Поделиться через


Настройка Приватный канал с помощью виртуального рабочего стола Azure

В этой статье показано, как настроить Приватный канал с виртуальным рабочим столом Azure для частного подключения к удаленным ресурсам. Дополнительные сведения об использовании Приватный канал с виртуальным рабочим столом Azure, включая ограничения, см. в Приватный канал Azure с виртуальным рабочим столом Azure.

Необходимые компоненты

Чтобы использовать Приватный канал с виртуальным рабочим столом Azure, вам потребуется следующее:

Чтобы использовать Приватный канал с виртуальным рабочим столом Azure, необходимо повторно зарегистрировать поставщик ресурсов Microsoft.DesktopVirtualization в каждой подписке, которую вы хотите использовать Приватный канал с виртуальным рабочим столом Azure.

Выберите соответствующую вкладку для вашего сценария.

Повторная регистрация поставщика ресурсов Виртуального рабочего стола Azure

Прежде чем использовать Приватный канал с виртуальным рабочим столом Azure, необходимо повторно зарегистрировать поставщик ресурсов Microsoft.DesktopVirtualization. Это необходимо сделать для каждой подписки, которую вы хотите использовать для Приватный канал с виртуальным рабочим столом Azure:

  1. Войдите на портал Azure.

  2. В строке поиска введите подписки и выберите соответствующую запись службы.

  3. Выберите имя подписки, а затем в разделе "Параметры" выберите "Поставщики ресурсов".

  4. Найдите и выберите Microsoft.DesktopVirtualization, а затем снова зарегистрируйтесь.

  5. Убедитесь, что состояние Microsoft.DesktopVirtualization зарегистрировано.

Создание частных конечных точек

Во время процесса установки необходимо создать частные конечные точки для следующих ресурсов в зависимости от вашего сценария.

  1. Все части подключения — начальное обнаружение веб-каналов, скачивание веб-канала и подключения к удаленному сеансу для клиентов и узлов сеансов — используйте частные маршруты. Вам потребуются следующие частные конечные точки:

    Характер использования Тип ресурса Целевой подресурс Количество конечных точек
    Подключения к пулам узлов Microsoft.DesktopVirtualization/hostpools подключение Один на пул узлов
    Скачивание веб-канала Microsoft.DesktopVirtualization/workspaces feed Один на рабочую область
    Начальное обнаружение веб-каналов Microsoft.DesktopVirtualization/workspaces global Только один для всех развертываний виртуального рабочего стола Azure
  2. Загрузка и удаленные подключения к сеансам для клиентов и узлов сеансов используют частные маршруты, но при первоначальном обнаружении веб-канала используются общедоступные маршруты. Вам нужны следующие частные конечные точки. Конечная точка для первоначального обнаружения веб-каналов не требуется.

    Характер использования Тип ресурса Целевой подресурс Количество конечных точек
    Подключения к пулам узлов Microsoft.DesktopVirtualization/hostpools подключение Один на пул узлов
    Скачивание веб-канала Microsoft.DesktopVirtualization/workspaces feed Один на рабочую область
  3. Только подключения к удаленным сеансам для клиентов и узлов сеансов используют частные маршруты, но начальное обнаружение веб-каналов и загрузка веб-канала используют общедоступные маршруты. Вам потребуется следующая частная конечная точка. Конечные точки для рабочих областей не требуются.

    Характер использования Тип ресурса Целевой подресурс Количество конечных точек
    Подключения к пулам узлов Microsoft.DesktopVirtualization/hostpools подключение Один на пул узлов
  4. Как клиенты, так и виртуальные машины узла сеансов используют общедоступные маршруты. Приватный канал не используется в этом сценарии.

Внимание

  • Если вы создаете частную конечную точку для первоначального обнаружения веб-каналов, рабочая область, используемая для глобального подресурсов, управляет общим полным доменным именем (FQDN), упрощая первоначальное обнаружение веб-каналов во всех рабочих областях. Необходимо создать отдельную рабочую область, которая используется только для этой цели и не имеет групп приложений, зарегистрированных в ней. Удаление этой рабочей области приведет ко всем процессам обнаружения веб-каналов, которые перестают работать.

  • Невозможно контролировать доступ к рабочей области, используемой для первоначального обнаружения веб-каналов (глобальный вложенный ресурс). Если вы настроите эту рабочую область только для предоставления закрытого доступа, параметр игнорируется. Эта рабочая область всегда доступна из общедоступных маршрутов.

