Konfigurowanie Private Link za pomocą Azure Virtual Desktop

W tym artykule pokazano, jak skonfigurować Private Link za pomocą Azure Virtual Desktop w celu prywatnego nawiązywania połączenia z zasobami zdalnymi. Aby uzyskać więcej informacji na temat używania Private Link z usługą Azure Virtual Desktop, w tym ograniczeń, zobacz Azure Private Link z usługą Azure Virtual Desktop.

Wymagania wstępne

Aby korzystać z Private Link z usługą Azure Virtual Desktop, potrzebne są następujące elementy:

Istniejąca pula hostów z hostami sesji , grupą aplikacji i obszarem roboczym.
Istniejąca sieć wirtualna i podsieć , których chcesz użyć dla prywatnych punktów końcowych.
Wymagane Azure uprawnienia kontroli dostępu na podstawie ról do tworzenia prywatnych punktów końcowych.
Obsługiwana aplikacja na urządzeniu lokalnym umożliwiająca dostęp do sesji zdalnej:
- Aplikacja pulpitu zdalnego na dowolnej platformie. Jeśli używasz klienta pulpitu zdalnego dla systemu Windows, musisz użyć wersji 1.2.4066 lub nowszej, aby nawiązać połączenie przy użyciu prywatnego punktu końcowego.
- Windows App w systemie macOS lub iOS/iPadOS.
Jeśli chcesz używać interfejsu wiersza polecenia Azure lub Azure PowerShell lokalnie, zobacz Używanie interfejsu wiersza polecenia Azure i Azure PowerShell z programem Azure Virtual Desktop, aby upewnić się, że masz zainstalowane rozszerzenie interfejsu wiersza polecenia Azure pulpitu lub moduł Az.DesktopVirtualization programu PowerShell. Alternatywnie użyj Azure Cloud Shell.
Azure PowerShell polecenia cmdlet dla Azure Virtual Desktop obsługujące Private Link są dostępne w wersji zapoznawczej. Aby użyć tych poleceń cmdlet, które zostały dodane w wersji 5.0.0, należy pobrać i zainstalować wersję zapoznawczą modułu Az.DesktopVirtualization .

Włączanie Private Link za pomocą Azure Virtual Desktop w subskrypcji

Aby używać Private Link z usługą Azure Virtual Desktop, należy ponownie zarejestrować dostawcę zasobów Microsoft.DesktopVirtualization w każdej subskrypcji, której chcesz użyć Private Link w programie Azure Virtual Desktop.

Wybierz odpowiednią kartę dla danego scenariusza.

Azure
Azure US Gov i 21Vianet

Ponowne rejestrowanie dostawcy zasobów usługi Azure Virtual Desktop

Przed użyciem Private Link z usługą Azure Virtual Desktop należy ponownie zarejestrować dostawcę zasobów Microsoft.DesktopVirtualization. Należy to zrobić dla każdej subskrypcji, której chcesz użyć do Private Link z usługą Azure Virtual Desktop:

Zaloguj się do witryny Azure Portal.
Na pasku wyszukiwania wprowadź pozycję Subskrypcje i wybierz odpowiedni wpis usługi.
Wybierz nazwę subskrypcji, a następnie w sekcji Ustawienia wybierz pozycję Dostawcy zasobów.
Wyszukaj i wybierz pozycję Microsoft.DesktopWirtualizacja, a następnie wybierz pozycję Zarejestruj ponownie.
Sprawdź, czy stan microsoft.desktopVirtualization jest zarejestrowany.

Tworzenie prywatnych punktów końcowych

Podczas procesu konfiguracji należy utworzyć prywatne punkty końcowe dla następujących zasobów, w zależności od scenariusza.

Wszystkie części połączenia — początkowe odnajdywanie kanałów informacyjnych, pobieranie kanałów informacyjnych i połączenia sesji zdalnej dla klientów i hostów sesji — używają tras prywatnych. Potrzebne są następujące prywatne punkty końcowe:

Celu	Typ zasobu	Docelowy zasób podrzędny	Ilość punktów końcowych
Połączenia z pulami hostów	Microsoft.DesktopVirtualization/hostpools	Połączenia	Jeden na pulę hostów
Pobieranie kanału informacyjnego	Microsoft.DesktopWirtualizacja/obszary robocze	Paszy	Jeden na obszar roboczy
Początkowe odnajdywanie kanału informacyjnego	Microsoft.DesktopWirtualizacja/obszary robocze	Globalne	Tylko jeden dla wszystkich wdrożeń usługi Azure Virtual Desktop

Połączenia pobierania kanału informacyjnego i sesji zdalnej dla klientów i hostów sesji używają tras prywatnych, ale początkowe odnajdywanie kanałów informacyjnych używa tras publicznych. Potrzebne są następujące prywatne punkty końcowe. Punkt końcowy początkowego odnajdywania kanału informacyjnego nie jest wymagany.

Celu	Typ zasobu	Docelowy zasób podrzędny	Ilość punktów końcowych
Połączenia z pulami hostów	Microsoft.DesktopVirtualization/hostpools	Połączenia	Jeden na pulę hostów
Pobieranie kanału informacyjnego	Microsoft.DesktopWirtualizacja/obszary robocze	Paszy	Jeden na obszar roboczy

Tylko połączenia sesji zdalnej dla klientów i hostów sesji używają tras prywatnych, ale początkowe odnajdywanie kanału informacyjnego i pobieranie kanału informacyjnego używają tras publicznych. Potrzebne są następujące prywatne punkty końcowe. Punkty końcowe do obszarów roboczych nie są wymagane.

Celu Typ zasobu Docelowy zasób podrzędny Ilość punktów końcowych

Połączenia z pulami hostów Microsoft.DesktopVirtualization/hostpools Połączenia Jeden na pulę hostów
Zarówno klienci, jak i maszyny wirtualne hosta sesji używają tras publicznych. Private Link nie jest używana w tym scenariuszu.

Ważna

Jeśli tworzysz prywatny punkt końcowy na potrzeby początkowego odnajdywania kanału informacyjnego, obszar roboczy używany dla globalnego zasobu podrzędnego zarządza udostępnioną w pełni kwalifikowaną nazwą domeny (FQDN), ułatwiając początkowe odnajdywanie kanałów informacyjnych we wszystkich obszarach roboczych. Należy utworzyć oddzielny obszar roboczy, który jest używany tylko do tego celu i nie ma żadnych grup aplikacji zarejestrowanych w nim. Usunięcie tego obszaru roboczego spowoduje, że wszystkie procesy odnajdywania kanału informacyjnego przestaną działać.
Nie można kontrolować dostępu do obszaru roboczego używanego do początkowego odnajdywania źródła danych (globalnego zasobu podrzędnego). Jeśli skonfigurujesz ten obszar roboczy tak, aby zezwalał tylko na dostęp prywatny, to ustawienie jest ignorowane. Ten obszar roboczy jest zawsze dostępny z tras publicznych.
Alokacje adresów IP mogą ulec zmianie w miarę wzrostu zapotrzebowania na adresy IP. Podczas rozszerzania pojemności potrzebne są dodatkowe adresy dla prywatnych punktów końcowych. Ważne jest, aby wziąć pod uwagę potencjalne wyczerpanie przestrzeni adresowej i zapewnić wystarczającą ilość miejsca na rozwój. Aby uzyskać więcej informacji na temat określania odpowiedniej konfiguracji sieci dla prywatnych punktów końcowych w topologii koncentratora lub szprychy, zobacz Drzewo decyzyjne dotyczące wdrażania Private Link.

Połączenia z pulami hostów

Aby utworzyć prywatny punkt końcowy dla podsieci połączenia dla połączeń z pulą hostów, wybierz odpowiednią kartę dla danego scenariusza i wykonaj kroki.

