Azure Private Link com a Área de Trabalho Virtual do Azure
Você pode usar o Azure Private Link com a Área de Trabalho Virtual do Azure para se conectar de forma privada aos seus recursos remotos. Ao criar um ponto de extremidade privado, o tráfego entre sua rede virtual e o serviço permanece na rede da Microsoft, portanto, você não precisa mais expor seu serviço à Internet pública. Você também usa uma VPN ou Rota Expressa para seus usuários com o cliente de Área de Trabalho Remota para se conectar à rede virtual. Manter o tráfego na rede Microsoft melhora a segurança e mantém os seus dados seguros. Este artigo descreve como o Private Link pode ajudá-lo a proteger seu ambiente de Área de Trabalho Virtual do Azure.
Como funciona o Private Link com a Área de Trabalho Virtual do Azure?
A Área de Trabalho Virtual do Azure tem três fluxos de trabalho com três tipos de recursos correspondentes para usar com pontos de extremidade privados. Esses fluxos de trabalho são:
Descoberta inicial de feed: permite que o cliente descubra todos os espaços de trabalho atribuídos a um usuário. Para habilitar esse processo, você deve criar um único ponto de extremidade privado para o subrecurso global para qualquer espaço de trabalho. No entanto, você só pode criar um ponto de extremidade privado em toda a implantação da Área de Trabalho Virtual do Azure. Este ponto de extremidade cria entradas DNS (Sistema de Nomes de Domínio) e rotas IP privadas para o FQDN (nome de domínio totalmente qualificado) global necessário para a descoberta inicial de feed. Essa conexão se torna uma rota única e compartilhada para todos os clientes usarem.
Download de feed: o cliente baixa todos os detalhes de conexão de um usuário específico para os espaços de trabalho que hospedam seus grupos de aplicativos. Você cria um ponto de extremidade privado para o subrecurso de feed para cada espaço de trabalho que deseja usar com o Private Link.
Conexões com pools de hosts: cada conexão com um pool de hosts tem dois lados - clientes e hosts de sessão. Você precisa criar um ponto de extremidade privado para o subrecurso de conexão para cada pool de hosts que deseja usar com o Private Link.
O diagrama de alto nível a seguir mostra como o Private Link conecta com segurança um cliente local ao serviço de Área de Trabalho Virtual do Azure. Para obter informações mais detalhadas sobre conexões de cliente, consulte Sequência de conexão de cliente.
Cenários suportados
Ao adicionar o Link Privado com a Área de Trabalho Virtual do Azure, você tem os seguintes cenários com suporte para se conectar à Área de Trabalho Virtual do Azure. O cenário escolhido depende dos seus requisitos. Você pode compartilhar esses pontos de extremidade privados em sua topologia de rede ou isolar suas redes virtuais para que cada uma tenha seu próprio ponto de extremidade privado para o pool de hosts ou espaço de trabalho.
Todas as partes da conexão - descoberta inicial de feed, download de feed e conexões de sessão remota para clientes e hosts de sessão - usam rotas privadas. Você precisa dos seguintes pontos de extremidade privados:
Propósito Tipo de recurso Recurso secundário de destino Quantidade do ponto final Conexões com pools de hosts Microsoft.DesktopVirtualization/hostpools ligação Um por grupo de anfitriões Download do feed Microsoft.DesktopVirtualization/workspaces feed Um por espaço de trabalho Descoberta inicial de feed Microsoft.DesktopVirtualization/workspaces global Apenas uma para todas as suas implantações da Área de Trabalho Virtual do Azure O download de feed e as conexões de sessão remota para clientes e hosts de sessão usam rotas privadas, mas a descoberta inicial de feed usa rotas públicas. Você precisa dos seguintes pontos de extremidade privados. O ponto de extremidade para a descoberta inicial de feed não é necessário.
Propósito Tipo de recurso Recurso secundário de destino Quantidade do ponto final Conexões com pools de hosts Microsoft.DesktopVirtualization/hostpools ligação Um por grupo de anfitriões Download do feed Microsoft.DesktopVirtualization/workspaces feed Um por espaço de trabalho Somente conexões de sessão remotas para clientes e hosts de sessão usam rotas privadas, mas a descoberta inicial de feed e o download de feed usam rotas públicas. Você precisa do(s) seguinte(s) ponto(s) de extremidade privado(s). Os pontos de extremidade para espaços de trabalho não são necessários.
