分享方式:

Azure 虛擬桌面的網路拓撲和連線能力

  • 文章

Azure 虛擬桌面中的 Azure 網路功能設計和實作對於 Azure 虛擬桌面登陸區域而言非常重要。 本文以數個適用於 Azure 企業級登陸區域架構原則的 雲端採用架構 為基礎,以及大規模管理網路拓撲和連線的建議。

設計基礎包括:

  • 內部部署、多雲端和邊緣環境與全域用戶之間的混合式整合 。 如需詳細資訊,請參閱 混合式和多重雲端的企業規模支援。
  • 針對工作負載的一致、低延遲體驗和延展性,大規模效能和可靠性
  • 以零信任為基礎的網路安全性 ,可協助保護網路周邊和流量。 如需詳細資訊,請參閱 Azure 上的網路安全性策略。
  • 擴充性 ,可輕鬆地擴充網路使用量,而不需要設計重新作業。

網路元件和概念

  • Azure 虛擬網絡 是 Azure 中專用網的基本建置組塊。 透過 虛擬網絡,許多類型的 Azure 資源,例如 Azure 虛擬機器,可以彼此通訊、因特網和內部部署資料中心。 虛擬網路類似於您在自己的資料中心內運作的傳統網路。 但虛擬網路提供規模、可用性和隔離的 Azure 基礎結構優點。
  • 樞輪輻網路拓撲 是一種網路架構,其中中樞虛擬網路會作為數個輪輻虛擬網路連線的中心點。 中樞也可以是內部部署數據中心的連線點。 輪輻虛擬網路會與中樞對等互連,並協助隔離工作負載。
  • Azure 虛擬 WAN 是一項網路服務,可將網路功能、安全性和路由功能結合在單一操作介面中。
  • 網路虛擬設備 (NVA) 是一種網路裝置,可支援連線、應用程式傳遞、廣域網 (WAN) 優化和安全性等功能。 NVA 包括 Azure 防火牆 和 Azure Load Balancer。
  • 在強制通道案例中,源自 Azure 虛擬機 (VM) 的所有因特網系結流量都會路由傳送或強制執行檢查和稽核設備。 未經授權的因特網存取可能會導致資訊洩漏或其他類型的安全性缺口,而不需要流量檢查或稽核。
  • 網路安全組 可用來篩選 Azure 虛擬網路中 Azure 資源的網路流量。 網路安全性群組包含安全性規則,用來允許或拒絕進出多種 Azure 資源類型的輸入和輸出網路流量。
  • 應用程式安全組 可讓您將網路安全性設定為應用程序結構的自然延伸。 您可以使用應用程式安全組來將 VM 分組,並定義以這些群組為基礎的網路安全策略。 您可以大規模重複使用安全策略,而不需要手動維護明確的IP位址。
  • 使用者定義的路由 (UDR) 可用來覆寫 Azure 預設系統路由。 您也可以使用 UDR 將額外的路由新增至子網路由表。
  • 遠端桌面通訊協定簡短路徑 (RDP Shortpath) 是 Azure 虛擬桌面的一項功能,以通用速率控制通訊協定 (URCP) 為基礎。 RDP Shortpath 會根據支援的 Windows 遠端桌面用戶端與 Azure 虛擬桌面會話主機之間的使用者數據報通訊協定 (UDP) 建立直接傳輸。 URCP 藉由提供網路狀況和服務品質 (QoS) 功能的主動監視來增強 UDP 連線。
  • Azure Private Link 與 Azure 虛擬桌面 (預覽版) 可讓您使用 Azure 中的私人端點 ,將會話主機連線到 Azure 虛擬桌面服務。 透過 Private Link,虛擬網路與 Azure 虛擬桌面服務之間的流量會透過Microsoft 骨幹 網路傳輸。 因此,您不需要連線到公用因特網來存取 Azure 虛擬桌面服務。

網路情節

若要建立 Azure 虛擬桌面登陸區域,網路功能的設計和實作非常重要。 Azure 網路產品和服務支援各種不同的功能。 您選擇的架構,以及結構服務的方式取決於您組織的工作負載、治理和需求。

下列重要需求和考慮會影響您的 Azure 虛擬桌面部署決策:

