Configurar o Link Privado com a Área de Trabalho Virtual do Azure
Este artigo mostra como configurar o Link Privado com a Área de Trabalho Virtual do Azure para se conectar de forma privada aos seus recursos remotos. Para obter mais informações sobre como usar o Link Privado com a Área de Trabalho Virtual do Azure, incluindo limitações, consulte Link Privado do Azure com a Área de Trabalho Virtual do Azure.
Pré-requisitos
Para usar o Private Link com a Área de Trabalho Virtual do Azure, você precisa das seguintes coisas:
Um pool de hosts existente com hosts de sessão, um grupo de aplicativos e espaço de trabalho.
Uma rede virtual e uma sub-rede existentes que você deseja usar para pontos de extremidade privados.
As permissões de controle de acesso baseadas em função do Azure necessárias para criar pontos de extremidade privados.
Uma aplicação suportada num dispositivo local para aceder a uma sessão remota:
- Aplicação Ambiente de Trabalho Remoto em qualquer plataforma. Se estiver a utilizar o cliente de Ambiente de Trabalho Remoto para Windows, tem de utilizar a versão 1.2.4066 ou posterior para ligar utilizando um ponto de extremidade privado.
- Aplicação Windows no macOS ou iOS/iPadOS.
Se você quiser usar a CLI do Azure ou o Azure PowerShell localmente, consulte Usar a CLI do Azure e o Azure PowerShell com a Área de Trabalho Virtual do Azure para garantir que você tenha a extensão da CLI do Azure de virtualização de área de trabalho ou o módulo do PowerShell Az.DesktopVirtualization instalado. Como alternativa, use o Azure Cloud Shell.
Os cmdlets do Azure PowerShell para a Área de Trabalho Virtual do Azure que oferecem suporte ao Link Privado estão em visualização. Você precisará baixar e instalar a versão de visualização do módulo Az.DesktopVirtualization para usar esses cmdlets, que foram adicionados na versão 5.0.0.
Habilitar Link Privado com a Área de Trabalho Virtual do Azure em uma assinatura
Para usar o Link Privado com a Área de Trabalho Virtual do Azure, você precisa registrar novamente o provedor de recursos Microsoft.DesktopVirtualization em cada assinatura que deseja usar o Link Privado com a Área de Trabalho Virtual do Azure.
Selecione a guia relevante para o seu cenário.
Registre novamente o provedor de recursos da Área de Trabalho Virtual do Azure
Antes de poder usar o Link Privado com a Área de Trabalho Virtual do Azure, você precisa registrar novamente o provedor de recursos Microsoft.DesktopVirtualization. Você precisa fazer isso para cada assinatura que deseja usar para o Link Privado com a Área de Trabalho Virtual do Azure:
Inicie sessão no portal do Azure.
Na barra de pesquisa, introduza Subscrições e selecione a entrada de serviço correspondente.
Selecione o nome da sua subscrição e, em seguida, na secção Definições, selecione Fornecedores de recursos.
Procure e selecione Microsoft.DesktopVirtualization e, em seguida, selecione Registrar novamente.
Verifique se o status de Microsoft.DesktopVirtualization está registrado.
Criar pontos finais privados
Durante o processo de configuração, você precisa criar pontos de extremidade privados para os seguintes recursos, dependendo do seu cenário.
Todas as partes da conexão - descoberta inicial de feed, download de feed e conexões de sessão remota para clientes e hosts de sessão - usam rotas privadas. Você precisa dos seguintes pontos de extremidade privados:
Propósito Tipo de recurso Recurso secundário de destino Quantidade do ponto final Conexões com pools de hosts Microsoft.DesktopVirtualization/hostpools ligação Um por grupo de anfitriões Download do feed Microsoft.DesktopVirtualization/workspaces feed Um por espaço de trabalho Descoberta inicial de feed Microsoft.DesktopVirtualization/workspaces global Apenas uma para todas as suas implantações da Área de Trabalho Virtual do Azure O download de feed e as conexões de sessão remota para clientes e hosts de sessão usam rotas privadas, mas a descoberta inicial de feed usa rotas públicas. Você precisa dos seguintes pontos de extremidade privados. O ponto de extremidade para a descoberta inicial de feed não é necessário.
