Compartilhar via

Conectividade e topologia de rede da Área de Trabalho Virtual do Azure

  • Artigo

O design e a implementação dos recursos de rede do Azure na Área de Trabalho Virtual do Azure são essenciais para a zona de destino da Área de Trabalho Virtual do Azure. Este artigo se baseia em vários princípios de arquitetura de zona de destino de escala empresarial do Cloud Adoption Framework para Azure e recomendações para gerenciar a topologia de rede e a conectividade em escala.

As bases de design incluem:

  • Integração híbrida para conectividade entre ambientes locais, multinuvem e de borda e usuários globais. Para obter mais informações, confira Suporte a escala empresarial para híbrido e multinuvem.
  • Desempenho e confiabilidade em escala para uma experiência consistente e de baixa latência e escalabilidade para cargas de trabalho.
  • Segurança de rede baseada em confiança zero para ajudar a proteger perímetros de rede e fluxos de tráfego. Para obter mais informações, confira Estratégias de segurança de rede no Azure.
  • Extensibilidade para expandir facilmente o espaço ocupado pela rede sem retrabalho de design.

Conceitos e componentes de rede

  • A Rede Virtual Azure é o bloco de construção fundamental das redes privadas no Azure. Com a Rede Virtual, muitos tipos de recursos do Azure, como Máquinas Virtuais do Azure, podem se comunicar entre si, com a Internet e com datacenters locais. Uma rede virtual é semelhante a uma rede tradicional que você opera em seu próprio datacenter. Mas uma rede virtual oferece os benefícios de escala, disponibilidade e isolamento da infraestrutura do Azure.
  • Uma topologia de rede hub-spoke é um tipo de arquitetura de rede na qual uma rede virtual hub atua como um ponto central de conectividade com várias redes virtuais spoke. O hub também pode ser o ponto de conectividade para datacenters locais. As redes virtuais spoke emparelham com o hub e ajudam a isolar cargas de trabalho.
  • A WAN Virtual do Azure é um serviço de rede que reúne funcionalidades de rede, segurança e roteamento para fornecer uma interface operacional.
  • Uma NVA (solução de virtualização de rede) é um dispositivo de rede que dá suporte a funções como conectividade, entrega de aplicativos, otimização de WAN (rede de longa distância) e segurança. As NVAs incluem o Firewall do Azure e o Azure Load Balancer.
  • Em um cenário de túnel forçado, todo o tráfego vinculado à Internet originado em VMs (máquinas virtuais) do Azure é roteado ou forçado a passar por um dispositivo de inspeção e auditoria. O acesso não autorizado à Internet pode levar à divulgação de informações ou outros tipos de violações de segurança sem a inspeção ou a auditoria de tráfego.
  • Os grupos de segurança de rede são usados para filtrar o tráfego de rede de e para recursos do Azure em uma rede virtual do Azure. Um grupo de segurança de rede contém regras de segurança que permitem ou negam o tráfego de rede de entrada ou de saída em relação a vários tipos de recursos do Azure.
  • Os grupos de segurança de aplicativos fornecem uma maneira de configurar a segurança de rede como uma extensão natural da estrutura de um aplicativo. Você pode usar grupos de segurança de aplicativos para agrupar VMs e definir políticas de segurança de rede baseadas nesses grupos. Você pode reutilizar sua política de segurança em escala sem precisar manter manualmente endereços IP explícitos.
  • As UDRs (rotas definidas pelo usuário) podem ser usadas para substituir as rotas padrão do sistema do Azure. Você também pode usar UDRs para adicionar rotas extras a uma tabela de rotas de sub-rede.
  • O RDP Shortpath (Remote Desktop Protocol Shortpath) é um recurso da Área de Trabalho Virtual do Azure baseado no URCP (Protocolo Universal de Controle de Taxa). O RDP Shortpath estabelece um transporte direto baseado no UDP (User Datagram Protocol) entre um cliente da Área de Trabalho Remota do Windows com suporte e os hosts de sessão da Área de Trabalho Virtual do Azure. O URCP aprimora as conexões UDP, fornecendo monitoramento ativo das condições da rede e recursos de qualidade de serviço (QoS).
  • O Link Privado do Azure com a Área de Trabalho Virtual do Azure (versão prévia) fornece uma maneira de usar um ponto de extremidade privado no Azure para conectar hosts de sessão ao serviço da Área de Trabalho Virtual do Azure. Com o Link Privado, o tráfego entre sua rede virtual e o serviço da Área de Trabalho Virtual do Azure viaja na rede de backbone da Microsoft. Como resultado, você não precisa se conectar à Internet pública para acessar os serviços da Área de Trabalho Virtual do Azure.

