Planejar e implementar uma solução de Link Privado do Azure para a Área de Trabalho Virtual do Azure

  • 5 minutos

Você pode usar o Link Privado do Azure com a Área de Trabalho Virtual do Azure para se conectar de forma privada aos seus recursos remotos. Ao criar um ponto de extremidade privado, o tráfego entre sua rede virtual e o serviço permanece na rede da Microsoft, portanto, você não precisa mais expor seu serviço à Internet pública. Você também usa uma VPN ou o ExpressRoute para seus usuários com o cliente de Área de Trabalho Remota para se conectar à rede virtual. Manter o tráfego dentro da rede Microsoft melhora a segurança e mantém seus dados seguros.

Esta unidade descreve como o Link Privado pode te ajudar a proteger seu ambiente de Área de Trabalho Virtual do Azure.

A Área de Trabalho Virtual do Azure tem três fluxos de trabalho com três tipos de recursos correspondentes para usar com pontos de extremidade privados. Estes fluxos de trabalho são:

  • Descoberta inicial do feed: permite que o cliente descubra todos os workspaces atribuídos a um usuário. Para habilitar esse processo, você deve criar um único ponto de extremidade privado para o sub-recurso global para qualquer workspace. No entanto, você pode criar somente um ponto de extremidade privado em toda a implantação da Área de Trabalho Virtual do Azure. Esse ponto de extremidade cria entradas DNS (Sistema de Nomes de Domínio) e rotas de IP privadas para o FQDN (nome de domínio totalmente qualificado) global necessário para a descoberta inicial do feed. Essa conexão se torna uma rota única e compartilhada para todos os clientes usarem.
  • Download do feed: o cliente baixa todos os detalhes de conexão de um usuário específico para os workspaces que hospedam seus grupos de aplicativos. Você cria um ponto de extremidade privado para o sub-recurso de feed para cada workspace que deseja usar com o Link Privado.
  • Conexões com pools de hosts: cada conexão com um pool de hosts tem dois lados: clientes e hosts de sessão. Crie um ponto de extremidade privado para o sub-recurso de conexão para cada pool de hosts que deseja usar com o Link Privado.

O diagrama de alto nível a seguir mostra como o Link Privado conecta com segurança um cliente local ao serviço da Área de Trabalho Virtual do Azure. Para obter informações mais detalhadas sobre conexões de cliente, consulte Sequência de conexão do cliente.

Um diagrama de alto nível que mostra o Link Privado conectando um cliente local ao serviço da Área de Trabalho Virtual do Azure.

Cenários com suporte

Ao adicionar o Link Privado com a Área de Trabalho Virtual do Azure, você tem os seguintes cenário com suporte para se conectar à Área de Trabalho Virtual do Azure. Qual cenário você escolher depende de suas necessidades. Você pode compartilhar esses pontos de extremidade privados em sua topologia de rede ou isolar suas redes virtuais, para assim cada um ter seu próprio ponto de extremidade privado para o pool de hosts ou workspace.

  • Todas as partes da conexão: descoberta de feed inicial, download de feed e conexões de sessão remota para clientes e hosts de sessão, usam rotas privadas. Você precisa dos seguintes pontos de extremidade privados:

    Finalidade Tipo de recurso Sub-recurso de destino Quantidade de pontos de extremidade
    Conexões com pools de hosts Microsoft.DesktopVirtualization/hostpools connection Um por pool de host
    Download do feed Microsoft.DesktopVirtualization/workspaces feed Um por workspace
    Descoberta inicial do feed Microsoft.DesktopVirtualization/workspaces global Apenas um para todas as implantações da Área de Trabalho Virtual do Azure

  • O download de feed e as conexões de sessão remota para clientes e hosts de sessão usam rotas privadas, mas a descoberta de feed inicial usa rotas públicas. Você precisa dos seguintes pontos de extremidade privados. O ponto de extremidade para a descoberta de feed inicial não é necessário.

    Finalidade Tipo de recurso Sub-recurso de destino Quantidade de pontos de extremidade
    Conexões com pools de hosts Microsoft.DesktopVirtualization/hostpools connection Um por pool de host
    Download do feed Microsoft.DesktopVirtualization/workspaces feed Um por workspace

  • Somente conexões de sessão remota para clientes e hosts de sessão usam rotas privadas, mas a descoberta de feed inicial e o download de feed usam rotas públicas. Você precisa dos pontos de extremidade privados a seguir. Não são necessários pontos de extremidade para workspaces.

    Finalidade Tipo de recurso Sub-recurso de destino Quantidade de pontos de extremidade
    Conexões com pools de hosts Microsoft.DesktopVirtualization/hostpools connection Um por pool de host

  • As VMs de host de sessão e de clientes usam rotas públicas. O Link Privado não é usado neste cenário.

Considerações importantes

  • Se você criar um ponto de extremidade privado para a descoberta de feed inicial, o espaço de trabalho usado para o sub-recurso global irá reger o Nome de Domínio Totalmente Qualificado (FQDN) compartilhado, facilitando a descoberta inicial de feeds em todos os espaços de trabalho. Você deve criar um espaço de trabalho separado que seja usado somente para essa finalidade e não tenha nenhum grupo de aplicativos registrado. A exclusão desse espaço de trabalho fará com que todos os processos de descoberta de feed parem de funcionar.
  • Não é possível controlar o acesso ao workspace usado para a descoberta inicial do feed (sub-recurso global). Se você configurar esse workspace para permitir apenas o acesso particular, a configuração será ignorada. Esse workspace é sempre acessível a partir de rotas públicas.