Топология сети и подключение для виртуального рабочего стола Azure
Разработка и реализация сетевых возможностей Azure в виртуальном рабочем столе Azure критически важна для целевой зоны виртуального рабочего стола Azure. Эта статья основана на нескольких принципах архитектуры целевой зоны в масштабе предприятия Для Cloud Adoption Framework и рекомендаций по управлению топологией сети и подключением в масштабе.
К основам проектирования относятся следующие:
- Гибридная интеграция для подключения между локальными, многооблачными и пограничными средами и глобальными пользователями. Дополнительные сведения см. в разделе Поддержка гибридных и многооблачных сред корпоративного уровня.
- Производительность и надежность в масштабе для согласованного, низкой задержки и масштабируемости рабочих нагрузок.
- Безопасность сети на основе нуля доверия помогает защитить периметры сети и потоки трафика. Дополнительные сведения см. в статье Стратегии безопасности в Azure.
- Расширяемость для легкого расширения сетевого пространства без перепроекта.
Сетевые компоненты и концепции
- Виртуальная сеть Azure — это фундаментальный стандартный блок для частных сетей в Azure. С помощью виртуальная сеть многие типы ресурсов Azure, такие как Azure Виртуальные машины, могут взаимодействовать друг с другом, Интернетом и локальными центрами обработки данных. Виртуальная сеть похожа на традиционную сеть, которая работает в собственном центре обработки данных. Но виртуальная сеть предлагает преимущества инфраструктуры Azure для масштабирования, доступности и изоляции.
- Топология центральной сети — это тип сетевой архитектуры, в которой виртуальная сеть концентратора выступает в качестве центральной точки подключения к нескольким периферийным виртуальным сетям. Концентратор также может быть точкой подключения к локальным центрам обработки данных. Пиринг периферийных виртуальных сетей с концентратором и помогает изолировать рабочие нагрузки.
- Azure Виртуальная глобальная сеть — это сетевая служба, которая объединяет функции сети, безопасности и маршрутизации в одном рабочем интерфейсе.
- Сетевое виртуальное устройство (NVA) — это сетевое устройство, которое поддерживает такие функции, как подключение, доставка приложений, оптимизация глобальной сети (WAN) и безопасность. К устройствам NVA относятся Брандмауэр Azure и Azure Load Balancer.
- В сценарии принудительного туннелирования весь трафик, связанный с Интернетом, исходящий на виртуальных машинах Azure, направляется или принудительно проходит проверку и аудит устройства. Несанкционированный доступ к Интернету может привести к раскрытию информации или другим типам нарушений безопасности без проверки трафика или аудита.
- Группы безопасности сети используются для фильтрации сетевого трафика в ресурсы Azure и из них в виртуальной сети Azure. В этой группе содержатся правила безопасности, которые разрешают или запрещают исходящий и входящий сетевой трафик нескольких типов ресурсов Azure.
- Группы безопасности приложений предоставляют способ настройки сетевой безопасности в качестве естественного расширения структуры приложения. Группы безопасности приложений можно использовать для группирования виртуальных машин и определения политик безопасности сети, основанных на этих группах. Вы можете повторно использовать политику безопасности в масштабе без необходимости вручную поддерживать явные IP-адреса.
- Определяемые пользователем маршруты (UDR) можно использовать для переопределения системных маршрутов Azure по умолчанию. Вы также можете использовать определяемые пользователем правила для добавления дополнительных маршрутов в таблицу маршрутов подсети.
- Протокол RDP Shortpath (RDP Shortpath) — это функция виртуального рабочего стола Azure, основанного на универсальном протоколе управления скоростью (URCP). RDP Shortpath устанавливает прямой транспорт, основанный на протоколе пользовательской диаграммы данных (UDP) между поддерживаемым клиентом удаленного рабочего стола Windows и узлами сеансов виртуального рабочего стола Azure. URCP улучшает подключения UDP, обеспечивая активный мониторинг сетевых условий и возможностей качества обслуживания (QoS).
- Приватный канал Azure с виртуальным рабочим столом Azure (предварительная версия) предоставляет способ использования частной конечной точки в Azure для подключения узлов сеансов к службе виртуального рабочего стола Azure. При Приватный канал трафик между виртуальной сетью и службой виртуального рабочего стола Azure перемещается в магистральную сеть Майкрософт. В результате вам не нужно подключаться к общедоступному Интернету для доступа к службам виртуального рабочего стола Azure.