  • 因特網輸入和輸出需求。
  • NVA 在目前的架構中使用。
  • Azure 虛擬桌面連線至標準中樞虛擬網路或虛擬 WAN 中樞。
  • 會話主機連線模型。 您可以使用原生模型或 RDP Shortpath
  • 流量檢查需求:
    • 來自 Azure 虛擬桌面的因特網輸出。
    • 因特網輸入至 Azure 虛擬桌面。
    • Azure 虛擬桌面流量至內部部署數據中心。
    • Azure 虛擬桌面流量至其他 虛擬網絡 實例。
    • Azure 虛擬桌面虛擬網路內的流量。

Azure 虛擬桌面最常見的網路案例是具有混合式連線的中樞和輪輻拓撲。

案例 1:具有混合式連線的中樞和輪輻

此案例使用標準會話主機連線模型。

客戶設定檔

如果:

  • 您不需要 Azure 虛擬網路與其他 Azure 虛擬網路之間的流量檢查。
  • 您不需要 Azure 虛擬網路與內部部署資料中心之間的流量檢查。
  • 您不需要流量檢查來自 Azure 虛擬桌面網路的因特網輸出流量。
  • 您不需要控制在來源網路位址轉換 (SNAT) 期間用於 Azure 虛擬桌面輸出因特網連線的公用 IP 位址。
  • 您不會強制執行 Azure 虛擬桌面網路內部流量。
  • 您可以透過 Azure ExpressRoute 或站對站 (S2S) 虛擬專用網 (VPN) 預先存在的混合式連線到內部部署環境。
  • 您有預先存在的 Active Directory 網域服務 (AD DS) 和網域名稱系統 (DNS) 自定義伺服器。
  • 您可以使用標準連線模型來取用 Azure 虛擬桌面,而不是 RDP Shortpath。

架構元件

您可以使用下列項目來實作此案例:

  • AD DS 伺服器和自定義 DNS 伺服器。
  • 網路安全性群組。
  • Azure 網路監看員。
  • 透過預設 Azure 虛擬網路路徑的輸出因特網。
  • ExpressRoute 或 VPN 虛擬網路閘道,可對內部部署系統進行混合式連線。
  • Azure 私人 DNS 區域。
  • Azure 私人端點。
  • Azure 檔案儲存體記憶體帳戶。
  • Azure Key Vault。

此圖顯示具有混合式連線功能的中樞和輪輻架構。

下載完整 Azure 虛擬桌面多重區域復原架構的 Visio 檔案

考量

  • 此案例無法容納用戶端與公用或私人會話主機之間的直接網路連線。 在此案例中,您無法使用 RDP Shortpath。
  • 使用公用端點的 Azure 虛擬桌面控制平面閘道會管理客戶端連線。 因此,Azure 虛擬桌面用戶端可以建立所需的 Azure 虛擬桌面 URL 的輸出連線。 如需必要 URL 的詳細資訊,請參閱 本文的因特網 一節和 Azure 虛擬桌面的必要 URL。
  • 不需要公用IP位址或其他會話主機的公用輸入路徑。 從用戶端到會話主機的流量會流經 Azure 虛擬桌面控制平面閘道。
  • Azure 虛擬桌面輪輻之間沒有虛擬網路對等互連。 所有流量都會通過連線中樞。
  • 來自 Azure 虛擬桌面會話主機的輸出因特網聯機會經過預設的 Azure 輸出網路地址轉換 (NAT) 程式。 會使用動態 Azure 公用 IP 位址。 客戶無法控制所使用的輸出公用IP位址。
  • 使用私人端點建立從會話主機到 Azure 檔案儲存體 記憶體帳戶的連線。
  • Azure 私人 DNS 區域可用來解析下列服務的私人端點命名空間:
    • Azure 檔案儲存體 使用名稱的記憶體帳戶privatelink.file.core.windows.net
    • 使用名稱的金鑰保存庫 privatelink.vaultcore.azure.net
  • 此案例不會強制執行網路篩選。 但網路安全組會放在所有子網上,讓您可以監視流量並衍生深入解析。 在 網路監看員 中,使用分析與網路安全組流量記錄功能用於這些用途。

案例 2:使用 RDP Shortpath 透過受控網路使用混合式連線的中樞和輪輻

如需詳細的部署指引,請參閱 受控網路的 RDP 簡短路徑連線。

客戶設定檔

如果:

  • 您想要限制 Azure 虛擬桌面工作階段主機的因特網連線數目。
  • 您可以透過 ExpressRoute 或 S2S 或點對站 (P2S) VPN,從內部部署環境預先存在的混合式連線到 Azure。
  • RDP 用戶端與 Azure 虛擬桌面主機之間有直接的視線網路連線。 一般而言,在此案例中會使用下列其中一個設定:
    • 路由至 Azure 虛擬桌面 Azure 網路的內部部署網路
    • 路由至 Azure 虛擬桌面 Azure 虛擬網路的用戶端 VPN 連線
  • 您必須透過專用網限制 VM 主機的頻寬使用量,例如 VPN 或 ExpressRoute。
  • 您想要排定網路上 Azure 虛擬桌面流量的優先順序。
  • 您不需要 Azure 虛擬網路與其他 Azure 虛擬網路之間的流量檢查。
  • 您不需要 Azure 虛擬網路與內部部署資料中心之間的流量檢查。
  • 您有預先存在的 AD DS 或 DNS 自訂伺服器。

架構元件

您可以使用下列項目來實作此案例:

  • ExpressRoute 或 VPN 虛擬網路閘道,可透過足夠的頻寬連線到內部部署環境。
  • AD DS 伺服器和自定義 DNS 伺服器。
  • 網路安全性群組。
  • 透過預設 Azure 虛擬網路路徑的輸出因特網。
  • 網域組策略物件 (GPO) 或本機 GPO。
  • Azure 檔案儲存體記憶體帳戶。
  • Azure 私人端點。
  • Azure 私人 DNS 區域。

針對專用網使用 RDP Shortpath 之案例的架構圖表。

考量

  • 混合式連線必須透過 VPN 或 ExpressRoute 使用 RDP 用戶端直接網路連線到埠 3390 上的私人 VM 主機。

注意

針對受控網路,可以變更預設UDP埠。

  • 網域 GPO 或本機 GPO 必須用來 透過受控網路啟用 UDP
  • 混合式連線必須有足夠的頻寬,才能允許對 VM 主機的 UDP 直接連線。
  • 混合式連線必須具有直接路由,才能允許連線到 VM 主機。
  • 使用公用端點的 Azure 虛擬桌面控制平面閘道會管理客戶端連線。 因此,Azure 虛擬桌面用戶端可以建立所需的 Azure 虛擬桌面 URL 的輸出連線。 如需必要 URL 的詳細資訊,請參閱 本文的因特網 一節和 Azure 虛擬桌面的必要 URL。
  • 不需要公用IP位址或其他會話主機的公用輸入路徑。 從用戶端到會話主機的流量會流經 Azure 虛擬桌面控制平面閘道。
  • 來自 Azure 虛擬桌面工作階段主機的輸出因特網聯機會經過預設的 Azure 輸出 NAT 程式。 會使用動態 Azure 公用 IP 位址。 客戶無法控制所使用的輸出公用IP位址。
  • 使用私人端點建立從會話主機到 Azure 檔案儲存體 記憶體帳戶的連線。
  • Azure 私人 DNS 區域可用來解析私人端點命名空間。
  • 此案例不會強制執行網路篩選。 但網路安全組會放在所有子網上,讓您可以監視流量並衍生深入解析。 在 網路監看員 中,使用分析與網路安全組流量記錄功能用於這些用途。

注意

目前,Azure 虛擬桌面不支援同時使用 Private Link 和 RDP Shortpath。

案例 3:使用 RDP Shortpath 與公用網路的中樞和輪輻

如需詳細的部署指引,請參閱 公用網路的 RDP 簡短路徑連線。

客戶設定檔

如果:

  • 您的 Azure 虛擬桌面用戶端聯機會周遊公用因特網。 一般案例包括來自家庭的工作使用者、未連線到公司網路的遠端分公司使用者,以及遠端承包商使用者。
  • 您有與 Azure 虛擬桌面工作階段主機的高延遲或低頻寬連線。
  • 您必須透過 QoS 網路原則限制 Azure 虛擬桌面會話主機的頻寬使用量。
  • 您想要透過 QoS 原則排定網路上 Azure 虛擬桌面流量的優先順序。
  • 用戶端 RDP 聯機會從網路開始,頻寬和速度不一致。
  • 您有來自 Azure 虛擬桌面工作階段主機的直接輸出連線。 您不會透過內部部署網路使用強制信道路由。
  • 您不需要 Azure 虛擬網路與其他 Azure 虛擬網路之間的流量檢查。
  • 您不需要 Azure 虛擬網路與內部部署資料中心之間的流量檢查。
  • 您有預先存在的 AD DS 或 DNS 自訂伺服器。