Propósito Tipo de recurso Recurso secundário de destino Quantidade do ponto final Conexões com pools de hosts Microsoft.DesktopVirtualization/hostpools ligação Um por grupo de anfitriões Tanto os clientes quanto as VMs do host de sessão usam rotas públicas. Private Link não é usado neste cenário.
Importante
Se você criar um ponto de extremidade privado para a descoberta inicial de feeds, o espaço de trabalho usado para o subrecurso global controlará o FQDN (Nome de Domínio Totalmente Qualificado) compartilhado, facilitando a descoberta inicial de feeds em todos os espaços de trabalho. Você deve criar um espaço de trabalho separado que seja usado apenas para essa finalidade e não tenha nenhum grupo de aplicativos registrado nele. A exclusão desse espaço de trabalho fará com que todos os processos de descoberta de feed parem de funcionar.
Não é possível controlar o acesso ao espaço de trabalho usado para a descoberta inicial do feed (subrecurso global). Se você configurar esse espaço de trabalho para permitir apenas acesso privado, a configuração será ignorada. Este espaço de trabalho está sempre acessível a partir de vias públicas.
As alocações de endereços IP estão sujeitas a alterações à medida que a demanda por endereços IP aumenta. Durante as expansões de capacidade, endereços adicionais são necessários para pontos de extremidade privados. É importante que você considere a possível exaustão do espaço de endereçamento e garanta espaço suficiente para o crescimento. Para obter mais informações sobre como determinar a configuração de rede apropriada para pontos de extremidade privados em uma topologia de hub ou spoke, consulte Árvore de decisão para implantação de link privado.
Resultados da configuração
Você define as configurações nos espaços de trabalho relevantes da Área de Trabalho Virtual do Azure e nos pools de hosts para definir o acesso público ou privado. Para conexões com um espaço de trabalho, exceto o espaço de trabalho usado para a descoberta inicial de feed (subrecurso global), a tabela a seguir detalha o resultado de cada cenário:
Configuração | Resultado |
---|---|
Acesso público ativado a partir de todas as redes | As solicitações de feed de espaço de trabalho são permitidas a partir de rotas públicas . As solicitações de feed de espaço de trabalho são permitidas a partir de rotas privadas . |
Acesso público desativado de todas as redes | As solicitações de feed de espaço de trabalho são negadas de rotas públicas . As solicitações de feed de espaço de trabalho são permitidas a partir de rotas privadas . |
Com o transporte de conexão inversa, há duas conexões de rede para conexões com pools de hosts: o cliente para o gateway e o host de sessão para o gateway. Além de habilitar ou desabilitar o acesso público para ambas as conexões, você também pode optar por habilitar o acesso público para clientes que se conectam ao gateway e permitir apenas o acesso privado para hosts de sessão que se conectam ao gateway. A tabela a seguir detalha o resultado de cada cenário:
Configuração | Resultado |
---|---|
Acesso público ativado a partir de todas as redes | As sessões remotas são permitidas quando o cliente ou o host da sessão está usando uma rota pública . As sessões remotas são permitidas quando o cliente ou o host da sessão está usando uma rota privada . |
Acesso público desativado de todas as redes | As sessões remotas são negadas quando o cliente ou o host da sessão está usando uma rota pública . As sessões remotas são permitidas quando o cliente e o host da sessão estão usando uma rota privada . |
Acesso público habilitado para redes cliente, mas desabilitado para redes host de sessão | As sessões remotas são negadas se o host da sessão estiver usando uma rota pública , independentemente da rota que o cliente está usando. As sessões remotas são permitidas desde que o host da sessão esteja usando uma rota privada , independentemente da rota que o cliente esteja usando. |
Sequência de conexão do cliente
Quando um usuário se conecta à Área de Trabalho Virtual do Azure por Link Privado e a Área de Trabalho Virtual do Azure é configurada para permitir apenas conexões de cliente de rotas privadas, a sequência de conexão é a seguinte:
Com um cliente suportado, um usuário se inscreve em um espaço de trabalho. O dispositivo do usuário consulta o DNS para o endereço
rdweb.wvd.microsoft.com
(ou o endereço correspondente para outros ambientes do Azure).Sua zona DNS privada para privatelink-global.wvd.microsoft.com retorna o endereço IP privado para a descoberta de feed inicial (subrecurso global). Se você não estiver usando um ponto de extremidade privado para a descoberta inicial do feed, um endereço IP público será retornado.
Para cada espaço de trabalho no feed, uma consulta DNS é feita para o endereço
<workspaceId>.privatelink.wvd.microsoft.com
.Sua zona DNS privada para privatelink.wvd.microsoft.com retorna o endereço IP privado para o download do feed de espaço de trabalho e baixa o feed usando a porta TCP 443.
