Azure Private Link és Azure Virtual Desktop
Az Azure Private Link és az Azure Virtual Desktop segítségével privát módon csatlakozhat távoli erőforrásaihoz. Privát végpont létrehozásával a virtuális hálózat és a szolgáltatás közötti forgalom a Microsoft-hálózaton marad, így többé nem kell a nyilvános interneten keresztül elérhetővé tennie a szolgáltatást. Vpn-t vagy ExpressRoute-ot is használhat a távoli asztali ügyféllel rendelkező felhasználók számára a virtuális hálózathoz való csatlakozáshoz. A Microsoft-hálózaton belüli forgalom megtartása javítja a biztonságot és az adatok biztonságát. Ez a cikk azt ismerteti, hogyan segíthet a Private Link az Azure Virtual Desktop-környezet biztonságossá tételében.
Hogyan működik a Private Link az Azure Virtual Desktoppal?
Az Azure Virtual Desktop három munkafolyamattal rendelkezik, amelyek három megfelelő erőforrástípust használnak a privát végpontokhoz. Ezek a munkafolyamatok a következők:
Kezdeti hírcsatorna-felderítés: lehetővé teszi, hogy az ügyfél felderítse a felhasználóhoz rendelt összes munkaterületet. A folyamat engedélyezéséhez egyetlen privát végpontot kell létrehoznia a globális alerőforráshoz bármely munkaterületen. Azonban csak egy privát végpontot hozhat létre a teljes Azure Virtual Desktop-környezetben. Ez a végpont létrehozza a tartománynévrendszer (DNS) bejegyzéseit és privát IP-útvonalait a kezdeti hírcsatorna-felderítéshez szükséges globális teljes tartománynévhez (FQDN). Ez a kapcsolat egyetlen megosztott útvonal lesz az összes ügyfél számára.
Hírcsatorna letöltése: az ügyfél letölti egy adott felhasználó összes kapcsolati adatait az alkalmazáscsoportokat üzemeltető munkaterületekhez. Magánvégpontot hoz létre a hírcsatorna-alerőforráshoz minden olyan munkaterülethez, amelyet a Private Linkkel szeretne használni.
Kapcsolatok gazdagépkészletekhez: a gazdagépkészlethez való minden kapcsolatnak két oldala van: az ügyfeleknek és a munkamenet-gazdagépeknek. Létre kell hoznia egy privát végpontot a kapcsolati alerőforráshoz a Private Linkkel használni kívánt gazdagépkészletekhez.
Az alábbi magas szintű diagram bemutatja, hogyan csatlakoztatja biztonságosan a Private Link egy helyi ügyfelet az Azure Virtual Desktop szolgáltatáshoz. Az ügyfélkapcsolatokkal kapcsolatos részletesebb információkért lásd az ügyfélkapcsolatok sorrendjét.
Támogatott esetek
A Private Link Azure Virtual Desktoppal való hozzáadásakor az alábbi támogatott forgatókönyvek segítségével csatlakozhat az Azure Virtual Desktophoz. A választott forgatókönyv a követelményektől függ. Megoszthatja ezeket a privát végpontokat a hálózati topológiában, vagy elkülönítheti a virtuális hálózatokat, hogy mindegyik saját privát végponttal rendelkezik a gazdagépkészlethez vagy a munkaterülethez.
A kapcsolat minden része – a kezdeti hírcsatorna-felderítés, a hírcsatorna letöltése és az ügyfelek és munkamenet-gazdagépek távoli munkamenet-kapcsolatai – privát útvonalakat használ. A következő privát végpontokra van szüksége:
Cél Erőforrás típusa Célzott alerőforrás Végpont mennyisége Gazdagépkészletek kapcsolatai Microsoft.DesktopVirtualization/hostpools kapcsolat Gazdagépkészletenként egy Hírcsatorna letöltése Microsoft.DesktopVirtualization/workspaces hírcsatorna Munkaterületenként egy Kezdeti hírcsatorna-felderítés Microsoft.DesktopVirtualization/workspaces globális Csak egy az összes Azure Virtual Desktop-üzemelő példányhoz Az ügyfelek és a munkamenet-gazdagépek hírcsatorna-letöltési és távoli munkamenet-kapcsolatai privát útvonalakat használnak, de a kezdeti hírcsatorna-felderítés nyilvános útvonalakat használ. A következő privát végpontokra van szüksége. A kezdeti hírcsatorna-felderítés végpontja nem szükséges.