Cenários de rede

Para estabelecer a zona de destino da Área de Trabalho Virtual do Azure, o design e a implementação dos recursos de rede são críticos. Os produtos e serviços de rede do Azure dão suporte a uma ampla variedade de funcionalidades. A arquitetura escolhida e a maneira como você estrutura os serviços dependem das cargas de trabalho, da governança e dos requisitos da sua organização.

Os principais requisitos e considerações a seguir afetam suas decisões de implantação da Área de Trabalho Virtual do Azure:

  • Requisitos de entrada e saída da Internet.
  • Uso de NVA na arquitetura atual.
  • Conectividade da Área de Trabalho Virtual do Azure com uma rede virtual do hub padrão ou um hub de WAN Virtual.
  • O modelo de conexão do host da sessão. Você pode usar um modelo nativo ou RDP Shortpath.
  • Requisitos de inspeção de tráfego para:
    • Saída da Internet da Área de Trabalho Virtual do Azure.
    • Entrada da Internet para a Área de Trabalho Virtual do Azure.
    • Tráfego da Área de Trabalho Virtual do Azure para datacenters locais.
    • Tráfego da Área de Trabalho Virtual do Azure para outras instâncias de Rede Virtual.
    • Tráfego na rede virtual da Área de Trabalho Virtual do Azure.

O cenário de rede mais comum para a Área de Trabalho Virtual do Azure é uma topologia hub-and-spoke com conectividade híbrida.

Cenário 1: hub e spoke com conectividade híbrida

Esse cenário usa o modelo de conexão de host de sessão padrão.

Perfil do cliente

Este cenário é ideal se:

  • Não for preciso inspeção de tráfego entre as redes da Área de Trabalho Virtual do Azure e outras redes virtuais do Azure.
  • Não for preciso inspeção de tráfego entre as redes da Área de Trabalho Virtual do Azure e os datacenters locais.
  • Você não precisa de inspeção de tráfego de tráfego de saída da Internet de redes da Área de Trabalho Virtual do Azure.
  • Você não precisa controlar os endereços IP públicos usados durante a SNAT (conversão de endereços de rede) de origem para conexões de Internet de saída da Área de Trabalho Virtual do Azure.
  • Você não impõe o tráfego interno de rede da Área de Trabalho Virtual do Azure.
  • Você tem conectividade híbrida pré-existente com ambientes locais, seja por meio do Azure ExpressRoute ou de uma VPN (rede virtual privada) site a site (S2S).
  • Você tem servidores personalizados pré-existentes do AD DS (Active Directory Domain Services) e do DNS (Sistema de Nomes de Domínio).
  • Você consome a Área de Trabalho Virtual do Azure usando um modelo de conexão padrão, não o RDP Shortpath.

Componentes de arquitetura

Você pode implementar este cenário com:

  • Servidores AD DS e servidores DNS personalizados.
  • Grupos de segurança de rede.
  • Observador de Rede do Azure.
  • Internet de saída por meio de um caminho de rede virtual padrão do Azure.
  • ExpressRoute ou um gateway de rede virtual VPN para conectividade híbrida com sistemas locais.
  • Uma zona DNS privada do Azure.
  • Pontos de extremidade privados do Azure.
  • Contas de armazenamento de Arquivos do Azure.
  • Azure Key Vault.

Diagrama que mostra uma arquitetura hub e spoke com conectividade híbrida.

Baixe um arquivo do Visio da arquitetura resiliente de várias regiões da Área de Trabalho Virtual do Azure completa.

