Konfigurera Private Link med Azure Virtual Desktop

Artikel
06/24/2024

Den här artikeln visar hur du konfigurerar Private Link med Azure Virtual Desktop för privat anslutning till dina fjärrresurser. Mer information om hur du använder Private Link med Azure Virtual Desktop, inklusive begränsningar, finns i Azure Private Link med Azure Virtual Desktop.

Förutsättningar

För att kunna använda Private Link med Azure Virtual Desktop behöver du följande:

En befintlig värdpool med sessionsvärdar, en programgrupp och arbetsyta.
Ett befintligt virtuellt nätverk och undernät som du vill använda för privata slutpunkter.
De behörigheter för rollbaserad åtkomstkontroll i Azure som krävs för att skapa privata slutpunkter.
En app som stöds på en lokal enhet för åtkomst till en fjärrsession:
- Fjärrskrivbordsapp på valfri plattform. Om du använder Fjärrskrivbordsklienten för Windows måste du använda version 1.2.4066 eller senare för att ansluta med en privat slutpunkt.
- Windows App på macOS eller iOS/iPadOS.
Om du vill använda Azure CLI eller Azure PowerShell lokalt kan du läsa Använda Azure CLI och Azure PowerShell med Azure Virtual Desktop för att se till att du har Azure CLI-tillägget för skrivbordsmiljö eller Az.DesktopVirtualization PowerShell-modulen installerad. Du kan också använda Azure Cloud Shell.
Azure PowerShell-cmdletar för Azure Virtual Desktop som stöder Private Link finns i förhandsversion. Du måste ladda ned och installera förhandsversionen av modulen Az.DesktopVirtualization för att kunna använda dessa cmdletar, som har lagts till i version 5.0.0.

Aktivera Private Link med Azure Virtual Desktop i en prenumeration

Om du vill använda Private Link med Azure Virtual Desktop måste du registrera resursprovidern Microsoft.DesktopVirtualization på varje prenumeration som du vill använda Private Link med Azure Virtual Desktop.

Välj relevant flik för ditt scenario.

Azure
Azure US Gov och 21Vianet

Registrera om Azure Virtual Desktop-resursprovidern

Innan du kan använda Private Link med Azure Virtual Desktop måste du registrera om resursprovidern Microsoft.DesktopVirtualization . Du måste göra detta för varje prenumeration som du vill använda för Private Link med Azure Virtual Desktop:

Logga in på Azure-portalen.
I sökfältet anger du Prenumerationer och väljer posten matchande tjänst.
Välj namnet på din prenumeration och välj sedan Resursprovidrar i avsnittet Inställningar.
Sök efter och välj Microsoft.DesktopVirtualization och välj sedan Registrera igen.
Kontrollera att statusen för Microsoft.DesktopVirtualization är Registrerad.

Skapa privata slutpunkter

Under installationsprocessen måste du skapa privata slutpunkter till följande resurser, beroende på ditt scenario.

Alla delar av anslutningen – första feedidentifiering, feednedladdning och fjärrsessionsanslutningar för klienter och sessionsvärdar – använder privata vägar. Du behöver följande privata slutpunkter:

Syfte	Resurstyp	Målunderresurs	Slutpunktskvantitet
Anslutningar till värdpooler	Microsoft.DesktopVirtualization/hostpools	anslutning	En per värdpool
Nedladdning av feed	Microsoft.DesktopVirtualization/workspaces	feed	En per arbetsyta
Första feedidentifiering	Microsoft.DesktopVirtualization/workspaces	globalt	Endast en för alla dina Azure Virtual Desktop-distributioner

Feed-nedladdning och fjärrsessionsanslutningar för klienter och sessionsvärdar använder privata vägar, men den första feedidentifieringen använder offentliga vägar. Du behöver följande privata slutpunkter. Slutpunkten för den första feedidentifieringen krävs inte.

Syfte	Resurstyp	Målunderresurs	Slutpunktskvantitet
Anslutningar till värdpooler	Microsoft.DesktopVirtualization/hostpools	anslutning	En per värdpool
Nedladdning av feed	Microsoft.DesktopVirtualization/workspaces	feed	En per arbetsyta

Endast fjärrsessionsanslutningar för klienter och sessionsvärdar använder privata vägar, men den första feedidentifieringen och feednedladdningen använder offentliga vägar. Du behöver följande privata slutpunkter. Slutpunkter till arbetsytor krävs inte.

Syfte Resurstyp Målunderresurs Slutpunktskvantitet

Anslutningar till värdpooler Microsoft.DesktopVirtualization/hostpools anslutning En per värdpool
Både klienter och virtuella sessionsvärddatorer använder offentliga vägar. Private Link används inte i det här scenariot.

Viktigt!

Om du skapar en privat slutpunkt för den första feedidentifieringen styr arbetsytan som används för den globala underresursen det delade fullständigt kvalificerade domännamnet (FQDN), vilket underlättar den första identifieringen av feeds över alla arbetsytor. Du bör skapa en separat arbetsyta som endast används för detta ändamål och som inte har några programgrupper registrerade i den. Om du tar bort den här arbetsytan slutar alla flödesidentifieringsprocesser att sluta fungera.
Du kan inte styra åtkomsten till arbetsytan som används för den första feedidentifieringen (global underresurs). Om du konfigurerar den här arbetsytan så att den endast tillåter privat åtkomst ignoreras inställningen. Den här arbetsytan är alltid tillgänglig från offentliga vägar.
IP-adressallokeringar kan komma att ändras när efterfrågan på IP-adresser ökar. Under kapacitetsökningar behövs ytterligare adresser för privata slutpunkter. Det är viktigt att du överväger potentiellt utrymmesutmattning och säkerställer tillräckligt med utrymme för tillväxt. Mer information om hur du fastställer lämplig nätverkskonfiguration för privata slutpunkter i en hubb eller en ekertopologi finns i Beslutsträd för Private Link-distribution.

Anslutningar till värdpooler

Om du vill skapa en privat slutpunkt för anslutningsunderresursen för anslutningar till en värdpool väljer du relevant flik för ditt scenario och följer stegen.