Propósito Tipo de recurso Recurso secundário de destino Quantidade do ponto final Conexões com pools de hosts Microsoft.DesktopVirtualization/hostpools ligação Um por grupo de anfitriões Download do feed Microsoft.DesktopVirtualization/workspaces feed Um por espaço de trabalho Somente conexões de sessão remotas para clientes e hosts de sessão usam rotas privadas, mas a descoberta inicial de feed e o download de feed usam rotas públicas. Você precisa do(s) seguinte(s) ponto(s) de extremidade privado(s). Os pontos de extremidade para espaços de trabalho não são necessários.
Propósito Tipo de recurso Recurso secundário de destino Quantidade do ponto final Conexões com pools de hosts Microsoft.DesktopVirtualization/hostpools ligação Um por grupo de anfitriões Tanto os clientes quanto as VMs do host de sessão usam rotas públicas. Private Link não é usado neste cenário.
Importante
Se você criar um ponto de extremidade privado para a descoberta inicial de feeds, o espaço de trabalho usado para o subrecurso global controlará o FQDN (Nome de Domínio Totalmente Qualificado) compartilhado, facilitando a descoberta inicial de feeds em todos os espaços de trabalho. Você deve criar um espaço de trabalho separado que seja usado apenas para essa finalidade e não tenha nenhum grupo de aplicativos registrado nele. A exclusão desse espaço de trabalho fará com que todos os processos de descoberta de feed parem de funcionar.
Não é possível controlar o acesso ao espaço de trabalho usado para a descoberta inicial do feed (subrecurso global). Se você configurar esse espaço de trabalho para permitir apenas acesso privado, a configuração será ignorada. Este espaço de trabalho está sempre acessível a partir de vias públicas.
As alocações de endereços IP estão sujeitas a alterações à medida que a demanda por endereços IP aumenta. Durante as expansões de capacidade, endereços adicionais são necessários para pontos de extremidade privados. É importante que você considere a possível exaustão do espaço de endereçamento e garanta espaço suficiente para o crescimento. Para obter mais informações sobre como determinar a configuração de rede apropriada para pontos de extremidade privados em uma topologia de hub ou spoke, consulte Árvore de decisão para implantação de link privado.
Conexões com pools de hosts
Para criar um ponto de extremidade privado para o subrecurso de conexão para conexões com um pool de hosts, selecione a guia relevante para seu cenário e siga as etapas.
Veja como criar um ponto de extremidade privado para o subrecurso de conexão para conexões com um pool de hosts usando o portal do Azure.
Inicie sessão no portal do Azure.
Na barra de pesquisa, digite Área de Trabalho Virtual do Azure e selecione a entrada de serviço correspondente para ir para a visão geral da Área de Trabalho Virtual do Azure.
Selecione Pools de hosts e, em seguida, selecione o nome do pool de hosts para o qual você deseja criar um subrecurso de conexão .
Na visão geral do pool de hosts, selecione Rede, Conexões de ponto de extremidade privado e, finalmente, Novo ponto de extremidade privado.
Na guia Noções básicas, preencha as seguintes informações:
Parâmetro Valor/Descrição Subscrição Selecione a assinatura na qual você deseja criar o ponto de extremidade privado na lista suspensa. Grupo de recursos O padrão é automaticamente para o mesmo grupo de recursos do seu espaço de trabalho para o ponto de extremidade privado, mas você também pode selecionar um existente alternativo na lista suspensa ou criar um novo. Nome Insira um nome para o novo ponto de extremidade privado. Nome da interface de rede O nome da interface de rede é preenchido automaticamente com base no nome que você deu ao ponto de extremidade privado, mas você também pode especificar um nome diferente. País/Região Isso assume automaticamente como padrão a mesma região do Azure que o espaço de trabalho e é onde o ponto de extremidade privado é implantado. Essa deve ser a mesma região que sua rede virtual e hosts de sessão. Depois de concluir esta guia, selecione Avançar: Recurso.
Na guia Recurso, valide os valores para Assinatura, Tipo de recurso e Recurso e, em seguida, para Subrecurso de destino, selecione conexão. Depois de concluir esta guia, selecione Avançar: Rede Virtual.
