Planen und Implementieren einer Azure Private Link-Lösung für Azure Virtual Desktop

  • 5 Minuten

Sie können Azure Private Link mit Azure Virtual Desktop verwenden, um eine private Verbindung mit Ihren Remoteressourcen herzustellen. Durch das Erstellen eines privaten Endpunkts verbleibt der Datenverkehr zwischen Ihrem virtuellen Netzwerk und dem Dienst im Microsoft-Netzwerk, sodass Sie Ihren Dienst nicht mehr für das öffentliche Internet verfügbar machen müssen. Sie verwenden auch ein VPN oder ExpressRoute für Ihre Benutzer mit dem Remotedesktopclient, um eine Verbindung mit dem virtuellen Netzwerk herzustellen. Die Beibehaltung des Datenverkehrs innerhalb des Microsoft-Netzwerks verbessert die Sicherheit und schützt Ihre Daten.

In dieser Lerneinheit wird beschrieben, wie Sie mit Private Link Ihre Azure Virtual Desktop-Umgebung schützen können.

Azure Virtual Desktop verfügt über drei Workflows mit drei entsprechenden Ressourcentypen zur Verwendung mit privaten Endpunkten. Dies sind die Workflows:

  • Anfängliche Feedermittlung: Der Client kann alle Arbeitsbereiche ermitteln, die einem Benutzer zugewiesen sind. Um diesen Prozess zu aktivieren, müssen Sie einen einzelnen privaten Endpunkt für die globale Unterressource eines beliebigen Arbeitsbereichs erstellen. Sie können jedoch nur einen privaten Endpunkt in Ihrer gesamten Azure Virtual Desktop-Bereitstellung erstellen. Dieser Endpunkt erstellt DNS-Einträge (Domain Name System) und private IP-Routen für den globalen vollqualifizierten Domänennamen (FQDN), der für anfängliche Feedermittlung benötigt wird. Diese Verbindung wird zu einer einzigen, gemeinsam genutzten Route für alle Clients.
  • Feeddownload: Der Client lädt alle Verbindungsdetails für einen bestimmten Benutzer für die Arbeitsbereiche herunter, die seine Anwendungsgruppen hosten. Sie erstellen einen privaten Endpunkt für die Feedunterressource für jeden Arbeitsbereich, den Sie mit Private Link verwenden möchten.
  • Verbindungen mit Hostpools: Jede Verbindung mit einem Hostpool hat zwei Seiten: Clients und Sitzungshosts. Sie müssen einen privaten Endpunkt für die Verbindungsunterressource für jeden Hostpool erstellen, den Sie mit Private Link verwenden möchten.

Die folgende Abbildung zeigt in einer Übersicht, wie Private Link einen lokalen Client sicher mit dem Azure Virtual Desktop-Dienst verbindet. Ausführlichere Informationen zu Clientverbindungen finden Sie unter Clientverbindungssequenz.

Abbildung: Übersicht – Private Link verbindet einen lokalen Client mit dem Azure Virtual Desktop-Dienst.

Unterstützte Szenarios

Wenn Sie Private Link mit Azure Virtual Desktop hinzufügen, stehen Ihnen die folgenden unterstützten Szenarien zur Verfügung, um eine Verbindung mit Azure Virtual Desktop herzustellen. Es hängt von Ihren Anforderungen ab, welches Szenario Sie auswählen. Sie können diese privaten Endpunkte entweder über Ihre Netzwerktopologie hinweg freigeben oder Ihre virtuellen Netzwerke isolieren, sodass jedes über einen eigenen privaten Endpunkt für den Hostpool oder Arbeitsbereich verfügt.

  • Für alle Teile der Verbindung werden private Routen verwendet (anfängliche Feedermittlung, Feeddownload und Remotesitzungsverbindungen für Clients und Sitzungshosts). Sie benötigen die folgenden privaten Endpunkte:

    Kostenträger Ressourcentyp Zielunterressource Endpunktmenge
    Verbindungen mit Hostpools Microsoft.DesktopVirtualization/hostpools connection Einen pro Hostpool
    Feeddownload Microsoft.DesktopVirtualization/workspaces feed Einen pro Arbeitsbereich
    Anfängliche Feedermittlung Microsoft.DesktopVirtualization/workspaces Global Nur einer für alle Azure Virtual Desktop-Bereitstellungen

  • Feeddownload- und Remotesitzungsverbindungen für Clients und Sitzungshosts verwenden private Routen, aber für die anfängliche Feedermittlung werden öffentliche Routen verwendet. Sie benötigen die folgenden privaten Endpunkte: Der Endpunkt für die anfängliche Feedermittlung ist nicht erforderlich.

    Kostenträger Ressourcentyp Zielunterressource Endpunktmenge
    Verbindungen mit Hostpools Microsoft.DesktopVirtualization/hostpools connection Einen pro Hostpool
    Feeddownload Microsoft.DesktopVirtualization/workspaces feed Einen pro Arbeitsbereich

  • Nur Remotesitzungsverbindungen für Clients und Sitzungshosts verwenden private Routen, aber für die anfängliche Feedermittlung und den Feeddownload werden öffentliche Routen verwendet. Sie benötigen die folgenden privaten Endpunkte. Endpunkte für Arbeitsbereiche sind nicht erforderlich.

    Kostenträger Ressourcentyp Zielunterressource Endpunktmenge
    Verbindungen mit Hostpools Microsoft.DesktopVirtualization/hostpools connection Einen pro Hostpool

  • Sowohl Clients als auch Sitzungshost-VMs verwenden öffentliche Routen. Private Link wird in diesem Szenario nicht verwendet.

Wichtige Hinweise

  • Wenn Sie einen privaten Endpunkt für die anfängliche Feedermittlung erstellen, steuert der Arbeitsbereich, der für die globale Unterressource verwendet wird, den freigegebenen vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN), wodurch die anfängliche Feedermittlung in allen Arbeitsbereichen erleichtert wird. Sie sollten einen separaten Arbeitsbereich erstellen, der nur für diesen Zweck verwendet wird und in dem keine Anwendungsgruppen registriert sind. Das Löschen dieses Arbeitsbereichs führt dazu, dass alle Feedermittlungsprozesse nicht mehr funktionieren.
  • Sie können den Zugriff auf den Arbeitsbereich, der für die anfängliche Feed-Ermittlung (globale Unterressource) verwendet wird, nicht steuern. Wenn Sie diesen Arbeitsbereich so konfigurieren, dass nur der private Zugriff zulässig ist, wird die Einstellung ignoriert. Auf diesen Arbeitsbereich kann immer über öffentliche Routen zugegriffen werden.