Cél Erőforrás típusa Célzott alerőforrás Végpont mennyisége Gazdagépkészletek kapcsolatai Microsoft.DesktopVirtualization/hostpools kapcsolat Gazdagépkészletenként egy Hírcsatorna letöltése Microsoft.DesktopVirtualization/workspaces hírcsatorna Munkaterületenként egy Csak az ügyfelek és a munkamenet-gazdagépek távoli munkamenet-kapcsolatai használnak privát útvonalakat, de a kezdeti hírcsatorna-felderítés és -hírcsatorna-letöltés nyilvános útvonalakat használ. A következő privát végpont(ok)ra van szüksége. A munkaterületek végpontjaira nincs szükség.
Cél Erőforrás típusa Célzott alerőforrás Végpont mennyisége Gazdagépkészletek kapcsolatai Microsoft.DesktopVirtualization/hostpools kapcsolat Gazdagépkészletenként egy Az ügyfelek és a munkamenetgazda virtuális gépek egyaránt nyilvános útvonalakat használnak. Ebben a forgatókönyvben a Private Link nem használható.
Fontos
Ha privát végpontot hoz létre a kezdeti hírcsatorna-felderítéshez, a globális alerőforráshoz használt munkaterület szabályozza a megosztott teljes tartománynevet (FQDN), ami megkönnyíti a hírcsatornák kezdeti felderítését az összes munkaterületen. Hozzon létre egy külön munkaterületet, amelyet csak erre a célra használnak, és nincs regisztrálva alkalmazáscsoport. A munkaterület törlésével az összes hírcsatorna-felderítési folyamat leáll.
A kezdeti hírcsatorna-felderítéshez (globális alerőforráshoz) használt munkaterülethez való hozzáférés nem szabályozható. Ha úgy konfigurálja ezt a munkaterületet, hogy csak a privát hozzáférést engedélyezze, a beállítás figyelmen kívül lesz hagyva. Ez a munkaterület mindig elérhető nyilvános útvonalakról.
Az IP-címek kiosztása változhat az IP-címek iránti igény növekedésével. A kapacitásbővítések során további címekre van szükség a privát végpontokhoz. Fontos, hogy fontolja meg a lehetséges helykihasználtság kezelését, és biztosítsa a növekedéshez szükséges elegendő fejteret. A magánvégpontok megfelelő hálózati konfigurációjának hubon vagy küllős topológiában való meghatározásáról további információt a Private Link üzembe helyezésének döntési fájában talál.
