通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure 虚拟桌面网络拓扑和连接设计指南

本文概述了如何在 Azure 登陆区域中设计 Azure 虚拟桌面(AVD)的网络拓扑和连接。 它可帮助技术决策者了解其团队必须遵循的网络要求,以确保跨 Azure、专用网络和公共 Internet 建立安全且可缩放的连接。 在组织部署 AVD 之前,应具有 Azure 登陆区域。 然后将 AVD 资源部署到应用程序登陆区域。

AVD 网络组件

核心网络组件

  • Azure 虚拟网络 是 Azure 中专用网络的基本构建基块。 使用虚拟网络时,许多类型的 Azure 资源(例如 Azure 虚拟机)可以相互通信、Internet 和本地数据中心。 虚拟网络类似于你在自己的数据中心内运行的传统网络。 但是,虚拟网络提供了规模、可用性和隔离的 Azure 基础结构优势。
  • Hub-Spoke 网络拓扑 是一种网络体系结构,其中中心虚拟网络充当与多个子虚拟网络的中心连接点。 中心也可以是连接到本地数据中心的连接点。 辐射虚拟网络与中心对等互连,并帮助隔离工作负荷。
  • Azure 虚拟 WAN 是一种网络服务,可将网络、安全性和路由功能组合在一个作接口中。

安全访问和流量控制

  • 网络安全组 用于筛选 Azure 虚拟网络中传入和传出 Azure 资源的网络流量。 网络安全组包含安全规则,这些规则可允许或拒绝多种 Azure 资源的入站和出站网络流量。
  • 应用程序安全组 提供了将网络安全配置为应用程序结构的自然扩展的方法。 可以使用应用程序安全组对虚拟机进行分组,并定义基于这些组的网络安全策略。 可以大规模重复使用安全策略,而无需手动维护显式 IP 地址。
  • NAT 网关为专用子网的流出流量提供 NAT 服务。 它不允许入站流量,但响应数据包除外。 此设置使 Azure 虚拟桌面环境能够显式流出到 Internet,并降低通过防火墙或 NVA 发送 AVD 服务流量的性能影响。

路由和优化

  • Azure 防火墙或网络虚拟设备(NVA)是一种网络设备,支持连接、应用程序控制、广域网络(WAN)优化和安全性等功能。 NVA 包括 Azure 防火墙和市场上供应商的网络设备。
  • 用户定义的路由(UDR) 可用于替代 Azure 默认系统路由。 还可以使用 UDR 向子网路由表添加额外的路由,以便将特定流量和 Azure 服务路由到网络和 Azure 的目标。

Azure 虚拟桌面增强功能

  • 远程桌面协议短路径(RDP 短路径) 是基于 通用速率控制协议(URCP)的 Azure 虚拟桌面的一项功能。 RDP Shortpath 建立直接传输,该传输使用受支持的 Windows 远程桌面客户端和 Azure 虚拟桌面会话主机之间的用户数据报协议(UDP)。 URCP 通过提供对网络条件和服务质量(QoS)功能的主动监视来增强 UDP 连接。
  • Azure 专用链接与 Azure 虚拟桌面(可选)提供了一种使用 Azure 中的 专用终结点 将会话主机连接到 Azure 虚拟桌面服务的方法。 使用专用链接时,虚拟网络与 Azure 虚拟桌面服务之间的流量在Microsoft 主干 网络上传输。 因此,无需连接到公共 Internet 来访问 Azure 虚拟桌面服务。

AVD 网络建议

Azure 虚拟桌面需要特定的网络设计注意事项,以确保可靠的连接、安全性和性能。 网络体系结构直接影响虚拟桌面环境中的用户体验、数据保护和运营效率。

规划 AVD 网络拓扑

需要 VPN 与 ExpressRoute 之间的传输连接时,请使用虚拟 WAN。 虚拟 WAN 提供具有内置可递发送的路由的由 Microsoft 管理的中心与辐射式模型(虚拟中心 + 连接的虚拟网络)。 如果需要托管的全局传输和集成路由/安全性,请使用虚拟 WAN。

