Azure 虛擬桌面的 Azure Private Link
您可以使用 Azure 虛擬桌面的 Azure Private Link 以私人連線至遠端資源。 透過建立私人端點,虛擬網路和服務之間的流量將維持在 Microsoft 網路,因此您不再需要向供用網路公開您的服務。 您也可使用 VPN 或 ExpressRoute 讓您的使用者透過遠端桌面用戶端連線至虛擬網路。 將流量保持在 Microsoft 網路內,可提高安全性並確保您的資料安全。 此文章描述 Private Link 如何協助您保護 Azure 虛擬桌面環境。
Private Link 如何搭配 Azure 虛擬桌面運作?
Azure 虛擬桌面有三個工作流程,其中包含三個用於私人端點的對應資源類型。 這些工作流程包括:
初始摘要探索:允許用戶端探索指派給使用者的所有工作區。 若要啟用此流程,您必須對任何工作區的全域子資源建立單一私人端點。 不過,您只能在整個 Azure 虛擬桌面部署中建立一個私人端點。 此端點會為初始摘要探索所需的全域完整網域名稱 (FQDN) 建立網域名稱系統 (DNS) 項目和私人 IP 路由。 此連線會變成單一共用路由,以供所有用戶端使用。
摘要下載:用戶端針對裝載其應用程式群組的工作區下載特定使用者的所有連線詳細資料。 您會為您想要透過 Private Link 使用的每個工作區,建立其摘要子資源的私人端點。
主機集區的連線:主機集區的每個連線都有兩端:用戶端和工作階段主機。 您必須為每個要搭配 Private Link 使用的主機集區,建立其連線子資源的私人端點。
以下全貌圖顯示 Private Link 如何將本機用戶端安全地連線到 Azure 虛擬桌面服務。 如需用戶端連線的詳細資訊,請參閱用戶端連線順序。
支援的案例
使用 Azure 虛擬桌面新增 Private Link 時,有下列支援的案例可連線至 Azure 虛擬桌面。 選擇的案例取決於您的個人需求。 您可以跨網路拓撲共用這些私人端點,也可以隔離虛擬網路,讓每個虛擬網路都有自己的私人端點可連線到主機集區或工作區。
連線的所有部分 (用戶端和工作階段主機的初始摘要探索、摘要下載和遠端工作階段連線) 都使用私人路由。 您需要下列私人端點:
目的 資源類型 目標子資源 端點數量 主機集區的連線 Microsoft.DesktopVirtualization/hostpools connection 每個主機集區一個 摘要下載 Microsoft.DesktopVirtualization/workspaces 摘要 每個工作區一個 初始摘要探索 Microsoft.DesktopVirtualization/workspaces 全域 所有 Azure 虛擬桌面部署只需要一個 用戶端和工作階段主機的摘要下載與遠端工作階段連線會使用私人路由,但初始摘要探索會使用公用路由。 您需要下列私人端點。 不需要初始摘要探索的端點。
目的 資源類型 目標子資源 端點數量 主機集區的連線 Microsoft.DesktopVirtualization/hostpools connection 每個主機集區一個 摘要下載 Microsoft.DesktopVirtualization/workspaces 摘要 每個工作區一個 只有用戶端和工作階段主機的遠端工作階段連線會使用私人路由,初始摘要探索和摘要下載會使用公用路由。 您需要下列私人端點。 不需要工作區的端點。
目的 資源類型 目標子資源 端點數量 主機集區的連線 Microsoft.DesktopVirtualization/hostpools connection 每個主機集區一個 用戶端和工作階段主機 VM 都會使用私人路由。 此案例中不會使用 Private Link。
重要
如果您建立了初始摘要探索的私人端點,用於全域子資源的工作區將會控管共用完整網域名稱 (FQDN),以利跨所有工作區的初始摘要探索。 您應建立僅限此用途,且不會註冊任何應用程式群組的個別工作區。 刪除此工作區,會導致所有摘要探索程序停止運作。
您無法控制初始摘要探索 (全域子資源) 所使用工作區的存取權。 如果您將此工作區設定為僅允許私人存取,則系統會忽略此設定。 此工作區一律可從公用路由存取。
IP 位址配置會隨著 IP 位址的需求增加而變更。 在容量擴充期間,私人端點需要額外的位址。 請務必考量位址空間耗盡的可能性,並確保有足夠的空間可因應成長。 若要深入了解如何判斷中樞或輪輻拓撲中的私人端點適用的網路設定,請參閱 Private Link 部署的決策樹。
設定結果
您可以在相關的 Azure 虛擬桌面工作區和主機集區上進行設定,以設定公用或私人存取。 若要連線至工作區,除了用於初始摘要探索 (全域子資源) 外,下表詳細說明每個案例的結果:
| 組態 | 結果 |
|---|---|
| 啟用所有網路的公用存取 | 允許公用路由的工作區摘要要求。 允許私人路由的工作區摘要要求。 |
| 停用所有網路的公用存取 | 拒絕公用路由的工作區摘要要求。 允許私人路由的工作區摘要要求。 |
使用反向連線傳輸時,主機集區的兩縣有兩個網路連線:閘道的用戶端和閘道的工作階段主機。 除了啟用或停用這兩個連線的公用存取外,您也可以選擇啟用公用存取以讓用戶端連線至閘道,並僅允許私人存取以讓工作階段主機連線至閘道。 下表詳細說明每個案例的結果:
| 組態 | 結果 |
|---|---|
| 啟用所有網路的公用存取 | 用戶端或工作階段主機使用公用路由時,允許遠端工作階段。 用戶端或工作階段主機使用私人路由時,允許 遠端工作階段。 |
| 停用所有網路的公用存取 | 用戶端或工作階段主機使用公用路由時,拒絕遠端工作階段。 用戶端和工作階段主機使用私人路由時,允許遠端工作階段。 |
| 啟用用戶端網路的公用存取,但停用工作階段主機網路的公用存取 | 如果工作階段主機使用公用路由,則拒絕遠端工作階段,無論用戶端使用的路由為何。 只要工作區主機使用私人路由,則允許遠端工作階段,無論用戶端使用的路由為何。 |
用戶端連線序列
當使用者透過 Private Link 連線至 Azure 虛擬桌面並將 Azure 虛擬桌面設定為僅允許私人路由的用戶端連線,則連線順序如下所示:
透過支援的用戶端,使用者可以訂閱工作區。 使用者的裝置會查詢位址
rdweb.wvd.microsoft.com的 DNS (或其他 Azure 環境的對應位址)。privatelink-global.wvd.microsoft.com 的私人 DNS 區域會傳回初始摘要探索 (全域子資源) 的私人 IP 位址。 若未使用私人端點進行初始摘要探索,則會傳回公用 IP 位址。
針對摘要中的每個工作區,系統會進行位址
<workspaceId>.privatelink.wvd.microsoft.com的 DNS 查詢。privatelink.wvd.microsoft.com 的私人 DNS 區域會傳回工作區摘要下載的私人 IP 位址,並使用 TCP 連接埠 443 下載摘要。
連線至遠端工作階段時,來自工作區摘要下載的
.rdp檔案會包含 Azure 虛擬桌面閘道服務的位址,且使用者裝置的延遲會是最低的。 對位址的 DNS 查詢會以<hostpooId>.afdfp-rdgateway.wvd.microsoft.com格式進行。privatelink.wvd.microsoft.com 的私人 DNS 區域會傳回 Azure 虛擬桌面閘道服務的私人 IP 位址,以用於提供遠端桌面的主機集區。 透過虛擬網路和私人端點的協調流程會使用 TCP 連接埠 443。
在協調流程之後,用戶端、Azure 虛擬桌面閘道服務與工作階段主機之間的網路流量會轉移至 TCP 動態連接埠範圍 1 - 65535 中的連接埠。
重要
如果您想要將使用者用戶端裝置或工作階段主機 VM 的網路連接埠限制為私人端點,則必須針對使用連線子資源的主機集區資源允許整個 TCP 動態連接埠範圍 1 - 65535 的流量傳送至私人端點。 必須要有整體的 TCP 動態連接埠範圍,因為 Azure 私人網路內部會將這些連接埠對應至在用戶端協調流程期間選取的適當閘道。 如果您將連接埠限制為私人端點,您的使用者可能無法連線至 Azure 虛擬桌面。
已知問題與限制
Azure 虛擬桌面的 Private Link 限制如下:
若要使用 Azure 虛擬桌面的 Private Link,則必須在每個您要使用 Azure 虛擬桌面 Private Link 的 Azure 訂用帳戶上啟用 Azure 虛擬桌面的 Private Link。
所有連線至 Azure 虛擬桌面的遠端桌面用戶端都可以透過 Private Link 使用。 如果您在沒有網路存取的私人網路上使用適用於 Windows 的遠端桌面用戶端且同時訂閱公用和私人摘要,則無法存取您的摘要。
將私人端點變更為主機集區之後,必須在主機集區中的每個工作階段主機上重新啟動「遠端桌面代理程式載入器」(RDAgentBootLoader) 服務。 每當您變更主機集區的網路設定時,也需要重新啟動此服務。 您可以重新啟動每個工作階段主機,而不是重新啟動服務。
不支援同時使用 Private Link 和受控網路的 RDP 短徑,但可以搭配運作。 您可以使用 Private Link 和受控網路的 RDP 短徑,但風險自負。 Private Link 不支援所有使用 STUN 或 TURN 的其他 RDP Shortpath 選項。
在 Azure 虛擬桌面的 Private Link 預覽初期中,初始摘要探索 (針對全域子資源) 的私人端點與工作區和主機集區的其他私人端點共用
privatelink.wvd.microsoft.com的私人 DNS 區域名稱。 在此組態中,使用者無法專門針對主機集區和工作區建立私人端點。 自 2023 年 9 月 1 日起,不再支援在此組態中共用私人 DNS 區域。 您必須建立全域子資源的新私人端點以使用privatelink-global.wvd.microsoft.com的私人 DNS 區域名稱。 如需此作法的步驟,請參閱初始摘要探索。
下一步
- 了解如何設定 Azure 虛擬桌面的 Private Link。
- 若要了解如何設定 Azure 私人端點 DNS,請參閱 Private Link DNS 整合。
- 如需 Private Link 的一般疑難排解指南,請參閱針對 Azure 私人端點連線問題進行疑難排解。
- 了解 Azure 虛擬桌面網路連線能力。
- 如需您必須解除封鎖才能確保對 Azure 虛擬桌面服務之網路存取的 URL 清單,請參閱必要的 URL 清單。