Azure Virtual Desktop の Azure Private Link ソリューションを計画して実装する
Azure Private Link と Azure Virtual Desktop を使用して、リモート リソースにプライベートに接続できます。 プライベート エンドポイントを作成すると、仮想ネットワークとサービス間のトラフィックは Microsoft ネットワーク上に留まります。そのため、サービスをパブリック インターネットに公開する必要がなくなります。 また、仮想ネットワークへのユーザーの接続には、VPN または ExpressRoute とリモート デスクトップ クライアントを組み合わせて使用します。 トラフィックを Microsoft ネットワーク内に留めておくことで、セキュリティが向上し、データの安全性が保たれます。
このユニットでは、Private Link を使用して Azure Virtual Desktop 環境をセキュリティで保護する方法について説明します。
Private Link と Azure Virtual Desktop の連携方法
Azure Virtual Desktop には 3 つのワークフローがあり、対応する 3 種類のリソースをプライベート エンドポイントで使用できます。 これらのワークフローは次のとおりです。
- 初期フィード検出: クライアントはユーザーに割り当てられているすべてのワークスペースを検出できます。 このプロセスを有効にするには、任意のワークスペースの "グローバル" サブリソースに対して 1 つのプライベート エンドポイントを作成する必要があります。 ただし、Azure Virtual Desktop のデプロイ全体で作成できるプライベート エンドポイントは 1 つだけです。 このエンドポイントが、初期フィード検出に必要なグローバル完全修飾ドメイン名 (FQDN) のドメイン ネーム システム (DNS) エントリとプライベート IP ルートを作成します。 この接続は、すべてのクライアントが使う 1 つの共有ルートになります。
- フィード ダウンロード: クライアントは、アプリケーション グループをホストするワークスペースの特定のユーザーについて、すべての接続の詳細をダウンロードします。 Private Link で使用するワークスペースごとに、"フィード"サブリソースのプライベート エンドポイントを作成する必要があります。
- ホスト プールへの接続: ホスト プールへのすべての接続には、クライアントとセッション ホストという 2 つの側面があります。 Private Link で使用するホスト プールごとに、"接続" サブリソースのプライベート エンドポイントを作成する必要があります。
次の概略図は、Private Link がローカル クライアントを Azure Virtual Desktop サービスに安全に接続するしくみを示しています。 クライアント接続の詳細については、「クライアント接続シーケンス」を参照してください。
サポートされるシナリオ
Private Link と Azure Virtual Desktop を追加する場合、Azure Virtual Desktop に接続するには、次のサポートされているシナリオがあります。 どのシナリオを選択するかは、要件によって異なります。 これらのプライベート エンドポイントは、ネットワーク トポロジ全体で共有するか、仮想ネットワークを分離して、それぞれがホスト プールまたはワークスペースへの独自のプライベート エンドポイントを持つようにすることができます。
接続のすべての部分 (クライアントとセッション ホストの初期フィード検出、フィード ダウンロード、リモート セッション接続) では、プライベート ルートが使用されます。 次のプライベート エンドポイントが必要です:
目的 リソースの種類 ターゲット サブリソース エンドポイントの数量 ホスト プールへの接続 Microsoft.DesktopVirtualization/hostpools connection ホスト プールごとに 1 つ フィードのダウンロード Microsoft.DesktopVirtualization/workspaces feed ワークスペースごとに 1 つ 初期フィード検出 Microsoft.DesktopVirtualization/workspaces グローバル すべての Azure Virtual Desktop デプロイ用に 1 つのみ クライアントとセッション ホストのフィード ダウンロードとリモート セッション接続ではプライベート ルートが使用されますが、初期フィード検出ではパブリック ルートが使用されます。 次のプライベート エンドポイントが必要です。 初期フィード検出のエンドポイントは必要ありません。
目的 リソースの種類 ターゲット サブリソース エンドポイントの数量 ホスト プールへの接続 Microsoft.DesktopVirtualization/hostpools connection ホスト プールごとに 1 つ フィードのダウンロード Microsoft.DesktopVirtualization/workspaces feed ワークスペースごとに 1 つ クライアントとセッション ホストのリモート セッション接続のみでプライベート ルートを使用しますが、初期フィード検出とフィード ダウンロードではパブリック ルートが使用されます。 次のプライベート エンドポイントが必要です。 ワークスペースへのエンドポイントは必要ありません。
目的 リソースの種類 ターゲット サブリソース エンドポイントの数量 ホスト プールへの接続 Microsoft.DesktopVirtualization/hostpools connection ホスト プールごとに 1 つ クライアントとセッション ホスト VM の両方がパブリック ルートを使う。 このシナリオでは、Private Link は使用されません。
重要な考慮事項
- 初期フィード検出用のプライベート エンドポイントを作成すると、グローバル サブリソースに使用されるワークスペースによって共有完全修飾ドメイン名 (FQDN) が管理され、すべてのワークスペース間でのフィードの初期検出が容易になります。 この目的でのみ使用され、アプリケーション グループが登録されていない別のワークスペースを作成する必要があります。 このワークスペースを削除すると、すべてのフィード検出プロセスが機能しなくなります。
- 初期フィード検出 (グローバル サブリソース) に使用されるワークスペースへのアクセスを制御することはできません。 プライベート アクセスのみを許可するようにこのワークスペースを構成した場合、設定は無視されます。 このワークスペースには、常にパブリック ルートからアクセスできます。