Configurare collegamento privato con Desktop virtuale Azure

Articolo
04/19/2024

Questo articolo illustra come configurare collegamento privato con Desktop virtuale Azure per connettersi privatamente alle risorse remote. Per altre informazioni sull'uso di collegamento privato con Desktop virtuale Azure, incluse le limitazioni, vedere collegamento privato di Azure con Desktop virtuale Azure.

Prerequisiti

Per usare collegamento privato con Desktop virtuale Azure, sono necessari gli elementi seguenti:

Un pool di host esistente con host di sessione, un gruppo di applicazioni e un'area di lavoro.
Una rete virtuale esistente e una subnet da usare per gli endpoint privati.
Autorizzazioni di controllo degli accessi in base al ruolo di Azure necessarie per creare endpoint privati.
Se si usa il client Desktop remoto per Windows, è necessario usare la versione 1.2.4066 o successiva per connettersi usando un endpoint privato.
Se si vuole usare l'interfaccia della riga di comando di Azure o Azure PowerShell in locale, vedere Usare l'interfaccia della riga di comando di Azure e Azure PowerShell con Desktop virtuale Azure per assicurarsi che sia installata l'estensione desktopvirtualization dell'interfaccia della riga di comando di Azure o il modulo Az.DesktopVirtualization di PowerShell. In alternativa, usare Azure Cloud Shell.
I cmdlet di Azure PowerShell per Desktop virtuale Azure che supportano collegamento privato sono in anteprima. È necessario scaricare e installare la versione di anteprima del modulo Az.DesktopVirtualization per usare questi cmdlet, aggiunti nella versione 5.0.0.

Abilitare collegamento privato con Desktop virtuale Azure in una sottoscrizione

Per usare collegamento privato con Desktop virtuale Azure, è necessario registrare nuovamente il provider di risorse Microsoft.DesktopVirtualization in ogni sottoscrizione che si vuole usare collegamento privato con Desktop virtuale Azure.

Importante

Per Azure per il governo degli Stati Uniti e Azure gestito da 21Vianet, è anche necessario registrare la funzionalità per ogni sottoscrizione.

Registrare collegamento privato con Desktop virtuale Azure (Azure per il governo degli Stati Uniti e Azure gestito solo da 21Vianet)

Per registrare la funzionalità desktop virtuale Azure collegamento privato:

Accedere al portale di Azure.
Nella barra di ricerca immettere Sottoscrizioni e selezionare la voce del servizio corrispondente.
Selezionare il nome della sottoscrizione, quindi nella sezione Impostazioni selezionare Funzionalità di anteprima.
Selezionare l'elenco a discesa per il tipo di filtro e impostarlo su Microsoft.DesktopVirtualization.
Selezionare Desktop virtuale Azure collegamento privato e quindi selezionare Registra.

Registrare nuovamente il provider di risorse

Per registrare nuovamente il provider di risorse Microsoft.DesktopVirtualization :

Accedere al portale di Azure.
Nella barra di ricerca immettere Sottoscrizioni e selezionare la voce del servizio corrispondente.
Selezionare il nome della sottoscrizione, quindi nella sezione Impostazioni selezionare Provider di risorse.
Cercare e selezionare Microsoft.DesktopVirtualization, quindi selezionare Registra nuovamente.
Verificare che lo stato di Microsoft.DesktopVirtualization sia Registrato.

Creare endpoint privati

Durante il processo di installazione, si creano endpoint privati alle risorse seguenti, a seconda dello scenario.

Sia i client che le macchine virtuali host sessione usano route private. Sono necessari gli endpoint privati seguenti:

Scopo	Tipo di risorsa	Sottorisorsa di destinazione	Quantità endpoint	Quantità di indirizzi IP
Connessione ions per ospitare i pool	Microsoft.DesktopVirtualization/hostpools	connection	Uno per pool di host	Quattro per endpoint
Download del feed	Microsoft.DesktopVirtualization/workspaces	feed	Uno per area di lavoro	Due per endpoint
Individuazione iniziale del feed	Microsoft.DesktopVirtualization/workspaces	global	Solo una per tutte le distribuzioni di Desktop virtuale Azure	Uno per endpoint

I client usano route pubbliche mentre le macchine virtuali host sessione usano route private. Sono necessari gli endpoint privati seguenti. Gli endpoint alle aree di lavoro non sono necessari.

Scopo	Tipo di risorsa	Sottorisorsa di destinazione	Quantità endpoint	Quantità di indirizzi IP
Connessione ions per ospitare i pool	Microsoft.DesktopVirtualization/hostpools	connection	Uno per pool di host	Quattro per endpoint

Importante

Le allocazioni degli indirizzi IP sono soggette a modifiche man mano che aumenta la richiesta di indirizzi IP. Durante le espansioni della capacità, sono necessari indirizzi aggiuntivi per gli endpoint privati. È importante considerare l'esaurimento potenziale dello spazio di indirizzi e garantire un'adeguata capacità di crescita. Per altre informazioni sulla determinazione della configurazione di rete appropriata per gli endpoint privati in una topologia hub o spoke, vedere Albero delle decisioni per la distribuzione di collegamento privato.

Connessione ions per ospitare i pool

Per creare un endpoint privato per la sotto-risorsa di connessione per le connessioni a un pool di host, selezionare la scheda pertinente per lo scenario e seguire la procedura.

Ecco come creare un endpoint privato per la sotto-risorsa di connessione per le connessioni a un pool di host usando il portale di Azure.

Accedere al portale di Azure.
Nella barra di ricerca digitare Desktop virtuale Azure e selezionare la voce del servizio corrispondente per passare alla panoramica di Desktop virtuale Azure.
Selezionare Pool di host, quindi selezionare il nome del pool di host per cui si vuole creare una sotto-risorsa di connessione .
Nella panoramica del pool di host selezionare Rete, quindi Connessioni endpoint privato e infine Nuovo endpoint privato.

