通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure 虚拟桌面的网络拓扑和连接

  • 项目

Azure 虚拟桌面中的 Azure 网络功能的设计和实施对于 Azure 虚拟桌面登陆区域至关重要。 本文基于 Azure 企业规模登陆区域体系结构原则的多个云采用框架,以及用于大规模管理网络拓扑和连接的建议。

设计基础包括:

  • 用于本地、多云和边缘环境与全局用户之间的连接的混合集成 。 有关详细信息,请参阅针对混合和多云的企业级支持
  • 针对工作负荷的一致、低延迟体验和可伸缩性,可大规模实现 性能和可靠性。
  • 基于零信任的网络安全性 ,以帮助保护网络外围和流量流。 有关详细信息,请参阅 Azure 上的网络安全策略
  • 用于轻松扩展网络占用空间的扩展性 ,无需设计返工。

网络组件和概念

  • Azure 虚拟网络是 Azure 中专用网络的基本构建块。 使用 虚拟网络,许多类型的 Azure 资源(例如 Azure 虚拟机)可以相互通信、Internet 和本地数据中心。 虚拟网络类似于在自己的数据中心运行的传统网络。 但是,虚拟网络提供了规模、可用性和隔离的 Azure 基础结构优势。
  • 中心辐射型网络拓扑是一种网络体系结构,其中中心虚拟网络充当与多个辐射虚拟网络的中心连接点。 中心还可以是到本地数据中心的连接点。 辐射虚拟网络与中心对等互连,并帮助隔离工作负荷。
  • Azure 虚拟 WAN 是一种网络服务,它在一个操作界面中整合了网络、安全和路由功能。
  • 网络虚拟设备 (NVA) 是一种支持连接、应用程序交付、广域网 (WAN) 优化和安全性等功能的网络设备。 NVA 包括 Azure 防火墙和 Azure 负载均衡器。
  • 在强制隧道方案中,源自 Azure 虚拟机(VM)的所有 Internet 绑定流量都会路由或强制通过检查和审核设备。 没有流量检查或审核的情况下,未经授权的 Internet 访问可能会导致信息泄漏或其他类型的安全漏洞。
  • 网络安全组 用于筛选 Azure 虚拟网络中传入和传出 Azure 资源的网络流量。 网络安全组包含安全规则,这些规则可允许或拒绝多种 Azure 资源的入站和出站网络流量。
  • 应用程序安全组 提供了将网络安全配置为应用程序结构的自然扩展的方法。 可以使用应用程序安全组对 VM 进行分组,并定义基于这些组的网络安全策略。 可以大规模重复使用安全策略,而无需手动维护显式 IP 地址。
  • 用户定义的路由(UDR) 可用于替代 Azure 默认系统路由。 还可以使用 UDR 向子网路由表添加额外的路由。
  • 远程桌面协议短路径(RDP 短路径)是基于通用速率控制协议(URCP)的 Azure 虚拟桌面的一项功能。 RDP Shortpath 建立基于受支持 Windows 远程桌面客户端和 Azure 虚拟桌面会话主机之间的用户数据报协议(UDP)的直接传输。 URCP 通过提供对网络条件和服务质量(QoS)功能的主动监视来增强 UDP 连接。
  • 使用 Azure 虚拟桌面Azure 专用链接(预览版)提供了一种使用 Azure 中的专用终结点将会话主机连接到 Azure 虚拟桌面服务的方法。 使用 专用链接,虚拟网络与 Azure 虚拟桌面服务之间的流量将流向Microsoft主干网络。 因此,无需连接到公共 Internet 来访问 Azure 虚拟桌面服务。

网络方案

若要建立 Azure 虚拟桌面登陆区域,网络功能的设计和实现至关重要。 Azure 网络产品和服务支持多种功能。 你选择的体系结构以及构建服务的方式取决于组织的工作负荷、治理和要求。

以下关键要求和注意事项会影响 Azure 虚拟桌面部署决策:

  • Internet 流入和流出要求。
  • 当前体系结构中的 NVA 使用。
  • 与标准中心虚拟网络或虚拟 WAN 中心的 Azure 虚拟桌面连接。
  • 会话主机连接模型。 可以使用本机模型或 RDP 短路径
  • 流量检查要求:
    • Azure 虚拟桌面的 Internet 流出量。
    • Azure 虚拟桌面的 Internet 流入量。
    • Azure 虚拟桌面流量流向本地数据中心。
    • Azure 虚拟桌面流量流向其他虚拟网络实例。
    • Azure 虚拟桌面虚拟网络中的流量。

Azure 虚拟桌面最常见的网络方案是一种具有混合连接的中心辐射型拓扑。

方案 1:中心辐射型与混合连接

此方案使用标准会话主机连接模型。

客户配置文件

此方案非常适合以下情况:

  • 不需要检查 Azure 虚拟网络和其他 Azure 虚拟网络之间的流量。
  • 不需要检查 Azure 虚拟桌面网络和本地数据中心之间的流量。
  • 不需要流量检查来自 Azure 虚拟网络的 Internet 出站流量。
  • 无需控制在源网络地址转换(SNAT)期间用于 Azure 虚拟桌面出站 Internet 连接的公共 IP 地址。
  • 不会强制实施 Azure 虚拟桌面网络内部流量。
  • 可以通过 Azure ExpressRoute 或站点到站点(S2S)虚拟专用网络(VPN)与本地环境建立预先存在的混合连接。
  • 你有预先存在的Active Directory 域服务(AD DS)和域名系统(DNS)自定义服务器。
  • 使用标准连接模型而不是 RDP 短路径来使用 Azure 虚拟桌面。

体系结构组件

可通过以下方式实现此方案:

  • AD DS 服务器和自定义 DNS 服务器。
  • 网络安全组。
  • Azure 网络观察程序。
  • 通过默认 Azure 虚拟网络路径建立出站 Internet。
  • ExpressRoute 或 VPN 虚拟网络网关,用于与本地系统建立混合连接。
  • Azure 专用 DNS 区域。
  • Azure 专用终结点。
  • Azure 文件存储存储帐户。
  • Azure Key Vault。

显示具有混合连接的中心和辐射体系结构的关系图。

下载完整 Azure 虚拟桌面多区域复原体系结构的 Visio 文件

注意事项

  • 此方案不适用于客户端与公共或专用会话主机之间的直接网络连接。 在此方案中无法使用 RDP 短路径。
  • 使用公共终结点的 Azure 虚拟桌面控制平面网关管理客户端连接。 因此,Azure 虚拟桌面客户端可以创建到所需的 Azure 虚拟桌面 URL 的出站连接。 有关所需 URL 的详细信息,请参阅 本文的 Internet 部分和 Azure 虚拟桌面的必需 URL。
  • 不需要公共 IP 地址或其他会话主机的公共入站路径。 从客户端到会话主机的流量流经 Azure 虚拟桌面控制平面网关。
  • Azure 虚拟桌面辐射之间没有虚拟网络对等互连。 所有流量都通过连接中心。
  • 来自 Azure 虚拟桌面会话主机的出站 Internet 连接通过默认的 Azure 出站网络地址转换(NAT)过程。 使用动态 Azure 公共 IP 地址。 客户无法控制使用的出站公共 IP 地址。
  • 使用专用终结点建立从会话主机到Azure 文件存储存储帐户的连接。
  • Azure 专用 DNS 区域用于解析以下服务的专用终结点命名空间:
    • Azure 文件存储使用名称的存储帐户privatelink.file.core.windows.net
    • 使用名称的密钥保管库 privatelink.vaultcore.azure.net
  • 此方案不强制实施网络筛选。 但网络安全组放置在所有子网上,以便可以监视流量并派生见解。 在网络观察程序中,流量分析和网络安全组流日志记录功能用于这些目的。

方案 2:使用 RDP Shortpath 通过托管网络通过混合连接中心辐射

有关详细的部署指南,请参阅 托管网络的 RDP 短路径连接。

客户配置文件

此方案非常适合以下情况:

