مشاركة عبر

اعتبارات الشبكات والاتصال لأحمال عمل Azure Virtual Desktop

  • مقالة

تتناول هذه المقالة منطقة تصميم الشبكات والاتصال لحمل عمل Azure Virtual Desktop. من الضروري تصميم قدرات شبكة Azure وتنفيذها لمنطقة هبوط Azure Virtual Desktop. كأساس، تستخدم هذه المقالة العديد من المبادئ والتوصيات المعمارية للمنطقة المنتقل إليها على نطاق المؤسسة في Azure Well-Architected Framework. من خلال البناء على هذه الإرشادات، توضح لك هذه المقالة كيفية إدارة تخطيط الشبكة والاتصال على نطاق واسع.

هام

تعد هذه المقالة جزءا من سلسلة حمل عمل Azure Well-Architected Framework Azure Virtual Desktop . إذا لم تكن على دراية بهذه السلسلة، نوصي بالبدء بما هو حمل عمل Azure Virtual Desktop؟.

زمن انتقال العميل

التأثير: كفاءة الأداء

زمن الانتقال بين المستخدمين النهائيين ومضيفي الجلسة هو جانب رئيسي يؤثر على تجربة مستخدم Azure Virtual Desktop. يمكنك استخدام أداة Azure Virtual Desktop Experience Estimator للمساعدة في تقدير أوقات الاتصال ذهابا وإيابا (RTTs). على وجه التحديد، تقدر هذه الأداة RTTs من مواقع المستخدم من خلال خدمة Azure Virtual Desktop إلى كل منطقة Azure تقوم فيها بتوزيع الأجهزة الظاهرية (VMs).

لتقييم جودة تجربة المستخدم النهائي:

  • اختبار زمن الانتقال من طرف إلى طرف في بيئات التطوير والاختبار وإثبات المفهوم. يجب أن يأخذ هذا الاختبار في الاعتبار التجربة الفعلية للمستخدمين. يجب أن تفكر في عوامل مثل ظروف الشبكة وأجهزة المستخدم النهائي وتكوين الأجهزة الظاهرية المنشورة.
  • ضع في اعتبارك أن زمن الانتقال هو جانب واحد فقط من الاتصال بالبروتوكولات البعيدة. يؤثر النطاق الترددي وعبء عمل المستخدم أيضا على تجربة المستخدم النهائي.
التوصيات
  • استخدم Azure Virtual Desktop Experience Estimator لجمع قيم زمن الانتقال المقدرة.
  • اختبار زمن الانتقال من شبكات Azure الظاهرية إلى الأنظمة المحلية.
  • استخدم نفقا منقسما يستند إلى بروتوكول مخطط بيانات المستخدم (UDP) للعملاء الذين يستخدمون اتصال VPN من نقطة إلى موقع (P2S).
  • استخدم المسار القصير لبروتوكول سطح المكتب البعيد (RDP) مع شبكة مدارة للعملاء في الموقع الذين يستخدمون VPN أو Azure ExpressRoute.

الاتصال المحلي (الشبكات المختلطة)

التأثير: كفاءة الأداء، التميز التشغيلي

تستخدم بعض المؤسسات نماذج مختلطة تتضمن موارد محلية وموارد سحابية. في العديد من الحالات المختلطة، تحتاج مهام سير عمل المستخدم النهائي التي تعمل على Azure Virtual Desktop إلى الوصول إلى الموارد المحلية مثل الخدمات المشتركة أو النظام الأساسي أو البيانات أو التطبيقات.

عند تنفيذ الشبكات المختلطة، راجع أفضل الممارسات والتوصيات في مقالة تخطيط شبكة Cloud Adoption Framework والاتصال .

من المهم المحاذاة مع نموذج تحجيم Azure Virtual Desktop الموضح في دمج حمل عمل Azure Virtual Desktop مع مناطق هبوط Azure. لاتباع هذا النموذج:

