id:connection,member-name:gateway-ring-map,private-ip-address:<IPAddress>}
ip4={name:ipconfig4,group-id:connection,member-name:web,private-ip-address:<IPAddress>}

# Create a service connection and the private endpoint
az network private-endpoint create \
    --name <PrivateEndpointName> \
    --resource-group <ResourceGroupName> \
    --location $location \
    --vnet-name <VNetName> \
    --subnet <SubnetName> \
    --connection-name <ConnectionName> \
    --private-connection-resource-id $hostPoolId \
    --group-id connection \
    --ip-configs [$ip1,$ip2,$ip3,$ip4] \
    --output table

Sua saída deve ser semelhante à saída a seguir. Verifique se o valor de ProvisioningState é Succeeded.

CustomNetworkInterfaceName    Location    Name                  ProvisioningState    ResourceGroup
----------------------------  ----------  --------------------  -------------------  ---------------
                              uksouth     endpoint-hp01         Succeeded            privatelink

Você precisa configurar o DNS para seu ponto de extremidade privado para resolver o nome DNS do ponto de extremidade privado na rede virtual. O nome da zona DNS privada é privatelink.wvd.microsoft.com. Para conhecer as etapas para criar e configurar a zona DNS privada com a CLI do Azure, consulte Configurar a zona DNS privada.

Importante

Você precisa criar um ponto de extremidade privado para o subrecurso de conexão para cada pool de hosts que deseja usar com o Private Link.

Download do feed

Para criar um ponto de extremidade privado para o subrecurso de feed para um espaço de trabalho, selecione a guia relevante para seu cenário e siga as etapas.

Na visão geral da Área de Trabalho Virtual do Azure, selecione Espaços de Trabalho e selecione o nome do espaço de trabalho para o qual você deseja criar um subrecurso de feed .
Na visão geral do espaço de trabalho, selecione Rede, Conexões de ponto de extremidade privado e, finalmente, Novo ponto de extremidade privado.

Na guia Noções básicas, preencha as seguintes informações:

Parâmetro	Valor/Descrição
Subscrição	Selecione a assinatura na qual você deseja criar o ponto de extremidade privado na lista suspensa.
Grupo de recursos	O padrão é automaticamente para o mesmo grupo de recursos do seu espaço de trabalho para o ponto de extremidade privado, mas você também pode selecionar um existente alternativo na lista suspensa ou criar um novo.
Nome	Insira um nome para o novo ponto de extremidade privado.
Nome da interface de rede	O nome da interface de rede é preenchido automaticamente com base no nome que você deu ao ponto de extremidade privado, mas você também pode especificar um nome diferente.
País/Região	Isso assume automaticamente como padrão a mesma região do Azure que o espaço de trabalho e é onde o ponto de extremidade privado é implantado. Esta deve ser a mesma região da sua rede virtual.

Depois de concluir esta guia, selecione Avançar: Recurso.

Na guia Recurso, valide os valores para Assinatura, Tipo de recurso e Recurso e, em seguida, para Subrecurso de destino, selecione feed. Depois de concluir esta guia, selecione Avançar: Rede Virtual.

Na guia Rede Virtual, preencha as seguintes informações:

Parâmetro	Valor/Descrição
Rede virtual	Selecione a rede virtual na qual você deseja criar o ponto de extremidade privado na lista suspensa.
Sub-rede	Selecione a sub-rede da rede virtual na qual você deseja criar o ponto de extremidade privado na lista suspensa.
Política de rede para terminais privados	Selecione editar se quiser escolher uma política de rede de sub-rede. Para obter mais informações, consulte Gerenciar políticas de rede para pontos de extremidade privados.
Configuração de IP privado	Selecione Alocar endereço IP dinamicamente ou Alocar endereço IP estaticamente. O espaço de endereço é da sub-rede selecionada. Se você optar por alocar estaticamente endereços IP, você precisa preencher o Nome e IP privado para cada membro listado.
Grupo de segurança de aplicações	Opcional: selecione um grupo de segurança de aplicativo existente para o ponto de extremidade privado na lista suspensa ou crie um novo. Você também pode adicionar um mais tarde.

Depois de concluir esta guia, selecione Avançar: DNS.

