Azure Virtual Desktop pro velké organizace

Microsoft Entra ID

Microsoft Entra

Azure Virtual Network

Azure Virtual Desktop

Azure Virtual Desktop je desktopová a aplikační virtualizační služba, která běží v Azure. Tento článek je určený k tomu, aby pomohl architektům, cloudovým architektům, správcům plochy a správcům systému prozkoumat Azure Virtual Desktop a vytvářet virtualizovaná řešení infrastruktury virtuálních klientských počítačů (VDI) v podnikovém měřítku. Řešení na podnikové úrovni obecně pokrývají 1 000 nebo více virtuálních ploch.

Architektura

Typické nastavení architektury pro Azure Virtual Desktop je znázorněno v následujícím diagramu:

Stáhněte si soubor Visia této architektury.

Tok dat

Prvky toku dat diagramu jsou popsané tady:

• Koncové body aplikace jsou v místní síti zákazníka. Azure ExpressRoute rozšiřuje místní síť do Azure a Microsoft Entra Connect integruje službu Doména služby Active Directory Services zákazníka (AD DS) s ID Microsoft Entra.

• Řídicí rovina služby Azure Virtual Desktop zpracovává webový přístup, bránu, zprostředkovatele, diagnostiku a komponenty rozšiřitelnosti, jako jsou rozhraní REST API.

• Zákazník spravuje AD DS a Microsoft Entra ID, předplatná Azure, virtuální sítě, Soubory Azure nebo Azure NetApp Files a fondy hostitelů a pracovní prostory služby Azure Virtual Desktop.

• Pokud chce zákazník zvýšit kapacitu, používá dvě předplatná Azure v hvězdicové architektuře a připojuje je prostřednictvím partnerského vztahu virtuálních sítí.

Další informace o kontejneru profilů FSLogix – Osvědčené postupy pro Azure Files a Azure NetApp Files najdete v příkladech konfigurace FSLogix.

Komponenty

Architektura služby Azure Virtual Desktop je podobná službě Vzdálená plocha (RDS) windows Serveru. I když Microsoft spravuje infrastrukturu a zprostředkující komponenty, podnikoví zákazníci spravují své vlastní hostitelské virtuální počítače stolních počítačů, data a klienty.

Komponenty, které spravuje Microsoft

Microsoft spravuje následující služby Azure Virtual Desktop v rámci Azure:

• Web Access: Pomocí služby Web Access v rámci služby Azure Virtual Desktop můžete přistupovat k virtuálním plochám a vzdáleným aplikacím prostřednictvím webového prohlížeče kompatibilního s HTML5 stejně jako s místním počítačem, odkudkoli a na jakémkoli zařízení. Webový přístup můžete zabezpečit pomocí vícefaktorového ověřování v MICROSOFT Entra ID.

• Brána: Služba Brána vzdáleného připojení připojuje vzdálené uživatele k aplikacím a plochám služby Azure Virtual Desktop z libovolného zařízení připojeného k internetu, které může spustit klienta služby Azure Virtual Desktop. Klient se připojí k bráně, která pak orchestruje připojení z virtuálního počítače zpět ke stejné bráně.

• Zprostředkovatel připojení: Služba Zprostředkovatel připojení spravuje uživatelská připojení k virtuálním plochám a vzdáleným aplikacím. Zprostředkovatel připojení poskytuje vyrovnávání zatížení a opětovné připojení k existujícím relacím.

• Diagnostika: Diagnostika vzdálené plochy je agregátor založený na událostech, který označuje každou akci uživatele nebo správce v nasazení služby Azure Virtual Desktop jako úspěch nebo selhání. Správci můžou agregaci událostí dotazovat, aby identifikovali neúspěšné součásti.

• Komponenty rozšiřitelnosti: Azure Virtual Desktop zahrnuje několik komponent rozšiřitelnosti. Azure Virtual Desktop můžete spravovat pomocí Windows PowerShellu nebo pomocí poskytovaných rozhraní REST API, která také umožňují podporu z nástrojů třetích stran.

Komponenty, které spravujete

Spravujete následující komponenty řešení Azure Virtual Desktop:

• Azure Virtual Network: S Azure Virtual Network můžou prostředky Azure, jako jsou virtuální počítače, vzájemně komunikovat soukromě a s internetem. Připojením fondů hostitelů Služby Azure Virtual Desktop k doméně služby Active Directory můžete definovat topologii sítě pro přístup k virtuálním desktopům a virtuálním aplikacím z intranetu nebo internetu na základě zásad organizace. Instanci Služby Azure Virtual Desktop můžete připojit k místní síti pomocí virtuální privátní sítě (VPN), nebo můžete použít Azure ExpressRoute k rozšíření místní sítě do Azure přes privátní připojení.

• Microsoft Entra ID: Azure Virtual Desktop používá k správě identit a přístupu ID Microsoft Entra . Integrace Microsoft Entra používá funkce zabezpečení Microsoft Entra, jako je podmíněný přístup, vícefaktorové ověřování a Intelligent Security Graph a pomáhá udržovat kompatibilitu aplikací ve virtuálních počítačích připojených k doméně.

• Active Directory Domain Services (volitelné): Virtuální počítače služby Azure Virtual Desktop můžou být buď připojené k doméně ke službě AD DS , nebo pomocí nasazení virtuálních počítačů připojených k Microsoft Entra ve službě Azure Virtual Desktop

  • Pokud používáte doménu SLUŽBY AD DS, musí být doména synchronizovaná s ID Microsoft Entra, aby bylo možné přidružit uživatele mezi těmito dvěma službami. Pomocí nástroje Microsoft Entra Connect můžete přidružit službu AD DS k ID Microsoft Entra.
  • Při použití připojení k Microsoft Entra zkontrolujte podporované konfigurace a ujistěte se, že je váš scénář podporovaný.

• Hostitelé relací služby Azure Virtual Desktop: Hostitelé relací jsou virtuální počítače, ke kterým se uživatelé připojují pro své desktopy a aplikace. Podporuje se několik verzí Windows a můžete vytvářet image s aplikacemi a vlastními nastaveními. Můžete zvolit velikosti virtuálních počítačů, včetně virtuálních počítačů s podporou GPU. Každý hostitel relace má agenta hostitele služby Azure Virtual Desktop, který virtuální počítač zaregistruje jako součást pracovního prostoru nebo tenanta Služby Azure Virtual Desktop. Každý fond hostitelů může mít jednu nebo více skupin aplikací, což jsou kolekce vzdálených aplikací nebo relací plochy, ke kterým máte přístup. Informace o podporovaných verzích Windows najdete v tématu Operační systémy a licence.

• Pracovní prostor Služby Azure Virtual Desktop: Pracovní prostor nebo tenant Služby Azure Virtual Desktop je konstruktor správy pro správu a publikování prostředků fondu hostitelů.

Podrobnosti scénáře

Potenciální případy použití

Největší poptávka po podnikových řešeních virtuálních klientských počítačů pochází z následujících:

• Aplikace zabezpečení a regulace, jako jsou finanční služby, zdravotnictví a státní správa.

• Potřeby elastických pracovníků, jako je práce na dálku, fúze a akvizice, krátkodobé zaměstnance, dodavatelé a přístup k partnerům.