Nella scheda Informazioni di base completare le informazioni seguenti:

Parametro	Valore/Descrizione
Subscription	Selezionare la sottoscrizione in cui si vuole creare l'endpoint privato nell'elenco a discesa.
Gruppo di risorse	Questa impostazione predefinita corrisponde automaticamente allo stesso gruppo di risorse dell'area di lavoro per l'endpoint privato, ma è anche possibile selezionarne una alternativa nell'elenco a discesa oppure crearne una nuova.
Nome	Immettere un nome per il nuovo endpoint privato.
Nome dell'interfaccia di rete	Il nome dell'interfaccia di rete viene compilato automaticamente in base al nome assegnato all'endpoint privato, ma è anche possibile specificare un nome diverso.
Paese	Questa impostazione predefinita corrisponde automaticamente alla stessa area di Azure dell'area di lavoro ed è la posizione in cui viene distribuito l'endpoint privato. Deve essere la stessa area degli host di sessione e della rete virtuale.

Dopo aver completato questa scheda, selezionare Avanti: Risorsa.

Nella scheda Risorsa convalidare i valori per Sottoscrizione, Tipo di risorsa e Risorsa, quindi per Sotto-risorsa di destinazione selezionare connessione. Dopo aver completato questa scheda, selezionare Avanti: Rete virtuale.

Nella scheda Rete virtuale completare le informazioni seguenti:

Parametro	Valore/Descrizione
Rete virtuale	Selezionare la rete virtuale in cui si vuole creare l'endpoint privato nell'elenco a discesa.
Subnet	Selezionare la subnet della rete virtuale in cui si vuole creare l'endpoint privato nell'elenco a discesa.
Criteri di rete per gli endpoint privati	Selezionare Modifica se si vuole scegliere un criterio di rete subnet. Per altre informazioni, vedere Gestire i criteri di rete per gli endpoint privati.
Configurazione IP privato	Selezionare Allocare in modo dinamico l'indirizzo IP o allocare in modo statico l'indirizzo IP. Lo spazio degli indirizzi proviene dalla subnet selezionata. Se si sceglie di allocare in modo statico gli indirizzi IP, è necessario immettere il nome e l'indirizzo IP privato per ogni membro elencato.
Gruppo di sicurezza delle applicazioni	Facoltativo: selezionare un gruppo di sicurezza delle applicazioni esistente per l'endpoint privato dall'elenco a discesa oppure crearne uno nuovo. È anche possibile aggiungerne uno in un secondo momento.

Dopo aver completato questa scheda, selezionare Avanti: DNS.

Nella scheda DNS scegliere se si vuole usare Azure DNS privato Zona selezionando Sì o No per l'integrazione con la zona DNS privata. Se si seleziona Sì, selezionare la sottoscrizione e il gruppo di risorse in cui creare la zona privatelink.wvd.microsoft.comDNS privata. Per altre informazioni, vedere Configurazione DNS dell'endpoint privato di Azure.

Dopo aver completato questa scheda, selezionare Avanti: Tag.
Facoltativo: nella scheda Tag è possibile immettere qualsiasi coppia nome/valore necessaria, quindi selezionare Avanti: Rivedi e crea.
Nella scheda Rivedi e crea verificare che la convalida superi le informazioni usate durante la distribuzione.
Selezionare Crea per creare l'endpoint privato per la sotto-risorsa di connessione.

Ecco come creare un endpoint privato per la sotto-risorsa di connessione usata per le connessioni a un pool di host usando i moduli Az.Network e Az.DesktopVirtualization di PowerShell.

Importante

Negli esempi seguenti è necessario modificare i <placeholder> valori personalizzati.

Avviare Azure Cloud Shell nel portale di Azure con il tipo di terminale PowerShell oppure eseguire PowerShell nel dispositivo locale.
1. Se si usa Cloud Shell, assicurarsi che il contesto di Azure sia impostato sulla sottoscrizione da usare.
2. Se si usa PowerShell in locale, accedere prima con Azure PowerShell, assicurarsi che il contesto di Azure sia impostato sulla sottoscrizione da usare.

Ottenere i dettagli della rete virtuale e della subnet da usare per l'endpoint privato e archiviarli in una variabile eseguendo i comandi seguenti:

# Get the subnet details for the virtual network
$subnet = (Get-AzVirtualNetwork -Name <VNetName> -ResourceGroupName <ResourceGroupName>).Subnets | ? Name -eq <SubnetName>

Creare una connessione al servizio collegamento privato per un pool di host con la sotto-risorsa di connessione eseguendo i comandi seguenti.

# Get the resource ID of the host pool
$hostPoolId = (Get-AzWvdHostPool -Name <HostPoolName> -ResourceGroupName <ResourceGroupName>).Id

# Create the service connection
$parameters = @{
    Name = '<ServiceConnectionName>'
    PrivateLinkServiceId = $hostPoolId
    GroupId = 'connection'
}

$serviceConnection = New-AzPrivateLinkServiceConnection @parameters

Infine, creare l'endpoint privato eseguendo i comandi in uno degli esempi seguenti.

Per creare un endpoint privato con un indirizzo IP allocato dinamicamente:

# Specify the Azure region. This must be the same region as your virtual network and session hosts.
$location = '<Location>'

# Create the private endpoint
$parameters = @{
    Name = '<PrivateEndpointName>'
    ResourceGroupName = '<ResourceGroupName>'
    Location = $location
    Subnet = $subnet
    PrivateLinkServiceConnection = $serviceConnection
}

New-AzPrivateEndpoint @parameters

Per creare un endpoint privato con indirizzi IP allocati in modo statico:

# Specify the Azure region. This must be the same region as your virtual network and session hosts.
$location = '<Location>'

# Create a hash table for each private endpoint IP configuration
$ip1 = @{
    Name = 'ipconfig1'
    GroupId = 'connection'
    MemberName = 'broker'
    PrivateIPAddress = '<IPAddress>'
}

$ip2 = @{
    Name = 'ipconfig2'
    GroupId = 'connection'
    MemberName = 'diagnostics'
    PrivateIPAddress = '<IPAddress>'
}

$ip3 = @{
    Name = 'ipconfig3'
    GroupId = 'connection'
    MemberName = 'gateway-ring-map'
    PrivateIPAddress = '<IPAddress>'
}

$ip4 = @{
    Name = 'ipconfig4'
    GroupId = 'connection'
    MemberName = 'web'
    PrivateIPAddress = '<IPAddress>'
}

# Create the private endpoint IP configurations
$ipConfig1 = New-AzPrivateEndpointIpConfiguration @ip1
$ipConfig2 = New-AzPrivateEndpointIpConfiguration @ip2
$ipConfig3 = New-AzPrivateEndpointIpConfiguration @ip3
$ipConfig4 = New-AzPrivateEndpointIpConfiguration @ip4

# Create the private endpoint
$parameters = @{
    Name = '<PrivateEndpointName>'
    ResourceGroupName = '<ResourceGroupName>'
    Location = $location
    Subnet = $subnet
    PrivateLinkServiceConnection = $serviceConnection
    IpConfiguration = $ipConfig1, $ipConfig2, $ipConfig3, $ipConfig4
}

New-AzPrivateEndpoint @parameters

L'output dovrebbe essere simile all'output seguente. Verificare che il valore di ProvisioningState sia Succeeded.