  • 想要限制到 Azure 虚拟桌面会话主机的 Internet 连接数。
  • 可以通过 ExpressRoute 或 S2S 或点到站点 (P2S) VPN 从本地环境到 Azure 的预先存在的混合连接。
  • RDP 客户端和 Azure 虚拟桌面主机之间有直接的网络连接。 通常,此方案中使用以下设置之一:
    • 路由到 Azure 虚拟桌面 Azure 网络的本地网络
    • 路由到 Azure 虚拟桌面 Azure 虚拟网络的客户端 VPN 连接
  • 需要通过专用网络(例如 VPN 或 ExpressRoute)限制 VM 主机的带宽使用。
  • 你希望确定网络上的 Azure 虚拟桌面流量的优先级。
  • 不需要检查 Azure 虚拟网络和其他 Azure 虚拟网络之间的流量。
  • 不需要检查 Azure 虚拟桌面网络和本地数据中心之间的流量。
  • 你有预先存在的 AD DS 或 DNS 自定义服务器。

体系结构组件

可通过以下方式实现此方案:

  • ExpressRoute 或 VPN 虚拟网络网关,用于与具有足够带宽的本地环境的混合连接。
  • AD DS 服务器和自定义 DNS 服务器。
  • 网络安全组。
  • 通过默认 Azure 虚拟网络路径建立出站 Internet。
  • 域组策略对象(GPO)或本地 GPO。
  • Azure 文件存储存储帐户。
  • Azure 专用终结点。
  • Azure 专用 DNS 区域。

将 RDP 短路径用于专用网络的方案的体系结构图。

注意事项

  • 混合连接必须通过 VPN 或 ExpressRoute 使用 RDP 客户端直接网络连接到端口 3390 上的专用 VM 主机。

注意

对于托管网络,可以更改默认 UDP 端口。

  • 域 GPO 或本地 GPO 必须用于 通过托管网络启用 UDP
  • 混合连接必须具有足够的带宽,才能允许 UDP 直接连接到 VM 主机。
  • 混合连接必须具有直接路由才能允许连接到 VM 主机。
  • 使用公共终结点的 Azure 虚拟桌面控制平面网关管理客户端连接。 因此,Azure 虚拟桌面客户端可以创建到所需的 Azure 虚拟桌面 URL 的出站连接。 有关所需 URL 的详细信息,请参阅 本文的 Internet 部分和 Azure 虚拟桌面的必需 URL。
  • 不需要公共 IP 地址或其他会话主机的公共入站路径。 从客户端到会话主机的流量流经 Azure 虚拟桌面控制平面网关。
  • 来自 Azure 虚拟桌面会话主机的出站 Internet 连接通过默认的 Azure 出站 NAT 进程。 使用动态 Azure 公共 IP 地址。 客户无法控制使用的出站公共 IP 地址。
  • 使用专用终结点建立从会话主机到Azure 文件存储存储帐户的连接。
  • Azure 专用 DNS 区域用于解析专用终结点命名空间。
  • 此方案不强制实施网络筛选。 但网络安全组放置在所有子网上,以便可以监视流量并派生见解。 在网络观察程序中,流量分析和网络安全组流日志记录功能用于这些目的。

注意

目前,Azure 虚拟桌面不支持同时使用 专用链接 和 RDP 短路径。

方案 3:使用 RDP Shortpath 通过公用网络中心辐射

有关详细的部署指南,请参阅 公共网络的 RDP 短路径连接。

客户配置文件

此方案非常适合以下情况:

  • Azure 虚拟桌面客户端连接遍历公共 Internet。 典型方案包括家庭办公用户、未连接到公司网络的远程分支机构用户和远程承包商用户。
  • 与 Azure 虚拟桌面会话主机建立高延迟或低带宽连接。
  • 需要通过 QoS 网络策略限制 Azure 虚拟桌面会话主机的带宽使用量。
  • 你希望通过 QoS 策略确定网络上的 Azure 虚拟桌面流量的优先级。
  • 客户端 RDP 连接从带宽和速度不一致的网络开始。
  • 你有来自 Azure 虚拟桌面会话主机的直接出站连接。 不通过本地网络使用强制隧道路由。
  • 不需要检查 Azure 虚拟网络和其他 Azure 虚拟网络之间的流量。
  • 不需要检查 Azure 虚拟桌面网络和本地数据中心之间的流量。
  • 你有预先存在的 AD DS 或 DNS 自定义服务器。