• Konkrétní zaměstnanci, například přineste si vlastní zařízení (BYOD) a mobilní uživatele, call centra a pracovníky poboček.

• Specializované úlohy, jako je návrh a příprava, starší verze aplikací a testování vývoje softwaru.

Osobní a poolované stolní počítače

Pomocí osobních desktopových řešení, někdy označovaných jako trvalé plochy, se uživatelé můžou vždy připojit ke stejnému konkrétnímu hostiteli relace. Uživatelé můžou obvykle upravovat své desktopové prostředí tak, aby vyhovovaly osobním preferencím, a můžou ukládat soubory v desktopovém prostředí. Osobní desktopová řešení:

• Umožnit uživatelům přizpůsobit si desktopové prostředí, včetně aplikací nainstalovaných uživatelem, a uživatelé můžou ukládat soubory v desktopovém prostředí.
• Povolte přiřazování vyhrazených prostředků konkrétním uživatelům, což může být užitečné pro některé případy použití výroby nebo vývoje.

Desktopová řešení ve fondu, označovaná také jako ne trvalá plocha, přiřazují uživatele k aktuálně dostupnému hostiteli relací v závislosti na algoritmu vyrovnávání zatížení. Vzhledem k tomu, že se uživatelé vždy nevrátí ke stejnému hostiteli relace pokaždé, když se připojí, mají omezenou možnost přizpůsobit desktopové prostředí a obvykle nemají přístup správce.

Poznámka:

Trvalá a trvalá terminologie v tomto případě odkazuje na trvalost profilu uživatele. Neznamená to, že se disk operačního systému vrátí ke zlaté imagi nebo zahodí změny při restartování.

Údržba Windows

Existuje několik možností aktualizace instancí služby Azure Virtual Desktop. Nasazení aktualizované image každý měsíc zaručuje dodržování předpisů a stav.

• Microsoft Endpoint Configuration Manager (MECM) aktualizuje serverové a desktopové operační systémy.
• Aktualizace Windows pro firmy aktualizují desktopové operační systémy, jako je windows 11 Enterprise s více relacemi.
• Azure Update Management aktualizuje serverové operační systémy.
• Azure Log Analytics kontroluje dodržování předpisů.
• Nasaďte novou (vlastní) image do hostitelů relací každý měsíc pro nejnovější aktualizace Windows a aplikací. Image můžete použít z Azure Marketplace nebo vlastní image spravované v Azure.

Vztahy mezi klíčovými logickými komponentami

Vztahy mezi fondy hostitelů, pracovními prostory a dalšími klíčovými logickými komponentami se liší. Shrnují se v následujícím diagramu:

Čísla v následujícím popisu odpovídají číslům v předchozím diagramu.

• (1) Skupina aplikací, která obsahuje publikovanou plochu, může obsahovat pouze balíčky MSIX připojené k fondu hostitelů (balíčky budou k dispozici v nabídce Start hostitele relace), nesmí obsahovat žádné další publikované prostředky a označuje se jako skupina desktopových aplikací.
• (2) Skupiny aplikací přiřazené ke stejnému fondu hostitelů musí být členy stejného pracovního prostoru.
• (3) Uživatelský účet lze přiřadit skupině aplikací buď přímo, nebo prostřednictvím skupiny Microsoft Entra. Je možné přiřadit žádné uživatele ke skupině aplikací, ale pak nemůže obsluhovat.
• (4) Je možné mít prázdný pracovní prostor, ale nemůže obsluhovat uživatele.
• (5) Je možné mít prázdný fond hostitelů, ale nemůže obsluhovat uživatele.
• (6) Fond hostitelů nemůže mít přiřazené žádné skupiny aplikací, ale nemůže obsluhovat uživatele.
• (7) Pro Azure Virtual Desktop se vyžaduje ID Microsoft Entra. Důvodem je to, že uživatelské účty a skupiny Microsoft Entra musí být vždy použity k přiřazování uživatelů ke skupinám aplikací služby Azure Virtual Desktop. ID Microsoft Entra se používá také k ověřování uživatelů ve službě Azure Virtual Desktop. Hostitelé relací služby Azure Virtual Desktop můžou být také členy domény Microsoft Entra a v této situaci se spustí a spustí také relace publikované službou Azure Virtual Desktop a relace plochy pomocí účtů Microsoft Entra.
  • (7) Hostitelé relací služby Azure Virtual Desktop můžou být členy domény služby AD DS a v této situaci se aplikace a relace plochy publikované službou Azure Virtual Desktop spustí a spustí (ale nepřiřazují) pomocí účtů SLUŽBY AD DS. Aby se snížily režijní náklady na uživatele a správu, je možné službu AD DS synchronizovat s MICROSOFT Entra ID prostřednictvím služby Microsoft Entra Connect.
  • (7) Hostitelé relací služby Azure Virtual Desktop mohou být členy domény služby Microsoft Entra Domain Services a v této situaci se spustí a spustí (ale nepřiřazuje) pomocí účtů služby Microsoft Entra Domain Services publikované aplikace a relace služby Azure Virtual Desktop. Id Microsoft Entra se automaticky synchronizuje se službou Microsoft Entra Domain Services, a to jedním ze služeb Microsoft Entra ID do služby Microsoft Entra Domain Services.

Prostředek	Účel	Logické relace
Publikovaná plocha	Desktopové prostředí Windows, které běží na hostitelích relací služby Azure Virtual Desktop a doručuje se uživatelům přes síť.	Člen jedné a pouze jedné skupiny aplikací (1)
Publikovaná aplikace	Aplikace pro Windows, která běží na hostitelích relací služby Azure Virtual Desktop a doručuje se uživatelům přes síť.	Člen jedné a pouze jedné skupiny aplikací
Skupina aplikací	Logické seskupení publikovaných aplikací nebo publikované plochy	– Obsahuje publikovanou plochu (1) nebo jednu nebo více publikovaných aplikací. - Přiřazeno jednomu a pouze jednomu fondu hostitelů (2) - Člen jednoho a pouze jednoho pracovního prostoru (2) - Jeden nebo více uživatelských účtů nebo skupin Microsoft Entra jsou přiřazeny k němu (3)
Uživatelský účet nebo skupina Microsoft Entra	Identifikuje uživatele, kteří mají oprávnění spouštět publikované plochy nebo aplikace.	- Člen jednoho a pouze jednoho ID Microsoft Entra - Přiřazeno k jedné nebo více skupinám aplikací (3)
Microsoft Entra ID (7)	Zprostředkovatel identity	– Obsahuje jeden nebo více uživatelských účtů nebo skupin, které se musí použít k přiřazení uživatelů ke skupinám aplikací a lze je použít také k přihlášení k hostitelům relací. - Může obsahovat členství hostitelů relací. – Je možné synchronizovat se službou AD DS nebo Microsoft Entra Domain Services.
AD DS (7)	Zprostředkovatel identit a adresářových služeb	- Obsahuje jeden nebo více uživatelských účtů nebo skupin, které se dají použít k přihlášení k hostitelům relací. - Může obsahovat členství hostitelů relací. - Je možné synchronizovat s Microsoft Entra ID
Microsoft Entra Domain Services (7)	Identita založená na platformě jako služba (PaaS) a poskytovatel adresářových služeb	- Obsahuje jeden nebo více uživatelských účtů nebo skupin, které se dají použít k přihlášení k hostitelům relací. - Může obsahovat členství hostitelů relací. - Synchronizováno s Microsoft Entra ID
Pracovní prostor	Logické seskupení skupin aplikací	Obsahuje jednu nebo více skupin aplikací (4)
Fond hostitelů	Skupina identických hostitelů relací, kteří slouží společnému účelu	– Obsahuje jednoho nebo více hostitelů relací (5) – Jedna nebo více skupin aplikací jsou k ní přiřazeny (6)
Hostitel relace	Virtuální počítač, který hostuje publikované plochy nebo aplikace	Člen jednoho a pouze jednoho fondu hostitelů