Na guia DNS, escolha se deseja usar a Zona DNS Privada do Azure selecionando Sim ou Não para Integrar com zona DNS privada. Se você selecionar Sim, selecione a assinatura e o grupo de recursos no qual criar a zona privatelink.wvd.microsoft.comDNS privada . Para obter mais informações, veja Configuração do DNS do Ponto Final Privado do Azure.

Depois de concluir esta guia, selecione Avançar: Tags.
Opcional: no separador Etiquetas, pode introduzir quaisquer pares nome/valor de que necessite e, em seguida, selecionar Seguinte: Rever + criar.
Na guia Revisar + criar, verifique se a validação é aprovada e revisa as informações usadas durante a implantação.
Selecione Criar para criar o ponto de extremidade privado para o subrecurso de feed.

Na mesma sessão do PowerShell, crie uma conexão de serviço de Link Privado para um espaço de trabalho com o subrecurso de feed executando os seguintes comandos. Nesses exemplos, a mesma rede virtual e sub-rede são usadas.

# Get the resource ID of the workspace
$workspaceId = (Get-AzWvdWorkspace -Name <WorkspaceName> -ResourceGroupName <ResourceGroupName>).Id

# Create the service connection
$parameters = @{
    Name = '<ServiceConnectionName>'
    PrivateLinkServiceId = $workspaceId
    GroupId = 'feed'
}

$serviceConnection = New-AzPrivateLinkServiceConnection @parameters

Finalmente, crie o ponto de extremidade privado executando os comandos em um dos exemplos a seguir.

Para criar um ponto de extremidade privado com um endereço IP alocado dinamicamente:

# Specify the Azure region. This must be the same region as your virtual network.
$location = '<Location>'

# Create the private endpoint
$parameters = @{
    Name = '<PrivateEndpointName>'
    ResourceGroupName = '<ResourceGroupName>'
    Location = $location
    Subnet = $subnet
    PrivateLinkServiceConnection = $serviceConnection
}

New-AzPrivateEndpoint @parameters

Para criar um ponto de extremidade privado com um endereço IP alocado estaticamente:

# Specify the Azure region. This must be the same region as your virtual network.
$location = '<Location>'

# Create a hash table for each private endpoint IP configuration
$ip1 = @{
    Name = 'ipconfig1'
    GroupId = 'feed'
    MemberName = 'web-r1'
    PrivateIPAddress = '<IPAddress>'
}

$ip2 = @{
    Name = 'ipconfig2'
    GroupId = 'feed'
    MemberName = 'web-r0'
    PrivateIPAddress = '<IPAddress>'
}

# Create the private endpoint IP configurations
$ipConfig1 = New-AzPrivateEndpointIpConfiguration @ip1
$ipConfig2 = New-AzPrivateEndpointIpConfiguration @ip2

# Create the private endpoint
$parameters = @{
    Name = '<PrivateEndpointName>'
    ResourceGroupName = '<ResourceGroupName>'
    Location = $location
    Subnet = $subnet
    PrivateLinkServiceConnection = $serviceConnection
    IpConfiguration = $ipConfig1, $ipConfig2
}

New-AzPrivateEndpoint @parameters

Sua saída deve ser semelhante à seguinte. Verifique se o valor de ProvisioningState é Succeeded.

ResourceGroupName Name            Location ProvisioningState Subnet
----------------- ----            -------- ----------------- ------
privatelink       endpoint-ws01   uksouth  Succeeded

Você precisa configurar o DNS para seu ponto de extremidade privado para resolver o nome DNS do ponto de extremidade privado na rede virtual. O nome da zona DNS privada é privatelink.wvd.microsoft.com. Para conhecer as etapas para criar e configurar a zona DNS privada com o Azure PowerShell, consulte Configurar a zona DNS privada.

Na mesma sessão da CLI, crie uma conexão de serviço de Link Privado e o ponto de extremidade privado para um espaço de trabalho com o subrecurso de feed executando os seguintes comandos.