Poniżej przedstawiono sposób tworzenia prywatnego punktu końcowego dla podsieci połączenia dla połączeń z pulą hostów przy użyciu Azure Portal.

Zaloguj się do witryny Azure Portal.
Na pasku wyszukiwania wpisz Azure Virtual Desktop i wybierz odpowiedni wpis usługi, aby przejść do przeglądu usługi Azure Virtual Desktop.
Wybierz pozycję Pule hostów, a następnie wybierz nazwę puli hostów, dla której chcesz utworzyć zasób podrzędny połączenia .
W przeglądzie puli hostów wybierz pozycję Sieć, połączenia prywatnego punktu końcowego i na koniec Nowy prywatny punkt końcowy.

Na karcie Podstawy wypełnij następujące informacje:

Parametr	Wartość/opis
Subskrypcja	Wybierz subskrypcję, w ramach którą chcesz utworzyć prywatny punkt końcowy z listy rozwijanej.
Grupa zasobów	Spowoduje to automatyczne ustawienie domyślne tej samej grupy zasobów co obszar roboczy prywatnego punktu końcowego, ale możesz również wybrać alternatywną istniejącą grupę z listy rozwijanej lub utworzyć nową.
Name (Nazwa)	Wprowadź nazwę nowego prywatnego punktu końcowego.
Nazwa interfejsu sieciowego	Nazwa interfejsu sieciowego jest wypełniana automatycznie na podstawie nazwy nadanej prywatnemu punktowi końcowi, ale można również określić inną nazwę.
Region	Spowoduje to automatyczne ustawienie domyślne tego samego regionu Azure co obszar roboczy i miejsce wdrożenia prywatnego punktu końcowego. Musi to być ten sam region co sieć wirtualna i hosty sesji.

Po zakończeniu tej karty wybierz pozycję Dalej: Zasób.

Na karcie Zasób zweryfikuj wartości subskrypcji, typu zasobu i zasobu, a następnie w obszarze Docelowy zasób podrzędny wybierz pozycję połączenie. Po zakończeniu tej karty wybierz pozycję Dalej: Virtual Network.

Na karcie Virtual Network wypełnij następujące informacje:

Parametr	Wartość/opis
Sieć wirtualna	Wybierz sieć wirtualną, w ramach którą chcesz utworzyć prywatny punkt końcowy z listy rozwijanej.
Podsieci	Wybierz podsieć sieci wirtualnej, w ramach którą chcesz utworzyć prywatny punkt końcowy z listy rozwijanej.
Zasady sieci dla prywatnych punktów końcowych	Wybierz pozycję Edytuj , jeśli chcesz wybrać zasady sieci podsieci. Aby uzyskać więcej informacji, zobacz Zarządzanie zasadami sieciowymi dla prywatnych punktów końcowych.
Konfiguracja prywatnego adresu IP	Wybierz pozycję Dynamiczne przydzielanie adresu IP lub Statyczne przydzielanie adresu IP. Przestrzeń adresowa pochodzi z wybranej podsieci. Jeśli zdecydujesz się statycznie przydzielać adresy IP, musisz wypełnić pola Nazwa i Prywatny adres IP dla każdego wymienionego elementu członkowskiego.
Grupa zabezpieczeń aplikacji	Opcjonalnie: wybierz istniejącą grupę zabezpieczeń aplikacji dla prywatnego punktu końcowego z listy rozwijanej lub utwórz nową. Możesz również dodać jeden później.

Po zakończeniu tej karty wybierz pozycję Dalej: DNS.

Na karcie DNS wybierz, czy chcesz użyć strefy Azure Prywatna strefa DNS, wybierając pozycję Tak lub Nie dla pozycji Integracja z prywatną strefą DNS. Jeśli wybierzesz pozycję Tak, wybierz subskrypcję i grupę zasobów, w których ma zostać utworzona prywatna strefa privatelink.wvd.microsoft.comDNS. Aby uzyskać więcej informacji, zobacz Azure Konfiguracja DNS prywatnego punktu końcowego.

Po zakończeniu tej karty wybierz pozycję Dalej: Tagi.
Opcjonalnie: na karcie Tagi możesz wprowadzić dowolne potrzebne pary nazw/wartości , a następnie wybrać pozycję Dalej: Przejrzyj i utwórz.
Na karcie Przeglądanie i tworzenie upewnij się, że weryfikacja przebiegła pomyślnie, i przejrzyj informacje używane podczas wdrażania.
Wybierz pozycję Utwórz , aby utworzyć prywatny punkt końcowy dla podsieci połączenia.

Poniżej przedstawiono sposób tworzenia prywatnego punktu końcowego dla zasobu podrzędnego połączenia używanego do połączeń z pulą hostów przy użyciu modułów Az.Network i Az.DesktopVirtualization programu PowerShell. Pamiętaj, aby zmienić <placeholder> własne wartości.

Otwórz Azure Cloud Shell w Azure Portal z typem terminalu programu PowerShell lub uruchom program PowerShell na urządzeniu lokalnym.
- Jeśli używasz Cloud Shell, upewnij się, że kontekst Azure jest ustawiony na subskrypcję, której chcesz użyć.
- Jeśli używasz programu PowerShell lokalnie, najpierw zaloguj się przy użyciu Azure PowerShell, a następnie upewnij się, że kontekst Azure jest ustawiony na subskrypcję, której chcesz użyć.

Pobierz szczegóły sieci wirtualnej i podsieci, których chcesz użyć dla prywatnego punktu końcowego, i zapisz je w zmiennej, uruchamiając następujące polecenia:

# Get the subnet details for the virtual network
$subnet = (Get-AzVirtualNetwork -Name <VNetName> -ResourceGroupName <ResourceGroupName>).Subnets | ? Name -eq <SubnetName>

Utwórz połączenie usługi Private Link dla puli hostów z zasobem podrzędnym połączenia, uruchamiając następujące polecenia.

# Get the resource ID of the host pool
$hostPoolId = (Get-AzWvdHostPool -Name <HostPoolName> -ResourceGroupName <ResourceGroupName>).Id

# Create the service connection
$parameters = @{
    Name = '<ServiceConnectionName>'
    PrivateLinkServiceId = $hostPoolId
    GroupId = 'connection'
}

$serviceConnection = New-AzPrivateLinkServiceConnection @parameters

Na koniec utwórz prywatny punkt końcowy, uruchamiając polecenia w jednym z poniższych przykładów.

Aby utworzyć prywatny punkt końcowy z dynamicznie przydzielonym adresem IP:

# Specify the Azure region. This must be the same region as your virtual network and session hosts.
$location = '<Location>'

# Create the private endpoint
$parameters = @{
    Name = '<PrivateEndpointName>'
    ResourceGroupName = '<ResourceGroupName>'
    Location = $location
    Subnet = $subnet
    PrivateLinkServiceConnection = $serviceConnection
}

New-AzPrivateEndpoint @parameters

Aby utworzyć prywatny punkt końcowy ze statycznie przydzielonymi adresami IP:

# Specify the Azure region. This must be the same region as your virtual network and session hosts.
$location = '<Location>'

# Create a hash table for each private endpoint IP configuration
$ip1 = @{
    Name = 'ipconfig1'
    GroupId = 'connection'
    MemberName = 'broker'
    PrivateIPAddress = '<IPAddress>'
}

$ip2 = @{
    Name = 'ipconfig2'
    GroupId = 'connection'
    MemberName = 'diagnostics'
    PrivateIPAddress = '<IPAddress>'
}

$ip3 = @{
    Name = 'ipconfig3'
    GroupId = 'connection'
    MemberName = 'gateway-ring-map'
    PrivateIPAddress = '<IPAddress>'
}

$ip4 = @{
    Name = 'ipconfig4'
    GroupId = 'connection'
    MemberName = 'web'
    PrivateIPAddress = '<IPAddress>'
}

# Create the private endpoint IP configurations
$ipConfig1 = New-AzPrivateEndpointIpConfiguration @ip1
$ipConfig2 = New-AzPrivateEndpointIpConfiguration @ip2
$ipConfig3 = New-AzPrivateEndpointIpConfiguration @ip3
$ipConfig4 = New-AzPrivateEndpointIpConfiguration @ip4

# Create the private endpoint
$parameters = @{
    Name = '<PrivateEndpointName>'
    ResourceGroupName = '<ResourceGroupName>'
    Location = $location
    Subnet = $subnet
    PrivateLinkServiceConnection = $serviceConnection
    IpConfiguration = $ipConfig1, $ipConfig2, $ipConfig3, $ipConfig4
}

New-AzPrivateEndpoint @parameters

Dane wyjściowe powinny być podobne do następujących danych wyjściowych. Sprawdź, czy wartość provisioningState ma wartość Powodzenie.

