Azure Private Link dengan Azure Virtual Desktop
Anda dapat menggunakan Azure Private Link dengan Azure Virtual Desktop untuk menyambungkan secara privat ke sumber daya jarak jauh Anda. Dengan membuat titik akhir privat, lalu lintas antara jaringan virtual Anda dan layanan tetap berada di jaringan Microsoft, sehingga Anda tidak perlu lagi mengekspos layanan Anda ke internet publik. Anda juga menggunakan VPN atau ExpressRoute untuk pengguna Anda dengan klien Desktop Jauh untuk terhubung ke jaringan virtual. Menjaga lalu lintas dalam jaringan Microsoft meningkatkan keamanan dan menjaga keamanan data Anda. Artikel ini menjelaskan bagaimana Private Link dapat membantu Anda mengamankan lingkungan Azure Virtual Desktop Anda.
Bagaimana cara kerja Private Link dengan Azure Virtual Desktop?
Azure Virtual Desktop memiliki tiga alur kerja dengan tiga jenis sumber daya yang sesuai untuk digunakan dengan titik akhir privat. Alur kerja ini adalah:
Penemuan umpan awal: memungkinkan klien menemukan semua ruang kerja yang ditetapkan untuk pengguna. Untuk mengaktifkan proses ini, Anda harus membuat satu titik akhir privat ke sub-sumber daya global ke ruang kerja apa pun. Namun, Anda hanya dapat membuat satu titik akhir privat di seluruh penyebaran Azure Virtual Desktop Anda. Titik akhir ini membuat entri Sistem Nama Domain (DNS) dan rute IP privat untuk nama domain global yang sepenuhnya memenuhi syarat (FQDN) yang diperlukan untuk penemuan umpan awal. Koneksi ini menjadi satu rute bersama untuk digunakan semua klien.
Unduhan umpan: klien mengunduh semua detail koneksi untuk pengguna tertentu untuk ruang kerja yang menghosting grup aplikasi mereka. Anda membuat titik akhir privat untuk sub-sumber daya umpan untuk setiap ruang kerja yang ingin Anda gunakan dengan Private Link.
Koneksi ke kumpulan host: setiap koneksi ke kumpulan host memiliki dua sisi - klien dan host sesi. Anda perlu membuat titik akhir privat untuk sub-sumber daya koneksi untuk setiap kumpulan host yang ingin Anda gunakan dengan Private Link.
Diagram tingkat tinggi berikut menunjukkan bagaimana Private Link menghubungkan klien lokal dengan aman ke layanan Azure Virtual Desktop. Untuk informasi selengkapnya tentang koneksi klien, lihat Urutan koneksi klien.
Skenario yang didukung
Saat menambahkan Private Link dengan Azure Virtual Desktop, Anda memiliki skenario yang didukung berikut untuk menyambungkan ke Azure Virtual Desktop. Skenario mana yang Anda pilih tergantung pada kebutuhan Anda. Anda dapat berbagi titik akhir privat ini di seluruh topologi jaringan Anda atau Anda dapat mengisolasi jaringan virtual Anda sehingga masing-masing memiliki titik akhir privat mereka sendiri ke kumpulan host atau ruang kerja.
Semua bagian koneksi - penemuan umpan awal, unduhan umpan, dan koneksi sesi jarak jauh untuk klien dan host sesi - gunakan rute privat. Anda memerlukan titik akhir privat berikut:
Tujuan Jenis Sumber Daya Sub-sumber daya target Kuantitas titik akhir Koneksi ke kumpulan host Microsoft.DesktopVirtualization/hostpools koneksi Satu per kumpulan host Unduhan umpan Microsoft.DesktopVirtualization/workspaces umpan Satu per ruang kerja Penemuan umpan awal Microsoft.DesktopVirtualization/workspaces global Hanya satu untuk semua penyebaran Azure Virtual Desktop Anda Unduhan umpan dan koneksi sesi jarak jauh untuk klien dan host sesi menggunakan rute privat, tetapi penemuan umpan awal menggunakan rute publik. Anda memerlukan titik akhir privat berikut. Titik akhir untuk penemuan umpan awal tidak diperlukan.
Tujuan Jenis Sumber Daya Sub-sumber daya target Kuantitas titik akhir Koneksi ke kumpulan host Microsoft.DesktopVirtualization/hostpools koneksi Satu per kumpulan host Unduhan umpan Microsoft.DesktopVirtualization/workspaces umpan Satu per ruang kerja Hanya koneksi sesi jarak jauh untuk klien dan host sesi yang menggunakan rute privat, tetapi penemuan umpan awal dan unduhan umpan menggunakan rute publik. Anda memerlukan titik akhir privat berikut. Titik akhir ke ruang kerja tidak diperlukan.
