Azure虚拟桌面专用终结点 Private Link详解

已于 2024-07-29 13:13:58 修改
阅读量645 收藏 18
点赞数 14
文章标签: 微软 azure 云计算 microsoft 运维
于 2024-07-17 21:23:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_54833469/article/details/140505388
版权

AVD 专用终结点 Private Link详解

工作原理

参考文档:Azure 虚拟桌面的 Azure 专用链接

使用场景:当本地与云端使用VPN或者专线连接的混合云架构的时候,我们可以通过创建专用终结点,使用一个 Azure 专用链接的方式来,使得本地客户端与Azure虚拟桌面的数据交互走VPN通道,即全部在微软的骨干网内传输,不用经过公网。

说人话就是,我们的目的就是让用户离开了内网环境,离开自己的办公室网络,除非用VPN连进来内网,不然无法登录AVD服务。

怎么实现呢?通过创建专用终结点来实现,而且是创建起码三个专用终结点。

因为Azure 虚拟桌面有三个工作流,或者说三种相应的资源类型,

所以配置流程里面,我们得给工作区创建的两个终结点连接的feed和global资源类型,给主机池创建专用终结点连接connection资源类型,

都要创建之后才能在私有的去访问AVD服务。这些工作流的分别是:

1. 初始源发现(workspace global)

作用:让客户端找到所有分配给用户的工作区。

配置:创建一个专用终结点,用于全局发现。整个Azure虚拟桌面部署只需要一个这样的终结点。

2. 源下载(workspace feed)

作用:客户端下载其工作区的详细连接信息。

配置:为每个工作区创建一个专用终结点。

3. 主机池连接(hostpool connection)

作用:客户端与主机池中的会话主机建立连接。

配置:为每个主机池创建一个专用终结点。

通过这些专用终结点,确保Azure虚拟桌面资源的安全和高效访问。

目的资源类型目标子资源终结点数量
与主机池的连接Microsoft.DesktopVirtualization/hostpools连接每个主机池一个终结点
源下载Microsoft.DesktopVirtualization/workspacesfeed每个工作区一个终结点
初始源发现Microsoft.DesktopVirtualization/workspaces全局仅需一个,可用于你的所有 Azure 虚拟桌面部署

连接示意图
在这里插入图片描述

官方文档有详细讲客户端连接顺序,比较专业性满满

参考客户端连接顺序

我用人话说一遍就是,当你创建了这三个终结点以后,原本是PAAS服务,被托管的各种AVD的组件,比如说broker,gateway,webaccess这些组件突然在你部署终结点的那个网络有了一个个当前网段的内网IP地址,一个终结点对应一个NIC网络接口(网卡)。

AVD客户端往这些IP(终结点)发送数据,他们就会把数据通过一个叫private link的隧道,发往后端对应的AVD组件,就是上面图示。

但问题就出在这里了,AVD客户端去发送数据给终结点的IP,但IP是根据网络情况随机生成的,AVD客户端预先哪里知道它们的IP是什么?他们只能通过预先设置的往某个设好的域名去发送数据,比如说rdweb.wvd.microsoft.com。

你要根据域名去找到对应的IP肯定得去找DNS服务器做地址解析,问题是谁来给你做解析?

有三种办法

Azure 专用DNS区域

Azure private resolver

在本地DNS上手写A记录

先说第一种,解决不了问题,但是说一下原理。你创建终结点的时候会问你要不要使用集成的DNS,你使用了就会创建一个专用DNS区域连接到你想要连接的那个虚拟网络网络,然后在那里建成一个记录集,记录IP和域名的映射关系,如果你那个虚拟网络网络的DNS服务器还是默认的Azure提供的DNS,也即是168.63.129.16的话,那么DNS解析会自动帮你那个虚拟网络的设备解析到不同域名对应的终结点内网IP。

但是如果你改了DNS,比如说我的spoke为了里面的会话主机可以加入本地DC的域,虚拟网络的DNS服务器写了本地DC的内网ip,手动把DNS指向了DC,让DC去做域名解析。可是DC不知道云上的这些域名对应的IP啊,你找他,他只会给你去公网找,然后找到公网这些AVD组件的公网IP,但是你之前禁用了公网访问,访问不了。

所以你要在本地DNS服务器上一条条写这些域名和对应的IP的解析。。。。。,就是手写A记录,让DNS服务器知道,哦,这些域名(终结点)是去这个地址的。然后告诉AVD客户端和spoke里的机器,或者其他所有DNS是本地DNS的设备知道。然后就能成功访问了

第三种方法不说也罢。

然后你看,AVD客户端成功把数据转发向了终结点,和AVD的组件建立了连接,然后就完成注册、验证等一系列动作,这些组件就会告诉AVD客户端会话主机的内网IP地址是哪些,然后AVD客户端就回去连接被分配到的会话主机了。