ResourceGroupName Name            Location ProvisioningState Subnet
----------------- ----            -------- ----------------- ------
privatelink       endpoint-hp01   uksouth  Succeeded

È necessario configurare DNS per l'endpoint privato per risolvere il nome DNS dell'endpoint privato nella rete virtuale. Il nome della zona DNS privato è privatelink.wvd.microsoft.com. Per la procedura per creare e configurare la zona DNS privata con Azure PowerShell, vedere Configurare la zona DNS privata.

Ecco come creare un endpoint privato per la sotto-risorsa di connessione usata per le connessioni a un pool di host usando le estensioni di rete e desktopvirtualization per l'interfaccia della riga di comando di Azure.

Importante

Negli esempi seguenti è necessario modificare i <placeholder> valori personalizzati.

Avviare Azure Cloud Shell nel portale di Azure con il tipo di terminale Bash oppure eseguire l'interfaccia della riga di comando di Azure nel dispositivo locale.
1. Se si usa Cloud Shell, assicurarsi che il contesto di Azure sia impostato sulla sottoscrizione da usare.
2. Se si usa l'interfaccia della riga di comando di Azure in locale, prima accedere con l'interfaccia della riga di comando di Azure, assicurarsi che il contesto di Azure sia impostato sulla sottoscrizione che si vuole usare.

Creare una connessione al servizio collegamento privato e l'endpoint privato per un pool di host con la sotto-risorsa di connessione eseguendo i comandi in uno degli esempi seguenti.

Per creare un endpoint privato con un indirizzo IP allocato dinamicamente:

# Specify the Azure region. This must be the same region as your virtual network and session hosts.
location=<Location>

# Get the resource ID of the host pool
hostPoolId=$(az desktopvirtualization hostpool show \
    --name <HostPoolName> \
    --resource-group <ResourceGroupName> \
    --query [id] \
    --output tsv)

# Create a service connection and the private endpoint
az network private-endpoint create \
    --name <PrivateEndpointName> \
    --resource-group <ResourceGroupName> \
    --location $location \
    --vnet-name <VNetName> \
    --subnet <SubnetName> \
    --connection-name <ConnectionName> \
    --private-connection-resource-id $hostPoolId \
    --group-id connection \
    --output table

Per creare un endpoint privato con indirizzi IP allocati in modo statico:

# Specify the Azure region. This must be the same region as your virtual network and session hosts.
location=<Location>

# Get the resource ID of the host pool
hostPoolId=$(az desktopvirtualization hostpool show \
    --name <HostPoolName> \
    --resource-group <ResourceGroupName> \
    --query [id] \
    --output tsv)

# Store each private endpoint IP configuration in a variable
ip1={name:ipconfig1,group-id:connection,member-name:broker,private-ip-address:<IPAddress>}
ip2={name:ipconfig2,group-id:connection,member-name:diagnostics,private-ip-address:<IPAddress>}
ip3={name:ipconfig3,group-id:connection,member-name:gateway-ring-map,private-ip-address:<IPAddress>}
ip4={name:ipconfig4,group-id:connection,member-name:web,private-ip-address:<IPAddress>}

# Create a service connection and the private endpoint
az network private-endpoint create \
    --name <PrivateEndpointName> \
    --resource-group <ResourceGroupName> \
    --location $location \
    --vnet-name <VNetName> \
    --subnet <SubnetName> \
    --connection-name <ConnectionName> \
    --private-connection-resource-id $hostPoolId \
    --group-id connection \
    --ip-configs [$ip1,$ip2,$ip3,$ip4] \
    --output table

L'output dovrebbe essere simile all'output seguente. Verificare che il valore di ProvisioningState sia Succeeded.

CustomNetworkInterfaceName    Location    Name                  ProvisioningState    ResourceGroup
----------------------------  ----------  --------------------  -------------------  ---------------
                              uksouth     endpoint-hp01         Succeeded            privatelink

È necessario configurare DNS per l'endpoint privato per risolvere il nome DNS dell'endpoint privato nella rete virtuale. Il nome della zona DNS privato è privatelink.wvd.microsoft.com. Per la procedura per creare e configurare la zona DNS privata con l'interfaccia della riga di comando di Azure, vedere Configurare la zona DNS privata.

Importante

È necessario creare un endpoint privato per la sotto-risorsa di connessione per ogni pool di host da usare con collegamento privato.

Download del feed

Per creare un endpoint privato per la sotto-risorsa feed per un'area di lavoro, selezionare la scheda pertinente per lo scenario e seguire la procedura.

Nella panoramica di Desktop virtuale Azure selezionare Aree di lavoro, quindi selezionare il nome dell'area di lavoro per cui si vuole creare una sotto-risorsa feed.
Nella panoramica dell'area di lavoro selezionare Rete, quindi Connessioni endpoint privato e infine Nuovo endpoint privato.

Nella scheda Informazioni di base completare le informazioni seguenti:

Parametro	Valore/Descrizione
Subscription	Selezionare la sottoscrizione in cui si vuole creare l'endpoint privato nell'elenco a discesa.
Gruppo di risorse	Questa impostazione predefinita corrisponde automaticamente allo stesso gruppo di risorse dell'area di lavoro per l'endpoint privato, ma è anche possibile selezionarne una alternativa nell'elenco a discesa oppure crearne una nuova.
Nome	Immettere un nome per il nuovo endpoint privato.
Nome dell'interfaccia di rete	Il nome dell'interfaccia di rete viene compilato automaticamente in base al nome assegnato all'endpoint privato, ma è anche possibile specificare un nome diverso.
Paese	Questa impostazione predefinita corrisponde automaticamente alla stessa area di Azure dell'area di lavoro ed è la posizione in cui viene distribuito l'endpoint privato. Deve essere la stessa area della rete virtuale.

