Een Azure Private Link-oplossing plannen en implementeren voor Azure Virtual Desktop

  • 5 minuten

U kunt Azure Private Link gebruiken met Azure Virtual Desktop om privé verbinding te maken met uw externe resources. Door een privé-eindpunt te maken, blijft verkeer tussen uw virtuele netwerk en de service op het Microsoft-netwerk staan, zodat u uw service niet meer beschikbaar hoeft te maken voor het openbare internet. U gebruikt ook een VPN of ExpressRoute voor uw gebruikers met de Extern bureaublad-client om verbinding te maken met het virtuele netwerk. Het verkeer binnen het Microsoft-netwerk verbetert de beveiliging en houdt uw gegevens veilig.

In deze les wordt beschreven hoe Private Link u kan helpen uw Azure Virtual Desktop-omgeving te beveiligen.

Azure Virtual Desktop heeft drie werkstromen met drie bijbehorende resourcetypen die moeten worden gebruikt met privé-eindpunten. Deze werkstromen zijn:

  • Initiële feeddetectie: hiermee kan de client alle werkruimten detecteren die aan een gebruiker zijn toegewezen. Als u dit proces wilt inschakelen, moet u één privé-eindpunt maken voor de globale subresource naar elke werkruimte. U kunt echter slechts één privé-eindpunt maken in uw hele Azure Virtual Desktop-implementatie. Met dit eindpunt worden DNS-vermeldingen (Domain Name System) en privé-IP-routes gemaakt voor de algemene FQDN (Fully Qualified Domain Name Name) die nodig zijn voor initiële feeddetectie. Deze verbinding wordt één gedeelde route voor alle clients die moeten worden gebruikt.
  • Feeddownload: de client downloadt alle verbindingsgegevens voor een specifieke gebruiker voor de werkruimten die hun toepassingsgroepen hosten. U maakt een privé-eindpunt voor de subresource van de feed voor elke werkruimte die u wilt gebruiken met Private Link.
  • Verbindingen met hostgroepen: elke verbinding met een hostgroep heeft twee zijden: clients en sessiehosts. U moet een privé-eindpunt maken voor de subresource van de verbinding voor elke hostgroep die u wilt gebruiken met Private Link.

In het volgende diagram op hoog niveau ziet u hoe Private Link een lokale client veilig verbindt met de Azure Virtual Desktop-service. Zie De clientverbindingsreeks voor meer informatie over clientverbindingen.

Een diagram op hoog niveau waarin Private Link een lokale client verbindt met de Azure Virtual Desktop-service.

Ondersteunde scenario's

Wanneer u Private Link toevoegt met Azure Virtual Desktop, hebt u de volgende ondersteunde scenario's om verbinding te maken met Azure Virtual Desktop. Welk scenario u kiest, is afhankelijk van uw vereisten. U kunt deze privé-eindpunten delen in uw netwerktopologie of u kunt uw virtuele netwerken isoleren, zodat elk een eigen privé-eindpunt heeft voor de hostgroep of werkruimte.

  • Alle onderdelen van de verbinding- initiële feeddetectie, feeddownload en externe sessieverbindingen voor clients en sessiehosts- gebruiken privéroutes. U hebt de volgende privé-eindpunten nodig:

    Doel Resourcetype Doelsubresource Aantal eindpunten
    Verbindingen met hostgroepen Microsoft.DesktopVirtualization/hostpools verbinding Eén per hostgroep
    Feed downloaden Microsoft.DesktopVirtualization/workspaces feed Eén per werkruimte
    Initiële feeddetectie Microsoft.DesktopVirtualization/workspaces global Slechts één voor al uw Azure Virtual Desktop-implementaties

  • Feeddownloads en externe sessieverbindingen voor clients en sessiehosts maken gebruik van privéroutes, maar initiële feeddetectie maakt gebruik van openbare routes. U hebt de volgende privé-eindpunten nodig. Het eindpunt voor de eerste feeddetectie is niet vereist.

    Doel Resourcetype Doelsubresource Aantal eindpunten
    Verbindingen met hostgroepen Microsoft.DesktopVirtualization/hostpools verbinding Eén per hostgroep
    Feed downloaden Microsoft.DesktopVirtualization/workspaces feed Eén per werkruimte

  • Alleen externe sessieverbindingen voor clients en sessiehosts maken gebruik van privéroutes, maar initiële feeddetectie en feeddownload maken gebruik van openbare routes. U hebt de volgende privé-eindpunten nodig. Eindpunten voor werkruimten zijn niet vereist.

    Doel Resourcetype Doelsubresource Aantal eindpunten
    Verbindingen met hostgroepen Microsoft.DesktopVirtualization/hostpools verbinding Eén per hostgroep

  • Zowel clients als sessiehost-VM's gebruiken openbare routes. Private Link wordt niet gebruikt in dit scenario.

Belangrijke aandachtspunten

  • Als u een privé-eindpunt maakt voor de eerste feeddetectie, bepaalt de werkruimte die wordt gebruikt voor de globale subresource de gedeelde FQDN (Fully Qualified Domain Name), waardoor de eerste detectie van feeds in alle werkruimten wordt vergemakkelijkt. U moet een afzonderlijke werkruimte maken die alleen voor dit doel wordt gebruikt en waarvoor geen toepassingsgroepen zijn geregistreerd. Als u deze werkruimte verwijdert, werken alle feeddetectieprocessen niet meer.
  • U kunt de toegang tot de werkruimte die wordt gebruikt voor de initiële feeddetectie (globale subresource) niet beheren. Als u deze werkruimte zo configureert dat alleen privétoegang is toegestaan, wordt de instelling genegeerd. Deze werkruimte is altijd toegankelijk vanuit openbare routes.