Dela via


Konfigurera Private Link med Azure Virtual Desktop

Den här artikeln visar hur du konfigurerar Private Link med Azure Virtual Desktop för privat anslutning till dina fjärrresurser. Mer information om hur du använder Private Link med Azure Virtual Desktop, inklusive begränsningar, finns i Azure Private Link med Azure Virtual Desktop.

Förutsättningar

För att kunna använda Private Link med Azure Virtual Desktop behöver du följande:

Om du vill använda Private Link med Azure Virtual Desktop måste du registrera resursprovidern Microsoft.DesktopVirtualization på varje prenumeration som du vill använda Private Link med Azure Virtual Desktop.

Välj relevant flik för ditt scenario.

Registrera om Azure Virtual Desktop-resursprovidern

Innan du kan använda Private Link med Azure Virtual Desktop måste du registrera om resursprovidern Microsoft.DesktopVirtualization . Du måste göra detta för varje prenumeration som du vill använda för Private Link med Azure Virtual Desktop:

  1. Logga in på Azure-portalen.

  2. I sökfältet anger du Prenumerationer och väljer posten matchande tjänst.

  3. Välj namnet på din prenumeration och välj sedan Resursprovidrar i avsnittet Inställningar.

  4. Sök efter och välj Microsoft.DesktopVirtualization och välj sedan Registrera igen.

  5. Kontrollera att statusen för Microsoft.DesktopVirtualization är Registrerad.

Skapa privata slutpunkter

Under installationsprocessen måste du skapa privata slutpunkter till följande resurser, beroende på ditt scenario.

  1. Alla delar av anslutningen – första feedidentifiering, feednedladdning och fjärrsessionsanslutningar för klienter och sessionsvärdar – använder privata vägar. Du behöver följande privata slutpunkter:

    Syfte Resurstyp Målunderresurs Slutpunktskvantitet
    Anslutningar till värdpooler Microsoft.DesktopVirtualization/hostpools anslutning En per värdpool
    Nedladdning av feed Microsoft.DesktopVirtualization/workspaces feed En per arbetsyta
    Första feedidentifiering Microsoft.DesktopVirtualization/workspaces globalt Endast en för alla dina Azure Virtual Desktop-distributioner
  2. Feed-nedladdning och fjärrsessionsanslutningar för klienter och sessionsvärdar använder privata vägar, men den första feedidentifieringen använder offentliga vägar. Du behöver följande privata slutpunkter. Slutpunkten för den första feedidentifieringen krävs inte.

    Syfte Resurstyp Målunderresurs Slutpunktskvantitet
    Anslutningar till värdpooler Microsoft.DesktopVirtualization/hostpools anslutning En per värdpool
    Nedladdning av feed Microsoft.DesktopVirtualization/workspaces feed En per arbetsyta
  3. Endast fjärrsessionsanslutningar för klienter och sessionsvärdar använder privata vägar, men den första feedidentifieringen och feednedladdningen använder offentliga vägar. Du behöver följande privata slutpunkter. Slutpunkter till arbetsytor krävs inte.

    Syfte Resurstyp Målunderresurs Slutpunktskvantitet
    Anslutningar till värdpooler Microsoft.DesktopVirtualization/hostpools anslutning En per värdpool
  4. Både klienter och virtuella sessionsvärddatorer använder offentliga vägar. Private Link används inte i det här scenariot.

Viktigt!

  • Om du skapar en privat slutpunkt för den första feedidentifieringen styr arbetsytan som används för den globala underresursen det delade fullständigt kvalificerade domännamnet (FQDN), vilket underlättar den första identifieringen av feeds över alla arbetsytor. Du bör skapa en separat arbetsyta som endast används för detta ändamål och som inte har några programgrupper registrerade i den. Om du tar bort den här arbetsytan slutar alla flödesidentifieringsprocesser att sluta fungera.

  • Du kan inte styra åtkomsten till arbetsytan som används för den första feedidentifieringen (global underresurs). Om du konfigurerar den här arbetsytan så att den endast tillåter privat åtkomst ignoreras inställningen. Den här arbetsytan är alltid tillgänglig från offentliga vägar.

  • IP-adressallokeringar kan komma att ändras när efterfrågan på IP-adresser ökar. Under kapacitetsökningar behövs ytterligare adresser för privata slutpunkter. Det är viktigt att du överväger potentiellt utrymmesutmattning och säkerställer tillräckligt med utrymme för tillväxt. Mer information om hur du fastställer lämplig nätverkskonfiguration för privata slutpunkter i en hubb eller en ekertopologi finns i Beslutsträd för Private Link-distribution.