  • تقييم متطلبات زمن الانتقال وعرض النطاق الترددي لسير عمل Azure Virtual Desktop التي تتصل بالأنظمة المحلية. هذه المعلومات حاسمة عند تصميم بنية الشبكات المختلطة الخاصة بك.
  • تأكد من عدم وجود عناوين IP متداخلة بين الشبكات الفرعية ل Azure Virtual Desktop والشبكات المحلية. نوصي بتعيين مهمة عنوان IP لمهندسي الشبكة الذين هم مالكو اشتراك الاتصال الخاص بك.
  • امنح كل منطقة هبوط Azure Virtual Desktop تكوين الشبكة الظاهرية والشبكة الفرعية الخاصة بها.
  • حجم الشبكات الفرعية بشكل مناسب من خلال النظر في النمو المحتمل عند تحديد مقدار مساحة عنوان IP المطلوبة.
  • استخدم رمز التوجيه الذكي بين المجالات (CIDR) دون فئة IP لتجنب إهدار مساحة عنوان IP.
التوصيات
  • راجع أفضل الممارسات لتوصيل شبكات Azure الظاهرية بالأنظمة المحلية.
  • اختبار زمن الانتقال من شبكات Azure الظاهرية إلى الأنظمة المحلية.
  • تأكد من عدم استخدام عناوين IP متداخلة في منطقة هبوط Azure Virtual Desktop.
  • امنح كل منطقة هبوط Azure Virtual Desktop تكوين الشبكة الظاهرية والشبكة الفرعية الخاصة بها.
  • ضع في اعتبارك النمو المحتمل عند حجم الشبكات الفرعية ل Azure Virtual Desktop.

الاتصال متعدد المناطق

التأثير: كفاءة الأداء، تحسين التكلفة

بالنسبة للتوزيع متعدد المناطق في Azure Virtual Desktop لتقديم أفضل تجربة ممكنة للمستخدمين النهائيين، يجب أن يأخذ تصميمك العوامل التالية في الاعتبار:

  • خدمات النظام الأساسي، مثل الهوية وتحليل الاسم والاتصال المختلط وخدمات التخزين. يعد الاتصال من مضيفي جلسة Azure Virtual Desktop بهذه الخدمات أمرا أساسيا لكي تعمل الخدمة. ونتيجة لذلك، يهدف التصميم المثالي إلى خفض زمن الانتقال من الشبكات الفرعية لمنطقة هبوط Azure Virtual Desktop إلى هذه الخدمات. يمكنك تحقيق هذا الهدف عن طريق نسخ الخدمات نسخا متماثلا إلى كل منطقة أو إتاحتها عبر الاتصال بأقل زمن انتقال ممكن.
  • زمن انتقال المستخدم النهائي. عند تحديد مواقع لاستخدامها لنشر Azure Virtual Desktop متعدد المناطق، من المهم حساب زمن الانتقال الذي يواجهه المستخدمون عند الاتصال بالخدمة. نوصي بجمع بيانات زمن الانتقال من محتوى المستخدم النهائي باستخدام Azure Virtual Desktop Experience Estimator عند تحديد مناطق Azure لنشر مضيفي الجلسة إليها.

ضع في اعتبارك أيضا العوامل التالية:

  • تبعيات التطبيق عبر المناطق.
  • توفر وحدة SKU للجهاز الظاهري.
  • تكاليف الشبكات المرتبطة بالدخول إلى الإنترنت، وحركة المرور عبر المناطق، وحركة المرور المختلطة (المحلية) التي تتطلبها تبعيات التطبيق أو حمل العمل.
  • الحمل الإضافي الذي تضعه ميزة ذاكرة التخزين المؤقت السحابية FSLogix على الشبكات. هذا العامل ذو صلة فقط إذا كنت تستخدم هذه الميزة لنسخ بيانات ملف تعريف المستخدم نسخا متماثلا بين مناطق مختلفة. ضع في اعتبارك أيضا تكلفة زيادة نسبة استخدام الشبكة والتخزين التي تستخدمها هذه الميزة.

إذا كان ذلك ممكنا، فاستخدم وحدات SKU الخاصة بالجهاز الظاهري التي توفر شبكات متسارعة. في أحمال العمل التي تستخدم النطاق الترددي العالي، يمكن أن تقلل الشبكات المتسارعة من استخدام وحدة المعالجة المركزية وا لزمن الانتقال.

يؤثر النطاق الترددي المتاح لشبكتك بشكل كبير على جودة جلسات العمل عن بعد. ونتيجة لذلك، من الممارسات الجيدة تقييم متطلبات النطاق الترددي للشبكات للمستخدمين لضمان توفر نطاق ترددي كاف للتبعيات المحلية.

التوصيات
  • قم بنسخ النظام الأساسي والخدمات المشتركة إلى كل منطقة كلما سمحت لك النهج الداخلية بذلك.
  • استخدم وحدات SKU الخاصة بالجهاز الظاهري التي توفر شبكات متسارعة إن أمكن.
  • قم بتضمين تقديرات زمن انتقال المستخدم النهائي في عملية تحديد منطقتك.
  • خذ أنواع حمل العمل في الاعتبار عند تقدير متطلبات النطاق الترددي، ومراقبة اتصالات المستخدم الحقيقي.

