了解 Azure 虚拟桌面网络连接性
Azure 虚拟桌面使用远程桌面协议 (RDP) 通过网络连接提供远程显示和输入功能。
Azure 虚拟桌面的连接数据流从最近的 Azure 数据中心的 DNS 查找开始。
下图显示了在 Azure 中运行的 Azure 虚拟桌面的五步连接过程。
- 在 Microsoft Entra ID 中进行身份验证时,令牌将返回到远程桌面服务客户端。
- 网关使用连接代理检查令牌。
- 代理在 Azure SQL 数据库中查询分配给用户的资源。
- 网关和代理为连接的客户端选择会话主机。
- 会话主机使用 Azure 虚拟桌面网关创建到客户端的反向连接。
入站端口未打开,网关充当智能反向代理。 网关管理所有会话连接。
Azure 虚拟桌面在 Azure 上运行的会话主机上托管客户端。 Microsoft 代表客户管理部分服务,并提供用于连接客户端和会话主机的安全终结点。 下图简要概述了 Azure 虚拟桌面使用的网络连接。
会话连接性
Azure 虚拟桌面使用远程桌面协议 (RDP) 通过网络连接提供远程显示和输入功能。 RDP 最初在 Windows NT 4.0 终端服务器版中发布,并在每个 Microsoft Windows 和 Windows Server 版本中不断发展。 从一开始,RDP 就开发为独立于它的底层传输堆栈,现在它支持多种类型的传输。
反向连接传输
Azure 虚拟桌面使用反向连接传输来建立远程会话和携带 RDP 流量。 与本地远程桌面服务部署不同,反向连接传输不使用 TCP 侦听器来接收传入的 RDP 连接, 而是通过 HTTPS 连接使用到 Azure 虚拟桌面基础结构的出站连接。
会话主机信道
在 Azure 虚拟桌面会话主机启动时,远程桌面代理加载器服务会建立 Azure 虚拟桌面中转站的永久性信道。 安全传输层安全性 (TLS) 连接上的此信道用作会话主机和 Azure 虚拟桌面之间服务消息交换的总线。
客户端连接顺序
客户端连接顺序如下所述:
- 使用支持的 Azure 虚拟桌面客户端用户订阅 Azure 虚拟桌面工作区。
- Microsoft Entra 对用户进行身份验证,并返回用于枚举用户可用资源的令牌。
- 客户端将令牌传递给 Azure 虚拟桌面源订阅服务。
- Azure 虚拟桌面源订阅服务验证令牌。
- Azure 虚拟桌面源订阅服务使用数字签名的连接将可用桌面和 RemoteApp 的列表传递回客户端。
- 客户端将每个可用资源的连接配置存储在一组 rdp 文件中。
- 当用户选择要连接的资源时,客户端使用关联的 rdp 文件,并与最近的 Azure 虚拟桌面网关实例建立安全的 TLS 1.2 连接。
- Azure 虚拟桌面网关验证请求,并要求 Azure 虚拟桌面代理协调连接。
- Azure 虚拟桌面代理标识会话主机,并使用以前建立的持久信道来初始化连接。
- 远程桌面堆栈启动与客户端使用的同一 Azure 虚拟桌面网关实例的 TLS 1.2 连接。
- 客户端和会话主机连接到网关后,网关开始在两个终结点之间中继原始数据。 为 RDP 建立基本反向连接传输。
- 设置基本传输后,客户端将启动 RDP 握手。
连接安全性
TLS 1.2 用于从客户端和会话主机启动的与 Azure 虚拟桌面基础结构组件之间的所有连接。
对于反向连接传输,客户端和会话主机都会连接到 Azure 虚拟桌面网关。 TCP 连接就位后,客户端或会话主机会验证 Azure 虚拟桌面网关的证书。
RDP 使用会话主机的证书在客户端和会话主机之间建立嵌套的 TLS 连接。
默认情况下,用于 RDP 加密的证书是 OS 在部署过程中自行生成的。
用于托管网络的 Azure 虚拟桌面 RDP 短路径
用于托管网络的 RDP 短路径是 Azure 虚拟桌面的一项功能,它可在远程桌面客户端和会话主机之间建立基于 UDP 的直接传输。 RDP 使用此传输实现远程桌面和 RemoteApp,同时提供更好的可靠性和一致的延迟。
- RDP 短路径传输基于通用速率控制协议 (URCP)。 URCP 通过主动监视网络状况来增强 UDP,并提供合理且完整的链接利用率。 URCP 以远程桌面需要的低延迟和低损耗级别运行。
- RDP 短路径在远程桌面客户端和会话主机之间建立直接连接。 直接连接可以减少对 Azure 虚拟桌面网关的依赖,提高连接可靠性,并增加每个用户会话可用的带宽。
- 消除额外的中继可减少往返时间,从而提高对延迟敏感的应用程序和输入法的用户体验。
- RDP 短路径支持通过区分服务代码点 (DSCP) 标记为 RDP 连接配置服务质量 (QoS) 优先级。
- RDP 短路径传输允许通过为每个会话指定限制速率来限制出站网络流量。