Důležité informace

Tyto aspekty implementují pilíře dobře architektuře Azure, což je sada hlavních principů, které můžete použít ke zlepšení kvality úlohy. Další informace najdete v tématu Well-Architected Framework.

Pomocí nástroje pro posouzení vyhodnoťte připravenost vaší úlohy Azure Virtual Desktopu. Tento nástroj zkontroluje soulad s osvědčenými postupy popsanými v dokumentaci k úlohám služby Azure Virtual Desktop.

Spolehlivost

Spolehlivost pomáhá zajistit, aby vaše aplikace splňovala závazky, které jste pro své zákazníky udělali. Další informace najdete v kontrolním seznamu pro kontrolu návrhu pro spolehlivost.

• Zajištění rezervované kapacity: Pokud chcete zajistit zaručené přidělení výpočetních prostředků, můžete požádat o rezervaci kapacity na vyžádání bez závazku na období a kombinovat ji s rezervovanými instancemi.
• Přidání odolnosti uvnitř oblasti: Použijte zóny dostupnosti pro služby Azure, které je podporují, například:
  • Virtuální počítače (hostitelé relací)
  • Azure Storage (FSLogix nebo připojení aplikace). Další informace najdete v tématu Redundance služby Azure Storage.
• Vytvořte plán provozní kontinuity: Pokud zóny dostupnosti nesplňují cíle RTO nebo cíle bodu obnovení, projděte si pokyny k provozní kontinuitě a zotavení po havárii (BCDR) pro Azure Virtual Desktop.

Bezpečnost

Zabezpečení poskytuje záruky proti záměrným útokům a zneužití cenných dat a systémů. Další informace najdete v kontrolním seznamu pro kontrolu návrhu zabezpečení.

Při nasazování služby Azure Virtual Desktop zvažte následující faktory související se zabezpečením.

• Použijte Microsoft Entra ID: Uživatelé se můžou ke službě Azure Virtual Desktop přihlásit odkudkoli pomocí různých zařízení a klientů. Pokud chcete minimalizovat riziko neoprávněného přístupu a poskytnout organizaci možnost spravovat rizika přihlašování, vynucujte vícefaktorové ověřování Microsoft Entra pomocí podmíněného přístupu.
• Použití šifrování: Většina spravovaných disků Azure se ve výchozím nastavení při zachování v cloudu šifruje v klidovém stavu. Pokud hostitelé relací vyžadují rozsáhlejší šifrování, jako je kompletní šifrování, projděte si pokyny k možnostem šifrování spravovaných disků a chraňte uložená data před neoprávněným přístupem.
• Použijte privátní sítě: Pokud potřebujete privátní připojení k prostředkům Služby Azure Virtual Desktop, použijte Azure Private Link s Azure Virtual Desktopem k omezení provozu mezi vaší virtuální sítí a službou v síti Microsoft.

Poznámka:

Další doporučení zabezpečení najdete v doprovodných materiálech k doporučením zabezpečení pro Azure Virtual Desktop.

Optimalizace nákladů

Optimalizace nákladů se zaměřuje na způsoby, jak snížit zbytečné výdaje a zlepšit efektivitu provozu. Další informace najdete v kontrolním seznamu pro kontrolu návrhu pro optimalizaci nákladů.

Při nasazování služby Azure Virtual Desktop zvažte následující faktory související s náklady.

• Plánování podpory více relací: Pro úlohy s identickými požadavky na výpočetní prostředky, obecně fondy hostitelů ve fondu, nabízí více relací Windows Enterprise možnost přijmout více uživatelů, aby se přihlásili k jednomu virtuálnímu počítači najednou; snížení nákladů a režijních nákladů.
• Optimalizace licencování: Pokud máte Software Assurance, můžete využít Zvýhodněné hybridní využití Azure ke snížení nákladů na výpočetní infrastrukturu Azure.
• Výpočetní prostředky před nákupem: Na základě využití virtuálního počítače můžete provést roční nebo tříleté plány, rezervace Azure, a získat tak slevu, aby se výrazně snížily náklady na prostředky. To je možné kombinovat s zvýhodněným hybridním využitím Azure a ušetřit tak další úspory.
• Horizontální navýšení a snížení kapacity podle potřeby: Pokud potvrzení rezervací Azure není vhodné pro vaše aktuální potřeby, zvažte plány škálování automatického škálování pro dynamické zřizování nebo rušení zřizování hostitelů relací, protože se poptávka mění v den/týden.
• Vyhodnoťte možnosti vyrovnávání zatížení: Nejprve nakonfigurujte algoritmus vyrovnávání zatížení fondu hostitelů na hloubku. Mějte však na paměti, že tato konfigurace může snížit uživatelské prostředí; výchozího prostředí optimalizovaného pro uživatele. Další informace najdete v tématu Konfigurace vyrovnávání zatížení fondu hostitelů ve službě Azure Virtual Desktop.

Efektivita provozu

Efektivita provozu se zabývá provozními procesy, které nasazují aplikaci a udržují ji spuštěnou v produkčním prostředí. Další informace najdete v kontrolním seznamu pro kontrolu návrhu pro efektivitu provozu.

• Konfigurace výstrah: Nakonfigurujte upozornění služby Service Health a Resource Health , abyste měli přehled o stavu služeb a oblastí Azure, které používáte.
  • Monitorujte řešení Azure Storage, které používáte k hostování profilů FSLogix nebo sdílených složek Připojení aplikace, abyste měli jistotu, že se nepřekračují prahové hodnoty, což může mít negativní dopad na uživatelské prostředí.
• Shromažďování dat o výkonu: Nainstalujte agenta Azure Monitoring Agent na hostitele relací služby Azure Virtual Desktop a extrahujte a monitorujte čítače výkonu a protokoly událostí. Další informace najdete v seznamu konfigurovatelných metrik výkonu/ čítačů a protokolů událostí.
• Shromážděte přehledy o využití: S využitím azure Virtual Desktop Insights vám pomůžou s kontrolami, jako je připojení verzí klienta, příležitosti k úsporě nákladů nebo zjištění, jestli máte omezení prostředků nebo problémy s připojením.
• Ladění nastavení diagnostiky: Povolte nastavení diagnostiky pro všechny služby, pracovní prostory Služby Azure Virtual Desktop, skupiny aplikací, fondy hostitelů, účty úložiště. Určete, která nastavení jsou pro vaše operace smysluplná. Vypněte nastavení, která nemají smysl, abyste se vyhnuli zbytečným nákladům; Účty úložiště (konkrétně souborová služba), které vidí vysoké množství IOPS, může mít vysoké náklady na monitorování.