Så här skapar du en privat slutpunkt för anslutningsunderresursen för anslutningar till en värdpool med hjälp av Azure Portal.

Logga in på Azure-portalen.
I sökfältet skriver du Azure Virtual Desktop och väljer den matchande tjänstposten för att gå till Översikt över Azure Virtual Desktop.
Välj Värdpooler och välj sedan namnet på den värdpool som du vill skapa en anslutningsunderresurs för.
I översikten över värdpoolen väljer du Nätverk, sedan Privata slutpunktsanslutningar och slutligen Ny privat slutpunkt.

På fliken Grundläggande fyller du i följande information:

Parameter	Värde/beskrivning
Prenumeration	Välj den prenumeration som du vill skapa den privata slutpunkten i från listrutan.
Resursgrupp	Detta är automatiskt samma resursgrupp som din arbetsyta för den privata slutpunkten, men du kan också välja en alternativ befintlig i listrutan eller skapa en ny.
Name	Ange ett namn för den nya privata slutpunkten.
Namn på nätverksgränssnitt	Namnet på nätverksgränssnittet fylls i automatiskt baserat på namnet du gav den privata slutpunkten, men du kan också ange ett annat namn.
Region	Detta är automatiskt samma Azure-region som arbetsytan och är där den privata slutpunkten distribueras. Detta måste vara samma region som dina virtuella nätverk och sessionsvärdar.

När du har slutfört den här fliken väljer du Nästa: Resurs.

På fliken Resurs verifierar du värdena för Prenumeration, Resurstyp och Resurs. Välj sedan anslutning för Underresurs för Mål. När du har slutfört den här fliken väljer du Nästa: Virtuellt nätverk.

På fliken Virtuellt nätverk fyller du i följande information:

Parameter	Värde/beskrivning
Virtuellt nätverk	Välj det virtuella nätverk som du vill skapa den privata slutpunkten i från listrutan.
Undernät	Välj undernätet för det virtuella nätverk som du vill skapa den privata slutpunkten i från listrutan.
Nätverksprincip för privata slutpunkter	Välj redigera om du vill välja en nätverksprincip för undernätet. Mer information finns i Hantera nätverksprinciper för privata slutpunkter.
Privat IP-konfiguration	Välj Dynamiskt allokera IP-adress eller Statiskt allokera IP-adress. Adressutrymmet kommer från det undernät som du har valt. Om du väljer att statiskt allokera IP-adresser måste du fylla i namn och privat IP för varje medlem i listan.
Programsäkerhetsgrupp	Valfritt: Välj en befintlig programsäkerhetsgrupp för den privata slutpunkten i listrutan eller skapa en ny. Du kan också lägga till en senare.

När du har slutfört den här fliken väljer du Nästa: DNS.

På fliken DNS väljer du om du vill använda Azure Privat DNS Zone genom att välja Ja eller Nej för Integrera med privat DNS-zon. Om du väljer Ja väljer du den prenumeration och resursgrupp där du vill skapa den privata DNS-zonen privatelink.wvd.microsoft.com. Mer information finns i DNS-konfiguration för privat slutpunkt i Azure.

När du har slutfört den här fliken väljer du Nästa: Taggar.
Valfritt: På fliken Taggar kan du ange de namn/värdepar du behöver och sedan välja Nästa: Granska + skapa.
På fliken Granska + skapa kontrollerar du att verifieringen godkänns och granskar den information som används under distributionen.
Välj Skapa för att skapa den privata slutpunkten för anslutningsunderresursen.

Så här skapar du en privat slutpunkt för anslutningsunderresursen som används för anslutningar till en värdpool med hjälp av PowerShell-modulerna Az.Network och Az.DesktopVirtualization. Se till att ändra <placeholder> värdena för dina egna.

Öppna Azure Cloud Shell i Azure Portal med PowerShell-terminaltypen eller kör PowerShell på din lokala enhet.
- Om du använder Cloud Shell kontrollerar du att Azure-kontexten är inställd på den prenumeration som du vill använda.
- Om du använder PowerShell lokalt loggar du först in med Azure PowerShell och kontrollerar sedan att Azure-kontexten är inställd på den prenumeration som du vill använda.

Hämta information om det virtuella nätverk och undernät som du vill använda för den privata slutpunkten och lagra dem i en variabel genom att köra följande kommandon:

# Get the subnet details for the virtual network
$subnet = (Get-AzVirtualNetwork -Name <VNetName> -ResourceGroupName <ResourceGroupName>).Subnets | ? Name -eq <SubnetName>

Skapa en Private Link-tjänstanslutning för en värdpool med anslutningsunderresursen genom att köra följande kommandon.

# Get the resource ID of the host pool
$hostPoolId = (Get-AzWvdHostPool -Name <HostPoolName> -ResourceGroupName <ResourceGroupName>).Id

# Create the service connection
$parameters = @{
    Name = '<ServiceConnectionName>'
    PrivateLinkServiceId = $hostPoolId
    GroupId = 'connection'
}

$serviceConnection = New-AzPrivateLinkServiceConnection @parameters

Skapa slutligen den privata slutpunkten genom att köra kommandona i något av följande exempel.

Så här skapar du en privat slutpunkt med en dynamiskt allokerad IP-adress:

# Specify the Azure region. This must be the same region as your virtual network and session hosts.
$location = '<Location>'

# Create the private endpoint
$parameters = @{
    Name = '<PrivateEndpointName>'
    ResourceGroupName = '<ResourceGroupName>'
    Location = $location
    Subnet = $subnet
    PrivateLinkServiceConnection = $serviceConnection
}

New-AzPrivateEndpoint @parameters

Så här skapar du en privat slutpunkt med statiskt allokerade IP-adresser:

# Specify the Azure region. This must be the same region as your virtual network and session hosts.
$location = '<Location>'

# Create a hash table for each private endpoint IP configuration
$ip1 = @{
    Name = 'ipconfig1'
    GroupId = 'connection'
    MemberName = 'broker'
    PrivateIPAddress = '<IPAddress>'
}

$ip2 = @{
    Name = 'ipconfig2'
    GroupId = 'connection'
    MemberName = 'diagnostics'
    PrivateIPAddress = '<IPAddress>'
}