Na guia Rede Virtual, preencha as seguintes informações:
Parâmetro Valor/Descrição Rede virtual Selecione a rede virtual na qual você deseja criar o ponto de extremidade privado na lista suspensa. Sub-rede Selecione a sub-rede da rede virtual na qual você deseja criar o ponto de extremidade privado na lista suspensa. Política de rede para terminais privados Selecione editar se quiser escolher uma política de rede de sub-rede. Para obter mais informações, consulte Gerenciar políticas de rede para pontos de extremidade privados. Configuração de IP privado Selecione Alocar endereço IP dinamicamente ou Alocar endereço IP estaticamente. O espaço de endereço é da sub-rede selecionada.
Se você optar por alocar estaticamente endereços IP, você precisa preencher o Nome e IP privado para cada membro listado.Grupo de segurança de aplicações Opcional: selecione um grupo de segurança de aplicativo existente para o ponto de extremidade privado na lista suspensa ou crie um novo. Você também pode adicionar um mais tarde. Depois de concluir esta guia, selecione Avançar: DNS.
Na guia DNS, escolha se deseja usar a Zona DNS Privada do Azure selecionando Sim ou Não para Integrar com zona DNS privada. Se você selecionar Sim, selecione a assinatura e o grupo de recursos no qual criar a zona
privatelink.wvd.microsoft.com
DNS privada . Para obter mais informações, veja Configuração do DNS do Ponto Final Privado do Azure.Depois de concluir esta guia, selecione Avançar: Tags.
Opcional: no separador Etiquetas, pode introduzir quaisquer pares nome/valor de que necessite e, em seguida, selecionar Seguinte: Rever + criar.
Na guia Revisar + criar, verifique se a validação é aprovada e revisa as informações usadas durante a implantação.
Selecione Criar para criar o ponto de extremidade privado para o subrecurso de conexão.
Importante
Você precisa criar um ponto de extremidade privado para o subrecurso de conexão para cada pool de hosts que deseja usar com o Private Link.
Download do feed
Para criar um ponto de extremidade privado para o subrecurso de feed para um espaço de trabalho, selecione a guia relevante para seu cenário e siga as etapas.
Na visão geral da Área de Trabalho Virtual do Azure, selecione Espaços de Trabalho e selecione o nome do espaço de trabalho para o qual você deseja criar um subrecurso de feed .
Na visão geral do espaço de trabalho, selecione Rede, Conexões de ponto de extremidade privado e, finalmente, Novo ponto de extremidade privado.
Na guia Noções básicas, preencha as seguintes informações:
Parâmetro Valor/Descrição Subscrição Selecione a assinatura na qual você deseja criar o ponto de extremidade privado na lista suspensa. Grupo de recursos O padrão é automaticamente para o mesmo grupo de recursos do seu espaço de trabalho para o ponto de extremidade privado, mas você também pode selecionar um existente alternativo na lista suspensa ou criar um novo. Nome Insira um nome para o novo ponto de extremidade privado. Nome da interface de rede O nome da interface de rede é preenchido automaticamente com base no nome que você deu ao ponto de extremidade privado, mas você também pode especificar um nome diferente. País/Região Isso assume automaticamente como padrão a mesma região do Azure que o espaço de trabalho e é onde o ponto de extremidade privado é implantado. Esta deve ser a mesma região da sua rede virtual. Depois de concluir esta guia, selecione Avançar: Recurso.
Na guia Recurso, valide os valores para Assinatura, Tipo de recurso e Recurso e, em seguida, para Subrecurso de destino, selecione feed. Depois de concluir esta guia, selecione Avançar: Rede Virtual.
Na guia Rede Virtual, preencha as seguintes informações:
Parâmetro Valor/Descrição Rede virtual Selecione a rede virtual na qual você deseja criar o ponto de extremidade privado na lista suspensa. Sub-rede Selecione a sub-rede da rede virtual na qual você deseja criar o ponto de extremidade privado na lista suspensa. Política de rede para terminais privados Selecione editar se quiser escolher uma política de rede de sub-rede. Para obter mais informações, consulte Gerenciar políticas de rede para pontos de extremidade privados. Configuração de IP privado Selecione Alocar endereço IP dinamicamente ou Alocar endereço IP estaticamente. O espaço de endereço é da sub-rede selecionada.
