Настройка Приватный канал с помощью Виртуального рабочего стола Azure

2025-06-20

В этой статье показано, как настроить Приватный канал с Виртуальным рабочим столом Azure для частного подключения к удаленным ресурсам. Дополнительные сведения об использовании Приватный канал с Виртуальным рабочим столом Azure, включая ограничения, см. в статье Приватный канал Azure с Виртуальным рабочим столом Azure.

Предварительные условия

Чтобы использовать Приватный канал с Виртуальным рабочим столом Azure, вам потребуется следующее:

Существующий пул узлов с узлами сеансов, группой приложений и рабочей областью.
Существующая виртуальная сеть и подсеть , которые вы хотите использовать для частных конечных точек.
Необходимые разрешения на управление доступом на основе ролей Azure для создания частных конечных точек.
Поддерживаемое приложение на локальном устройстве для доступа к удаленному сеансу:
- Приложение удаленного рабочего стола на любой платформе. Если вы используете клиент удаленного рабочего стола для Windows, для подключения с помощью частной конечной точки необходимо использовать версию 1.2.4066 или более позднюю.
- Windows App в macOS или iOS/iPadOS.
Если вы хотите использовать Azure CLI или Azure PowerShell локально, см. статью Использование Azure CLI и Azure PowerShell с Виртуальным рабочим столом Azure, чтобы убедиться, что у вас установлено расширение Azure CLI для desktopvirtualization или модуль Az.DesktopVirtualization PowerShell. Кроме того, используйте Cloud Shell Azure.
Azure PowerShell командлеты для Виртуального рабочего стола Azure, поддерживающие Приватный канал, доступны в предварительной версии. Чтобы использовать эти командлеты, которые были добавлены в версии 5.0.0, необходимо скачать и установить предварительную версию модуля Az.DesktopVirtualization .

Включение Приватный канал с помощью Виртуального рабочего стола Azure в подписке

Чтобы использовать Приватный канал с Виртуальным рабочим столом Azure, необходимо повторно зарегистрировать поставщик ресурсов Microsoft.DesktopVirtualization в каждой подписке, которую вы хотите использовать Приватный канал с Виртуальным рабочим столом Azure.

Выберите соответствующую вкладку для своего сценария.

Azure
Azure US Gov и 21Vianet

Повторная регистрация поставщика ресурсов Виртуального рабочего стола Azure

Прежде чем использовать Приватный канал с Виртуальным рабочим столом Azure, необходимо повторно зарегистрировать поставщик ресурсов Microsoft.DesktopVirtualization. Это необходимо сделать для каждой подписки, которую вы хотите использовать для Приватный канал с Виртуальным рабочим столом Azure:

Войдите на портал Azure.
В строке поиска введите Подписки и выберите соответствующую запись службы.
Выберите имя подписки, а затем в разделе Параметры выберите Поставщики ресурсов.
Найдите и выберите Microsoft.DesktopVirtualization, а затем выберите Повторно зарегистрировать.
Убедитесь, что состояние Microsoft.DesktopVirtualization имеет значение Зарегистрировано.

Создание частных конечных точек

В процессе установки необходимо создать частные конечные точки для следующих ресурсов в зависимости от сценария.

Все части подключения — первоначальное обнаружение веб-канала, загрузка веб-канала и подключения к удаленным сеансам для клиентов и узлов сеансов — используют частные маршруты. Вам потребуются следующие частные конечные точки:

Назначение	Тип ресурса	Целевой подресурс	Количество конечных точек
Connections для размещения пулов	Microsoft.DesktopVirtualization/hostpools	связь	По одному на пул узлов
Загрузка веб-канала	Microsoft.DesktopVirtualization/workspaces	кормить	По одному на рабочую область
Обнаружение первоначального веб-канала	Microsoft.DesktopVirtualization/workspaces	глобальный	Только один для всех развертываний Виртуального рабочего стола Azure

Для загрузки веб-канала и удаленных подключений к сеансам для клиентов и узлов сеансов используются частные маршруты, но при первоначальном обнаружении веб-канала используются общедоступные маршруты. Вам потребуются следующие частные конечные точки. Конечная точка для первоначального обнаружения веб-канала не требуется.

Назначение	Тип ресурса	Целевой подресурс	Количество конечных точек
Connections для размещения пулов	Microsoft.DesktopVirtualization/hostpools	связь	По одному на пул узлов
Загрузка веб-канала	Microsoft.DesktopVirtualization/workspaces	кормить	По одному на рабочую область

Только удаленные сеансовые подключения для клиентов и узлов сеансов используют частные маршруты, но при первоначальном обнаружении и скачивании веб-канала используются общедоступные маршруты. Вам потребуются следующие частные конечные точки. Конечные точки для рабочих областей не требуются.

Назначение	Тип ресурса	Целевой подресурс	Количество конечных точек
Connections для размещения пулов	Microsoft.DesktopVirtualization/hostpools	связь	По одному на пул узлов

Как клиенты, так и виртуальные машины узла сеансов используют общедоступные маршруты. Приватный канал не используется в этом сценарии.

Важно!

При создании частной конечной точки для первоначального обнаружения веб-канала рабочая область, используемая для глобального подресурса, управляет общим полным доменным именем (FQDN), упрощая первоначальное обнаружение веб-каналов во всех рабочих областях. Следует создать отдельную рабочую область, которая используется только для этой цели и в ней не зарегистрированы группы приложений. При удалении этой рабочей области все процессы обнаружения веб-каналов перестанут работать.
Вы не можете управлять доступом к рабочей области, используемой для первоначального обнаружения веб-канала (глобальный подресурс). Если эта рабочая область настроена так, чтобы разрешить только частный доступ, параметр игнорируется. Эта рабочая область всегда доступна с общедоступных маршрутов.
Выделение IP-адресов может измениться по мере увеличения спроса на IP-адреса. Во время расширения емкости для частных конечных точек требуются дополнительные адреса. Важно учитывать потенциальную нехватку адресного пространства и обеспечить достаточный запас ресурсов для роста. Дополнительные сведения об определении соответствующей конфигурации сети для частных конечных точек в звездообразной или периферийной топологии см. в разделе Дерево решений для развертывания Приватный канал.