  • Выделение IP-адресов может изменяться по мере увеличения спроса на IP-адреса. Во время расширения емкости для частных конечных точек требуются дополнительные адреса. Важно учитывать потенциальное исчерпание адресного пространства и обеспечить достаточное пространство для роста. Дополнительные сведения об определении соответствующей конфигурации сети для частных конечных точек в концентраторе или периферийной топологии см. в дереве принятия решений для Приватный канал развертывания.

Подключения к пулам узлов

Чтобы создать частную конечную точку для подресурса подключения к пулу узлов, выберите соответствующую вкладку для сценария и выполните действия.

Вот как создать частную конечную точку для подресурса подключения для подключений к пулу узлов с помощью портал Azure.

  1. Войдите на портал Azure.

  2. В строке поиска введите виртуальный рабочий стол Azure и выберите соответствующую запись службы, чтобы перейти к обзору виртуального рабочего стола Azure.

  3. Выберите пулы узлов, а затем выберите имя пула узлов, для которого требуется создать вложенный ресурс подключения .

  4. В обзоре пула узлов выберите "Сеть", а затем подключения к частной конечной точке и, наконец , новую частную конечную точку.

  5. На вкладке "Основы" выполните следующие сведения:

    Параметр Значение и описание
    Отток подписок Выберите подписку, в которой вы хотите создать частную конечную точку в раскрывающемся списке.
    Группа ресурсов Это автоматически по умолчанию использует ту же группу ресурсов, что и рабочая область для частной конечной точки, но вы также можете выбрать альтернативу существующей из раскрывающегося списка или создать новую.
    Имя. Введите имя новой частной конечной точки.
    Имя сетевого интерфейса Имя сетевого интерфейса заполняется автоматически на основе имени, заданного частной конечной точкой, но можно также указать другое имя.
    Область/регион Это автоматически по умолчанию используется в том же регионе Azure, что и рабочая область, где развертывается частная конечная точка. Это должен быть тот же регион, что и виртуальные сети и узлы сеансов.

    После завершения этой вкладки нажмите кнопку "Далее: Ресурс".

  6. На вкладке "Ресурс" проверьте значения для подписки, типа ресурса и ресурса, а затем для целевого подресурса выберите подключение. После завершения этой вкладки нажмите кнопку Далее: виртуальная сеть.

  7. На вкладке виртуальная сеть заполните следующие сведения:

    Параметр Значение и описание
    Виртуальная сеть Выберите виртуальную сеть, в которой вы хотите создать частную конечную точку в раскрывающемся списке.
    Подсеть Выберите подсеть виртуальной сети, в которой вы хотите создать частную конечную точку в раскрывающемся списке.
    Сетевая политика для частных конечных точек Выберите изменение , если вы хотите выбрать политику сети подсети. Дополнительные сведения см. в разделе "Управление политиками сети для частных конечных точек".
    Конфигурация частного IP-адреса Выберите динамически выделить IP-адрес или статически выделить IP-адрес. Адресное пространство находится в выбранной подсети.

    Если вы решили статически выделить IP-адреса, необходимо заполнить имя и частный IP-адрес для каждого указанного члена.
    Группа безопасности приложений Необязательно. Выберите существующую группу безопасности приложений для частной конечной точки из раскрывающегося списка или создайте новую. Вы также можете добавить его позже.

    После завершения этой вкладки нажмите кнопку "Далее: DNS".

  8. На вкладке DNS выберите, следует ли использовать зону Azure Частная зона DNS, выбрав "Да" или "Нет" для интеграции с частной зоной DNS. Если выбрать "Да", выберите подписку и группу ресурсов, в которой необходимо создать частную зону privatelink.wvd.microsoft.comDNS. Дополнительные сведения см. в статье Конфигурация DNS для частной конечной точки Azure.

    После завершения этой вкладки нажмите кнопку "Далее: Теги".

  9. Необязательно. На вкладке "Теги " можно ввести все необходимые пары "имя-значение", а затем нажмите кнопку "Далее: просмотр и создание".

  10. На вкладке "Проверка и создание " убедитесь, что проверка проходит и просматривает сведения, используемые во время развертывания.

  11. Выберите "Создать ", чтобы создать частную конечную точку для подресурса подключения.

Внимание

Необходимо создать частную конечную точку для подресурса подключения для каждого пула узлов, который вы хотите использовать с Приватный канал.


Скачивание веб-канала

Чтобы создать частную конечную точку для подресурса канала для рабочей области, выберите соответствующую вкладку для вашего сценария и выполните действия.

  1. В обзоре виртуального рабочего стола Azure выберите рабочие области, а затем выберите имя рабочей области, для которой требуется создать подресурс веб-канала .