在这里插入图片描述

配置流程

一、主机池创建终结点

Microsoft.DesktopVirtualization/hostpools

  1. 正常流程创建主机池和工作区、会话主机加入AD域
  2. 在主机池服务里面,侧边栏的“设置”里找到“网络”,禁用公网访问,创建专用终结点
  3. 专用终结点网络接口的区域选择和会话主机一个区域,目标子资源默认connection
  4. 连接资源类型为,默认选中,世纪互联的azure需要激活
  5. 终结点部署在为会话主机、主机池所在的vnet,专用IP和应用程序安全组可保持默认,如无需要
  6. DNS集成选择NO,因为我会话主机的虚拟网络spoke,它的DNS服务器我指向了用vpn连接的本地网络的DNS服务器

二、工作区创建Feed和Global终结点

Microsoft.DesktopVirtualization/workspaces

  1. 同样,在工作区服务的侧边栏找到网络选项,禁用公网访问,创建专用终结点
  2. 剩余流程同主机池,唯一不同是在目标子资源的时候选择Feed,或者global,一共两个终结点都要建一次

三、手动填写A记录配置DNS解析

  1. 在资源组里面找到创建的工作区feed、global、主机池的任意一个专用终结点,进去在侧边栏找到DNS配置,复制rdweb.wvd.microsoft.com的后缀wvd.microsoft.com
    在这里插入图片描述

  2. 在DC的服务器管理上,右上角的“工具”,找到“DNS”,打开DNS管理器

  3. DNS管理上,找到DC的正向查找区域,右键“新建区域”

  4. 新区域视情况所有选项默认,域名填写复制的wvd.microsoft.com

在这里插入图片描述

  1. 右键新建的区域,右键新建主机,添加A记录

  2. 名称填写wvd.microsoft.com之前的,比如rdweb.microsoft.com就只写rdweb,IP填写终结点之前对应的内网IP
    在这里插入图片描述