Сетевые сценарии
Чтобы установить целевую зону виртуального рабочего стола Azure, важно разработать и реализовать сетевые возможности. Сетевые продукты и службы Azure поддерживают широкий спектр сетевых возможностей. Выбранная архитектура и способ структуры служб зависит от рабочих нагрузок, управления и требований вашей организации.
Следующие ключевые требования и рекомендации влияют на решения по развертыванию Виртуального рабочего стола Azure:
- Требования к входящего трафика в Интернете и исходящего трафика.
- NVA используется в текущей архитектуре.
- Подключение виртуального рабочего стола Azure к стандартной виртуальной сети или Виртуальная глобальная сеть концентратору.
- Модель подключения узла сеанса. Вы можете использовать собственную модель или RDP Shortpath.
- Требования к проверке трафика для:
- Исходящие данные из Виртуального рабочего стола Azure.
- Интернет-входящий трафик в Виртуальный рабочий стол Azure.
- Трафик виртуального рабочего стола Azure в локальные центры обработки данных.
- Трафик виртуального рабочего стола Azure к другим экземплярам виртуальная сеть.
- Трафик в виртуальной сети виртуального рабочего стола Azure.
Наиболее распространенный сценарий сети для Виртуального рабочего стола Azure — это топология концентратора и периферийной сети с гибридным подключением.
Сценарий 1. Концентратор и периферийный интерфейс с гибридным подключением
В этом сценарии используется стандартная модель подключения узла сеанса.
Профиль клиента
Этот сценарий идеально подходит в следующих случаях.
- Вам не нужна проверка трафика между сетями виртуального рабочего стола Azure и другими виртуальными сетями Azure.
- Вам не нужна проверка трафика между сетями виртуального рабочего стола Azure и локальными центрами обработки данных.
- Вам не нужна проверка трафика исходящего трафика через Интернет из сетей Виртуального рабочего стола Azure.
- Вам не нужно управлять общедоступными IP-адресами, которые используются во время преобразования сетевых адресов источника (SNAT) для исходящих подключений к Интернету виртуального рабочего стола Azure.
- Вы не применяете сетевой трафик виртуального рабочего стола Azure.
- У вас есть предварительное гибридное подключение к локальным средам через Azure ExpressRoute или виртуальную частную сеть типа "сеть — сеть" (VPN).
- У вас есть предварительно существующие домен Active Directory службы (AD DS) и пользовательские серверы системы доменных имен (DNS).
- Виртуальный рабочий стол Azure используется с помощью стандартной модели подключения, а не RDP Shortpath.
Компоненты архитектуры
Этот сценарий можно реализовать с помощью следующих средств:
- Серверы AD DS и настраиваемые DNS-серверы.
- Группы безопасности сети.
- Наблюдатель за сетями Azure.
- Исходящий интернет через путь виртуальной сети Azure по умолчанию.
- ExpressRoute или шлюз виртуальной сети VPN для гибридного подключения к локальным системам.
- Частная зона DNS Azure.
- Частные конечные точки Azure.
- Файлы Azure учетных записей хранения.
- Azure Key Vault.
Скачайте файл Visio полной архитектуры виртуального рабочего стола Azure с несколькими регионами.
Рекомендации
- Этот сценарий не поддерживает прямое сетевое подключение между клиентом и общедоступным или частным узлом сеансов. В этом сценарии нельзя использовать RDP Shortpath.
- Шлюз уровня управления виртуальным рабочим столом Azure, использующий общедоступную конечную точку, управляет клиентскими подключениями. В результате клиенты Виртуального рабочего стола Azure могут создавать исходящие подключения к необходимым URL-адресам виртуального рабочего стола Azure. Дополнительные сведения о необходимых URL-адресах см. в разделе "Интернет " этой статьи и обязательные URL-адреса для виртуального рабочего стола Azure.
- Общедоступные IP-адреса или другие общедоступные путь к узлам сеансов не требуются. Трафик от клиентов к узлам сеансов проходит через шлюз уровня управления Виртуальным рабочим столом Azure.