Connections для размещения пулов

Чтобы создать частную конечную точку для подресурса подключения для подключений к пулу узлов, выберите соответствующую вкладку для своего сценария и выполните действия.

Ниже описано, как создать частную конечную точку для подресурса подключения к пулу узлов с помощью портал Azure.

Войдите на портал Azure.
В строке поиска введите Виртуальный рабочий стол Azure и выберите соответствующую запись службы, чтобы перейти к обзору Виртуального рабочего стола Azure.
Выберите Пулы узлов, а затем выберите имя пула узлов, для которого требуется создать подресурс подключения .
В разделе Общие сведения о пуле узлов выберите Сеть, затем Подключения к частной конечной точке и, наконец, Новая частная конечная точка.

На вкладке Основные сведения укажите следующие сведения:

Параметр	Значение или описание
Подписка	Выберите подписку, в которой вы хотите создать частную конечную точку, в раскрывающемся списке.
Группа ресурсов	По умолчанию по умолчанию используется та же группа ресурсов, что и рабочая область для частной конечной точки, но вы также можете выбрать альтернативную существующую из раскрывающегося списка или создать новую.
Имя	Введите имя новой частной конечной точки.
Имя сетевого интерфейса	Имя сетевого интерфейса заполняется автоматически в зависимости от имени, присвоенного частной конечной точке, но вы также можете указать другое имя.
Region	По умолчанию по умолчанию используется тот же регион Azure, что и рабочая область, где развертывается частная конечная точка. Это должен быть тот же регион, что и виртуальная сеть и узлы сеансов.

Завершив работу с этой вкладкой, выберите Далее: Ресурс.

На вкладке Ресурс проверьте значения подписки, типа ресурса и Ресурса, а затем в поле Целевой подресурс выберите подключение. Завершив работу с этой вкладкой, выберите Далее: виртуальная сеть.

На вкладке виртуальная сеть заполните следующие сведения:

Параметр	Значение или описание
Виртуальная сеть	Выберите виртуальную сеть, в которой вы хотите создать частную конечную точку, в раскрывающемся списке.
Подсеть	Выберите подсеть виртуальной сети, в которой вы хотите создать частную конечную точку, в раскрывающемся списке.
Политика сети для частных конечных точек	Выберите изменить , если вы хотите выбрать политику сети подсети. Дополнительные сведения см. в статье Управление политиками сети для частных конечных точек.
Конфигурация частного IP-адреса	Выберите Динамически выделять IP-адрес или Статически выделять IP-адрес. Адресное пространство находится в выбранной подсети. Если вы решили статически выделять IP-адреса, необходимо указать имя и частный IP-адрес для каждого указанного элемента.
Группа безопасности приложений	Необязательно: выберите существующую группу безопасности приложений для частной конечной точки в раскрывающемся списке или создайте новую. Вы также можете добавить его позже.

Завершив работу с этой вкладкой, выберите Далее: DNS.

На вкладке DNS выберите, хотите ли вы использовать Зону Частная зона DNS Azure, выбрав Да или Нет для параметра Интеграция с частной зоной DNS. При нажатии кнопки Да выберите подписку и группу ресурсов, в которых будет создана частная зона privatelink.wvd.microsoft.comDNS. Дополнительные сведения см. в статье Настройка DNS частной конечной точки Azure.

Завершив работу с этой вкладкой, выберите Далее: Теги.
Необязательно. На вкладке Теги можно ввести любые нужные пары "имя-значение ", а затем нажмите кнопку Далее: просмотр и создание.
На вкладке Просмотр и создание убедитесь, что проверка пройдена и проверьте сведения, используемые во время развертывания.
Выберите Создать , чтобы создать частную конечную точку для подресурса подключения.

Ниже описано, как создать частную конечную точку для подресурса подключения , используемого для подключений к пулу узлов, с помощью модулей PowerShell Az.Network и Az.DesktopVirtualization . Обязательно измените <placeholder> значения для собственных.

Откройте azure Cloud Shell в портал Azure с типом терминала PowerShell или запустите PowerShell на локальном устройстве.
- Если вы используете Cloud Shell, убедитесь, что для контекста Azure задана подписка, которую вы хотите использовать.
- Если вы используете PowerShell локально, сначала войдите с помощью Azure PowerShell, а затем убедитесь, что для контекста Azure задана подписка, которую вы хотите использовать.

Получите сведения о виртуальной сети и подсети, которые вы хотите использовать для частной конечной точки, и сохраните их в переменной, выполнив следующие команды:
```
# Get the subnet details for the virtual network
$subnet = (Get-AzVirtualNetwork -Name <VNetName> -ResourceGroupName <ResourceGroupName>).Subnets | ? Name -eq <SubnetName>
```

Создайте подключение службы Приватный канал для пула узлов с подресурсом подключения, выполнив следующие команды.

# Get the resource ID of the host pool
$hostPoolId = (Get-AzWvdHostPool -Name <HostPoolName> -ResourceGroupName <ResourceGroupName>).Id

# Create the service connection
$parameters = @{
    Name = '<ServiceConnectionName>'
    PrivateLinkServiceId = $hostPoolId
    GroupId = 'connection'
}

$serviceConnection = New-AzPrivateLinkServiceConnection @parameters

Наконец, создайте частную конечную точку, выполнив команды в одном из следующих примеров.

Чтобы создать частную конечную точку с динамически выделенным IP-адресом, выполните приведенные далее действия.

# Specify the Azure region. This must be the same region as your virtual network and session hosts.
$location = '<Location>'

# Create the private endpoint
$parameters = @{
    Name = '<PrivateEndpointName>'
    ResourceGroupName = '<ResourceGroupName>'
    Location = $location
    Subnet = $subnet
    PrivateLinkServiceConnection = $serviceConnection
}

New-AzPrivateEndpoint @parameters

Чтобы создать частную конечную точку со статически выделенными IP-адресами, выполните следующие действия.