Dopo aver completato questa scheda, selezionare Avanti: Risorsa.

Nella scheda Risorsa convalidare i valori per Sottoscrizione, Tipo di risorsa e Risorsa, quindi per Sotto-risorsa di destinazione selezionare feed. Dopo aver completato questa scheda, selezionare Avanti: Rete virtuale.

Nella scheda Rete virtuale completare le informazioni seguenti:

Parametro	Valore/Descrizione
Rete virtuale	Selezionare la rete virtuale in cui si vuole creare l'endpoint privato nell'elenco a discesa.
Subnet	Selezionare la subnet della rete virtuale in cui si vuole creare l'endpoint privato nell'elenco a discesa.
Criteri di rete per gli endpoint privati	Selezionare Modifica se si vuole scegliere un criterio di rete subnet. Per altre informazioni, vedere Gestire i criteri di rete per gli endpoint privati.
Configurazione IP privato	Selezionare Allocare in modo dinamico l'indirizzo IP o allocare in modo statico l'indirizzo IP. Lo spazio degli indirizzi proviene dalla subnet selezionata. Se si sceglie di allocare in modo statico gli indirizzi IP, è necessario immettere il nome e l'indirizzo IP privato per ogni membro elencato.
Gruppo di sicurezza delle applicazioni	Facoltativo: selezionare un gruppo di sicurezza delle applicazioni esistente per l'endpoint privato dall'elenco a discesa oppure crearne uno nuovo. È anche possibile aggiungerne uno in un secondo momento.

Dopo aver completato questa scheda, selezionare Avanti: DNS.

Nella scheda DNS scegliere se si vuole usare Azure DNS privato Zona selezionando Sì o No per l'integrazione con la zona DNS privata. Se si seleziona Sì, selezionare la sottoscrizione e il gruppo di risorse in cui creare la zona privatelink.wvd.microsoft.comDNS privata. Per altre informazioni, vedere Configurazione DNS dell'endpoint privato di Azure.

Dopo aver completato questa scheda, selezionare Avanti: Tag.
Facoltativo: nella scheda Tag è possibile immettere qualsiasi coppia nome/valore necessaria, quindi selezionare Avanti: Rivedi e crea.
Nella scheda Rivedi e crea verificare che la convalida superi le informazioni usate durante la distribuzione.
Selezionare Crea per creare l'endpoint privato per la sotto-risorsa del feed.

Nella stessa sessione di PowerShell creare una connessione al servizio collegamento privato per un'area di lavoro con la sotto-risorsa feed eseguendo i comandi seguenti. In questi esempi vengono usate la stessa rete virtuale e la stessa subnet.

# Get the resource ID of the workspace
$workspaceId = (Get-AzWvdWorkspace -Name <WorkspaceName> -ResourceGroupName <ResourceGroupName>).Id

# Create the service connection
$parameters = @{
    Name = '<ServiceConnectionName>'
    PrivateLinkServiceId = $workspaceId
    GroupId = 'feed'
}

$serviceConnection = New-AzPrivateLinkServiceConnection @parameters

Infine, creare l'endpoint privato eseguendo i comandi in uno degli esempi seguenti.

Per creare un endpoint privato con un indirizzo IP allocato dinamicamente:

# Specify the Azure region. This must be the same region as your virtual network.
$location = '<Location>'

# Create the private endpoint
$parameters = @{
    Name = '<PrivateEndpointName>'
    ResourceGroupName = '<ResourceGroupName>'
    Location = $location
    Subnet = $subnet
    PrivateLinkServiceConnection = $serviceConnection
}

New-AzPrivateEndpoint @parameters

Per creare un endpoint privato con un indirizzo IP allocato in modo statico:

# Specify the Azure region. This must be the same region as your virtual network.
$location = '<Location>'

# Create a hash table for each private endpoint IP configuration
$ip1 = @{
    Name = 'ipconfig1'
    GroupId = 'feed'
    MemberName = 'web-r1'
    PrivateIPAddress = '<IPAddress>'
}

$ip2 = @{
    Name = 'ipconfig2'
    GroupId = 'feed'
    MemberName = 'web-r0'
    PrivateIPAddress = '<IPAddress>'
}

# Create the private endpoint IP configurations
$ipConfig1 = New-AzPrivateEndpointIpConfiguration @ip1
$ipConfig2 = New-AzPrivateEndpointIpConfiguration @ip2

# Create the private endpoint
$parameters = @{
    Name = '<PrivateEndpointName>'
    ResourceGroupName = '<ResourceGroupName>'
    Location = $location
    Subnet = $subnet
    PrivateLinkServiceConnection = $serviceConnection
    IpConfiguration = $ipConfig1, $ipConfig2
}

New-AzPrivateEndpoint @parameters

L'output dovrebbe essere simile al seguente. Verificare che il valore di ProvisioningState sia Succeeded.

ResourceGroupName Name            Location ProvisioningState Subnet
----------------- ----            -------- ----------------- ------
privatelink       endpoint-ws01   uksouth  Succeeded

È necessario configurare DNS per l'endpoint privato per risolvere il nome DNS dell'endpoint privato nella rete virtuale. Il nome della zona DNS privato è privatelink.wvd.microsoft.com. Per la procedura per creare e configurare la zona DNS privata con Azure PowerShell, vedere Configurare la zona DNS privata.

Nella stessa sessione dell'interfaccia della riga di comando creare una connessione al servizio collegamento privato e l'endpoint privato per un'area di lavoro con la sotto-risorsa del feed eseguendo i comandi seguenti.