Para criar um ponto de extremidade privado com um endereço IP alocado dinamicamente:

# Specify the Azure region. This must be the same region as your virtual network.
location=<Location>

# Get the resource ID of the workspace
workspaceId=$(az desktopvirtualization workspace show \
    --name <WorkspaceName> \
    --resource-group <ResourceGroupName> \
    --query [id] \
    --output tsv)

# Create a service connection and the private endpoint
az network private-endpoint create \
    --name <PrivateEndpointName> \
    --resource-group <ResourceGroupName> \
    --location $location \
    --vnet-name <VNetName> \
    --subnet <SubnetName> \
    --connection-name <ConnectionName> \
    --private-connection-resource-id $workspaceId \
    --group-id feed \
    --output table

Para criar um ponto de extremidade privado com endereços IP alocados estaticamente:

# Specify the Azure region. This must be the same region as your virtual network.
location=<Location>

# Get the resource ID of the workspace
workspaceId=$(az desktopvirtualization workspace show \
    --name <WorkspaceName> \
    --resource-group <ResourceGroupName> \
    --query [id] \
    --output tsv)

# Store each private endpoint IP configuration in a variable
ip1={name:ipconfig1,group-id:feed,member-name:web-r1,private-ip-address:<IPAddress>}
ip2={name:ipconfig2,group-id:feed,member-name:web-r0,private-ip-address:<IPAddress>}

# Create a service connection and the private endpoint
az network private-endpoint create \
    --name <PrivateEndpointName> \
    --resource-group <ResourceGroupName> \
    --location $location \
    --vnet-name <VNetName> \
    --subnet <SubnetName> \
    --connection-name <ConnectionName> \
    --private-connection-resource-id $workspaceId \
    --group-id feed \
    --ip-configs [$ip1,$ip2] \
    --output table

Sua saída deve ser semelhante à seguinte. Verifique se o valor de ProvisioningState é Succeeded.

CustomNetworkInterfaceName    Location    Name                  ProvisioningState    ResourceGroup
----------------------------  ----------  --------------------  -------------------  ---------------
                              uksouth     endpoint-ws01         Succeeded            privatelink

Você precisa configurar o DNS para seu ponto de extremidade privado para resolver o nome DNS do ponto de extremidade privado na rede virtual. O nome da zona DNS privada é privatelink.wvd.microsoft.com. Para conhecer as etapas para criar e configurar a zona DNS privada com a CLI do Azure, consulte Configurar a zona DNS privada.

Importante

Você precisa criar um ponto de extremidade privado para o subrecurso de feed para cada espaço de trabalho que deseja usar com o Private Link.

Descoberta inicial de feed

Para criar um ponto de extremidade privado para o subrecurso global usado para a descoberta inicial do feed, selecione a guia relevante para seu cenário e siga as etapas.

Importante

Crie apenas um ponto de extremidade privado para o subrecurso global para todas as suas implantações da Área de Trabalho Virtual do Azure.
Um ponto de extremidade privado para o subrecurso global de qualquer espaço de trabalho controla o FQDN (nome de domínio totalmente qualificado) compartilhado para a descoberta inicial de feed. Isso, por sua vez, permite a descoberta de feeds para todos os espaços de trabalho. Como o espaço de trabalho conectado ao ponto de extremidade privado é tão importante, excluí-lo fará com que todos os processos de descoberta de feed parem de funcionar. Recomendamos que você crie um espaço de trabalho de espaço reservado não utilizado para o subrecurso global.

Na visão geral da Área de Trabalho Virtual do Azure, selecione Espaços de Trabalho e selecione o nome de um espaço de trabalho que você deseja usar para o subrecurso global.
1. Opcional: Em vez disso, crie um espaço de trabalho de espaço reservado para encerrar o ponto de extremidade global seguindo as instruções para Criar um espaço de trabalho.
Na visão geral do espaço de trabalho, selecione Rede, Conexões de ponto de extremidade privado e, finalmente, Novo ponto de extremidade privado.

Na guia Noções básicas, preencha as seguintes informações:

Parâmetro	Valor/Descrição
Subscrição	Selecione a assinatura na qual você deseja criar o ponto de extremidade privado na lista suspensa.
Grupo de recursos	O padrão é automaticamente para o mesmo grupo de recursos do seu espaço de trabalho para o ponto de extremidade privado, mas você também pode selecionar um existente alternativo na lista suspensa ou criar um novo.
Nome	Insira um nome para o novo ponto de extremidade privado.
Nome da interface de rede	O nome da interface de rede é preenchido automaticamente com base no nome que você deu ao ponto de extremidade privado, mas você também pode especificar um nome diferente.
País/Região	Isso assume automaticamente como padrão a mesma região do Azure que o espaço de trabalho e é onde o ponto de extremidade privado será implantado. Esta deve ser a mesma região da sua rede virtual.