# Specify the Azure region. This must be the same region as your virtual network and session hosts.
$location = '<Location>'

# Create a hash table for each private endpoint IP configuration
$ip1 = @{
    Name = 'ipconfig1'
    GroupId = 'connection'
    MemberName = 'broker'
    PrivateIPAddress = '<IPAddress>'
}

$ip2 = @{
    Name = 'ipconfig2'
    GroupId = 'connection'
    MemberName = 'diagnostics'
    PrivateIPAddress = '<IPAddress>'
}

$ip3 = @{
    Name = 'ipconfig3'
    GroupId = 'connection'
    MemberName = 'gateway-ring-map'
    PrivateIPAddress = '<IPAddress>'
}

$ip4 = @{
    Name = 'ipconfig4'
    GroupId = 'connection'
    MemberName = 'web'
    PrivateIPAddress = '<IPAddress>'
}

# Create the private endpoint IP configurations
$ipConfig1 = New-AzPrivateEndpointIpConfiguration @ip1
$ipConfig2 = New-AzPrivateEndpointIpConfiguration @ip2
$ipConfig3 = New-AzPrivateEndpointIpConfiguration @ip3
$ipConfig4 = New-AzPrivateEndpointIpConfiguration @ip4

# Create the private endpoint
$parameters = @{
    Name = '<PrivateEndpointName>'
    ResourceGroupName = '<ResourceGroupName>'
    Location = $location
    Subnet = $subnet
    PrivateLinkServiceConnection = $serviceConnection
    IpConfiguration = $ipConfig1, $ipConfig2, $ipConfig3, $ipConfig4
}

New-AzPrivateEndpoint @parameters

Выходные данные должны быть похожи на приведенные ниже выходные данные. Убедитесь, что для параметра ProvisioningStateзадано значение Succeeded.

ResourceGroupName Name            Location ProvisioningState Subnet
----------------- ----            -------- ----------------- ------
privatelink       endpoint-hp01   uksouth  Succeeded

Необходимо настроить DNS для частной конечной точки, чтобы разрешить DNS-имя частной конечной точки в виртуальной сети. Имя частной зоны DNS — privatelink.wvd.microsoft.com. Инструкции по созданию и настройке частной зоны DNS с помощью Azure PowerShell см. в разделе Настройка частной зоны DNS.

Вот как создать частную конечную точку для подресурса подключения , используемого для подключений к пулу узлов, с помощью расширений сети и desktopvirtualization для Azure CLI.

Важно!

В следующих примерах необходимо изменить <placeholder> значения для собственных.

Откройте azure Cloud Shell в портал Azure с типом терминала Bash или запустите Azure CLI на локальном устройстве.
- Если вы используете Cloud Shell, убедитесь, что для контекста Azure задана подписка, которую вы хотите использовать.
- Если вы используете Azure CLI локально, сначала войдите с помощью Azure CLI, а затем убедитесь, что для контекста Azure задана подписка, которую вы хотите использовать.

Создайте подключение службы Приватный канал и частную конечную точку для пула узлов с подресурсом подключения, выполнив команды в одном из следующих примеров.

# Specify the Azure region. This must be the same region as your virtual network and session hosts.
location=<Location>

# Get the resource ID of the host pool
hostPoolId=$(az desktopvirtualization hostpool show \
    --name <HostPoolName> \
    --resource-group <ResourceGroupName> \
    --query [id] \
    --output tsv)

# Create a service connection and the private endpoint
az network private-endpoint create \
    --name <PrivateEndpointName> \
    --resource-group <ResourceGroupName> \
    --location $location \
    --vnet-name <VNetName> \
    --subnet <SubnetName> \
    --connection-name <ConnectionName> \
    --private-connection-resource-id $hostPoolId \
    --group-id connection \
    --output table

Чтобы создать частную конечную точку со статически выделенными IP-адресами, выполните следующие действия.

# Specify the Azure region. This must be the same region as your virtual network and session hosts.
location=<Location>

# Get the resource ID of the host pool
hostPoolId=$(az desktopvirtualization hostpool show \
    --name <HostPoolName> \
    --resource-group <ResourceGroupName> \
    --query [id] \
    --output tsv)

# Store each private endpoint IP configuration in a variable
ip1={name:ipconfig1,group-id:connection,member-name:broker,private-ip-address:<IPAddress>}
ip2={name:ipconfig2,group-id:connection,member-name:diagnostics,private-ip-address:<IPAddress>}
ip3={name:ipconfig3,group-id:connection,member-name:gateway-ring-map,private-ip-address:<IPAddress>}
ip4={name:ipconfig4,group-id:connection,member-name:web,private-ip-address:<IPAddress>}

# Create a service connection and the private endpoint
az network private-endpoint create \
    --name <PrivateEndpointName> \
    --resource-group <ResourceGroupName> \
    --location $location \
    --vnet-name <VNetName> \
    --subnet <SubnetName> \
    --connection-name <ConnectionName> \
    --private-connection-resource-id $hostPoolId \
    --group-id connection \
    --ip-configs [$ip1,$ip2,$ip3,$ip4] \
    --output table

CustomNetworkInterfaceName    Location    Name                  ProvisioningState    ResourceGroup
----------------------------  ----------  --------------------  -------------------  ---------------
                              uksouth     endpoint-hp01         Succeeded            privatelink

Необходимо настроить DNS для частной конечной точки, чтобы разрешить DNS-имя частной конечной точки в виртуальной сети. Имя частной зоны DNS — privatelink.wvd.microsoft.com. Инструкции по созданию и настройке частной зоны DNS с помощью Azure CLI см. в статье Настройка частной зоны DNS.

Важно!

Необходимо создать частную конечную точку для подресурса подключения для каждого пула узлов, который вы хотите использовать с Приватный канал.

Загрузка веб-канала

Чтобы создать частную конечную точку для подресурса веб-канала для рабочей области, выберите соответствующую вкладку для своего сценария и выполните действия.

В разделе Обзор Виртуального рабочего стола Azure выберите Рабочие области, а затем выберите имя рабочей области, для которой требуется создать подресурс веб-канала .
В обзоре рабочей области выберите Сеть, затем Подключения к частной конечной точке и, наконец, Новая частная конечная точка.

