使用 Azure 虚拟桌面Azure 专用链接

可以将 Azure 专用链接 与 Azure 虚拟桌面配合使用，以私密方式连接到远程资源。 通过创建 专用终结点，虚拟网络和服务之间的流量将保留在Microsoft网络上，因此不再需要向公共 Internet 公开服务。 还可以通过远程桌面客户端为用户使用 VPN 或 ExpressRoute 连接到虚拟网络。 将流量保留在Microsoft网络内可以提高安全性，并确保数据安全。 本文介绍专用链接如何帮助你保护Azure虚拟桌面环境。

专用链接如何使用 Azure 虚拟桌面？

Azure虚拟桌面有三个工作流，其中包含三种用于专用终结点的相应资源类型。 这些工作流包括：

1. 初始源发现：允许客户端发现分配给用户的所有工作区。 若要启用此过程，必须创建一个专用终结点，该终结点指向任何工作区的 全局 子资源。 但是，只能在整个Azure虚拟桌面部署中创建一个专用终结点。 此终结点创建域名系统 (DNS) 条目和专用 IP 路由，用于初始源发现所需的全局完全限定域名 (FQDN) 。 此连接将成为可供所有客户端使用的单个共享路由。

2. 源下载：客户端下载托管其应用程序组的工作区的特定用户的所有连接详细信息。 为要用于专用链接的每个工作区创建源子资源的专用终结点。

3. 到主机池的连接：与主机池的每个连接都有两端 - 客户端和会话主机。 需要为每个要与 专用链接 一起使用的主机池的连接子资源创建专用终结点。

以下高级关系图显示了专用链接如何将本地客户端安全地连接到Azure虚拟桌面服务。 有关客户端连接的更多详细信息，请参阅 客户端连接序列。

支持的方案

使用 Azure 虚拟桌面添加专用链接时，可以使用以下受支持的方案连接到Azure虚拟桌面。 选择的方案取决于你的要求。 可以在网络拓扑中共享这些专用终结点，也可以隔离虚拟网络，以便每个虚拟网络在主机池或工作区中都有自己的专用终结点。

1. 连接的所有部分（初始源发现、源下载以及客户端和会话主机的远程会话连接）都使用专用路由。 需要以下专用终结点：

   用途	资源类型	目标子资源	终结点数量
   与主机池的连接	Microsoft.DesktopVirtualization/hostpools	连接	每个主机池一个
   源下载	Microsoft.DesktopVirtualization/workspaces	饲料	每个工作区一个
   初始源发现	Microsoft.DesktopVirtualization/workspaces	全球	所有Azure虚拟桌面部署只有一个

2. 客户端和会话主机的源下载和远程会话连接使用专用路由，但初始源发现使用公共路由。 需要以下专用终结点。 不需要初始源发现终结点。

   用途	资源类型	目标子资源	终结点数量
   与主机池的连接	Microsoft.DesktopVirtualization/hostpools	连接	每个主机池一个
   源下载	Microsoft.DesktopVirtualization/workspaces	饲料	每个工作区一个

3. 只有客户端和会话主机的远程会话连接使用专用路由，但初始源发现和源下载使用公共路由。 需要以下专用终结点 () 。 不需要工作区的终结点。

   用途	资源类型	目标子资源	终结点数量
   与主机池的连接	Microsoft.DesktopVirtualization/hostpools	连接	每个主机池一个

4. 客户端和会话主机 VM 都使用公共路由。 此方案中不使用专用链接。

具有专用链接 (选择加入) 的 UDP

Azure虚拟桌面仅当你从“Azure 门户主机池网络”页中选择加入时，才支持具有专用链接的 UDP 流量。 如果未选择加入，则会阻止通过专用链接的 UDP 流量。

如何选择 (门户) ：

1. 在Azure 门户中，打开Azure虚拟桌面主机池。

2. 选择“ 网络 -> 公共访问”。

3. 在“公共访问”下，选择“为最终用户启用公共访问”、“对会话主机使用专用访问”或“禁用公共访问并使用专用访问”单选按钮。 对于这些选择，将显示 UDP 选择加入复选框。