أمان الشبكة

التأثير: الأمان، وتحسين التكلفة، والتميز التشغيلي

تقليديا، كان أمان الشبكة هو محور جهود أمان المؤسسة. ولكن الحوسبة السحابية زادت من متطلبات أن تكون محيطات الشبكة أكثر سامية، وقد أتقن العديد من المهاجمين فن الهجمات على عناصر نظام الهوية. توفر النقاط التالية نظرة عامة على الحد الأدنى لمتطلبات جدار الحماية لنشر Azure Virtual Desktop. يوفر هذا القسم أيضا توصيات للاتصال بجدار حماية والوصول إلى التطبيقات التي تتطلب هذه الخدمة.

  • لا توفر عناصر التحكم التقليدية في الشبكة التي تستند إلى نهج إنترانت موثوق به ضمانات أمان للتطبيقات السحابية بشكل فعال.
  • يوفر دمج السجلات من أجهزة الشبكة وحركة مرور الشبكة الأولية رؤية لتهديدات الأمان المحتملة.
  • معظم المنظمات في نهاية المطاف تضيف المزيد من الموارد إلى الشبكات مما كان مقررا في البداية. ونتيجة لذلك، يجب إعادة بناء التعليمات البرمجية لعنوان IP وأنظمة الشبكة الفرعية لاستيعاب الموارد الإضافية. هذه العملية كثيفة العمالة. هناك قيمة أمان محدودة في إنشاء عدد كبير من الشبكات الفرعية الصغيرة ثم محاولة تعيين عناصر التحكم في الوصول إلى الشبكة، مثل مجموعات الأمان، لكل منها.

للحصول على معلومات عامة حول حماية الأصول من خلال وضع عناصر تحكم في حركة مرور الشبكة، راجع توصيات الشبكات والاتصال.

التوصيات
  • فهم التكوينات المطلوبة لاستخدام Azure Firewall في التوزيع الخاص بك. للحصول على مزيد من المعلومات، راجعاستخدامAzure Firewall لحماية عمليات توزيع خدمةAzure Virtual Desktop.
  • إنشاء مجموعات أمان الشبكة ومجموعات أمان التطبيقات لتقسيم حركة مرور Azure Virtual Desktop. تساعدك هذه الممارسة على عزل الشبكات الفرعية الخاصة بك عن طريق التحكم في تدفقات نسبة استخدام الشبكة الخاصة بها.
  • استخدم علامات الخدمة بدلا من عناوين IP محددة لخدمات Azure. نظرا لتغيير العناوين، يقلل هذا الأسلوب من تعقيد تحديث قواعد أمان الشبكة بشكل متكرر.
  • تعرف على عناوين URL المطلوبة ل Azure Virtual Desktop.
  • استخدم جدول توجيه للسماح لنسبة استخدام الشبكة Azure Virtual Desktop بتجاوز أي قواعد نفق إجبارية تستخدمها لتوجيه نسبة استخدام الشبكة إلى جدار حماية أو جهاز ظاهري للشبكة (NVA). وإلا، يمكن أن يؤثر التوجيه النفقي القسري على أداء وموثوقية اتصال عملائك.
  • استخدم نقاط النهاية الخاصة للمساعدة في حماية حلول النظام الأساسي كخدمة (PaaS) مثل Azure Files وAzure Key Vault. ولكن ضع في اعتبارك تكلفة استخدام نقاط النهاية الخاصة.
  • اضبط خيارات التكوين ل Azure Private Link. عند استخدام هذه الخدمة مع Azure Virtual Desktop، يمكنك تعطيل نقاط النهاية العامة لمكونات وحدة تحكم Azure Virtual Desktop واستخدام نقاط النهاية الخاصة لتجنب استخدام عناوين IP العامة.
  • تنفيذ نهج جدار الحماية الصارمة إذا كنت تستخدم خدمات مجال Active Directory (AD DS). تستند هذه النهج إلى نسبة استخدام الشبكة المطلوبة عبر مجالك.
  • ضع في اعتبارك استخدام Azure Firewall أو تصفية الويب NVA للمساعدة في حماية وصول المستخدمين النهائيين إلى الإنترنت من مضيفي جلسة Azure Virtual Desktop.

التأثير: الأمان

بشكل افتراضي، يتم إنشاء الاتصالات بموارد Azure Virtual Desktop من خلال نقطة نهاية يمكن الوصول إليها بشكل عام. في بعض السيناريوهات، تحتاج نسبة استخدام الشبكة إلى استخدام اتصالات خاصة. يمكن لهذه السيناريوهات استخدام Private Link للاتصال بشكل خاص بموارد Azure Virtual Desktop البعيدة. لمزيد من المعلومات، راجع Azure Private Link مع Azure Virtual Desktop. عند إنشاء نقطة نهاية خاصة، تظل نسبة استخدام الشبكة بين شبكتك الظاهرية والخدمة على شبكة Microsoft. لا تتعرض خدمتك للإنترنت العام.