  2. В обзоре рабочей области выберите "Сеть", затем подключения к частной конечной точке и, наконец , новую частную конечную точку.

  3. На вкладке "Основы" выполните следующие сведения:

    Параметр Значение и описание
    Отток подписок Выберите подписку, в которой вы хотите создать частную конечную точку в раскрывающемся списке.
    Группа ресурсов Это автоматически по умолчанию использует ту же группу ресурсов, что и рабочая область для частной конечной точки, но вы также можете выбрать альтернативу существующей из раскрывающегося списка или создать новую.
    Имя. Введите имя новой частной конечной точки.
    Имя сетевого интерфейса Имя сетевого интерфейса заполняется автоматически на основе имени, заданного частной конечной точкой, но можно также указать другое имя.
    Область/регион Это автоматически по умолчанию используется в том же регионе Azure, что и рабочая область, где развертывается частная конечная точка. Это должен быть тот же регион, что и виртуальная сеть.

    После завершения этой вкладки нажмите кнопку "Далее: Ресурс".

  4. На вкладке "Ресурс" проверьте значения для подписки, типа ресурса и ресурса, а затем для целевого подресурса выберите веб-канал. После завершения этой вкладки нажмите кнопку Далее: виртуальная сеть.

  5. На вкладке виртуальная сеть заполните следующие сведения:

    Параметр Значение и описание
    Виртуальная сеть Выберите виртуальную сеть, в которой вы хотите создать частную конечную точку в раскрывающемся списке.
    Подсеть Выберите подсеть виртуальной сети, в которой вы хотите создать частную конечную точку в раскрывающемся списке.
    Сетевая политика для частных конечных точек Выберите изменение , если вы хотите выбрать политику сети подсети. Дополнительные сведения см. в разделе "Управление политиками сети для частных конечных точек".
    Конфигурация частного IP-адреса Выберите динамически выделить IP-адрес или статически выделить IP-адрес. Адресное пространство находится в выбранной подсети.

    Если вы решили статически выделить IP-адреса, необходимо заполнить имя и частный IP-адрес для каждого указанного члена.
    Группа безопасности приложений Необязательно. Выберите существующую группу безопасности приложений для частной конечной точки из раскрывающегося списка или создайте новую. Вы также можете добавить его позже.

    После завершения этой вкладки нажмите кнопку "Далее: DNS".

  6. На вкладке DNS выберите, следует ли использовать зону Azure Частная зона DNS, выбрав "Да" или "Нет" для интеграции с частной зоной DNS. Если выбрать "Да", выберите подписку и группу ресурсов, в которой необходимо создать частную зону privatelink.wvd.microsoft.comDNS. Дополнительные сведения см. в статье Конфигурация DNS для частной конечной точки Azure.

    После завершения этой вкладки нажмите кнопку "Далее: Теги".

  7. Необязательно. На вкладке "Теги " можно ввести все необходимые пары "имя-значение", а затем нажмите кнопку "Далее: просмотр и создание".

  8. На вкладке "Проверка и создание " убедитесь, что проверка проходит и просматривает сведения, используемые во время развертывания.

  9. Выберите "Создать ", чтобы создать частную конечную точку для подресурса канала.

Внимание

Необходимо создать частную конечную точку для подресурса канала для каждой рабочей области, которую вы хотите использовать с Приватный канал.

Начальное обнаружение веб-каналов

Чтобы создать частную конечную точку для глобального подресурса, используемого для первоначального обнаружения веб-канала, выберите соответствующую вкладку для вашего сценария и выполните действия.

Внимание

  • Создайте только одну частную конечную точку для глобального подресурса для всех развертываний Виртуального рабочего стола Azure.

  • Частная конечная точка глобального подресурса любой рабочей области управляет общим полным доменным именем (FQDN) для первоначального обнаружения веб-канала. Это, в свою очередь, обеспечивает обнаружение веб-каналов для всех рабочих областей. Так как рабочая область, подключенная к частной конечной точке, так важна, удаление приведет к остановке работы всех процессов обнаружения веб-каналов. Рекомендуется создать неиспользуемую рабочую область заполнителя для глобального подресурса.

  1. В обзоре виртуального рабочего стола Azure выберите рабочие области, а затем выберите имя рабочей области, которую вы хотите использовать для глобального подресурса.

    1. Необязательно. Вместо этого создайте рабочую область заполнителя, чтобы завершить глобальную конечную точку, выполнив инструкции по созданию рабочей области.
  2. В обзоре рабочей области выберите "Сеть", затем подключения к частной конечной точке и, наконец , новую частную конечную точку.