4. 选择“允许通过专用链接的直接 UDP 网络路径”启用基于 UDP 的传输 (例如，托管网络) 的 RDP 短路径。

** 重要的配置要求 启用 UDP 选择加入复选框后， 请在“RDP 短路径”选项卡中为 oublic 网络选项禁用RDP 短路径 ：

关闭通过 STUN) (公用网络的 RDP 短路径，通过 TURN) (公共网络关闭 RDP 短路径。

如果这些公共短路径选项保持启用状态并显示配置错误，则门户将阻止“保存”，直到你禁用它们。

配置结果

在相关Azure虚拟桌面工作区和主机池上配置设置，以设置公共或专用访问权限。 对于与工作区的连接，除了用于初始源发现 (全局子资源) 的工作区，下表详细说明了每个方案的结果：

使用 反向连接传输，到主机池的连接有两个网络连接：客户端到网关和会话主机到网关。 除了为这两个连接启用或禁用公共访问外，还可以选择为连接到网关的客户端启用公共访问，并且仅允许连接到网关的会话主机进行专用访问。 下表详细介绍了每个方案的结果：

客户端连接顺序

当用户通过专用链接连接到Azure虚拟桌面，并且Azure虚拟桌面配置为仅允许来自专用路由的客户端连接时，连接顺序如下所示：

1. 使用受支持的客户端时，用户可订阅工作区。 用户的设备在 DNS 中查询地址 rdweb.wvd.microsoft.com (或其他Azure环境的相应地址) 。

2. privatelink-global.wvd.microsoft.com 的专用 DNS 区域返回初始源发现 (全局子资源) 的专用 IP 地址。 如果未使用专用终结点进行初始源发现，则会返回公共 IP 地址。

3. 对于源中的每个工作区，都会对地址 <workspaceId>.privatelink.wvd.microsoft.com进行 DNS 查询。

4. privatelink.wvd.microsoft.com 的专用 DNS 区域返回工作区源下载的专用 IP 地址，并使用 TCP 端口 443 下载源。

5. 连接到远程会话时，.rdp来自工作区源下载的文件包含Azure虚拟桌面网关服务的地址，且用户设备的延迟最低。 对格式 <hostpooId>.afdfp-rdgateway.wvd.microsoft.com为 的地址进行 DNS 查询。

6. privatelink.wvd.microsoft.com 的专用 DNS 区域返回Azure虚拟桌面网关服务的专用 IP 地址，用于提供远程会话的主机池。 通过虚拟网络和专用终结点的业务流程使用 TCP 端口 443。

7. 在业务流程之后，客户端、Azure虚拟桌面网关服务和会话主机之间的网络流量将传输到 TCP 动态端口范围为 1 - 65535 的端口。

已知问题和限制

Azure虚拟桌面专用链接具有以下限制：

• 在将 专用链接 用于Azure虚拟桌面之前，需要在要专用链接Azure虚拟桌面的每个Azure订阅上启用Azure虚拟桌面专用链接。

• 连接到Azure虚拟桌面的所有远程桌面客户端都可以与 专用链接 一起使用。 如果在无法访问 Internet 的专用网络上使用 适用于 Windows 的远程桌面客户端 ，并且订阅了公共和专用源，则无法访问源。

• 将专用终结点更改为主机池后，必须在主机池中的每个会话主机上重启 远程桌面代理加载程序 (RDAgentBootLoader) 服务。 每当更改主机池的网络配置时，还需要重启此服务。 可以重启每个会话主机，而不是重启服务。

• 对托管网络使用 专用链接 和 RDP 短路径目前为预览版。 有关适用于处于 beta 版、预览版或其他尚未正式发布的Azure功能的法律条款，请参阅 Microsoft Azure 预览版补充使用条款。 专用链接不支持使用 STUN 或 TURN 的所有其他 RDP 短路径选项。

• 在Azure虚拟桌面专用链接预览版的早期，初始源发现 (的专用终结点全局子资源) 与工作区和主机池的其他专用终结点共享的privatelink.wvd.microsoft.com专用 DNS 区域名称。 在此配置中，用户无法专门为主机池和工作区建立专用终结点。 从 2023 年 9 月 1 日起，将不再支持在此配置中共享专用 DNS 区域。 需要为 全局 子资源创建新的专用终结点，才能使用 的 privatelink-global.wvd.microsoft.com专用 DNS 区域名称。 有关执行此作的步骤，请参阅 初始源发现。

后续步骤

• 了解如何使用 Azure 虚拟桌面设置专用链接。
• 了解如何专用链接 DNS 集成配置Azure专用终结点 DNS。
• 有关专用链接的常规故障排除指南，请参阅排查Azure专用终结点连接问题。
• 了解Azure虚拟桌面网络连接。
• 有关需要取消阻止以确保网络访问Azure虚拟桌面服务的 URL 列表，请参阅所需的 URL 列表。