Efektivita výkonu

Efektivita výkonu odkazuje na schopnost vaší úlohy efektivně škálovat tak, aby splňovala požadavky uživatelů. Další informace najdete v kontrolním seznamu pro kontrolu návrhu týkajícího se efektivity výkonu.

• Používejte vyloučení antivirového softwaru: U řešení profilů, jako je FSLogix, která připojují soubory virtuálního pevného disku, doporučujeme tyto přípony souborů vyloučit. Další informace najdete v tématu Konfigurace vyloučení souborů a složek antivirové ochrany.
• Ladění latence: Pro klienty používající připojení VPN typu Point-to-Site (P2S) použijte rozdělený tunel založený na protokolu UDP (User Datagram Protocol) ke snížení latence a optimalizaci využití šířky pásma tunelu. Pro klienty v lokalitě, kteří používají VPN nebo Azure ExpressRoute, zkracujte dobu odezvy pomocí protokolu RDP Shortpath , což zlepšuje uživatelské prostředí v aplikacích citlivých na latenci a metodách zadávání.
• Použijte výpočetní prostředky správné velikosti: Pokyny k určení velikosti virtuálních počítačů uvádějí maximální navrhovaný počet uživatelů na virtuální jednotku centrálního zpracování (vCPU) a minimální konfiguraci virtuálních počítačů pro různé úlohy. Tato data pomáhají odhadnout virtuální počítače, které potřebujete ve fondu hostitelů.
  • Využijte simulační nástroje k testování nasazení pomocí zátěžových testů i simulací využití v reálném životě. Ujistěte se, že systém reaguje a je dostatečně odolný, aby vyhovoval potřebám uživatelů, a nezapomeňte při testování lišit velikosti zatížení.
• Používejte dočasné disky s operačním systémem: Pokud budete s hostiteli relací zacházet jako s dobytkem a domácími mazlíčky, jsou dočasné disky operačního systému skvělý způsob, jak zlepšit výkon, latenci podobnou dočasným diskům a současně ušetřit náklady, protože jsou bezplatné.

Omezení

Azure Virtual Desktop, podobně jako Azure, má určitá omezení služeb, o které potřebujete vědět. Abyste se vyhnuli změnám ve fázi škálování, je vhodné vyřešit některá z těchto omezení během fáze návrhu.

Další informace o omezeních služby Azure Virtual Desktop najdete v tématu Omezení služby Azure Virtual Desktop Service.

Všimněte si také, že:

• Nemůžete vytvořit více než 500 skupin aplikací na jednoho tenanta Microsoft Entra*.
  • Pokud potřebujete více než 500 skupin aplikací, odešlete lístek podpory prostřednictvím webu Azure Portal.
• Doporučujeme nepublikovat více než 50 aplikací na skupinu aplikací.
• Doporučujeme nasadit maximálně 5 000 virtuálních počítačů na předplatné Azure pro každou oblast. Toto doporučení platí jak pro fondy osobních hostitelů, tak pro fondy hostitelů ve fondu založené na jedné a více relacích Windows Enterprise. Většina zákazníků používá více relací Windows Enterprise, což umožňuje více uživatelům přihlásit se k jednotlivým virtuálním počítačům. Můžete zvýšit prostředky jednotlivých virtuálních počítačů hostitele relací tak, aby vyhovovaly více uživatelským relacím.
• U automatizovaných nástrojů pro škálování hostitele relací platí omezení přibližně 2 500 virtuálních počítačů na předplatné Azure v jednotlivých oblastech, protože interakce se stavem virtuálního počítače spotřebovává více prostředků.
• Pokud chcete spravovat podniková prostředí s více než 5 000 virtuálními počítači na předplatné Azure ve stejné oblasti, můžete vytvořit více předplatných Azure v hvězdicové architektuře a připojit je prostřednictvím partnerského vztahu virtuálních sítí (pomocí jednoho předplatného na paprsk). Můžete také nasadit virtuální počítače v jiné oblasti ve stejném předplatném, abyste zvýšili počet virtuálních počítačů.
• Limity omezování rozhraní API předplatného Azure Resource Manageru neumožňují přes Azure Portal více než 600 restartování virtuálních počítačů Azure za hodinu. Všechny počítače můžete restartovat najednou prostřednictvím operačního systému, který nevyužívají žádná volání rozhraní API předplatného Azure Resource Manageru. Další informace o počítání a řešení potíží s limity omezování na základě předplatného Azure najdete v tématu Řešení potíží s chybami omezování rozhraní API.
• V současné době můžete nasadit až 132 virtuálních počítačů v jednom nasazení šablony ARM na portálu Azure Virtual Desktop. Pokud chcete vytvořit více než 132 virtuálních počítačů, spusťte nasazení šablony ARM na portálu Azure Virtual Desktop několikrát.
• Předpony názvu hostitele relace virtuálního počítače Azure nesmí překročit 11 znaků, protože automatické přiřazování názvů instancí a limitu netBIOS na účet počítače je 15 znaků.
• Ve výchozím nastavení můžete ve skupině prostředků nasadit až 800 instancí většiny typů prostředků. Azure Compute tento limit nemá.

Další informace oomezeních

Nasazení tohoto scénáře

Kolekci šablon ARM je možné použít k automatizaci nasazení prostředí Azure Virtual Desktop. Tyto šablony ARM podporují pouze objekty Azure Virtual Desktopu Azure Resource Manageru. Tyto šablony ARM nepodporují Azure Virtual Desktop (Classic).

Další scénáře jsou k dispozici v nástrojích Microsoft Developer Tools, které podporují několik možností nasazení:

• Azure Virtual Desktop s připojením k Microsoft Entra ID
• Azure Virtual Desktop s FSLogix a službou AD DS Join

Přispěvatelé

Tento článek spravuje Microsoft. Původně byla napsána následujícími přispěvateli.

Hlavní autor:

• Tom Hickling | Senior Product Manager, Azure Virtual Desktop Engineering

Další přispěvatel:

• Nelson Del Villar | Architekt cloudových řešení, základní infrastruktura Azure

Další kroky

• Integrace partnerů Azure Virtual Desktopu uvádí schválené poskytovatele partnerů Azure Virtual Desktopu a nezávislé dodavatele softwaru.
• Nástroj Pro optimalizaci virtuálních klientských počítačů vám pomůže optimalizovat výkon v prostředí Windows 11 Enterprise VDI (infrastruktura virtuálních klientských počítačů).
• Další informace najdete v tématu Nasazení virtuálních počítačů připojených k Microsoft Entra ve službě Azure Virtual Desktop.
• Přečtěte si další informace o službě Active Directory Domain Services.
• Co je Microsoft Entra Connect?
• Další informace o službě Azure Virtual Desktop Well-Architected Framework

Související prostředky

• Další informace o architektuře více doménových struktur služby Active Directory najdete v tématu Architektura více doménových struktur služby Active Directory ve službě Azure Virtual Desktop.