На вкладке Основные сведения укажите следующие сведения:

Параметр	Значение или описание
Подписка	Выберите подписку, в которой вы хотите создать частную конечную точку, в раскрывающемся списке.
Группа ресурсов	По умолчанию по умолчанию используется та же группа ресурсов, что и рабочая область для частной конечной точки, но вы также можете выбрать альтернативную существующую из раскрывающегося списка или создать новую.
Имя	Введите имя новой частной конечной точки.
Имя сетевого интерфейса	Имя сетевого интерфейса заполняется автоматически в зависимости от имени, присвоенного частной конечной точке, но вы также можете указать другое имя.
Region	По умолчанию по умолчанию используется тот же регион Azure, что и рабочая область, где развертывается частная конечная точка. Это должен быть тот же регион, что и виртуальная сеть.

Завершив работу с этой вкладкой, выберите Далее: Ресурс.

На вкладке Ресурс проверьте значения подписки, типа ресурса и Ресурса, а затем для целевого подресурса выберите веб-канал. Завершив работу с этой вкладкой, выберите Далее: виртуальная сеть.

На вкладке виртуальная сеть заполните следующие сведения:

Параметр	Значение или описание
Виртуальная сеть	Выберите виртуальную сеть, в которой вы хотите создать частную конечную точку, в раскрывающемся списке.
Подсеть	Выберите подсеть виртуальной сети, в которой вы хотите создать частную конечную точку, в раскрывающемся списке.
Политика сети для частных конечных точек	Выберите изменить , если вы хотите выбрать политику сети подсети. Дополнительные сведения см. в статье Управление политиками сети для частных конечных точек.
Конфигурация частного IP-адреса	Выберите Динамически выделять IP-адрес или Статически выделять IP-адрес. Адресное пространство находится в выбранной подсети. Если вы решили статически выделять IP-адреса, необходимо указать имя и частный IP-адрес для каждого указанного элемента.
Группа безопасности приложений	Необязательно: выберите существующую группу безопасности приложений для частной конечной точки в раскрывающемся списке или создайте новую. Вы также можете добавить его позже.

Завершив работу с этой вкладкой, выберите Далее: DNS.

На вкладке DNS выберите, хотите ли вы использовать Зону Частная зона DNS Azure, выбрав Да или Нет для параметра Интеграция с частной зоной DNS. При нажатии кнопки Да выберите подписку и группу ресурсов, в которых будет создана частная зона privatelink.wvd.microsoft.comDNS. Дополнительные сведения см. в статье Настройка DNS частной конечной точки Azure.

Завершив работу с этой вкладкой, выберите Далее: Теги.
Необязательно. На вкладке Теги можно ввести любые нужные пары "имя-значение ", а затем нажмите кнопку Далее: просмотр и создание.
На вкладке Просмотр и создание убедитесь, что проверка пройдена и проверьте сведения, используемые во время развертывания.
Выберите Создать , чтобы создать частную конечную точку для подресурса веб-канала.

В том же сеансе PowerShell создайте подключение службы Приватный канал для рабочей области с подресурсом канала, выполнив следующие команды. В этих примерах используются одна и та же виртуальная сеть и подсеть.
```
# Get the resource ID of the workspace
$workspaceId = (Get-AzWvdWorkspace -Name <WorkspaceName> -ResourceGroupName <ResourceGroupName>).Id

# Create the service connection
$parameters = @{
    Name = '<ServiceConnectionName>'
    PrivateLinkServiceId = $workspaceId
    GroupId = 'feed'
}

$serviceConnection = New-AzPrivateLinkServiceConnection @parameters
```

Наконец, создайте частную конечную точку, выполнив команды в одном из следующих примеров.

# Specify the Azure region. This must be the same region as your virtual network.
$location = '<Location>'

# Create the private endpoint
$parameters = @{
    Name = '<PrivateEndpointName>'
    ResourceGroupName = '<ResourceGroupName>'
    Location = $location
    Subnet = $subnet
    PrivateLinkServiceConnection = $serviceConnection
}

New-AzPrivateEndpoint @parameters

Чтобы создать частную конечную точку со статически выделенным IP-адресом:

# Specify the Azure region. This must be the same region as your virtual network.
$location = '<Location>'

# Create a hash table for each private endpoint IP configuration
$ip1 = @{
    Name = 'ipconfig1'
    GroupId = 'feed'
    MemberName = 'web-r1'
    PrivateIPAddress = '<IPAddress>'
}

$ip2 = @{
    Name = 'ipconfig2'
    GroupId = 'feed'
    MemberName = 'web-r0'
    PrivateIPAddress = '<IPAddress>'
}

# Create the private endpoint IP configurations
$ipConfig1 = New-AzPrivateEndpointIpConfiguration @ip1
$ipConfig2 = New-AzPrivateEndpointIpConfiguration @ip2

# Create the private endpoint
$parameters = @{
    Name = '<PrivateEndpointName>'
    ResourceGroupName = '<ResourceGroupName>'
    Location = $location
    Subnet = $subnet
    PrivateLinkServiceConnection = $serviceConnection
    IpConfiguration = $ipConfig1, $ipConfig2
}

New-AzPrivateEndpoint @parameters

Выходные данные должны выглядеть следующим образом. Убедитесь, что для параметра ProvisioningStateзадано значение Succeeded.

ResourceGroupName Name            Location ProvisioningState Subnet
----------------- ----            -------- ----------------- ------
privatelink       endpoint-ws01   uksouth  Succeeded

Необходимо настроить DNS для частной конечной точки, чтобы разрешить DNS-имя частной конечной точки в виртуальной сети. Имя частной зоны DNS — privatelink.wvd.microsoft.com. Инструкции по созданию и настройке частной зоны DNS с помощью Azure PowerShell см. в разделе Настройка частной зоны DNS.

В том же сеансе CLI создайте подключение службы Приватный канал и частную конечную точку для рабочей области с подресурсом канала, выполнив следующие команды.