体系结构组件

可通过以下方式实现此方案:

  • ExpressRoute 或 VPN 虚拟网络网关,用于与本地环境建立混合连接。 如果有足够的带宽来支持与本地应用程序、数据或 AD DS 连接的连接,则此设置是适当的。 不建议使用强制隧道通过本地路由器发送 Azure 虚拟桌面流量。
  • AD DS 服务器和自定义 DNS 服务器。
  • 网络安全组。
  • 网络观察程序。
  • 通过默认 Azure 虚拟网络路径建立出站 Internet。
  • 域 GPO 或本地 GPO。
  • Azure 文件存储存储帐户。
  • Azure 专用终结点。
  • Azure 专用 DNS 区域。

公共网络使用 RDP 短路径的方案体系结构图。

注意事项

  • 允许以下类型的连接:

    • 端口 3478 上的端口 3478 上的出站 UDP 连接从 Azure 虚拟桌面会话主机到用于 NAT(STUN)的 Azure 虚拟桌面会话遍历实用工具和遍历 NAT(TURN) 服务
    • 端口范围 49152–65535 中的 RDP 客户端的 UDP 连接

    默认情况下,配置这些连接的设置处于打开状态,并维护与传输控制协议(TCP)反向连接相同的加密级别。 有关限制 RDP 客户端端口范围的信息,请参阅 在对公用网络使用 RDP 短路径时限制端口范围。

  • 使用公共终结点的 Azure 虚拟桌面控制平面网关管理客户端连接。 因此,Azure 虚拟桌面客户端可以创建到所需的 Azure 虚拟桌面 URL 的出站连接。 有关所需 URL 的详细信息,请参阅 本文的 Internet 部分和 Azure 虚拟桌面的必需 URL。

  • 通常在家庭用户网络中发现的使用者路由器应启用通用即插即用(UPnP)。

  • 不需要公共 IP 地址或其他会话主机的公共入站路径。 从客户端到会话主机的流量流经 Azure 虚拟桌面控制平面网关。

  • 来自 Azure 虚拟桌面会话主机的出站 Internet 连接通过默认的 Azure 出站 NAT 进程。 使用动态 Azure 公共 IP 地址。 客户无法控制使用的出站公共 IP 地址。

  • 需要在会话主机上配置区分的服务代码点(DSCP)。 将此配置使用本地 GPO 或域 GPO。 使用 DSCP 标记时,网络设备可以为 Azure 虚拟桌面流量应用 QoS 策略。 有关详细信息,请参阅 Azure 虚拟桌面的“实现服务质量”(QoS)。

  • 使用专用终结点建立从会话主机到Azure 文件存储存储帐户的连接。

  • Azure 专用 DNS 区域用于解析专用终结点命名空间。

  • 此方案不强制实施网络筛选。 但网络安全组放置在所有子网上,以便可以监视流量并派生见解。 在网络观察程序中,流量分析和网络安全组流日志记录功能用于这些目的。

一般设计注意事项和建议

以下部分提供了 Azure 虚拟网络拓扑和连接的常规设计注意事项和建议。

中心辐射型与虚拟 WAN网络拓扑

虚拟 WAN支持 VPN 与 ExpressRoute 之间的传输连接,但不支持中心辐射型拓扑。

标识服务

Azure 虚拟桌面会话主机中标识服务的连接要求取决于标识模型。

  • 对于已加入域服务的 Microsoft VM:Azure 虚拟桌面网络必须连接到托管标识服务的网络。
  • 对于 已加入 Microsoft Entra ID 的 VM:Azure 虚拟桌面会话主机创建到 Microsoft Entra ID 公共终结点的出站连接。 因此,不需要专用连接配置。