يمكنك استخدام نقاط النهاية الخاصة ل Azure Virtual Desktop لدعم السيناريوهات التالية:

  • يستخدم عملاؤك أو المستخدمون النهائيون والأجهزة الظاهرية لمضيف الجلسة مسارات خاصة.
  • يستخدم عملاؤك أو المستخدمون النهائيون المسارات العامة بينما تستخدم الأجهزة الظاهرية لمضيف الجلسة مسارات خاصة.

يتمتع مضيفو جلسة Azure Virtual Desktop بنفس متطلبات تحليل الاسم مثل أي أحمال عمل أخرى للبنية الأساسية كخدمة (IaaS). ونتيجة لذلك، يتطلب مضيفو الجلسة الاتصال بخدمات تحليل الاسم التي تم تكوينها لحل عناوين IP الخاصة بنقطة النهاية. وبالتالي، عند استخدام نقاط النهاية الخاصة، تحتاج إلى تكوين إعدادات DNS محددة. للحصول على معلومات مفصلة، راجع تكوين DNS لنقطة النهاية الخاصة ل Azure.

يتوفر الارتباط الخاص أيضا لخدمات Azure الأخرى التي تعمل جنبا إلى جنب مع Azure Virtual Desktop، مثل ملفات Azure Key Vault. نوصي أيضا بتنفيذ نقاط النهاية الخاصة لهذه الخدمات للحفاظ على خصوصية نسبة استخدام الشبكة.

التوصيات

RDP Shortpath

التأثير: كفاءة الأداء، تحسين التكلفة

RDP Shortpath هي ميزة من ميزات Azure Virtual Desktop المتوفرة للشبكات المدارة وغير المدارة.

  • بالنسبة للشبكات المدارة، ينشئ RDP Shortpath اتصالا مباشرا بين عميل سطح مكتب بعيد ومضيف جلسة عمل. يعتمد النقل على UDP. من خلال إزالة نقاط الترحيل الإضافية، يقلل RDP Shortpath من وقت الرحلة ذهابا وإيابا، مما يحسن تجربة المستخدم في التطبيقات الحساسة لزمن الانتقال وأساليب الإدخال. لدعم RDP Shortpath، يحتاج عميل Azure Virtual Desktop إلى خط رؤية مباشر لمضيف الجلسة. يحتاج العميل أيضا إلى تثبيت عميل Windows Desktop وتشغيل Windows 11 أو Windows 10.
  • بالنسبة للشبكات غير المدارة، يمكن وجود نوعين من الاتصالات:
    • يتم إنشاء اتصال مباشر بين العميل ومضيف الجلسة. يتم استخدام اجتياز بسيط أسفل ترجمة عنوان الشبكة (STUN) وإنشاء الاتصال التفاعلي (ICE) لإنشاء الاتصال. يعزز هذا التكوين موثوقية النقل ل Azure Virtual Desktop. لمزيد من المعلومات، راجع كيفية عمل RDP Shortpath.
    • يتم إنشاء اتصال UDP غير مباشر. يتغلب على قيود ترجمة عنوان الشبكة (NAT) باستخدام بروتوكول Traversal Using Relay NAT (TURN) مع ترحيل بين العميل ومضيف الجلسة.

مع النقل الذي يستند إلى بروتوكول التحكم في الإرسال (TCP)، تتدفق نسبة استخدام الشبكة الصادرة من جهاز ظاهري إلى عميل RDP من خلال بوابة Azure Virtual Desktop. باستخدام RDP Shortpath، تتدفق نسبة استخدام الشبكة الصادرة مباشرة بين مضيف الجلسة وعميل RDP عبر الإنترنت. يساعد هذا التكوين على التخلص من القفزة وتحسين زمن الانتقال وتجربة المستخدم النهائي.

التوصيات
  • استخدم RDP Shortpath للمساعدة في تحسين زمن الانتقال وتجربة المستخدم النهائي.
  • كن على دراية بتوفر نماذج اتصال RDP Shortpath.
  • كن على دراية برسوم RDP Shortpath.

الخطوات التالية

الآن بعد أن فحصت الشبكات والاتصال في Azure Virtual Desktop، تحقق من أفضل الممارسات لمراقبة البنية الأساسية وعبء العمل.

المراقبة

استخدم أداة التقييم لتقييم خيارات التصميم الخاصة بك.

تقييم