Se você optar por alocar estaticamente endereços IP, você precisa preencher o Nome e IP privado para cada membro listado.Grupo de segurança de aplicações Opcional: selecione um grupo de segurança de aplicativo existente para o ponto de extremidade privado na lista suspensa ou crie um novo. Você também pode adicionar um mais tarde. Depois de concluir esta guia, selecione Avançar: DNS.
Na guia DNS, escolha se deseja usar a Zona DNS Privada do Azure selecionando Sim ou Não para Integrar com zona DNS privada. Se você selecionar Sim, selecione a assinatura e o grupo de recursos no qual criar a zona
privatelink.wvd.microsoft.com
DNS privada . Para obter mais informações, veja Configuração do DNS do Ponto Final Privado do Azure.Depois de concluir esta guia, selecione Avançar: Tags.
Opcional: no separador Etiquetas, pode introduzir quaisquer pares nome/valor de que necessite e, em seguida, selecionar Seguinte: Rever + criar.
Na guia Revisar + criar, verifique se a validação é aprovada e revisa as informações usadas durante a implantação.
Selecione Criar para criar o ponto de extremidade privado para o subrecurso de feed.
Importante
Você precisa criar um ponto de extremidade privado para o subrecurso de feed para cada espaço de trabalho que deseja usar com o Private Link.
Descoberta inicial de feed
Para criar um ponto de extremidade privado para o subrecurso global usado para a descoberta inicial do feed, selecione a guia relevante para seu cenário e siga as etapas.
Importante
Crie apenas um ponto de extremidade privado para o subrecurso global para todas as suas implantações da Área de Trabalho Virtual do Azure.
Um ponto de extremidade privado para o subrecurso global de qualquer espaço de trabalho controla o FQDN (nome de domínio totalmente qualificado) compartilhado para a descoberta inicial de feed. Isso, por sua vez, permite a descoberta de feeds para todos os espaços de trabalho. Como o espaço de trabalho conectado ao ponto de extremidade privado é tão importante, excluí-lo fará com que todos os processos de descoberta de feed parem de funcionar. Recomendamos que você crie um espaço de trabalho de espaço reservado não utilizado para o subrecurso global.
Na visão geral da Área de Trabalho Virtual do Azure, selecione Espaços de Trabalho e selecione o nome de um espaço de trabalho que você deseja usar para o subrecurso global.
- Opcional: Em vez disso, crie um espaço de trabalho de espaço reservado para encerrar o ponto de extremidade global seguindo as instruções para Criar um espaço de trabalho.
Na visão geral do espaço de trabalho, selecione Rede, Conexões de ponto de extremidade privado e, finalmente, Novo ponto de extremidade privado.
Na guia Noções básicas, preencha as seguintes informações:
Parâmetro Valor/Descrição Subscrição Selecione a assinatura na qual você deseja criar o ponto de extremidade privado na lista suspensa. Grupo de recursos O padrão é automaticamente para o mesmo grupo de recursos do seu espaço de trabalho para o ponto de extremidade privado, mas você também pode selecionar um existente alternativo na lista suspensa ou criar um novo. Nome Insira um nome para o novo ponto de extremidade privado. Nome da interface de rede O nome da interface de rede é preenchido automaticamente com base no nome que você deu ao ponto de extremidade privado, mas você também pode especificar um nome diferente. País/Região Isso assume automaticamente como padrão a mesma região do Azure que o espaço de trabalho e é onde o ponto de extremidade privado será implantado. Esta deve ser a mesma região da sua rede virtual. Depois de concluir esta guia, selecione Avançar: Recurso.
Na guia Recurso, valide os valores para Assinatura, Tipo de recurso e Recurso e, em seguida, para Subrecurso de destino, selecione global. Depois de concluir esta guia, selecione Avançar: Rede Virtual.