Depois de concluir esta guia, selecione Avançar: Recurso.

Na guia Recurso, valide os valores para Assinatura, Tipo de recurso e Recurso e, em seguida, para Subrecurso de destino, selecione global. Depois de concluir esta guia, selecione Avançar: Rede Virtual.

Na guia Rede Virtual, preencha as seguintes informações:

Parâmetro	Valor/Descrição
Rede virtual	Selecione a rede virtual na qual você deseja criar o ponto de extremidade privado na lista suspensa.
Sub-rede	Selecione a sub-rede da rede virtual na qual você deseja criar o ponto de extremidade privado na lista suspensa.
Política de rede para terminais privados	Selecione editar se quiser escolher uma política de rede de sub-rede. Para obter mais informações, consulte Gerenciar políticas de rede para pontos de extremidade privados.
Configuração de IP privado	Selecione Alocar endereço IP dinamicamente ou Alocar endereço IP estaticamente. O espaço de endereço é da sub-rede selecionada. Se você optar por alocar estaticamente endereços IP, você precisa preencher o Nome e IP privado para cada membro listado.
Grupo de segurança de aplicações	Opcional: selecione um grupo de segurança de aplicativo existente para o ponto de extremidade privado na lista suspensa ou crie um novo. Você também pode adicionar um mais tarde.

Depois de concluir esta guia, selecione Avançar: DNS.

Na guia DNS, escolha se deseja usar a Zona DNS Privada do Azure selecionando Sim ou Não para Integrar com zona DNS privada. Se você selecionar Sim, selecione a assinatura e o grupo de recursos no qual criar a zona privatelink-global.wvd.microsoft.comDNS privada . Para obter mais informações, veja Configuração do DNS do Ponto Final Privado do Azure.

Depois de concluir esta guia, selecione Avançar: Tags.
Opcional: no separador Etiquetas, pode introduzir quaisquer pares nome/valor de que necessite e, em seguida, selecionar Seguinte: Rever + criar.
Na guia Revisar + criar, verifique se a validação é aprovada e revisa as informações usadas durante a implantação.
Selecione Criar para criar o ponto de extremidade privado para o subrecurso global.

Opcional: crie um espaço de trabalho de espaço reservado para encerrar o ponto de extremidade global seguindo as instruções para Criar um espaço de trabalho.

Na mesma sessão do PowerShell, crie uma conexão de serviço de Link Privado para o espaço de trabalho com o subrecurso global executando os comandos a seguir. Nesses exemplos, a mesma rede virtual e sub-rede são usadas.

# Get the resource ID of the workspace
$workspaceId = (Get-AzWvdWorkspace -Name <WorkspaceName> -ResourceGroupName <ResourceGroupName>).Id

# Create the service connection
$parameters = @{
    Name = '<ServiceConnectionName>'
    PrivateLinkServiceId = $workspaceId
    GroupId = 'global'
}

$serviceConnection = New-AzPrivateLinkServiceConnection @parameters

Finalmente, crie o ponto de extremidade privado executando os comandos em um dos exemplos a seguir.

Para criar um ponto de extremidade privado com um endereço IP alocado dinamicamente:

# Specify the Azure region. This must be the same region as your virtual network.
$location = '<Location>'

# Create the private endpoint
$parameters = @{
    Name = '<PrivateEndpointName>'
    ResourceGroupName = '<ResourceGroupName>'
    Location = $location
    Subnet = $subnet
    PrivateLinkServiceConnection = $serviceConnection
}

New-AzPrivateEndpoint @parameters

Para criar um ponto de extremidade privado com um endereço IP alocado estaticamente:

# Specify the Azure region. This must be the same region as your virtual network.
$location = '<Location>'

$ip = @{
    Name = '<IPConfigName>'
    GroupId = 'global'
    MemberName = 'web'
    PrivateIPAddress = '<IPAddress>'
}

$ipConfig = New-AzPrivateEndpointIpConfiguration @ip

# Create the private endpoint
$parameters = @{
    Name = '<PrivateEndpointName>'
    ResourceGroupName = '<ResourceGroupName>'
    Location = $location
    Subnet = $subnet
    PrivateLinkServiceConnection = $serviceConnection
    IpConfiguration = $ipconfig
}

New-AzPrivateEndpoint @parameters

Sua saída deve ser semelhante à seguinte. Verifique se o valor de ProvisioningState é Succeeded.