Considerações

  • Esse cenário não acomoda a conectividade de rede direta entre um cliente e um host de sessão pública ou privada. Você não pode usar o RDP Shortpath neste cenário.
  • O gateway do painel de controle da Área de Trabalho Virtual do Azure, que usa um ponto de extremidade público, gerencia conexões de cliente. Como resultado, os clientes da Área de Trabalho Virtual do Azure podem criar conexões de saída para URLs da Área de Trabalho Virtual do Azure necessárias. Para obter mais informações sobre URLs necessárias, consulte a seção Internet deste artigo e URLs necessárias para a Área de Trabalho Virtual do Azure.
  • Não são necessários endereços IP públicos ou outros caminhos de entrada públicos para hosts de sessão. O tráfego de clientes para hosts de sessão flui por meio do gateway do painel de controle da Área de Trabalho Virtual do Azure.
  • Não há emparelhamento de rede virtual entre spokes da Área de Trabalho Virtual do Azure. Todo o tráfego passa pelo hub de conectividade.
  • As conexões de saída da Internet dos hosts de sessão da Área de Trabalho Virtual do Azure passam pelo processo padrão de NAT (conversão de endereços de rede) de saída do Azure. Endereços IP públicos dinâmicos do Azure são usados. Os clientes não têm controle sobre os endereços IP públicos de saída usados.
  • As conexões de hosts de sessão para contas de armazenamento de Arquivos do Azure são estabelecidas usando pontos de extremidade privados.
  • As zonas DNS privadas do Azure são usadas para resolver namespaces de ponto de extremidade privado para os seguintes serviços:
    • Contas de armazenamento de Arquivos do Azure, que usam o nome privatelink.file.core.windows.net
    • Cofres de chaves, que usam o nome privatelink.vaultcore.azure.net
  • A filtragem de rede não é imposta para esse cenário. Mas os grupos de segurança de rede são colocados em todas as sub-redes para que você possa monitorar o tráfego e obter insights. No Observador de Rede, a análise de tráfego e o recurso de log de fluxo do grupo de segurança de rede são usados para essas finalidades.

Cenário 2: Hub e spoke com conectividade híbrida em redes gerenciadas usando RDP Shortpath

Para obter diretrizes detalhadas de implantação, consulte Conectividade de caminho curto RDP para redes gerenciadas.

Perfil do cliente

Este cenário é ideal se:

  • Você deseja limitar o número de conexões pela Internet aos hosts de sessão da Área de Trabalho Virtual do Azure.
  • Você tem conectividade híbrida pré-existente de um ambiente local para o Azure, seja por meio do ExpressRoute ou de uma VPN S2S ou P2S (ponto a site).
  • Você tem conectividade de rede de linha de visão direta entre clientes RDP e hosts da Área de Trabalho Virtual do Azure. Normalmente, uma das seguintes configurações é usada neste cenário:
    • Redes locais roteadas para redes do Azure Virtual Desktop Azure
    • Conexões VPN do cliente roteadas para a Área de Trabalho Virtual do Azure Redes virtuais do Azure
  • Você precisa limitar o uso de largura de banda de hosts de VM em redes privadas, como uma VPN ou ExpressRoute.
  • Você deseja priorizar o tráfego da Área de Trabalho Virtual do Azure em sua rede.
  • Não for preciso inspeção de tráfego entre as redes da Área de Trabalho Virtual do Azure e outras redes virtuais do Azure.
  • Não for preciso inspeção de tráfego entre as redes da Área de Trabalho Virtual do Azure e os datacenters locais.
  • Você tem servidores personalizados AD DS ou DNS pré-existentes.

Componentes de arquitetura

Você pode implementar este cenário com:

  • ExpressRoute ou um gateway de rede virtual VPN para conectividade híbrida com ambientes locais com largura de banda suficiente.
  • Servidores AD DS e servidores DNS personalizados.
  • Grupos de segurança de rede.
  • Internet de saída por meio de um caminho de rede virtual padrão do Azure.
  • Objetos de política de grupo de domínio (GPOs) ou GPOs locais.
  • Contas de armazenamento de Arquivos do Azure.
  • Pontos de extremidade privados do Azure.
  • Uma zona DNS privada do Azure.

Diagrama de arquitetura do cenário que usa RDP Shortpath para redes privadas.

Considerações

  • A conectividade híbrida deve estar disponível, por meio de uma VPN ou ExpressRoute, com conectividade de rede direta do cliente RDP para hosts de VM privados na porta 3390.

Observação

Para redes gerenciadas, a porta UDP padrão pode ser alterada.