ResourceGroupName Name            Location ProvisioningState Subnet
----------------- ----            -------- ----------------- ------
privatelink       endpoint-hp01   uksouth  Succeeded

Musisz skonfigurować usługę DNS dla prywatnego punktu końcowego , aby rozpoznać nazwę DNS prywatnego punktu końcowego w sieci wirtualnej. Nazwa prywatnej strefy DNS to privatelink.wvd.microsoft.com. Aby uzyskać instrukcje tworzenia i konfigurowania prywatnej strefy DNS przy użyciu Azure PowerShell, zobacz Konfigurowanie prywatnej strefy DNS.

Poniżej przedstawiono sposób tworzenia prywatnego punktu końcowego dla podsieci połączenia używanego do nawiązywania połączeń z pulą hostów przy użyciu rozszerzeń sieci i pulpituwirtualizacji dla interfejsu wiersza polecenia Azure.

Ważna

W poniższych przykładach musisz zmienić <placeholder> własne wartości.

Otwórz Azure Cloud Shell w Azure Portal z typem terminalu powłoki Bash lub uruchom interfejs wiersza polecenia Azure na urządzeniu lokalnym.
- Jeśli używasz Cloud Shell, upewnij się, że kontekst Azure jest ustawiony na subskrypcję, której chcesz użyć.
- Jeśli używasz interfejsu wiersza polecenia Azure lokalnie, najpierw zaloguj się przy użyciu interfejsu wiersza polecenia Azure, a następnie upewnij się, że kontekst Azure jest ustawiony na subskrypcję, której chcesz użyć.

Utwórz połączenie usługi Private Link i prywatny punkt końcowy dla puli hostów z zasobem podrzędnym połączenia, uruchamiając polecenia w jednym z poniższych przykładów.

Aby utworzyć prywatny punkt końcowy z dynamicznie przydzielonym adresem IP:

# Specify the Azure region. This must be the same region as your virtual network and session hosts.
location=<Location>

# Get the resource ID of the host pool
hostPoolId=$(az desktopvirtualization hostpool show \
    --name <HostPoolName> \
    --resource-group <ResourceGroupName> \
    --query [id] \
    --output tsv)

# Create a service connection and the private endpoint
az network private-endpoint create \
    --name <PrivateEndpointName> \
    --resource-group <ResourceGroupName> \
    --location $location \
    --vnet-name <VNetName> \
    --subnet <SubnetName> \
    --connection-name <ConnectionName> \
    --private-connection-resource-id $hostPoolId \
    --group-id connection \
    --output table

Aby utworzyć prywatny punkt końcowy ze statycznie przydzielonymi adresami IP:

# Specify the Azure region. This must be the same region as your virtual network and session hosts.
location=<Location>

# Get the resource ID of the host pool
hostPoolId=$(az desktopvirtualization hostpool show \
    --name <HostPoolName> \
    --resource-group <ResourceGroupName> \
    --query [id] \
    --output tsv)

# Store each private endpoint IP configuration in a variable
ip1={name:ipconfig1,group-id:connection,member-name:broker,private-ip-address:<IPAddress>}
ip2={name:ipconfig2,group-id:connection,member-name:diagnostics,private-ip-address:<IPAddress>}
ip3={name:ipconfig3,group-id:connection,member-name:gateway-ring-map,private-ip-address:<IPAddress>}
ip4={name:ipconfig4,group-id:connection,member-name:web,private-ip-address:<IPAddress>}

# Create a service connection and the private endpoint
az network private-endpoint create \
    --name <PrivateEndpointName> \
    --resource-group <ResourceGroupName> \
    --location $location \
    --vnet-name <VNetName> \
    --subnet <SubnetName> \
    --connection-name <ConnectionName> \
    --private-connection-resource-id $hostPoolId \
    --group-id connection \
    --ip-configs [$ip1,$ip2,$ip3,$ip4] \
    --output table

Dane wyjściowe powinny być podobne do następujących danych wyjściowych. Sprawdź, czy wartość provisioningState ma wartość Powodzenie.

CustomNetworkInterfaceName    Location    Name                  ProvisioningState    ResourceGroup
----------------------------  ----------  --------------------  -------------------  ---------------
                              uksouth     endpoint-hp01         Succeeded            privatelink

Musisz skonfigurować usługę DNS dla prywatnego punktu końcowego , aby rozpoznać nazwę DNS prywatnego punktu końcowego w sieci wirtualnej. Nazwa prywatnej strefy DNS to privatelink.wvd.microsoft.com. Aby uzyskać instrukcje tworzenia i konfigurowania prywatnej strefy DNS za pomocą interfejsu wiersza polecenia Azure, zobacz Konfigurowanie prywatnej strefy DNS.

Ważna

Musisz utworzyć prywatny punkt końcowy dla podsieci połączenia dla każdej puli hostów, której chcesz użyć z Private Link.

Pobieranie kanału informacyjnego

Aby utworzyć prywatny punkt końcowy dla zasobu podrzędnego źródła danych dla obszaru roboczego, wybierz odpowiednią kartę dla danego scenariusza i wykonaj kroki.

Z Azure Omówienie usługi Virtual Desktop wybierz pozycję Obszary robocze, a następnie wybierz nazwę obszaru roboczego, dla którego chcesz utworzyć zasób podrzędny kanału informacyjnego.
W przeglądzie obszaru roboczego wybierz pozycję Sieć, połączenia prywatnego punktu końcowego i na koniec Nowy prywatny punkt końcowy.

Na karcie Podstawy wypełnij następujące informacje:

Parametr	Wartość/opis
Subskrypcja	Wybierz subskrypcję, w ramach którą chcesz utworzyć prywatny punkt końcowy z listy rozwijanej.
Grupa zasobów	Spowoduje to automatyczne ustawienie domyślne tej samej grupy zasobów co obszar roboczy prywatnego punktu końcowego, ale możesz również wybrać alternatywną istniejącą grupę z listy rozwijanej lub utworzyć nową.
Name (Nazwa)	Wprowadź nazwę nowego prywatnego punktu końcowego.
Nazwa interfejsu sieciowego	Nazwa interfejsu sieciowego jest wypełniana automatycznie na podstawie nazwy nadanej prywatnemu punktowi końcowi, ale można również określić inną nazwę.
Region	Spowoduje to automatyczne ustawienie domyślne tego samego regionu Azure co obszar roboczy i miejsce wdrożenia prywatnego punktu końcowego. Musi to być ten sam region co sieć wirtualna.

Po zakończeniu tej karty wybierz pozycję Dalej: Zasób.

Na karcie Zasób zweryfikuj wartości subskrypcji, typu zasobu i zasobu, a następnie w obszarze Docelowy zasób podrzędny wybierz pozycję Źródło danych. Po zakończeniu tej karty wybierz pozycję Dalej: Virtual Network.

