AVDでPrivate Linkを試す！

 

AVD用のプライベートリンクが、や～～っと登場しました！これにより、AVD管理基盤向けの通信が仮想ネットワークを通るように設定できます。ただし、AVD管理基盤向けの通信が対象となるため、AzureAD向けの通信は対象外です。

 

プライベートリンクを通せるのは、２種類の通信になります。
※どちらか一方を通す事も可能です。

①AVDクライアントから、AVD管理基盤向けの通信
※オンプレから接続する際は、プライベートDNSへの名前解決が必要です。
②セッションホストから、AVD管理基盤向けの通信

[global]：Clientが自分に割り当てられた[Workspace/AppGroup]をDBから取得する通信
サブスクリプションごとに１つ必要

[feed]：Clientが選択したAppGroupの[RDP File]を取得する通信(RDP通信を含む)
ワークスペースごとに１つ必要

[connect]：セッションホストからRD Gateway/Brokerへの通信(RDP通信を含む)
ホストプールごとに１つ必要

 

①②のプライベートリンクを通せるのは、下記通信になります。
必要なURL [*.wvd.microsoft.com]
サービスタグ [WindowsVirtualDesktop]

その他の必要な通信はプライベートリンク以外から通す必要がありますので、完全に閉域化できるわけではありません。

同じセッションホストで[RDP Shortpath]と[PrivateLink]の併用はできません。ホストプールをわけて利用する事は可能です。

※PrivateEndpointは、サービス正常性の[Azure Private Link]で監視可能

 

---

全体の流れ

Step１：ホストプール用プライベートエンドポイントの作成
Step２：ワークスペース用プライベートエンドポイントの作成

 

※事前にAVD環境を作成しております。
「Azure Virtual Desktop (AVD) を構築する！」

 

---

Step１：ホストプール用プライベートエンドポイントの作成

 

[ホストプール]ー[ネットワーク]ー[プライベートエンドポイント接続]

 

サブスクリプション：Azureサービスの提供範囲
リソースグループ：グループ名(複数のリソースを1つにグループ化する機能)
名前：表示名
ネットワークインターフェイス名：表示名
地域：デプロイするAzureのリージョン

 

対象サブリソース：※選択肢には[connection]しか無い。

 

仮想ネットワーク：Private Linkを展開する仮想ネットワークを選択
サブネット：Private Linkを展開するサブネットを選択
プライベートIP構成：※動的割り当てを選択
アプリケーションセキュリティグループ：ASGを割り当てる

 

※静的の場合

 

プライベートDNSゾーンと統合する：※はいを選択

 

最後に確認

 

作成したプライベートエンドポイント

 

プライベートエンドポイントとの紐づけが確認できる

 

[ホストプール]ー[ネットワーク]ー[パブリック アクセス]

 

---

Step２：ワークスペース用プライベートエンドポイントの作成

 

[ワークスペース]ー[ネットワーク]ー[プライベートエンドポイント接続]

 

サブスクリプション：Azureサービスの提供範囲
リソースグループ：グループ名(複数のリソースを1つにグループ化する機能)
名前：表示名
ネットワークインターフェイス名：表示名
地域：デプロイするAzureのリージョン

 

対象サブリソース：※ここでは[feed]を選択

 

仮想ネットワーク：Private Linkを展開する仮想ネットワークを選択
サブネット：Private Linkを展開するサブネットを選択
プライベートIP構成：※動的割り当てを選択
アプリケーションセキュリティグループ：ASGを割り当てる

 

※静的の場合

 

プライベートDNSゾーンと統合する：※はいを選択

 

 

※同じように[global]でも作成します。

 

※静的の場合

 

作成したプライベートエンドポイント

 

プライベートエンドポイントとの紐づけが確認できる

 

[ワークスペース]ー[ネットワーク]ー[パブリック アクセス]

 

プライベートDNS　※３つのプライベートエンドポインのゾーンが統合されている

 

---

確認してみましょう！

 

ワークスペースとホストプールの[パブリック アクセス]設定の組み合わせによる接続結果の違いを確認していきます。

 

[ホストプール：すべてのネットワーク有効]　[ワークスペース：すべてのネットワーク有効]
パブリック接続ユーザー：接続可能
プライベート接続ユーザー：接続可能

[ホストプール：ユーザーのパブリック有効]　[ワークスペース：すべてのネットワーク有効]
パブリック接続ユーザー：接続可能
プライベート接続ユーザー：接続可能

[ホストプール：パブリック アクセスを無効]　[ワークスペース：すべてのネットワーク有効]
パブリック接続ユーザー：接続不可
プライベート接続ユーザー：接続可能

※パブリック接続ユーザーの接続不可の画面

 

[ホストプール：すべてのネットワーク有効]　[ワークスペース：パブリック アクセスを無効]
パブリック接続ユーザー：接続不可
プライベート接続ユーザー：接続可能

[ホストプール：ユーザーのパブリック有効]　[ワークスペース：パブリック アクセスを無効]
パブリック接続ユーザー：接続不可
プライベート接続ユーザー：接続可能

[ホストプール：パブリック アクセスを無効]　[ワークスペース：パブリック アクセスを無効]
パブリック接続ユーザー：接続不可
プライベート接続ユーザー：接続可能

※パブリック接続ユーザーの接続不可の画面