Na guia Rede Virtual, preencha as seguintes informações:
Parâmetro Valor/Descrição Rede virtual Selecione a rede virtual na qual você deseja criar o ponto de extremidade privado na lista suspensa. Sub-rede Selecione a sub-rede da rede virtual na qual você deseja criar o ponto de extremidade privado na lista suspensa. Política de rede para terminais privados Selecione editar se quiser escolher uma política de rede de sub-rede. Para obter mais informações, consulte Gerenciar políticas de rede para pontos de extremidade privados. Configuração de IP privado Selecione Alocar endereço IP dinamicamente ou Alocar endereço IP estaticamente. O espaço de endereço é da sub-rede selecionada.
Se você optar por alocar estaticamente endereços IP, você precisa preencher o Nome e IP privado para cada membro listado.Grupo de segurança de aplicações Opcional: selecione um grupo de segurança de aplicativo existente para o ponto de extremidade privado na lista suspensa ou crie um novo. Você também pode adicionar um mais tarde. Depois de concluir esta guia, selecione Avançar: DNS.
Na guia DNS, escolha se deseja usar a Zona DNS Privada do Azure selecionando Sim ou Não para Integrar com zona DNS privada. Se você selecionar Sim, selecione a assinatura e o grupo de recursos no qual criar a zona
privatelink-global.wvd.microsoft.com
DNS privada . Para obter mais informações, veja Configuração do DNS do Ponto Final Privado do Azure.Depois de concluir esta guia, selecione Avançar: Tags.
Opcional: no separador Etiquetas, pode introduzir quaisquer pares nome/valor de que necessite e, em seguida, selecionar Seguinte: Rever + criar.
Na guia Revisar + criar, verifique se a validação é aprovada e revisa as informações usadas durante a implantação.
Selecione Criar para criar o ponto de extremidade privado para o subrecurso global.
Encerramento de vias públicas
Depois de criar pontos de extremidade privados, você também pode controlar se o tráfego pode vir de rotas públicas. Você pode controlar isso em um nível granular usando a Área de Trabalho Virtual do Azure ou, mais amplamente, usando um grupo de segurança de rede (NSG) ou o Firewall do Azure.
Controlar rotas com a Área de Trabalho Virtual do Azure
Com a Área de Trabalho Virtual do Azure, você pode controlar de forma independente o tráfego público para espaços de trabalho e pools de hosts. Selecione a guia relevante para seu cenário e siga as etapas. Não é possível configurar isso na CLI do Azure. Você precisa repetir essas etapas para cada espaço de trabalho e pool de hosts usado com o Private Link.
Áreas de Trabalho
Na visão geral da Área de Trabalho Virtual do Azure, selecione Espaços de Trabalho e selecione o nome do espaço de trabalho para controlar o tráfego público.
Na visão geral do pool de hosts, selecione Rede e, em seguida, selecione a guia Acesso público.
Selecione uma das seguintes opções:
Definição Descrição Habilitar o acesso público de todas as redes Os utilizadores finais podem aceder ao feed através da Internet pública ou dos terminais privados. Desativar o acesso público e usar o acesso privado Os usuários finais só podem acessar o feed através dos pontos de extremidade privados. Selecione Guardar.
Grupos de anfitriões
Na visão geral da Área de Trabalho Virtual do Azure, selecione Pools de hosts e selecione o nome do pool de hosts para controlar o tráfego público.
Na visão geral do pool de hosts, selecione Rede e, em seguida, selecione a guia Acesso público.
Selecione uma das seguintes opções:
Definição Descrição Habilitar o acesso público de todas as redes Os usuários finais podem acessar o feed e os hosts de sessão com segurança pela Internet pública ou pelos pontos de extremidade privados. Habilitar acesso público para usuários finais, usar acesso privado para hosts de sessão Os usuários finais podem acessar o feed com segurança pela Internet pública, mas devem usar pontos de extremidade privados para acessar hosts de sessão. Desativar o acesso público e usar o acesso privado Os utilizadores finais só podem aceder ao feed e aos anfitriões de sessão através dos pontos de extremidade privados. Selecione Guardar.
Importante
Alterar o acesso para hosts de sessão não afetará as sessões existentes. Depois de alterar um ponto de extremidade privado para um pool de hosts, reinicie o serviço RDAgentBootLoader (Remote Desktop Agent Loader) em cada host de sessão no pool de hosts. Você também precisa reiniciar esse serviço sempre que alterar a configuração de rede de um pool de hosts. Em vez de reiniciar o serviço, você pode reiniciar cada host de sessão.