- Пиринг между виртуальными рабочими столами Azure отсутствует. Весь трафик проходит через концентратор подключения.
- Исходящие подключения к Интернету из узлов сеансов виртуального рабочего стола Azure проходят по умолчанию процесс преобразования исходящих сетевых адресов Azure .NAT. Используются динамические общедоступные IP-адреса Azure. Клиенты не имеют контроля над исходящими общедоступными IP-адресами, которые используются.
- Подключения узлов сеансов к Файлы Azure учетным записям хранения устанавливаются с помощью частных конечных точек.
- Частные зоны DNS Azure используются для разрешения пространств имен частных конечных точек для следующих служб:
- Файлы Azure учетные записи хранения, которые используют имя
privatelink.file.core.windows.net
- Хранилища ключей, которые используют имя
privatelink.vaultcore.azure.net
- Файлы Azure учетные записи хранения, которые используют имя
- Фильтрация сети не применяется для этого сценария. Но группы безопасности сети размещаются во всех подсетях, чтобы отслеживать трафик и получать аналитические сведения. В Наблюдатель за сетями для этих целей используются аналитика трафика и функция ведения журнала потоков группы безопасности сети.
Сценарий 2. Концентратор и взаимодействие с гибридным подключением через управляемые сети с помощью RDP Shortpath
Подробные рекомендации по развертыванию см. в статье о подключении RDP Shortpath для управляемых сетей.
Профиль клиента
Этот сценарий идеально подходит в следующих случаях.
- Вы хотите ограничить количество подключений через Интернет к узлам сеансов Виртуального рабочего стола Azure.
- У вас есть предварительное гибридное подключение из локальной среды в Azure через ExpressRoute или VPN типа "точка — сеть" (P2S).
- У вас есть прямое сетевое подключение между клиентами RDP и узлами виртуального рабочего стола Azure. Как правило, в этом сценарии используется одна из следующих настроек:
- Локальные сети, которые направляются в сети Azure виртуального рабочего стола Azure
- VPN-подключения клиента, которые перенаправляются в виртуальные сети Azure виртуального рабочего стола Azure
- Необходимо ограничить использование пропускной способности узлов виртуальных машин через частные сети, например VPN или ExpressRoute.
- Вы хотите определить приоритет трафика Виртуального рабочего стола Azure в сети.
- Вам не нужна проверка трафика между сетями виртуального рабочего стола Azure и другими виртуальными сетями Azure.
- Вам не нужна проверка трафика между сетями виртуального рабочего стола Azure и локальными центрами обработки данных.
- У вас есть готовые пользовательские серверы AD DS или DNS.
Компоненты архитектуры
Этот сценарий можно реализовать с помощью следующих средств:
- ExpressRoute или шлюз виртуальной сети VPN для гибридного подключения к локальным средам с достаточной пропускной способностью.
- Серверы AD DS и настраиваемые DNS-серверы.
- Группы безопасности сети.
- Исходящий интернет через путь виртуальной сети Azure по умолчанию.
- Объекты групповой политики домена (ГОП) или локальные объекты групповой политики.
- Файлы Azure учетных записей хранения.
- Частные конечные точки Azure.
- Частная зона DNS Azure.
Рекомендации
- Гибридное подключение должно быть доступно через VPN или ExpressRoute с прямым сетевым подключением клиента RDP к узлам частной виртуальной машины через порт 3390.
Примечание.
Для управляемых сетей можно изменить порт UDP по умолчанию.
- Объект групповой политики домена или локальный объект групповой политики должен использоваться для включения UDP через управляемые сети.
- Гибридное подключение должно иметь достаточную пропускную способность, чтобы разрешить прямые подключения UDP к узлам виртуальных машин.
- Гибридное подключение должно иметь прямую маршрутизацию, чтобы разрешить подключения к узлам виртуальных машин.
- Шлюз уровня управления виртуальным рабочим столом Azure, использующий общедоступную конечную точку, управляет клиентскими подключениями. В результате клиенты Виртуального рабочего стола Azure могут создавать исходящие подключения к необходимым URL-адресам виртуального рабочего стола Azure. Дополнительные сведения о необходимых URL-адресах см. в разделе "Интернет " этой статьи и обязательные URL-адреса для виртуального рабочего стола Azure.