ResourceGroupName Name            Location ProvisioningState Subnet
----------------- ----            -------- ----------------- ------
privatelink       endpoint-global uksouth  Succeeded

Você precisa configurar o DNS para seu ponto de extremidade privado para resolver o nome DNS do ponto de extremidade privado na rede virtual. O nome da zona DNS privada é privatelink-global.wvd.microsoft.com. Para conhecer as etapas para criar e configurar a zona DNS privada com o Azure PowerShell, consulte Configurar a zona DNS privada.

Opcional: crie um espaço de trabalho de espaço reservado para encerrar o ponto de extremidade global seguindo as instruções para Criar um espaço de trabalho.

Na mesma sessão da CLI, crie uma conexão de serviço de Link Privado e o ponto de extremidade privado para o espaço de trabalho com o subrecurso global executando os seguintes comandos:

Para criar um ponto de extremidade privado com um endereço IP alocado dinamicamente:

# Specify the Azure region. This must be the same region as your virtual network.
location=<Location>

# Get the resource ID of the workspace
workspaceId=$(az desktopvirtualization workspace show \
    --name <WorkspaceName> \
    --resource-group <ResourceGroupName> \
    --query [id] \
    --output tsv)

# Create a service connection and the private endpoint
az network private-endpoint create \
    --name <PrivateEndpointName> \
    --resource-group <ResourceGroupName> \
    --location $location \
    --vnet-name <VNetName> \
    --subnet <SubnetName> \
    --connection-name <ConnectionName> \
    --private-connection-resource-id $workspaceId \
    --group-id global \
    --output table

Para criar um ponto de extremidade privado com endereços IP alocados estaticamente:

# Specify the Azure region. This must be the same region as your virtual network.
location=<Location>

# Get the resource ID of the workspace
workspaceId=$(az desktopvirtualization workspace show \
    --name <WorkspaceName> \
    --resource-group <ResourceGroupName> \
    --query [id] \
    --output tsv)

# Store each private endpoint IP configuration in a variable
ip={name:ipconfig,group-id:global,member-name:web,private-ip-address:<IPAddress>}

# Create a service connection and the private endpoint
az network private-endpoint create \
    --name <PrivateEndpointName> \
    --resource-group <ResourceGroupName> \
    --location $location \
    --vnet-name <VNetName> \
    --subnet <SubnetName> \
    --connection-name <ConnectionName> \
    --private-connection-resource-id $workspaceId \
    --group-id global \
    --ip-config $ip \
    --output table

Sua saída deve ser semelhante à seguinte. Verifique se o valor de ProvisioningState é Succeeded.

CustomNetworkInterfaceName    Location    Name                  ProvisioningState    ResourceGroup
----------------------------  ----------  --------------------  -------------------  ---------------
                              uksouth     endpoint-global       Succeeded            privatelink

Você precisa configurar o DNS para seu ponto de extremidade privado para resolver o nome DNS do ponto de extremidade privado na rede virtual. O nome da zona DNS privada é privatelink-global.wvd.microsoft.com. Para conhecer as etapas para criar e configurar a zona DNS privada com a CLI do Azure, consulte Configurar a zona DNS privada.

Encerramento de vias públicas

Depois de criar pontos de extremidade privados, você também pode controlar se o tráfego pode vir de rotas públicas. Você pode controlar isso em um nível granular usando a Área de Trabalho Virtual do Azure ou, mais amplamente, usando um grupo de segurança de rede (NSG) ou o Firewall do Azure.