Per creare un endpoint privato con un indirizzo IP allocato dinamicamente:

# Specify the Azure region. This must be the same region as your virtual network.
location=<Location>

# Get the resource ID of the workspace
workspaceId=$(az desktopvirtualization workspace show \
    --name <WorkspaceName> \
    --resource-group <ResourceGroupName> \
    --query [id] \
    --output tsv)

# Create a service connection and the private endpoint
az network private-endpoint create \
    --name <PrivateEndpointName> \
    --resource-group <ResourceGroupName> \
    --location $location \
    --vnet-name <VNetName> \
    --subnet <SubnetName> \
    --connection-name <ConnectionName> \
    --private-connection-resource-id $workspaceId \
    --group-id feed \
    --output table

Per creare un endpoint privato con indirizzi IP allocati in modo statico:

# Specify the Azure region. This must be the same region as your virtual network.
location=<Location>

# Get the resource ID of the workspace
workspaceId=$(az desktopvirtualization workspace show \
    --name <WorkspaceName> \
    --resource-group <ResourceGroupName> \
    --query [id] \
    --output tsv)

# Store each private endpoint IP configuration in a variable
ip1={name:ipconfig1,group-id:feed,member-name:web-r1,private-ip-address:<IPAddress>}
ip2={name:ipconfig2,group-id:feed,member-name:web-r0,private-ip-address:<IPAddress>}

# Create a service connection and the private endpoint
az network private-endpoint create \
    --name <PrivateEndpointName> \
    --resource-group <ResourceGroupName> \
    --location $location \
    --vnet-name <VNetName> \
    --subnet <SubnetName> \
    --connection-name <ConnectionName> \
    --private-connection-resource-id $workspaceId \
    --group-id feed \
    --ip-configs [$ip1,$ip2] \
    --output table

L'output dovrebbe essere simile al seguente. Verificare che il valore di ProvisioningState sia Succeeded.

CustomNetworkInterfaceName    Location    Name                  ProvisioningState    ResourceGroup
----------------------------  ----------  --------------------  -------------------  ---------------
                              uksouth     endpoint-ws01         Succeeded            privatelink

È necessario configurare DNS per l'endpoint privato per risolvere il nome DNS dell'endpoint privato nella rete virtuale. Il nome della zona DNS privato è privatelink.wvd.microsoft.com. Per la procedura per creare e configurare la zona DNS privata con l'interfaccia della riga di comando di Azure, vedere Configurare la zona DNS privata.

Importante

È necessario creare un endpoint privato per la sotto-risorsa feed per ogni area di lavoro da usare con collegamento privato.

Individuazione iniziale del feed

Per creare un endpoint privato per la sotto-risorsa globale usata per l'individuazione del feed iniziale, selezionare la scheda pertinente per lo scenario e seguire i passaggi.

Importante

Creare un solo endpoint privato per la sotto-risorsa globale per tutte le distribuzioni di Desktop virtuale Azure.
Un endpoint privato per la sotto-risorsa globale di qualsiasi area di lavoro controlla il nome di dominio completo condiviso (FQDN) per l'individuazione iniziale del feed. Ciò a sua volta abilita l'individuazione dei feed per tutte le aree di lavoro. Poiché l'area di lavoro connessa all'endpoint privato è così importante, l'eliminazione causerà l'interruzione del funzionamento di tutti i processi di individuazione dei feed. È consigliabile creare un'area di lavoro segnaposto inutilizzata per la sotto-risorsa globale.

Nella panoramica di Desktop virtuale Azure selezionare Aree di lavoro, quindi selezionare il nome di un'area di lavoro da usare per la sotto-risorsa globale.
1. Facoltativo: creare invece un'area di lavoro segnaposto per terminare l'endpoint globale seguendo le istruzioni riportate in Creare un'area di lavoro.
Nella panoramica dell'area di lavoro selezionare Rete, quindi Connessioni endpoint privato e infine Nuovo endpoint privato.

Nella scheda Informazioni di base completare le informazioni seguenti:

Parametro	Valore/Descrizione
Subscription	Selezionare la sottoscrizione in cui si vuole creare l'endpoint privato nell'elenco a discesa.
Gruppo di risorse	Questa impostazione predefinita corrisponde automaticamente allo stesso gruppo di risorse dell'area di lavoro per l'endpoint privato, ma è anche possibile selezionarne una alternativa nell'elenco a discesa oppure crearne una nuova.
Nome	Immettere un nome per il nuovo endpoint privato.
Nome dell'interfaccia di rete	Il nome dell'interfaccia di rete viene compilato automaticamente in base al nome assegnato all'endpoint privato, ma è anche possibile specificare un nome diverso.
Paese	Questa impostazione predefinita corrisponde automaticamente alla stessa area di Azure dell'area di lavoro ed è la posizione in cui verrà distribuito l'endpoint privato. Deve essere la stessa area della rete virtuale.

Dopo aver completato questa scheda, selezionare Avanti: Risorsa.

Nella scheda Risorsa convalidare i valori per Sottoscrizione, Tipo di risorsa e Risorsa, quindi per Sotto-risorsa di destinazione selezionare globale. Dopo aver completato questa scheda, selezionare Avanti: Rete virtuale.

Nella scheda Rete virtuale completare le informazioni seguenti:

Parametro	Valore/Descrizione
Rete virtuale	Selezionare la rete virtuale in cui si vuole creare l'endpoint privato nell'elenco a discesa.
Subnet	Selezionare la subnet della rete virtuale in cui si vuole creare l'endpoint privato nell'elenco a discesa.
Criteri di rete per gli endpoint privati	Selezionare Modifica se si vuole scegliere un criterio di rete subnet. Per altre informazioni, vedere Gestire i criteri di rete per gli endpoint privati.
Configurazione IP privato	Selezionare Allocare in modo dinamico l'indirizzo IP o allocare in modo statico l'indirizzo IP. Lo spazio degli indirizzi proviene dalla subnet selezionata. Se si sceglie di allocare in modo statico gli indirizzi IP, è necessario immettere il nome e l'indirizzo IP privato per ogni membro elencato.
Gruppo di sicurezza delle applicazioni	Facoltativo: selezionare un gruppo di sicurezza delle applicazioni esistente per l'endpoint privato dall'elenco a discesa oppure crearne uno nuovo. È anche possibile aggiungerne uno in un secondo momento.

Dopo aver completato questa scheda, selezionare Avanti: DNS.

Nella scheda DNS scegliere se si vuole usare Azure DNS privato Zona selezionando Sì o No per l'integrazione con la zona DNS privata. Se si seleziona Sì, selezionare la sottoscrizione e il gruppo di risorse in cui creare la zona privatelink-global.wvd.microsoft.comDNS privata. Per altre informazioni, vedere Configurazione DNS dell'endpoint privato di Azure.