Konfigurációs eredmények
A nyilvános vagy privát hozzáférés beállításához konfigurálja a megfelelő Azure Virtual Desktop-munkaterületek és gazdagépkészletek beállításait. A munkaterülethez való kapcsolatok esetében, kivéve a kezdeti hírcsatorna-felderítéshez használt munkaterületet (globális alerőforrás), az alábbi táblázat ismerteti az egyes forgatókönyvek eredményét:
| Konfiguráció | Eredmény |
|---|---|
| Nyilvános hozzáférés minden hálózatról engedélyezve | A munkaterület hírcsatorna-kérelmei nyilvános útvonalakról engedélyezettek. A munkaterület-hírcsatorna-kérelmek privát útvonalakról engedélyezettek. |
| Az összes hálózat nyilvános hozzáférése le van tiltva | A munkaterület-hírcsatorna-kérelmeket a rendszer megtagadja a nyilvános útvonalakról. A munkaterület-hírcsatorna-kérelmek privát útvonalakról engedélyezettek. |
A fordított kapcsolat átvitelével két hálózati kapcsolat áll rendelkezésre a gazdagépkészletekhez való kapcsolatokhoz: az ügyfél az átjáróhoz és a munkamenet-gazdagép az átjáróhoz. Amellett, hogy mindkét kapcsolathoz engedélyezi vagy letiltja a nyilvános hozzáférést, engedélyezheti a nyilvános hozzáférést az átjáróhoz csatlakozó ügyfelek számára, és csak az átjáróhoz csatlakozó munkamenet-gazdagépek privát hozzáférését engedélyezheti. Az alábbi táblázat az egyes forgatókönyvek kimenetelét ismerteti:
| Konfiguráció | Eredmény |
|---|---|
| Nyilvános hozzáférés minden hálózatról engedélyezve | A távoli munkamenetek akkor engedélyezettek, ha az ügyfél vagy a munkamenet-gazdagép nyilvános útvonalat használ. A távoli munkamenetek akkor engedélyezettek, ha az ügyfél vagy a munkamenet-gazdagép privát útvonalat használ. |
| Az összes hálózat nyilvános hozzáférése le van tiltva | A távoli munkamenetek akkor lesznek megtagadva, ha az ügyfél vagy a munkamenet-gazdagép nyilvános útvonalat használ. A távoli munkamenetek akkor engedélyezettek, ha az ügyfél és a munkamenet-gazdagép is privát útvonalat használ. |
| A nyilvános hozzáférés engedélyezve van az ügyfélhálózatokhoz, de a munkamenet-gazdagép-hálózatok esetében le van tiltva | A távoli munkamenetek le lesznek tagadva, ha a munkamenet-gazdagép nyilvános útvonalat használ, függetlenül attól, hogy az ügyfél milyen útvonalat használ. A távoli munkamenetek mindaddig engedélyezettek, amíg a munkamenet-gazdagép privát útvonalat használ, függetlenül attól, hogy az ügyfél milyen útvonalat használ. |
Ügyfélkapcsolat-sorrend
Ha egy felhasználó privát kapcsolaton keresztül csatlakozik az Azure Virtual Desktophoz, és az Azure Virtual Desktop úgy van konfigurálva, hogy csak privát útvonalakról engedélyezze az ügyfélkapcsolatokat, a kapcsolatütemezés a következő:
Egy támogatott ügyféllel a felhasználó feliratkozik egy munkaterületre. A felhasználó eszköze lekérdezi a DNS-t a címhez
rdweb.wvd.microsoft.com(vagy más Azure-környezetek megfelelő címéhez).A privatelink-global.wvd.microsoft.com privát DNS-zónája a kezdeti hírcsatorna-felderítés (globális alerőforrás) privát IP-címét adja vissza. Ha nem privát végpontot használ a kezdeti hírcsatorna-felderítéshez, a rendszer egy nyilvános IP-címet ad vissza.
A hírcsatorna minden munkaterületéhez DNS-lekérdezést kell készíteni a címhez
<workspaceId>.privatelink.wvd.microsoft.com.A privatelink.wvd.microsoft.com privát DNS-zónája visszaadja a munkaterület-hírcsatorna letöltésének privát IP-címét, és a 443-at használó TCP-port használatával tölti le a hírcsatornát.
Távoli munkamenethez való csatlakozáskor a
.rdpmunkaterület-hírcsatorna letöltéséből származó fájl tartalmazza az Azure Virtual Desktop átjárószolgáltatás címét a felhasználó eszközének legalacsonyabb késésével. A rendszer dns-lekérdezést végez egy formátumban<hostpooId>.afdfp-rdgateway.wvd.microsoft.comlévő címre.A privatelink.wvd.microsoft.com privát DNS-zónája a távoli munkamenetet biztosító gazdagépkészlethez használandó Azure Virtual Desktop-átjáró szolgáltatás privát IP-címét adja vissza. A virtuális hálózaton és a privát végponton keresztüli vezénylés a 443-at használó TCP-portot használja.
A vezénylést követően az ügyfél, az Azure Virtual Desktop átjárószolgáltatás és a munkamenet-gazdagép közötti hálózati forgalom át lesz osztva az 1–65535-ös TCP-dinamikus porttartomány egyik portjára.