Controlar rotas com a Área de Trabalho Virtual do Azure

Com a Área de Trabalho Virtual do Azure, você pode controlar de forma independente o tráfego público para espaços de trabalho e pools de hosts. Selecione a guia relevante para seu cenário e siga as etapas. Não é possível configurar isso na CLI do Azure. Você precisa repetir essas etapas para cada espaço de trabalho e pool de hosts usado com o Private Link.

Portal
Azure PowerShell

Áreas de Trabalho

Na visão geral da Área de Trabalho Virtual do Azure, selecione Espaços de Trabalho e selecione o nome do espaço de trabalho para controlar o tráfego público.
Na visão geral do pool de hosts, selecione Rede e, em seguida, selecione a guia Acesso público.

Selecione uma das seguintes opções:

Definição	Descrição
Habilitar o acesso público de todas as redes	Os utilizadores finais podem aceder ao feed através da Internet pública ou dos terminais privados.
Desativar o acesso público e usar o acesso privado	Os usuários finais só podem acessar o feed através dos pontos de extremidade privados.

Selecione Guardar.

Grupos de anfitriões

Na visão geral da Área de Trabalho Virtual do Azure, selecione Pools de hosts e selecione o nome do pool de hosts para controlar o tráfego público.
Na visão geral do pool de hosts, selecione Rede e, em seguida, selecione a guia Acesso público.

Selecione uma das seguintes opções:

Definição	Descrição
Habilitar o acesso público de todas as redes	Os usuários finais podem acessar o feed e os hosts de sessão com segurança pela Internet pública ou pelos pontos de extremidade privados.
Habilitar acesso público para usuários finais, usar acesso privado para hosts de sessão	Os usuários finais podem acessar o feed com segurança pela Internet pública, mas devem usar pontos de extremidade privados para acessar hosts de sessão.
Desativar o acesso público e usar o acesso privado	Os utilizadores finais só podem aceder ao feed e aos anfitriões de sessão através dos pontos de extremidade privados.

Selecione Guardar.

Importante

Os cmdlets do Azure PowerShell para a Área de Trabalho Virtual do Azure que oferecem suporte ao Link Privado estão em visualização. Você precisará baixar e instalar a versão de visualização do módulo Az.DesktopVirtualization para usar esses cmdlets, que foram adicionados na versão 5.0.0.

Áreas de Trabalho

Na mesma sessão do PowerShell, você pode desabilitar o acesso público e usar o acesso privado executando o seguinte comando:

$parameters = @{
    Name = '<WorkspaceName>'
    ResourceGroupName = '<ResourceGroupName>'
    PublicNetworkAccess = 'Disabled'
}

Update-AzWvdWorkspace @parameters

Para habilitar o acesso público de todas as redes, execute o seguinte comando:

$parameters = @{
    Name = '<WorkspaceName>'
    ResourceGroupName = '<ResourceGroupName>'
    PublicNetworkAccess = 'Enabled'
}

Update-AzWvdWorkspace @parameters

Grupos de anfitriões

Na mesma sessão do PowerShell, você pode desabilitar o acesso público e usar o acesso privado executando o seguinte comando:

$parameters = @{
    Name = '<HostPoolName>'
    ResourceGroupName = '<ResourceGroupName>'
    PublicNetworkAccess = 'Disabled'
}

Update-AzWvdHostPool @parameters

Para habilitar o acesso público de todas as redes, execute o seguinte comando:

$parameters = @{
    Name = '<HostPoolName>'
    ResourceGroupName = '<ResourceGroupName>'
    PublicNetworkAccess = 'Enabled'
}

Update-AzWvdHostPool @parameters

Para usar o acesso público para usuários finais, mas usar o acesso privado para hosts de sessão, execute o seguinte comando:

$parameters = @{
    Name = '<HostPoolName>'
    ResourceGroupName = '<ResourceGroupName>'
    PublicNetworkAccess = 'EnabledForSessionHostsOnly'
}

Update-AzWvdHostPool @parameters

Para usar o acesso privado para usuários finais, mas usar o acesso público para hosts de sessão, execute o seguinte comando:

$parameters = @{
    Name = '<HostPoolName>'
    ResourceGroupName = '<ResourceGroupName>'
    PublicNetworkAccess = 'EnabledForClientsOnly'
}

Update-AzWvdHostPool @parameters

Importante

Alterar o acesso para hosts de sessão não afetará as sessões existentes. Depois de alterar um ponto de extremidade privado para um pool de hosts, reinicie o serviço RDAgentBootLoader (Remote Desktop Agent Loader) em cada host de sessão no pool de hosts. Você também precisa reiniciar esse serviço sempre que alterar a configuração de rede de um pool de hosts. Em vez de reiniciar o serviço, você pode reiniciar cada host de sessão.

