Поделиться через

Руководство по топологии сети виртуального рабочего стола Azure и проектированию подключений

В этой статье описывается проектирование топологии сети и подключения для виртуального рабочего стола Azure (AVD) в целевой зоне Azure. Это помогает техническим лицам понять требования к сети, которые их команды должны соблюдать, чтобы обеспечить безопасное и масштабируемое подключение через Azure, частные сети и общедоступный Интернет. Прежде чем ваша организация развертывает AVD, у вас должна быть целевая зона Azure. Затем вы развертываете ресурсы AVD в целевой зоне приложения.

Сетевые компоненты AVD

Основные сетевые компоненты

  • Виртуальная сеть Azure — это базовый стандартный блок для частных сетей в Azure. Благодаря виртуальной сети многие типы ресурсов Azure, такие как виртуальные машины Azure, могут взаимодействовать друг с другом, Интернетом и локальными центрами обработки данных. Виртуальная сеть похожа на традиционную сеть, которой вы управляете в собственном центре обработки данных. Но виртуальная сеть предлагает преимущества инфраструктуры Azure для масштабирования, доступности и изоляции.
  • Hub-Spoke топология сети — это тип сетевой архитектуры, где виртуальная сеть концентратора служит центральной точкой подключения к нескольким периферийным виртуальным сетям. Концентратор также может быть точкой подключения к локальным центрам обработки данных. Пиринг периферийных виртуальных сетей с концентратором и помогает изолировать рабочие нагрузки.
  • Виртуальная глобальная сеть Azure — это сетевая служба, которая объединяет функции сети, безопасности и маршрутизации в одном рабочем интерфейсе.

Безопасный доступ и управление трафиком

  • Группы безопасности сети используются для фильтрации сетевого трафика в ресурсы Azure и из них в виртуальной сети Azure. Группа безопасности сети содержит правила безопасности, разрешающие или запрещающие входящий сетевой трафик или исходящий сетевой трафик из нескольких типов ресурсов Azure.
  • Группы безопасности приложений предоставляют способ настройки сетевой безопасности в качестве естественного расширения структуры приложения. Группы безопасности приложений можно использовать для группирования виртуальных машин и определения политик безопасности сети, основанных на этих группах. Вы можете повторно использовать политику безопасности в масштабе без необходимости вручную поддерживать явные IP-адреса.
  • Шлюз NAT предоставляет службу NAT для исходящего трафика частных подсетей в Интернет. Он не разрешает входящий трафик, за исключением пакетов ответа. Эта настройка предоставляет средам виртуального рабочего стола Azure возможность явного выхода в Интернет, а также смягчения негативного влияния на производительность при отправке трафика службы AVD через брандмауэр или виртуальный сетевой аппарат (NVA).

Маршрутизация и оптимизация

  • Брандмауэр Azure или сетевое виртуальное устройство (NVA) — это сетевое устройство, которое поддерживает такие функции, как подключение, управление приложениями, оптимизация сети (глобальная сеть) и безопасность. NVAs включают брандмауэр Azure и сетевые устройства от поставщиков, найденные в Маркетплейсе.
  • Определяемые пользователем маршруты (UDR) можно использовать для переопределения системных маршрутов Azure по умолчанию. Вы также можете использовать UDRs для добавления дополнительных маршрутов в таблицу маршрутизации подсети, что позволяет направлять определенный трафик и службы Azure к назначениям в ваших сетях и Azure.

Усовершенствования виртуального рабочего стола Azure

  • Протокол короткого пути удаленного рабочего стола (RDP Shortpath) — это функция виртуальных рабочих столов Azure на основе универсального протокола управления скоростью (URCP). RDP Shortpath устанавливает прямой транспорт, который использует протокол пользовательской диаграммы данных (UDP) между поддерживаемым клиентом удаленного рабочего стола Windows и узлами сеансов виртуального рабочего стола Azure. URCP улучшает подключения UDP, обеспечивая активный мониторинг сетевых условий и возможностей качества обслуживания (QoS).
  • Приватный канал Azure с виртуальным рабочим столом Azure (необязательно) позволяет использовать частную конечную точку в Azure для подключения узлов сеансов к службе виртуального рабочего стола Azure. Приватный канал передает трафик между виртуальной сетью и службой виртуального рабочего стола Azure в магистральной сети Майкрософт. В результате вам не нужно подключаться к общедоступному Интернету для доступа к службам виртуального рабочего стола Azure.

