Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
可以将 Azure Private Link 与 Azure Virtual Desktop 私下连接到远程资源。 通过创建 专用终结点,虚拟网络和服务之间的流量将保留在Microsoft网络上,因此不再需要向公共 Internet 公开服务。 还可以通过 Remote Desktop 客户端为用户使用 VPN 或 ExpressRoute 连接到虚拟网络。 将流量保留在 Microsoft 网络中可以提高安全性,并保证数据安全。 本文介绍如何Private Link帮助你保护Azure Virtual Desktop环境。
Private Link 如何与 Azure 虚拟桌面一起工作?
Azure 虚拟桌面拥有三个工作流,以及三种相应的资源类型,用于私有终结点。 这些工作流是:
初始信息流发现:使客户端能够发现分配给用户的所有工作区。 若要启用此过程,必须创建一个指向任何工作区的全局子资源的单个专用终结点。 但是,您只能在整个 Azure Virtual Desktop 部署中创建一个专用终结点。 此终结点为初始源发现所需的全局完全限定域名 (FQDN) 创建域名系统 (DNS) 条目和专用 IP 路由。 此连接成为供所有客户端使用的单个共享路由。
源下载:客户端下载托管其应用程序组的工作区的特定用户的所有连接详细信息。 为要用于Private Link的每个工作区创建馈送子资源的专用终结点。
到主机池的连接:与主机池的每个连接都有两端 - 客户端和会话主机。 需要为每个要与 Private Link 一起使用的主机池创建连接子资源的专用终结点。
以下高级关系图显示了如何Private Link将本地客户端安全地连接到Azure Virtual Desktop服务。 有关客户端连接的更多详细信息,请参阅 客户端连接序列。
支持的方案
使用Azure Virtual Desktop添加Private Link时,可使用以下受支持的方案连接到Azure Virtual Desktop。 你选择的方案取决于你的要求。 可以跨网络拓扑共享这些专用终结点,也可以隔离虚拟网络,以便每个虚拟网络都有自己的主机池或工作区专用终结点。
连接的所有部分(初始源发现、源下载以及客户端和会话主机的远程会话连接)都使用专用路由。 需要以下专用终结点:
目的 资源类型 目标子资源 终结点数量 与主机池的连接 Microsoft.DesktopVirtualization/hostpools 连接 每个主机池一个 提要下载 Microsoft.DesktopVirtualization/workspaces 信息提要 每个工作区一个 初始源发现 Microsoft.DesktopVirtualization/workspaces 全局 只需一个即可满足您所有 Azure Virtual Desktop 部署的需求 客户端和会话主机的馈送下载与远程会话连接使用专用路由,而初始馈送发现使用公共路由。 需要以下专用终结点。 初始源发现的终结点不是必需的。
目的 资源类型 目标子资源 终结点数量 与主机池的连接 Microsoft.DesktopVirtualization/hostpools 连接 每个主机池一个 提要下载 Microsoft.DesktopVirtualization/workspaces 信息提要 每个工作区一个 仅客户端和会话主机的远程会话连接使用专用路由,而初始源发现和源下载使用公共路由。 你需要以下私有终结点。 不需要工作区的终结点。
目的 资源类型 目标子资源 终结点数量 与主机池的连接 Microsoft.DesktopVirtualization/hostpools 连接 每个主机池一个 客户端和会话主机 VM 都使用公共路由。 此方案中未使用Private Link。
重要
如果为初始源发现创建专用终结点,则用于全局子资源的工作区会控制共享的完全限定的域名 (FQDN),从而促进所有工作区中的初始源发现。 应该创建一个单独的工作区,该工作区仅用于此目的,没有任何应用程序组注册到其中。 删除此工作区会导致所有源发现过程停止工作。
无法控制对用于初始内容流发现(全局子资源)的工作空间的访问。 如果将此工作区配置为仅允许专用访问,则会忽略该设置。 始终可从公共路由访问此工作区。
随着 IP 地址需求的增加,IP 地址分配可能会发生变化。 在容量扩展期间,专用终结点需要额外的地址。 务必考虑潜在的地址空间耗尽,并确保有足够的空余空间进行增长。 有关确定中心或辐射拓扑中专用终结点的合适网络配置的更多信息,请参阅用于专用链接部署的决策树。
配置结果
在相关Azure Virtual Desktop工作区和主机池上配置设置,以设置公共或专用访问。 对于与工作区的连接,除了用于初始源发现(全局子资源)的工作区外,下表详细介绍了其他每种方案的结果:
| 配置 | 结果 |
|---|---|
| 从所有网络公共访问启用 | 允许来自公共路由的工作区源请求。 允许来自专用路由的工作区源请求。 |
| 已禁用来自所有网络的公共访问 |
工作区请求在公共路由上被拒绝。 允许工作区信息流请求来自专用路由。 |
