Поделиться через


Приватный канал Azure с виртуальным рабочим столом Azure

Вы можете использовать Приватный канал Azure с виртуальным рабочим столом Azure для частного подключения к удаленным ресурсам. Создавая частную конечную точку, трафик между виртуальной сетью и службой остается в сети Майкрософт, поэтому вам больше не нужно предоставлять доступ к общедоступному Интернету. Вы также используете VPN или ExpressRoute для пользователей с клиентом удаленного рабочего стола для подключения к виртуальной сети. Сохранение трафика в сети Майкрософт повышает безопасность и обеспечивает безопасность данных. В этой статье описывается, как Приватный канал помочь защитить среду виртуального рабочего стола Azure.

Виртуальный рабочий стол Azure имеет три рабочих процесса с тремя соответствующими типами ресурсов для использования с частными конечными точками. Эти рабочие процессы:

  1. Начальное обнаружение веб-канала: позволяет клиенту обнаруживать все рабочие области, назначенные пользователю. Чтобы включить этот процесс, необходимо создать одну частную конечную точку для глобального подресурса в любую рабочую область. Однако вы можете создать только одну частную конечную точку во всем развертывании Виртуального рабочего стола Azure. Эта конечная точка создает записи системы доменных имен (DNS) и частные IP-маршруты для глобального полного доменного имени (FQDN), необходимого для первоначального обнаружения веб-каналов. Это подключение становится одним общим маршрутом для всех клиентов, используемых.

  2. Загрузка веб-канала: клиент скачивает все сведения о подключении для конкретного пользователя для рабочих областей, в которых размещаются группы приложений. Вы создаете частную конечную точку для подресурса канала для каждой рабочей области, которую вы хотите использовать с Приватный канал.

  3. Подключения к пулам узлов: каждое подключение к пулу узлов имеет две стороны — клиенты и узлы сеансов. Необходимо создать частную конечную точку для подресурса подключения для каждого пула узлов, который вы хотите использовать с Приватный канал.

На следующей высокоуровневой схеме показано, как Приватный канал безопасно подключает локальный клиент к службе виртуального рабочего стола Azure. Дополнительные сведения о клиентских подключениях см. в разделе "Последовательность подключений клиента".

Высокоуровневая схема, показывающая Приватный канал подключение локального клиента к службе виртуального рабочего стола Azure.

Поддерживаемые сценарии

При добавлении Приватный канал с виртуальным рабочим столом Azure есть следующие поддерживаемые сценарии для подключения к виртуальному рабочему столу Azure. Какой сценарий вы выбираете, зависит от ваших требований. Вы можете совместно использовать эти частные конечные точки в топологии сети или изолировать виртуальные сети таким образом, чтобы каждая из них имеет собственную частную конечную точку в пуле узлов или рабочей области.

  1. Все части подключения — начальное обнаружение веб-каналов, скачивание веб-канала и подключения к удаленному сеансу для клиентов и узлов сеансов — используйте частные маршруты. Вам потребуются следующие частные конечные точки:

    Характер использования Тип ресурса Целевой подресурс Количество конечных точек
    Подключения к пулам узлов Microsoft.DesktopVirtualization/hostpools подключение Один на пул узлов
    Скачивание веб-канала Microsoft.DesktopVirtualization/workspaces feed Один на рабочую область
    Начальное обнаружение веб-каналов Microsoft.DesktopVirtualization/workspaces global Только один для всех развертываний виртуального рабочего стола Azure
  2. Загрузка и удаленные подключения к сеансам для клиентов и узлов сеансов используют частные маршруты, но при первоначальном обнаружении веб-канала используются общедоступные маршруты. Вам нужны следующие частные конечные точки. Конечная точка для первоначального обнаружения веб-каналов не требуется.

    Характер использования Тип ресурса Целевой подресурс Количество конечных точек
    Подключения к пулам узлов Microsoft.DesktopVirtualization/hostpools подключение Один на пул узлов
    Скачивание веб-канала Microsoft.DesktopVirtualization/workspaces feed Один на рабочую область
  3. Только подключения к удаленным сеансам для клиентов и узлов сеансов используют частные маршруты, но начальное обнаружение веб-каналов и загрузка веб-канала используют общедоступные маршруты. Вам потребуется следующая частная конечная точка. Конечные точки для рабочих областей не требуются.