Рекомендации по сети AVD

Виртуальный рабочий стол Azure требует конкретных рекомендаций по проектированию сети, чтобы обеспечить надежное подключение, безопасность и производительность. Сетевая архитектура напрямую влияет на взаимодействие с пользователем, защиту данных и эффективность работы в среде виртуального рабочего стола.

Планирование топологии сети AVD

Используйте виртуальную глобальную сеть, если требуется транзитное подключение между VPN и ExpressRoute. Виртуальная глобальная сеть предоставляет управляемую корпорацией Майкрософт модель (виртуальные концентраторы и подключенные виртуальные сети) со встроенной транзитивной маршрутизацией. Используйте виртуальную глобальную глобальную сеть, если требуется управляемый глобальный транзит и встроенная маршрутизация и безопасность.

Настройка служб удостоверений AVD

  • Присоединенные к доменным службам Microsoft Entra виртуальные машины: убедитесь, что сети виртуального рабочего стола Azure имеют подключение к сети, в котором размещена служба удостоверений.

  • Подключенные к Microsoft Entra ID виртуальные машины: серверы сеансов Azure Virtual Desktop создают исходящие подключения к общедоступным конечным точкам Microsoft Entra ID. Не требуются конфигурации частного подключения.

Настройка AVD DNS

Узлы сеансов Виртуального рабочего стола Azure имеют те же требования к разрешению имен, что и любая другая инфраструктура как рабочая нагрузка IaaS. В результате требуется подключение к пользовательским DNS-серверам или доступ через канал виртуальной сети к частным зонам DNS Azure. Для размещения пространств имен частной конечной точки определенной платформы как службы (PaaS) требуются дополнительные зоны DNS Azure, такие как учетные записи хранения и службы управления ключами. Дополнительные сведения см. в статье Конфигурация DNS частной конечной точки Azure.

При необходимости можно настроить обнаружение каналов на основе электронной почты, чтобы упростить включение пользователей. Современные клиенты Azure Virtual Desktop также могут непосредственно подписаться на сервис, используя обнаружение рабочих областей без обнаружения электронной почты на основе DNS. Дополнительные сведения см. в статье Настройка обнаружения электронной почты для подписки на RDS-канал.

Оптимизация пропускной способности AVD и задержки

Виртуальный рабочий стол Azure использует RDP. Дополнительные сведения о протоколе RDP см. в статье о требованиях к пропускной способности протокола удаленного рабочего стола (RDP).

Задержка подключения зависит от расположения пользователей и виртуальных машин. Службы виртуального рабочего стола Azure постоянно развертывают новые географические регионы для повышения задержки. Чтобы свести к минимуму задержку, используемую клиентами виртуального рабочего стола Azure, используйте оценщик виртуальных рабочих столов Azure. Это средство предоставляет примеры времени кругового пути (RTT) от клиентов. Эти сведения можно использовать для размещения узлов сеансов в регионе, который ближе всего к конечным пользователям и имеет самый низкий RTT. Сведения о интерпретации результатов из средства оценки см. в статье "Анализ качества подключения в виртуальном рабочем столе Azure".

Реализация политик QoS AVD с помощью RDP Shortpath

RDP Shortpath для управляемых сетей предоставляет прямой транспорт на основе UDP между клиентом удаленного рабочего стола и узлом сеанса. RDP Shortpath для управляемых сетей предоставляет способ настройки политик качества обслуживания для данных RDP. QoS в Виртуальном рабочем столе Azure позволяет трафику RDP в режиме реального времени, который учитывает задержки сети, чтобы "сократить линию" перед менее конфиденциальным трафиком. RDP Shortpath можно использовать двумя способами:

  • В управляемых сетях, где устанавливается прямое подключение между клиентом и узлом сеанса при использовании частного подключения, например подключения ExpressRoute или VPN.

  • В общедоступных сетях, где устанавливается прямое подключение между клиентом и узлом сеанса при использовании общедоступного подключения. Примерами общественных подключений являются домашние сети, кафе и гостиничные сети. Существует два возможных типа подключений при использовании общедоступного подключения. Прямое подключение UDP между клиентом и узлом сеанса, использующим протокол STUN. Косвенное подключение UDP , использующее протокол TURN с ретранслятором между клиентом RDP и узлом сеанса. Этот параметр используется, если шлюз или маршрутизатор не разрешает прямые подключения UDP.

