Planifier et implémenter une solution Azure Private Link pour Azure Virtual Desktop

  • 5 minutes

Vous pouvez utiliser Azure Private Link avec Azure Virtual Desktop pour vous connecter en privé à vos ressources distantes. Grâce à la création d’un point de terminaison privé, le trafic entre votre réseau virtuel et le service reste sur le réseau Microsoft, de sorte que vous n’avez plus besoin d’exposer votre service au réseau Internet public. Vous utilisez également un réseau privé virtuel (VPN) ou ExpressRoute pour vos utilisateurs avec le client Bureau à distance pour la connexion au réseau virtuel. En maintenant le trafic au sein du réseau Microsoft, la sécurité s’en trouve améliorée et vos données restent en lieu sûr.

Cette unité décrit comment Private Link peut vous aider à sécuriser votre environnement Azure Virtual Desktop.

Azure Virtual Desktop dispose de trois workflows auxquels correspondent trois types de ressource à utiliser avec des points de terminaison privés. Ces workflows sont les suivants :

  • Découverte de flux initiale : permet au client de découvrir tous les espaces de travail attribués à un utilisateur. Pour activer ce processus, vous devez créer un point de terminaison privé unique pour la sous-ressource global d’un espace de travail. Cependant, vous ne pouvez créer qu’un seul point de terminaison privé dans l’ensemble de votre déploiement Azure Virtual Desktop. Ce point de terminaison crée des entrées DNS (Domain Name System) et des itinéraires IP privés pour le nom de domaine complet global (FQDN) nécessaire à la découverte de flux initiale. Cette connexion devient une route partagée unique que tous les clients doivent utiliser.
  • Téléchargement de flux : le client télécharge tous les détails de connexion d’un utilisateur spécifique pour les espaces de travail qui hébergent ses groupes d’applications. Vous créez un point de terminaison privé pour la sous-ressource feed pour chaque espace de travail à utiliser avec Private Link.
  • Connexions aux pools d’hôtes : chaque connexion à un pool d’hôtes a deux côtés, à savoir les clients et les hôtes de session. Vous devez créer un point de terminaison privé pour la sous-ressource de connexion pour chaque pool d’hôtes à utiliser avec Private Link.

Le diagramme général suivant montre comment Private Link connecte de manière sécurisée un client local au service Azure Virtual Desktop. Pour plus d’informations sur les connexions clientes, consultez Séquence de connexion client.

Diagramme général dans lequel Private Link connecte un client local au service Azure Virtual Desktop.

Scénarios pris en charge

Lorsque vous ajoutez Private Link avec Azure Virtual Desktop, vous disposez des scénarios pris en charge suivants pour vous connecter à Azure Virtual Desktop. Le scénario choisi dépend de vos exigences. Vous pouvez soit partager ces points de terminaison privés dans votre topologie réseau, soit isoler vos réseaux virtuels de sorte que chacun d’eux ait son propre point de terminaison privé pour le pool d’hôtes ou l’espace de travail.

  • Toutes les parties de la connexion (découverte initiale du flux, téléchargement du flux et connexions de session à distance pour les clients et les hôtes de session) utilisent des routes privées. Vous avez besoin des points de terminaison privés suivants :

    Objectif Type de ressource Sous-ressource cible Quantité de point de terminaison
    Connexions aux pools d’hôtes Microsoft.DesktopVirtualization/hostpools connection Un par pool d’hôtes
    Téléchargement de flux Microsoft.DesktopVirtualization/workspaces feed Un par espace de travail
    Découverte de flux initiale Microsoft.DesktopVirtualization/workspaces globale Un seul pour tous les déploiements d’Azure Virtual Desktop

  • Le téléchargement du flux et les connexions de session à distance pour les clients et les hôtes de session utilisent des routes privées, mais la découverte initiale du flux utilise des routes publiques. Vous avez besoin des points de terminaison privés suivants. Le point de terminaison pour la découverte initiale du flux n’est pas obligatoire.

    Objectif Type de ressource Sous-ressource cible Quantité de point de terminaison
    Connexions aux pools d’hôtes Microsoft.DesktopVirtualization/hostpools connection Un par pool d’hôtes
    Téléchargement de flux Microsoft.DesktopVirtualization/workspaces feed Un par espace de travail

  • Seules les connexions de session à distance pour les clients et les hôtes de session utilisent des routes privées ; la découverte initiale du flux et le téléchargement du flux utilisent des routes publiques. Vous avez besoin du ou des points de terminaison privés suivants. Les points de terminaison aux espaces de travail ne sont pas obligatoires.

    Objectif Type de ressource Sous-ressource cible Quantité de point de terminaison
    Connexions aux pools d’hôtes Microsoft.DesktopVirtualization/hostpools connection Un par pool d’hôtes

  • Les clients et les machines virtuelles hôtes de session utilisent des itinéraires privés. Private Link n’est pas utilisé dans ce scénario.

Remarques importantes

  • Si vous créez un point de terminaison privé pour la découverte initiale du flux, l’espace de travail utilisé pour la sous-ressource globale régit le nom de domaine complet (FQDN) partagé, ce qui facilite la découverte initiale des flux parmi tous les espaces de travail. Vous devez créer un espace de travail distinct qui est utilisé uniquement à cet effet et n’a pas de groupes d’applications inscrits. La suppression de cet espace de travail entraîne l’arrêt du fonctionnement de tous les processus de découverte de flux.
  • Vous ne pouvez pas contrôler l’accès à l’espace de travail utilisé pour la découverte de flux initiale (sous-ressource globale). Si vous configurez cet espace de travail pour autoriser uniquement l’accès privé, le paramètre est ignoré. Cet espace de travail est toujours accessible depuis les itinéraires publics.