    Характер использования Тип ресурса Целевой подресурс Количество конечных точек
    Подключения к пулам узлов Microsoft.DesktopVirtualization/hostpools подключение Один на пул узлов
  4. Как клиенты, так и виртуальные машины узла сеансов используют общедоступные маршруты. Приватный канал не используется в этом сценарии.

Внимание

  • Если вы создаете частную конечную точку для первоначального обнаружения веб-каналов, рабочая область, используемая для глобального подресурсов, управляет общим полным доменным именем (FQDN), упрощая первоначальное обнаружение веб-каналов во всех рабочих областях. Необходимо создать отдельную рабочую область, которая используется только для этой цели и не имеет групп приложений, зарегистрированных в ней. Удаление этой рабочей области приведет ко всем процессам обнаружения веб-каналов, которые перестают работать.

  • Невозможно контролировать доступ к рабочей области, используемой для первоначального обнаружения веб-каналов (глобальный вложенный ресурс). Если вы настроите эту рабочую область только для предоставления закрытого доступа, параметр игнорируется. Эта рабочая область всегда доступна из общедоступных маршрутов.

  • Выделение IP-адресов может изменяться по мере увеличения спроса на IP-адреса. Во время расширения емкости для частных конечных точек требуются дополнительные адреса. Важно учитывать потенциальное исчерпание адресного пространства и обеспечить достаточное пространство для роста. Дополнительные сведения об определении соответствующей конфигурации сети для частных конечных точек в концентраторе или периферийной топологии см. в дереве принятия решений для Приватный канал развертывания.

Результаты конфигурации

Параметры настраивается в соответствующих рабочих областях Виртуального рабочего стола Azure и пулах узлов, чтобы задать общедоступный или частный доступ. Для подключений к рабочей области, за исключением рабочей области, используемой для первоначального обнаружения веб-каналов (глобальный вложенный ресурс), в следующей таблице приведены сведения о результатах каждого сценария:

Настройка Результат
Общедоступный доступ включен из всех сетей Запросы веб-канала рабочей области разрешены из общедоступных маршрутов.

Запросы веб-канала рабочей области разрешены из частных маршрутов.
Общедоступный доступ отключен из всех сетей Запросы веб-канала рабочей области отказано в общедоступных маршрутах.

Запросы веб-канала рабочей области разрешены из частных маршрутов.

При использовании транспорта обратного подключения есть два сетевых подключения для подключений к пулам узлов: клиент к шлюзу и узел сеанса к шлюзу. Помимо включения или отключения общедоступного доступа для обоих подключений, можно также включить общедоступный доступ для клиентов, подключающихся к шлюзу, и разрешить только частный доступ для узлов сеансов, подключающихся к шлюзу. В следующей таблице приведены сведения о результатах каждого сценария:

Настройка Результат
Общедоступный доступ включен из всех сетей Удаленные сеансы разрешены, если клиент или узел сеансов использует общедоступный маршрут.

Удаленные сеансы разрешены, если клиент или узел сеансов использует частный маршрут.
Общедоступный доступ отключен из всех сетей Удаленные сеансы запрещены, если клиент или узел сеансов использует общедоступный маршрут.

Удаленные сеансы разрешены, если узел клиента и сеанса используют частный маршрут.
Общедоступный доступ включен для клиентских сетей, но отключен для сетей узлов сеансов Удаленные сеансы запрещены, если узел сеанса использует общедоступный маршрут независимо от маршрута, который использует клиент.

Удаленные сеансы разрешены, если узел сеансов использует частный маршрут, независимо от маршрута, который использует клиент.

Последовательность подключений клиента

Когда пользователь подключается к виртуальному рабочему столу Azure по Приватный канал, а виртуальный рабочий стол Azure настроен только для разрешения клиентских подключений из частных маршрутов, последовательность подключений выглядит следующим образом:

  1. С поддерживаемым клиентом пользователь подписывается на рабочую область. Устройство пользователя запрашивает DNS-адрес rdweb.wvd.microsoft.com (или соответствующий адрес для других сред Azure).