$ip3 = @{
    Name = 'ipconfig3'
    GroupId = 'connection'
    MemberName = 'gateway-ring-map'
    PrivateIPAddress = '<IPAddress>'
}

$ip4 = @{
    Name = 'ipconfig4'
    GroupId = 'connection'
    MemberName = 'web'
    PrivateIPAddress = '<IPAddress>'
}

# Create the private endpoint IP configurations
$ipConfig1 = New-AzPrivateEndpointIpConfiguration @ip1
$ipConfig2 = New-AzPrivateEndpointIpConfiguration @ip2
$ipConfig3 = New-AzPrivateEndpointIpConfiguration @ip3
$ipConfig4 = New-AzPrivateEndpointIpConfiguration @ip4

# Create the private endpoint
$parameters = @{
    Name = '<PrivateEndpointName>'
    ResourceGroupName = '<ResourceGroupName>'
    Location = $location
    Subnet = $subnet
    PrivateLinkServiceConnection = $serviceConnection
    IpConfiguration = $ipConfig1, $ipConfig2, $ipConfig3, $ipConfig4
}

New-AzPrivateEndpoint @parameters

Dina utdata bör likna följande utdata. Kontrollera att värdet för ProvisioningState är Lyckades.

ResourceGroupName Name            Location ProvisioningState Subnet
----------------- ----            -------- ----------------- ------
privatelink       endpoint-hp01   uksouth  Succeeded

Du måste konfigurera DNS för din privata slutpunkt för att matcha DNS-namnet på den privata slutpunkten i det virtuella nätverket. Namnet på den privata DNS-zonen är privatelink.wvd.microsoft.com. Stegen för att skapa och konfigurera den privata DNS-zonen med Azure PowerShell finns i Konfigurera den privata DNS-zonen.

Så här skapar du en privat slutpunkt för anslutningsunderresursen som används för anslutningar till en värdpool med hjälp av nätverks- och skrivbordsvirtualiseringstilläggen för Azure CLI.

Viktigt!

I följande exempel måste du ändra <placeholder> värdena för dina egna.

Öppna Azure Cloud Shell i Azure Portal med Bash-terminaltypen eller kör Azure CLI på din lokala enhet.
- Om du använder Cloud Shell kontrollerar du att Azure-kontexten är inställd på den prenumeration som du vill använda.
- Om du använder Azure CLI lokalt loggar du först in med Azure CLI och kontrollerar sedan att Azure-kontexten är inställd på den prenumeration som du vill använda.

Skapa en Private Link-tjänstanslutning och den privata slutpunkten för en värdpool med anslutningsunderresursen genom att köra kommandona i något av följande exempel.

Så här skapar du en privat slutpunkt med en dynamiskt allokerad IP-adress:

# Specify the Azure region. This must be the same region as your virtual network and session hosts.
location=<Location>

# Get the resource ID of the host pool
hostPoolId=$(az desktopvirtualization hostpool show \
    --name <HostPoolName> \
    --resource-group <ResourceGroupName> \
    --query [id] \
    --output tsv)

# Create a service connection and the private endpoint
az network private-endpoint create \
    --name <PrivateEndpointName> \
    --resource-group <ResourceGroupName> \
    --location $location \
    --vnet-name <VNetName> \
    --subnet <SubnetName> \
    --connection-name <ConnectionName> \
    --private-connection-resource-id $hostPoolId \
    --group-id connection \
    --output table

Så här skapar du en privat slutpunkt med statiskt allokerade IP-adresser:

# Specify the Azure region. This must be the same region as your virtual network and session hosts.
location=<Location>

# Get the resource ID of the host pool
hostPoolId=$(az desktopvirtualization hostpool show \
    --name <HostPoolName> \
    --resource-group <ResourceGroupName> \
    --query [id] \
    --output tsv)

# Store each private endpoint IP configuration in a variable
ip1={name:ipconfig1,group-id:connection,member-name:broker,private-ip-address:<IPAddress>}
ip2={name:ipconfig2,group-id:connection,member-name:diagnostics,private-ip-address:<IPAddress>}
ip3={name:ipconfig3,group-id:connection,member-name:gateway-ring-map,private-ip-address:<IPAddress>}
ip4={name:ipconfig4,group-id:connection,member-name:web,private-ip-address:<IPAddress>}

# Create a service connection and the private endpoint
az network private-endpoint create \
    --name <PrivateEndpointName> \
    --resource-group <ResourceGroupName> \
    --location $location \
    --vnet-name <VNetName> \
    --subnet <SubnetName> \
    --connection-name <ConnectionName> \
    --private-connection-resource-id $hostPoolId \
    --group-id connection \
    --ip-configs [$ip1,$ip2,$ip3,$ip4] \
    --output table

Dina utdata bör likna följande utdata. Kontrollera att värdet för ProvisioningState är Lyckades.

CustomNetworkInterfaceName    Location    Name                  ProvisioningState    ResourceGroup
----------------------------  ----------  --------------------  -------------------  ---------------
                              uksouth     endpoint-hp01         Succeeded            privatelink

Du måste konfigurera DNS för din privata slutpunkt för att matcha DNS-namnet på den privata slutpunkten i det virtuella nätverket. Namnet på den privata DNS-zonen är privatelink.wvd.microsoft.com. Stegen för att skapa och konfigurera den privata DNS-zonen med Azure CLI finns i Konfigurera den privata DNS-zonen.

Viktigt!

Du måste skapa en privat slutpunkt för anslutningsunderresursen för varje värdpool som du vill använda med Private Link.

Nedladdning av feed

Om du vill skapa en privat slutpunkt för feedunderresursen för en arbetsyta väljer du relevant flik för ditt scenario och följer stegen.

I översikten över Azure Virtual Desktop väljer du Arbetsytor och sedan namnet på den arbetsyta som du vill skapa en feedunderresurs för.
I översikten över arbetsytan väljer du Nätverk, sedan Privata slutpunktsanslutningar och slutligen Ny privat slutpunkt.