# Specify the Azure region. This must be the same region as your virtual network.
location=<Location>

# Get the resource ID of the workspace
workspaceId=$(az desktopvirtualization workspace show \
    --name <WorkspaceName> \
    --resource-group <ResourceGroupName> \
    --query [id] \
    --output tsv)

# Create a service connection and the private endpoint
az network private-endpoint create \
    --name <PrivateEndpointName> \
    --resource-group <ResourceGroupName> \
    --location $location \
    --vnet-name <VNetName> \
    --subnet <SubnetName> \
    --connection-name <ConnectionName> \
    --private-connection-resource-id $workspaceId \
    --group-id feed \
    --output table

Чтобы создать частную конечную точку со статически выделенными IP-адресами, выполните следующие действия.

# Specify the Azure region. This must be the same region as your virtual network.
location=<Location>

# Get the resource ID of the workspace
workspaceId=$(az desktopvirtualization workspace show \
    --name <WorkspaceName> \
    --resource-group <ResourceGroupName> \
    --query [id] \
    --output tsv)

# Store each private endpoint IP configuration in a variable
ip1={name:ipconfig1,group-id:feed,member-name:web-r1,private-ip-address:<IPAddress>}
ip2={name:ipconfig2,group-id:feed,member-name:web-r0,private-ip-address:<IPAddress>}

# Create a service connection and the private endpoint
az network private-endpoint create \
    --name <PrivateEndpointName> \
    --resource-group <ResourceGroupName> \
    --location $location \
    --vnet-name <VNetName> \
    --subnet <SubnetName> \
    --connection-name <ConnectionName> \
    --private-connection-resource-id $workspaceId \
    --group-id feed \
    --ip-configs [$ip1,$ip2] \
    --output table

CustomNetworkInterfaceName    Location    Name                  ProvisioningState    ResourceGroup
----------------------------  ----------  --------------------  -------------------  ---------------
                              uksouth     endpoint-ws01         Succeeded            privatelink

Необходимо настроить DNS для частной конечной точки, чтобы разрешить DNS-имя частной конечной точки в виртуальной сети. Имя частной зоны DNS — privatelink.wvd.microsoft.com. Инструкции по созданию и настройке частной зоны DNS с помощью Azure CLI см. в статье Настройка частной зоны DNS.

Важно!

Необходимо создать частную конечную точку для подресурса канала для каждой рабочей области, которую вы хотите использовать с Приватный канал.

Обнаружение первоначального веб-канала

Чтобы создать частную конечную точку для глобального подресурса, используемого для первоначального обнаружения веб-канала, выберите соответствующую вкладку для своего сценария и выполните действия.

Важно!

Создайте только одну частную конечную точку для глобального подресурса для всех развертываний Виртуального рабочего стола Azure.
Частная конечная точка для глобального подресурса любой рабочей области управляет общим полным доменным именем (FQDN) для первоначального обнаружения веб-канала. Это, в свою очередь, обеспечивает обнаружение веб-каналов для всех рабочих областей. Так как рабочая область, подключенная к частной конечной точке, очень важна, ее удаление приведет к прекращению работы всех процессов обнаружения веб-каналов. Рекомендуется создать неиспользуемую рабочую область-заполнитель для глобального подресурса.

В разделе Обзор Виртуального рабочего стола Azure выберите Рабочие области, а затем выберите имя рабочей области, которую вы хотите использовать для глобального подресурса.
1. Необязательно. Вместо этого создайте заполнитель рабочей области для завершения глобальной конечной точки, следуя инструкциям по созданию рабочей области.
В обзоре рабочей области выберите Сеть, затем Подключения к частной конечной точке и, наконец, Новая частная конечная точка.

На вкладке Основные сведения укажите следующие сведения:

Параметр	Значение или описание
Подписка	Выберите подписку, в которой вы хотите создать частную конечную точку, в раскрывающемся списке.
Группа ресурсов	По умолчанию по умолчанию используется та же группа ресурсов, что и рабочая область для частной конечной точки, но вы также можете выбрать альтернативную существующую из раскрывающегося списка или создать новую.
Имя	Введите имя новой частной конечной точки.
Имя сетевого интерфейса	Имя сетевого интерфейса заполняется автоматически в зависимости от имени, присвоенного частной конечной точке, но вы также можете указать другое имя.
Region	По умолчанию по умолчанию используется тот же регион Azure, что и рабочая область, где будет развернута частная конечная точка. Это должен быть тот же регион, что и виртуальная сеть.

Завершив работу с этой вкладкой, выберите Далее: Ресурс.

На вкладке Ресурс проверьте значения подписки, типа ресурса и Ресурса, а затем в поле Целевой подресурс выберите глобальный. Завершив работу с этой вкладкой, выберите Далее: виртуальная сеть.

На вкладке виртуальная сеть заполните следующие сведения:

Параметр	Значение или описание
Виртуальная сеть	Выберите виртуальную сеть, в которой вы хотите создать частную конечную точку, в раскрывающемся списке.
Подсеть	Выберите подсеть виртуальной сети, в которой вы хотите создать частную конечную точку, в раскрывающемся списке.
Политика сети для частных конечных точек	Выберите изменить , если вы хотите выбрать политику сети подсети. Дополнительные сведения см. в статье Управление политиками сети для частных конечных точек.
Конфигурация частного IP-адреса	Выберите Динамически выделять IP-адрес или Статически выделять IP-адрес. Адресное пространство находится в выбранной подсети. Если вы решили статически выделять IP-адреса, необходимо указать имя и частный IP-адрес для каждого указанного элемента.
Группа безопасности приложений	Необязательно: выберите существующую группу безопасности приложений для частной конечной точки в раскрывающемся списке или создайте новую. Вы также можете добавить его позже.

Завершив работу с этой вкладкой, выберите Далее: DNS.

На вкладке DNS выберите, хотите ли вы использовать Зону Частная зона DNS Azure, выбрав Да или Нет для параметра Интеграция с частной зоной DNS. При нажатии кнопки Да выберите подписку и группу ресурсов, в которых будет создана частная зона privatelink-global.wvd.microsoft.comDNS. Дополнительные сведения см. в статье Настройка DNS частной конечной точки Azure.