Bloquear rotas públicas com grupos de segurança de rede ou Firewall do Azure
Se você estiver usando grupos de segurança de rede ou o Firewall do Azure para controlar conexões de dispositivos cliente de usuário ou seus hosts de sessão para os pontos de extremidade privados, poderá usar a marca de serviço WindowsVirtualDesktop para bloquear o tráfego da Internet pública. Se bloquear o tráfego público da Internet utilizando esta etiqueta de serviço, todo o tráfego de serviço utilizará apenas rotas privadas.
Atenção
Certifique-se de que não bloqueia o tráfego entre os seus terminais privados e os endereços na lista de URL necessária.
Não bloqueie determinadas portas dos dispositivos cliente do usuário ou dos hosts de sessão para o ponto de extremidade privado de um recurso de pool de hosts usando o subrecurso de conexão . Todo o intervalo de portas dinâmicas TCP de 1 - 65535 para o ponto de extremidade privado é necessário porque o mapeamento de porta é usado para todos os gateways globais através do único endereço IP de ponto de extremidade privado correspondente ao subrecurso de conexão. Se você restringir portas ao ponto de extremidade privado, seus usuários talvez não consigam se conectar com êxito à Área de Trabalho Virtual do Azure.
Validar Link Privado com a Área de Trabalho Virtual do Azure
Depois de fechar as rotas públicas, você deve validar se o Link Privado com a Área de Trabalho Virtual do Azure está funcionando. Você pode fazer isso verificando o estado da conexão de cada ponto de extremidade privado, o status dos hosts de sessão e testando que os usuários podem atualizar e se conectar aos recursos remotos.
Verificar o estado da conexão de cada ponto de extremidade privado
Para verificar o estado da conexão de cada ponto de extremidade privado, selecione a guia relevante para seu cenário e siga as etapas. Você deve repetir essas etapas para cada espaço de trabalho e pool de hosts usado com o Private Link.
Áreas de Trabalho
Na visão geral da Área de Trabalho Virtual do Azure, selecione Espaços de Trabalho e selecione o nome do espaço de trabalho para o qual você deseja verificar o estado da conexão.
Na visão geral do espaço de trabalho, selecione Rede e, em seguida , Conexões de ponto de extremidade privadas.
Para o ponto de extremidade privado listado, verifique se o estado da conexão é Aprovado.
Grupos de anfitriões
Na visão geral da Área de Trabalho Virtual do Azure, selecione Pools de hosts e selecione o nome do pool de hosts para o qual você deseja verificar o estado da conexão.
Na visão geral do pool de hosts, selecione Rede e, em seguida , Conexões de ponto de extremidade privadas.
Para o ponto de extremidade privado listado, verifique se o estado da conexão é Aprovado.
Verificar o estado dos anfitriões da sua sessão
Verifique o status de seus hosts de sessão na Área de Trabalho Virtual do Azure.
Na visão geral da Área de Trabalho Virtual do Azure, selecione Pools de hosts e selecione o nome do pool de hosts.
Na seção Gerenciar, selecione Hosts de sessão.
Reveja a lista de anfitriões de sessão e verifique se o seu estado está Disponível.
Verifique se os usuários podem se conectar
Para testar se os usuários podem se conectar aos recursos remotos:
Utilize o cliente de Ambiente de Trabalho Remoto e certifique-se de que pode subscrever e atualizar espaços de trabalho.
Por fim, certifique-se de que seus usuários possam se conectar a uma sessão remota.
Próximos passos
Saiba mais sobre como o Private Link para a Área de Trabalho Virtual do Azure em Usar Link Privado com a Área de Trabalho Virtual do Azure.
Saiba como configurar o DNS do Ponto de Extremidade Privado do Azure na integração do DNS de Link Privado.
Para obter guias gerais de solução de problemas do Private Link, consulte Solucionar problemas de conectividade do Azure Private Endpoint.
Entenda como a conectividade para o serviço de Área de Trabalho Virtual do Azure funciona na conectividade de rede da Área de Trabalho Virtual do Azure.
Consulte a lista URL necessária para obter a lista de URLs que você precisa desbloquear para garantir o acesso à rede ao serviço de Área de Trabalho Virtual do Azure.