- Общедоступные IP-адреса или другие общедоступные путь к узлам сеансов не требуются. Трафик от клиентов к узлам сеансов проходит через шлюз уровня управления Виртуальным рабочим столом Azure.
- Исходящее подключение к Интернету из узлов сеансов Виртуального рабочего стола Azure проходит по умолчанию процесс исходящего трафика NAT Azure. Используются динамические общедоступные IP-адреса Azure. Клиенты не имеют контроля над исходящими общедоступными IP-адресами, которые используются.
- Подключения узлов сеансов к Файлы Azure учетным записям хранения устанавливаются с помощью частных конечных точек.
- Частные зоны DNS Azure используются для разрешения пространств имен частных конечных точек.
- Фильтрация сети не применяется для этого сценария. Но группы безопасности сети размещаются во всех подсетях, чтобы отслеживать трафик и получать аналитические сведения. В Наблюдатель за сетями для этих целей используются аналитика трафика и функция ведения журнала потоков группы безопасности сети.
Примечание.
В настоящее время виртуальный рабочий стол Azure не поддерживает использование Приватный канал и RDP Shortpath одновременно.
Сценарий 3. Концентратор и подключение к общедоступным сетям с помощью RDP Shortpath
Подробные рекомендации по развертыванию см. в статье о подключении RDP Shortpath для общедоступных сетей.
Профиль клиента
Этот сценарий идеально подходит в следующих случаях.
- Клиентские подключения виртуального рабочего стола Azure проходят через общедоступный Интернет. Типичные сценарии включают рабочих пользователей из дома, пользователей удаленного филиала, которые не подключены к корпоративным сетям и удаленным пользователям подрядчиков.
- У вас есть подключения с высокой задержкой или низкой пропускной способностью к узлам сеансов Виртуальных рабочих столов Azure.
- Необходимо ограничить использование пропускной способности узлов сеансов Виртуального рабочего стола Azure с помощью политик сети QoS.
- Вы хотите определить приоритет трафика Виртуального рабочего стола Azure в сети с помощью политик QoS.
- Подключения клиента RDP начинаются с сетей с несогласованной пропускной способностью и скоростью.
- У вас есть прямое исходящее подключение с узлов сеансов Виртуального рабочего стола Azure. Маршрутизация принудительного туннеля не используется через локальные сети.
- Вам не нужна проверка трафика между сетями виртуального рабочего стола Azure и другими виртуальными сетями Azure.
- Вам не нужна проверка трафика между сетями виртуального рабочего стола Azure и локальными центрами обработки данных.
- У вас есть готовые пользовательские серверы AD DS или DNS.
Компоненты архитектуры
Этот сценарий можно реализовать с помощью следующих средств:
- ExpressRoute или шлюз виртуальной сети VPN для гибридного подключения к локальным средам. Эта настройка подходит при наличии достаточной пропускной способности для поддержки подключений к локальным приложениям, данным или подключениям AD DS. Мы не рекомендуем использовать принудительное туннелирование для отправки трафика виртуального рабочего стола Azure через локальные маршрутизаторы.
- Серверы AD DS и настраиваемые DNS-серверы.
- Группы безопасности сети.
- Наблюдатель за сетями.
- Исходящий интернет через путь виртуальной сети Azure по умолчанию.
- Доменные объекты групповой политики или локальные объекты групповой политики.
- Файлы Azure учетных записей хранения.
- Частные конечные точки Azure.
- Частная зона DNS Azure.
Рекомендации
Разрешить следующие типы подключений:
- Исходящие подключения UDP из узлов сеансов Виртуального рабочего стола Azure к службам обхода сеансов виртуального рабочего стола Azure для NAT (STUN) и обхода с помощью служб NAT ретранслятора (TURN) через порт 3478
- Подключения UDP от клиентов RDP в диапазоне портов 49152–65535
Параметр, который настраивает эти подключения, включен по умолчанию и поддерживает тот же уровень шифрования, что и обратный подключение протокола управления передачей (TCP). Сведения об ограничении диапазонов клиентских портов RDP см. в разделе "Ограничить диапазон портов" при использовании RDP Shortpath для общедоступных сетей.