DNS

Azure 虚拟桌面会话主机的名称解析要求与任何其他基础结构即服务(IaaS)工作负荷相同。 因此,需要通过虚拟网络链接连接到自定义 DNS 服务器或访问 Azure 专用 DNS 区域。 需要额外的 Azure 专用 DNS 区域来托管某些平台即服务(PaaS)服务的专用终结点命名空间,例如存储帐户和密钥管理服务。

有关详细信息,请参阅 Azure 专用终结点 DNS 配置

为了方便最终用户 Azure 虚拟桌面客户端配置,包括远程桌面服务(RDS)源的订阅,最好设置电子邮件发现。 需要在公共 DNS 域中设置电子邮件发现,然后订阅 RDS 源。 有关详细信息,请参阅 设置电子邮件发现以订阅 RDS 源

带宽和延迟

Azure 虚拟桌面使用 RDP。 若要了解有关 RDP 的详细信息,请参阅 远程桌面协议 (RDP) 带宽要求

连接延迟因用户和 VM 的位置而异。 Azure 虚拟桌面服务持续推出到新的地理位置,以提高延迟。 若要最大程度地减少 Azure 虚拟桌面客户端体验的延迟,请使用 Azure 虚拟桌面体验估算器。 此工具提供来自客户端的往返时间(RTT)示例。 可以使用此信息将会话主机放置在离最终用户最近的区域中,并且 RTT 最低。 有关解释估算器工具的结果的信息,请参阅 Azure 虚拟桌面中的分析连接质量。

具有 RDP 短路径的 QoS

托管网络的 RDP 短路径在远程桌面客户端和会话主机之间提供基于 UDP 的直接传输。 托管网络的 RDP 短路径提供了为 RDP 数据配置 QoS 策略的方法。 Azure 虚拟桌面中的 QoS 允许对网络延迟敏感的实时 RDP 流量在不太敏感的流量前“排队”。

可以通过两种方式使用 RDP 短路径:

  • 托管网络中,在使用专用连接(例如 ExpressRoute 连接或 VPN)时,在客户端与会话主机之间建立直接连接。
  • 公用网络中,使用公共连接时,在客户端与会话主机之间建立直接连接。 公共连接的示例包括家庭网络、咖啡店网络和酒店网络。 使用公共连接时,有两种可能的连接类型:

    • 客户端与使用 STUN 协议的会话主机之间的直接 UDP 连接

    • 间接 UDP 连接 ,它使用 TURN 协议与 RDP 客户端与会话主机之间的中继。 如果网关或路由器不允许直接 UDP 连接,则使用此选项。

      注意

      将 RDP Shortpath 用于公共网络,而 TURN for Azure 虚拟桌面目前为预览版。 有关详细信息,请参阅 Azure 虚拟桌面的 RDP 短路径。

RDP 路径扩展 RDP 多传输功能。 它不会取代反向连接传输,而是对其进行补充。

初始会话代理通过 Azure 虚拟桌面服务和基于 TCP 的反向连接传输进行管理。 将忽略所有连接尝试,除非它们首先匹配反向连接会话。

RDP 短路径(基于 UDP)在身份验证后建立。 如果成功建立 RDP 短路径,则会删除反向连接传输。 然后,所有流量都流经此部分前面列出的 RDP 短路径方法之一。

有关详细信息,请参阅 Azure 虚拟桌面的“实现服务质量”(QoS)。

Internet

Azure 虚拟桌面计算资源和客户端需要访问特定的公共终结点,因此需要 Internet 绑定连接。 满足 Azure 虚拟桌面要求时,支持网络方案(例如强制隧道来增强安全性和筛选)。

若要了解 Azure 虚拟桌面会话主机和客户端设备的要求,请参阅 Azure 虚拟桌面所需的 URL。

端口和协议要求

Azure 虚拟桌面连接模型使用以下端口和协议:

业务连续性和灾难恢复

若要实现业务连续性和灾难恢复,需要特定的网络设置。 具体而言,若要将资源部署到目标环境,请使用以下配置之一:

  • 与源环境中具有相同功能的网络设置
  • 与标识和 DNS 服务建立连接的网络设置

后续步骤

了解 Azure 虚拟桌面企业规模方案的资源组织。

资源组织