Anslutningar till värdpooler

Om du vill skapa en privat slutpunkt för anslutningsunderresursen för anslutningar till en värdpool väljer du relevant flik för ditt scenario och följer stegen.

Så här skapar du en privat slutpunkt för anslutningsunderresursen för anslutningar till en värdpool med hjälp av Azure-portalen.

  1. Logga in på Azure-portalen.

  2. I sökfältet skriver du Azure Virtual Desktop och väljer den matchande tjänstposten för att gå till Översikt över Azure Virtual Desktop.

  3. Välj Värdpooler och välj sedan namnet på den värdpool som du vill skapa en anslutningsunderresurs för.

  4. I översikten över värdpoolen väljer du Nätverk, sedan Privata slutpunktsanslutningar och slutligen Ny privat slutpunkt.

  5. På fliken Grundläggande fyller du i följande information:

    Parameter Värde/beskrivning
    Prenumeration Välj den prenumeration som du vill skapa den privata slutpunkten i från listrutan.
    Resursgrupp Detta är automatiskt samma resursgrupp som din arbetsyta för den privata slutpunkten, men du kan också välja en alternativ befintlig i listrutan eller skapa en ny.
    Name Ange ett namn för den nya privata slutpunkten.
    Namn på nätverksgränssnitt Namnet på nätverksgränssnittet fylls i automatiskt baserat på namnet du gav den privata slutpunkten, men du kan också ange ett annat namn.
    Region Detta är automatiskt samma Azure-region som arbetsytan och är där den privata slutpunkten distribueras. Detta måste vara samma region som dina virtuella nätverk och sessionsvärdar.

    När du har slutfört den här fliken väljer du Nästa: Resurs.

  6. På fliken Resurs verifierar du värdena för Prenumeration, Resurstyp och Resurs. Välj sedan anslutning för Underresurs för Mål. När du har slutfört den här fliken väljer du Nästa: Virtuellt nätverk.

  7. På fliken Virtuellt nätverk fyller du i följande information:

    Parameter Värde/beskrivning
    Virtuellt nätverk Välj det virtuella nätverk som du vill skapa den privata slutpunkten i från listrutan.
    Undernät Välj undernätet för det virtuella nätverk som du vill skapa den privata slutpunkten i från listrutan.
    Nätverksprincip för privata slutpunkter Välj redigera om du vill välja en nätverksprincip för undernätet. Mer information finns i Hantera nätverksprinciper för privata slutpunkter.
    Privat IP-konfiguration Välj Dynamiskt allokera IP-adress eller Statiskt allokera IP-adress. Adressutrymmet kommer från det undernät som du har valt.

    Om du väljer att statiskt allokera IP-adresser måste du fylla i namn och privat IP för varje medlem i listan.
    Programsäkerhetsgrupp Valfritt: Välj en befintlig programsäkerhetsgrupp för den privata slutpunkten i listrutan eller skapa en ny. Du kan också lägga till en senare.

    När du har slutfört den här fliken väljer du Nästa: DNS.

  8. På fliken DNS väljer du om du vill använda Azures privata DNS-zon genom att välja Ja eller Nej för Integrera med privat DNS-zon. Om du väljer Ja väljer du den prenumeration och resursgrupp där du vill skapa den privata DNS-zonen privatelink.wvd.microsoft.com. Mer information finns i DNS-konfiguration för privat slutpunkt i Azure.

    När du har slutfört den här fliken väljer du Nästa: Taggar.

  9. Valfritt: På fliken Taggar kan du ange de namn/värdepar du behöver och sedan välja Nästa: Granska + skapa.

  10. På fliken Granska + skapa kontrollerar du att verifieringen godkänns och granskar den information som används under distributionen.

  11. Välj Skapa för att skapa den privata slutpunkten för anslutningsunderresursen.

Viktigt!

Du måste skapa en privat slutpunkt för anslutningsunderresursen för varje värdpool som du vill använda med Private Link.


Nedladdning av feed

Om du vill skapa en privat slutpunkt för feedunderresursen för en arbetsyta väljer du relevant flik för ditt scenario och följer stegen.

  1. I översikten över Azure Virtual Desktop väljer du Arbetsytor och sedan namnet på den arbetsyta som du vill skapa en feedunderresurs för.

  2. I översikten över arbetsytan väljer du Nätverk, sedan Privata slutpunktsanslutningar och slutligen Ny privat slutpunkt.