Шлюз уровня управления виртуальным рабочим столом Azure, использующий общедоступную конечную точку, управляет клиентскими подключениями. В результате клиенты Виртуального рабочего стола Azure могут создавать исходящие подключения к необходимым URL-адресам виртуального рабочего стола Azure. Дополнительные сведения о необходимых URL-адресах см. в разделе "Интернет " этой статьи и обязательные URL-адреса для виртуального рабочего стола Azure.
Маршрутизаторы потребителей, которые обычно находятся в домашних пользовательских сетях, должны иметь универсальную самонастраивающийся (UPnP).
Общедоступные IP-адреса или другие общедоступные путь к узлам сеансов не требуются. Трафик от клиентов к узлам сеансов проходит через шлюз уровня управления Виртуальным рабочим столом Azure.
Исходящее подключение к Интернету из узлов сеансов Виртуального рабочего стола Azure проходит по умолчанию процесс исходящего трафика NAT Azure. Используются динамические общедоступные IP-адреса Azure. Клиенты не имеют контроля над исходящими общедоступными IP-адресами, которые используются.
Необходимо настроить маркировку различаемой точки кода служб (DSCP) на узлах сеансов. Используйте локальные объекты групповой политики или доменные объекты групповой политики для этой конфигурации. При использовании маркеров DSCP сетевые устройства могут применять политики качества обслуживания для трафика виртуального рабочего стола Azure. Дополнительные сведения см. в статье "Реализация качества обслуживания" (QoS) для виртуального рабочего стола Azure.
Подключения узлов сеансов к Файлы Azure учетным записям хранения устанавливаются с помощью частных конечных точек.
Частные зоны DNS Azure используются для разрешения пространств имен частных конечных точек.
Фильтрация сети не применяется для этого сценария. Но группы безопасности сети размещаются во всех подсетях, чтобы отслеживать трафик и получать аналитические сведения. В Наблюдатель за сетями для этих целей используются аналитика трафика и функция ведения журнала потоков группы безопасности сети.
Общие вопросы и рекомендации по проектированию
В следующих разделах приведены общие рекомендации по проектированию и топологии сети виртуального рабочего стола Azure.
Концентратор и периферийная топология Виртуальная глобальная сеть сети
Виртуальная глобальная сеть поддерживает транзитное подключение между VPN и ExpressRoute, но не поддерживает топологии концентраторов и периферийных узлов.
службы идентификации;
Требования к подключению служб удостоверений в узлах сеансов виртуального рабочего стола Azure зависят от модели удостоверений.
- Для доменных служб Microsoft Entra, присоединенных к виртуальным машинам: сети виртуального рабочего стола Azure должны иметь подключение к сети, в которой размещена служба удостоверений.
- Для виртуальных машин, присоединенных к Microsoft Entra ID: узлы сеансов виртуального рабочего стола Azure создают исходящие подключения к общедоступным конечным точкам Microsoft Entra ID. В результате не требуются конфигурации частного подключения.
DNS
Узлы сеансов Виртуального рабочего стола Azure имеют те же требования к разрешению имен, что и любая другая инфраструктура как рабочая нагрузка IaaS. В результате требуется подключение к пользовательским DNS-серверам или доступ через канал виртуальной сети к частным зонам DNS Azure. Для размещения пространств имен частной конечной точки определенной платформы как службы (PaaS) требуются дополнительные зоны DNS Azure, такие как учетные записи хранения и службы управления ключами.
Дополнительные сведения см. в статье Конфигурация DNS частной конечной точки Azure.
Чтобы упростить настройку клиента виртуального рабочего стола Azure конечного пользователя, включая подписку на веб-канал служб удаленных рабочих столов (RDS), рекомендуется настроить обнаружение электронной почты. Необходимо настроить обнаружение электронной почты в общедоступном домене DNS, а затем подписаться на веб-канал RDS. Дополнительные сведения см. в статье "Настройка обнаружения электронной почты для подписки на веб-канал RDS".
Пропускная способность и задержка
Виртуальный рабочий стол Azure использует RDP. Дополнительные сведения о протоколе RDP см. в статье о требованиях к пропускной способности протокола удаленного рабочего стола (RDP).