Завершив работу с этой вкладкой, выберите Далее: Теги.
Необязательно. На вкладке Теги можно ввести любые нужные пары "имя-значение ", а затем нажмите кнопку Далее: просмотр и создание.
На вкладке Просмотр и создание убедитесь, что проверка пройдена и проверьте сведения, используемые во время развертывания.
Выберите Создать , чтобы создать частную конечную точку для глобального подресурса.

Необязательно. Создайте заполнитель рабочей области для завершения глобальной конечной точки, следуя инструкциям по созданию рабочей области.
В том же сеансе PowerShell создайте подключение службы Приватный канал для рабочей области с глобальным подресурсом, выполнив следующие команды. В этих примерах используются одна и та же виртуальная сеть и подсеть.
```
# Get the resource ID of the workspace
$workspaceId = (Get-AzWvdWorkspace -Name <WorkspaceName> -ResourceGroupName <ResourceGroupName>).Id

# Create the service connection
$parameters = @{
    Name = '<ServiceConnectionName>'
    PrivateLinkServiceId = $workspaceId
    GroupId = 'global'
}

$serviceConnection = New-AzPrivateLinkServiceConnection @parameters
```

Наконец, создайте частную конечную точку, выполнив команды в одном из следующих примеров.

# Specify the Azure region. This must be the same region as your virtual network.
$location = '<Location>'

# Create the private endpoint
$parameters = @{
    Name = '<PrivateEndpointName>'
    ResourceGroupName = '<ResourceGroupName>'
    Location = $location
    Subnet = $subnet
    PrivateLinkServiceConnection = $serviceConnection
}

New-AzPrivateEndpoint @parameters

Чтобы создать частную конечную точку со статически выделенным IP-адресом:

# Specify the Azure region. This must be the same region as your virtual network.
$location = '<Location>'

$ip = @{
    Name = '<IPConfigName>'
    GroupId = 'global'
    MemberName = 'web'
    PrivateIPAddress = '<IPAddress>'
}

$ipConfig = New-AzPrivateEndpointIpConfiguration @ip

# Create the private endpoint
$parameters = @{
    Name = '<PrivateEndpointName>'
    ResourceGroupName = '<ResourceGroupName>'
    Location = $location
    Subnet = $subnet
    PrivateLinkServiceConnection = $serviceConnection
    IpConfiguration = $ipconfig
}

New-AzPrivateEndpoint @parameters

ResourceGroupName Name            Location ProvisioningState Subnet
----------------- ----            -------- ----------------- ------
privatelink       endpoint-global uksouth  Succeeded

Необходимо настроить DNS для частной конечной точки, чтобы разрешить DNS-имя частной конечной точки в виртуальной сети. Имя частной зоны DNS — privatelink-global.wvd.microsoft.com. Инструкции по созданию и настройке частной зоны DNS с помощью Azure PowerShell см. в разделе Настройка частной зоны DNS.

Необязательно. Создайте заполнитель рабочей области для завершения глобальной конечной точки, следуя инструкциям по созданию рабочей области.

В том же сеансе CLI создайте подключение службы Приватный канал и частную конечную точку для рабочей области с глобальным подресурсом, выполнив следующие команды:

# Specify the Azure region. This must be the same region as your virtual network.
location=<Location>

# Get the resource ID of the workspace
workspaceId=$(az desktopvirtualization workspace show \
    --name <WorkspaceName> \
    --resource-group <ResourceGroupName> \
    --query [id] \
    --output tsv)

# Create a service connection and the private endpoint
az network private-endpoint create \
    --name <PrivateEndpointName> \
    --resource-group <ResourceGroupName> \
    --location $location \
    --vnet-name <VNetName> \
    --subnet <SubnetName> \
    --connection-name <ConnectionName> \
    --private-connection-resource-id $workspaceId \
    --group-id global \
    --output table

Чтобы создать частную конечную точку со статически выделенными IP-адресами, выполните следующие действия.

# Specify the Azure region. This must be the same region as your virtual network.
location=<Location>

# Get the resource ID of the workspace
workspaceId=$(az desktopvirtualization workspace show \
    --name <WorkspaceName> \
    --resource-group <ResourceGroupName> \
    --query [id] \
    --output tsv)

# Store each private endpoint IP configuration in a variable
ip={name:ipconfig,group-id:global,member-name:web,private-ip-address:<IPAddress>}

# Create a service connection and the private endpoint
az network private-endpoint create \
    --name <PrivateEndpointName> \
    --resource-group <ResourceGroupName> \
    --location $location \
    --vnet-name <VNetName> \
    --subnet <SubnetName> \
    --connection-name <ConnectionName> \
    --private-connection-resource-id $workspaceId \
    --group-id global \
    --ip-config $ip \
    --output table

CustomNetworkInterfaceName    Location    Name                  ProvisioningState    ResourceGroup
----------------------------  ----------  --------------------  -------------------  ---------------
                              uksouth     endpoint-global       Succeeded            privatelink

Необходимо настроить DNS для частной конечной точки, чтобы разрешить DNS-имя частной конечной точки в виртуальной сети. Имя частной зоны DNS — privatelink-global.wvd.microsoft.com. Инструкции по созданию и настройке частной зоны DNS с помощью Azure CLI см. в статье Настройка частной зоны DNS.

Закрытие общедоступных маршрутов

После создания частных конечных точек можно также контролировать, разрешен ли трафик из общедоступных маршрутов. Вы можете управлять этим на детальном уровне с помощью Виртуального рабочего стола Azure или в более широком смысле с помощью группы безопасности сети (NSG) или Брандмауэр Azure.

Управление маршрутами с помощью Виртуального рабочего стола Azure

Виртуальный рабочий стол Azure позволяет независимо управлять общедоступным трафиком для рабочих областей и пулов узлов. Выберите соответствующую вкладку для своего сценария и следуйте инструкциям. Вы не можете настроить эту функцию в Azure CLI. Эти действия необходимо повторить для каждой рабочей области и пула узлов, используемых с Приватный канал.

