Planera och implementera en Azure Private Link-lösning för Azure Virtual Desktop

  • 5 minuter

Du kan använda Azure Private Link med Azure Virtual Desktop för att privat ansluta till dina fjärrresurser. Genom att skapa en privat slutpunkt förblir trafiken mellan ditt virtuella nätverk och tjänsten kvar i Microsoft-nätverket, så du behöver inte längre exponera tjänsten för det offentliga Internet. Du använder också ett VPN eller ExpressRoute för dina användare med fjärrskrivbordsklienten för att ansluta till det virtuella nätverket. Att hålla trafiken inom Microsoft-nätverket förbättrar säkerheten och skyddar dina data.

I den här lektionen beskrivs hur Private Link kan hjälpa dig att skydda din Azure Virtual Desktop-miljö.

Azure Virtual Desktop har tre arbetsflöden med tre motsvarande resurstyper att använda med privata slutpunkter. Dessa arbetsflöden är:

  • Första feedidentifiering: låter klienten identifiera alla arbetsytor som tilldelats en användare. Om du vill aktivera den här processen måste du skapa en enskild privat slutpunkt till den globala underresursen till valfri arbetsyta. Du kan dock bara skapa en privat slutpunkt i hela Azure Virtual Desktop-distributionen. Den här slutpunkten skapar DNS-poster (Domain Name System) och privata IP-vägar för det globala fullständigt kvalificerade domännamnet (FQDN) som behövs för den första feedidentifieringen. Den här anslutningen blir en enda delad väg som alla klienter kan använda.
  • Nedladdning av feed: klienten laddar ned all anslutningsinformation för en specifik användare för de arbetsytor som är värdar för deras programgrupper. Du skapar en privat slutpunkt för feedunderresursen för varje arbetsyta som du vill använda med Private Link.
  • Anslutningar till värdpooler: varje anslutning till en värdpool har två sidor – klienter och sessionsvärdar. Du måste skapa en privat slutpunkt för anslutningsunderresursen för varje värdpool som du vill använda med Private Link.

Följande diagram på hög nivå visar hur Private Link på ett säkert sätt ansluter en lokal klient till Azure Virtual Desktop-tjänsten. Mer detaljerad information om klientanslutningar finns i Sekvens för klientanslutning.

Ett diagram på hög nivå som visar hur Private Link ansluter en lokal klient till Azure Virtual Desktop-tjänsten.

Stödda scenarier

När du lägger till Private Link med Azure Virtual Desktop har du följande scenarier som stöds för att ansluta till Azure Virtual Desktop. Vilket scenario du väljer beror på dina krav. Du kan antingen dela dessa privata slutpunkter i nätverkstopologin eller isolera dina virtuella nätverk så att var och en har sin egen privata slutpunkt till värdpoolen eller arbetsytan.

  • Alla delar av anslutningen – första feedidentifiering, feednedladdning och fjärrsessionsanslutningar för klienter och sessionsvärdar – använder privata vägar. Du behöver följande privata slutpunkter:

    Syfte Resurstyp Underresurs för mål Slutpunktskvantitet
    Anslutningar till värdpooler Microsoft.DesktopVirtualization/hostpools anslutning En per värdpool
    Nedladdning av feed Microsoft.DesktopVirtualization/workspaces feed En per arbetsyta
    Första feedidentifiering Microsoft.DesktopVirtualization/workspaces globalt Endast en för alla dina Azure Virtual Desktop-distributioner

  • Feed-nedladdning och fjärrsessionsanslutningar för klienter och sessionsvärdar använder privata vägar, men den första feedidentifieringen använder offentliga vägar. Du behöver följande privata slutpunkter. Slutpunkten för den första feedidentifieringen krävs inte.

    Syfte Resurstyp Underresurs för mål Slutpunktskvantitet
    Anslutningar till värdpooler Microsoft.DesktopVirtualization/hostpools anslutning En per värdpool
    Nedladdning av feed Microsoft.DesktopVirtualization/workspaces feed En per arbetsyta

  • Endast fjärrsessionsanslutningar för klienter och sessionsvärdar använder privata vägar, men den första feedidentifieringen och feednedladdningen använder offentliga vägar. Du behöver följande privata slutpunkter. Slutpunkter till arbetsytor krävs inte.

    Syfte Resurstyp Underresurs för mål Slutpunktskvantitet
    Anslutningar till värdpooler Microsoft.DesktopVirtualization/hostpools anslutning En per värdpool

  • Både klienter och virtuella sessionsvärddatorer använder offentliga vägar. Private Link används inte i det här scenariot.

Viktigt!

  • Om du skapar en privat slutpunkt för den första feedidentifieringen styr arbetsytan som används för den globala underresursen det delade fullständigt kvalificerade domännamnet (FQDN), vilket underlättar den första identifieringen av feeds över alla arbetsytor. Du bör skapa en separat arbetsyta som endast används för detta ändamål och som inte har några programgrupper registrerade i den. Om du tar bort den här arbetsytan slutar alla flödesidentifieringsprocesser att sluta fungera.
  • Du kan inte styra åtkomsten till arbetsytan som används för den första feedidentifieringen (global underresurs). Om du konfigurerar den här arbetsytan så att den endast tillåter privat åtkomst ignoreras inställningen. Den här arbetsytan är alltid tillgänglig från offentliga vägar.