Путь RDP расширяет возможности RDP с несколькими транспортами. Он не заменяет транспорт с обратным подключением, а дополняет его. Начальное брокерирование сеансов управляется службой виртуального рабочего стола Azure и обратным транспортом подключения, который основан на TCP. Все попытки подключения будут проигнорированы, если они не соответствуют сеансу с обратным подключением.

RDP Shortpath, основанный на UDP, устанавливается после проверки подлинности. Если RDP Shortpath успешно установлен, обратный транспорт подключения удаляется. Затем весь трафик передается через один из методов RDP Shortpath, указанных ранее в этом разделе. Дополнительные сведения см. в статье RDP Shortpath для виртуального рабочего стола Azure.

Дополнительные сведения см. в статье "Реализация качества обслуживания" (QoS) для виртуального рабочего стола Azure.

Безопасный доступ к Интернету AVD

Вычислительные ресурсы и клиенты виртуального рабочего стола Azure требуют доступа к определенным общедоступным конечным точкам, поэтому им нужны подключения к Интернету. Сетевые сценарии, такие как принудительное туннелирование для повышения безопасности и фильтрации, поддерживаются при соблюдении требований виртуального рабочего стола Azure.

Сведения о требованиях к узлам сеансов виртуального рабочего стола Azure и клиентским устройствам см. в статье "Обязательные URL-адреса" для виртуального рабочего стола Azure.

Проверка требований к порту и протоколу AVD

Модели подключения виртуального рабочего стола Azure используют следующие порты и протоколы:

Непрерывность бизнес-процессов AVD и аварийное восстановление

Для обеспечения непрерывности бизнес-процессов и аварийного восстановления требуется определенная настройка сети. В частности, для развертывания и восстановления ресурсов в целевой среде используйте одну из следующих конфигураций:

  • Настройка сети с теми же возможностями, что и в исходной среде.
  • Настройка сети с подключением к службам удостоверений и DNS

Сценарии сети AVD

Чтобы установить целевую зону виртуального рабочего стола Azure, важно разработать и реализовать сетевые возможности. Сетевые продукты и службы Azure поддерживают широкий спектр возможностей. Выбранная архитектура и способ структуры служб зависит от рабочих нагрузок, управления и требований вашей организации.

Следующие ключевые требования и рекомендации влияют на решения по развертыванию Виртуального рабочего стола Azure:

  • Требования к входящего трафика в Интернете и исходящего трафика.
  • NVA используется в текущей архитектуре.
  • Подключение виртуального рабочего стола Azure к стандартной виртуальной сети или концентратору виртуальной глобальной сети Azure.
  • Модель подключения узла сеанса. Вы можете использовать собственную модель или RDP Shortpath.
  • Требования к проверке трафика для:
    • Исходящие данные из Виртуального рабочего стола Azure.
    • Интернет-входящий трафик в Виртуальный рабочий стол Azure.
    • Трафик виртуального рабочего стола Azure в локальные центры обработки данных.
    • Трафик виртуального рабочего стола Azure к другим экземплярам виртуальной сети.
    • Трафик в виртуальной сети виртуального рабочего стола Azure.

Наиболее распространенный сценарий сети для Виртуального рабочего стола Azure — это топология концентратора и периферийной сети с гибридным подключением.

Сценарий 1. Концентратор и периферийный интерфейс с гибридным подключением

В этом сценарии используется стандартная модель подключения узла сеанса.

Профиль клиента для концентратора и взаимодействия с гибридным подключением

Этот сценарий идеально подходит, если:

  • Вам не нужна проверка трафика между сетями виртуального рабочего стола Azure и другими виртуальными сетями Azure.
  • Вам не нужна проверка трафика между сетями виртуального рабочего стола Azure и локальными центрами обработки данных.
  • Вам не нужна проверка трафика исходящего трафика через Интернет из сетей Виртуального рабочего стола Azure.
  • Вам не нужно управлять общедоступными IP-адресами, которые используются во время преобразования сетевых адресов источника (SNAT) для исходящих подключений к Интернету виртуального рабочего стола Azure.
  • Вы не применяете сетевой трафик виртуального рабочего стола Azure.
  • У вас есть существующее гибридное подключение к локальным ИТ-средам через Azure ExpressRoute или межсетевую виртуальную частную сеть (VPN).
  • У вас есть предварительно существующие доменные службы Active Directory (AD DS) и пользовательские серверы системы доменных имен (DNS).
  • Виртуальный рабочий стол Azure используется с помощью стандартной модели подключения, а не RDP Shortpath.

