AVD用のプライベートリンクが、や~~っと登場しました!これにより、AVD管理基盤向けの通信が仮想ネットワークを通るように設定できます。ただし、AVD管理基盤向けの通信が対象となるため、AzureAD向けの通信は対象外です。
プライベートリンクを通せるのは、2種類の通信になります。
※どちらか一方を通す事も可能です。
①AVDクライアントから、AVD管理基盤向けの通信
※オンプレから接続する際は、プライベートDNSへの名前解決が必要です。
②セッションホストから、AVD管理基盤向けの通信
[global]:Clientが自分に割り当てられた[Workspace/AppGroup]をDBから取得する通信
サブスクリプションごとに1つ必要
[feed]:Clientが選択したAppGroupの[RDP File]を取得する通信(RDP通信を含む)
ワークスペースごとに1つ必要
[connect]:セッションホストからRD Gateway/Brokerへの通信(RDP通信を含む)
ホストプールごとに1つ必要
①②のプライベートリンクを通せるのは、下記通信になります。
必要なURL [*.wvd.microsoft.com]
サービスタグ [WindowsVirtualDesktop]
その他の必要な通信はプライベートリンク以外から通す必要がありますので、完全に閉域化できるわけではありません。
同じセッションホストで[RDP Shortpath]と[PrivateLink]を併用する事でGWをバイパスする事ができます。※RDP Shortpath STUN/TURNではサポートされません。
※PrivateEndpointは、サービス正常性の[Azure Private Link]で監視可能
全体の流れ
Step1:ホストプール用プライベートエンドポイントの作成
Step2:ワークスペース用プライベートエンドポイントの作成
※事前にAVD環境を作成しております。
「Azure Virtual Desktop (AVD) を構築する!」
Step1:ホストプール用プライベートエンドポイントの作成
[ホストプール]ー[ネットワーク]ー[プライベートエンドポイント接続]
サブスクリプション:Azureサービスの提供範囲
リソースグループ:グループ名(複数のリソースを1つにグループ化する機能)
名前:表示名
ネットワークインターフェイス名:表示名
地域:デプロイするAzureのリージョン
対象サブリソース:※選択肢には[connection]しか無い。
仮想ネットワーク:Private Linkを展開する仮想ネットワークを選択
サブネット:Private Linkを展開するサブネットを選択
プライベートIP構成:※動的割り当てを選択
アプリケーションセキュリティグループ:ASGを割り当てる
※静的の場合
プライベートDNSゾーンと統合する:※はいを選択
最後に確認
作成したプライベートエンドポイント
プライベートエンドポイントとの紐づけが確認できる
[ホストプール]ー[ネットワーク]ー[パブリック アクセス]
Step2:ワークスペース用プライベートエンドポイントの作成
[ワークスペース]ー[ネットワーク]ー[プライベートエンドポイント接続]
サブスクリプション:Azureサービスの提供範囲
リソースグループ:グループ名(複数のリソースを1つにグループ化する機能)
名前:表示名
ネットワークインターフェイス名:表示名
地域:デプロイするAzureのリージョン
対象サブリソース:※ここでは[feed]を選択
仮想ネットワーク:Private Linkを展開する仮想ネットワークを選択
サブネット:Private Linkを展開するサブネットを選択
プライベートIP構成:※動的割り当てを選択
アプリケーションセキュリティグループ:ASGを割り当てる
※静的の場合
プライベートDNSゾーンと統合する:※はいを選択
※同じように[global]でも作成します。
※静的の場合
作成したプライベートエンドポイント
プライベートエンドポイントとの紐づけが確認できる
[ワークスペース]ー[ネットワーク]ー[パブリック アクセス]
プライベートDNS ※3つのプライベートエンドポインのゾーンが統合されている
確認してみましょう!
ワークスペースとホストプールの[パブリック アクセス]設定の組み合わせによる接続結果の違いを確認していきます。
[ホストプール:すべてのネットワーク有効] [ワークスペース:すべてのネットワーク有効]
パブリック接続ユーザー:接続可能
プライベート接続ユーザー:接続可能
[ホストプール:ユーザーのパブリック有効] [ワークスペース:すべてのネットワーク有効]
パブリック接続ユーザー:接続可能
プライベート接続ユーザー:接続可能
[ホストプール:パブリック アクセスを無効] [ワークスペース:すべてのネットワーク有効]
パブリック接続ユーザー:接続不可
プライベート接続ユーザー:接続可能
※パブリック接続ユーザーの接続不可の画面
[ホストプール:すべてのネットワーク有効] [ワークスペース:パブリック アクセスを無効]
パブリック接続ユーザー:接続不可
プライベート接続ユーザー:接続可能
[ホストプール:ユーザーのパブリック有効] [ワークスペース:パブリック アクセスを無効]
パブリック接続ユーザー:接続不可
プライベート接続ユーザー:接続可能
[ホストプール:パブリック アクセスを無効] [ワークスペース:パブリック アクセスを無効]
パブリック接続ユーザー:接続不可
プライベート接続ユーザー:接続可能
※パブリック接続ユーザーの接続不可の画面
![[AZ-140] Azure Virtual Desktop Specialty を攻略する!](https://www.cloudou.net/wp-content/uploads/2021/07/azure-virtual-desktop-specialty--100x100.png)