  3. На вкладке "Основы" выполните следующие сведения:

    Параметр Значение и описание
    Отток подписок Выберите подписку, в которой вы хотите создать частную конечную точку в раскрывающемся списке.
    Группа ресурсов Это автоматически по умолчанию использует ту же группу ресурсов, что и рабочая область для частной конечной точки, но вы также можете выбрать альтернативу существующей из раскрывающегося списка или создать новую.
    Имя. Введите имя новой частной конечной точки.
    Имя сетевого интерфейса Имя сетевого интерфейса заполняется автоматически на основе имени, заданного частной конечной точкой, но можно также указать другое имя.
    Область/регион Это автоматически по умолчанию используется в том же регионе Azure, что и рабочая область, где будет развернута частная конечная точка. Это должен быть тот же регион, что и виртуальная сеть.

    После завершения этой вкладки нажмите кнопку "Далее: Ресурс".

  4. На вкладке "Ресурс" проверьте значения для подписки, типа ресурса и ресурса, а затем для целевого подресурса выберите глобальный. После завершения этой вкладки нажмите кнопку Далее: виртуальная сеть.

  5. На вкладке виртуальная сеть заполните следующие сведения:

    Параметр Значение и описание
    Виртуальная сеть Выберите виртуальную сеть, в которой вы хотите создать частную конечную точку в раскрывающемся списке.
    Подсеть Выберите подсеть виртуальной сети, в которой вы хотите создать частную конечную точку в раскрывающемся списке.
    Сетевая политика для частных конечных точек Выберите изменение , если вы хотите выбрать политику сети подсети. Дополнительные сведения см. в разделе "Управление политиками сети для частных конечных точек".
    Конфигурация частного IP-адреса Выберите динамически выделить IP-адрес или статически выделить IP-адрес. Адресное пространство находится в выбранной подсети.

    Если вы решили статически выделить IP-адреса, необходимо заполнить имя и частный IP-адрес для каждого указанного члена.
    Группа безопасности приложений Необязательно. Выберите существующую группу безопасности приложений для частной конечной точки из раскрывающегося списка или создайте новую. Вы также можете добавить его позже.

    После завершения этой вкладки нажмите кнопку "Далее: DNS".

  6. На вкладке DNS выберите, следует ли использовать зону Azure Частная зона DNS, выбрав "Да" или "Нет" для интеграции с частной зоной DNS. Если выбрать "Да", выберите подписку и группу ресурсов, в которой необходимо создать частную зону privatelink-global.wvd.microsoft.comDNS. Дополнительные сведения см. в статье Конфигурация DNS для частной конечной точки Azure.

    После завершения этой вкладки нажмите кнопку "Далее: Теги".

  7. Необязательно. На вкладке "Теги " можно ввести все необходимые пары "имя-значение", а затем нажмите кнопку "Далее: просмотр и создание".

  8. На вкладке "Проверка и создание " убедитесь, что проверка проходит и просматривает сведения, используемые во время развертывания.

  9. Выберите "Создать ", чтобы создать частную конечную точку для глобального подресурса.

Закрытие общедоступных маршрутов

После создания частных конечных точек можно также контролировать, разрешен ли трафик из общедоступных маршрутов. Это можно контролировать на детальном уровне с помощью виртуального рабочего стола Azure или более широко с помощью группы безопасности сети (NSG) или Брандмауэр Azure.

Управление маршрутами с помощью виртуального рабочего стола Azure

С помощью виртуального рабочего стола Azure можно самостоятельно управлять общедоступным трафиком для рабочих областей и пулов узлов. Выберите соответствующую вкладку для вашего сценария и выполните действия. Это невозможно настроить в Azure CLI. Эти действия необходимо повторить для каждой рабочей области и пула узлов, которые вы используете с Приватный канал.

Рабочие области

  1. В обзоре виртуального рабочего стола Azure выберите рабочие области, а затем выберите имя рабочей области для управления общедоступным трафиком.

  2. В обзоре пула узлов выберите "Сеть", а затем перейдите на вкладку "Общедоступный доступ ".

  3. Выберите один из следующих параметров.

    Параметр Description
    Включение общедоступного доступа из всех сетей Конечные пользователи могут получить доступ к каналу через общедоступный Интернет или частные конечные точки.
    Отключение общедоступного доступа и использование закрытого доступа Конечные пользователи могут получить доступ только к каналу через частные конечные точки.
  4. Выберите Сохранить.