  • Um GPO de domínio ou GPO local deve ser usado para habilitar o UDP em redes gerenciadas.
  • A conectividade híbrida deve ter largura de banda suficiente para permitir conexões diretas UDP com hosts de VM.
  • A conectividade híbrida deve ter roteamento direto para permitir conexões com hosts de VM.
  • O gateway do painel de controle da Área de Trabalho Virtual do Azure, que usa um ponto de extremidade público, gerencia conexões de cliente. Como resultado, os clientes da Área de Trabalho Virtual do Azure podem criar conexões de saída para URLs da Área de Trabalho Virtual do Azure necessárias. Para obter mais informações sobre URLs necessárias, consulte a seção Internet deste artigo e URLs necessárias para a Área de Trabalho Virtual do Azure.
  • Não são necessários endereços IP públicos ou outros caminhos de entrada públicos para hosts de sessão. O tráfego de clientes para hosts de sessão flui por meio do gateway do painel de controle da Área de Trabalho Virtual do Azure.
  • A conexão de saída com a Internet dos hosts de sessão da Área de Trabalho Virtual do Azure passa pelo processo NAT de saída padrão do Azure. Endereços IP públicos dinâmicos do Azure são usados. Os clientes não têm controle sobre os endereços IP públicos de saída usados.
  • As conexões de hosts de sessão para contas de armazenamento de Arquivos do Azure são estabelecidas usando pontos de extremidade privados.
  • As zonas DNS privadas do Azure são usadas para resolver namespaces de ponto de extremidade privado.
  • A filtragem de rede não é imposta para esse cenário. Mas os grupos de segurança de rede são colocados em todas as sub-redes para que você possa monitorar o tráfego e obter insights. No Observador de Rede, a análise de tráfego e o recurso de log de fluxo do grupo de segurança de rede são usados para essas finalidades.

Observação

Atualmente, a Área de Trabalho Virtual do Azure não dá suporte ao uso de Link Privado e RDP Shortpath ao mesmo tempo.

Cenário 3: Hub e spoke com redes públicas usando RDP Shortpath

Para obter diretrizes detalhadas de implantação, consulte Conectividade RDP Shortpath para redes públicas.

Perfil do cliente

Este cenário é ideal se:

  • Suas conexões de cliente da Área de Trabalho Virtual do Azure atravessam a Internet pública. Os cenários típicos incluem usuários que trabalham em casa, usuários de filiais remotas que não estão conectados a redes corporativas e usuários contratados remotos.
  • Você tem conexões de alta latência ou baixa largura de banda com hosts de sessão da Área de Trabalho Virtual do Azure.
  • Você precisa limitar o uso da largura de banda dos hosts de sessão da Área de Trabalho Virtual do Azure por meio de políticas de rede de QoS.
  • Você deseja priorizar o tráfego da Área de Trabalho Virtual do Azure em sua rede por meio de políticas de QoS.
  • As conexões RDP do cliente começam em redes com largura de banda e velocidade inconsistentes.
  • Você tem conectividade de saída direta de hosts de sessão da Área de Trabalho Virtual do Azure. Você não usa um roteamento de túnel forçado por meio de redes locais.
  • Não for preciso inspeção de tráfego entre as redes da Área de Trabalho Virtual do Azure e outras redes virtuais do Azure.
  • Não for preciso inspeção de tráfego entre as redes da Área de Trabalho Virtual do Azure e os datacenters locais.
  • Você tem servidores personalizados AD DS ou DNS pré-existentes.

Componentes de arquitetura

Você pode implementar este cenário com:

  • ExpressRoute ou um gateway de rede virtual VPN para conectividade híbrida com ambientes locais. Essa configuração é apropriada quando há largura de banda suficiente para dar suporte a conexões com aplicativos locais, dados ou conexões do AD DS. Não recomendamos o uso de túnel forçado para enviar tráfego da Área de Trabalho Virtual do Azure por meio de roteadores locais.
  • Servidores AD DS e servidores DNS personalizados.
  • Grupos de segurança de rede.
  • Observador de Rede.
  • Internet de saída por meio de um caminho de rede virtual padrão do Azure.
  • GPOs de domínio ou GPOs locais.
  • Contas de armazenamento de Arquivos do Azure.
  • Pontos de extremidade privados do Azure.
  • Uma zona DNS privada do Azure.

Diagrama de arquitetura para o cenário que usa RDP Shortpath para redes públicas.

Considerações

  • Permita os seguintes tipos de conexões:

    • Conexões UDP de saída de hosts de sessão da Área de Trabalho Virtual do Azure para os serviços STUN (Utilitários de Passagem de Sessão para NAT) e TURN (NAT de Passagem) da Área de Trabalho Virtual do Azure na porta 3478
    • Conexões UDP de clientes RDP no intervalo de portas 49152–65535

    A configuração que define essas conexões é ativada por padrão e mantém o mesmo nível de criptografia que a conexão reversa do TCP (Transmission Control Protocol). Para obter informações sobre como limitar intervalos de portas do cliente RDP, consulte Limitar o intervalo de portas ao usar o RDP Shortpath para redes públicas.

