規劃及實作適用於 Azure 虛擬桌面的 Azure Private Link 解決方案
您可以使用 Azure 虛擬桌面的 Azure Private Link 以私人連線至遠端資源。 透過建立私人端點,虛擬網路和服務之間的流量將維持在 Microsoft 網路,因此您不再需要向供用網路公開您的服務。 您也可使用 VPN 或 ExpressRoute 讓您的使用者透過遠端桌面用戶端連線至虛擬網路。 將流量保持在 Microsoft 網路內,可提高安全性並確保您的資料安全。
本單元說明 Private Link 如何協助您保護 Azure 虛擬桌面環境。
Private Link 如何搭配 Azure 虛擬桌面運作?
Azure 虛擬桌面有三個工作流程,其中包含三個用於私人端點的對應資源類型。 這些工作流程包括:
- 初始摘要探索:允許用戶端探索指派給使用者的所有工作區。 若要啟用此流程,您必須對任何工作區的全域子資源建立單一私人端點。 不過,您只能在整個 Azure 虛擬桌面部署中建立一個私人端點。 此端點會為初始摘要探索所需的全域完整網域名稱 (FQDN) 建立網域名稱系統 (DNS) 項目和私人 IP 路由。 此連線會變成單一共用路由,以供所有用戶端使用。
- 摘要下載:用戶端針對裝載其應用程式群組的工作區下載特定使用者的所有連線詳細資料。 您會為您想要透過 Private Link 使用的每個工作區,建立其摘要子資源的私人端點。
- 主機集區的連線:主機集區的每個連線都有兩端:用戶端和工作階段主機。 您必須為每個要搭配 Private Link 使用的主機集區,建立其連線子資源的私人端點。
以下全貌圖顯示 Private Link 如何將本機用戶端安全地連線到 Azure 虛擬桌面服務。 如需用戶端連線的詳細資訊,請參閱用戶端連線順序。
支援的案例
使用 Azure 虛擬桌面新增 Private Link 時,有下列支援的案例可連線至 Azure 虛擬桌面。 選擇的案例取決於您的個人需求。 您可以跨網路拓撲共用這些私人端點,也可以隔離虛擬網路,讓每個虛擬網路都有自己的私人端點可連線到主機集區或工作區。
連線的所有部分 (用戶端和工作階段主機的初始摘要探索、摘要下載和遠端工作階段連線) 都使用私人路由。 您需要下列私人端點:
用途 資源類型 目標子資源 端點數量 主機集區的連線 Microsoft.DesktopVirtualization/hostpools connection 每個主機集區一個 摘要下載 Microsoft.DesktopVirtualization/workspaces 摘要 每個工作區一個 初始摘要探索 Microsoft.DesktopVirtualization/workspaces 全域 所有 Azure 虛擬桌面部署只需要一個 用戶端和工作階段主機的摘要下載與遠端工作階段連線會使用私人路由,但初始摘要探索會使用公用路由。 您需要下列私人端點。 不需要初始摘要探索的端點。
用途 資源類型 目標子資源 端點數量 主機集區的連線 Microsoft.DesktopVirtualization/hostpools connection 每個主機集區一個 摘要下載 Microsoft.DesktopVirtualization/workspaces 摘要 每個工作區一個 只有用戶端和工作階段主機的遠端工作階段連線會使用私人路由,初始摘要探索和摘要下載會使用公用路由。 您需要下列私人端點。 不需要工作區的端點。
用途 資源類型 目標子資源 端點數量 主機集區的連線 Microsoft.DesktopVirtualization/hostpools connection 每個主機集區一個 用戶端和工作階段主機 VM 都會使用私人路由。 此案例中不會使用 Private Link。
重要考量
- 如果您建立了初始摘要探索的私人端點,用於全域子資源的工作區將會控管共用完整網域名稱 (FQDN),以利跨所有工作區的初始摘要探索。 您應建立僅限此用途,且不會註冊任何應用程式群組的個別工作區。 刪除此工作區,會導致所有摘要探索程序停止運作。
- 您無法控制初始摘要探索 (全域子資源) 所使用工作區的存取權。 如果您將此工作區設定為僅允許私人存取,則系統會忽略此設定。 此工作區一律可從公用路由存取。