Bloquear rotas públicas com grupos de segurança de rede ou Firewall do Azure

Se você estiver usando grupos de segurança de rede ou o Firewall do Azure para controlar conexões de dispositivos cliente de usuário ou seus hosts de sessão para os pontos de extremidade privados, poderá usar a marca de serviço WindowsVirtualDesktop para bloquear o tráfego da Internet pública. Se bloquear o tráfego público da Internet utilizando esta etiqueta de serviço, todo o tráfego de serviço utilizará apenas rotas privadas.

Atenção

Certifique-se de que não bloqueia o tráfego entre os seus terminais privados e os endereços na lista de URL necessária.
Não bloqueie determinadas portas dos dispositivos cliente do usuário ou dos hosts de sessão para o ponto de extremidade privado de um recurso de pool de hosts usando o subrecurso de conexão . Todo o intervalo de portas dinâmicas TCP de 1 - 65535 para o ponto de extremidade privado é necessário porque o mapeamento de porta é usado para todos os gateways globais através do único endereço IP de ponto de extremidade privado correspondente ao subrecurso de conexão. Se você restringir portas ao ponto de extremidade privado, seus usuários talvez não consigam se conectar com êxito à Área de Trabalho Virtual do Azure.

Validar Link Privado com a Área de Trabalho Virtual do Azure

Depois de fechar as rotas públicas, você deve validar se o Link Privado com a Área de Trabalho Virtual do Azure está funcionando. Você pode fazer isso verificando o estado da conexão de cada ponto de extremidade privado, o status dos hosts de sessão e testando que os usuários podem atualizar e se conectar aos recursos remotos.

Verificar o estado da conexão de cada ponto de extremidade privado

Para verificar o estado da conexão de cada ponto de extremidade privado, selecione a guia relevante para seu cenário e siga as etapas. Você deve repetir essas etapas para cada espaço de trabalho e pool de hosts usado com o Private Link.

Áreas de Trabalho

Na visão geral da Área de Trabalho Virtual do Azure, selecione Espaços de Trabalho e selecione o nome do espaço de trabalho para o qual você deseja verificar o estado da conexão.
Na visão geral do espaço de trabalho, selecione Rede e, em seguida , Conexões de ponto de extremidade privadas.
Para o ponto de extremidade privado listado, verifique se o estado da conexão é Aprovado.

Grupos de anfitriões

Na visão geral da Área de Trabalho Virtual do Azure, selecione Pools de hosts e selecione o nome do pool de hosts para o qual você deseja verificar o estado da conexão.
Na visão geral do pool de hosts, selecione Rede e, em seguida , Conexões de ponto de extremidade privadas.
Para o ponto de extremidade privado listado, verifique se o estado da conexão é Aprovado.

Importante

Você precisa usar a versão de visualização do módulo Az.DesktopVirtualization para executar os seguintes comandos. Para obter mais informações e baixar e instalar o módulo de visualização, consulte Galeria do PowerShell.

Áreas de Trabalho

Na mesma sessão do PowerShell, execute os seguintes comandos para verificar o estado da conexão de um espaço de trabalho:

(Get-AzWvdWorkspace -Name <WorkspaceName> -ResourceGroupName <ResourceGroupName).PrivateEndpointConnection | FL Name, PrivateLinkServiceConnectionStateStatus, PrivateLinkServiceConnectionStateDescription, PrivateLinkServiceConnectionStateActionsRequired

Sua saída deve ser semelhante à seguinte. Verifique se o valor de PrivateLinkServiceConnectionStateStatus é Approved.