配置 AVD 标识服务

  • Microsoft Entra域服务加入的 VM:确保 Azure 虚拟桌面网络已连接到承载身份服务的网络。

  • 加入 Microsoft Entra ID 的 VM:Azure 虚拟桌面会话主机创建到 Microsoft Entra ID 公共终结点的出站连接。 不需要专用连接配置。

配置 AVD DNS

Azure 虚拟桌面会话主机的名称解析要求与任何其他基础结构即服务(IaaS)工作负荷相同。 因此,需要通过虚拟网络链接连接到自定义 DNS 服务器或访问 Azure 专用 DNS 区域。 需要额外的 Azure 专用 DNS 区域来托管某些平台即服务(PaaS)服务的专用终结点命名空间,例如存储帐户和密钥管理服务。 有关详细信息,请参阅 Azure 专用终结点 DNS 配置

可以选择性地配置基于电子邮件的源发现,以简化用户引导。 新式 Azure 虚拟桌面客户端还可以通过服务直接订阅工作区发现,而无需基于 DNS 的电子邮件发现。 有关更多信息,请参阅 配置电子邮件自动发现以订阅 RDS 信息源

优化 AVD 带宽和延迟

Azure 虚拟桌面使用 RDP。 若要了解有关 RDP 的详细信息,请参阅 远程桌面协议 (RDP) 带宽要求

连接延迟因用户和 VM 的位置而异。 Azure 虚拟桌面服务持续推出到新的地理位置,以提高延迟。 若要最大程度地减少 Azure 虚拟桌面客户端体验的延迟,请使用 Azure 虚拟桌面体验估算器。 此工具提供来自客户端的往返时间(RTT)示例。 可以使用此信息将会话主机放置在离最终用户最近的区域中,并且 RTT 最低。 有关解释估算器工具的结果的信息,请参阅 Azure 虚拟桌面中的分析连接质量

使用 RDP 短路径实现 AVD QoS 策略

托管网络的 RDP 短路径在远程桌面客户端和会话主机之间提供基于 UDP 的直接传输。 托管网络的 RDP 短路径提供了为 RDP 数据配置 QoS 策略的方法。 Azure 虚拟桌面中的 QoS 允许对网络延迟敏感的实时 RDP 流量在不太敏感的流量前“排队”。 可以通过两种方式使用 RDP 短路径:

  • 托管网络中,在使用专用连接(例如 ExpressRoute 连接或 VPN)时,在客户端与会话主机之间建立直接连接。

  • 公用网络中,使用公共连接时,在客户端与会话主机之间建立直接连接。 公共连接的示例包括家庭网络、咖啡店网络和酒店网络。 使用公共连接时,有两种可能的连接类型。 客户端与使用 STUN 协议的会话主机之间的直接 UDP 连接间接 UDP 连接 ,它使用 TURN 协议与 RDP 客户端与会话主机之间的中继。 如果网关或路由器不允许直接 UDP 连接,则使用此选项。

RDP 路径扩展 RDP 多传输功能。 它不会取代反向连接传输,而是对其进行补充。 初始会话代理通过 Azure 虚拟桌面服务和基于 TCP 的反向连接传输进行管理。 将忽略所有连接尝试,除非它们首先匹配反向连接会话。

RDP 短路径(基于 UDP)在身份验证后建立。 如果成功建立 RDP 短路径,则会删除反向连接传输。 然后,所有流量都流经此部分前面列出的 RDP 短路径方法之一。 有关详细信息,请参阅 Azure 虚拟桌面的 RDP 短路径

有关详细信息,请参阅为 Azure 虚拟桌面实施服务质量 (QoS)

保护 AVD Internet 访问

Azure 虚拟桌面计算资源和客户端需要访问特定的公共终结点,因此需要 Internet 绑定连接。 满足 Azure 虚拟桌面要求时,支持网络方案(例如强制隧道来增强安全性和筛选)。

若要了解 Azure 虚拟桌面会话主机和客户端设备的要求,请参阅 Azure 虚拟桌面所需的 URL

验证 AVD 端口和协议要求

Azure 虚拟桌面连接模型使用以下端口和协议:

AVD 业务连续性和灾难恢复

若要实现业务连续性和灾难恢复,需要特定的网络设置。 具体而言,若要将资源部署到目标环境,请使用以下配置之一:

  • 与源环境中具有相同功能的网络设置
  • 与标识和 DNS 服务建立连接的网络设置

AVD 网络场景

若要建立 Azure 虚拟桌面登陆区域,网络功能的设计和实现至关重要。 Azure 网络产品和服务支持各种功能。 你选择的体系结构以及构建服务的方式取决于组织的工作负荷、治理和要求。

以下关键要求和注意事项会影响 Azure 虚拟桌面部署决策:

  • Internet 入口和出口要求。
  • NVA 在当前体系结构中使用。
  • Azure 虚拟桌面连接到标准中心虚拟网络或虚拟 WAN 中心。
  • 会话主机连接模型。 可以使用本机模型或 RDP 短路径
  • 流量检查要求:
    • 来自 Azure 虚拟桌面的 Internet 出口量。
    • Internet 流入 Azure 虚拟桌面。
    • Azure 虚拟桌面流量流向本地数据中心。
    • Azure 虚拟桌面流量流向其他虚拟网络实例。
    • Azure 虚拟桌面虚拟网络中的流量。

Azure 虚拟桌面最常见的网络方案是一种具有混合连接的中心辐射型拓扑。

方案 1:中心辐射型与混合连接

此方案使用标准会话主机连接模型。

混合连接的中心辐射型网络的客户配置文件

如果满足以下情况,则此方案十分理想:

  • 不需要在 Azure 虚拟网络和其他 Azure 虚拟网络之间检查流量。
  • 在 Azure 虚拟网络和本地数据中心之间不需要流量检查。
  • 不需要流量检查来自 Azure 虚拟网络的 Internet 出站流量。
  • 无需控制在源网络地址转换(SNAT)期间用于 Azure 虚拟桌面出站 Internet 连接的公共 IP 地址。
  • 不会强制实施 Azure 虚拟桌面网络内部流量。
  • 已通过 Azure ExpressRoute 或站点到站点(S2S)虚拟专用网络(VPN)建立到本地环境的混合连接。
  • 你有预先存在的 Active Directory 域服务(AD DS)和域名系统(DNS)自定义服务器。
  • 使用标准连接模型而不是 RDP 短路径来使用 Azure 虚拟桌面。

中心-辐射混合连接架构组件

可以使用以下方法实现此方案:

  • AD DS 服务器和自定义 DNS 服务器。
  • 网络安全组。
  • Azure 网络观察程序。
  • 通过默认 Azure 虚拟网络路径建立出站 Internet。
  • ExpressRoute 或 VPN 虚拟网络网关,用于与本地系统建立混合连接。
  • Azure 专用 DNS 区域。
  • Azure 专用终结点。
  • Azure 文件存储存储帐户。
  • Azure Key Vault。

显示具有混合连接的中心和辐射体系结构的关系图。

下载完整 Azure 虚拟桌面多区域复原体系结构的 Visio 文件

中心辐射型混合连接的注意事项

  • 此方案不适用于客户端与公共或专用会话主机之间的直接网络连接。 在此方案中无法使用 RDP 短路径。
  • 使用公共终结点的 Azure 虚拟桌面控制平面网关管理客户端连接。 因此,Azure 虚拟桌面客户端可以创建到所需的 Azure 虚拟桌面 URL 的出站连接。 有关所需 URL 的详细信息,请参阅本文的 Internet 部分和 Azure 虚拟桌面的必需 URL
  • 不需要公共 IP 地址或其他会话主机的公共入站路径。 从客户端到会话主机的流量流经 Azure 虚拟桌面控制平面网关。
  • Azure 虚拟桌面辐射之间没有虚拟网络对等互连。 所有流量都通过连接中心。
  • 来自 Azure 虚拟桌面会话主机的出站 Internet 连接通过默认的 Azure 出站网络地址转换(NAT)过程。 使用动态 Azure 公共 IP 地址。 客户无法控制使用的出站公共 IP 地址。
  • 使用专用终结点建立从会话主机到 Azure 文件存储存储帐户的连接。
  • Azure 专用 DNS 区域用于解析以下服务的专用终结点命名空间:
    • 使用名称的 Azure 文件存储存储帐户 privatelink.file.core.windows.net
    • 使用名称的密钥保管库 privatelink.vaultcore.azure.net
  • 此方案不强制实施网络筛选。 但网络安全组放置在所有子网上,以便可以监视流量并派生见解。 在网络观察程序中,流量分析和网络安全组流日志记录功能用于这些目的。

