与 Azure 虚拟桌面的 Azure 专用链接

可以使用与 Azure 虚拟桌面的 Azure 专用链接，以专用方式连接到远程资源。 通过创建专用终结点，虚拟网络与服务之间的流量将保留在 Azure 网络上，因此你不再需要将服务公开到公共 Internet。 还可以使用 VPN 或 ExpressRoute，让用户通过远程桌面客户端连接到虚拟网络。 将流量保持在 Azure 网络中可以提高安全性并保护数据安全。 本文介绍专用链接如何帮助你保护 Azure 虚拟桌面环境。

专用链接如何与 Azure 虚拟桌面配合使用？

Azure 虚拟桌面有三个工作流，其中包含配合专用终结点使用的三种相应的资源类型。 这些工作流是：

1. 初始源发现：允许客户端发现分配给用户的所有工作区。 若要启用此流程，必须为任何工作区的全局子资源创建单个专用终结点。 但是，只能在整个 Azure 虚拟桌面部署中创建一个专用终结点。 此终结点为初始源发现所需的全局完全限定域名 (FQDN) 创建域名系统 (DNS) 条目和专用 IP 路由。 此连接成为供所有客户端使用的单个共享路由。

2. 源下载：客户端为托管其应用程序组的工作区下载特定用户的所有连接详细信息。 为要用于专用链接的每个工作区的源子资源创建专用终结点。

3. 与主机池的连接：与主机池的每个连接都有两个端 - 客户端和会话主机。 你需要为每个要配合专用链接使用的主机池的连接子资源创建专用终结点。

下图概要显示了专用链接如何将本地客户端安全地连接到 Azure 虚拟桌面服务。 有关客户端连接的更详细信息，请参阅客户端连接序列。

支持的方案

使用 Azure 虚拟桌面添加专用链接时，可以通过以下受支持的方案来连接到 Azure 虚拟桌面。 你选择的方案取决于你的要求。 可以跨网络拓扑共享这些专用终结点，也可以隔离虚拟网络，以便每个虚拟网络都有自己的主机池或工作区专用终结点。

1. 连接的所有部分（初始源发现、源下载以及客户端和会话主机的远程会话连接）都使用专用路由。 需要以下专用终结点：

   目的	资源类型	目标子资源	终结点数量
   与主机池的连接	Microsoft.DesktopVirtualization/hostpools	连接	每个主机池一个终结点
   源下载	Microsoft.DesktopVirtualization/workspaces	feed	每个工作区一个终结点
   初始源发现	Microsoft.DesktopVirtualization/workspaces	全局	仅需一个，可用于你的所有 Azure 虚拟桌面部署

2. 客户端和会话主机的源下载和远程会话连接使用专用路由，但初始源发现使用公共路由。 需要以下专用终结点。 初始源发现的终结点不是必需的。

   目的	资源类型	目标子资源	终结点数量
   与主机池的连接	Microsoft.DesktopVirtualization/hostpools	连接	每个主机池一个终结点
   源下载	Microsoft.DesktopVirtualization/workspaces	feed	每个工作区一个终结点

3. 仅客户端和会话主机的远程会话连接使用专用路由，而初始源发现和源下载使用公共路由。 需要以下专用终结点。 不需要工作区的终结点。

   目的	资源类型	目标子资源	终结点数量
   与主机池的连接	Microsoft.DesktopVirtualization/hostpools	连接	每个主机池一个终结点

4. 客户端和会话主机 VM 都使用公共路由。 此方案中不使用专用链接。

配置结果

在相关的 Azure 虚拟桌面工作区和主机池上配置设置，以设置公共或专用访问。 对于与工作区的连接，除了用于初始源发现（全局子资源）的工作区外，下表详细介绍了其他每种方案的结果：

反向连接传输时，有两个网络连接用于连接到主机池：客户端到网关，以及会话主机到网关。 除了为这两个连接启用或禁用公共访问之外，还可选择为连接到网关的客户端启用公共访问，并且仅允许连接到网关的会话主机进行专用访问。 下表详细介绍了每种方案的结果：

