Azure Virtual Desktop je desktopová a aplikační virtualizační služba, která běží v Azure. Tento článek je určený k tomu, aby pomohl architektům, cloudovým architektům, správcům stolních počítačů a správcům systému prozkoumat Azure Virtual Desktop a vytvářet virtualizovaná řešení infrastruktury virtuálních klientských počítačů (VDI) v podnikovém měřítku. Řešení na podnikové úrovni obecně pokrývají 1 000 nebo více virtuálních ploch.
Architektura
Typické nastavení architektury pro Azure Virtual Desktop je znázorněno v následujícím diagramu:
Stáhněte si soubor aplikace Visio s touto architekturou.
Tok dat
Prvky toku dat diagramu jsou popsané tady:
Koncové body aplikace jsou v místní síti zákazníka. Azure ExpressRoute rozšiřuje místní síť do Azure a Microsoft Entra Připojení integruje Doména služby Active Directory služby zákazníka (AD DS) s Microsoft Entra ID.
Řídicí rovina služby Azure Virtual Desktop zpracovává webový přístup, bránu, zprostředkovatele, diagnostiku a komponenty rozšiřitelnosti, jako jsou rozhraní REST API.
Zákazník spravuje AD DS a Microsoft Entra ID, předplatná Azure, virtuální sítě, Soubory Azure nebo Azure NetApp Files a fondy hostitelů a pracovní prostory služby Azure Virtual Desktop.
Pokud chce zákazník zvýšit kapacitu, používá dvě předplatná Azure v hvězdicové architektuře a připojuje je prostřednictvím partnerského vztahu virtuálních sítí.
Další informace o kontejneru profilů FSLogix – Osvědčené postupy pro Azure Files a Azure NetApp Files najdete v příkladech konfigurace FSLogix.
Komponenty
Architektura služby Azure Virtual Desktop je podobná službě Vzdálená plocha Windows Serveru. I když Microsoft spravuje infrastrukturu a zprostředkující komponenty, podnikoví zákazníci spravují své vlastní hostitelské virtuální počítače stolních počítačů, data a klienty.
Komponenty, které spravuje Microsoft
Microsoft spravuje následující služby Azure Virtual Desktop v rámci Azure:
Web Access: Pomocí služby Web Access v rámci služby Azure Virtual Desktop můžete přistupovat k virtuálním plochám a vzdáleným aplikacím prostřednictvím webového prohlížeče kompatibilního s HTML5 stejně jako s místním počítačem, odkudkoli a na jakémkoli zařízení. Webový přístup můžete zabezpečit pomocí vícefaktorového ověřování v MICROSOFT Entra ID.
Brána: Služba Brána vzdáleného Připojení ionu připojuje vzdálené uživatele k aplikacím a plochám služby Azure Virtual Desktop z libovolného zařízení připojeného k internetu, které může spustit klienta služby Azure Virtual Desktop. Klient se připojí k bráně, která pak orchestruje připojení z virtuálního počítače zpět ke stejné bráně.
Připojení ion Broker: Služba Připojení ion Broker spravuje uživatelská připojení k virtuálním plochám a vzdáleným aplikacím. Připojení ion Broker poskytuje vyrovnávání zatížení a opětovné připojení k existujícím relacím.
Diagnostika: Diagnostika vzdálené plochy je agregátor založený na událostech, který označuje každou akci uživatele nebo správce v nasazení služby Azure Virtual Desktop jako úspěch nebo selhání. Správa istrátory mohou dotazovat agregaci událostí, aby identifikovali neúspěšné součásti.
Komponenty rozšiřitelnosti: Azure Virtual Desktop zahrnuje několik komponent rozšiřitelnosti. Azure Virtual Desktop můžete spravovat pomocí Windows PowerShellu nebo pomocí poskytovaných rozhraní REST API, která také umožňují podporu z nástrojů třetích stran.
Komponenty, které spravujete
Spravujete následující komponenty řešení Azure Virtual Desktop:
Azure Virtual Network: S Azure Virtual Network můžou prostředky Azure, jako jsou virtuální počítače, vzájemně komunikovat soukromě a s internetem. Připojením fondů hostitelů Služby Azure Virtual Desktop k doméně služby Active Directory můžete definovat topologii sítě pro přístup k virtuálním desktopům a virtuálním aplikacím z intranetu nebo internetu na základě zásad organizace. Instanci Služby Azure Virtual Desktop můžete připojit k místní síti pomocí virtuální privátní sítě (VPN), nebo můžete použít Azure ExpressRoute k rozšíření místní sítě do Azure přes privátní připojení.