Ao se conectar a uma sessão remota, o
.rdp
arquivo proveniente do download do feed de espaço de trabalho contém o endereço do serviço de gateway da Área de Trabalho Virtual do Azure com a menor latência para o dispositivo do usuário. Uma consulta DNS é feita para um endereço no formato<hostpooId>.afdfp-rdgateway.wvd.microsoft.com
.Sua zona DNS privada para privatelink.wvd.microsoft.com retorna o endereço IP privado para o serviço de gateway de Área de Trabalho Virtual do Azure a ser usado para o pool de hosts que fornece a sessão remota. A orquestração através da rede virtual e do ponto de extremidade privado usa a porta TCP 443.
Após a orquestração, o tráfego de rede entre o cliente, o serviço de gateway da Área de Trabalho Virtual do Azure e o host da sessão é transferido para uma porta no intervalo de portas dinâmicas TCP de 1 - 65535.
Importante
Se você pretende restringir as portas de rede dos dispositivos cliente do usuário ou das VMs do host da sessão para os pontos de extremidade privados, será necessário permitir o tráfego em todo o intervalo de portas dinâmicas TCP de 1 - 65535 até o ponto de extremidade privado para o recurso do pool de hosts usando o subrecurso de conexão . Todo o intervalo de portas dinâmicas TCP é necessário porque a rede privada do Azure mapeia internamente essas portas para o gateway apropriado que foi selecionado durante a orquestração do cliente. Se você restringir portas ao ponto de extremidade privado, seus usuários talvez não consigam se conectar à Área de Trabalho Virtual do Azure.
Problemas e limitações conhecidos
O Link Privado com a Área de Trabalho Virtual do Azure tem as seguintes limitações:
Antes de usar o Link Privado para Área de Trabalho Virtual do Azure, você precisa habilitar o Link Privado com a Área de Trabalho Virtual do Azure em cada assinatura do Azure que deseja Vincular Privado com a Área de Trabalho Virtual do Azure.
Todos os clientes de Área de Trabalho Remota para se conectar à Área de Trabalho Virtual do Azure podem ser usados com o Private Link. Se estiver a utilizar o cliente de Ambiente de Trabalho Remoto para Windows numa rede privada sem acesso à Internet e estiver inscrito em feeds públicos e privados, não poderá aceder ao seu feed.
Depois de alterar um ponto de extremidade privado para um pool de hosts, reinicie o serviço RDAgentBootLoader (Remote Desktop Agent Loader) em cada host de sessão no pool de hosts. Você também precisa reiniciar esse serviço sempre que alterar a configuração de rede de um pool de hosts. Em vez de reiniciar o serviço, você pode reiniciar cada host de sessão.
Não há suporte para o uso do Private Link e do RDP Shortpath para redes gerenciadas, mas eles podem trabalhar juntos. Você pode usar o Private Link e o RDP Shortpath para redes gerenciadas por sua conta e risco. Todas as outras opções de Shortpath RDP usando STUN ou TURN não são suportadas com o Private Link.
No início da visualização do Link Privado com a Área de Trabalho Virtual do Azure, o ponto de extremidade privado para a descoberta inicial de feed (para o subrecurso global ) compartilhou o nome da zona DNS privada com outros pontos de extremidade privados para espaços de trabalho e pools de
privatelink.wvd.microsoft.com
hosts. Nessa configuração, os usuários não conseguem estabelecer pontos de extremidade privados exclusivamente para pools de hosts e espaços de trabalho. A partir de 1 de setembro de 2023, a partilha da zona DNS privada nesta configuração deixará de ser suportada. Você precisa criar um novo ponto de extremidade privado para o subrecurso global usar o nome da zona DNS privada deprivatelink-global.wvd.microsoft.com
. Para conhecer as etapas para fazer isso, consulte Descoberta inicial de feed.
Próximos passos
- Saiba como configurar o Link Privado com a Área de Trabalho Virtual do Azure.
- Saiba como configurar o DNS do Ponto de Extremidade Privado do Azure na integração do DNS de Link Privado.
- Para obter guias gerais de solução de problemas do Private Link, consulte Solucionar problemas de conectividade do Azure Private Endpoint.
- Entenda a conectividade de rede da Área de Trabalho Virtual do Azure.
- Consulte a lista URL necessária para obter a lista de URLs que você precisa desbloquear para garantir o acesso à rede ao serviço de Área de Trabalho Virtual do Azure.