På fliken Grundläggande fyller du i följande information:

Parameter	Värde/beskrivning
Prenumeration	Välj den prenumeration som du vill skapa den privata slutpunkten i från listrutan.
Resursgrupp	Detta är automatiskt samma resursgrupp som din arbetsyta för den privata slutpunkten, men du kan också välja en alternativ befintlig i listrutan eller skapa en ny.
Name	Ange ett namn för den nya privata slutpunkten.
Namn på nätverksgränssnitt	Namnet på nätverksgränssnittet fylls i automatiskt baserat på namnet du gav den privata slutpunkten, men du kan också ange ett annat namn.
Region	Detta är automatiskt samma Azure-region som arbetsytan och är där den privata slutpunkten distribueras. Detta måste vara samma region som det virtuella nätverket.

När du har slutfört den här fliken väljer du Nästa: Resurs.

På fliken Resurs verifierar du värdena för Prenumeration, Resurstyp och Resurs. Välj sedan feed för Underresurs för Mål. När du har slutfört den här fliken väljer du Nästa: Virtuellt nätverk.

På fliken Virtuellt nätverk fyller du i följande information:

Parameter	Värde/beskrivning
Virtuellt nätverk	Välj det virtuella nätverk som du vill skapa den privata slutpunkten i från listrutan.
Undernät	Välj undernätet för det virtuella nätverk som du vill skapa den privata slutpunkten i från listrutan.
Nätverksprincip för privata slutpunkter	Välj redigera om du vill välja en nätverksprincip för undernätet. Mer information finns i Hantera nätverksprinciper för privata slutpunkter.
Privat IP-konfiguration	Välj Dynamiskt allokera IP-adress eller Statiskt allokera IP-adress. Adressutrymmet kommer från det undernät som du har valt. Om du väljer att statiskt allokera IP-adresser måste du fylla i namn och privat IP för varje medlem i listan.
Programsäkerhetsgrupp	Valfritt: Välj en befintlig programsäkerhetsgrupp för den privata slutpunkten i listrutan eller skapa en ny. Du kan också lägga till en senare.

När du har slutfört den här fliken väljer du Nästa: DNS.

På fliken DNS väljer du om du vill använda Azure Privat DNS Zone genom att välja Ja eller Nej för Integrera med privat DNS-zon. Om du väljer Ja väljer du den prenumeration och resursgrupp där du vill skapa den privata DNS-zonen privatelink.wvd.microsoft.com. Mer information finns i DNS-konfiguration för privat slutpunkt i Azure.

När du har slutfört den här fliken väljer du Nästa: Taggar.
Valfritt: På fliken Taggar kan du ange de namn/värdepar du behöver och sedan välja Nästa: Granska + skapa.
På fliken Granska + skapa kontrollerar du att verifieringen godkänns och granskar den information som används under distributionen.
Välj Skapa för att skapa den privata slutpunkten för feedunderresursen.

I samma PowerShell-session skapar du en Private Link-tjänstanslutning för en arbetsyta med feedunderresursen genom att köra följande kommandon. I de här exemplen används samma virtuella nätverk och undernät.

# Get the resource ID of the workspace
$workspaceId = (Get-AzWvdWorkspace -Name <WorkspaceName> -ResourceGroupName <ResourceGroupName>).Id

# Create the service connection
$parameters = @{
    Name = '<ServiceConnectionName>'
    PrivateLinkServiceId = $workspaceId
    GroupId = 'feed'
}

$serviceConnection = New-AzPrivateLinkServiceConnection @parameters

Skapa slutligen den privata slutpunkten genom att köra kommandona i något av följande exempel.

Så här skapar du en privat slutpunkt med en dynamiskt allokerad IP-adress:

# Specify the Azure region. This must be the same region as your virtual network.
$location = '<Location>'

# Create the private endpoint
$parameters = @{
    Name = '<PrivateEndpointName>'
    ResourceGroupName = '<ResourceGroupName>'
    Location = $location
    Subnet = $subnet
    PrivateLinkServiceConnection = $serviceConnection
}

New-AzPrivateEndpoint @parameters

Så här skapar du en privat slutpunkt med en statiskt allokerad IP-adress:

# Specify the Azure region. This must be the same region as your virtual network.
$location = '<Location>'

# Create a hash table for each private endpoint IP configuration
$ip1 = @{
    Name = 'ipconfig1'
    GroupId = 'feed'
    MemberName = 'web-r1'
    PrivateIPAddress = '<IPAddress>'
}

$ip2 = @{
    Name = 'ipconfig2'
    GroupId = 'feed'
    MemberName = 'web-r0'
    PrivateIPAddress = '<IPAddress>'
}

# Create the private endpoint IP configurations
$ipConfig1 = New-AzPrivateEndpointIpConfiguration @ip1
$ipConfig2 = New-AzPrivateEndpointIpConfiguration @ip2

# Create the private endpoint
$parameters = @{
    Name = '<PrivateEndpointName>'
    ResourceGroupName = '<ResourceGroupName>'
    Location = $location
    Subnet = $subnet
    PrivateLinkServiceConnection = $serviceConnection
    IpConfiguration = $ipConfig1, $ipConfig2
}

New-AzPrivateEndpoint @parameters

Dina utdata bör likna följande. Kontrollera att värdet för ProvisioningState är Lyckades.

ResourceGroupName Name            Location ProvisioningState Subnet
----------------- ----            -------- ----------------- ------
privatelink       endpoint-ws01   uksouth  Succeeded

Du måste konfigurera DNS för din privata slutpunkt för att matcha DNS-namnet på den privata slutpunkten i det virtuella nätverket. Namnet på den privata DNS-zonen är privatelink.wvd.microsoft.com. Stegen för att skapa och konfigurera den privata DNS-zonen med Azure PowerShell finns i Konfigurera den privata DNS-zonen.

I samma CLI-session skapar du en Private Link-tjänstanslutning och den privata slutpunkten för en arbetsyta med feedunderresursen genom att köra följande kommandon.