Na karcie Virtual Network wypełnij następujące informacje:

Parametr	Wartość/opis
Sieć wirtualna	Wybierz sieć wirtualną, w ramach którą chcesz utworzyć prywatny punkt końcowy z listy rozwijanej.
Podsieci	Wybierz podsieć sieci wirtualnej, w ramach którą chcesz utworzyć prywatny punkt końcowy z listy rozwijanej.
Zasady sieci dla prywatnych punktów końcowych	Wybierz pozycję Edytuj , jeśli chcesz wybrać zasady sieci podsieci. Aby uzyskać więcej informacji, zobacz Zarządzanie zasadami sieciowymi dla prywatnych punktów końcowych.
Konfiguracja prywatnego adresu IP	Wybierz pozycję Dynamiczne przydzielanie adresu IP lub Statyczne przydzielanie adresu IP. Przestrzeń adresowa pochodzi z wybranej podsieci. Jeśli zdecydujesz się statycznie przydzielać adresy IP, musisz wypełnić pola Nazwa i Prywatny adres IP dla każdego wymienionego elementu członkowskiego.
Grupa zabezpieczeń aplikacji	Opcjonalnie: wybierz istniejącą grupę zabezpieczeń aplikacji dla prywatnego punktu końcowego z listy rozwijanej lub utwórz nową. Możesz również dodać jeden później.

Po zakończeniu tej karty wybierz pozycję Dalej: DNS.

Na karcie DNS wybierz, czy chcesz użyć strefy Azure Prywatna strefa DNS, wybierając pozycję Tak lub Nie dla pozycji Integracja z prywatną strefą DNS. Jeśli wybierzesz pozycję Tak, wybierz subskrypcję i grupę zasobów, w których ma zostać utworzona prywatna strefa privatelink.wvd.microsoft.comDNS. Aby uzyskać więcej informacji, zobacz Azure Konfiguracja DNS prywatnego punktu końcowego.

Po zakończeniu tej karty wybierz pozycję Dalej: Tagi.
Opcjonalnie: na karcie Tagi możesz wprowadzić dowolne potrzebne pary nazw/wartości , a następnie wybrać pozycję Dalej: Przejrzyj i utwórz.
Na karcie Przeglądanie i tworzenie upewnij się, że weryfikacja przebiegła pomyślnie, i przejrzyj informacje używane podczas wdrażania.
Wybierz pozycję Utwórz , aby utworzyć prywatny punkt końcowy dla zasobu podrzędnego źródła danych.

W tej samej sesji programu PowerShell utwórz połączenie usługi Private Link dla obszaru roboczego z zasobem podrzędnym źródła danych, uruchamiając następujące polecenia. W tych przykładach używana jest ta sama sieć wirtualna i podsieć.

# Get the resource ID of the workspace
$workspaceId = (Get-AzWvdWorkspace -Name <WorkspaceName> -ResourceGroupName <ResourceGroupName>).Id

# Create the service connection
$parameters = @{
    Name = '<ServiceConnectionName>'
    PrivateLinkServiceId = $workspaceId
    GroupId = 'feed'
}

$serviceConnection = New-AzPrivateLinkServiceConnection @parameters

Na koniec utwórz prywatny punkt końcowy, uruchamiając polecenia w jednym z poniższych przykładów.

Aby utworzyć prywatny punkt końcowy z dynamicznie przydzielonym adresem IP:

# Specify the Azure region. This must be the same region as your virtual network.
$location = '<Location>'

# Create the private endpoint
$parameters = @{
    Name = '<PrivateEndpointName>'
    ResourceGroupName = '<ResourceGroupName>'
    Location = $location
    Subnet = $subnet
    PrivateLinkServiceConnection = $serviceConnection
}

New-AzPrivateEndpoint @parameters

Aby utworzyć prywatny punkt końcowy ze statycznie przydzielonym adresem IP:

# Specify the Azure region. This must be the same region as your virtual network.
$location = '<Location>'

# Create a hash table for each private endpoint IP configuration
$ip1 = @{
    Name = 'ipconfig1'
    GroupId = 'feed'
    MemberName = 'web-r1'
    PrivateIPAddress = '<IPAddress>'
}

$ip2 = @{
    Name = 'ipconfig2'
    GroupId = 'feed'
    MemberName = 'web-r0'
    PrivateIPAddress = '<IPAddress>'
}

# Create the private endpoint IP configurations
$ipConfig1 = New-AzPrivateEndpointIpConfiguration @ip1
$ipConfig2 = New-AzPrivateEndpointIpConfiguration @ip2

# Create the private endpoint
$parameters = @{
    Name = '<PrivateEndpointName>'
    ResourceGroupName = '<ResourceGroupName>'
    Location = $location
    Subnet = $subnet
    PrivateLinkServiceConnection = $serviceConnection
    IpConfiguration = $ipConfig1, $ipConfig2
}

New-AzPrivateEndpoint @parameters

Dane wyjściowe powinny być podobne do następujących. Sprawdź, czy wartość provisioningState ma wartość Powodzenie.

ResourceGroupName Name            Location ProvisioningState Subnet
----------------- ----            -------- ----------------- ------
privatelink       endpoint-ws01   uksouth  Succeeded

Musisz skonfigurować usługę DNS dla prywatnego punktu końcowego , aby rozpoznać nazwę DNS prywatnego punktu końcowego w sieci wirtualnej. Nazwa prywatnej strefy DNS to privatelink.wvd.microsoft.com. Aby uzyskać instrukcje tworzenia i konfigurowania prywatnej strefy DNS przy użyciu Azure PowerShell, zobacz Konfigurowanie prywatnej strefy DNS.

W tej samej sesji interfejsu wiersza polecenia utwórz połączenie usługi Private Link i prywatny punkt końcowy dla obszaru roboczego z zasobem podrzędnym kanału informacyjnego, uruchamiając następujące polecenia.

Aby utworzyć prywatny punkt końcowy z dynamicznie przydzielonym adresem IP:

# Specify the Azure region. This must be the same region as your virtual network.
location=<Location>

# Get the resource ID of the workspace
workspaceId=$(az desktopvirtualization workspace show \
    --name <WorkspaceName> \
    --resource-group <ResourceGroupName> \
    --query [id] \
    --output tsv)

# Create a service connection and the private endpoint
az network private-endpoint create \
    --name <PrivateEndpointName> \
    --resource-group <ResourceGroupName> \
    --location $location \
    --vnet-name <VNetName> \
    --subnet <SubnetName> \
    --connection-name <ConnectionName> \
    --private-connection-resource-id $workspaceId \
    --group-id feed \
    --output table

Aby utworzyć prywatny punkt końcowy ze statycznie przydzielonymi adresami IP:

# Specify the Azure region. This must be the same region as your virtual network.
location=<Location>

# Get the resource ID of the workspace
workspaceId=$(az desktopvirtualization workspace show \
    --name <WorkspaceName> \
    --resource-group <ResourceGroupName> \
    --query [id] \
    --output tsv)

# Store each private endpoint IP configuration in a variable
ip1={name:ipconfig1,group-id:feed,member-name:web-r1,private-ip-address:<IPAddress>}
ip2={name:ipconfig2,group-id:feed,member-name:web-r0,private-ip-address:<IPAddress>}

# Create a service connection and the private endpoint
az network private-endpoint create \
    --name <PrivateEndpointName> \
    --resource-group <ResourceGroupName> \
    --location $location \
    --vnet-name <VNetName> \
    --subnet <SubnetName> \
    --connection-name <ConnectionName> \
    --private-connection-resource-id $workspaceId \
    --group-id feed \
    --ip-configs [$ip1,$ip2] \
    --output table

Dane wyjściowe powinny być podobne do następujących. Sprawdź, czy wartość provisioningState ma wartość Powodzenie.