Name                                             : endpoint-ws01
PrivateLinkServiceConnectionStateStatus          : Approved
PrivateLinkServiceConnectionStateDescription     : Auto-approved
PrivateLinkServiceConnectionStateActionsRequired : None

Grupos de anfitriões

Na mesma sessão do PowerShell, execute os seguintes comandos para verificar o estado da conexão de um pool de hosts:

(Get-AzWvdHostPool -Name <HostPoolName> -ResourceGroupName <ResourceGroupName).PrivateEndpointConnection | FL Name, PrivateLinkServiceConnectionStateStatus, PrivateLinkServiceConnectionStateDescription, PrivateLinkServiceConnectionStateActionsRequired

Sua saída deve ser semelhante à seguinte. Verifique se o valor de PrivateLinkServiceConnectionStateStatus é Approved.

Name                                             : endpoint-hp01
PrivateLinkServiceConnectionStateStatus          : Approved
PrivateLinkServiceConnectionStateDescription     : Auto-approved
PrivateLinkServiceConnectionStateActionsRequired : None

Na mesma sessão da CLI, execute os seguintes comandos para verificar o estado da conexão de um espaço de trabalho ou de um pool de hosts:

az network private-endpoint show \
    --name <PrivateEndpointName> \
    --resource-group <ResourceGroupName> \
    --query "{name:name, privateLinkServiceConnectionStates:privateLinkServiceConnections[].privateLinkServiceConnectionState}"

Sua saída deve ser semelhante à seguinte. Verifique se o valor do status é Aprovado.

{
  "name": "endpoint-ws01",
  "privateLinkServiceConnectionStates": [
    {
      "actionsRequired": "None",
      "description": "Auto-approved",
      "status": "Approved"
    }
  ]
}

Verificar o estado dos anfitriões da sua sessão

Verifique o status de seus hosts de sessão na Área de Trabalho Virtual do Azure.
1. Na visão geral da Área de Trabalho Virtual do Azure, selecione Pools de hosts e selecione o nome do pool de hosts.
2. Na seção Gerenciar, selecione Hosts de sessão.
3. Reveja a lista de anfitriões de sessão e verifique se o seu estado está Disponível.

Verifique se os usuários podem se conectar

Para testar se os usuários podem se conectar aos recursos remotos:

Utilize o cliente de Ambiente de Trabalho Remoto e certifique-se de que pode subscrever e atualizar espaços de trabalho.
Por fim, certifique-se de que seus usuários possam se conectar a uma sessão remota.

Próximos passos

Saiba mais sobre como o Private Link para a Área de Trabalho Virtual do Azure em Usar Link Privado com a Área de Trabalho Virtual do Azure.
Saiba como configurar o DNS do Ponto de Extremidade Privado do Azure na integração do DNS de Link Privado.
Para obter guias gerais de solução de problemas do Private Link, consulte Solucionar problemas de conectividade do Azure Private Endpoint.
Entenda como a conectividade para o serviço de Área de Trabalho Virtual do Azure funciona naconectividade de rede da Área de Trabalho Virtual do Azure.
Consulte a lista URL necessária para obter a lista de URLs que você precisa desbloquear para garantir o acesso à rede ao serviço de Área de Trabalho Virtual do Azure.

Share via

Configurar o Link Privado com a Área de Trabalho Virtual do Azure

Pré-requisitos

Habilitar Link Privado com a Área de Trabalho Virtual do Azure em uma assinatura

Registrar Link Privado com a Área de Trabalho Virtual do Azure (Azure para Governo dos EUA e Azure operado apenas pela 21Vianet)

Registre novamente o provedor de recursos

Criar pontos finais privados

Conexões com pools de hosts

Download do feed

Descoberta inicial de feed

Encerramento de vias públicas

Controlar rotas com a Área de Trabalho Virtual do Azure

Áreas de Trabalho

Grupos de anfitriões

Áreas de Trabalho

Grupos de anfitriões

Bloquear rotas públicas com grupos de segurança de rede ou Firewall do Azure

Validar Link Privado com a Área de Trabalho Virtual do Azure

Verificar o estado da conexão de cada ponto de extremidade privado

Áreas de Trabalho

Grupos de anfitriões

Áreas de Trabalho

Grupos de anfitriões

Verificar o estado dos anfitriões da sua sessão

Verifique se os usuários podem se conectar

Próximos passos

Recursos adicionais