使用 反向连接传输,到主机池的连接有两个网络连接:客户端到网关和会话主机到网关。 除了为这两个连接启用或禁用公共访问之外,还可选择为连接到网关的客户端启用公共访问,并且仅允许连接到网关的会话主机进行专用访问。 下表详细介绍了每种方案的结果:
| 配置 | 结果 |
|---|---|
| 公共访问已从所有网络启用 | 当客户端或会话主机使用公共路由时,允许远程会话。 当客户端或会话主机使用专用路由时,允许远程会话。 |
| 已禁用所有网络的公共访问 | 当客户端或会话主机使用公共路由时,远程会话被拒绝。 当客户端和会话主机都使用专用路由时,允许远程会话。 |
| 为客户端网络 启用了 公共访问,但为会话主机网络 禁用了 公共访问 | 如果会话主机使用公共路由,则远程会话被拒绝,而不管客户端使用的路由如何。 只要会话主机使用专用路由,无论客户端使用的路由如何,都允许远程会话。 |
客户端连接顺序
当用户通过Private Link连接到Azure Virtual Desktop,并且Azure Virtual Desktop配置为仅允许来自专用路由的客户端连接时,连接顺序如下所示:
用户使用受支持的客户端订阅工作区。 用户的设备查询 DNS 以获取地址
rdweb.wvd.azure.cn(或其他Azure环境的相应地址)。你为 privatelink-global.wvd.azure.cn 的专用 DNS 区返回初始数据源发现(全局子资源)的专用 IP 地址。 如果未使用专用终结点进行初始源发现,则会返回公共 IP 地址。
对于每个流中的工作区,都会进行 DNS 查询以获取地址
<workspaceId>.privatelink.wvd.azure.cn。你专用 DNS 区域 privatelink.wvd.azure.cn 返回工作区订阅源下载的专用 IP 地址,并使用 TCP 端口 443 下载订阅源。
连接到远程会话时,来自工作区源下载的
.rdp文件包含用户设备延迟最低的Azure Virtual Desktop网关服务的地址。 对格式<hostpoolId>.afdfp-rdgateway.wvd.azure.cn为 的地址进行 DNS 查询。privatelink.wvd.azure.cn 的专用 DNS 区域返回专用 IP 地址,该地址供 Azure Virtual Desktop 网关服务使用,以为提供远程会话的主机池提供服务。 通过虚拟网络和专用终结点的编排使用 TCP 端口 443。
在编排完成后,客户端、Azure Virtual Desktop 网关服务和会话主机之间的网络流量会转移到 TCP 动态端口范围为 1 到 65535 的端口。
重要
如果打算将网络端口从用户客户端设备或会话主机 VM 限制为专用终结点,则需要使用 连接 子资源允许跨整个 TCP 动态端口范围 1 - 65535 的流量到主机池资源的专用终结点。 需要整个 TCP 动态端口范围,因为Azure专用网络内部将这些端口映射到客户端业务流程期间选择的相应网关。 如果将端口限制到专用终结点,则用户可能无法连接到Azure Virtual Desktop。
已知问题和限制
Azure Virtual Desktop Private Link具有以下限制:
在使用 Azure Virtual Desktop 的专用链接之前,您需要在每个要与 Azure Virtual Desktop 连接的 Azure 订阅上启用专用链接。
所有Remote Desktop 客户端连接到 Azure Virtual Desktop都可以与 Private Link 一起使用。 如果在无网络连接的专用网络上使用针对 Windows 的 Remote Desktop 客户端,并且您订阅了公共源和私有源,则无法访问您的源。
将专用终结点更改为主机池后,必须在主机池中的每个会话主机上重启 Remote Desktop Agent Loader (RDAgentBootLoader) 服务。 每次更改主机池的网络配置时,都需要重启此服务。 可以重启每个单独的会话主机,而不是重启整个服务。
在 Azure Virtual Desktop 的 Private Link 预览版早期阶段,初始 feed 发现(针对 global 子资源)的专用终结点与工作区和主机池的其他专用终结点共享了
privatelink.wvd.azure.cn的专用 DNS 区域名称。 在此配置中,用户无法专门为主机池和工作区创建专用终结点。 从 2023 年 9 月 1 日开始,不再支持在此配置中共享专用 DNS 区域。 需要为 全局 子资源创建新的专用终结点,以便使用privatelink-global.wvd.azure.cn的专用 DNS 区域名称。 有关执行此作的步骤,请参阅 初始源发现。
后续步骤
- 了解如何设置 Azure Virtual Desktop 的 Private Link。
- 在 Private Link DNS 集成中了解如何配置 Azure 专用终结点 DNS。
- 有关Private Link的常规故障排除指南,请参阅 Troubleshoot Azure 专用终结点连接问题。
- 了解 Azure Virtual Desktop 网络连接。
- 有关需要取消阻止的 URL 列表,请参阅 Required URL 列表以确保对Azure Virtual Desktop服务的网络访问。