  • O gateway do painel de controle da Área de Trabalho Virtual do Azure, que usa um ponto de extremidade público, gerencia conexões de cliente. Como resultado, os clientes da Área de Trabalho Virtual do Azure podem criar conexões de saída para URLs da Área de Trabalho Virtual do Azure necessárias. Para obter mais informações sobre URLs necessárias, consulte a seção Internet deste artigo e URLs necessárias para a Área de Trabalho Virtual do Azure.

  • Os roteadores de consumo normalmente encontrados em redes de usuários domésticos devem ter o Universal Plug and Play (UPnP) ativado.

  • Não são necessários endereços IP públicos ou outros caminhos de entrada públicos para hosts de sessão. O tráfego de clientes para hosts de sessão flui por meio do gateway do painel de controle da Área de Trabalho Virtual do Azure.

  • A conexão de saída com a Internet dos hosts de sessão da Área de Trabalho Virtual do Azure passa pelo processo NAT de saída padrão do Azure. Endereços IP públicos dinâmicos do Azure são usados. Os clientes não têm controle sobre os endereços IP públicos de saída usados.

  • Você precisa configurar a marcação de ponto de código de serviços diferenciados (DSCP) nos hosts da sessão. Use GPOs locais ou GPOs de domínio para essa configuração. Quando você usa marcadores DSCP, os dispositivos de rede podem aplicar políticas de QoS para o tráfego da Área de Trabalho Virtual do Azure. Para obter mais informações, consulte Implementar QoS (Qualidade de Serviço) para a Área de Trabalho Virtual do Azure.

  • As conexões de hosts de sessão para contas de armazenamento de Arquivos do Azure são estabelecidas usando pontos de extremidade privados.

  • As zonas DNS privadas do Azure são usadas para resolver namespaces de ponto de extremidade privado.

  • A filtragem de rede não é imposta para esse cenário. Mas os grupos de segurança de rede são colocados em todas as sub-redes para que você possa monitorar o tráfego e obter insights. No Observador de Rede, a análise de tráfego e o recurso de log de fluxo do grupo de segurança de rede são usados para essas finalidades.

Recomendações e considerações gerais de design

As seções a seguir fornecem considerações gerais de design e recomendações para a topologia de rede e conectividade da Área de Trabalho Virtual do Azure.

Topologia de rede hub e spoke vs. WAN Virtual

A WAN Virtual dá suporte à conectividade de trânsito entre VPN e ExpressRoute , mas não dá suporte a topologias hub-and-spoke.

Serviços de identidade

Os requisitos de conectividade dos serviços de identidade nos hosts de sessão da Área de Trabalho Virtual do Azure dependem do modelo de identidade.

  • Para VMs ingressadas no Microsoft Entra Domain Services: as redes da Área de Trabalho Virtual do Azure devem ter conectividade com a rede em que o serviço de identidade está hospedado.
  • Para VMs ingressadas na ID do Microsoft Entra: os hosts de sessão da Área de Trabalho Virtual do Azure criam conexões de saída para pontos de extremidade públicos da ID do Microsoft Entra. Como resultado, nenhuma configuração de conectividade privada é necessária.

DNS

Os hosts de sessão da Área de Trabalho Virtual do Azure têm os mesmos requisitos de resolução de nomes que qualquer outra carga de trabalho de IaaS (infraestrutura como serviço). Como resultado, é necessária conectividade com servidores DNS personalizados ou acesso por meio de um link de rede virtual para zonas DNS privadas do Azure. Zonas DNS privadas extras do Azure são necessárias para hospedar os namespaces de ponto de extremidade privado de determinados serviços de PaaS (plataforma como serviço), como contas de armazenamento e serviços de gerenciamento de chaves.

Para obter mais informações, confira Configuração do DNS do ponto de extremidade privado do Azure.

Para facilitar a configuração do cliente da Área de Trabalho Virtual do Azure do usuário final, incluindo a assinatura do feed dos Serviços de Área de Trabalho Remota (RDS), é melhor configurar a descoberta de email. Você precisa configurar a descoberta de e-mail no domínio DNS público e, em seguida, assinar seu feed RDS. Para obter mais informações, consulte Configurar a descoberta de e-mail para assinar seu feed RDS.

Largura de Banda e latência

A Área de Trabalho Virtual do Azure usa RDP. Para saber mais sobre o RDP, consulte Requisitos de largura de banda do protocolo RDP.