Архитектурные компоненты для узла и спиц с гибридным подключением

Этот сценарий можно реализовать с помощью следующих способов:

  • Серверы AD DS и настраиваемые DNS-серверы.
  • Группы безопасности сети.
  • Наблюдатель за сетями Azure.
  • Исходящий интернет через путь виртуальной сети Azure по умолчанию.
  • ExpressRoute или шлюз виртуальной сети VPN для гибридного подключения к локальным системам.
  • Частная зона DNS Azure.
  • Частные конечные точки Azure.
  • Учетные записи хранения файлов Azure.
  • Azure Key Vault.

Схема, демонстрирующая архитектуру концентратора и периферийной сети с гибридным подключением.

Скачайте файл Visio полной архитектуры виртуального рабочего стола Azure с несколькими регионами.

Рекомендации по использованию концентратора и взаимодействия с гибридным подключением

  • Этот сценарий не поддерживает прямое сетевое подключение между клиентом и общедоступным или частным узлом сеансов. В этом сценарии нельзя использовать RDP Shortpath.
  • Шлюз уровня управления виртуальным рабочим столом Azure, использующий общедоступную конечную точку, управляет клиентскими подключениями. В результате клиенты Виртуального рабочего стола Azure могут создавать исходящие подключения к необходимым URL-адресам виртуального рабочего стола Azure. Дополнительные сведения о необходимых URL-адресах см. в разделе "Интернет" этой статьи и обязательные URL-адреса для виртуального рабочего стола Azure.
  • Общедоступные IP-адреса или другие общедоступные путь к узлам сеансов не требуются. Трафик от клиентов к узлам сеансов проходит через шлюз уровня управления Виртуальным рабочим столом Azure.
  • Пиринг между виртуальными рабочими столами Azure отсутствует. Весь трафик проходит через концентратор подключения.
  • Исходящие подключения к Интернету из узлов сеансов виртуального рабочего стола Azure проходят по умолчанию процесс преобразования исходящих сетевых адресов Azure .NAT. Используются динамические общедоступные IP-адреса Azure. Клиенты не имеют контроля над исходящими общедоступными IP-адресами, которые используются.
  • Подключения узлов сеансов к учетным записям хранения файлов Azure устанавливаются с помощью частных конечных точек.
  • Частные зоны DNS Azure используются для разрешения пространств имен частных конечных точек для следующих служб:
    • Учетные записи хранения файлов Azure, использующие имя privatelink.file.core.windows.net
    • Хранилища ключей, которые используют имя privatelink.vaultcore.azure.net
  • Фильтрация сети не применяется для этого сценария. Но группы безопасности сети размещаются во всех подсетях, чтобы отслеживать трафик и получать аналитические сведения. В наблюдателе за сетями для этих целей используются функции ведения журнала потоков безопасности сети и аналитики трафика и группы безопасности сети.

Сценарий 2. Концентратор и взаимодействие с гибридным подключением через управляемые сети с помощью RDP Shortpath

Подробные рекомендации по развертыванию см. в статье о подключении RDP Shortpath для управляемых сетей.

Профиль клиента для концентратора и взаимодействия с гибридным подключением через управляемые сети с помощью RDP Shortpath

Этот сценарий идеально подходит, если:

  • Вы хотите ограничить количество подключений через Интернет к узлам сеансов Виртуального рабочего стола Azure.
  • У вас есть существующее гибридное подключение из локальной среды к Azure через ExpressRoute, VPN типа "узел-узел" (S2S) или VPN типа "точка-сеть" (P2S).
  • У вас есть прямое сетевое подключение между клиентами RDP и узлами виртуального рабочего стола Azure. Как правило, в этом сценарии используется одна из следующих настроек:
    • Локальные сети, которые направляются в сети Azure виртуального рабочего стола Azure
    • VPN-подключения клиента, которые перенаправляются в виртуальные сети Azure виртуального рабочего стола Azure
  • Необходимо ограничить использование пропускной способности узлов виртуальных машин через частные сети, например VPN или ExpressRoute.
  • Вы хотите определить приоритет трафика Виртуального рабочего стола Azure в сети.
  • Вам не нужна проверка трафика между сетями виртуального рабочего стола Azure и другими виртуальными сетями Azure.
  • Вам не нужна проверка трафика между сетями виртуального рабочего стола Azure и локальными центрами обработки данных.
  • У вас уже есть настроенные серверы AD DS или DNS.