架構元件

您可以使用下列項目來實作此案例:

  • ExpressRoute 或 VPN 虛擬網路閘道,可對內部部署環境進行混合式連線。 當有足夠的頻寬可支援內部部署應用程式、數據或 AD DS 連線的連線時,此設定是適當的。 我們不建議使用強制通道,透過內部部署路由器傳送 Azure 虛擬桌面流量。
  • AD DS 伺服器和自定義 DNS 伺服器。
  • 網路安全性群組。
  • 網路監看員。
  • 透過預設 Azure 虛擬網路路徑的輸出因特網。
  • 網域 GPO 或本機 GPO。
  • Azure 檔案儲存體記憶體帳戶。
  • Azure 私人端點。
  • Azure 私人 DNS 區域。

公用網路使用 RDP Shortpath 之案例的架構圖表。

考量

  • 允許下列型態的連線:

    • 從 Azure 虛擬桌面會話主機輸出 UDP 連線到埠 3478 上的 Azure 虛擬桌面會話周遊公用程式 (STUN) 和周遊使用轉送 NAT (TURN) 服務
    • 埠範圍 49152–65535 中的 RDP 用戶端的 UDP 連線

    默認會開啟設定這些連線的設定,並維持與傳輸控制通訊協定 (TCP) 反向連線相同的加密層級。 如需限制 RDP 用戶端埠範圍的資訊,請參閱 使用公用網路的 RDP Shortpath 時限制埠範圍。

  • 使用公用端點的 Azure 虛擬桌面控制平面閘道會管理客戶端連線。 因此,Azure 虛擬桌面用戶端可以建立所需的 Azure 虛擬桌面 URL 的輸出連線。 如需必要 URL 的詳細資訊,請參閱 本文的因特網 一節和 Azure 虛擬桌面的必要 URL。

  • 通常位於家庭用戶網路中的取用者路由器應該已啟用通用 隨插即用(UPnP)。

  • 不需要公用IP位址或其他會話主機的公用輸入路徑。 從用戶端到會話主機的流量會流經 Azure 虛擬桌面控制平面閘道。

  • 來自 Azure 虛擬桌面工作階段主機的輸出因特網聯機會經過預設的 Azure 輸出 NAT 程式。 會使用動態 Azure 公用 IP 位址。 客戶無法控制所使用的輸出公用IP位址。

  • 您必須在工作階段主機上設定區分的服務代碼點 (DSCP) 標記。 使用此組態的本機 GPO 或網域 GPO。 當您使用 DSCP 標記時,網路裝置可以針對 Azure 虛擬桌面流量套用 QoS 原則。 如需詳細資訊,請參閱 實作 Azure 虛擬桌面的服務品質 (QoS)。

  • 使用私人端點建立從會話主機到 Azure 檔案儲存體 記憶體帳戶的連線。

  • Azure 私人 DNS 區域可用來解析私人端點命名空間。

  • 此案例不會強制執行網路篩選。 但網路安全組會放在所有子網上,讓您可以監視流量並衍生深入解析。 在 網路監看員 中,使用分析及網路安全組流量記錄功能會用於這些用途。

一般設計考慮和建議

下列各節提供 Azure 虛擬桌面網路拓撲和連線的一般設計考慮和建議。

中樞和輪輻與虛擬 WAN 網路拓撲

虛擬 WAN 支援 VPN 與 ExpressRoute 之間的傳輸連線,但不支援中樞和輪輻拓撲。

識別服務

Azure 虛擬桌面會話主機中身分識別服務的連線需求取決於身分識別模型。

  • 針對已加入網域服務的 vm Microsoft:Azure 虛擬網路必須能夠連線到裝載身分識別服務的網路。
  • 針對 已加入Microsoft項目標識符的 VM:Azure 虛擬桌面會話主機會建立連出連線至Microsoft Entra ID 公用端點。 因此,不需要私人連線設定。

DNS

Azure 虛擬桌面會話主機的名稱解析需求與任何其他基礎結構即服務 (IaaS) 工作負載相同。 因此,需要連線到自定義 DNS 伺服器,或透過虛擬網路連結存取 Azure 私人 DNS 區域。 需要額外的 Azure 私人 DNS 區域,才能裝載特定平臺即服務的私人端點命名空間(PaaS)服務,例如記憶體帳戶和密鑰管理服務。