Azure Virtual Desktop je desktopová a aplikační virtualizační služba, která běží v Azure. Tento článek je určený k tomu, aby pomohl architektům, cloudovým architektům, správcům plochy a správcům systému prozkoumat Azure Virtual Desktop a vytvářet virtualizovaná řešení infrastruktury virtuálních klientských počítačů (VDI) v podnikovém měřítku. Řešení na podnikové úrovni obecně pokrývají 1 000 nebo více virtuálních ploch.

Architektura

Typické nastavení architektury pro Azure Virtual Desktop je znázorněno v následujícím diagramu:

Stáhněte si soubor Visia této architektury.

Tok dat

Prvky toku dat diagramu jsou popsané tady:

• Koncové body aplikace jsou v místní síti zákazníka. Azure ExpressRoute rozšiřuje místní síť do Azure a Microsoft Entra Connect integruje službu Doména služby Active Directory Services zákazníka (AD DS) s ID Microsoft Entra.

• Řídicí rovina služby Azure Virtual Desktop zpracovává webový přístup, bránu, zprostředkovatele, diagnostiku a komponenty rozšiřitelnosti, jako jsou rozhraní REST API.

• Zákazník spravuje AD DS a Microsoft Entra ID, předplatná Azure, virtuální sítě, Soubory Azure nebo Azure NetApp Files a fondy hostitelů a pracovní prostory služby Azure Virtual Desktop.

• Pokud chce zákazník zvýšit kapacitu, používá dvě předplatná Azure v hvězdicové architektuře a připojuje je prostřednictvím partnerského vztahu virtuálních sítí.

Další informace o kontejneru profilů FSLogix – Osvědčené postupy pro Azure Files a Azure NetApp Files najdete v příkladech konfigurace FSLogix.

Komponenty

Architektura služby Azure Virtual Desktop je podobná službě Vzdálená plocha (RDS) windows Serveru. I když Microsoft spravuje infrastrukturu a zprostředkující komponenty, podnikoví zákazníci spravují své vlastní hostitelské virtuální počítače stolních počítačů, data a klienty.

Komponenty, které spravuje Microsoft

Microsoft spravuje následující služby Azure Virtual Desktop v rámci Azure:

• Web Access: Pomocí služby Web Access v rámci služby Azure Virtual Desktop můžete přistupovat k virtuálním plochám a vzdáleným aplikacím prostřednictvím webového prohlížeče kompatibilního s HTML5 stejně jako s místním počítačem, odkudkoli a na jakémkoli zařízení. Webový přístup můžete zabezpečit pomocí vícefaktorového ověřování v MICROSOFT Entra ID.

• Brána: Služba Brána vzdáleného připojení připojuje vzdálené uživatele k aplikacím a plochám služby Azure Virtual Desktop z libovolného zařízení připojeného k internetu, které může spustit klienta služby Azure Virtual Desktop. Klient se připojí k bráně, která pak orchestruje připojení z virtuálního počítače zpět ke stejné bráně.

• Zprostředkovatel připojení: Služba Zprostředkovatel připojení spravuje uživatelská připojení k virtuálním plochám a vzdáleným aplikacím. Zprostředkovatel připojení poskytuje vyrovnávání zatížení a opětovné připojení k existujícím relacím.

• Diagnostika: Diagnostika vzdálené plochy je agregátor založený na událostech, který označuje každou akci uživatele nebo správce v nasazení služby Azure Virtual Desktop jako úspěch nebo selhání. Správci můžou agregaci událostí dotazovat, aby identifikovali neúspěšné součásti.

• Komponenty rozšiřitelnosti: Azure Virtual Desktop zahrnuje několik komponent rozšiřitelnosti. Azure Virtual Desktop můžete spravovat pomocí Windows PowerShellu nebo pomocí poskytovaných rozhraní REST API, která také umožňují podporu z nástrojů třetích stran.

Komponenty, které spravujete

Spravujete následující komponenty řešení Azure Virtual Desktop:

• Azure Virtual Network: S Azure Virtual Network můžou prostředky Azure, jako jsou virtuální počítače, vzájemně komunikovat soukromě a s internetem. Připojením fondů hostitelů Služby Azure Virtual Desktop k doméně služby Active Directory můžete definovat topologii sítě pro přístup k virtuálním desktopům a virtuálním aplikacím z intranetu nebo internetu na základě zásad organizace. Instanci Služby Azure Virtual Desktop můžete připojit k místní síti pomocí virtuální privátní sítě (VPN), nebo můžete použít Azure ExpressRoute k rozšíření místní sítě do Azure přes privátní připojení.

• Microsoft Entra ID: Azure Virtual Desktop používá k správě identit a přístupu ID Microsoft Entra . Integrace Microsoft Entra používá funkce zabezpečení Microsoft Entra, jako je podmíněný přístup, vícefaktorové ověřování a Intelligent Security Graph a pomáhá udržovat kompatibilitu aplikací ve virtuálních počítačích připojených k doméně.

• Active Directory Domain Services (volitelné): Virtuální počítače služby Azure Virtual Desktop můžou být buď připojené k doméně ke službě AD DS , nebo pomocí nasazení virtuálních počítačů připojených k Microsoft Entra ve službě Azure Virtual Desktop

  • Pokud používáte doménu SLUŽBY AD DS, musí být doména synchronizovaná s ID Microsoft Entra, aby bylo možné přidružit uživatele mezi těmito dvěma službami. Pomocí nástroje Microsoft Entra Connect můžete přidružit službu AD DS k ID Microsoft Entra.
  • Při použití připojení k Microsoft Entra zkontrolujte podporované konfigurace a ujistěte se, že je váš scénář podporovaný.

• Hostitelé relací služby Azure Virtual Desktop: Hostitelé relací jsou virtuální počítače, ke kterým se uživatelé připojují pro své desktopy a aplikace. Podporuje se několik verzí Windows a můžete vytvářet image s aplikacemi a vlastními nastaveními. Můžete zvolit velikosti virtuálních počítačů, včetně virtuálních počítačů s podporou GPU. Každý hostitel relace má agenta hostitele služby Azure Virtual Desktop, který virtuální počítač zaregistruje jako součást pracovního prostoru nebo tenanta Služby Azure Virtual Desktop. Každý fond hostitelů může mít jednu nebo více skupin aplikací, což jsou kolekce vzdálených aplikací nebo relací plochy, ke kterým máte přístup. Informace o podporovaných verzích Windows najdete v tématu Operační systémy a licence.

• Pracovní prostor Služby Azure Virtual Desktop: Pracovní prostor nebo tenant Služby Azure Virtual Desktop je konstruktor správy pro správu a publikování prostředků fondu hostitelů.

Podrobnosti scénáře

Potenciální případy použití

Největší poptávka po podnikových řešeních virtuálních klientských počítačů pochází z následujících:

• Aplikace zabezpečení a regulace, jako jsou finanční služby, zdravotnictví a státní správa.

• Potřeby elastických pracovníků, jako je práce na dálku, fúze a akvizice, krátkodobé zaměstnance, dodavatelé a přístup k partnerům.