  2. Частная зона DNS для privatelink-global.wvd.microsoft.com возвращает частный IP-адрес для первоначального обнаружения веб-канала (глобальный вложенный ресурс). Если вы не используете частную конечную точку для первоначального обнаружения веб-каналов, возвращается общедоступный IP-адрес.

  3. Для каждой рабочей области в веб-канале выполняется DNS-запрос для адреса <workspaceId>.privatelink.wvd.microsoft.com.

  4. Частная зона DNS для privatelink.wvd.microsoft.com возвращает частный IP-адрес для загрузки веб-канала рабочей области и загружает веб-канал с помощью TCP-порта 443.

  5. При подключении к удаленному сеансу файл, поступающий из скачиваемого веб-канала рабочей области, .rdp содержит адрес службы шлюза виртуального рабочего стола Azure с наименьшей задержкой для устройства пользователя. DNS-запрос выполняется в адрес в формате <hostpooId>.afdfp-rdgateway.wvd.microsoft.com.

  6. Частная зона DNS для privatelink.wvd.microsoft.com возвращает частный IP-адрес для службы шлюза виртуального рабочего стола Azure, используемой для пула узлов, предоставляющего удаленный сеанс. Оркестрация через виртуальную сеть и частную конечную точку использует TCP-порт 443.

  7. После оркестрации сетевой трафик между клиентом, службой шлюза виртуального рабочего стола Azure и узлом сеанса передается на порт в диапазоне динамических портов TCP от 1 до 65535.

Внимание

Если вы планируете ограничить сетевые порты с клиентских устройств пользователя или виртуальных машин узла сеанса частным конечным точкам, необходимо разрешить трафик по всему диапазону динамических портов TCP от 1 до 65535 к частной конечной точке ресурса пула узлов с помощью подресурса подключения . Весь диапазон динамических портов TCP необходим, так как частная сеть Azure внутренне сопоставляет эти порты с соответствующим шлюзом, выбранным во время оркестрации клиента. Если вы ограничиваете порты частной конечной точкой, пользователи могут не подключаться к виртуальному рабочему столу Azure.

Известные проблемы и ограничения

Приватный канал с виртуальным рабочим столом Azure имеет следующие ограничения:

  • Прежде чем использовать Приватный канал для виртуального рабочего стола Azure, необходимо включить Приватный канал с виртуальным рабочим столом Azure в каждой подписке Azure, которую вы хотите Приватный канал с виртуальным рабочим столом Azure.

  • Все клиенты удаленного рабочего стола для подключения к виртуальному рабочему столу Azure можно использовать с Приватный канал. Если вы используете клиент удаленного рабочего стола для Windows в частной сети без доступа к Интернету, и вы подписаны на общедоступные и частные веб-каналы, вы не сможете получить доступ к веб-каналу.

  • После изменения частной конечной точки на пул узлов необходимо перезапустить службу загрузчика агента удаленного рабочего стола (RDAgentBootLoader) на каждом узле сеансов в пуле узлов. При изменении конфигурации сети пула узлов также необходимо перезапустить эту службу. Вместо перезапуска службы можно перезапустить каждый узел сеанса.

  • Использование Приватный канал и RDP Shortpath для управляемых сетей не поддерживается, но они могут работать вместе. Вы можете использовать Приватный канал и RDP Shortpath для управляемых сетей с собственным риском. Все остальные параметры RDP Shortpath с помощью STUN или TURN не поддерживаются с Приватный канал.

  • В начале предварительной версии Приватный канал с виртуальным рабочим столом Azure частная конечная точка для первоначального обнаружения веб-каналов (для глобального подресурса) поделилась именем privatelink.wvd.microsoft.com частной зоны DNS с другими частными конечными точками для рабочих областей и пулов узлов. В этой конфигурации пользователи не могут устанавливать частные конечные точки исключительно для пулов узлов и рабочих областей. Начиная с 1 сентября 2023 г. общий доступ к частной зоне DNS в этой конфигурации больше не будет поддерживаться. Необходимо создать новую частную конечную точку для глобального подресурса, чтобы использовать имя privatelink-global.wvd.microsoft.comчастной зоны DNS. Для этого см . сведения об обнаружении начального веб-канала.

Следующие шаги