Informacje o łączności sieciowej usługi Azure Virtual Desktop
Usługa Azure Virtual Desktop umożliwia hostowanie sesji klienta na hostach sesji uruchomionych na platformie Azure. Firma Microsoft zarządza częściami usług w imieniu klienta i zapewnia bezpieczne punkty końcowe na potrzeby łączenia klientów i hostów sesji. Na poniższym diagramie przedstawiono ogólne omówienie połączeń sieciowych używanych przez usługę Azure Virtual Desktop
Łączność sesji
Usługa Azure Virtual Desktop używa protokołu RDP (Remote Desktop Protocol), aby zapewnić możliwości zdalnego wyświetlania i wprowadzania danych za pośrednictwem połączeń sieciowych. Protokół RDP został początkowo wydany z systemem Windows NT 4.0 Terminal Server Edition i stale ewoluuje wraz z każdym wydaniem systemu Microsoft Windows i Windows Server. Od początku protokół RDP został opracowany jako niezależny od bazowego stosu transportowego, a obecnie obsługuje wiele rodzajów transportu.
Transport odwrotnego połączenia
Usługa Azure Virtual Desktop używa transportu odwrotnego połączenia do ustanawiania sesji zdalnej i przenoszenia ruchu RDP. W przeciwieństwie do lokalnych wdrożeń usług pulpitu zdalnego transport odwrotnego połączenia nie używa odbiornika TCP do odbierania przychodzących połączeń RDP. Zamiast tego używa łączności wychodzącej z infrastrukturą usługi Azure Virtual Desktop za pośrednictwem połączenia HTTPS.
Kanał komunikacyjny hosta sesji
Po uruchomieniu hosta sesji usługi Azure Virtual Desktop usługa modułu ładującego agenta usług pulpitu zdalnego ustanawia trwały kanał komunikacyjny brokera usługi Azure Virtual Desktop. Ten kanał komunikacyjny jest warstwowy na podstawie bezpiecznego połączenia protokołu Transport Layer Security (TLS) i służy jako magistrala wymiany komunikatów między hostem sesji a infrastrukturą usługi Azure Virtual Desktop.
Sekwencja połączeń klienta
Sekwencja połączeń klienta opisana poniżej:
- Korzystanie z obsługiwanego użytkownika klienta usługi Azure Virtual Desktop subskrybuje obszar roboczy usługi Azure Virtual Desktop
- Firma Microsoft Entra uwierzytelnia użytkownika i zwraca token używany do wyliczania zasobów dostępnych dla użytkownika
- Klient przekazuje token do usługi subskrypcji kanału informacyjnego usługi Azure Virtual Desktop
- Usługa subskrypcji kanału informacyjnego usługi Azure Virtual Desktop weryfikuje token
- Usługa subskrypcji kanału informacyjnego usługi Azure Virtual Desktop przekazuje listę dostępnych pulpitów i aplikacji z powrotem do klienta w postaci konfiguracji połączenia podpisanego cyfrowo
- Klient przechowuje konfigurację połączenia dla każdego dostępnego zasobu w zestawie plików rdp
- Gdy użytkownik wybierze zasób do nawiązania połączenia, klient używa skojarzonego pliku rdp i ustanawia bezpieczne połączenie TLS 1.2 z wystąpieniem bramy usługi Azure Virtual Desktop za pomocą usługi Azure Front Door i przekazuje informacje o połączeniu. Opóźnienie ze wszystkich bram jest oceniane, a bramy są umieszczane w grupach 10 ms. Brama o najniższym opóźnieniu, a następnie wybierana jest najniższa liczba istniejących połączeń.
- Brama usługi Azure Virtual Desktop weryfikuje żądanie i prosi brokera usługi Azure Virtual Desktop o organizowanie połączenia
- Broker usługi Azure Virtual Desktop identyfikuje hosta sesji i używa wcześniej ustanowionego trwałego kanału komunikacyjnego w celu zainicjowania połączenia
- Stos pulpitu zdalnego inicjuje połączenie TLS 1.2 z tym samym wystąpieniem bramy usługi Azure Virtual Desktop, które jest używane przez klienta
- Po nawiązaniu połączenia zarówno klienta, jak i hosta sesji z bramą brama rozpoczyna przekazywanie danych pierwotnych między obydwoma punktami końcowymi. Spowoduje to nawiązanie podstawowego transportu odwrotnego połączenia dla protokołu RDP
- Po ustawieniu transportu podstawowego klient uruchamia uzgadnianie protokołu RDP
Zabezpieczenia połączeń
Protokół TLS 1.2 jest używany dla wszystkich połączeń inicjowanych z klientów i hostów sesji do składników infrastruktury usługi Azure Virtual Desktop. Usługa Azure Virtual Desktop używa tych samych szyfrów TLS 1.2 co usługa Azure Front Door. Należy upewnić się, że zarówno komputery klienckie, jak i hosty sesji mogą używać tych szyfrów. W przypadku transportu odwrotnego połączenia zarówno klient, jak i host sesji łączą się z bramą usługi Azure Virtual Desktop. Po nawiązaniu połączenia TCP host klienta lub sesji weryfikuje certyfikat bramy usługi Azure Virtual Desktop. Po ustanowieniu transportu podstawowego protokół RDP ustanawia zagnieżdżone połączenie TLS między klientem a hostem sesji przy użyciu certyfikatów hosta sesji. Domyślnie certyfikat używany do szyfrowania RDP jest samodzielnie generowany przez system operacyjny podczas wdrażania. W razie potrzeby klienci mogą wdrażać centralnie zarządzane certyfikaty wystawione przez urząd certyfikacji przedsiębiorstwa. Aby uzyskać więcej informacji na temat konfigurowania certyfikatów, zobacz dokumentację systemu Windows Server.
Następne kroki
- Aby dowiedzieć się więcej o wymaganiach dotyczących przepustowości usługi Azure Virtual Desktop, zobacz Understanding Remote Desktop Protocol (RDP) Bandwidth Requirements for Azure Virtual Desktop (Opis wymagań dotyczących przepustowości protokołu RDP) dla usługi Azure Virtual Desktop.
- Aby rozpocząć pracę z jakością usług (QoS) dla usługi Azure Virtual Desktop, zobacz Implementowanie jakości usług (QoS) dla usługi Azure Virtual Desktop.