如需詳細資訊,請參閱 Azure 私人端點 DNS 組態

為了方便使用者 Azure 虛擬桌面用戶端設定,包括遠端桌面服務 (RDS) 摘要的訂用帳戶,最好設定電子郵件探索。 您必須在公用 DNS 網域中設定電子郵件探索,然後訂閱 RDS 摘要。 如需詳細資訊,請參閱 設定電子郵件探索以訂閱 RDS 摘要

帶寬和延遲

Azure 虛擬桌面使用 RDP。 若要深入瞭解 RDP,請參閱 遠端桌面通訊協定 (RDP) 頻寬需求

線上延遲會根據使用者和 VM 的位置而有所不同。 Azure 虛擬桌面服務會持續推出至新的地理位置,以改善延遲。 若要將 Azure 虛擬桌面用戶端體驗的延遲降到最低,請使用 Azure 虛擬桌面體驗估算器。 此工具提供來自用戶端的來回時間 (RTT) 範例。 您可以使用這項資訊,將會話主機放在最接近使用者且具有最低 RTT 的區域。 如需解譯估算器工具結果的相關信息,請參閱 分析 Azure 虛擬桌面中的連線品質。

具有 RDP Shortpath 的 QoS

受控網路的 RDP Shortpath 提供遠端桌面用戶端與會話主機之間的直接 UDP 型傳輸。 受控網路的 RDP Shortpath 提供一種方式來設定 RDP 數據的 QoS 原則。 Azure 虛擬桌面中的 QoS 允許對網路延遲敏感的即時 RDP 流量,以在較不敏感的流量前面「內嵌」。

您可以使用兩種方式使用 RDP Shortpath:

  • 受控網路中,當您使用私人連線時,會在用戶端與會話主機之間建立直接連線,例如 ExpressRoute 連線或 VPN。
  • 公用網路中,當您使用公用連線時,會在用戶端與會話主機之間建立直接連線。 公用連線的範例包括家庭網路、咖啡店網路和旅館網路。 當您使用公用連線時,有兩種可能的連線類型:

    • 用戶端與使用 STUN 通訊協定的會話主機之間的直接 UDP 連線

    • 間接 UDP 連線 ,使用 TURN 通訊協定與 RDP 用戶端與會話主機之間的轉接。 如果閘道或路由器不允許直接 UDP 連線,則會使用此選項。

      注意

      搭配適用於 Azure 虛擬桌面的 TURN 使用公用網路的 RDP Shortpath 目前為預覽狀態。 如需詳細資訊,請參閱 Azure 虛擬桌面的 RDP Shortpath。

RDP 路徑會擴充 RDP 多重傳輸功能。 其不會取代反向連線傳輸,而是進行補充。

初始會話代理會透過 Azure 虛擬桌面服務和以 TCP 為基礎的反向連線傳輸來管理。 除非所有連線嘗試首先符合反向連線工作階段,否則系統會忽略這些連線嘗試。

RDP Shortpath 是 UDP 型的,會在驗證之後建立。 如果已成功建立 RDP Shortpath,則會卸除反向連線傳輸。 然後,所有流量都會流過本節稍早列出的其中一個 RDP Shortpath 方法。

如需詳細資訊,請參閱 實作 Azure 虛擬桌面的服務品質 (QoS)。

網際網路

Azure 虛擬桌面計算資源和用戶端需要存取特定的公用端點,因此他們需要因特網系結連線。 符合 Azure 虛擬桌面需求時,支持網路案例,例如強制通道來增強安全性和篩選。

若要瞭解 Azure 虛擬桌面會話主機和用戶端裝置的需求,請參閱 Azure 虛擬桌面的必要 URL。

埠和通訊協定需求

Azure 虛擬桌面連線模型會使用下列埠和通訊協定:

商務持續性和災害復原

針對商務持續性和災害復原,需要特定的網路設定。 具體來說,若要將資源部署到目標環境,請使用下列其中一個設定:

  • 與來源環境上功能相同的網路設定
  • 具有身分識別和 DNS 服務連線的網路設定

下一步

瞭解 Azure 虛擬桌面企業級案例的資源組織。

資源組織