Архитектурные компоненты для концентраторной архитектуры и спиц с гибридным подключением через управляемые сети с помощью RDP Shortpath

Этот сценарий можно реализовать с помощью следующих способов:

  • ExpressRoute или шлюз виртуальной сети VPN для гибридного подключения к локальным средам с достаточной пропускной способностью.
  • Серверы AD DS и настраиваемые DNS-серверы.
  • Группы безопасности сети.
  • Исходящий интернет через путь виртуальной сети Azure по умолчанию.
  • Объекты групповой политики домена (ГОП) или локальные объекты групповой политики.
  • Учетные записи хранения файлов Azure.
  • Частные конечные точки Azure.
  • Частная зона DNS Azure.

Схема архитектуры сценария, использующего RDP Shortpath для частных сетей.

Рекомендации по использованию схемы hub-and-spoke с гибридным сетевым подключением через управляемые сети с помощью RDP Shortpath

  • Гибридное подключение должно быть доступно через VPN или ExpressRoute с прямым сетевым подключением клиента RDP к узлам частной виртуальной машины через порт 3390.

Замечание

Для управляемых сетей можно изменить порт UDP по умолчанию.

  • Объект групповой политики домена или локальный объект групповой политики должен использоваться для включения UDP через управляемые сети.
  • Гибридное подключение должно иметь достаточную пропускную способность, чтобы разрешить прямые подключения UDP к узлам виртуальных машин.
  • Гибридное подключение должно иметь прямую маршрутизацию, чтобы разрешить подключения к узлам виртуальных машин.
  • Шлюз уровня управления виртуальным рабочим столом Azure, использующий общедоступную конечную точку, управляет клиентскими подключениями. В результате клиенты Виртуального рабочего стола Azure могут создавать исходящие подключения к необходимым URL-адресам виртуального рабочего стола Azure. Дополнительные сведения о необходимых URL-адресах см. в разделе "Интернет" этой статьи и обязательные URL-адреса для виртуального рабочего стола Azure.
  • Общедоступные IP-адреса или другие общедоступные путь к узлам сеансов не требуются. Трафик от клиентов к узлам сеансов проходит через шлюз уровня управления Виртуальным рабочим столом Azure.
  • Исходящее подключение к Интернету из узлов сеансов Виртуального рабочего стола Azure проходит по умолчанию процесс исходящего трафика NAT Azure. Используются динамические общедоступные IP-адреса Azure. Клиенты не имеют контроля над исходящими общедоступными IP-адресами, которые используются.
  • Подключения узлов сеансов к учетным записям хранения файлов Azure устанавливаются с помощью частных конечных точек.
  • Частные зоны DNS Azure используются для разрешения пространств имен частных конечных точек.
  • Фильтрация сети не применяется для этого сценария. Но группы безопасности сети размещаются во всех подсетях, чтобы отслеживать трафик и получать аналитические сведения. В наблюдателе за сетями для этих целей используются функции ведения журнала потоков безопасности сети и аналитики трафика и группы безопасности сети.

Сценарий 3. Концентратор и подключение к общедоступным сетям с помощью RDP Shortpath

Подробные рекомендации по развертыванию см. в статье о подключении RDP Shortpath для общедоступных сетей.

Профиль клиента для концентратора и взаимодействия с общедоступными сетями с помощью RDP Shortpath

Этот сценарий идеально подходит, если:

  • Клиентские подключения виртуального рабочего стола Azure проходят через общедоступный Интернет. Типичные сценарии включают рабочих пользователей из дома, пользователей удаленного филиала, которые не подключены к корпоративным сетям и удаленным пользователям подрядчиков.
  • У вас есть подключения с высокой задержкой или низкой пропускной способностью к узлам сеансов Виртуальных рабочих столов Azure.
  • Необходимо ограничить использование пропускной способности узлов сеансов Виртуального рабочего стола Azure с помощью политик сети QoS.
  • Вы хотите определить приоритет трафика Виртуального рабочего стола Azure в сети с помощью политик QoS.
  • Подключения клиента RDP начинаются с сетей с несогласованной пропускной способностью и скоростью.
  • У вас есть прямое исходящее подключение с узлов сеансов Виртуального рабочего стола Azure. Маршрутизация принудительного туннеля не используется через локальные сети.
  • Вам не нужна проверка трафика между сетями виртуального рабочего стола Azure и другими виртуальными сетями Azure.
  • Вам не нужна проверка трафика между сетями виртуального рабочего стола Azure и локальными центрами обработки данных.
  • У вас уже есть настроенные серверы AD DS или DNS.