Så här skapar du en privat slutpunkt med en dynamiskt allokerad IP-adress:

# Specify the Azure region. This must be the same region as your virtual network.
location=<Location>

# Get the resource ID of the workspace
workspaceId=$(az desktopvirtualization workspace show \
    --name <WorkspaceName> \
    --resource-group <ResourceGroupName> \
    --query [id] \
    --output tsv)

# Create a service connection and the private endpoint
az network private-endpoint create \
    --name <PrivateEndpointName> \
    --resource-group <ResourceGroupName> \
    --location $location \
    --vnet-name <VNetName> \
    --subnet <SubnetName> \
    --connection-name <ConnectionName> \
    --private-connection-resource-id $workspaceId \
    --group-id feed \
    --output table

Så här skapar du en privat slutpunkt med statiskt allokerade IP-adresser:

# Specify the Azure region. This must be the same region as your virtual network.
location=<Location>

# Get the resource ID of the workspace
workspaceId=$(az desktopvirtualization workspace show \
    --name <WorkspaceName> \
    --resource-group <ResourceGroupName> \
    --query [id] \
    --output tsv)

# Store each private endpoint IP configuration in a variable
ip1={name:ipconfig1,group-id:feed,member-name:web-r1,private-ip-address:<IPAddress>}
ip2={name:ipconfig2,group-id:feed,member-name:web-r0,private-ip-address:<IPAddress>}

# Create a service connection and the private endpoint
az network private-endpoint create \
    --name <PrivateEndpointName> \
    --resource-group <ResourceGroupName> \
    --location $location \
    --vnet-name <VNetName> \
    --subnet <SubnetName> \
    --connection-name <ConnectionName> \
    --private-connection-resource-id $workspaceId \
    --group-id feed \
    --ip-configs [$ip1,$ip2] \
    --output table

Dina utdata bör likna följande. Kontrollera att värdet för ProvisioningState är Lyckades.

CustomNetworkInterfaceName    Location    Name                  ProvisioningState    ResourceGroup
----------------------------  ----------  --------------------  -------------------  ---------------
                              uksouth     endpoint-ws01         Succeeded            privatelink

Du måste konfigurera DNS för din privata slutpunkt för att matcha DNS-namnet på den privata slutpunkten i det virtuella nätverket. Namnet på den privata DNS-zonen är privatelink.wvd.microsoft.com. Stegen för att skapa och konfigurera den privata DNS-zonen med Azure CLI finns i Konfigurera den privata DNS-zonen.

Viktigt!

Du behöver skapa en privat slutpunkt för feedunderresursen för varje arbetsyta som du vill använda med Private Link.

Första feedidentifiering

Om du vill skapa en privat slutpunkt för den globala underresurs som används för den första feedidentifieringen väljer du relevant flik för ditt scenario och följer stegen.

Viktigt!

Skapa bara en privat slutpunkt för den globala underresursen för alla dina Azure Virtual Desktop-distributioner.
En privat slutpunkt till den globala underresursen för en arbetsyta styr det delade fullständigt kvalificerade domännamnet (FQDN) för den första feedidentifieringen. Detta möjliggör i sin tur feedidentifiering för alla arbetsytor. Eftersom arbetsytan som är ansluten till den privata slutpunkten är så viktig kommer borttagningen att leda till att alla processer för flödesidentifiering slutar fungera. Vi rekommenderar att du skapar en oanvänd platshållararbetsyta för den globala underresursen.

I översikten över Azure Virtual Desktop väljer du Arbetsytor och sedan namnet på en arbetsyta som du vill använda för den globala underresursen.
1. Valfritt: Skapa i stället en platshållararbetsyta för att avsluta den globala slutpunkten genom att följa anvisningarna i Skapa en arbetsyta.
I översikten över arbetsytan väljer du Nätverk, sedan Privata slutpunktsanslutningar och slutligen Ny privat slutpunkt.

På fliken Grundläggande fyller du i följande information:

Parameter	Värde/beskrivning
Prenumeration	Välj den prenumeration som du vill skapa den privata slutpunkten i från listrutan.
Resursgrupp	Detta är automatiskt samma resursgrupp som din arbetsyta för den privata slutpunkten, men du kan också välja en alternativ befintlig i listrutan eller skapa en ny.
Name	Ange ett namn för den nya privata slutpunkten.
Namn på nätverksgränssnitt	Namnet på nätverksgränssnittet fylls i automatiskt baserat på namnet du gav den privata slutpunkten, men du kan också ange ett annat namn.
Region	Detta är automatiskt samma Azure-region som arbetsytan och är den plats där den privata slutpunkten ska distribueras. Detta måste vara samma region som det virtuella nätverket.

När du har slutfört den här fliken väljer du Nästa: Resurs.

På fliken Resurs verifierar du värdena för Prenumeration, Resurstyp och Resurs och väljer sedan global för Underresurs för Mål. När du har slutfört den här fliken väljer du Nästa: Virtuellt nätverk.

På fliken Virtuellt nätverk fyller du i följande information:

Parameter	Värde/beskrivning
Virtuellt nätverk	Välj det virtuella nätverk som du vill skapa den privata slutpunkten i från listrutan.
Undernät	Välj undernätet för det virtuella nätverk som du vill skapa den privata slutpunkten i från listrutan.
Nätverksprincip för privata slutpunkter	Välj redigera om du vill välja en nätverksprincip för undernätet. Mer information finns i Hantera nätverksprinciper för privata slutpunkter.
Privat IP-konfiguration	Välj Dynamiskt allokera IP-adress eller Statiskt allokera IP-adress. Adressutrymmet kommer från det undernät som du har valt. Om du väljer att statiskt allokera IP-adresser måste du fylla i namn och privat IP för varje medlem i listan.
Programsäkerhetsgrupp	Valfritt: Välj en befintlig programsäkerhetsgrupp för den privata slutpunkten i listrutan eller skapa en ny. Du kan också lägga till en senare.

När du har slutfört den här fliken väljer du Nästa: DNS.

På fliken DNS väljer du om du vill använda Azure Privat DNS Zone genom att välja Ja eller Nej för Integrera med privat DNS-zon. Om du väljer Ja väljer du den prenumeration och resursgrupp där du vill skapa den privata DNS-zonen privatelink-global.wvd.microsoft.com. Mer information finns i DNS-konfiguration för privat slutpunkt i Azure.

