Planowanie i implementowanie rozwiązania Azure Private Link dla usługi Azure Virtual Desktop

  • 5 min

Usługa Azure Private Link z usługą Azure Virtual Desktop umożliwia prywatne łączenie się z zasobami zdalnymi. Tworząc prywatny punkt końcowy, ruch między siecią wirtualną a usługą pozostaje w sieci firmy Microsoft, więc nie musisz już uwidaczniać usługi w publicznym Internecie. Do nawiązania połączenia z siecią wirtualną należy również użyć sieci VPN lub usługi ExpressRoute dla użytkowników z klientem usług pulpitu zdalnego. Utrzymywanie ruchu w sieci firmy Microsoft zwiększa bezpieczeństwo i zapewnia bezpieczeństwo danych.

W tej lekcji opisano, jak usługa Private Link może pomóc w zabezpieczeniu środowiska usługi Azure Virtual Desktop.

Usługa Azure Virtual Desktop ma trzy przepływy pracy z trzema odpowiednimi typami zasobów do użycia z prywatnymi punktami końcowymi. Te przepływy pracy to:

  • Początkowe odnajdywanie kanału informacyjnego: umożliwia klientowi odnajdywanie wszystkich obszarów roboczych przypisanych do użytkownika. Aby włączyć ten proces, należy utworzyć pojedynczy prywatny punkt końcowy w zasobie globalnym dla dowolnego obszaru roboczego. Jednak w całym wdrożeniu usługi Azure Virtual Desktop można utworzyć tylko jeden prywatny punkt końcowy. Ten punkt końcowy tworzy wpisy systemu nazw domen (DNS) i prywatne trasy IP dla globalnej w pełni kwalifikowanej nazwy domeny (FQDN) wymagane do odnajdywania początkowego źródła danych. To połączenie staje się jedną udostępnioną trasą dla wszystkich klientów do użycia.
  • Pobieranie kanału informacyjnego: klient pobiera wszystkie szczegóły połączenia dla określonego użytkownika dla obszarów roboczych hostujących grupy aplikacji. Prywatny punkt końcowy dla zasobu podrzędnego kanału informacyjnego dla każdego obszaru roboczego, którego chcesz używać z usługą Private Link.
  • Połączenia z pulami hostów: każde połączenie z pulą hostów ma dwie strony — klientów i hostów sesji. Należy utworzyć prywatny punkt końcowy dla zasobu podrzędnego połączenia dla każdej puli hostów, której chcesz użyć z usługą Private Link.

Na poniższym diagramie wysokiego poziomu pokazano, jak usługa Private Link bezpiecznie łączy klienta lokalnego z usługą Azure Virtual Desktop. Aby uzyskać bardziej szczegółowe informacje o połączeniach klientów, zobacz Sekwencja połączeń klienta.

Diagram wysokiego poziomu przedstawiający usługę Private Link łączącą klienta lokalnego z usługą Azure Virtual Desktop.

Obsługiwane scenariusze

Podczas dodawania usługi Private Link z usługą Azure Virtual Desktop masz następujące obsługiwane scenariusze łączenia się z usługą Azure Virtual Desktop. Wybrany scenariusz zależy od wymagań. Możesz udostępnić te prywatne punkty końcowe w topologii sieci lub odizolować sieci wirtualne tak, aby każdy z nich miał własny prywatny punkt końcowy do puli hostów lub obszaru roboczego.

  • Wszystkie części połączenia — początkowe odnajdywanie kanałów informacyjnych, pobieranie kanału informacyjnego i połączenia sesji zdalnej dla klientów i hostów sesji — używają tras prywatnych. Potrzebne są następujące prywatne punkty końcowe:

    Przeznaczenie Typ zasobu Docelowy zasób podrzędny Ilość punktu końcowego
    Połączenia z pulami hostów Microsoft.DesktopVirtualization/hostpools połączenie Jeden na pulę hostów
    Pobieranie kanału informacyjnego Microsoft.DesktopVirtualization/workspaces źródło Jeden na obszar roboczy
    Początkowe odnajdywanie kanału informacyjnego Microsoft.DesktopVirtualization/workspaces globalne Tylko jeden dla wszystkich wdrożeń usługi Azure Virtual Desktop

  • Pobieranie kanału informacyjnego i połączenia sesji zdalnej dla klientów i hostów sesji używają tras prywatnych, ale początkowe odnajdywanie kanałów informacyjnych używa tras publicznych. Potrzebne są następujące prywatne punkty końcowe. Punkt końcowy początkowego odnajdywania kanału informacyjnego nie jest wymagany.

    Przeznaczenie Typ zasobu Docelowy zasób podrzędny Ilość punktu końcowego
    Połączenia z pulami hostów Microsoft.DesktopVirtualization/hostpools połączenie Jeden na pulę hostów
    Pobieranie kanału informacyjnego Microsoft.DesktopVirtualization/workspaces źródło Jeden na obszar roboczy

  • Tylko połączenia sesji zdalnej dla klientów i hostów sesji używają tras prywatnych, ale początkowe odnajdywanie kanałów informacyjnych i pobieranie kanałów informacyjnych używają tras publicznych. Potrzebne są następujące prywatne punkty końcowe. Punkty końcowe do obszarów roboczych nie są wymagane.

    Przeznaczenie Typ zasobu Docelowy zasób podrzędny Ilość punktu końcowego
    Połączenia z pulami hostów Microsoft.DesktopVirtualization/hostpools połączenie Jeden na pulę hostów

  • Zarówno klienci, jak i maszyny wirtualne hosta sesji używają tras publicznych. Usługa Private Link nie jest używana w tym scenariuszu.

Ważne uwagi

  • Jeśli tworzysz prywatny punkt końcowy na potrzeby odnajdywania początkowego źródła danych, obszar roboczy używany dla globalnego zasobu podrzędnego zarządza udostępnioną w pełni kwalifikowaną nazwą domeny (FQDN), ułatwiając początkowe odnajdywanie kanałów informacyjnych we wszystkich obszarach roboczych. Należy utworzyć oddzielny obszar roboczy, który jest używany tylko w tym celu i nie ma żadnych grup aplikacji zarejestrowanych w nim. Usunięcie tego obszaru roboczego spowoduje, że wszystkie procesy odnajdywania kanału informacyjnego przestaną działać.
  • Nie można kontrolować dostępu do obszaru roboczego używanego do początkowego odnajdywania kanału informacyjnego (globalnego zasobu podrzędnego). Jeśli skonfigurujesz ten obszar roboczy tak, aby zezwalał tylko na dostęp prywatny, ustawienie zostanie zignorowane. Ten obszar roboczy jest zawsze dostępny z publicznych tras.