Azure Private Link és Azure Virtual Desktop
Az Azure Private Link és az Azure Virtual Desktop segítségével privát módon csatlakozhat távoli erőforrásaihoz. Privát végpont létrehozásával a virtuális hálózat és a szolgáltatás közötti forgalom a Microsoft-hálózaton marad, így többé nem kell a nyilvános interneten keresztül elérhetővé tennie a szolgáltatást. Vpn-t vagy ExpressRoute-ot is használhat a távoli asztali ügyféllel rendelkező felhasználók számára a virtuális hálózathoz való csatlakozáshoz. A Microsoft-hálózaton belüli forgalom megtartása javítja a biztonságot és az adatok biztonságát. Ez a cikk azt ismerteti, hogyan segíthet a Private Link az Azure Virtual Desktop-környezet biztonságossá tételében.
Hogyan működik a Private Link az Azure Virtual Desktoppal?
Az Azure Virtual Desktop három munkafolyamattal rendelkezik, amelyekhez három megfelelő erőforrástípus tartozik:
Kezdeti hírcsatorna-felderítés: lehetővé teszi, hogy az ügyfél felderítse a felhasználóhoz rendelt összes munkaterületet. A folyamat engedélyezéséhez egyetlen privát végpontot kell létrehoznia a globális alerőforráshoz bármely munkaterületen. Azonban csak egy privát végpontot hozhat létre a teljes Azure Virtual Desktop-környezetben. Ez a végpont létrehozza a tartománynévrendszer (DNS) bejegyzéseit és privát IP-útvonalait a kezdeti hírcsatorna-felderítéshez szükséges globális teljes tartománynévhez (FQDN). Ez a kapcsolat egyetlen megosztott útvonal lesz az összes ügyfél számára.
Hírcsatorna letöltése: az ügyfél letölti egy adott felhasználó összes kapcsolati adatait az alkalmazáscsoportokat üzemeltető munkaterületekhez. Magánvégpontot hoz létre a hírcsatorna-alerőforráshoz minden olyan munkaterülethez, amelyet a Private Linkkel szeretne használni.
a gazdagépkészletek Csatlakozás: a gazdagépkészlethez való minden kapcsolatnak két oldala van: az ügyfeleknek és a munkamenetgazda virtuális gépeknek. A kapcsolatok engedélyezéséhez létre kell hoznia egy privát végpontot a kapcsolati alerőforráshoz minden olyan gazdagépkészlethez, amelyet a Private Linkkel szeretne használni.
Az alábbi magas szintű diagram bemutatja, hogyan csatlakoztatja biztonságosan a Private Link egy helyi ügyfelet az Azure Virtual Desktop szolgáltatáshoz. Az ügyfélkapcsolatokkal kapcsolatos részletesebb információkért lásd az ügyfélkapcsolatok sorrendjét.
Támogatott esetek
A Private Link Azure Virtual Desktoppal való hozzáadásakor az alábbi támogatott forgatókönyvek segítségével csatlakozhat az Azure Virtual Desktophoz. A követelményektől függően mindegyik engedélyezhető vagy letiltható. Megoszthatja ezeket a privát végpontokat a hálózati topológiában, vagy elkülönítheti a virtuális hálózatokat, hogy mindegyik saját privát végponttal rendelkezik a gazdagépkészlethez vagy a munkaterülethez.
Mind az ügyfelek, mind a munkamenetgazda virtuális gépek privát útvonalakat használnak. A következő privát végpontokra van szüksége:
Cél Erőforrás típusa Célzott alerőforrás Végpont mennyisége Csatlakozás gazdagépkészletek Microsoft.DesktopVirtualization/hostpools kapcsolat Gazdagépkészletenként egy Hírcsatorna letöltése Microsoft.DesktopVirtualization/workspaces hírcsatorna Munkaterületenként egy Kezdeti hírcsatorna-felderítés Microsoft.DesktopVirtualization/workspaces globális Csak egy az összes Azure Virtual Desktop-üzemelő példányhoz Az ügyfelek nyilvános útvonalakat használnak, míg a munkamenetgazda virtuális gépek privát útvonalakat használnak. A következő privát végpontokra van szüksége. A munkaterületek végpontjaira nincs szükség.
Cél Erőforrás típusa Célzott alerőforrás Végpont mennyisége Csatlakozás gazdagépkészletek Microsoft.DesktopVirtualization/hostpools kapcsolat Gazdagépkészletenként egy Az ügyfelek és a munkamenetgazda virtuális gépek egyaránt nyilvános útvonalakat használnak. Ebben a forgatókönyvben a Private Link nem használható.