När du har slutfört den här fliken väljer du Nästa: Taggar.
Valfritt: På fliken Taggar kan du ange de namn/värdepar du behöver och sedan välja Nästa: Granska + skapa.
På fliken Granska + skapa kontrollerar du att verifieringen godkänns och granskar den information som används under distributionen.
Välj Skapa för att skapa den privata slutpunkten för den globala underresursen.

Valfritt: Skapa en platshållararbetsyta för att avsluta den globala slutpunkten genom att följa anvisningarna i Skapa en arbetsyta.

I samma PowerShell-session skapar du en Private Link-tjänstanslutning för arbetsytan med den globala underresursen genom att köra följande kommandon. I de här exemplen används samma virtuella nätverk och undernät.

# Get the resource ID of the workspace
$workspaceId = (Get-AzWvdWorkspace -Name <WorkspaceName> -ResourceGroupName <ResourceGroupName>).Id

# Create the service connection
$parameters = @{
    Name = '<ServiceConnectionName>'
    PrivateLinkServiceId = $workspaceId
    GroupId = 'global'
}

$serviceConnection = New-AzPrivateLinkServiceConnection @parameters

Skapa slutligen den privata slutpunkten genom att köra kommandona i något av följande exempel.

Så här skapar du en privat slutpunkt med en dynamiskt allokerad IP-adress:

# Specify the Azure region. This must be the same region as your virtual network.
$location = '<Location>'

# Create the private endpoint
$parameters = @{
    Name = '<PrivateEndpointName>'
    ResourceGroupName = '<ResourceGroupName>'
    Location = $location
    Subnet = $subnet
    PrivateLinkServiceConnection = $serviceConnection
}

New-AzPrivateEndpoint @parameters

Så här skapar du en privat slutpunkt med en statiskt allokerad IP-adress:

# Specify the Azure region. This must be the same region as your virtual network.
$location = '<Location>'

$ip = @{
    Name = '<IPConfigName>'
    GroupId = 'global'
    MemberName = 'web'
    PrivateIPAddress = '<IPAddress>'
}

$ipConfig = New-AzPrivateEndpointIpConfiguration @ip

# Create the private endpoint
$parameters = @{
    Name = '<PrivateEndpointName>'
    ResourceGroupName = '<ResourceGroupName>'
    Location = $location
    Subnet = $subnet
    PrivateLinkServiceConnection = $serviceConnection
    IpConfiguration = $ipconfig
}

New-AzPrivateEndpoint @parameters

Dina utdata bör likna följande. Kontrollera att värdet för ProvisioningState är Lyckades.

ResourceGroupName Name            Location ProvisioningState Subnet
----------------- ----            -------- ----------------- ------
privatelink       endpoint-global uksouth  Succeeded

Du måste konfigurera DNS för din privata slutpunkt för att matcha DNS-namnet på den privata slutpunkten i det virtuella nätverket. Namnet på den privata DNS-zonen är privatelink-global.wvd.microsoft.com. Stegen för att skapa och konfigurera den privata DNS-zonen med Azure PowerShell finns i Konfigurera den privata DNS-zonen.

Valfritt: Skapa en platshållararbetsyta för att avsluta den globala slutpunkten genom att följa anvisningarna i Skapa en arbetsyta.

I samma CLI-session skapar du en Private Link-tjänstanslutning och den privata slutpunkten för arbetsytan med den globala underresursen genom att köra följande kommandon:

Så här skapar du en privat slutpunkt med en dynamiskt allokerad IP-adress:

# Specify the Azure region. This must be the same region as your virtual network.
location=<Location>

# Get the resource ID of the workspace
workspaceId=$(az desktopvirtualization workspace show \
    --name <WorkspaceName> \
    --resource-group <ResourceGroupName> \
    --query [id] \
    --output tsv)

# Create a service connection and the private endpoint
az network private-endpoint create \
    --name <PrivateEndpointName> \
    --resource-group <ResourceGroupName> \
    --location $location \
    --vnet-name <VNetName> \
    --subnet <SubnetName> \
    --connection-name <ConnectionName> \
    --private-connection-resource-id $workspaceId \
    --group-id global \
    --output table

Så här skapar du en privat slutpunkt med statiskt allokerade IP-adresser:

# Specify the Azure region. This must be the same region as your virtual network.
location=<Location>

# Get the resource ID of the workspace
workspaceId=$(az desktopvirtualization workspace show \
    --name <WorkspaceName> \
    --resource-group <ResourceGroupName> \
    --query [id] \
    --output tsv)

# Store each private endpoint IP configuration in a variable
ip={name:ipconfig,group-id:global,member-name:web,private-ip-address:<IPAddress>}

# Create a service connection and the private endpoint
az network private-endpoint create \
    --name <PrivateEndpointName> \
    --resource-group <ResourceGroupName> \
    --location $location \
    --vnet-name <VNetName> \
    --subnet <SubnetName> \
    --connection-name <ConnectionName> \
    --private-connection-resource-id $workspaceId \
    --group-id global \
    --ip-config $ip \
    --output table

Dina utdata bör likna följande. Kontrollera att värdet för ProvisioningState är Lyckades.

CustomNetworkInterfaceName    Location    Name                  ProvisioningState    ResourceGroup
----------------------------  ----------  --------------------  -------------------  ---------------
                              uksouth     endpoint-global       Succeeded            privatelink

Du måste konfigurera DNS för din privata slutpunkt för att matcha DNS-namnet på den privata slutpunkten i det virtuella nätverket. Namnet på den privata DNS-zonen är privatelink-global.wvd.microsoft.com. Stegen för att skapa och konfigurera den privata DNS-zonen med Azure CLI finns i Konfigurera den privata DNS-zonen.

Stänga offentliga vägar

När du har skapat privata slutpunkter kan du också styra om trafik tillåts komma från offentliga vägar. Du kan styra detta på detaljerad nivå med hjälp av Azure Virtual Desktop, eller mer allmänt med hjälp av en nätverkssäkerhetsgrupp (NSG) eller Azure Firewall.