Dopo aver completato questa scheda, selezionare Avanti: Tag.
Facoltativo: nella scheda Tag è possibile immettere qualsiasi coppia nome/valore necessaria, quindi selezionare Avanti: Rivedi e crea.
Nella scheda Rivedi e crea verificare che la convalida superi le informazioni usate durante la distribuzione.
Selezionare Crea per creare l'endpoint privato per la sotto-risorsa globale.

Facoltativo: creare un'area di lavoro segnaposto per terminare l'endpoint globale seguendo le istruzioni per creare un'area di lavoro.

Nella stessa sessione di PowerShell creare una connessione al servizio collegamento privato per l'area di lavoro con la sotto-risorsa globale eseguendo i comandi seguenti. In questi esempi vengono usate la stessa rete virtuale e la stessa subnet.

# Get the resource ID of the workspace
$workspaceId = (Get-AzWvdWorkspace -Name <WorkspaceName> -ResourceGroupName <ResourceGroupName>).Id

# Create the service connection
$parameters = @{
    Name = '<ServiceConnectionName>'
    PrivateLinkServiceId = $workspaceId
    GroupId = 'global'
}

$serviceConnection = New-AzPrivateLinkServiceConnection @parameters

Infine, creare l'endpoint privato eseguendo i comandi in uno degli esempi seguenti.

Per creare un endpoint privato con un indirizzo IP allocato dinamicamente:

# Specify the Azure region. This must be the same region as your virtual network.
$location = '<Location>'

# Create the private endpoint
$parameters = @{
    Name = '<PrivateEndpointName>'
    ResourceGroupName = '<ResourceGroupName>'
    Location = $location
    Subnet = $subnet
    PrivateLinkServiceConnection = $serviceConnection
}

New-AzPrivateEndpoint @parameters

Per creare un endpoint privato con un indirizzo IP allocato in modo statico:

# Specify the Azure region. This must be the same region as your virtual network.
$location = '<Location>'

$ip = @{
    Name = '<IPConfigName>'
    GroupId = 'global'
    MemberName = 'web'
    PrivateIPAddress = '<IPAddress>'
}

$ipConfig = New-AzPrivateEndpointIpConfiguration @ip

# Create the private endpoint
$parameters = @{
    Name = '<PrivateEndpointName>'
    ResourceGroupName = '<ResourceGroupName>'
    Location = $location
    Subnet = $subnet
    PrivateLinkServiceConnection = $serviceConnection
    IpConfiguration = $ipconfig
}

New-AzPrivateEndpoint @parameters

L'output dovrebbe essere simile al seguente. Verificare che il valore di ProvisioningState sia Succeeded.

ResourceGroupName Name            Location ProvisioningState Subnet
----------------- ----            -------- ----------------- ------
privatelink       endpoint-global uksouth  Succeeded

È necessario configurare DNS per l'endpoint privato per risolvere il nome DNS dell'endpoint privato nella rete virtuale. Il nome della zona DNS privato è privatelink-global.wvd.microsoft.com. Per la procedura per creare e configurare la zona DNS privata con Azure PowerShell, vedere Configurare la zona DNS privata.

Facoltativo: creare un'area di lavoro segnaposto per terminare l'endpoint globale seguendo le istruzioni per creare un'area di lavoro.

Nella stessa sessione dell'interfaccia della riga di comando creare una connessione al servizio collegamento privato e l'endpoint privato per l'area di lavoro con la sotto-risorsa globale eseguendo i comandi seguenti:

Per creare un endpoint privato con un indirizzo IP allocato dinamicamente:

# Specify the Azure region. This must be the same region as your virtual network.
location=<Location>

# Get the resource ID of the workspace
workspaceId=$(az desktopvirtualization workspace show \
    --name <WorkspaceName> \
    --resource-group <ResourceGroupName> \
    --query [id] \
    --output tsv)

# Create a service connection and the private endpoint
az network private-endpoint create \
    --name <PrivateEndpointName> \
    --resource-group <ResourceGroupName> \
    --location $location \
    --vnet-name <VNetName> \
    --subnet <SubnetName> \
    --connection-name <ConnectionName> \
    --private-connection-resource-id $workspaceId \
    --group-id global \
    --output table

Per creare un endpoint privato con indirizzi IP allocati in modo statico:

# Specify the Azure region. This must be the same region as your virtual network.
location=<Location>

# Get the resource ID of the workspace
workspaceId=$(az desktopvirtualization workspace show \
    --name <WorkspaceName> \
    --resource-group <ResourceGroupName> \
    --query [id] \
    --output tsv)

# Store each private endpoint IP configuration in a variable
ip={name:ipconfig,group-id:global,member-name:web,private-ip-address:<IPAddress>}

# Create a service connection and the private endpoint
az network private-endpoint create \
    --name <PrivateEndpointName> \
    --resource-group <ResourceGroupName> \
    --location $location \
    --vnet-name <VNetName> \
    --subnet <SubnetName> \
    --connection-name <ConnectionName> \
    --private-connection-resource-id $workspaceId \
    --group-id global \
    --ip-config $ip \
    --output table

L'output dovrebbe essere simile al seguente. Verificare che il valore di ProvisioningState sia Succeeded.

CustomNetworkInterfaceName    Location    Name                  ProvisioningState    ResourceGroup
----------------------------  ----------  --------------------  -------------------  ---------------
                              uksouth     endpoint-global       Succeeded            privatelink

È necessario configurare DNS per l'endpoint privato per risolvere il nome DNS dell'endpoint privato nella rete virtuale. Il nome della zona DNS privato è privatelink-global.wvd.microsoft.com. Per la procedura per creare e configurare la zona DNS privata con l'interfaccia della riga di comando di Azure, vedere Configurare la zona DNS privata.

Chiusura di route pubbliche

Dopo aver creato endpoint privati, è anche possibile controllare se il traffico può provenire da route pubbliche. È possibile controllare questo problema a livello granulare usando Desktop virtuale Azure o più ampiamente usando un gruppo di sicurezza di rete (NSG) o Firewall di Azure.