Портал
Azure PowerShell

Рабочие области

В обзоре Виртуального рабочего стола Azure выберите Рабочие области, а затем выберите имя рабочей области для управления общедоступным трафиком.
В разделе Общие сведения о пуле узлов выберите Сеть, а затем перейдите на вкладку Общий доступ .

Выберите один из приведенных ниже вариантов.

Setting	Описание
Включение общедоступного доступа из всех сетей	Конечные пользователи могут получить доступ к веб-каналу через общедоступный Интернет или частные конечные точки.
Отключение общедоступного доступа и использование частного доступа	Конечные пользователи могут получить доступ к веб-каналу только через частные конечные точки.

Выберите Сохранить.

Пулы узлов

В обзоре Виртуального рабочего стола Azure выберите Пулы узлов, а затем выберите имя пула узлов для управления общедоступным трафиком.
В разделе Общие сведения о пуле узлов выберите Сеть, а затем перейдите на вкладку Общий доступ .

Выберите один из приведенных ниже вариантов.

Setting	Описание
Включение общедоступного доступа из всех сетей	Конечные пользователи могут безопасно получить доступ к веб-каналу и узлам сеансов через общедоступный Интернет или частные конечные точки.
Включение общедоступного доступа для конечных пользователей, использование частного доступа для узлов сеансов	Конечные пользователи могут безопасно получить доступ к веб-каналу через общедоступный Интернет, но должны использовать частные конечные точки для доступа к узлам сеансов.
Отключение общедоступного доступа и использование частного доступа	Конечные пользователи могут получить доступ только к веб-каналу и узлам сеансов через частные конечные точки.

Выберите Сохранить.

Важно!

Azure PowerShell командлеты для Виртуального рабочего стола Azure, поддерживающие Приватный канал, доступны в предварительной версии. Чтобы использовать эти командлеты, которые были добавлены в версии 5.0.0, необходимо скачать и установить предварительную версию модуля Az.DesktopVirtualization .

Рабочие области

В том же сеансе PowerShell можно отключить общий доступ и использовать частный доступ, выполнив следующую команду:
```
$parameters = @{
    Name = '<WorkspaceName>'
    ResourceGroupName = '<ResourceGroupName>'
    PublicNetworkAccess = 'Disabled'
}

Update-AzWvdWorkspace @parameters
```

Чтобы включить общедоступный доступ из всех сетей, выполните следующую команду:

$parameters = @{
    Name = '<WorkspaceName>'
    ResourceGroupName = '<ResourceGroupName>'
    PublicNetworkAccess = 'Enabled'
}

Update-AzWvdWorkspace @parameters

Пулы узлов

В том же сеансе PowerShell можно отключить общий доступ и использовать частный доступ, выполнив следующую команду:
```
$parameters = @{
    Name = '<HostPoolName>'
    ResourceGroupName = '<ResourceGroupName>'
    PublicNetworkAccess = 'Disabled'
}

Update-AzWvdHostPool @parameters 
```

Чтобы включить общедоступный доступ из всех сетей, выполните следующую команду:

$parameters = @{
    Name = '<HostPoolName>'
    ResourceGroupName = '<ResourceGroupName>'
    PublicNetworkAccess = 'Enabled'
}

Update-AzWvdHostPool @parameters

Чтобы использовать общедоступный доступ для конечных пользователей и частный доступ для узлов сеансов, выполните следующую команду:
```
$parameters = @{
    Name = '<HostPoolName>'
    ResourceGroupName = '<ResourceGroupName>'
    PublicNetworkAccess = 'EnabledForSessionHostsOnly'
}

Update-AzWvdHostPool @parameters
```
Чтобы использовать частный доступ для конечных пользователей, но открытый доступ для узлов сеансов, выполните следующую команду:
```
$parameters = @{
    Name = '<HostPoolName>'
    ResourceGroupName = '<ResourceGroupName>'
    PublicNetworkAccess = 'EnabledForClientsOnly'
}

Update-AzWvdHostPool @parameters
```

Важно!

Изменение доступа для узлов сеансов не повлияет на существующие сеансы. После изменения частной конечной точки на пул узлов необходимо перезапустить службу загрузчика агента удаленных рабочих столов (RDAgentBootLoader) на каждом узле сеансов в пуле узлов. Кроме того, при изменении конфигурации сети пула узлов необходимо перезапускать эту службу. Вместо перезапуска службы можно перезапустить каждый узел сеанса.

Блокировка общедоступных маршрутов с помощью групп безопасности сети или Брандмауэр Azure

Если вы используете группы безопасности сети или Брандмауэр Azure для управления подключениями с клиентских устройств пользователей или узлов сеансов к частным конечным точкам, можно использовать тег службы WindowsVirtualDesktop для блокировки трафика из общедоступного Интернета. Если вы блокируете общедоступный интернет-трафик с помощью этого тега службы, весь трафик службы использует только частные маршруты.

Предостережение

Убедитесь, что трафик между частными конечными точками и адресами в списке необходимых URL-адресов не блокируется.
Не блокируйте определенные порты от клиентских устройств пользователей или узлов сеансов к частной конечной точке для ресурса пула узлов с помощью подресурса подключения . Весь диапазон динамических портов TCP от 1 до 65535 для частной конечной точки необходим, так как сопоставление портов используется со всеми глобальными шлюзами через IP-адрес одной частной конечной точки, соответствующий подресурсу подключения . Если ограничить порты частной конечной точкой, пользователи не смогут успешно подключиться к Виртуальному рабочему столу Azure.

Проверка Приватный канал с помощью Виртуального рабочего стола Azure

После закрытия общедоступных маршрутов убедитесь, что Приватный канал с Виртуальным рабочим столом Azure работает. Это можно сделать, проверив состояние подключения каждой частной конечной точки, состояние узлов сеансов и проверив, что пользователи могут обновить удаленные ресурсы и подключиться к ним.

Проверка состояния подключения каждой частной конечной точки

Чтобы проверка состояние подключения каждой частной конечной точки, выберите соответствующую вкладку для своего сценария и выполните действия. Эти действия следует повторить для каждой рабочей области и пула узлов, используемых с Приватный канал.