Tujuan Jenis Sumber Daya Sub-sumber daya target Kuantitas titik akhir Koneksi ke kumpulan host Microsoft.DesktopVirtualization/hostpools koneksi Satu per kumpulan host Klien dan VM host sesi menggunakan rute publik. Private Link tidak digunakan dalam skenario ini.
Penting
Jika Anda membuat titik akhir privat untuk penemuan umpan awal, ruang kerja yang digunakan untuk sub-sumber daya global mengatur Nama Domain Yang Sepenuhnya Memenuhi Syarat (FQDN) bersama, memfasilitasi penemuan awal umpan di semua ruang kerja. Anda harus membuat ruang kerja terpisah yang hanya digunakan untuk tujuan ini dan tidak memiliki grup aplikasi apa pun yang terdaftar di dalamnya. Menghapus ruang kerja ini akan menyebabkan semua proses penemuan umpan berhenti bekerja.
Anda tidak dapat mengontrol akses ke ruang kerja yang digunakan untuk penemuan umpan awal (sub-sumber daya global). Jika Anda mengonfigurasi ruang kerja ini untuk hanya mengizinkan akses privat, pengaturan diabaikan. Ruang kerja ini selalu dapat diakses dari rute publik.
Alokasi alamat IP dapat berubah saat permintaan alamat IP meningkat. Selama ekspansi kapasitas, alamat tambahan diperlukan untuk titik akhir privat. Penting bagi Anda untuk mempertimbangkan potensi kelelahan ruang alamat dan memastikan ruang kepala yang cukup untuk pertumbuhan. Untuk informasi selengkapnya tentang menentukan konfigurasi jaringan yang sesuai untuk titik akhir privat di topologi hub atau spoke, lihat Pohon keputusan untuk penyebaran Private Link.
Hasil konfigurasi
Anda mengonfigurasi pengaturan pada ruang kerja Azure Virtual Desktop dan kumpulan host yang relevan untuk mengatur akses publik atau privat. Untuk koneksi ke ruang kerja, kecuali ruang kerja yang digunakan untuk penemuan umpan awal (sub-sumber daya global), tabel berikut merinci hasil setiap skenario:
| Konfigurasi | Hasil |
|---|---|
| Akses publik diaktifkan dari semua jaringan | Permintaan umpan ruang kerja diizinkan dari rute publik. Permintaan umpan ruang kerja diizinkan dari rute privat. |
| Akses publik dinonaktifkan dari semua jaringan | Permintaan umpan ruang kerja ditolak dari rute publik. Permintaan umpan ruang kerja diizinkan dari rute privat. |
Dengan transportasi koneksi terbalik, ada dua koneksi jaringan untuk koneksi ke kumpulan host: klien ke gateway, dan host sesi ke gateway. Selain mengaktifkan atau menonaktifkan akses publik untuk kedua koneksi, Anda juga dapat memilih untuk mengaktifkan akses publik bagi klien yang terhubung ke gateway dan hanya mengizinkan akses privat untuk host sesi yang terhubung ke gateway. Tabel berikut merinci hasil dari setiap skenario:
| Konfigurasi | Hasil |
|---|---|
| Akses publik diaktifkan dari semua jaringan | Sesi jarak jauh diizinkan ketika klien atau host sesi menggunakan rute publik. Sesi jarak jauh diperbolehkan ketika klien atau host sesi menggunakan rute privat. |
| Akses publik dinonaktifkan dari semua jaringan | Sesi jarak jauh ditolak ketika klien atau host sesi menggunakan rute publik. Sesi jarak jauh diizinkan ketika klien dan host sesi menggunakan rute privat . |
| Akses publik diaktifkan untuk jaringan klien, tetapi dinonaktifkan untuk jaringan host sesi | Sesi jarak jauh ditolak jika host sesi menggunakan rute publik, terlepas dari rute yang digunakan klien. Sesi jarak jauh diizinkan selama host sesi menggunakan rute privat , terlepas dari rute yang digunakan klien. |
Urutan koneksi klien
Saat pengguna terhubung ke Azure Virtual Desktop melalui Private Link, dan Azure Virtual Desktop dikonfigurasi untuk hanya mengizinkan koneksi klien dari rute privat, urutan koneksinya adalah sebagai berikut:
Dengan klien yang didukung, pengguna berlangganan ruang kerja. Perangkat pengguna meminta DNS untuk alamat
rdweb.wvd.microsoft.comtersebut (atau alamat terkait untuk lingkungan Azure lainnya).Zona DNS privat Anda untuk privatelink-global.wvd.microsoft.com mengembalikan alamat IP privat untuk penemuan umpan awal (sub-sumber daya global). Jika Anda tidak menggunakan titik akhir privat untuk penemuan umpan awal, alamat IP publik akan dikembalikan.