• Konkrétní zaměstnanci, například přineste si vlastní zařízení (BYOD) a mobilní uživatele, call centra a pracovníky poboček.

• Specializované úlohy, jako je návrh a příprava, starší verze aplikací a testování vývoje softwaru.

Osobní a poolované stolní počítače

Pomocí osobních desktopových řešení, někdy označovaných jako trvalé plochy, se uživatelé můžou vždy připojit ke stejnému konkrétnímu hostiteli relace. Uživatelé můžou obvykle upravovat své desktopové prostředí tak, aby vyhovovaly osobním preferencím, a můžou ukládat soubory v desktopovém prostředí. Osobní desktopová řešení:

• Umožnit uživatelům přizpůsobit si desktopové prostředí, včetně aplikací nainstalovaných uživatelem, a uživatelé můžou ukládat soubory v desktopovém prostředí.
• Povolte přiřazování vyhrazených prostředků konkrétním uživatelům, což může být užitečné pro některé případy použití výroby nebo vývoje.

Desktopová řešení ve fondu, označovaná také jako ne trvalá plocha, přiřazují uživatele k aktuálně dostupnému hostiteli relací v závislosti na algoritmu vyrovnávání zatížení. Vzhledem k tomu, že se uživatelé vždy nevrátí ke stejnému hostiteli relace pokaždé, když se připojí, mají omezenou možnost přizpůsobit desktopové prostředí a obvykle nemají přístup správce.

Poznámka:

Trvalá a trvalá terminologie v tomto případě odkazuje na trvalost profilu uživatele. Neznamená to, že se disk operačního systému vrátí ke zlaté imagi nebo zahodí změny při restartování.

Údržba Windows

Existuje několik možností aktualizace instancí služby Azure Virtual Desktop. Nasazení aktualizované image každý měsíc zaručuje dodržování předpisů a stav.

• Microsoft Endpoint Configuration Manager (MECM) aktualizuje serverové a desktopové operační systémy.
• Aktualizace Windows pro firmy aktualizují desktopové operační systémy, jako je windows 11 Enterprise s více relacemi.
• Azure Update Management aktualizuje serverové operační systémy.
• Azure Log Analytics kontroluje dodržování předpisů.
• Nasaďte novou (vlastní) image do hostitelů relací každý měsíc pro nejnovější aktualizace Windows a aplikací. Image můžete použít z Azure Marketplace nebo vlastní image spravované v Azure.

Vztahy mezi klíčovými logickými komponentami

Vztahy mezi fondy hostitelů, pracovními prostory a dalšími klíčovými logickými komponentami se liší. Shrnují se v následujícím diagramu:

Čísla v následujícím popisu odpovídají číslům v předchozím diagramu.

• (1) Skupina aplikací, která obsahuje publikovanou plochu, může obsahovat pouze balíčky MSIX připojené k fondu hostitelů (balíčky budou k dispozici v nabídce Start hostitele relace), nesmí obsahovat žádné další publikované prostředky a označuje se jako skupina desktopových aplikací.
• (2) Skupiny aplikací přiřazené ke stejnému fondu hostitelů musí být členy stejného pracovního prostoru.
• (3) Uživatelský účet lze přiřadit skupině aplikací buď přímo, nebo prostřednictvím skupiny Microsoft Entra. Je možné přiřadit žádné uživatele ke skupině aplikací, ale pak nemůže obsluhovat.
• (4) Je možné mít prázdný pracovní prostor, ale nemůže obsluhovat uživatele.
• (5) Je možné mít prázdný fond hostitelů, ale nemůže obsluhovat uživatele.
• (6) Fond hostitelů nemůže mít přiřazené žádné skupiny aplikací, ale nemůže obsluhovat uživatele.
• (7) Pro Azure Virtual Desktop se vyžaduje ID Microsoft Entra. Důvodem je to, že uživatelské účty a skupiny Microsoft Entra musí být vždy použity k přiřazování uživatelů ke skupinám aplikací služby Azure Virtual Desktop. ID Microsoft Entra se používá také k ověřování uživatelů ve službě Azure Virtual Desktop. Hostitelé relací služby Azure Virtual Desktop můžou být také členy domény Microsoft Entra a v této situaci se spustí a spustí také relace publikované službou Azure Virtual Desktop a relace plochy pomocí účtů Microsoft Entra.
  • (7) Hostitelé relací služby Azure Virtual Desktop můžou být členy domény služby AD DS a v této situaci se aplikace a relace plochy publikované službou Azure Virtual Desktop spustí a spustí (ale nepřiřazují) pomocí účtů SLUŽBY AD DS. Aby se snížily režijní náklady na uživatele a správu, je možné službu AD DS synchronizovat s MICROSOFT Entra ID prostřednictvím služby Microsoft Entra Connect.
  • (7) Hostitelé relací služby Azure Virtual Desktop mohou být členy domény služby Microsoft Entra Domain Services a v této situaci se spustí a spustí (ale nepřiřazuje) pomocí účtů služby Microsoft Entra Domain Services publikované aplikace a relace služby Azure Virtual Desktop. Id Microsoft Entra se automaticky synchronizuje se službou Microsoft Entra Domain Services, a to jedním ze služeb Microsoft Entra ID do služby Microsoft Entra Domain Services.

Prostředek	Účel	Logické relace
Publikovaná plocha	Desktopové prostředí Windows, které běží na hostitelích relací služby Azure Virtual Desktop a doručuje se uživatelům přes síť.	Člen jedné a pouze jedné skupiny aplikací (1)
Publikovaná aplikace	Aplikace pro Windows, která běží na hostitelích relací služby Azure Virtual Desktop a doručuje se uživatelům přes síť.	Člen jedné a pouze jedné skupiny aplikací
Skupina aplikací	Logické seskupení publikovaných aplikací nebo publikované plochy	– Obsahuje publikovanou plochu (1) nebo jednu nebo více publikovaných aplikací. - Přiřazeno jednomu a pouze jednomu fondu hostitelů (2) - Člen jednoho a pouze jednoho pracovního prostoru (2) - Jeden nebo více uživatelských účtů nebo skupin Microsoft Entra jsou přiřazeny k němu (3)
Uživatelský účet nebo skupina Microsoft Entra	Identifikuje uživatele, kteří mají oprávnění spouštět publikované plochy nebo aplikace.	- Člen jednoho a pouze jednoho ID Microsoft Entra - Přiřazeno k jedné nebo více skupinám aplikací (3)
Microsoft Entra ID (7)	Zprostředkovatel identity	– Obsahuje jeden nebo více uživatelských účtů nebo skupin, které se musí použít k přiřazení uživatelů ke skupinám aplikací a lze je použít také k přihlášení k hostitelům relací. - Může obsahovat členství hostitelů relací. – Je možné synchronizovat se službou AD DS nebo Microsoft Entra Domain Services.
AD DS (7)	Zprostředkovatel identit a adresářových služeb	- Obsahuje jeden nebo více uživatelských účtů nebo skupin, které se dají použít k přihlášení k hostitelům relací. - Může obsahovat členství hostitelů relací. - Je možné synchronizovat s Microsoft Entra ID
Microsoft Entra Domain Services (7)	Identita založená na platformě jako služba (PaaS) a poskytovatel adresářových služeb	- Obsahuje jeden nebo více uživatelských účtů nebo skupin, které se dají použít k přihlášení k hostitelům relací. - Může obsahovat členství hostitelů relací. - Synchronizováno s Microsoft Entra ID
Pracovní prostor	Logické seskupení skupin aplikací	Obsahuje jednu nebo více skupin aplikací (4)
Fond hostitelů	Skupina identických hostitelů relací, kteří slouží společnému účelu	– Obsahuje jednoho nebo více hostitelů relací (5) – Jedna nebo více skupin aplikací jsou k ní přiřazeny (6)
Hostitel relace	Virtuální počítač, který hostuje publikované plochy nebo aplikace	Člen jednoho a pouze jednoho fondu hostitelů

Důležité informace

Tyto aspekty implementují pilíře dobře architektuře Azure, což je sada hlavních principů, které můžete použít ke zlepšení kvality úlohy. Další informace najdete v tématu Well-Architected Framework.