Styra vägar med Azure Virtual Desktop

Med Azure Virtual Desktop kan du oberoende styra den offentliga trafiken för arbetsytor och värdpooler. Välj relevant flik för ditt scenario och följ stegen. Du kan inte konfigurera detta i Azure CLI. Du måste upprepa de här stegen för varje arbetsyta och värdpool som du använder med Private Link.

Portal
Azure PowerShell

Arbetsytor

I översikten över Azure Virtual Desktop väljer du Arbetsytor och sedan namnet på arbetsytan för att styra den offentliga trafiken.
I översikten över värdpoolen väljer du Nätverk och sedan fliken Offentlig åtkomst.

Välj ett av följande alternativ:

Inställning	beskrivning
Aktivera offentlig åtkomst från alla nätverk	Slutanvändarna kan komma åt flödet via det offentliga Internet eller de privata slutpunkterna.
Inaktivera offentlig åtkomst och använd privat åtkomst	Slutanvändare kan bara komma åt flödet via de privata slutpunkterna.

Välj Spara.

Värdpooler

I översikten över Azure Virtual Desktop väljer du Värdpooler och sedan namnet på värdpoolen för att styra den offentliga trafiken.
I översikten över värdpoolen väljer du Nätverk och sedan fliken Offentlig åtkomst.

Välj ett av följande alternativ:

Inställning	beskrivning
Aktivera offentlig åtkomst från alla nätverk	Slutanvändarna kan komma åt feeden och sessionsvärdarna på ett säkert sätt via det offentliga Internet eller de privata slutpunkterna.
Aktivera offentlig åtkomst för slutanvändare, använd privat åtkomst för sessionsvärdar	Slutanvändarna kan komma åt flödet på ett säkert sätt via det offentliga Internet, men de måste använda privata slutpunkter för att få åtkomst till sessionsvärdar.
Inaktivera offentlig åtkomst och använd privat åtkomst	Slutanvändarna kan bara komma åt feed- och sessionsvärdarna via de privata slutpunkterna.

Välj Spara.

Viktigt!

Azure PowerShell-cmdletar för Azure Virtual Desktop som stöder Private Link finns i förhandsversion. Du måste ladda ned och installera förhandsversionen av modulen Az.DesktopVirtualization för att kunna använda dessa cmdletar, som har lagts till i version 5.0.0.

Arbetsytor

I samma PowerShell-session kan du inaktivera offentlig åtkomst och använda privat åtkomst genom att köra följande kommando:

$parameters = @{
    Name = '<WorkspaceName>'
    ResourceGroupName = '<ResourceGroupName>'
    PublicNetworkAccess = 'Disabled'
}

Update-AzWvdWorkspace @parameters

Om du vill aktivera offentlig åtkomst från alla nätverk kör du följande kommando:

$parameters = @{
    Name = '<WorkspaceName>'
    ResourceGroupName = '<ResourceGroupName>'
    PublicNetworkAccess = 'Enabled'
}

Update-AzWvdWorkspace @parameters

Värdpooler

I samma PowerShell-session kan du inaktivera offentlig åtkomst och använda privat åtkomst genom att köra följande kommando:

$parameters = @{
    Name = '<HostPoolName>'
    ResourceGroupName = '<ResourceGroupName>'
    PublicNetworkAccess = 'Disabled'
}

Update-AzWvdHostPool @parameters

Om du vill aktivera offentlig åtkomst från alla nätverk kör du följande kommando:

$parameters = @{
    Name = '<HostPoolName>'
    ResourceGroupName = '<ResourceGroupName>'
    PublicNetworkAccess = 'Enabled'
}

Update-AzWvdHostPool @parameters

Kör följande kommando för att använda offentlig åtkomst för slutanvändare, men använda privat åtkomst för sessionsvärdar:

$parameters = @{
    Name = '<HostPoolName>'
    ResourceGroupName = '<ResourceGroupName>'
    PublicNetworkAccess = 'EnabledForSessionHostsOnly'
}

Update-AzWvdHostPool @parameters

Kör följande kommando för att använda privat åtkomst för slutanvändare, men använda offentlig åtkomst för sessionsvärdar:

$parameters = @{
    Name = '<HostPoolName>'
    ResourceGroupName = '<ResourceGroupName>'
    PublicNetworkAccess = 'EnabledForClientsOnly'
}

Update-AzWvdHostPool @parameters

Viktigt!

Om du ändrar åtkomsten för sessionsvärdar påverkas inte befintliga sessioner. När du har ändrat en privat slutpunkt till en värdpool måste du starta om tjänsten Remote Desktop Agent Loader (RDAgentBootLoader) på varje sessionsvärd i värdpoolen. Du måste också starta om den här tjänsten när du ändrar en värdpools nätverkskonfiguration. I stället för att starta om tjänsten kan du starta om varje sessionsvärd.

Blockera offentliga vägar med nätverkssäkerhetsgrupper eller Azure Firewall

Om du använder nätverkssäkerhetsgrupper eller Azure Firewall för att styra anslutningar från användarklientenheter eller sessionsvärdar till de privata slutpunkterna kan du använda tjänsttaggen WindowsVirtualDesktop för att blockera trafik från det offentliga Internet. Om du blockerar offentlig Internettrafik med hjälp av den här tjänsttaggen använder all tjänsttrafik endast privata vägar.

Varning

Se till att du inte blockerar trafik mellan dina privata slutpunkter och adresserna i den url-lista som krävs.
Blockera inte vissa portar från antingen användarklientenheterna eller sessionsvärdarna till den privata slutpunkten för en värdpoolresurs med hjälp av anslutningsunderresursen. Hela det dynamiska TCP-portintervallet på 1–65535 till den privata slutpunkten behövs eftersom portmappning används för alla globala gatewayer via ip-adressen för den enskilda privata slutpunkten som motsvarar anslutningsunderresursen. Om du begränsar portar till den privata slutpunkten kanske användarna inte kan ansluta till Azure Virtual Desktop.

Verifiera Private Link med Azure Virtual Desktop

När du har stängt offentliga vägar bör du kontrollera att Private Link med Azure Virtual Desktop fungerar. Du kan göra detta genom att kontrollera anslutningstillståndet för varje privat slutpunkt, statusen för sessionsvärdarna och testa att användarna kan uppdatera och ansluta till sina fjärrresurser.