  3. På fliken Grundläggande fyller du i följande information:

    Parameter Värde/beskrivning
    Prenumeration Välj den prenumeration som du vill skapa den privata slutpunkten i från listrutan.
    Resursgrupp Detta är automatiskt samma resursgrupp som din arbetsyta för den privata slutpunkten, men du kan också välja en alternativ befintlig i listrutan eller skapa en ny.
    Name Ange ett namn för den nya privata slutpunkten.
    Namn på nätverksgränssnitt Namnet på nätverksgränssnittet fylls i automatiskt baserat på namnet du gav den privata slutpunkten, men du kan också ange ett annat namn.
    Region Detta är automatiskt samma Azure-region som arbetsytan och är där den privata slutpunkten distribueras. Detta måste vara samma region som det virtuella nätverket.

    När du har slutfört den här fliken väljer du Nästa: Resurs.

  4. På fliken Resurs verifierar du värdena för Prenumeration, Resurstyp och Resurs. Välj sedan feed för Underresurs för Mål. När du har slutfört den här fliken väljer du Nästa: Virtuellt nätverk.

  5. På fliken Virtuellt nätverk fyller du i följande information:

    Parameter Värde/beskrivning
    Virtuellt nätverk Välj det virtuella nätverk som du vill skapa den privata slutpunkten i från listrutan.
    Undernät Välj undernätet för det virtuella nätverk som du vill skapa den privata slutpunkten i från listrutan.
    Nätverksprincip för privata slutpunkter Välj redigera om du vill välja en nätverksprincip för undernätet. Mer information finns i Hantera nätverksprinciper för privata slutpunkter.
    Privat IP-konfiguration Välj Dynamiskt allokera IP-adress eller Statiskt allokera IP-adress. Adressutrymmet kommer från det undernät som du har valt.

    Om du väljer att statiskt allokera IP-adresser måste du fylla i namn och privat IP för varje medlem i listan.
    Programsäkerhetsgrupp Valfritt: Välj en befintlig programsäkerhetsgrupp för den privata slutpunkten i listrutan eller skapa en ny. Du kan också lägga till en senare.

    När du har slutfört den här fliken väljer du Nästa: DNS.

  6. På fliken DNS väljer du om du vill använda Azures privata DNS-zon genom att välja Ja eller Nej för Integrera med privat DNS-zon. Om du väljer Ja väljer du den prenumeration och resursgrupp där du vill skapa den privata DNS-zonen privatelink.wvd.microsoft.com. Mer information finns i DNS-konfiguration för privat slutpunkt i Azure.

    När du har slutfört den här fliken väljer du Nästa: Taggar.

  7. Valfritt: På fliken Taggar kan du ange de namn/värdepar du behöver och sedan välja Nästa: Granska + skapa.

  8. På fliken Granska + skapa kontrollerar du att verifieringen godkänns och granskar den information som används under distributionen.

  9. Välj Skapa för att skapa den privata slutpunkten för feedunderresursen.

Viktigt!

Du behöver skapa en privat slutpunkt för feedunderresursen för varje arbetsyta som du vill använda med Private Link.

Första feedidentifiering

Om du vill skapa en privat slutpunkt för den globala underresurs som används för den första feedidentifieringen väljer du relevant flik för ditt scenario och följer stegen.

Viktigt!

  • Skapa bara en privat slutpunkt för den globala underresursen för alla dina Azure Virtual Desktop-distributioner.

  • En privat slutpunkt till den globala underresursen för en arbetsyta styr det delade fullständigt kvalificerade domännamnet (FQDN) för den första feedidentifieringen. Detta möjliggör i sin tur feedidentifiering för alla arbetsytor. Eftersom arbetsytan som är ansluten till den privata slutpunkten är så viktig kommer borttagningen att leda till att alla processer för flödesidentifiering slutar fungera. Vi rekommenderar att du skapar en oanvänd platshållararbetsyta för den globala underresursen.

  1. I översikten över Azure Virtual Desktop väljer du Arbetsytor och sedan namnet på en arbetsyta som du vill använda för den globala underresursen.

    1. Valfritt: Skapa i stället en platshållararbetsyta för att avsluta den globala slutpunkten genom att följa anvisningarna i Skapa en arbetsyta.
  2. I översikten över arbetsytan väljer du Nätverk, sedan Privata slutpunktsanslutningar och slutligen Ny privat slutpunkt.

