Azure Private Link 與 Azure 虛擬桌面

  • 發行項

您可以使用 Azure Private Link 搭配 Azure 虛擬桌面私下連線到您的遠端資源。 藉由建立 私人端點,虛擬網路與服務之間的流量會保留在 Microsoft 網路上,因此您不再需要將服務公開至公用因特網。 您也可以使用 VPN 或 ExpressRoute 讓使用者使用遠端桌面用戶端來連線到虛擬網路。 讓 Microsoft 網路內的流量提高安全性,並保護您的數據安全。 本文說明 Private Link 如何協助您保護 Azure 虛擬桌面環境。

Azure 虛擬桌面有三個工作流程,其中包含三種對應的私人端點資源類型:

  1. 初始摘要探索:可讓用戶端探索指派給使用者的所有工作區。 若要啟用此程式,您必須將全域子資源的單一私人端點建立至任何工作區。 不過,您只能在整個 Azure 虛擬桌面部署中建立一個私人端點。 此端點會為初始摘要探索所需的全域完整功能變數名稱 (FQDN) 建立功能變數名稱系統 (DNS) 專案和私人IP路由。 此聯機會變成可供所有用戶端使用的單一共用路由。

  2. 摘要下載:用戶端會針對裝載其應用程式群組的工作區,下載特定使用者的所有連線詳細數據。 您可以為每個想要搭配 Private Link 使用的工作區, 建立摘要 子資源的私人端點。

  3. 主機集區的 連線:主機集區的每個連線都有兩端 - 用戶端和會話主機虛擬機 (VM)。 若要啟用連線,您必須為 您想要搭配 Private Link 使用的每個主機集區,建立連線 子資源的私人端點。

下列高階圖表顯示 Private Link 如何安全地將本機用戶端連線至 Azure 虛擬桌面服務。 如需用戶端連線的詳細資訊,請參閱 用戶端連接順序

顯示將本機用戶端連線至 Azure 虛擬桌面服務的私人連結的高階圖表。

支援的案例

使用 Azure 虛擬桌面新增 Private Link 時,您有下列支援的案例可連線到 Azure 虛擬桌面。 視您的需求而定,每個都可以啟用或停用。 您可以跨網路拓撲共用這些私人端點,也可以隔離虛擬網路,讓每個端點都有自己的私人端點到主機集區或工作區。

  1. 用戶端和會話主機 VM 都使用私人路由。 您需要下列私人端點:

    目的 資源類型 目標子資源 端點數量
    主機集區的 連線 Microsoft.DesktopVirtualization/hostpools connection 每個主機集區一個
    摘要下載 Microsoft.DesktopVirtualization/workspaces 摘要 每個工作區一個
    初始摘要探索 Microsoft.DesktopVirtualization/workspaces 全域 所有 Azure 虛擬桌面部署都只有一個

  2. 用戶端會在會話主機 VM 使用私人路由時使用公用路由。 您需要下列私人端點。 不需要工作區的端點。

    目的 資源類型 目標子資源 端點數量
    主機集區的 連線 Microsoft.DesktopVirtualization/hostpools connection 每個主機集區一個

  3. 用戶端和會話主機 VM 都使用公用路由。 此案例中不會使用 Private Link。

對於工作區的連線,除了用於初始摘要探索的工作區(全域子資源),下表詳述每個案例的結果:

組態 結果
從所有網路啟用的公用存取 允許來自公用路由的工作區摘要要求

允許從私人路由傳送工作區摘要要求
從所有網路停用公用存取 工作區摘要要求遭到公用路由拒絕

允許從私人路由傳送工作區摘要要求

使用 反向連線傳輸時,主機集區的連線有兩個網路連線:閘道的用戶端,以及網關的會話主機。 除了啟用或停用這兩個連線的公用存取之外,您也可以選擇為連線到閘道的客戶端啟用公用存取,並且只允許連線到網關的會話主機進行私人存取。 下表詳細說明每個案例的結果:

組態 結果
從所有網路啟用的公用存取 當用戶端或會話主機使用公用路由時,允許遠端會話

當用戶端或會話主機使用私人路由時,允許遠端會話
從所有網路停用公用存取 當用戶端或工作階段主機使用公用路由時,遠端工作階段會遭到拒絕

當用戶端和會話主機都使用私人路由時,允許遠端會話
針對用戶端網路啟用公用存取,但已針對會話主機網路停用 如果會話主機使用公用路由,無論用戶端使用的路由為何,遠端會話都會遭到拒絕。

