Planejar e implementar uma solução de Link Privado do Azure para a Área de Trabalho Virtual do Azure

  • 5 minutos

Você pode usar o Azure Private Link com a Área de Trabalho Virtual do Azure para se conectar de forma privada aos seus recursos remotos. Ao criar um ponto de extremidade privado, o tráfego entre sua rede virtual e o serviço permanece na rede da Microsoft, portanto, você não precisa mais expor seu serviço à Internet pública. Você também usa uma VPN ou Rota Expressa para seus usuários com o cliente de Área de Trabalho Remota para se conectar à rede virtual. Manter o tráfego na rede Microsoft melhora a segurança e mantém os seus dados seguros.

Esta unidade descreve como o Private Link pode ajudá-lo a proteger seu ambiente de Área de Trabalho Virtual do Azure.

A Área de Trabalho Virtual do Azure tem três fluxos de trabalho com três tipos de recursos correspondentes para usar com pontos de extremidade privados. Esses fluxos de trabalho são:

  • Descoberta inicial de feed: permite que o cliente descubra todos os espaços de trabalho atribuídos a um usuário. Para habilitar esse processo, você deve criar um único ponto de extremidade privado para o subrecurso global para qualquer espaço de trabalho. No entanto, você só pode criar um ponto de extremidade privado em toda a implantação da Área de Trabalho Virtual do Azure. Este ponto de extremidade cria entradas DNS (Sistema de Nomes de Domínio) e rotas IP privadas para o FQDN (nome de domínio totalmente qualificado) global necessário para a descoberta inicial de feed. Essa conexão se torna uma rota única e compartilhada para todos os clientes usarem.
  • Download de feed: o cliente baixa todos os detalhes de conexão de um usuário específico para os espaços de trabalho que hospedam seus grupos de aplicativos. Você cria um ponto de extremidade privado para o subrecurso de feed para cada espaço de trabalho que deseja usar com o Private Link.
  • Conexões com pools de hosts: cada conexão com um pool de hosts tem dois lados - clientes e hosts de sessão. Você precisa criar um ponto de extremidade privado para o subrecurso de conexão para cada pool de hosts que deseja usar com o Private Link.

O diagrama de alto nível a seguir mostra como o Private Link conecta com segurança um cliente local ao serviço de Área de Trabalho Virtual do Azure. Para obter informações mais detalhadas sobre conexões de cliente, consulte Sequência de conexão de cliente.

Um diagrama de alto nível que mostra o Link Privado conectando um cliente local ao serviço de Área de Trabalho Virtual do Azure.

Cenários suportados

Ao adicionar o Link Privado com a Área de Trabalho Virtual do Azure, você tem os seguintes cenários com suporte para se conectar à Área de Trabalho Virtual do Azure. O cenário escolhido depende dos seus requisitos. Você pode compartilhar esses pontos de extremidade privados em sua topologia de rede ou isolar suas redes virtuais para que cada uma tenha seu próprio ponto de extremidade privado para o pool de hosts ou espaço de trabalho.

  • Todas as partes da conexão - descoberta inicial de feed, download de feed e conexões de sessão remota para clientes e hosts de sessão - usam rotas privadas. Você precisa dos seguintes pontos de extremidade privados:

    Objetivo Tipo de recurso Subrecurso de destino Quantidade do ponto final
    Conexões com pools de hosts Microsoft.DesktopVirtualization/hostpools ligação Um por grupo de anfitriões
    Download do feed Microsoft.DesktopVirtualization/workspaces feed Um por espaço de trabalho
    Descoberta inicial de feed Microsoft.DesktopVirtualization/workspaces global Apenas uma para todas as suas implantações da Área de Trabalho Virtual do Azure

  • O download de feed e as conexões de sessão remota para clientes e hosts de sessão usam rotas privadas, mas a descoberta inicial de feed usa rotas públicas. Você precisa dos seguintes pontos de extremidade privados. O ponto de extremidade para a descoberta inicial de feed não é necessário.

    Objetivo Tipo de recurso Subrecurso de destino Quantidade do ponto final
    Conexões com pools de hosts Microsoft.DesktopVirtualization/hostpools ligação Um por grupo de anfitriões
    Download do feed Microsoft.DesktopVirtualization/workspaces feed Um por espaço de trabalho

  • Somente conexões de sessão remotas para clientes e hosts de sessão usam rotas privadas, mas a descoberta inicial de feed e o download de feed usam rotas públicas. Você precisa do(s) seguinte(s) ponto(s) de extremidade privado(s). Os pontos de extremidade para espaços de trabalho não são necessários.

    Objetivo Tipo de recurso Subrecurso de destino Quantidade do ponto final
    Conexões com pools de hosts Microsoft.DesktopVirtualization/hostpools ligação Um por grupo de anfitriões

  • Tanto os clientes quanto as VMs do host de sessão usam rotas públicas. Private Link não é usado neste cenário.

Considerações importantes

  • Se você criar um ponto de extremidade privado para a descoberta inicial de feeds, o espaço de trabalho usado para o subrecurso global controlará o FQDN (Nome de Domínio Totalmente Qualificado) compartilhado, facilitando a descoberta inicial de feeds em todos os espaços de trabalho. Você deve criar um espaço de trabalho separado que seja usado apenas para essa finalidade e não tenha nenhum grupo de aplicativos registrado nele. A exclusão desse espaço de trabalho fará com que todos os processos de descoberta de feed parem de funcionar.
  • Não é possível controlar o acesso ao espaço de trabalho usado para a descoberta inicial do feed (subrecurso global). Se você configurar esse espaço de trabalho para permitir apenas acesso privado, a configuração será ignorada. Este espaço de trabalho está sempre acessível a partir de vias públicas.