Рабочие области

В разделе Обзор Виртуального рабочего стола Azure выберите Рабочие области, а затем выберите имя рабочей области, для которой необходимо проверка состояние подключения.
В обзоре рабочей области выберите Сеть, а затем — Подключения к частной конечной точке.
Для указанной частной конечной точки проверка состояние подключения — Утверждено.

Пулы узлов

В разделе Обзор Виртуального рабочего стола Azure выберите Пулы узлов, а затем выберите имя пула узлов, для которого необходимо проверка состояние подключения.
В разделе Общие сведения о пуле узлов выберите Сеть, а затем — Подключения к частной конечной точке.
Для указанной частной конечной точки проверка состояние подключения — Утверждено.

Важно!

Для выполнения следующих команд необходимо использовать предварительную версию модуля Az.DesktopVirtualization. Дополнительные сведения и сведения о загрузке и установке модуля предварительной версии см. в разделе коллекция PowerShell.

Рабочие области

В том же сеансе PowerShell выполните следующие команды, чтобы проверка состояние подключения рабочей области:

(Get-AzWvdWorkspace -Name <WorkspaceName> -ResourceGroupName <ResourceGroupName).PrivateEndpointConnection | FL Name, PrivateLinkServiceConnectionStateStatus, PrivateLinkServiceConnectionStateDescription, PrivateLinkServiceConnectionStateActionsRequired

Выходные данные должны выглядеть следующим образом. Убедитесь, что для Параметра PrivateLinkServiceConnectionStateStateStatusзадано значение Утверждено.

Name                                             : endpoint-ws01
PrivateLinkServiceConnectionStateStatus          : Approved
PrivateLinkServiceConnectionStateDescription     : Auto-approved
PrivateLinkServiceConnectionStateActionsRequired : None

Пулы узлов

В том же сеансе PowerShell выполните следующие команды, чтобы проверка состояние подключения пула узлов:

(Get-AzWvdHostPool -Name <HostPoolName> -ResourceGroupName <ResourceGroupName).PrivateEndpointConnection | FL Name, PrivateLinkServiceConnectionStateStatus, PrivateLinkServiceConnectionStateDescription, PrivateLinkServiceConnectionStateActionsRequired

Name                                             : endpoint-hp01
PrivateLinkServiceConnectionStateStatus          : Approved
PrivateLinkServiceConnectionStateDescription     : Auto-approved
PrivateLinkServiceConnectionStateActionsRequired : None

В том же сеансе CLI выполните следующие команды, чтобы проверка состояние подключения рабочей области или пула узлов:

az network private-endpoint show \
    --name <PrivateEndpointName> \
    --resource-group <ResourceGroupName> \
    --query "{name:name, privateLinkServiceConnectionStates:privateLinkServiceConnections[].privateLinkServiceConnectionState}"

Выходные данные должны выглядеть следующим образом. Убедитесь, что для параметра Statusзадано значение Утверждено.

{
  "name": "endpoint-ws01",
  "privateLinkServiceConnectionStates": [
    {
      "actionsRequired": "None",
      "description": "Auto-approved",
      "status": "Approved"
    }
  ]
}

Проверка состояния узлов сеансов

Проверьте состояние узлов сеансов в Виртуальном рабочем столе Azure.
1. В обзоре Виртуального рабочего стола Azure выберите Пулы узлов, а затем выберите имя пула узлов.
2. В разделе Управление выберите Узлы сеансов.
3. Просмотрите список узлов сеансов и проверка их состояние доступно.

Проверка возможности подключения пользователей

Чтобы проверить возможность подключения пользователей к удаленным ресурсам, выполните следующие действия:

Используйте клиент удаленного рабочего стола и убедитесь, что вы можете подписаться на рабочие области и обновить их.
Наконец, убедитесь, что пользователи могут подключаться к удаленному сеансу.

Дальнейшие действия

Дополнительные сведения о том, как Приватный канал для Виртуального рабочего стола Azure, см. в статье Использование Приватный канал с Виртуальным рабочим столом Azure.
Узнайте, как настроить DNS частной конечной точки Azure в Приватный канал интеграции с DNS.
Общие руководства по устранению неполадок для Приватный канал см. в статье Устранение неполадок с подключением к частной конечной точке Azure.
Узнайте, как работает подключение к службе Виртуального рабочего стола Azure при сетевом подключении Виртуального рабочего стола Azure.
Список URL-адресов, которые необходимо разблокировать, чтобы обеспечить сетевой доступ к службе Виртуального рабочего стола Azure, см. в списке обязательных URL-адресов .

Поделиться через

Повторная регистрация поставщика ресурсов Виртуального рабочего стола Azure

Регистрация Приватный канал в Виртуальном рабочем столе Azure (Azure для государственных организаций США и Azure под управлением только 21Vianet)

Повторная регистрация поставщика ресурсов Виртуального рабочего стола Azure

Рабочие области

Пулы узлов

Рабочие области

Пулы узлов

Рабочие области

Пулы узлов

Рабочие области

Пулы узлов

Поделиться через

Настройка Приватный канал с помощью Виртуального рабочего стола Azure

Предварительные условия

Включение Приватный канал с помощью Виртуального рабочего стола Azure в подписке

Повторная регистрация поставщика ресурсов Виртуального рабочего стола Azure

Создание частных конечных точек

Connections для размещения пулов

Загрузка веб-канала

Обнаружение первоначального веб-канала

Закрытие общедоступных маршрутов

Управление маршрутами с помощью Виртуального рабочего стола Azure

Рабочие области

Пулы узлов

Блокировка общедоступных маршрутов с помощью групп безопасности сети или Брандмауэр Azure

Проверка Приватный канал с помощью Виртуального рабочего стола Azure

Проверка состояния подключения каждой частной конечной точки

Рабочие области

Пулы узлов

Проверка состояния узлов сеансов

Проверка возможности подключения пользователей

Дальнейшие действия

Обратная связь

Дополнительные ресурсы