CustomNetworkInterfaceName    Location    Name                  ProvisioningState    ResourceGroup
----------------------------  ----------  --------------------  -------------------  ---------------
                              uksouth     endpoint-ws01         Succeeded            privatelink

Musisz skonfigurować usługę DNS dla prywatnego punktu końcowego , aby rozpoznać nazwę DNS prywatnego punktu końcowego w sieci wirtualnej. Nazwa prywatnej strefy DNS to privatelink.wvd.microsoft.com. Aby uzyskać instrukcje tworzenia i konfigurowania prywatnej strefy DNS za pomocą interfejsu wiersza polecenia Azure, zobacz Konfigurowanie prywatnej strefy DNS.

Ważna

Musisz utworzyć prywatny punkt końcowy dla zasobu podrzędnego kanału informacyjnego dla każdego obszaru roboczego, którego chcesz użyć z Private Link.

Początkowe odnajdywanie kanału informacyjnego

Aby utworzyć prywatny punkt końcowy dla globalnego zasobu podrzędnego używanego do początkowego odnajdywania kanału informacyjnego, wybierz odpowiednią kartę dla danego scenariusza i wykonaj kroki.

Ważna

Utwórz tylko jeden prywatny punkt końcowy dla globalnego zasobu podrzędnego dla wszystkich wdrożeń usługi Azure Virtual Desktop.
Prywatny punkt końcowy globalnego zasobu podrzędnego dowolnego obszaru roboczego kontroluje udostępnioną w pełni kwalifikowaną nazwę domeny (FQDN) na potrzeby początkowego odnajdywania kanału informacyjnego. To z kolei umożliwia odnajdywanie kanałów informacyjnych dla wszystkich obszarów roboczych. Ponieważ obszar roboczy połączony z prywatnym punktem końcowym jest tak ważny, usunięcie go spowoduje, że wszystkie procesy odnajdywania kanału informacyjnego przestaną działać. Zalecamy utworzenie nieużywanego zastępczego obszaru roboczego dla globalnego zasobu podrzędnego.

Z Azure Omówienie pulpitu wirtualnego wybierz pozycję Obszary robocze, a następnie wybierz nazwę obszaru roboczego, którego chcesz użyć dla globalnego zasobu podrzędnego.
1. Opcjonalnie: Zamiast tego utwórz zastępczy obszar roboczy, aby zakończyć globalny punkt końcowy, postępjąc zgodnie z instrukcjami dotyczącymi tworzenia obszaru roboczego.
W przeglądzie obszaru roboczego wybierz pozycję Sieć, połączenia prywatnego punktu końcowego i na koniec Nowy prywatny punkt końcowy.

Na karcie Podstawy wypełnij następujące informacje:

Parametr	Wartość/opis
Subskrypcja	Wybierz subskrypcję, w ramach którą chcesz utworzyć prywatny punkt końcowy z listy rozwijanej.
Grupa zasobów	Spowoduje to automatyczne ustawienie domyślne tej samej grupy zasobów co obszar roboczy prywatnego punktu końcowego, ale możesz również wybrać alternatywną istniejącą grupę z listy rozwijanej lub utworzyć nową.
Name (Nazwa)	Wprowadź nazwę nowego prywatnego punktu końcowego.
Nazwa interfejsu sieciowego	Nazwa interfejsu sieciowego jest wypełniana automatycznie na podstawie nazwy nadanej prywatnemu punktowi końcowi, ale można również określić inną nazwę.
Region	Spowoduje to automatyczne ustawienie domyślne tego samego regionu Azure co obszar roboczy i miejsce, w którym zostanie wdrożony prywatny punkt końcowy. Musi to być ten sam region co sieć wirtualna.

Po zakończeniu tej karty wybierz pozycję Dalej: Zasób.

Na karcie Zasób zweryfikuj wartości subskrypcji, typu zasobu i zasobu, a następnie w obszarze Docelowy zasób podrzędny wybierz pozycję globalne. Po zakończeniu tej karty wybierz pozycję Dalej: Virtual Network.

Na karcie Virtual Network wypełnij następujące informacje:

Parametr	Wartość/opis
Sieć wirtualna	Wybierz sieć wirtualną, w ramach którą chcesz utworzyć prywatny punkt końcowy z listy rozwijanej.
Podsieci	Wybierz podsieć sieci wirtualnej, w ramach którą chcesz utworzyć prywatny punkt końcowy z listy rozwijanej.
Zasady sieci dla prywatnych punktów końcowych	Wybierz pozycję Edytuj , jeśli chcesz wybrać zasady sieci podsieci. Aby uzyskać więcej informacji, zobacz Zarządzanie zasadami sieciowymi dla prywatnych punktów końcowych.
Konfiguracja prywatnego adresu IP	Wybierz pozycję Dynamiczne przydzielanie adresu IP lub Statyczne przydzielanie adresu IP. Przestrzeń adresowa pochodzi z wybranej podsieci. Jeśli zdecydujesz się statycznie przydzielać adresy IP, musisz wypełnić pola Nazwa i Prywatny adres IP dla każdego wymienionego elementu członkowskiego.
Grupa zabezpieczeń aplikacji	Opcjonalnie: wybierz istniejącą grupę zabezpieczeń aplikacji dla prywatnego punktu końcowego z listy rozwijanej lub utwórz nową. Możesz również dodać jeden później.

Po zakończeniu tej karty wybierz pozycję Dalej: DNS.

Na karcie DNS wybierz, czy chcesz użyć strefy Azure Prywatna strefa DNS, wybierając pozycję Tak lub Nie dla pozycji Integracja z prywatną strefą DNS. Jeśli wybierzesz pozycję Tak, wybierz subskrypcję i grupę zasobów, w których ma zostać utworzona prywatna strefa privatelink-global.wvd.microsoft.comDNS. Aby uzyskać więcej informacji, zobacz Azure Konfiguracja DNS prywatnego punktu końcowego.

Po zakończeniu tej karty wybierz pozycję Dalej: Tagi.
Opcjonalnie: na karcie Tagi możesz wprowadzić dowolne potrzebne pary nazw/wartości , a następnie wybrać pozycję Dalej: Przejrzyj i utwórz.
Na karcie Przeglądanie i tworzenie upewnij się, że weryfikacja przebiegła pomyślnie, i przejrzyj informacje używane podczas wdrażania.
Wybierz pozycję Utwórz , aby utworzyć prywatny punkt końcowy dla globalnego zasobu podrzędnego.

Opcjonalnie: utwórz obszar roboczy symbolu zastępczego, aby zakończyć globalny punkt końcowy, postępjąc zgodnie z instrukcjami dotyczącymi tworzenia obszaru roboczego.

W tej samej sesji programu PowerShell utwórz połączenie usługi Private Link dla obszaru roboczego z globalnym zasobem podrzędnym, uruchamiając następujące polecenia. W tych przykładach używana jest ta sama sieć wirtualna i podsieć.

# Get the resource ID of the workspace
$workspaceId = (Get-AzWvdWorkspace -Name <WorkspaceName> -ResourceGroupName <ResourceGroupName>).Id

# Create the service connection
$parameters = @{
    Name = '<ServiceConnectionName>'
    PrivateLinkServiceId = $workspaceId
    GroupId = 'global'
}

$serviceConnection = New-AzPrivateLinkServiceConnection @parameters

Na koniec utwórz prywatny punkt końcowy, uruchamiając polecenia w jednym z poniższych przykładów.

