为 Azure 虚拟桌面规划和实施 Azure 专用链接解决方案
可以使用与 Azure 虚拟桌面的 Azure 专用链接,以专用方式连接到远程资源。 通过创建专用终结点,虚拟网络和服务之间的流量将保留在 Microsoft 网络上,因此不再需要向公共 Internet 公开服务。 还可以使用 VPN 或 ExpressRoute,让用户通过远程桌面客户端连接到虚拟网络。 将流量保留在 Microsoft 网络中可以提高安全性,并保证数据安全。
本单元介绍了专用链接如何帮助你保护 Azure 虚拟桌面环境。
专用链接如何与 Azure 虚拟桌面配合使用?
Azure 虚拟桌面有三个工作流,其中包含配合专用终结点使用的三种相应的资源类型。 这些工作流是:
- 初始源发现:允许客户端发现分配给用户的所有工作区。 若要启用此流程,必须为任何工作区的全局子资源创建单个专用终结点。 但是,只能在整个 Azure 虚拟桌面部署中创建一个专用终结点。 此终结点为初始源发现所需的全局完全限定域名 (FQDN) 创建域名系统 (DNS) 条目和专用 IP 路由。 此连接成为供所有客户端使用的单个共享路由。
- 源下载:客户端为托管其应用程序组的工作区下载特定用户的所有连接详细信息。 为要用于专用链接的每个工作区的源子资源创建专用终结点。
- 与主机池的连接:与主机池的每个连接都有两个端 - 客户端和会话主机。 你需要为每个要配合专用链接使用的主机池的连接子资源创建专用终结点。
下图概要显示了专用链接如何将本地客户端安全地连接到 Azure 虚拟桌面服务。 有关客户端连接的更详细信息,请参阅客户端连接序列。
支持的方案
使用 Azure 虚拟桌面添加专用链接时,可以通过以下受支持的方案来连接到 Azure 虚拟桌面。 你选择的方案取决于你的要求。 可以跨网络拓扑共享这些专用终结点,也可以隔离虚拟网络,以便每个虚拟网络都有自己的主机池或工作区专用终结点。
连接的所有部分(初始源发现、源下载以及客户端和会话主机的远程会话连接)都使用专用路由。 需要以下专用终结点:
用途 资源类型 目标子资源 终结点数量 与主机池的连接 Microsoft.DesktopVirtualization/hostpools 连接 每个主机池一个终结点 源下载 Microsoft.DesktopVirtualization/workspaces feed 每个工作区一个终结点 初始源发现 Microsoft.DesktopVirtualization/workspaces 全局 仅需一个,可用于你的所有 Azure 虚拟桌面部署 客户端和会话主机的源下载和远程会话连接使用专用路由,但初始源发现使用公共路由。 需要以下专用终结点。 初始源发现的终结点不是必需的。
用途 资源类型 目标子资源 终结点数量 与主机池的连接 Microsoft.DesktopVirtualization/hostpools 连接 每个主机池一个终结点 源下载 Microsoft.DesktopVirtualization/workspaces feed 每个工作区一个终结点 仅客户端和会话主机的远程会话连接使用专用路由,而初始源发现和源下载使用公共路由。 需要以下专用终结点。 不需要工作区的终结点。
用途 资源类型 目标子资源 终结点数量 与主机池的连接 Microsoft.DesktopVirtualization/hostpools 连接 每个主机池一个终结点 客户端和会话主机 VM 都使用公共路由。 此方案中不使用专用链接。
重要注意事项
- 如果为初始源发现创建专用终结点,则用于全局子资源的工作区会控制共享的完全限定的域名 (FQDN),从而促进所有工作区中的初始源发现。 应该创建一个单独的工作区,该工作区仅用于此目的,没有任何应用程序组注册到其中。 删除此工作区会导致所有源发现过程停止工作。
- 无法控制对用于初始源发现(全局子资源)的工作区的访问。 如果将此工作区配置为仅允许专用访问,则会忽略该设置。 始终可从公共路由访问此工作区。