Pomocí nástroje pro posouzení vyhodnoťte připravenost vaší úlohy Azure Virtual Desktopu. Tento nástroj zkontroluje soulad s osvědčenými postupy popsanými v dokumentaci k úlohám služby Azure Virtual Desktop.

Spolehlivost

Spolehlivost pomáhá zajistit, aby vaše aplikace splňovala závazky, které jste pro své zákazníky udělali. Další informace najdete v kontrolním seznamu pro kontrolu návrhu pro spolehlivost.

• Zajištění rezervované kapacity: Pokud chcete zajistit zaručené přidělení výpočetních prostředků, můžete požádat o rezervaci kapacity na vyžádání bez závazku na období a kombinovat ji s rezervovanými instancemi.
• Přidání odolnosti uvnitř oblasti: Použijte zóny dostupnosti pro služby Azure, které je podporují, například:
  • Virtuální počítače (hostitelé relací)
  • Azure Storage (FSLogix nebo připojení aplikace). Další informace najdete v tématu Redundance služby Azure Storage.
• Vytvořte plán provozní kontinuity: Pokud zóny dostupnosti nesplňují cíle RTO nebo cíle bodu obnovení, projděte si pokyny k provozní kontinuitě a zotavení po havárii (BCDR) pro Azure Virtual Desktop.

Bezpečnost

Zabezpečení poskytuje záruky proti záměrným útokům a zneužití cenných dat a systémů. Další informace najdete v kontrolním seznamu pro kontrolu návrhu zabezpečení.

Při nasazování služby Azure Virtual Desktop zvažte následující faktory související se zabezpečením.

• Použijte Microsoft Entra ID: Uživatelé se můžou ke službě Azure Virtual Desktop přihlásit odkudkoli pomocí různých zařízení a klientů. Pokud chcete minimalizovat riziko neoprávněného přístupu a poskytnout organizaci možnost spravovat rizika přihlašování, vynucujte vícefaktorové ověřování Microsoft Entra pomocí podmíněného přístupu.
• Použití šifrování: Většina spravovaných disků Azure se ve výchozím nastavení při zachování v cloudu šifruje v klidovém stavu. Pokud hostitelé relací vyžadují rozsáhlejší šifrování, jako je kompletní šifrování, projděte si pokyny k možnostem šifrování spravovaných disků a chraňte uložená data před neoprávněným přístupem.
• Použijte privátní sítě: Pokud potřebujete privátní připojení k prostředkům Služby Azure Virtual Desktop, použijte Azure Private Link s Azure Virtual Desktopem k omezení provozu mezi vaší virtuální sítí a službou v síti Microsoft.

Poznámka:

Další doporučení zabezpečení najdete v doprovodných materiálech k doporučením zabezpečení pro Azure Virtual Desktop.

Optimalizace nákladů

Optimalizace nákladů se zaměřuje na způsoby, jak snížit zbytečné výdaje a zlepšit efektivitu provozu. Další informace najdete v kontrolním seznamu pro kontrolu návrhu pro optimalizaci nákladů.

Při nasazování služby Azure Virtual Desktop zvažte následující faktory související s náklady.

• Plánování podpory více relací: Pro úlohy s identickými požadavky na výpočetní prostředky, obecně fondy hostitelů ve fondu, nabízí více relací Windows Enterprise možnost přijmout více uživatelů, aby se přihlásili k jednomu virtuálnímu počítači najednou; snížení nákladů a režijních nákladů.
• Optimalizace licencování: Pokud máte Software Assurance, můžete využít Zvýhodněné hybridní využití Azure ke snížení nákladů na výpočetní infrastrukturu Azure.
• Výpočetní prostředky před nákupem: Na základě využití virtuálního počítače můžete provést roční nebo tříleté plány, rezervace Azure, a získat tak slevu, aby se výrazně snížily náklady na prostředky. To je možné kombinovat s zvýhodněným hybridním využitím Azure a ušetřit tak další úspory.
• Horizontální navýšení a snížení kapacity podle potřeby: Pokud potvrzení rezervací Azure není vhodné pro vaše aktuální potřeby, zvažte plány škálování automatického škálování pro dynamické zřizování nebo rušení zřizování hostitelů relací, protože se poptávka mění v den/týden.
• Vyhodnoťte možnosti vyrovnávání zatížení: Nejprve nakonfigurujte algoritmus vyrovnávání zatížení fondu hostitelů na hloubku. Mějte však na paměti, že tato konfigurace může snížit uživatelské prostředí; výchozího prostředí optimalizovaného pro uživatele. Další informace najdete v tématu Konfigurace vyrovnávání zatížení fondu hostitelů ve službě Azure Virtual Desktop.

Efektivita provozu

Efektivita provozu se zabývá provozními procesy, které nasazují aplikaci a udržují ji spuštěnou v produkčním prostředí. Další informace najdete v kontrolním seznamu pro kontrolu návrhu pro efektivitu provozu.

• Konfigurace výstrah: Nakonfigurujte upozornění služby Service Health a Resource Health , abyste měli přehled o stavu služeb a oblastí Azure, které používáte.
  • Monitorujte řešení Azure Storage, které používáte k hostování profilů FSLogix nebo sdílených složek Připojení aplikace, abyste měli jistotu, že se nepřekračují prahové hodnoty, což může mít negativní dopad na uživatelské prostředí.
• Shromažďování dat o výkonu: Nainstalujte agenta Azure Monitoring Agent na hostitele relací služby Azure Virtual Desktop a extrahujte a monitorujte čítače výkonu a protokoly událostí. Další informace najdete v seznamu konfigurovatelných metrik výkonu/ čítačů a protokolů událostí.
• Shromážděte přehledy o využití: S využitím azure Virtual Desktop Insights vám pomůžou s kontrolami, jako je připojení verzí klienta, příležitosti k úsporě nákladů nebo zjištění, jestli máte omezení prostředků nebo problémy s připojením.
• Ladění nastavení diagnostiky: Povolte nastavení diagnostiky pro všechny služby, pracovní prostory Služby Azure Virtual Desktop, skupiny aplikací, fondy hostitelů, účty úložiště. Určete, která nastavení jsou pro vaše operace smysluplná. Vypněte nastavení, která nemají smysl, abyste se vyhnuli zbytečným nákladům; Účty úložiště (konkrétně souborová služba), které vidí vysoké množství IOPS, může mít vysoké náklady na monitorování.