Aby utworzyć prywatny punkt końcowy z dynamicznie przydzielonym adresem IP:

# Specify the Azure region. This must be the same region as your virtual network.
$location = '<Location>'

# Create the private endpoint
$parameters = @{
    Name = '<PrivateEndpointName>'
    ResourceGroupName = '<ResourceGroupName>'
    Location = $location
    Subnet = $subnet
    PrivateLinkServiceConnection = $serviceConnection
}

New-AzPrivateEndpoint @parameters

Aby utworzyć prywatny punkt końcowy ze statycznie przydzielonym adresem IP:

# Specify the Azure region. This must be the same region as your virtual network.
$location = '<Location>'

$ip = @{
    Name = '<IPConfigName>'
    GroupId = 'global'
    MemberName = 'web'
    PrivateIPAddress = '<IPAddress>'
}

$ipConfig = New-AzPrivateEndpointIpConfiguration @ip

# Create the private endpoint
$parameters = @{
    Name = '<PrivateEndpointName>'
    ResourceGroupName = '<ResourceGroupName>'
    Location = $location
    Subnet = $subnet
    PrivateLinkServiceConnection = $serviceConnection
    IpConfiguration = $ipconfig
}

New-AzPrivateEndpoint @parameters

Dane wyjściowe powinny być podobne do następujących. Sprawdź, czy wartość provisioningState ma wartość Powodzenie.

ResourceGroupName Name            Location ProvisioningState Subnet
----------------- ----            -------- ----------------- ------
privatelink       endpoint-global uksouth  Succeeded

Musisz skonfigurować usługę DNS dla prywatnego punktu końcowego , aby rozpoznać nazwę DNS prywatnego punktu końcowego w sieci wirtualnej. Nazwa prywatnej strefy DNS to privatelink-global.wvd.microsoft.com. Aby uzyskać instrukcje tworzenia i konfigurowania prywatnej strefy DNS przy użyciu Azure PowerShell, zobacz Konfigurowanie prywatnej strefy DNS.

Opcjonalnie: utwórz obszar roboczy symbolu zastępczego, aby zakończyć globalny punkt końcowy, postępjąc zgodnie z instrukcjami dotyczącymi tworzenia obszaru roboczego.

W tej samej sesji interfejsu wiersza polecenia utwórz połączenie usługi Private Link i prywatny punkt końcowy dla obszaru roboczego z globalnym zasobem podrzędnym, uruchamiając następujące polecenia:

Aby utworzyć prywatny punkt końcowy z dynamicznie przydzielonym adresem IP:

# Specify the Azure region. This must be the same region as your virtual network.
location=<Location>

# Get the resource ID of the workspace
workspaceId=$(az desktopvirtualization workspace show \
    --name <WorkspaceName> \
    --resource-group <ResourceGroupName> \
    --query [id] \
    --output tsv)

# Create a service connection and the private endpoint
az network private-endpoint create \
    --name <PrivateEndpointName> \
    --resource-group <ResourceGroupName> \
    --location $location \
    --vnet-name <VNetName> \
    --subnet <SubnetName> \
    --connection-name <ConnectionName> \
    --private-connection-resource-id $workspaceId \
    --group-id global \
    --output table

Aby utworzyć prywatny punkt końcowy ze statycznie przydzielonymi adresami IP:

# Specify the Azure region. This must be the same region as your virtual network.
location=<Location>

# Get the resource ID of the workspace
workspaceId=$(az desktopvirtualization workspace show \
    --name <WorkspaceName> \
    --resource-group <ResourceGroupName> \
    --query [id] \
    --output tsv)

# Store each private endpoint IP configuration in a variable
ip={name:ipconfig,group-id:global,member-name:web,private-ip-address:<IPAddress>}

# Create a service connection and the private endpoint
az network private-endpoint create \
    --name <PrivateEndpointName> \
    --resource-group <ResourceGroupName> \
    --location $location \
    --vnet-name <VNetName> \
    --subnet <SubnetName> \
    --connection-name <ConnectionName> \
    --private-connection-resource-id $workspaceId \
    --group-id global \
    --ip-config $ip \
    --output table

Dane wyjściowe powinny być podobne do następujących. Sprawdź, czy wartość provisioningState ma wartość Powodzenie.

CustomNetworkInterfaceName    Location    Name                  ProvisioningState    ResourceGroup
----------------------------  ----------  --------------------  -------------------  ---------------
                              uksouth     endpoint-global       Succeeded            privatelink

Musisz skonfigurować usługę DNS dla prywatnego punktu końcowego , aby rozpoznać nazwę DNS prywatnego punktu końcowego w sieci wirtualnej. Nazwa prywatnej strefy DNS to privatelink-global.wvd.microsoft.com. Aby uzyskać instrukcje tworzenia i konfigurowania prywatnej strefy DNS za pomocą interfejsu wiersza polecenia Azure, zobacz Konfigurowanie prywatnej strefy DNS.

Zamykanie tras publicznych

Po utworzeniu prywatnych punktów końcowych możesz również kontrolować, czy ruch może pochodzić z tras publicznych. Można to kontrolować na poziomie szczegółowym przy użyciu Azure Virtual Desktop lub szerzej przy użyciu sieciowej grupy zabezpieczeń lub Azure Firewall.

Kontrolowanie tras za pomocą Azure Virtual Desktop

Za pomocą Azure Virtual Desktop można niezależnie kontrolować ruch publiczny dla obszarów roboczych i pul hostów. Wybierz odpowiednią kartę dla danego scenariusza i wykonaj kroki. Nie można tego skonfigurować w interfejsie wiersza polecenia Azure. Należy powtórzyć te kroki dla każdego obszaru roboczego i puli hostów używanej z Private Link.

Portal
Azure PowerShell

Obszary robocze

Z Azure Omówienie pulpitu wirtualnego wybierz pozycję Obszary robocze, a następnie wybierz nazwę obszaru roboczego w celu kontrolowania ruchu publicznego.
Z przeglądu puli hostów wybierz pozycję Sieć, a następnie wybierz kartę Dostęp publiczny .

Wybierz jedną z następujących opcji:

Ustawienie	Opis
Włączanie dostępu publicznego ze wszystkich sieci	Użytkownicy końcowi mogą uzyskiwać dostęp do kanału informacyjnego za pośrednictwem publicznego Internetu lub prywatnych punktów końcowych.
Wyłączanie dostępu publicznego i korzystanie z dostępu prywatnego	Użytkownicy końcowi mogą uzyskiwać dostęp tylko do kanału informacyjnego za pośrednictwem prywatnych punktów końcowych.

Wybierz Zapisz.

Pule hostów

Z Azure Omówienie usługi Virtual Desktop wybierz pozycję Pule hostów, a następnie wybierz nazwę puli hostów, aby kontrolować ruch publiczny.
Z przeglądu puli hostów wybierz pozycję Sieć, a następnie wybierz kartę Dostęp publiczny .

Wybierz jedną z następujących opcji:

Ustawienie	Opis
Włączanie dostępu publicznego ze wszystkich sieci	Użytkownicy końcowi mogą bezpiecznie uzyskiwać dostęp do hostów kanału informacyjnego i sesji za pośrednictwem publicznego Internetu lub prywatnych punktów końcowych.
Włączanie dostępu publicznego dla użytkowników końcowych, używanie dostępu prywatnego dla hostów sesji	Użytkownicy końcowi mogą bezpiecznie uzyskiwać dostęp do kanału informacyjnego za pośrednictwem publicznego Internetu, ale muszą używać prywatnych punktów końcowych w celu uzyskania dostępu do hostów sesji.
Wyłączanie dostępu publicznego i korzystanie z dostępu prywatnego	Użytkownicy końcowi mogą uzyskiwać dostęp tylko do hostów kanału informacyjnego i sesji za pośrednictwem prywatnych punktów końcowych.

Wybierz Zapisz.

Ważna

Azure PowerShell polecenia cmdlet dla Azure Virtual Desktop obsługujące Private Link są dostępne w wersji zapoznawczej. Aby użyć tych poleceń cmdlet, które zostały dodane w wersji 5.0.0, należy pobrać i zainstalować wersję zapoznawczą modułu Az.DesktopVirtualization .