Пулы узлов

  1. В обзоре виртуального рабочего стола Azure выберите пулы узлов, а затем выберите имя пула узлов для управления общедоступным трафиком.

  2. В обзоре пула узлов выберите "Сеть", а затем перейдите на вкладку "Общедоступный доступ ".

  3. Выберите один из следующих параметров.

    Параметр Description
    Включение общедоступного доступа из всех сетей Конечные пользователи могут безопасно обращаться к узлам веб-канала и сеансов через общедоступный Интернет или частные конечные точки.
    Включение общедоступного доступа для конечных пользователей, использование частного доступа для узлов сеансов Конечные пользователи могут безопасно получить доступ к каналу через общедоступный Интернет, но должны использовать частные конечные точки для доступа к узлам сеансов.
    Отключение общедоступного доступа и использование закрытого доступа Конечные пользователи могут получить доступ только к узлам веб-канала и сеанса через частные конечные точки.
  4. Выберите Сохранить.

Внимание

Изменение доступа к узлам сеансов не повлияет на существующие сеансы. После изменения частной конечной точки на пул узлов необходимо перезапустить службу загрузчика агента удаленного рабочего стола (RDAgentBootLoader) на каждом узле сеансов в пуле узлов. При изменении конфигурации сети пула узлов также необходимо перезапустить эту службу. Вместо перезапуска службы можно перезапустить каждый узел сеанса.

Блокировать общедоступные маршруты с помощью групп безопасности сети или Брандмауэр Azure

Если вы используете группы безопасности сети или Брандмауэр Azure для управления подключениями с клиентских устройств пользователей или узлов сеансов к частным конечным точкам, можно использовать тег службы WindowsVirtualDesktop для блокировки трафика из общедоступного Интернета. Если вы блокируете общедоступный интернет-трафик с помощью этого тега службы, весь трафик службы использует только частные маршруты.

Внимание

  • Убедитесь, что трафик между частными конечными точками и адресами в необходимом списке URL-адресов не блокируется.

  • Не блокируйте определенные порты с клиентских устройств пользователя или узлов сеансов в частную конечную точку для ресурса пула узлов с помощью подресурса подключения . Весь диапазон динамических портов TCP от 1 до 65535 до частной конечной точки необходим, так как сопоставление портов используется ко всем глобальным шлюзам через IP-адрес одной частной конечной точки, соответствующий подресурсу подключения . Если вы ограничиваете порты частной конечной точкой, пользователи не смогут успешно подключиться к виртуальному рабочему столу Azure.

После закрытия общедоступных маршрутов необходимо проверить, работает ли Приватный канал с виртуальным рабочим столом Azure. Это можно сделать, проверив состояние подключения каждой частной конечной точки, состояние узлов сеансов и протестируя, что пользователи могут обновлять и подключаться к удаленным ресурсам.

Проверка состояния подключения для каждой частной конечной точки

Чтобы проверить состояние подключения каждой частной конечной точки, выберите соответствующую вкладку для сценария и выполните действия. Эти действия следует повторить для каждой рабочей области и пула узлов, которые вы используете с Приватный канал.

Рабочие области

  1. В обзоре виртуального рабочего стола Azure выберите рабочие области, а затем выберите имя рабочей области, для которой требуется проверить состояние подключения.

  2. В обзоре рабочей области выберите "Сеть", а затем подключения к частной конечной точке.

  3. Для указанной частной конечной точки проверьте состояние подключения утверждено.

Пулы узлов

  1. В обзоре виртуального рабочего стола Azure выберите пулы узлов, а затем выберите имя пула узлов, для которого требуется проверить состояние подключения.

  2. В обзоре пула узлов выберите "Сеть", а затем подключения к частной конечной точке.

  3. Для указанной частной конечной точки проверьте состояние подключения утверждено.

Проверка состояния узлов сеансов

  1. Проверьте состояние узлов сеансов в Виртуальном рабочем столе Azure.

    1. В обзоре виртуального рабочего стола Azure выберите пулы узлов, а затем выберите имя пула узлов.

    2. В разделе "Управление" выберите узлы сеансов.

    3. Просмотрите список узлов сеансов и проверьте их состояние " Доступно".

Проверка возможности подключения пользователей

Чтобы проверить, что пользователи могут подключаться к своим удаленным ресурсам, выполните следующие действия.

  1. Используйте клиент удаленного рабочего стола и убедитесь, что вы можете подписаться на рабочие области и обновить их.

  2. Наконец, убедитесь, что пользователи могут подключаться к удаленному сеансу.

Следующие шаги