Untuk setiap ruang kerja dalam umpan, kueri DNS dibuat untuk alamat
<workspaceId>.privatelink.wvd.microsoft.com.Zona DNS privat Anda untuk privatelink.wvd.microsoft.com mengembalikan alamat IP privat untuk unduhan umpan ruang kerja, dan mengunduh umpan menggunakan port TCP 443.
Saat menyambungkan ke sesi jarak jauh,
.rdpfile yang berasal dari unduhan umpan ruang kerja berisi alamat untuk layanan gateway Azure Virtual Desktop dengan latensi terendah untuk perangkat pengguna. Kueri DNS dibuat ke alamat dalam format<hostpooId>.afdfp-rdgateway.wvd.microsoft.com.Zona DNS privat Anda untuk privatelink.wvd.microsoft.com mengembalikan alamat IP privat untuk layanan gateway Azure Virtual Desktop yang akan digunakan untuk kumpulan host yang menyediakan sesi jarak jauh. Orkestrasi melalui jaringan virtual dan titik akhir privat menggunakan port TCP 443.
Setelah orkestrasi, lalu lintas jaringan antara klien, layanan gateway Azure Virtual Desktop, dan host sesi ditransfer ke port di rentang port dinamis TCP 1 - 65535.
Penting
Jika Anda ingin membatasi port jaringan dari perangkat klien pengguna atau VM host sesi Anda ke titik akhir privat, Anda harus mengizinkan lalu lintas di seluruh rentang port dinamis TCP 1 - 65535 ke titik akhir privat untuk sumber daya kumpulan host menggunakan sub-sumber daya koneksi . Seluruh rentang port dinamis TCP diperlukan karena jaringan privat Azure secara internal memetakan port ini ke gateway yang sesuai yang dipilih selama orkestrasi klien. Jika Anda membatasi port ke titik akhir privat, pengguna Anda mungkin tidak dapat tersambung ke Azure Virtual Desktop.
Masalah dan batasan yang diketahui
Private Link dengan Azure Virtual Desktop memiliki batasan berikut:
Sebelum menggunakan Private Link untuk Azure Virtual Desktop, Anda perlu mengaktifkan Private Link dengan Azure Virtual Desktop pada setiap langganan Azure yang ingin Anda Tautkan Privat dengan Azure Virtual Desktop.
Semua klien Desktop Jauh untuk menyambungkan ke Azure Virtual Desktop dapat digunakan dengan Private Link. Jika Anda menggunakan klien Desktop Jauh untuk Windows di jaringan privat tanpa akses internet dan Anda berlangganan umpan publik dan privat, Anda tidak dapat mengakses umpan Anda.
Setelah mengubah titik akhir privat ke kumpulan host, Anda harus memulai ulang layanan Remote Desktop Agent Loader (RDAgentBootLoader) pada setiap host sesi di kumpulan host. Anda juga perlu memulai ulang layanan ini setiap kali Anda mengubah konfigurasi jaringan kumpulan host. Alih-alih memulai ulang layanan, Anda dapat memulai ulang setiap host sesi.
Menggunakan Private Link dan RDP Shortpath untuk jaringan terkelola saat ini dalam PRATINJAU. Lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure untuk persyaratan hukum yang berlaku pada fitur Azure dalam versi beta, pratinjau, atau belum dirilis secara umum. Semua opsi RDP Shortpath lainnya menggunakan STUN atau TURN tidak didukung dengan Private Link.
Di awal pratinjau Private Link dengan Azure Virtual Desktop, titik akhir privat untuk penemuan umpan awal (untuk sub-sumber daya global ) membagikan nama
privatelink.wvd.microsoft.comzona DNS privat dengan titik akhir privat lainnya untuk ruang kerja dan kumpulan host. Dalam konfigurasi ini, pengguna tidak dapat membuat titik akhir privat secara eksklusif untuk kumpulan host dan ruang kerja. Mulai 1 September 2023, berbagi zona DNS privat dalam konfigurasi ini tidak akan lagi didukung. Anda perlu membuat titik akhir privat baru untuk sub-sumber daya global untuk menggunakan nama zona DNS privat .privatelink-global.wvd.microsoft.comUntuk langkah-langkah untuk melakukan ini, lihat Penemuan umpan awal.
Langkah berikutnya
- Pelajari cara Menyiapkan Private Link dengan Azure Virtual Desktop.
- Pelajari cara mengonfigurasi DNS Titik Akhir Privat Azure di integrasi DNS Private Link.
- Untuk panduan pemecahan masalah umum untuk Private Link, lihat Memecahkan masalah konektivitas Titik Akhir Privat Azure.
- Memahami konektivitas jaringan Azure Virtual Desktop.
- Lihat daftar URL yang diperlukan untuk daftar URL yang perlu Anda buka blokirnya untuk memastikan akses jaringan ke layanan Azure Virtual Desktop.