Задержка подключения зависит от расположения пользователей и виртуальных машин. Службы виртуального рабочего стола Azure постоянно развертывают новые географические регионы для повышения задержки. Чтобы свести к минимуму задержку, используемую клиентами виртуального рабочего стола Azure, используйте оценщик виртуальных рабочих столов Azure. Это средство предоставляет примеры времени кругового пути (RTT) от клиентов. Эти сведения можно использовать для размещения узлов сеансов в регионе, который ближе всего к конечным пользователям и имеет самый низкий RTT. Сведения о интерпретации результатов из средства оценки см. в статье "Анализ качества подключения в виртуальном рабочем столе Azure".
QoS с RDP Shortpath
RDP Shortpath для управляемых сетей предоставляет прямой транспорт на основе UDP между клиентом удаленного рабочего стола и узлом сеанса. RDP Shortpath для управляемых сетей предоставляет способ настройки политик качества обслуживания для данных RDP. QoS в Виртуальном рабочем столе Azure позволяет трафику RDP в режиме реального времени, который учитывает задержки сети, чтобы "сократить линию" перед менее конфиденциальным трафиком.
RDP Shortpath можно использовать двумя способами:
- В управляемых сетях, где устанавливается прямое подключение между клиентом и узлом сеанса при использовании частного подключения, например подключения ExpressRoute или VPN.
- В общедоступных сетях, где устанавливается прямое подключение между клиентом и узлом сеанса при использовании общедоступного подключения. Примерами общественных подключений являются домашние сети, кафе и гостиничные сети. Существует два возможных типа подключения при использовании общедоступного подключения:
Прямое подключение UDP между клиентом и узлом сеанса, использующим протокол STUN.
Косвенное подключение UDP, использующее протокол TURN с ретранслятором между клиентом RDP и узлом сеанса. Этот параметр используется, если шлюз или маршрутизатор не разрешает прямые подключения UDP.
Примечание.
Использование RDP Shortpath для общедоступных сетей с turn for Azure Virtual Desktop в настоящее время находится в предварительной версии. Дополнительные сведения см. в статье RDP Shortpath для виртуального рабочего стола Azure.
Путь RDP расширяет возможности RDP с несколькими транспортами. Он не заменяет транспорт с обратным подключением, а дополняет его.
Начальное брокерирование сеансов управляется службой виртуального рабочего стола Azure и обратным транспортом подключения, который основан на TCP. Все попытки подключения будут проигнорированы, если они не соответствуют сеансу с обратным подключением.
RDP Shortpath, основанный на UDP, устанавливается после проверки подлинности. Если RDP Shortpath успешно установлен, обратный транспорт подключения удаляется. Затем весь трафик передается через один из методов RDP Shortpath, указанных ранее в этом разделе.
Дополнительные сведения см. в статье "Реализация качества обслуживания" (QoS) для виртуального рабочего стола Azure.
Интернет
Вычислительные ресурсы и клиенты виртуального рабочего стола Azure требуют доступа к определенным общедоступным конечным точкам, поэтому им нужны подключения к Интернету. Сетевые сценарии, такие как принудительное туннелирование для повышения безопасности и фильтрации, поддерживаются при соблюдении требований виртуального рабочего стола Azure.
Сведения о требованиях к узлам сеансов виртуального рабочего стола Azure и клиентским устройствам см. в статье "Обязательные URL-адреса" для виртуального рабочего стола Azure.
Требования к портам и протоколам
Модели подключения виртуального рабочего стола Azure используют следующие порты и протоколы:
- Стандартная модель: 443/TCP
- Модель RDP Shortpath: 443/TCP и 3390/UDP или 3478/UDP для протокола STUN или TURN
Непрерывность бизнес-процессов и аварийное восстановление
Для обеспечения непрерывности бизнес-процессов и аварийного восстановления требуется определенная настройка сети. В частности, для развертывания и восстановления ресурсов в целевой среде используйте одну из следующих конфигураций:
- Настройка сети с теми же возможностями, что и в исходной среде.
- Настройка сети с подключением к службам удостоверений и DNS
Следующие шаги
Сведения о организации ресурсов для сценария корпоративного масштабирования виртуального рабочего стола Azure.