  3. På fliken Grundläggande fyller du i följande information:

    Parameter Värde/beskrivning
    Prenumeration Välj den prenumeration som du vill skapa den privata slutpunkten i från listrutan.
    Resursgrupp Detta är automatiskt samma resursgrupp som din arbetsyta för den privata slutpunkten, men du kan också välja en alternativ befintlig i listrutan eller skapa en ny.
    Name Ange ett namn för den nya privata slutpunkten.
    Namn på nätverksgränssnitt Namnet på nätverksgränssnittet fylls i automatiskt baserat på namnet du gav den privata slutpunkten, men du kan också ange ett annat namn.
    Region Detta är automatiskt samma Azure-region som arbetsytan och är den plats där den privata slutpunkten ska distribueras. Detta måste vara samma region som det virtuella nätverket.

    När du har slutfört den här fliken väljer du Nästa: Resurs.

  4. På fliken Resurs verifierar du värdena för Prenumeration, Resurstyp och Resurs och väljer sedan global för Underresurs för Mål. När du har slutfört den här fliken väljer du Nästa: Virtuellt nätverk.

  5. På fliken Virtuellt nätverk fyller du i följande information:

    Parameter Värde/beskrivning
    Virtuellt nätverk Välj det virtuella nätverk som du vill skapa den privata slutpunkten i från listrutan.
    Undernät Välj undernätet för det virtuella nätverk som du vill skapa den privata slutpunkten i från listrutan.
    Nätverksprincip för privata slutpunkter Välj redigera om du vill välja en nätverksprincip för undernätet. Mer information finns i Hantera nätverksprinciper för privata slutpunkter.
    Privat IP-konfiguration Välj Dynamiskt allokera IP-adress eller Statiskt allokera IP-adress. Adressutrymmet kommer från det undernät som du har valt.

    Om du väljer att statiskt allokera IP-adresser måste du fylla i namn och privat IP för varje medlem i listan.
    Programsäkerhetsgrupp Valfritt: Välj en befintlig programsäkerhetsgrupp för den privata slutpunkten i listrutan eller skapa en ny. Du kan också lägga till en senare.

    När du har slutfört den här fliken väljer du Nästa: DNS.

  6. På fliken DNS väljer du om du vill använda Azures privata DNS-zon genom att välja Ja eller Nej för Integrera med privat DNS-zon. Om du väljer Ja väljer du den prenumeration och resursgrupp där du vill skapa den privata DNS-zonen privatelink-global.wvd.microsoft.com. Mer information finns i DNS-konfiguration för privat slutpunkt i Azure.

    När du har slutfört den här fliken väljer du Nästa: Taggar.

  7. Valfritt: På fliken Taggar kan du ange de namn/värdepar du behöver och sedan välja Nästa: Granska + skapa.

  8. På fliken Granska + skapa kontrollerar du att verifieringen godkänns och granskar den information som används under distributionen.

  9. Välj Skapa för att skapa den privata slutpunkten för den globala underresursen.

Stänga offentliga vägar

När du har skapat privata slutpunkter kan du också styra om trafik tillåts komma från offentliga vägar. Du kan styra detta på detaljerad nivå med hjälp av Azure Virtual Desktop, eller mer allmänt med hjälp av en nätverkssäkerhetsgrupp (NSG) eller Azure Firewall.

Styra vägar med Azure Virtual Desktop

Med Azure Virtual Desktop kan du oberoende styra den offentliga trafiken för arbetsytor och värdpooler. Välj relevant flik för ditt scenario och följ stegen. Du kan inte konfigurera detta i Azure CLI. Du måste upprepa de här stegen för varje arbetsyta och värdpool som du använder med Private Link.

Arbetsytor

  1. I översikten över Azure Virtual Desktop väljer du Arbetsytor och sedan namnet på arbetsytan för att styra den offentliga trafiken.

  2. I översikten över värdpoolen väljer du Nätverk och sedan fliken Offentlig åtkomst.

  3. Välj ett av följande alternativ:

    Inställning beskrivning
    Aktivera offentlig åtkomst från alla nätverk Slutanvändarna kan komma åt flödet via det offentliga Internet eller de privata slutpunkterna.
    Inaktivera offentlig åtkomst och använd privat åtkomst Slutanvändare kan bara komma åt flödet via de privata slutpunkterna.
  4. Välj Spara.

Värdpooler

  1. I översikten över Azure Virtual Desktop väljer du Värdpooler och sedan namnet på värdpoolen för att styra den offentliga trafiken.