A munkaterülethez való kapcsolatok esetében, kivéve a kezdeti hírcsatorna-felderítéshez használt munkaterületet (globális alerőforrás), az alábbi táblázat ismerteti az egyes forgatókönyvek eredményét:
| Konfiguráció | Eredmény |
|---|---|
| Nyilvános hozzáférés minden hálózatról engedélyezve | A munkaterület hírcsatorna-kérelmei nyilvános útvonalakról engedélyezettek. A munkaterület-hírcsatorna-kérelmek privát útvonalakról engedélyezettek. |
| Az összes hálózat nyilvános hozzáférése le van tiltva | A munkaterület-hírcsatorna-kérelmeket a rendszer megtagadja a nyilvános útvonalakról. A munkaterület-hírcsatorna-kérelmek privát útvonalakról engedélyezettek. |
A fordított kapcsolat átvitelével két hálózati kapcsolat áll rendelkezésre a gazdagépkészletekhez való kapcsolatokhoz: az ügyfél az átjáróhoz és a munkamenet-gazdagép az átjáróhoz. Amellett, hogy mindkét kapcsolathoz engedélyezi vagy letiltja a nyilvános hozzáférést, engedélyezheti a nyilvános hozzáférést az átjáróhoz csatlakozó ügyfelek számára, és csak az átjáróhoz csatlakozó munkamenet-gazdagépek privát hozzáférését engedélyezheti. Az alábbi táblázat az egyes forgatókönyvek kimenetelét ismerteti:
| Konfiguráció | Eredmény |
|---|---|
| Nyilvános hozzáférés minden hálózatról engedélyezve | A távoli munkamenetek akkor engedélyezettek, ha az ügyfél vagy a munkamenet-gazdagép nyilvános útvonalat használ. A távoli munkamenetek akkor engedélyezettek, ha az ügyfél vagy a munkamenet-gazdagép privát útvonalat használ. |
| Az összes hálózat nyilvános hozzáférése le van tiltva | A távoli munkamenetek akkor lesznek megtagadva, ha az ügyfél vagy a munkamenet-gazdagép nyilvános útvonalat használ. A távoli munkamenetek akkor engedélyezettek, ha az ügyfél és a munkamenet-gazdagép is privát útvonalat használ. |
| A nyilvános hozzáférés engedélyezve van az ügyfélhálózatokhoz, de a munkamenet-gazdagép-hálózatok esetében le van tiltva | A távoli munkamenetek le lesznek tagadva, ha a munkamenet-gazdagép nyilvános útvonalat használ, függetlenül attól, hogy az ügyfél milyen útvonalat használ. A távoli munkamenetek mindaddig engedélyezettek, amíg a munkamenet-gazdagép privát útvonalat használ, függetlenül attól, hogy az ügyfél milyen útvonalat használ. |
Fontos
Bármely munkaterület globális alerőforrásának privát végpontja szabályozza a megosztott teljes tartománynevet (FQDN) a kezdeti hírcsatorna-felderítéshez. Ez viszont lehetővé teszi a hírcsatorna felderítését az összes munkaterületen. Mivel a privát végponthoz csatlakoztatott munkaterület annyira fontos, a törlés miatt az összes hírcsatorna-felderítési folyamat leáll. Javasoljuk, hogy hozzon létre egy nem használt helyőrző munkaterületet a globális alerőforráshoz.
A kezdeti hírcsatorna-felderítéshez (globális alerőforráshoz) használt munkaterülethez való hozzáférés nem szabályozható. Ha úgy konfigurálja ezt a munkaterületet, hogy csak a privát hozzáférést engedélyezze, a beállítás figyelmen kívül lesz hagyva. Ez a munkaterület mindig elérhető nyilvános útvonalakról.
Ha a hálózati portokat a felhasználói ügyféleszközökről vagy a munkamenetgazda virtuális gépekről a privát végpontokra szeretné korlátozni, engedélyeznie kell az 1–65535-ös tcp-dinamikus porttartomány teljes forgalmát a gazdagépkészlet-erőforrás privát végpontjára a kapcsolati alerőforrás használatával. A teljes TCP dinamikus porttartományra azért van szükség, mert a portleképezés a kapcsolati alerőforrásnak megfelelő egyetlen privát végpont IP-címén keresztül minden globális átjáróhoz használható. Ha a portokat a privát végpontra korlátozza, előfordulhat, hogy a felhasználók nem tudnak sikeresen csatlakozni az Azure Virtual Desktophoz.
Ügyfélkapcsolat-sorrend
Ha egy felhasználó privát kapcsolaton keresztül csatlakozik az Azure Virtual Desktophoz, és az Azure Virtual Desktop úgy van konfigurálva, hogy csak privát útvonalakról engedélyezze az ügyfélkapcsolatokat, a kapcsolatütemezés a következő:
Egy támogatott ügyféllel a felhasználó feliratkozik egy munkaterületre. A felhasználó eszköze lekérdezi a DNS-t a címhez
rdweb.wvd.microsoft.com(vagy más Azure-környezetek megfelelő címéhez).A privatelink-global.wvd.microsoft.com privát DNS-zónája a kezdeti hírcsatorna-felderítés (globális alerőforrás) privát IP-címét adja vissza.