方案 2:使用 RDP Shortpath 通过托管网络通过混合连接中心辐射

有关详细的部署指南,请参阅 托管网络的 RDP 短路径连接

使用 RDP Shortpath 通过托管网络进行混合连接的中心和辐射型客户配置文件

如果满足以下情况,则此方案十分理想:

  • 想要限制到 Azure 虚拟桌面会话主机的 Internet 连接数。
  • 你已经有从本地环境到 Azure 的混合连接,可以通过 ExpressRoute、S2S 或点到站点 (P2S) VPN 实现。
  • RDP 客户端和 Azure 虚拟桌面主机之间有直接的网络连接。 通常,此方案中使用以下设置之一:
    • 路由到 Azure 虚拟桌面 Azure 网络的本地网络
    • 路由到 Azure 虚拟桌面 Azure 虚拟网络的客户端 VPN 连接
  • 需要通过专用网络(例如 VPN 或 ExpressRoute)限制 VM 主机的带宽使用。
  • 你希望确定网络上的 Azure 虚拟桌面流量的优先级。
  • 不需要在 Azure 虚拟网络和其他 Azure 虚拟网络之间检查流量。
  • 在 Azure 虚拟网络和本地数据中心之间不需要流量检查。
  • 你预先存在 AD DS 或 DNS 自定义服务器。

使用 RDP Shortpath 通过托管网络实现混合连接的中心辐射型体系结构组件

可以使用以下方法实现此方案:

  • ExpressRoute 或 VPN 虚拟网络网关,用于与具有足够带宽的本地环境的混合连接。
  • AD DS 服务器和自定义 DNS 服务器。
  • 网络安全组。
  • 通过默认 Azure 虚拟网络路径建立出站 Internet。
  • 域组策略对象(GPO)或本地 GPO。
  • Azure 文件存储存储帐户。
  • Azure 专用终结点。
  • Azure 专用 DNS 区域。

将 RDP 短路径用于专用网络的方案的体系结构图。

使用 RDP Shortpath 通过托管网络实现混合连接的中心和辐射的注意事项

  • 混合连接必须通过 VPN 或 ExpressRoute 使用 RDP 客户端直接网络连接到端口 3390 上的专用 VM 主机。

注释

对于托管网络,可以更改默认 UDP 端口。

  • 域 GPO 或本地 GPO 必须用于通过托管网络 启用 UDP
  • 混合连接必须具有足够的带宽,才能允许 UDP 直接连接到 VM 主机。
  • 混合连接必须具有直接路由才能允许连接到 VM 主机。
  • 使用公共终结点的 Azure 虚拟桌面控制平面网关管理客户端连接。 因此,Azure 虚拟桌面客户端可以创建到所需的 Azure 虚拟桌面 URL 的出站连接。 有关所需 URL 的详细信息,请参阅本文的 Internet 部分和 Azure 虚拟桌面的必需 URL
  • 不需要公共 IP 地址或其他会话主机的公共入站路径。 从客户端到会话主机的流量流经 Azure 虚拟桌面控制平面网关。
  • 来自 Azure 虚拟桌面会话主机的出站 Internet 连接通过默认的 Azure 出站 NAT 进程。 使用动态 Azure 公共 IP 地址。 客户无法控制使用的出站公共 IP 地址。
  • 使用专用终结点建立从会话主机到 Azure 文件存储存储帐户的连接。
  • Azure 专用 DNS 区域用于解析专用终结点命名空间。
  • 此方案不强制实施网络筛选。 但网络安全组放置在所有子网上,以便可以监视流量并派生见解。 在网络观察程序中,流量分析和网络安全组流日志记录功能用于这些目的。

方案 3:使用 RDP Shortpath 通过公用网络中心辐射

有关详细的部署指南,请参阅 公共网络的 RDP 短路径连接

使用 RDP Shortpath 通过公用网络进行中心辐射结构的客户概况

如果满足以下情况,则此方案十分理想:

  • Azure 虚拟桌面客户端连接遍历公共 Internet。 典型方案包括家庭办公用户、未连接到公司网络的远程分支机构用户和远程承包商用户。
  • 与 Azure 虚拟桌面会话主机建立高延迟或低带宽连接。
  • 需要通过 QoS 网络策略限制 Azure 虚拟桌面会话主机的带宽使用量。
  • 你希望通过 QoS 策略确定网络上的 Azure 虚拟桌面流量的优先级。
  • 客户端 RDP 连接从带宽和速度不一致的网络开始。
  • 你有来自 Azure 虚拟桌面会话主机的直接出站连接。 不通过本地网络使用强制隧道路由。
  • 不需要在 Azure 虚拟网络和其他 Azure 虚拟网络之间检查流量。
  • 在 Azure 虚拟网络和本地数据中心之间不需要流量检查。
  • 你预先存在 AD DS 或 DNS 自定义服务器。

使用 RDP Shortpath 通过公用网络进行中心辐射的体系结构组件

可以使用以下方法实现此方案:

  • ExpressRoute 或 VPN 虚拟网络网关,用于与本地环境建立混合连接。 如果有足够的带宽来支持与本地应用程序、数据或 AD DS 连接的连接,则此设置是适当的。 不建议使用强制隧道通过本地路由器发送 Azure 虚拟桌面流量。
  • AD DS 服务器和自定义 DNS 服务器。
  • 网络安全组。
  • 网络观察程序。
  • 通过默认 Azure 虚拟网络路径建立出站 Internet。
  • 域 GPO 或本地 GPO。
  • Azure 文件存储存储帐户。
  • Azure 专用终结点。
  • Azure 专用 DNS 区域。

公共网络使用 RDP 短路径的方案体系结构图。

使用 RDP Shortpath 通过公用网络进行中心-端点架构的注意事项

  • 允许以下类型的连接:

    • 端口 3478 上的端口 3478 上的出站 UDP 连接从 Azure 虚拟桌面会话主机到用于 NAT(STUN)的 Azure 虚拟桌面会话遍历实用工具和遍历 NAT(TURN) 服务
    • 端口范围 49152–65535 中的 RDP 客户端的 UDP 连接

    默认情况下,配置这些连接的设置处于打开状态,并维护与传输控制协议(TCP)反向连接相同的加密级别。 有关限制 RDP 客户端端口范围的信息,请参阅 在对公用网络使用 RDP 短路径时限制端口范围

  • 使用公共终结点的 Azure 虚拟桌面控制平面网关管理客户端连接。 因此,Azure 虚拟桌面客户端可以创建到所需的 Azure 虚拟桌面 URL 的出站连接。 有关所需 URL 的详细信息,请参阅本文的 Internet 部分和 Azure 虚拟桌面的必需 URL

  • 通常在家庭用户网络中发现的使用者路由器应启用通用即插即用(UPnP)。

  • 不需要公共 IP 地址或其他会话主机的公共入站路径。 从客户端到会话主机的流量流经 Azure 虚拟桌面控制平面网关。

  • 来自 Azure 虚拟桌面会话主机的出站 Internet 连接通过默认的 Azure 出站 NAT 进程。 使用动态 Azure 公共 IP 地址。 客户无法控制使用的出站公共 IP 地址。

  • 需要在会话主机上配置区分的服务代码点(DSCP)。 将此配置使用本地 GPO 或域 GPO。 使用 DSCP 标记时,网络设备可以为 Azure 虚拟桌面流量应用 QoS 策略。 有关详细信息,请参阅为 Azure 虚拟桌面实施服务质量 (QoS)

  • 使用专用终结点建立从会话主机到 Azure 文件存储存储帐户的连接。

  • Azure 专用 DNS 区域用于解析专用终结点命名空间。

  • 此方案不强制实施网络筛选。 但网络安全组放置在所有子网上,以便可以监视流量并派生见解。 在网络观察程序中,流量分析和网络安全组流日志记录功能用于这些目的。

后续步骤

了解 Azure 虚拟桌面企业规模方案的资源组织。

资源组织

  • Last updated on