Planeamiento e implementación de una solución de Azure Private Link para Azure Virtual Desktop

  • 5 minutos

Puede usar Azure Private Link con Azure Virtual Desktop para conectarse de forma privada a los recursos remotos. Al crear un punto de conexión privado, el tráfico entre la red virtual y el servicio permanece en la red de Microsoft, por lo que ya no es necesario exponer el servicio a la red pública de Internet. También se usa una VPN o ExpressRoute para los usuarios con el cliente de Escritorio remoto para conectarse a la red virtual. Mantener el tráfico dentro de la red de Microsoft mejora la seguridad y mantiene los datos seguros.

En esta unidad se describe cómo Private Link puede ayudarle a proteger el entorno de Azure Virtual Desktop.

Azure Virtual Desktop tiene tres flujos de trabajo con tres tipos de recursos correspondientes de puntos de conexión privados. Estos flujos de trabajo son:

  • Detección inicial de fuentes: permite al cliente detectar todas las áreas de trabajo asignadas a un usuario. Para habilitar este proceso, debe crear un único punto de conexión privado en el subrecurso global de cualquier área de trabajo. Sin embargo, solo puedes crear un punto de conexión privado en toda la implementación de Azure Virtual Desktop. Este punto de conexión crea entradas del Sistema de nombres de dominio (DNS) y rutas IP privadas para el nombre de dominio completo (FQDN) global necesario para la detección inicial de fuentes. Esta conexión se convierte en una única ruta compartida para que todos los clientes los usen.
  • Descarga de fuentes: el cliente descarga todos los detalles de conexión de un usuario específico para las áreas de trabajo que hospedan sus grupos de aplicaciones. Se crea un punto de conexión privado para el subrecurso de fuente para cada área de trabajo que quiera usar con Private Link.
  • Conexiones a grupos host: cada conexión a un grupo de hosts tiene dos lados: clientes y hosts de sesión. Debe crear un punto de conexión privado para el subrecurso de conexión para cada grupo de hosts que quiera usar con Private Link.

En el siguiente diagrama de alto nivel se muestra cómo Private Link conecta de forma segura un cliente local al servicio Azure Virtual Desktop. Para obtener información más detallada sobre las conexiones de cliente, consulte Secuencia de conexión de cliente.

Diagrama de alto nivel que muestra cómo Private Link conecta un cliente local al servicio Azure Virtual Desktop.

Escenarios admitidos

Al agregar Private Link con Azure Virtual Desktop, tiene los siguientes escenarios admitidos para conectarse a Azure Virtual Desktop. El escenario que elija dependerá de sus requisitos. Puede compartir estos puntos de conexión privados a través de la topología de red o puede aislar las redes virtuales para que cada uno tenga su propio punto de conexión privado al grupo de hosts o al área de trabajo.

  • Todas las partes de la conexión (descubrimiento inicial de fuentes, descarga de fuentes y conexiones de sesión remota para clientes y hosts de sesión) usan rutas privadas. Necesita los siguientes puntos de conexión privados:

    Propósito Tipo de recurso Recurso secundario de destino Cantidad de puntos de conexión
    Conexiones a grupos de hosts Microsoft.DesktopVirtualization/hostpools conexión Uno por grupo de hosts
    Descarga de fuentes Microsoft.DesktopVirtualization/workspaces feed Uno por área de trabajo
    Detección de fuentes iniciales Microsoft.DesktopVirtualization/workspaces global Solo uno para todas las implementaciones de Azure Virtual Desktop

  • Las conexiones de descarga de fuentes y sesiones remotas para clientes y hosts de sesión usan rutas privadas, pero la detección de fuentes iniciales usa rutas públicas. Necesita los siguientes puntos de conexión privados. No se requiere el punto de conexión para la detección de fuentes iniciales.

    Propósito Tipo de recurso Recurso secundario de destino Cantidad de puntos de conexión
    Conexiones a grupos de hosts Microsoft.DesktopVirtualization/hostpools conexión Uno por grupo de hosts
    Descarga de fuentes Microsoft.DesktopVirtualization/workspaces feed Uno por área de trabajo

  • Solo las conexiones de sesión remota para clientes y hosts de sesión usan rutas privadas, pero la detección inicial de fuentes y la descarga de fuentes usan rutas públicas. Necesita los siguientes puntos de conexión privados. No se requieren puntos de conexión a áreas de trabajo.

    Propósito Tipo de recurso Recurso secundario de destino Cantidad de puntos de conexión
    Conexiones a grupos de hosts Microsoft.DesktopVirtualization/hostpools conexión Uno por grupo de hosts

  • Tanto los clientes como las máquinas virtuales del host de sesión usan rutas públicas. Private Link no se usa en este escenario.

Consideraciones importantes

  • Si crea un punto de conexión privado para la detección de fuentes iniciales, el área de trabajo usada para el subrecurso global rige el nombre de dominio completo (FQDN) compartido, lo que facilita la detección inicial de fuentes en todas las áreas de trabajo. Debe crear un área de trabajo independiente que solo se use para este propósito y que no tenga ningún grupo de aplicaciones registrado en ella. Al eliminar esta área de trabajo, todos los procesos de detección de fuentes dejarán de funcionar.
  • No se puede controlar el acceso al área de trabajo usada para la detección inicial de fuentes (subrecurso global). Si configura esta área de trabajo para permitir solo el acceso privado, se omite la configuración. Siempre se puede acceder a esta área de trabajo desde rutas públicas.