Obszary robocze

W tej samej sesji programu PowerShell można wyłączyć dostęp publiczny i użyć dostępu prywatnego, uruchamiając następujące polecenie:

$parameters = @{
    Name = '<WorkspaceName>'
    ResourceGroupName = '<ResourceGroupName>'
    PublicNetworkAccess = 'Disabled'
}

Update-AzWvdWorkspace @parameters

Aby włączyć dostęp publiczny ze wszystkich sieci, uruchom następujące polecenie:

$parameters = @{
    Name = '<WorkspaceName>'
    ResourceGroupName = '<ResourceGroupName>'
    PublicNetworkAccess = 'Enabled'
}

Update-AzWvdWorkspace @parameters

Pule hostów

W tej samej sesji programu PowerShell można wyłączyć dostęp publiczny i użyć dostępu prywatnego, uruchamiając następujące polecenie:

$parameters = @{
    Name = '<HostPoolName>'
    ResourceGroupName = '<ResourceGroupName>'
    PublicNetworkAccess = 'Disabled'
}

Update-AzWvdHostPool @parameters

Aby włączyć dostęp publiczny ze wszystkich sieci, uruchom następujące polecenie:

$parameters = @{
    Name = '<HostPoolName>'
    ResourceGroupName = '<ResourceGroupName>'
    PublicNetworkAccess = 'Enabled'
}

Update-AzWvdHostPool @parameters

Aby korzystać z dostępu publicznego dla użytkowników końcowych, ale używać dostępu prywatnego dla hostów sesji, uruchom następujące polecenie:

$parameters = @{
    Name = '<HostPoolName>'
    ResourceGroupName = '<ResourceGroupName>'
    PublicNetworkAccess = 'EnabledForSessionHostsOnly'
}

Update-AzWvdHostPool @parameters

Aby korzystać z dostępu prywatnego dla użytkowników końcowych, ale używać dostępu publicznego dla hostów sesji, uruchom następujące polecenie:

$parameters = @{
    Name = '<HostPoolName>'
    ResourceGroupName = '<ResourceGroupName>'
    PublicNetworkAccess = 'EnabledForClientsOnly'
}

Update-AzWvdHostPool @parameters

Ważna

Zmiana dostępu dla hostów sesji nie wpłynie na istniejące sesje. Po zmianie prywatnego punktu końcowego na pulę hostów należy ponownie uruchomić usługę modułu ładującego agenta pulpitu zdalnego (RDAgentBootLoader) na każdym hoście sesji w puli hostów. Należy również ponownie uruchomić tę usługę za każdym razem, gdy zmienisz konfigurację sieci puli hostów. Zamiast ponownie uruchamiać usługę, można ponownie uruchomić każdego hosta sesji.

Blokuj trasy publiczne za pomocą sieciowych grup zabezpieczeń lub Azure Firewall

Jeśli używasz sieciowych grup zabezpieczeń lub Azure Firewall do kontrolowania połączeń z urządzeń klienckich użytkownika lub hostów sesji do prywatnych punktów końcowych, możesz użyć tagu usługi WindowsVirtualDesktop, aby zablokować ruch z publicznego Internetu. Jeśli blokujesz publiczny ruch internetowy przy użyciu tego tagu usługi, cały ruch usługi używa tylko tras prywatnych.

Uwaga

Upewnij się, że nie blokujesz ruchu między prywatnymi punktami końcowymi a adresami na liście wymaganych adresów URL.
Nie blokuj niektórych portów z urządzeń klienckich użytkownika lub hostów sesji do prywatnego punktu końcowego dla zasobu puli hostów przy użyciu zasobu podrzędnego połączenia . Cały zakres portów dynamicznych TCP od 1 do 65535 do prywatnego punktu końcowego jest wymagany, ponieważ mapowanie portów jest używane do wszystkich bram globalnych za pośrednictwem adresu IP pojedynczego prywatnego punktu końcowego odpowiadającego zasobowi podrzędnemu połączenia . Jeśli ograniczysz porty do prywatnego punktu końcowego, użytkownicy mogą nie mieć możliwości pomyślnego nawiązania połączenia z usługą Azure Virtual Desktop.

Weryfikowanie Private Link za pomocą programu Azure Virtual Desktop

Po zamknięciu tras publicznych należy sprawdzić, czy Private Link z usługą Azure virtual desktop działa. Można to zrobić, sprawdzając stan połączenia każdego prywatnego punktu końcowego, stan hostów sesji i testując, czy użytkownicy mogą odświeżać zasoby zdalne i łączyć się z nimi.

Sprawdzanie stanu połączenia każdego prywatnego punktu końcowego

Aby sprawdzić stan połączenia każdego prywatnego punktu końcowego, wybierz odpowiednią kartę dla danego scenariusza i wykonaj kroki. Należy powtórzyć te kroki dla każdego obszaru roboczego i puli hostów używanej z Private Link.

Obszary robocze

Z Azure Omówienie pulpitu wirtualnego wybierz pozycję Obszary robocze, a następnie wybierz nazwę obszaru roboczego, dla którego chcesz sprawdzić stan połączenia.
W przeglądzie obszaru roboczego wybierz pozycję Sieć, a następnie połączenia prywatnego punktu końcowego.
W przypadku wymienionego prywatnego punktu końcowego sprawdź, czy stan Połączenia jest zatwierdzony.

Pule hostów

Z Azure Omówienie pulpitu wirtualnego wybierz pozycję Pule hostów, a następnie wybierz nazwę puli hostów, dla której chcesz sprawdzić stan połączenia.
W omówieniu puli hostów wybierz pozycję Sieć, a następnie połączenia prywatnego punktu końcowego.
W przypadku wymienionego prywatnego punktu końcowego sprawdź, czy stan Połączenia jest zatwierdzony.

Ważna

Aby uruchomić następujące polecenia, należy użyć wersji zapoznawczej modułu Az.DesktopVirtualization. Aby uzyskać więcej informacji i pobrać i zainstalować moduł w wersji zapoznawczej, zobacz Galeria programu PowerShell.

Obszary robocze

W tej samej sesji programu PowerShell uruchom następujące polecenia, aby sprawdzić stan połączenia obszaru roboczego:

(Get-AzWvdWorkspace -Name <WorkspaceName> -ResourceGroupName <ResourceGroupName).PrivateEndpointConnection | FL Name, PrivateLinkServiceConnectionStateStatus, PrivateLinkServiceConnectionStateDescription, PrivateLinkServiceConnectionStateActionsRequired

Dane wyjściowe powinny być podobne do następujących. Sprawdź, czy wartość parametru PrivateLinkServiceConnectionStateStatus jest zatwierdzona.

Name                                             : endpoint-ws01
PrivateLinkServiceConnectionStateStatus          : Approved
PrivateLinkServiceConnectionStateDescription     : Auto-approved
PrivateLinkServiceConnectionStateActionsRequired : None

Pule hostów

W tej samej sesji programu PowerShell uruchom następujące polecenia, aby sprawdzić stan połączenia puli hostów:

(Get-AzWvdHostPool -Name <HostPoolName> -ResourceGroupName <ResourceGroupName).PrivateEndpointConnection | FL Name, PrivateLinkServiceConnectionStateStatus, PrivateLinkServiceConnectionStateDescription, PrivateLinkServiceConnectionStateActionsRequired

Dane wyjściowe powinny być podobne do następujących. Sprawdź, czy wartość parametru PrivateLinkServiceConnectionStateStatus jest zatwierdzona.

Name                                             : endpoint-hp01
PrivateLinkServiceConnectionStateStatus          : Approved
PrivateLinkServiceConnectionStateDescription     : Auto-approved
PrivateLinkServiceConnectionStateActionsRequired : None

W tej samej sesji interfejsu wiersza polecenia uruchom następujące polecenia, aby sprawdzić stan połączenia obszaru roboczego lub puli hostów:

az network private-endpoint show \
    --name <PrivateEndpointName> \
    --resource-group <ResourceGroupName> \
    --query "{name:name, privateLinkServiceConnectionStates:privateLinkServiceConnections[].privateLinkServiceConnectionState}"

Dane wyjściowe powinny być podobne do następujących. Sprawdź, czy wartość stanu to Approved (Zatwierdzono).