Архитектурные компоненты для концентратора и связи с общедоступными сетями с помощью RDP Shortpath

Этот сценарий можно реализовать с помощью следующих способов:

  • ExpressRoute или шлюз виртуальной сети VPN для гибридного подключения к локальным средам. Эта настройка подходит при наличии достаточной пропускной способности для поддержки подключений к локальным приложениям, данным или подключениям AD DS. Мы не рекомендуем использовать принудительное туннелирование для отправки трафика виртуального рабочего стола Azure через локальные маршрутизаторы.
  • Серверы AD DS и настраиваемые DNS-серверы.
  • Группы безопасности сети.
  • Наблюдатель за сетями.
  • Исходящий интернет через путь виртуальной сети Azure по умолчанию.
  • Доменные объекты групповой политики или локальные объекты групповой политики.
  • Учетные записи хранения файлов Azure.
  • Частные конечные точки Azure.
  • Частная зона DNS Azure.

Схема архитектуры для сценария, использующего RDP Shortpath для общедоступных сетей.

Рекомендации по концентратору и работе с общедоступными сетями с помощью RDP Shortpath

  • Разрешить следующие типы подключений:

    • Исходящие подключения UDP из узлов сеансов Виртуального рабочего стола Azure к службам обхода сеансов виртуального рабочего стола Azure для NAT (STUN) и обхода с помощью служб NAT ретранслятора (TURN) через порт 3478
    • Подключения UDP от клиентов RDP в диапазоне портов 49152–65535

    Параметр, который настраивает эти подключения, включен по умолчанию и поддерживает тот же уровень шифрования, что и обратный подключение протокола управления передачей (TCP). Сведения об ограничении диапазонов клиентских портов RDP см. в разделе "Ограничить диапазон портов" при использовании RDP Shortpath для общедоступных сетей.

  • Шлюз уровня управления виртуальным рабочим столом Azure, использующий общедоступную конечную точку, управляет клиентскими подключениями. В результате клиенты Виртуального рабочего стола Azure могут создавать исходящие подключения к необходимым URL-адресам виртуального рабочего стола Azure. Дополнительные сведения о необходимых URL-адресах см. в разделе "Интернет" этой статьи и обязательные URL-адреса для виртуального рабочего стола Azure.

  • Маршрутизаторы потребителей, которые обычно находятся в домашних пользовательских сетях, должны иметь включенную универсальную функцию Plug and Play (UPnP).

  • Общедоступные IP-адреса или другие общедоступные путь к узлам сеансов не требуются. Трафик от клиентов к узлам сеансов проходит через шлюз уровня управления Виртуальным рабочим столом Azure.

  • Исходящее подключение к Интернету из узлов сеансов Виртуального рабочего стола Azure проходит по умолчанию процесс исходящего трафика NAT Azure. Используются динамические общедоступные IP-адреса Azure. Клиенты не имеют контроля над исходящими общедоступными IP-адресами, которые используются.

  • Необходимо настроить маркировку различаемой точки кода служб (DSCP) на узлах сеансов. Используйте локальные объекты групповой политики или доменные объекты групповой политики для этой конфигурации. При использовании маркеров DSCP сетевые устройства могут применять политики качества обслуживания для трафика виртуального рабочего стола Azure. Дополнительные сведения см. в статье "Реализация качества обслуживания" (QoS) для виртуального рабочего стола Azure.

  • Подключения узлов сеансов к учетным записям хранения файлов Azure устанавливаются с помощью частных конечных точек.

  • Частные зоны DNS Azure используются для разрешения пространств имен частных конечных точек.

  • Фильтрация сети не применяется для этого сценария. Но группы безопасности сети размещаются во всех подсетях, чтобы отслеживать трафик и получать аналитические сведения. В наблюдателе за сетями для этих целей используются функции ведения журнала потоков безопасности сети и аналитики трафика и группы безопасности сети.

Дальнейшие шаги

Сведения о организации ресурсов для сценария корпоративного масштабирования виртуального рабочего стола Azure.

Организация ресурсов

  • Last updated on