Efektivita výkonu

Efektivita výkonu odkazuje na schopnost vaší úlohy efektivně škálovat tak, aby splňovala požadavky uživatelů. Další informace najdete v kontrolním seznamu pro kontrolu návrhu týkajícího se efektivity výkonu.

• Používejte vyloučení antivirového softwaru: U řešení profilů, jako je FSLogix, která připojují soubory virtuálního pevného disku, doporučujeme tyto přípony souborů vyloučit. Další informace najdete v tématu Konfigurace vyloučení souborů a složek antivirové ochrany.
• Ladění latence: Pro klienty používající připojení VPN typu Point-to-Site (P2S) použijte rozdělený tunel založený na protokolu UDP (User Datagram Protocol) ke snížení latence a optimalizaci využití šířky pásma tunelu. Pro klienty v lokalitě, kteří používají VPN nebo Azure ExpressRoute, zkracujte dobu odezvy pomocí protokolu RDP Shortpath , což zlepšuje uživatelské prostředí v aplikacích citlivých na latenci a metodách zadávání.
• Použijte výpočetní prostředky správné velikosti: Pokyny k určení velikosti virtuálních počítačů uvádějí maximální navrhovaný počet uživatelů na virtuální jednotku centrálního zpracování (vCPU) a minimální konfiguraci virtuálních počítačů pro různé úlohy. Tato data pomáhají odhadnout virtuální počítače, které potřebujete ve fondu hostitelů.
  • Využijte simulační nástroje k testování nasazení pomocí zátěžových testů i simulací využití v reálném životě. Ujistěte se, že systém reaguje a je dostatečně odolný, aby vyhovoval potřebám uživatelů, a nezapomeňte při testování lišit velikosti zatížení.
• Používejte dočasné disky s operačním systémem: Pokud budete s hostiteli relací zacházet jako s dobytkem a domácími mazlíčky, jsou dočasné disky operačního systému skvělý způsob, jak zlepšit výkon, latenci podobnou dočasným diskům a současně ušetřit náklady, protože jsou bezplatné.

Omezení

Azure Virtual Desktop, podobně jako Azure, má určitá omezení služeb, o které potřebujete vědět. Abyste se vyhnuli změnám ve fázi škálování, je vhodné vyřešit některá z těchto omezení během fáze návrhu.

Další informace o omezeních služby Azure Virtual Desktop najdete v tématu Omezení služby Azure Virtual Desktop Service.

Všimněte si také, že:

• Nemůžete vytvořit více než 500 skupin aplikací na jednoho tenanta Microsoft Entra*.
  • Pokud potřebujete více než 500 skupin aplikací, odešlete lístek podpory prostřednictvím webu Azure Portal.
• Doporučujeme nepublikovat více než 50 aplikací na skupinu aplikací.
• Doporučujeme nasadit maximálně 5 000 virtuálních počítačů na předplatné Azure pro každou oblast. Toto doporučení platí jak pro fondy osobních hostitelů, tak pro fondy hostitelů ve fondu založené na jedné a více relacích Windows Enterprise. Většina zákazníků používá více relací Windows Enterprise, což umožňuje více uživatelům přihlásit se k jednotlivým virtuálním počítačům. Můžete zvýšit prostředky jednotlivých virtuálních počítačů hostitele relací tak, aby vyhovovaly více uživatelským relacím.
• U automatizovaných nástrojů pro škálování hostitele relací platí omezení přibližně 2 500 virtuálních počítačů na předplatné Azure v jednotlivých oblastech, protože interakce se stavem virtuálního počítače spotřebovává více prostředků.
• Pokud chcete spravovat podniková prostředí s více než 5 000 virtuálními počítači na předplatné Azure ve stejné oblasti, můžete vytvořit více předplatných Azure v hvězdicové architektuře a připojit je prostřednictvím partnerského vztahu virtuálních sítí (pomocí jednoho předplatného na paprsk). Můžete také nasadit virtuální počítače v jiné oblasti ve stejném předplatném, abyste zvýšili počet virtuálních počítačů.
• Limity omezování rozhraní API předplatného Azure Resource Manageru neumožňují přes Azure Portal více než 600 restartování virtuálních počítačů Azure za hodinu. Všechny počítače můžete restartovat najednou prostřednictvím operačního systému, který nevyužívají žádná volání rozhraní API předplatného Azure Resource Manageru. Další informace o počítání a řešení potíží s limity omezování na základě předplatného Azure najdete v tématu Řešení potíží s chybami omezování rozhraní API.
• V současné době můžete nasadit až 132 virtuálních počítačů v jednom nasazení šablony ARM na portálu Azure Virtual Desktop. Pokud chcete vytvořit více než 132 virtuálních počítačů, spusťte nasazení šablony ARM na portálu Azure Virtual Desktop několikrát.
• Předpony názvu hostitele relace virtuálního počítače Azure nesmí překročit 11 znaků, protože automatické přiřazování názvů instancí a limitu netBIOS na účet počítače je 15 znaků.
• Ve výchozím nastavení můžete ve skupině prostředků nasadit až 800 instancí většiny typů prostředků. Azure Compute tento limit nemá.

Další informace oomezeních

Nasazení tohoto scénáře

Kolekci šablon ARM je možné použít k automatizaci nasazení prostředí Azure Virtual Desktop. Tyto šablony ARM podporují pouze objekty Azure Virtual Desktopu Azure Resource Manageru. Tyto šablony ARM nepodporují Azure Virtual Desktop (Classic).

Další scénáře jsou k dispozici v nástrojích Microsoft Developer Tools, které podporují několik možností nasazení:

• Azure Virtual Desktop s připojením k Microsoft Entra ID
• Azure Virtual Desktop s FSLogix a službou AD DS Join

Přispěvatelé

Tento článek spravuje Microsoft. Původně byla napsána následujícími přispěvateli.

Hlavní autor:

• Tom Hickling | Senior Product Manager, Azure Virtual Desktop Engineering

Další přispěvatel:

• Nelson Del Villar | Architekt cloudových řešení, základní infrastruktura Azure

Další kroky

• Integrace partnerů Azure Virtual Desktopu uvádí schválené poskytovatele partnerů Azure Virtual Desktopu a nezávislé dodavatele softwaru.
• Nástroj Pro optimalizaci virtuálních klientských počítačů vám pomůže optimalizovat výkon v prostředí Windows 11 Enterprise VDI (infrastruktura virtuálních klientských počítačů).
• Další informace najdete v tématu Nasazení virtuálních počítačů připojených k Microsoft Entra ve službě Azure Virtual Desktop.
• Přečtěte si další informace o službě Active Directory Domain Services.
• Co je Microsoft Entra Connect?
• Další informace o službě Azure Virtual Desktop Well-Architected Framework

Související prostředky

• Další informace o architektuře více doménových struktur služby Active Directory najdete v tématu Architektura více doménových struktur služby Active Directory ve službě Azure Virtual Desktop.