客户端连接顺序

当用户通过专用链接连接到 Azure 虚拟桌面，并且 Azure 虚拟桌面配置为仅允许来自专用路由的客户端连接时，连接顺序如下所示：

1. 用户使用受支持的客户端订阅工作区。 用户的设备查询 DNS 来获取 rdweb.wvd.azure.cn 地址（或其他 Azure 环境的相应地址）。

2. 你为 privatelink-global.wvd.azure.cn 的专用 DNS 区域返回初始源发现（全局子资源）的专用 IP 地址。 如果未使用专用终结点进行初始源发现，则会返回公共 IP 地址。

3. 对于源中的每个工作区，会为 <workspaceId>.privatelink.wvd.azure.cn 地址创建 DNS 查询。

4. 你的 privatelink.wvd.azure.cn 专用 DNS 区域返回工作区源下载的专用 IP 地址，并使用 TCP 端口 443 下载源。

5. 连接到远程会话时，来自工作区馈送下载的 .rdp 文件包含用户设备延迟最低的 Azure 虚拟桌面网关服务的地址。 DNS 查询采用 <hostpooId>.afdfp-rdgateway.wvd.azure.cn 格式的地址。

6. 你为 privatelink.wvd.azure.cn 的专用 DNS 区域返回 Azure 虚拟桌面网关服务的专用 IP 地址，以用于提供远程会话的主机池。 通过虚拟网络和专用终结点的编排使用 TCP 端口 443。

7. 在编排之后，客户端、Azure 虚拟桌面网关服务和会话主机之间的网络流量将传输到 TCP 动态端口范围 1 - 65535 中的一个端口。

已知问题和限制

与 Azure 虚拟桌面的专用链接具有以下限制：

• 在对 Azure 虚拟桌面使用专用链接之前，需要在要与 Azure 虚拟桌面建立专用链接的每个 Azure 订阅上启用与 Azure 虚拟桌面的专用链接。

• 连接到 Azure 虚拟桌面的所有远程桌面客户端都可以与专用链接一起使用。 如果在没有 Internet 访问权限的专用网络上使用适用于 Windows 的远程桌面客户端，并且同时订阅了公共源和专用源，则无法访问源。

• 将专用终结点更改为主机池后，必须在主机池中的每个会话主机上重启远程桌面代理加载程序 (RDAgentBootLoader) 服务。 每次更改主机池的网络配置时，都需要重启此服务。 可以重启每个会话主机，而不是重启服务。

• 不支持同时使用专用链接和针对托管网络的 RDP 短路径，但它们可以协同工作。 你可以使用专用链接和针对托管网络的 RDP 短路径，但需自行承担风险。 专用链接不支持使用 STUN 或 TURN 的所有其他 RDP 短路径选项。

• 在 Azure 虚拟桌面专用链接预览版的早期，初始源发现（针对全局子资源）的专用终结点与工作区和主机池的其他专用终结点共享 privatelink.wvd.azure.cn 的专用 DNS 区域名称。 在此配置中，用户无法专门为主机池和工作区创建专用终结点。 从 2023 年 9 月 1 日开始，不再支持在此配置中共享专用 DNS 区域。 需要为全局子资源创建新的专用终结点，才能使用 privatelink-global.wvd.azure.cn 的专用 DNS 区域名称。 有关执行此操作的步骤，请参阅初始源发现。

后续步骤

• 了解如何设置与 Azure 虚拟桌面的专用链接。
• 请参阅专用链接 DNS 集成了解如何配置 Azure 专用终结点 DNS。
• 有关专用链接的常规故障排除指南，请参阅排查 Azure 专用终结点连接问题。
• 了解 Azure 虚拟桌面网络连接性。
• 请查看所需 URL 列表获取需要阻止的 URL 列表，以便确保对 Azure 虚拟桌面服务进行网络访问。