AVDでPrivate Linkを試す！

 

AVD用のプライベートリンクが、や～～っと登場しました！これにより、AVD管理基盤向けの通信が仮想ネットワークを通るように設定できます。ただし、AVD管理基盤向けの通信が対象となるため、AzureAD向けの通信は対象外です。

 

プライベートリンクを通せるのは、２種類の通信になります。
※どちらか一方を通す事も可能です。

①AVDクライアントから、AVD管理基盤向けの通信
※オンプレから接続する際は、プライベートDNSへの名前解決が必要です。
②セッションホストから、AVD管理基盤向けの通信

[global]：Clientが自分に割り当てられた[Workspace/AppGroup]をDBから取得する通信
サブスクリプションごとに１つ必要

[feed]：Clientが選択したAppGroupの[RDP File]を取得する通信(RDP通信を含む)
ワークスペースごとに１つ必要

[connect]：セッションホストからRD Gateway/Brokerへの通信(RDP通信を含む)
ホストプールごとに１つ必要

 

①②のプライベートリンクを通せるのは、下記通信になります。
必要なURL [*.wvd.microsoft.com]
サービスタグ [WindowsVirtualDesktop]

その他の必要な通信はプライベートリンク以外から通す必要がありますので、完全に閉域化できるわけではありません。

同じセッションホストで[RDP Shortpath]と[PrivateLink]の併用はできません。ホストプールをわけて利用する事は可能です。

 

---

全体の流れ

Step１：ホストプール用プライベートエンドポイントの作成
Step２：ワークスペース用プライベートエンドポイントの作成

 

※事前にAVD環境を作成しております。
「Azure Virtual Desktop (AVD) を構築する！」

 

---

Step１：ホストプール用プライベートエンドポイントの作成

 

[ホストプール]ー[ネットワーク]ー[プライベートエンドポイント接続]

 

サブスクリプション：Azureサービスの提供範囲
リソースグループ：グループ名(複数のリソースを1つにグループ化する機能)
名前：表示名
ネットワークインターフェイス名：表示名
地域：デプロイするAzureのリージョン

 

対象サブリソース：※選択肢には[connection]しか無い。

 

仮想ネットワーク：Private Linkを展開する仮想ネットワークを選択
サブネット：Private Linkを展開するサブネットを選択
プライベートIP構成：※動的割り当てを選択
アプリケーションセキュリティグループ：ASGを割り当てる

 

※静的の場合

 

プライベートDNSゾーンと統合する：※はいを選択

 

最後に確認

 

作成したプライベートエンドポイント

 

プライベートエンドポイントとの紐づけが確認できる

 

[ホストプール]ー[ネットワーク]ー[パブリック アクセス]

 

---

Step２：ワークスペース用プライベートエンドポイントの作成

 

[ワークスペース]ー[ネットワーク]ー[プライベートエンドポイント接続]

 

サブスクリプション：Azureサービスの提供範囲
リソースグループ：グループ名(複数のリソースを1つにグループ化する機能)
名前：表示名
ネットワークインターフェイス名：表示名
地域：デプロイするAzureのリージョン

 

対象サブリソース：※ここでは[feed]を選択

 

仮想ネットワーク：Private Linkを展開する仮想ネットワークを選択
サブネット：Private Linkを展開するサブネットを選択
プライベートIP構成：※動的割り当てを選択
アプリケーションセキュリティグループ：ASGを割り当てる

 

※静的の場合

 

プライベートDNSゾーンと統合する：※はいを選択

 

 

※同じように[global]でも作成します。

 

※静的の場合

 

作成したプライベートエンドポイント

 

プライベートエンドポイントとの紐づけが確認できる

 

[ワークスペース]ー[ネットワーク]ー[ファイアーウォールと仮想ネットワーク]

 

プライベートDNS　※３つのプライベートエンドポインのゾーンが統合されている

 

---

確認してみましょう！

 

ワークスペースとホストプールの[ファイアーウォールと仮想ネットワーク]設定のオフ/オンの違いによるインターネット経由での接続結果を確認していきます。

結果から、プライベートリンク機能は、インターネット経由で利用するものでは無いですね。
プライベートネットワーク(社内)から接続した場合は、どの設定パターンでも接続できます。

 

[ワークスペース：オフ]　[ホストプール：オフ/オフ]
※プライベートリンクが強制されているので、ワークスペースに接続できません。

 

[ワークスペース：オン]　[ホストプール：オフ/オフ]
※ワークスペースに接続できましたが、セッションホストに接続できません。

 

[ワークスペース：オン]　[ホストプール：オン/オフ]　※[オフ/オン]も同じ結果

 

[ワークスペース：オン]　[ホストプール：オン/オン]