Fontos
Ha a hálózati portokat a felhasználói ügyféleszközökről vagy a munkamenetgazda virtuális gépekről a privát végpontokra szeretné korlátozni, engedélyeznie kell az 1–65535-ös tcp-dinamikus porttartomány teljes forgalmát a gazdagépkészlet-erőforrás privát végpontjára a kapcsolati alerőforrás használatával. A teljes TCP dinamikus porttartományra azért van szükség, mert az Azure privát hálózatkezelése belsőleg leképozza ezeket a portokat az ügyfél vezénylése során kiválasztott megfelelő átjáróra. Ha a portokat a privát végpontra korlátozza, előfordulhat, hogy a felhasználók nem tudnak csatlakozni az Azure Virtual Desktophoz.
Ismert problémák és korlátozások
A Private Link és az Azure Virtual Desktop a következő korlátozásokkal rendelkezik:
Mielőtt a Private Linket használna az Azure Virtual Desktophoz, engedélyeznie kell a Private Linket az Azure Virtual Desktoppal minden olyan Azure-előfizetésen, amelyet privát kapcsolatként szeretne használni az Azure Virtual Desktoppal.
Az Azure Virtual Desktophoz való csatlakozáshoz használt összes távoli asztali ügyfél használható a Private Link használatával. Ha a Windows távoli asztali ügyfelet internet-hozzáférés nélküli magánhálózaton használja, és nyilvános és privát hírcsatornákra is előfizetett, akkor nem tudja elérni a hírcsatornát.
Miután módosított egy privát végpontot egy gazdagépkészletre, újra kell indítania a Távoli asztali ügynökbetöltő (RDAgentBootLoader) szolgáltatást a gazdagépkészlet minden egyes munkamenet-állomásán. A szolgáltatást a gazdagépkészlet hálózati konfigurációjának módosításakor is újra kell indítania. A szolgáltatás újraindítása helyett újraindíthatja az egyes munkamenet-gazdagépeket.
A Privát kapcsolat és az RDP Shortpath használata a felügyelt hálózatokhoz jelenleg előzetes verzióban érhető el. A bétaverziójú, előzetes verziójú vagy másként még általánosan nem elérhető Azure-szolgáltatások jogi feltételeit lásd: Kiegészítő használati feltételek a Microsoft Azure előzetes verziójú termékeihez. A Private Link nem támogatja az összes egyéb, STUN vagy TURN használatával használható RDP-rövidút-beállítást.
A Private Link és az Azure Virtual Desktop előzetes verziójának előzetes verziójában a kezdeti hírcsatorna-felderítés privát végpontja (a globális alerőforrás esetében) megosztotta a privát DNS-zóna nevét
privatelink.wvd.microsoft.coma munkaterületek és gazdagépkészletek többi privát végpontjával. Ebben a konfigurációban a felhasználók nem tudnak privát végpontokat létrehozni kizárólag gazdagépkészletekhez és munkaterületekhez. 2023. szeptember 1-től a privát DNS-zóna ebben a konfigurációban való megosztása már nem támogatott. Létre kell hoznia egy új privát végpontot a globális alerőforrás számára, hogy a privát DNS-zóna nevétprivatelink-global.wvd.microsoft.comhasználja. Ennek lépéseit a Kezdeti hírcsatorna-felderítés című témakörben találja.
Következő lépések
- Megtudhatja, hogyan állíthatja be a Private Linket az Azure Virtual Desktoppal.
- Megtudhatja, hogyan konfigurálhatja az Azure Private Endpoint DNS-t a Private Link DNS-integrációban.
- A Private Link általános hibaelhárítási útmutatóiért tekintse meg az Azure Private Endpoint csatlakozási problémáinak hibaelhárítását.
- Az Azure Virtual Desktop hálózati kapcsolatainak ismertetése.
- Tekintse meg azOknak az URL-címeknek a kötelező URL-listáját , amelyeket fel kell oldania az Azure Virtual Desktop szolgáltatáshoz való hálózati hozzáférés biztosításához.