只要會話主機使用私人路由,就允許遠端會話,無論用戶端使用的路由為何。

重要

  • 任何工作區之全域子資源的私人端點會控制初始摘要探索的共用完整功能變數名稱 (FQDN)。 這接著會啟用所有工作區的摘要探索。 由於連線到私人端點的工作區如此重要,因此刪除會導致所有摘要探索程式停止運作。 建議您為全域子資源建立未使用的佔位元元工作區。

  • 您無法控制用於初始摘要探索的工作區存取權(全域子資源)。 如果您將此工作區設定為只允許私人存取,則會忽略設定。 此工作區一律可從公用路由存取。

  • 如果您想要將來自使用者用戶端裝置或會話主機 VM 的網路埠限制為私人端點,您必須使用 連線 子資源,允許整個 TCP 動態埠範圍 1 - 65535 到主機集區資源的私人端點的流量。 需要整個 TCP 動態埠範圍,因為埠對應會透過對應 至連線 子資源的單一私人端點 IP 位址,用於所有全域網關。 如果您將埠限制為私人端點,您的使用者可能無法成功連線到 Azure 虛擬桌面。

用戶端連線序列

當使用者透過 Private Link 連線到 Azure 虛擬桌面,且 Azure 虛擬桌面設定為只允許來自私人路由的用戶端連線時,聯機順序如下所示:

  1. 透過支援的用戶端,使用者訂閱工作區。 用戶的裝置會查詢 DNS 以取得位址 rdweb.wvd.microsoft.com (或其他 Azure 環境的對應位址)。

  2. privatelink-global.wvd.microsoft.com 的私人 DNS 區域會傳回初始摘要探索的私人IP位址(全域子資源)。

  3. 針對摘要中的每個工作區,會針對位址 <workspaceId>.privatelink.wvd.microsoft.com進行 DNS 查詢。

  4. privatelink.wvd.microsoft.com 的私人 DNS 區域會傳回工作區摘要下載的私人 IP 位址,並使用 TCP 連接埠 443 下載摘要。

  5. 聯機到遠端會話時, .rdp 來自工作區摘要下載的檔案包含 Azure 虛擬桌面閘道服務的位址,且使用者裝置的延遲最低。 DNS 查詢會以 格式 <hostpooId>.afdfp-rdgateway.wvd.microsoft.com對地址進行。

  6. privatelink.wvd.microsoft.com 的私人 DNS 區域會傳回 Azure 虛擬桌面閘道服務的私人 IP 位址,以用於提供遠端會話的主機集區。 透過虛擬網路和私人端點的協調流程會使用 TCP 連接埠 443。

  7. 在協調流程之後,用戶端、Azure 虛擬桌面閘道服務和會話主機之間的網路流量會傳輸至 TCP 動態埠範圍 1 - 65535 中的埠。 需要整個埠範圍,因為埠對應是透過對應 至連線 子資源的單一私人端點IP位址,用於所有全域閘道。 Azure 專用網會在內部將這些埠對應至客戶端協調流程期間選取的適當網關。

已知問題與限制

與 Azure 虛擬桌面的 Private Link 有下列限制:

  • 在針對 Azure 虛擬桌面使用 Private Link 之前,您需要 在您想要使用 Azure 虛擬桌面 的私人連結的每個 Azure 訂用帳戶上啟用 Private Link 與 Azure 虛擬桌面。

  • 連線到 Azure 虛擬桌面的所有遠端桌面用戶端都可以與 Private Link 搭配使用。 如果您在沒有因特網存取的專用網上使用適用於 Windows遠端桌面用戶端,而且您同時訂閱公用和私人摘要,則無法存取您的摘要。

  • 將私人端點變更為主機集區之後,您必須重新啟動 主機集區中每個會話主機上的遠端桌面代理程式載入器RDAgentBootLoader) 服務。 每當變更主機集區的網路設定時,您也需要重新啟動此服務。 您可以重新啟動每個會話主機,而不是重新啟動服務。

  • 使用 Private Link 和 RDP Shortpath 有下列限制:

  • 在預覽私人連結與 Azure 虛擬桌面之前,初始摘要探索的私人端點(適用於 全域 子資源)與工作區和主機集區的其他私人端點共用的私人 DNS 區域名稱 privatelink.wvd.microsoft.com 。 在此設定中,用戶無法針對主機集區和工作區專用建立私人端點。 從 2023 年 9 月 1 日起,將不再支援在此設定中共用私人 DNS 區域。 您必須為 全域 子資源建立新的私人端點,才能使用 的私人 privatelink-global.wvd.microsoft.comDNS 區域名稱。 如需執行這項操作的步驟,請參閱 初始摘要探索

下一步