Controllare le route con Desktop virtuale Azure

Con Desktop virtuale Azure è possibile controllare in modo indipendente il traffico pubblico per aree di lavoro e pool di host. Selezionare la scheda pertinente per lo scenario e seguire la procedura. Non è possibile configurare questa opzione nell'interfaccia della riga di comando di Azure. È necessario ripetere questi passaggi per ogni area di lavoro e pool di host usati con collegamento privato.

Portale
Azure PowerShell

Aree di lavoro

Nella panoramica di Desktop virtuale Azure selezionare Aree di lavoro e quindi selezionare il nome dell'area di lavoro per controllare il traffico pubblico.
Nella panoramica del pool di host selezionare Rete, quindi selezionare la scheda Accesso pubblico.

Selezionare una delle seguenti opzioni:

Impostazione	Descrizione
Abilitare l'accesso pubblico da tutte le reti	Gli utenti finali possono accedere al feed tramite Internet pubblico o gli endpoint privati.
Disabilitare l'accesso pubblico e usare l'accesso privato	Gli utenti finali possono accedere al feed solo sugli endpoint privati.

Seleziona Salva.

Pool di host

Nella panoramica di Desktop virtuale Azure selezionare Pool di host e quindi selezionare il nome del pool di host per controllare il traffico pubblico.
Nella panoramica del pool di host selezionare Rete, quindi selezionare la scheda Accesso pubblico.

Selezionare una delle seguenti opzioni:

Impostazione	Descrizione
Abilitare l'accesso pubblico da tutte le reti	Gli utenti finali possono accedere in modo sicuro agli host del feed e della sessione tramite La rete Internet pubblica o gli endpoint privati.
Abilitare l'accesso pubblico per gli utenti finali, usare l'accesso privato per gli host sessione	Gli utenti finali possono accedere al feed in modo sicuro tramite La rete Internet pubblica, ma devono usare endpoint privati per accedere agli host di sessione.
Disabilitare l'accesso pubblico e usare l'accesso privato	Gli utenti finali possono accedere solo agli host del feed e della sessione sugli endpoint privati.

Seleziona Salva.

Importante

I cmdlet di Azure PowerShell per Desktop virtuale Azure che supportano collegamento privato sono in anteprima. È necessario scaricare e installare la versione di anteprima del modulo Az.DesktopVirtualization per usare questi cmdlet, aggiunti nella versione 5.0.0.

Aree di lavoro

Nella stessa sessione di PowerShell è possibile disabilitare l'accesso pubblico e usare l'accesso privato eseguendo il comando seguente:

$parameters = @{
    Name = '<WorkspaceName>'
    ResourceGroupName = '<ResourceGroupName>'
    PublicNetworkAccess = 'Disabled'
}

Update-AzWvdWorkspace @parameters

Per abilitare l'accesso pubblico da tutte le reti, eseguire il comando seguente:

$parameters = @{
    Name = '<WorkspaceName>'
    ResourceGroupName = '<ResourceGroupName>'
    PublicNetworkAccess = 'Enabled'
}

Update-AzWvdWorkspace @parameters

Pool di host

Nella stessa sessione di PowerShell è possibile disabilitare l'accesso pubblico e usare l'accesso privato eseguendo il comando seguente:

$parameters = @{
    Name = '<HostPoolName>'
    ResourceGroupName = '<ResourceGroupName>'
    PublicNetworkAccess = 'Disabled'
}

Update-AzWvdHostPool @parameters

Per abilitare l'accesso pubblico da tutte le reti, eseguire il comando seguente:

$parameters = @{
    Name = '<HostPoolName>'
    ResourceGroupName = '<ResourceGroupName>'
    PublicNetworkAccess = 'Enabled'
}

Update-AzWvdHostPool @parameters

Per usare l'accesso pubblico per gli utenti finali, ma usare l'accesso privato per gli host di sessione, eseguire il comando seguente:

$parameters = @{
    Name = '<HostPoolName>'
    ResourceGroupName = '<ResourceGroupName>'
    PublicNetworkAccess = 'EnabledForSessionHostsOnly'
}

Update-AzWvdHostPool @parameters

Per usare l'accesso privato per gli utenti finali, ma usare l'accesso pubblico per gli host di sessione, eseguire il comando seguente:

$parameters = @{
    Name = '<HostPoolName>'
    ResourceGroupName = '<ResourceGroupName>'
    PublicNetworkAccess = 'EnabledForClientsOnly'
}

Update-AzWvdHostPool @parameters

Importante

La modifica dell'accesso per gli host di sessione non influisce sulle sessioni esistenti. Dopo aver modificato un endpoint privato in un pool di host, è necessario riavviare il servizio Caricatore agente Desktop remoto (RDAgentBootLoader) in ogni host di sessione nel pool di host. È anche necessario riavviare questo servizio ogni volta che si modifica la configurazione di rete di un pool di host. Anziché riavviare il servizio, è possibile riavviare ogni host di sessione.

Bloccare le route pubbliche con gruppi di sicurezza di rete o Firewall di Azure

Se si usano gruppi di sicurezza di rete o Firewall di Azure per controllare le connessioni dai dispositivi client utente o dagli host di sessione agli endpoint privati, è possibile usare il tag del servizio WindowsVirtualDesktop per bloccare il traffico da Internet pubblico. Se si blocca il traffico Internet pubblico usando questo tag di servizio, tutto il traffico del servizio usa solo route private.

Attenzione

Assicurarsi di non bloccare il traffico tra gli endpoint privati e gli indirizzi nell'elenco degli URL necessari.
Non bloccare determinate porte dai dispositivi client utente o dagli host di sessione all'endpoint privato per una risorsa del pool di host usando la sotto-risorsa di connessione . L'intero intervallo di porte dinamiche TCP compreso tra 1 e 65535 all'endpoint privato è necessario perché il mapping delle porte viene usato per tutti i gateway globali tramite l'indirizzo IP dell'endpoint privato singolo corrispondente alla sotto-risorsa di connessione . Se si limitano le porte all'endpoint privato, gli utenti potrebbero non essere in grado di connettersi correttamente a Desktop virtuale Azure.

Convalidare collegamento privato con Desktop virtuale Azure

Dopo aver chiuso le route pubbliche, è necessario verificare che collegamento privato con Desktop virtuale Azure funzioni. È possibile eseguire questa operazione controllando lo stato di connessione di ogni endpoint privato, lo stato degli host sessione e testando che gli utenti possano aggiornare e connettersi alle risorse remote.