A hírcsatorna minden munkaterületéhez DNS-lekérdezést kell készíteni a címhez
<workspaceId>.privatelink.wvd.microsoft.com.A privatelink.wvd.microsoft.com privát DNS-zónája visszaadja a munkaterület-hírcsatorna letöltésének privát IP-címét, és a 443-at használó TCP-port használatával tölti le a hírcsatornát.
Távoli munkamenethez való csatlakozáskor a
.rdpmunkaterület-hírcsatorna letöltéséből származó fájl tartalmazza az Azure Virtual Desktop átjárószolgáltatás címét a felhasználó eszközének legalacsonyabb késésével. A rendszer dns-lekérdezést végez egy formátumban<hostpooId>.afdfp-rdgateway.wvd.microsoft.comlévő címre.A privatelink.wvd.microsoft.com privát DNS-zónája a távoli munkamenetet biztosító gazdagépkészlethez használandó Azure Virtual Desktop-átjáró szolgáltatás privát IP-címét adja vissza. A virtuális hálózaton és a privát végponton keresztüli vezénylés a 443-at használó TCP-portot használja.
A vezénylést követően az ügyfél, az Azure Virtual Desktop átjárószolgáltatás és a munkamenet-gazdagép közötti hálózati forgalom át lesz osztva az 1–65535-ös TCP-dinamikus porttartomány egyik portjára. A teljes porttartományra azért van szükség, mert a portleképezés a kapcsolati alerőforrásnak megfelelő egyetlen privát végpont IP-címén keresztül az összes globális átjáróhoz használható. Az Azure privát hálózatkezelés belsőleg leképozza ezeket a portokat az ügyfél vezénylése során kiválasztott megfelelő átjáróra.
Ismert problémák és korlátozások
A Private Link és az Azure Virtual Desktop a következő korlátozásokkal rendelkezik:
Mielőtt a Private Linket használna az Azure Virtual Desktophoz, engedélyeznie kell a Private Linket az Azure Virtual Desktoppal minden olyan Azure-előfizetésen, amelyet privát kapcsolatként szeretne használni az Azure Virtual Desktoppal.
Az Azure Virtual Desktophoz való csatlakozáshoz használt összes távoli asztali ügyfél használható a Private Link használatával. Ha a Windows távoli asztali ügyfelet internet-hozzáférés nélküli magánhálózaton használja, és nyilvános és privát hírcsatornákra is előfizetett, akkor nem tudja elérni a hírcsatornát.
Miután módosított egy privát végpontot egy gazdagépkészletre, újra kell indítania a Távoli asztali ügynökbetöltő (RDAgentBootLoader) szolgáltatást a gazdagépkészlet minden egyes munkamenet-állomásán. A szolgáltatást a gazdagépkészlet hálózati konfigurációjának módosításakor is újra kell indítania. A szolgáltatás újraindítása helyett újraindíthatja az egyes munkamenet-gazdagépeket.
A Private Link és az RDP Shortpath használata a következő korlátozásokkal rendelkezik:
- A Private Link és az RDP Shortpath nyilvános hálózatokhoz való használata nem támogatott.
- A Private Link és az RDP Shortpath felügyelt hálózatokhoz való használata nem támogatott, de együttműködhetnek. A Privát kapcsolat és az RDP Shortpath a saját kockázatára felügyelt hálózatokhoz is használható. Kövesse az RDP Shortpath felügyelt hálózatokhoz való letiltásának lépéseit.
A Private Link és az Azure Virtual Desktop előzetes verziójának előzetes verziójában a kezdeti hírcsatorna-felderítés privát végpontja (a globális alerőforrás esetében) megosztotta a privát DNS-zóna nevét
privatelink.wvd.microsoft.coma munkaterületek és gazdagépkészletek többi privát végpontjával. Ebben a konfigurációban a felhasználók nem tudnak privát végpontokat létrehozni kizárólag gazdagépkészletekhez és munkaterületekhez. 2023. szeptember 1-től a privát DNS-zóna ebben a konfigurációban való megosztása már nem támogatott. Létre kell hoznia egy új privát végpontot a globális alerőforrás számára, hogy a privát DNS-zóna nevétprivatelink-global.wvd.microsoft.comhasználja. Ennek lépéseit a Kezdeti hírcsatorna-felderítés című témakörben találja.
Következő lépések
- Megtudhatja, hogyan állíthatja be a Private Linket az Azure Virtual Desktoppal.
- Megtudhatja, hogyan konfigurálhatja az Azure Private Endpoint DNS-t a Private Link DNS-integrációban.
- A Private Link általános hibaelhárítási útmutatóiért tekintse meg az Azure Private Endpoint csatlakozási problémáinak hibaelhárítását.
- Az Azure Virtual Desktop hálózati kapcsolatainak ismertetése.
- Tekintse meg azOknak az URL-címeknek a kötelező URL-listáját , amelyeket fel kell oldania az Azure Virtual Desktop szolgáltatáshoz való hálózati hozzáférés biztosításához.