  2. I översikten över värdpoolen väljer du Nätverk och sedan fliken Offentlig åtkomst.

  3. Välj ett av följande alternativ:

    Inställning beskrivning
    Aktivera offentlig åtkomst från alla nätverk Slutanvändarna kan komma åt feeden och sessionsvärdarna på ett säkert sätt via det offentliga Internet eller de privata slutpunkterna.
    Aktivera offentlig åtkomst för slutanvändare, använd privat åtkomst för sessionsvärdar Slutanvändarna kan komma åt flödet på ett säkert sätt via det offentliga Internet, men de måste använda privata slutpunkter för att få åtkomst till sessionsvärdar.
    Inaktivera offentlig åtkomst och använd privat åtkomst Slutanvändarna kan bara komma åt feed- och sessionsvärdarna via de privata slutpunkterna.
  4. Välj Spara.

Viktigt!

Om du ändrar åtkomsten för sessionsvärdar påverkas inte befintliga sessioner. När du har ändrat en privat slutpunkt till en värdpool måste du starta om tjänsten Remote Desktop Agent Loader (RDAgentBootLoader) på varje sessionsvärd i värdpoolen. Du måste också starta om den här tjänsten när du ändrar en värdpools nätverkskonfiguration. I stället för att starta om tjänsten kan du starta om varje sessionsvärd.

Blockera offentliga vägar med nätverkssäkerhetsgrupper eller Azure Firewall

Om du använder nätverkssäkerhetsgrupper eller Azure Firewall för att styra anslutningar från användarklientenheter eller sessionsvärdar till de privata slutpunkterna kan du använda tjänsttaggen WindowsVirtualDesktop för att blockera trafik från det offentliga Internet. Om du blockerar offentlig Internettrafik med hjälp av den här tjänsttaggen använder all tjänsttrafik endast privata vägar.

Varning

  • Se till att du inte blockerar trafik mellan dina privata slutpunkter och adresserna i den url-lista som krävs.

  • Blockera inte vissa portar från antingen användarklientenheterna eller sessionsvärdarna till den privata slutpunkten för en värdpoolresurs med hjälp av anslutningsunderresursen. Hela det dynamiska TCP-portintervallet på 1–65535 till den privata slutpunkten behövs eftersom portmappning används för alla globala gatewayer via ip-adressen för den enskilda privata slutpunkten som motsvarar anslutningsunderresursen. Om du begränsar portar till den privata slutpunkten kanske användarna inte kan ansluta till Azure Virtual Desktop.

När du har stängt offentliga vägar bör du kontrollera att Private Link med Azure Virtual Desktop fungerar. Du kan göra detta genom att kontrollera anslutningstillståndet för varje privat slutpunkt, statusen för sessionsvärdarna och testa att användarna kan uppdatera och ansluta till sina fjärrresurser.

Kontrollera anslutningstillståndet för varje privat slutpunkt

Om du vill kontrollera anslutningstillståndet för varje privat slutpunkt väljer du relevant flik för ditt scenario och följer stegen. Du bör upprepa de här stegen för varje arbetsyta och värdpool som du använder med Private Link.

Arbetsytor

  1. I översikten över Azure Virtual Desktop väljer du Arbetsytor och sedan namnet på den arbetsyta som du vill kontrollera anslutningstillståndet för.

  2. I översikten över arbetsytan väljer du Nätverk och sedan Privata slutpunktsanslutningar.

  3. För den privata slutpunkten i listan kontrollerar du att anslutningstillståndet är Godkänt.

Värdpooler

  1. I översikten över Azure Virtual Desktop väljer du Värdpooler och sedan namnet på den värdpool som du vill kontrollera anslutningstillståndet för.

  2. I översikten över värdpoolen väljer du Nätverk och sedan Privata slutpunktsanslutningar.

  3. För den privata slutpunkten i listan kontrollerar du att anslutningstillståndet är Godkänt.

Kontrollera statusen för dina sessionsvärdar

  1. Kontrollera statusen för dina sessionsvärdar i Azure Virtual Desktop.

    1. I översikten över Azure Virtual Desktop väljer du Värdpooler och sedan namnet på värdpoolen.

    2. I avsnittet Hantera väljer du Sessionsvärdar.

    3. Granska listan över sessionsvärdar och kontrollera att deras status är Tillgänglig.

Kontrollera att användarna kan ansluta

Så här testar du att användarna kan ansluta till sina fjärrresurser:

  1. Använd fjärrskrivbordsklienten och se till att du kan prenumerera på och uppdatera arbetsytor.

  2. Kontrollera slutligen att användarna kan ansluta till en fjärrsession.

Nästa steg