Kontrollera anslutningstillståndet för varje privat slutpunkt

Om du vill kontrollera anslutningstillståndet för varje privat slutpunkt väljer du relevant flik för ditt scenario och följer stegen. Du bör upprepa de här stegen för varje arbetsyta och värdpool som du använder med Private Link.

Arbetsytor

I översikten över Azure Virtual Desktop väljer du Arbetsytor och sedan namnet på den arbetsyta som du vill kontrollera anslutningstillståndet för.
I översikten över arbetsytan väljer du Nätverk och sedan Privata slutpunktsanslutningar.
För den privata slutpunkten i listan kontrollerar du att anslutningstillståndet är Godkänt.

Värdpooler

I översikten över Azure Virtual Desktop väljer du Värdpooler och sedan namnet på den värdpool som du vill kontrollera anslutningstillståndet för.
I översikten över värdpoolen väljer du Nätverk och sedan Privata slutpunktsanslutningar.
För den privata slutpunkten i listan kontrollerar du att anslutningstillståndet är Godkänt.

Viktigt!

Du måste använda förhandsversionen av modulen Az.DesktopVirtualization för att köra följande kommandon. Mer information och om du vill ladda ned och installera förhandsgranskningsmodulen finns i PowerShell-galleriet.

Arbetsytor

I samma PowerShell-session kör du följande kommandon för att kontrollera anslutningstillståndet för en arbetsyta:

(Get-AzWvdWorkspace -Name <WorkspaceName> -ResourceGroupName <ResourceGroupName).PrivateEndpointConnection | FL Name, PrivateLinkServiceConnectionStateStatus, PrivateLinkServiceConnectionStateDescription, PrivateLinkServiceConnectionStateActionsRequired

Dina utdata bör likna följande. Kontrollera att värdet för PrivateLinkServiceConnectionStateStatus är Godkänd.

Name                                             : endpoint-ws01
PrivateLinkServiceConnectionStateStatus          : Approved
PrivateLinkServiceConnectionStateDescription     : Auto-approved
PrivateLinkServiceConnectionStateActionsRequired : None

Värdpooler

I samma PowerShell-session kör du följande kommandon för att kontrollera anslutningstillståndet för en värdpool:

(Get-AzWvdHostPool -Name <HostPoolName> -ResourceGroupName <ResourceGroupName).PrivateEndpointConnection | FL Name, PrivateLinkServiceConnectionStateStatus, PrivateLinkServiceConnectionStateDescription, PrivateLinkServiceConnectionStateActionsRequired

Dina utdata bör likna följande. Kontrollera att värdet för PrivateLinkServiceConnectionStateStatus är Godkänd.

Name                                             : endpoint-hp01
PrivateLinkServiceConnectionStateStatus          : Approved
PrivateLinkServiceConnectionStateDescription     : Auto-approved
PrivateLinkServiceConnectionStateActionsRequired : None

I samma CLI-session kör du följande kommandon för att kontrollera anslutningstillståndet för en arbetsyta eller en värdpool:

az network private-endpoint show \
    --name <PrivateEndpointName> \
    --resource-group <ResourceGroupName> \
    --query "{name:name, privateLinkServiceConnectionStates:privateLinkServiceConnections[].privateLinkServiceConnectionState}"

Dina utdata bör likna följande. Kontrollera att värdet för status är Godkänd.

{
  "name": "endpoint-ws01",
  "privateLinkServiceConnectionStates": [
    {
      "actionsRequired": "None",
      "description": "Auto-approved",
      "status": "Approved"
    }
  ]
}

Kontrollera statusen för dina sessionsvärdar

Kontrollera statusen för dina sessionsvärdar i Azure Virtual Desktop.
1. I översikten över Azure Virtual Desktop väljer du Värdpooler och sedan namnet på värdpoolen.
2. I avsnittet Hantera väljer du Sessionsvärdar.
3. Granska listan över sessionsvärdar och kontrollera att deras status är Tillgänglig.

Kontrollera att användarna kan ansluta

Så här testar du att användarna kan ansluta till sina fjärrresurser:

Använd fjärrskrivbordsklienten och se till att du kan prenumerera på och uppdatera arbetsytor.
Kontrollera slutligen att användarna kan ansluta till en fjärrsession.

Nästa steg

Läs mer om hur Private Link för Azure Virtual Desktop finns i Använda Private Link med Azure Virtual Desktop.
Lär dig hur du konfigurerar Azure Private Endpoint DNS i Private Link DNS-integrering.
Allmänna felsökningsguider för Private Link finns i Felsöka anslutningsproblem med privata Slutpunkter i Azure.
Förstå hur anslutningen för Azure Virtual Desktop-tjänsten fungerar i Azure Virtual Desktop-nätverksanslutningen.
I listan Obligatorisk URL finns en lista över URL:er som du behöver avblockera för att säkerställa nätverksåtkomst till Azure Virtual Desktop-tjänsten.

Dela via

Konfigurera Private Link med Azure Virtual Desktop

Förutsättningar

Aktivera Private Link med Azure Virtual Desktop i en prenumeration

Registrera om Azure Virtual Desktop-resursprovidern

Registrera Private Link med Azure Virtual Desktop (endast Azure för US Government och Azure som drivs av 21Vianet)

Registrera om Azure Virtual Desktop-resursprovidern

Skapa privata slutpunkter

Anslutningar till värdpooler

Nedladdning av feed

Första feedidentifiering

Stänga offentliga vägar

Styra vägar med Azure Virtual Desktop

Arbetsytor

Värdpooler

Arbetsytor

Värdpooler

Blockera offentliga vägar med nätverkssäkerhetsgrupper eller Azure Firewall

Verifiera Private Link med Azure Virtual Desktop

Kontrollera anslutningstillståndet för varje privat slutpunkt

Arbetsytor

Värdpooler

Arbetsytor

Värdpooler

Kontrollera statusen för dina sessionsvärdar

Kontrollera att användarna kan ansluta

Nästa steg

Feedback

Ytterligare resurser