Controllare lo stato di connessione di ogni endpoint privato

Per controllare lo stato di connessione di ogni endpoint privato, selezionare la scheda pertinente per lo scenario e seguire la procedura. È consigliabile ripetere questi passaggi per ogni area di lavoro e pool di host usati con collegamento privato.

Aree di lavoro

Nella panoramica di Desktop virtuale Azure selezionare Aree di lavoro, quindi selezionare il nome dell'area di lavoro per cui si vuole controllare lo stato della connessione.
Nella panoramica dell'area di lavoro selezionare Rete, quindi Connessioni endpoint privati.
Per l'endpoint privato elencato, controllare che lo stato di Connessione ion sia Approvato.

Pool di host

Nella panoramica di Desktop virtuale Azure selezionare Pool di host, quindi selezionare il nome del pool di host per cui si vuole controllare lo stato della connessione.
Nella panoramica del pool di host selezionare Rete, quindi Connessioni endpoint privato.
Per l'endpoint privato elencato, controllare che lo stato di Connessione ion sia Approvato.

Importante

Per eseguire i comandi seguenti, è necessario usare la versione di anteprima del modulo Az.DesktopVirtualization. Per altre informazioni e per scaricare e installare il modulo di anteprima, vedere PowerShell Gallery.

Aree di lavoro

Nella stessa sessione di PowerShell eseguire i comandi seguenti per controllare lo stato di connessione di un'area di lavoro:

(Get-AzWvdWorkspace -Name <WorkspaceName> -ResourceGroupName <ResourceGroupName).PrivateEndpointConnection | FL Name, PrivateLinkServiceConnectionStateStatus, PrivateLinkServiceConnectionStateDescription, PrivateLinkServiceConnectionStateActionsRequired

L'output dovrebbe essere simile al seguente. Verificare che il valore per PrivateLinkService Connessione ionStateStatus sia Approvato.

Name                                             : endpoint-ws01
PrivateLinkServiceConnectionStateStatus          : Approved
PrivateLinkServiceConnectionStateDescription     : Auto-approved
PrivateLinkServiceConnectionStateActionsRequired : None

Pool di host

Nella stessa sessione di PowerShell eseguire i comandi seguenti per controllare lo stato di connessione di un pool di host:

(Get-AzWvdHostPool -Name <HostPoolName> -ResourceGroupName <ResourceGroupName).PrivateEndpointConnection | FL Name, PrivateLinkServiceConnectionStateStatus, PrivateLinkServiceConnectionStateDescription, PrivateLinkServiceConnectionStateActionsRequired

L'output dovrebbe essere simile al seguente. Verificare che il valore per PrivateLinkService Connessione ionStateStatus sia Approvato.

Name                                             : endpoint-hp01
PrivateLinkServiceConnectionStateStatus          : Approved
PrivateLinkServiceConnectionStateDescription     : Auto-approved
PrivateLinkServiceConnectionStateActionsRequired : None

Nella stessa sessione dell'interfaccia della riga di comando eseguire i comandi seguenti per controllare lo stato di connessione di un'area di lavoro o di un pool di host:

az network private-endpoint show \
    --name <PrivateEndpointName> \
    --resource-group <ResourceGroupName> \
    --query "{name:name, privateLinkServiceConnectionStates:privateLinkServiceConnections[].privateLinkServiceConnectionState}"

L'output dovrebbe essere simile al seguente. Verificare che il valore per lo stato sia Approvato.

{
  "name": "endpoint-ws01",
  "privateLinkServiceConnectionStates": [
    {
      "actionsRequired": "None",
      "description": "Auto-approved",
      "status": "Approved"
    }
  ]
}

Controllare lo stato degli host di sessione

Controllare lo stato degli host di sessione in Desktop virtuale Azure.
1. Nella panoramica di Desktop virtuale Azure selezionare Pool di host e quindi selezionare il nome del pool di host.
2. Nella sezione Gestisci selezionare Host sessione.
3. Esaminare l'elenco degli host di sessione e verificare che lo stato sia Disponibile.

Controllare che gli utenti possano connettersi

Per verificare che gli utenti possano connettersi alle risorse remote:

Usare il client Desktop remoto e assicurarsi di poter sottoscrivere e aggiornare le aree di lavoro.
Assicurarsi infine che gli utenti possano connettersi a una sessione remota.

Passaggi successivi

Per altre informazioni su come collegamento privato per Desktop virtuale Azure, vedere Usare collegamento privato con Desktop virtuale Azure.
Informazioni su come configurare IL DNS dell'endpoint privato di Azure all'indirizzo collegamento privato integrazione DNS.
Per le guide generali alla risoluzione dei problemi relativi alle collegamento privato, vedere Risolvere i problemi di connettività degli endpoint privati di Azure.
Informazioni sul funzionamento della connettività per il servizio Desktop virtuale Azure nellaconnettività di rete di Desktop virtuale Azure.
Per l'elenco degli URL necessari, vedere l'elenco degli URL che è necessario sbloccare per garantire l'accesso di rete al servizio Desktop virtuale Azure.

Share via

Configurare collegamento privato con Desktop virtuale Azure

Prerequisiti

Abilitare collegamento privato con Desktop virtuale Azure in una sottoscrizione

Registrare collegamento privato con Desktop virtuale Azure (Azure per il governo degli Stati Uniti e Azure gestito solo da 21Vianet)

Registrare nuovamente il provider di risorse

Creare endpoint privati

Connessione ions per ospitare i pool

Download del feed

Individuazione iniziale del feed

Chiusura di route pubbliche

Controllare le route con Desktop virtuale Azure

Aree di lavoro

Pool di host

Aree di lavoro

Pool di host

Bloccare le route pubbliche con gruppi di sicurezza di rete o Firewall di Azure

Convalidare collegamento privato con Desktop virtuale Azure

Controllare lo stato di connessione di ogni endpoint privato

Aree di lavoro

Pool di host

Aree di lavoro

Pool di host

Controllare lo stato degli host di sessione

Controllare che gli utenti possano connettersi

Passaggi successivi

Risorse aggiuntive