AVDプライベートエンドポイント接続
ご質問
Private link for AVDについてご教示ください。
プライベートエンドポイント経由で通信できるのは
①AVDクライアント(手元のローカルPC) ⇒ AVDコントロールプレーン
②AVDクライアント(手元のローカルPC) ⇒ セッションホスト
③セッションホスト ⇒ AVDコントロールプレーン
のうちいづれになりますでしょうか。
いろいろドキュメントを拝見すると
上記3つのいづれかかと思いましたが、そもそも認識違っておりましたらご指摘いただけますと幸いです。
回答
Azure portal で Private Link を設定する
上記公開情報にございます手順では、AVD に関連する3種類の Private Link を設定しています、
こちらを実施いただいた場合、① ・②・③ の AVD のサービスに関連する通信がプライベートエンドポイントを経由して通信を行います。
①AVDクライアント(手元のローカルPC) ⇒ AVDコントロールプレーン
AVD クライアント端末からプライベートエンドポイントを経由してAVD のコントロールプレーン(Gateway, Broker, Web) と通信します。
②AVDクライアント(手元のローカルPC) ⇒ セッションホスト
AVD クライアント端末からプライベートエンドポイントを経由して AVD のコントロールプレーンと通信し、
AVD のコントロールプレーンからプライベートエンドポイントを経由してセッションホストにと通信します。
③セッションホスト ⇒ AVDコントロールプレーン
セッションホストからプライベートエンドポイントを経由して AVD のコントロールプレーンと通信します。
ただしご留意点がございますので以下ご確認いただけますと幸いです。
[ご留意点]
1. セッションホストから AVD コントロールプレーンへの通信はプライベートエンドポイントを経由することができますが、対象となる通信はAVD のサービスのための通信のみとなり、すべての通信がプライベートエンドポイントを経由いたしません。
つきましては AVD のサービスには関わらないその他の通信についてはインターネットを経由する可能性がございます点予めご留意願います。
2. AVD には RDPshortpath という機能がございます。当機能では、クライアント端末からセッションホストまでの通信を AVD のコントロールプレーンを経由せず
直接接続を試みる仕組みとなっております。この場合、クライアント端末とセッションホストの通信はプライベートエンドポイントを経由しない点にご留意いただきますようお願い申し上げます。
追加のご質問
———————————————————————————————
1. セッションホストから AVD コントロールプレーンへの通信はプライベートエンドポイントを経由することができますが、対象となる通信はAVD のサービスのための通信のみとなり、すべての通信がプライベートエンドポイントを経由いたしません。
つきましては AVD のサービスには関わらないその他の通信についてはインターネットを経由する可能性がございます点予めご留意願います。
———————————————————————————————
こちらですが、具体的にプライベートエンドポイント経由となる通信と
プライベートエンドポイントを経由しない通信をそれぞれ教えていただくことは可能でしょうか。
追加の回答
前提としまして、AVD に必要な URL は以下に記載がございます。
Azure Virtual Desktop に必須 URL
https://learn.microsoft.com/ja-jp/azure/virtual-desktop/safe-url-list?tabs=azure
こちらにございます通信の内、AVDの接続確立・画面転送に用いられるサービストラフィック(*.wvd.microsoft.com)がプライベートエンドポイントを経由して通信いたします。
一方でそれ以外の通信についてはプライベートエンドポイントを経由いたしません。
[ご留意点]
Azure Private Link with Azure Virtual Desktopは現在プレビューの段階でございます。
プレビューの機能の動作保証を行う事は出来ない事、一般公開に至るまでの間に、予告なく動作変更が行われる可能性があるといった注意事項がございます事、予めご了承をいただければ幸いでございます。
本機能についてお問い合わせをいただく事自体は可能でございますが、プレビュー段階であるため注意ください
追加のご質問②
最初に、以下はプライベートエンドポイント経由で通信可能だと回答いただいたと思
いますが、
その際に使われているURLは、すべて(*.wvd.microsoft.com)だという認識であってお
りますでしょうか。
①AVDクライアント(手元のローカルPC) ⇒ AVDコントロールプレーン
②AVDクライアント(手元のローカルPC) ⇒ セッションホスト
③セッションホスト ⇒ AVDコントロールプレーン
追加の回答②
具体的には、AVDクライアント <-> AVD コントロールプレーン <-> セッションホスト間では以下の通信が発生します。
・Reverse Connect Transport
・Feed subscription
・RDP Data
・RD Agent communication
これらの通信はすべて*.wvd.microsoft.com にて行われ、プライベートエンドポイントを経由いたします。
それ以外の通信につきましてはプライベートエンドポイントを経由いたしません。
引用:https://learn.microsoft.com/ja-jp/azure/virtual-desktop/network-connectivity
追加のご質問③
>具体的には、AVDクライアント <-> AVD コントロールプレーン <-> セッションホスト間では以下の通信が発生します。
このように回答いただきましたが、
AVDクライアント <-> セッションホスト間
では
・Reverse Connect Transport
・Feed subscription
・RDP Data
・RD Agent communication
これらの通信は発生しないということでしょうか。
「AVDクライアント <-> AVD コントロールプレーン <-> セッションホスト間」という表現の中に「AVDクライアント <-> セッションホスト間」が含まれるか含まれないかがわからなかったので確認させてください。
追加の回答③
RDPshortpath をご利用でない前提となりますが、AVDクライアント <-> セッションホスト間の直接の通信はございません。
AVDクライアントとセッションホストが通信を行う際には、AVD コントロールプレーンを経由いたします。
また、補足となりますが、各通信の具体的な経路は以下となります。
通信経路
■Reverse Connect Transport
クライアント端末 – AVD コントロールプレーン – セッションホスト
■Feed subscription
クライアント端末 – AVD コントロールプレーン(RD Web)
■RDP Data
クライアント端末 – AVD コントロールプレーン – セッションホスト
■RD Agent communication
セッションホスト – AVD コントロールプレーン (RD Broker)
上記の通信では、[クライアント端末・セッションホスト]と[AVD コントロールプレーン(*.wvd.microsoft.com)]に対する通信がございますが、この際に Private Link のエンドポイントを経由いたします。
公開情報 Azure Virtual Desktop のネットワーク接続について: https://learn.microsoft.com/ja-jp/azure/virtual-desktop/network-connectivity