{
  "name": "endpoint-ws01",
  "privateLinkServiceConnectionStates": [
    {
      "actionsRequired": "None",
      "description": "Auto-approved",
      "status": "Approved"
    }
  ]
}

Sprawdzanie stanu hostów sesji

Sprawdź stan hostów sesji w programie Azure Virtual Desktop.
1. Z Azure Omówienie pulpitu wirtualnego wybierz pozycję Pule hostów, a następnie wybierz nazwę puli hostów.
2. W sekcji Zarządzanie wybierz pozycję Hosty sesji.
3. Przejrzyj listę hostów sesji i sprawdź, czy ich stan to Dostępne.

Sprawdzanie, czy użytkownicy mogą nawiązać połączenie

Aby sprawdzić, czy użytkownicy mogą łączyć się ze swoimi zasobami zdalnymi:

Użyj klienta pulpitu zdalnego i upewnij się, że możesz subskrybować i odświeżać obszary robocze.
Na koniec upewnij się, że użytkownicy mogą nawiązać połączenie z sesją zdalną.

Włączanie protokołu UDP za pośrednictwem Private Link (zgoda)

Aby używać transportu opartego na protokole UDP, takiego jak RDP Shortpath dla sieci zarządzanych za pośrednictwem Azure Private Link pulpitu wirtualnego, należy jawnie włączyć protokół UDP w obszarze roboczym lub puli hostów i upewnić się, że opcje publicznej ścieżki krótkiej są wyłączone

W Azure Portal otwórz zasób Azure Virtual Desktop Host lub Workspaces.
Przejdź do pozycji Sieć → dostęp publiczny.
W obszarze Dostęp publiczny wybierz jedną z następujących opcji:
- Włącz dostęp publiczny dla użytkowników końcowych, użyj dostępu prywatnego dla hostów sesji lub
- Wyłączanie dostępu publicznego i korzystanie z dostępu prywatnego
  Po wybraniu dowolnej z tych opcji w portalu zostanie wyświetlone dodatkowe pole wyboru:
Włącz opcję Zezwalaj na bezpośrednią ścieżkę sieciową UDP za pośrednictwem Private Link, aby zezwolić na transport oparty na protokole UDP (na przykład rdp shortpath dla sieci zarządzanych).
Przejdź do karty Ścieżka krótka PROTOKOŁU RDP i wyłącz publiczne opcje ścieżki krótkiej:
- Skrót PROTOKOŁU RDP dla sieci publicznych (za pośrednictwem usługi STUN)
- Skrót rdp dla sieci publicznych (za pośrednictwem turn) Portal zablokuje opcję Zapisz i wyświetli błąd konfiguracji , jeśli te opcje publiczne są nadal włączone.
Wybierz Zapisz.

Skrót protokołu RDP dla sieci zarządzanych — walidacja konfiguracji

Po włączeniu protokołu RDP Shortpath dla sieci zarządzanych portal uniemożliwia włączanie publicznych opcji shortpath (STUN lub TURN) i blokuje zapisywanie do czasu rozwiązania konfliktu.
Jeśli opcja tylko prywatna nie jest włączona, wszystkie opcje shortpath powinny być wyłączone; portal blokuje zapisywanie , jeśli nie są

Wymagania wstępne i ograniczenia

Zgoda jest wymagana w przypadku transportu UDP za pośrednictwem Private Link: Zezwalaj na bezpośrednią ścieżkę sieci UDP za pośrednictwem Private Link musi być włączona na stronie sieci obszaru roboczego/puli hostów.
Sieć publiczna Shortpath (STUN/TURN) nie jest obsługiwana w przypadku Private Link; używaj protokołu RDP Shortpath dla sieci zarządzanych lub rdp shortpath dla sieci zarządzanych (STUN) z Private Link.

Ważna

Bieżące zachowanie: Opcja Shortpath protokołu RDP jest domyślnie włączona, nawet jeśli pole wyboru Zezwalaj na bezpośrednią ścieżkę sieci UDP z linkiem prywatnym nie jest zaznaczone.

Nadchodząca zmiana: Od 1 lutego 2026 r. zmieni się to:

Pole wyboru UDP opt-in stanie się obowiązkowe w przypadku włączania protokołu RDP Shortpath z linkiem prywatnym.
Jeśli pole wyboru nie jest zaznaczone, ścieżka krótka protokołu RDP zostanie zablokowana dla połączeń Private Link.

Aby uniknąć zakłóceń, przejrzyj ustawienia i zaznacz pole wyboru UDP przed tą datą.

Następne kroki

Dowiedz się więcej na temat konfigurowania ścieżki krótkiej protokołu RDP na stronie Konfigurowanie ścieżki krótkiej protokołu RDP.
Dowiedz się więcej o tym, jak Private Link dla Azure Virtual Desktop w witrynie Use Private Link with Azure Virtual Desktop (Korzystanie z Private Link z usługą Azure Virtual Desktop).
Dowiedz się, jak skonfigurować Azure usługę DNS prywatnego punktu końcowego na Private Link integracji z usługą DNS.
Aby uzyskać ogólne przewodniki rozwiązywania problemów z Private Link, zobacz Rozwiązywanie problemów z łącznością z prywatnym punktem końcowym Azure.
Dowiedz się, jak działa łączność usługi Azure Virtual Desktop w Azure łączności sieciowej pulpitu wirtualnego.
Aby uzyskać listę adresów URL, które należy odblokować, zobacz listę wymaganych adresów URL, aby zapewnić dostęp sieciowy do usługi Azure Virtual Desktop.

Sprzężenie zwrotne

Czy ta strona była pomocna?

Last updated on 2025-12-12

Udostępnij przez

Ponowne rejestrowanie dostawcy zasobów usługi Azure Virtual Desktop

Rejestrowanie Private Link w programie Azure Virtual Desktop (Azure dla instytucji rządowych USA i Azure obsługiwane tylko przez firmę 21Vianet)

Ponowne rejestrowanie dostawcy zasobów usługi Azure Virtual Desktop

Obszary robocze

Pule hostów

Obszary robocze

Pule hostów

Obszary robocze

Pule hostów

Obszary robocze

Pule hostów

Udostępnij przez

Konfigurowanie Private Link za pomocą Azure Virtual Desktop

Wymagania wstępne

Włączanie Private Link za pomocą Azure Virtual Desktop w subskrypcji

Ponowne rejestrowanie dostawcy zasobów usługi Azure Virtual Desktop

Tworzenie prywatnych punktów końcowych

Połączenia z pulami hostów

Pobieranie kanału informacyjnego

Początkowe odnajdywanie kanału informacyjnego

Zamykanie tras publicznych

Kontrolowanie tras za pomocą Azure Virtual Desktop

Obszary robocze

Pule hostów

Blokuj trasy publiczne za pomocą sieciowych grup zabezpieczeń lub Azure Firewall

Weryfikowanie Private Link za pomocą programu Azure Virtual Desktop

Sprawdzanie stanu połączenia każdego prywatnego punktu końcowego

Obszary robocze

Pule hostów

Sprawdzanie stanu hostów sesji

Sprawdzanie, czy użytkownicy mogą nawiązać połączenie

Włączanie protokołu UDP za pośrednictwem Private Link (zgoda)

Skrót protokołu RDP dla sieci zarządzanych — walidacja konfiguracji

Wymagania wstępne i ograniczenia

Następne kroki

Sprzężenie zwrotne

Dodatkowe źródła