  3. 在powershell用nslookup一下,可以发现如果成功,解析到的会是代理组件内网的IP而非公网。

在这里插入图片描述
三个终结点缺一不可,都要配置,少一个都可能不成功,feed,global和主机池的终结点

DNS配置A记录示例
在这里插入图片描述

主机池终结点示例

在这里插入图片描述

工作区终结点示例

1. FEED的终结点配置FQDN

在这里插入图片描述

2. global终结点的FQDN

在这里插入图片描述

Ashmcracker
关注
  • 14
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Azure 架构师学习笔记】-Azure Data Factory (5)-Managed VNet
MVP黄钊吉(發糞塗牆)
03-28 703
PaaS服务默认都经过公网传输, 这对很多企业而言并不安全,那么就需要对其进行安全改造,本文介绍一下ADF 在这方面的内容。当我们需要用ADF 访问SQL DB 时,如何使用更加安全?如果有一定ADF 基础的人可能知道ADF 可以使用SHIR,和Azure IR两种主流方式, SHIR 基于VM ,IaaS是可以通过网络配置使其私有化,更加安全。对于Azure IR,默认使用Internet。
java笔记整理
weixin_42615335的博客
10-20 1392
目前比较流行的java技术整理
工作中使用到的单词(软件开发)_2023_0316备份
热门推荐
sun0322
03-16 1万+
目录■Java学习汇总■常用链接■2020/03/15 (最初整理 242个单词)2020 6/28 整理2020 6/29 整理2020 7/6 整理■2020 7/23 整理■2020/10/07 以降整理■2020/11/02 以降整理■2020/12/04 以降整理■2020/12/14以降整理■2021/01/01以降整理■2021/02/22以降整理■匿名内部类,lambda表达式,JDK7新特性,等等java相关■2021/03/18以降整理Linux系统性能 相关■其他各种单词,知识(l
web学习笔记
刘群智的博客
07-27 8155
常用属性............................................................................................ 1 Html基础........................................................................................... 3 ...
Tungsten Fabric入门宝典丨首次启动和运行指南
TungstenFabric的博客
03-27 963
第一次接触TungstenFabric不可错过的建议、代码及精选资源包。
docker 学习
qq_24045275的博客
07-22 1693
1.Docker 简介 1.1.docker 是什么 Docker 最初是 dotCloud 公司创始人 Solomon Hykes 在法国期间发起的一个公司内部项目,它是基于 dotCloud 公司多年云服务技术的一次革新,并于 2013 年 3 月以 Apache 2.0 授权协议开源,主要项目代码在 GitHub 上进行维护。Docker 项目后来还加入了 Linux 基金会,并成立推动 开放容器联盟(OCI)。 Docker 自开源后受到广泛的关注和讨论,至今其 GitHub 项目已经超过 4 万
Nginx手册
weixin_38374686的博客
11-06 8401
worker_connections worker_rlimit_nofile Nginx网络模型 老Nginx模型 ​ 主进程 + 多个 worker 子进程,这也是最常用的一种模型。这种方法的一个通用工作模式就是: 主进程执行 bind() + listen() 后,创建多个子进程; ​ 然后,在每个子进程中,都通过 accept() 或 epoll_wait() ,来处理相同的套接字。 ​ 比如,最常用的反向代理服务器 Nginx 就是这么工作的。它也是由主进程和多个 worker 进程组成。主进
PrivateLink:Azure专用链接上的内容和实验室
05-07
专用链接/端DNS集成资源 与Azure私有链接/端有关的内容和实验室 ... 演示如何使用Azure策略来强制使用私有终结并自动在DNS区域中创建DNS记录: 建议的文章,在确定设计方法时,将讨论专用拓扑。
Docker Machine创建Azure虚拟主机
09-30
Docker Machine 是一个强大的工具,它简化了在各种平台上配置 Docker 环境的过程,包括在云服务提供商如 Azure 上创建和管理虚拟主机。在本文中,我们将深入探讨如何使用 Docker Machine 创建 Azure 虚拟主机,以及...
avd-app-attach-ops:Azure 虚拟桌面 MSIX 应用附加操作
07-24
Azure 虚拟桌面 MSIX 应用程序附加交付Azure 虚拟桌面 (AVD) 最近引入了功能,该功能允许运营团队将 MSIX 包部署到 AVD 基础结构。 AVD MSIX App Attach starter ADO 管道的目标是提供工作流自动化,以使用 MSIX App...
Spring Cloud Azure使用详解.pdf
07-15
### Spring Cloud Azure 使用详解 #### 一、Spring Cloud Azure 概述 **Spring Cloud Azure** 是一款开源项目,旨在简化 **Spring** 应用程序与 **Microsoft Azure** 云服务之间的集成过程。该项目利用 **Spring**...
nodebinar:在Azure函数上运行的无服务器API终结
01-31
Nodebinar 如果您想了解有关使用VS Code进行无服务器入门的更多信息,并观看Azure API Management的演示,可以进行注册并获得网络研讨会的录制版本。部署资源先决条件最新版本的Node(8+) VS代码:Azure Functions ...
AttributeError: module ‘openai’ has no attribute ‘error’
suiusoar
08-12 717
访问 Python 中openai模块的一个不存在的属性error
Azure APIM】解决调用备份接口时的InvalidParameters错误
这家伙很懒,什么都没有留下
08-12 787
Azure API Management(简称Azure APIM)的日常运维中,备份API管理服务是一项重要的操作,它确保了服务的可恢复性和数据的安全性。然而,在尝试执行备份操作时,有时会遇到InvalidParameters错误,这通常是由于配置不当或权限问题导致的。本文将详细解析这一错误的原因、排查步骤及解决方案,并通过实际案例和代码示例,帮助新手朋友更好地理解和解决问题。
Langchain pandas agent - Azure OpenAI account
最新发布
suiusoar
08-15 870
Langchain pandas代理 - Azure OpenAI账户
Azure与Google Cloud Platform(GCP)的云安全策略与最佳实践(第二篇)
艰难的活着
08-12 1072
然而,理解这些平台的独特之处,并实施相应的安全策略,是确保云环境安全的关键。通过结合这些最佳实践和代码示例,用户可以有效提升其在Azure和GCP上的安全水平。Azure负责物理层和基础设施的安全,而用户负责虚拟机、应用、数据及其权限的管理和安全。GCP提供默认的服务器端加密,用户也可以选择客户管理的加密密钥(CMEK)。GCP的共享责任模型类似于AWS和Azure,GCP负责基础设施的安全,用户负责其使用的服务、数据和访问控制的安全。GCP的KMS服务允许用户创建、管理加密密钥,并与其他GCP服务集成。
云HIS区域医疗卫生信息化平台源码,云HIS系统,支持多租户,一套系统可以供多家医院使用
m0_67098612的博客
08-12 477
基于云计算的医院信息管理系统(云HIS),通过SaaS服务模式提供。这种云HIS系统设计考虑了模板化、配置化、智能化和可扩展性,覆盖了基层医疗机构的核心工作流程,并且能够与监管系统无缝对接,满足未来的扩展需求。与传统HIS系统需要每家医院单独部署不同,云HIS系统部署在云端,支持多租户,一套系统可以供多家医院使用。这种方式不仅降低了建设成本,还缩短了实施周期,后期维护也更加方便。
云动态摘要 2024-08-12
cloudcheap的博客
08-12 298
给您带来云厂商的最新动态,最新产品资讯和最新优惠更新。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值