A latência da conexão varia, dependendo da localização dos usuários e das VMs. Os serviços da Área de Trabalho Virtual do Azure são distribuídos continuamente em novas geografias para melhorar a latência. Para minimizar a latência que os clientes da Área de Trabalho Virtual do Azure experimentam, use o Avaliador de Experiência da Área de Trabalho Virtual do Azure. Essa ferramenta fornece amostras de tempo de ida e volta (RTT) dos clientes. Você pode usar essas informações para colocar os hosts da sessão na região mais próxima dos usuários finais e com o RTT mais baixo. Para obter informações sobre como interpretar os resultados da ferramenta de estimador, consulte Analisar a qualidade da conexão na Área de Trabalho Virtual do Azure.

QoS com RDP Shortpath

O RDP Shortpath para redes gerenciadas fornece um transporte direto baseado em UDP entre um cliente de Área de Trabalho Remota e um host de sessão. O RDP Shortpath para redes gerenciadas fornece uma maneira de configurar políticas de QoS para os dados RDP. A QoS na Área de Trabalho Virtual do Azure permite que o tráfego RDP em tempo real sensível a atrasos de rede "corte na fila" na frente do tráfego menos confidencial.

Você pode usar o RDP Shortpath de duas maneiras:

  • Em redes gerenciadas, em que a conectividade direta é estabelecida entre o cliente e o host da sessão quando você usa uma conexão privada, como uma conexão do ExpressRoute ou uma VPN.
  • Em redes públicas, onde a conectividade direta é estabelecida entre o cliente e o host da sessão quando você usa uma conexão pública. Exemplos de conexões públicas incluem redes domésticas, redes de cafeterias e redes de hotéis. Há dois tipos de conexão possíveis quando você usa uma conexão pública:

    • Uma conexão UDP direta entre um cliente e um host de sessão que usa o protocolo STUN.

    • Uma conexão UDP indireta que usa o protocolo TURN com uma retransmissão entre um cliente RDP e um host de sessão. Essa opção será usada se o gateway ou roteador não permitir conexões UDP diretas.

      Observação

      O uso do RDP Shortpath para redes públicas com o TURN para a Área de Trabalho Virtual do Azure está atualmente em versão prévia. Para obter mais informações, consulte RDP Shortpath para a Área de Trabalho Virtual do Azure.

O caminho RDP estende os recursos de transporte múltiplo do RDP. Ele não substitui o transporte de conexão reversa, mas o complementa.

A intermediação de sessão inicial é gerenciada por meio do serviço da Área de Trabalho Virtual do Azure e do transporte de conexão reversa, que é baseado em TCP. Todas as tentativas de conexão são ignoradas, a menos que correspondam primeiro à sessão de conexão reversa.

O RDP Shortpath, que é baseado em UDP, é estabelecido após a autenticação. Se o RDP Shortpath for estabelecido com êxito, o transporte de conexão reversa será descartado. Em seguida, todo o tráfego flui por um dos métodos RDP Shortpath listados anteriormente nesta seção.

Para obter mais informações, consulte Implementar QoS (Qualidade de Serviço) para a Área de Trabalho Virtual do Azure.

Internet

Os recursos de computação e os clientes da Área de Trabalho Virtual do Azure exigem acesso a pontos de extremidade públicos específicos, portanto, eles precisam de conexões vinculadas à Internet. Cenários de rede, como túnel forçado para aprimorar a segurança e a filtragem, têm suporte quando os requisitos da Área de Trabalho Virtual do Azure são atendidos.

Para entender os requisitos para hosts de sessão e dispositivos cliente da Área de Trabalho Virtual do Azure, consulte URLs necessárias para a Área de Trabalho Virtual do Azure.

Requisitos de porta e protocolo

Os modelos de conexão da Área de Trabalho Virtual do Azure usam as seguintes portas e protocolos:

  • Modelo padrão: 443/TCP
  • Modelo RDP Shortpath: 443/TCP e 3390/UDP ou 3478/UDP para o protocolo STUN ou TURN

Continuidade dos negócios e recuperação de desastres

Para continuidade dos negócios e recuperação de desastres, é necessária uma determinada configuração de rede. Especificamente, para implantar e recuperar recursos em um ambiente de destino, use uma das seguintes configurações:

  • Uma configuração de rede com os mesmos recursos do ambiente de origem
  • Uma configuração de rede que tem conectividade com serviços de identidade e DNS

Próximas etapas

Saiba mais sobre a organização de recursos para um cenário de escala empresarial da Área de Trabalho Virtual do Azure.

Organização do recurso