Microsoft Entra ID: Azure Virtual Desktop používá k správě identit a přístupu ID Microsoft Entra. Integrace Microsoft Entra používá funkce zabezpečení Microsoft Entra, jako je podmíněný přístup, vícefaktorové ověřování a Intelligent Security Graph a pomáhá udržovat kompatibilitu aplikací ve virtuálních počítačích připojených k doméně.
Doména služby Active Directory Services (volitelné): Virtuální počítače služby Azure Virtual Desktop můžou být připojené k doméně služby AD DS nebo pomocí nasazení virtuálních počítačů připojených k Microsoft Entra ve službě Azure Virtual Desktop
- Pokud používáte doménu SLUŽBY AD DS, musí být doména synchronizovaná s ID Microsoft Entra, aby bylo možné přidružit uživatele mezi těmito dvěma službami. Microsoft Entra Připojení můžete použít k přidružení služby AD DS k ID Microsoft Entra.
- Při použití připojení k Microsoft Entra zkontrolujte podporované konfigurace a ujistěte se, že je váš scénář podporovaný.
Hostitelé relací služby Azure Virtual Desktop: Hostitelé relací jsou virtuální počítače, ke kterým se uživatelé připojují pro své desktopy a aplikace. Podporuje se několik verzí Windows a můžete vytvářet image s aplikacemi a vlastními nastaveními. Můžete zvolit velikosti virtuálních počítačů, včetně virtuálních počítačů s podporou GPU. Každý hostitel relace má agenta hostitele služby Azure Virtual Desktop, který virtuální počítač zaregistruje jako součást pracovního prostoru nebo tenanta Služby Azure Virtual Desktop. Každý fond hostitelů může mít jednu nebo více skupin aplikací, což jsou kolekce vzdálených aplikací nebo relací plochy, ke kterým máte přístup. Informace o podporovaných verzích Windows najdete v tématu Operační systémy a licence.
Pracovní prostor Služby Azure Virtual Desktop: Pracovní prostor nebo tenant Služby Azure Virtual Desktop je konstruktor správy pro správu a publikování prostředků fondu hostitelů.
Podrobnosti scénáře
Potenciální případy použití
Největší poptávka po podnikových řešeních virtuálních klientských počítačů pochází z následujících:
Aplikace zabezpečení a regulace, jako jsou finanční služby, zdravotnictví a státní správa.
Potřeby elastických pracovníků, jako je práce na dálku, fúze a akvizice, krátkodobé zaměstnance, dodavatelé a přístup k partnerům.
Konkrétní zaměstnanci, například přineste si vlastní zařízení (BYOD) a mobilní uživatele, call centra a pracovníky poboček.
Specializované úlohy, jako je návrh a příprava, starší verze aplikací a testování vývoje softwaru.
Osobní a poolované stolní počítače
Pomocí osobních desktopových řešení, někdy označovaných jako trvalé plochy, se uživatelé můžou vždy připojit ke stejnému konkrétnímu hostiteli relace. Uživatelé můžou obvykle upravovat své desktopové prostředí tak, aby vyhovovaly osobním preferencím, a můžou ukládat soubory v desktopovém prostředí. Osobní desktopová řešení:
- Umožnit uživatelům přizpůsobit si desktopové prostředí, včetně aplikací nainstalovaných uživatelem, a uživatelé můžou ukládat soubory v desktopovém prostředí.
- Povolte přiřazování vyhrazených prostředků konkrétním uživatelům, což může být užitečné pro některé případy použití výroby nebo vývoje.
Desktopová řešení ve fondu, označovaná také jako ne trvalá plocha, přiřazují uživatele k aktuálně dostupnému hostiteli relací v závislosti na algoritmu vyrovnávání zatížení. Vzhledem k tomu, že se uživatelé vždy nevrátí ke stejnému hostiteli relace pokaždé, když se připojí, mají omezenou možnost přizpůsobit desktopové prostředí a obvykle nemají přístup správce.
Údržba Windows
Existuje několik možností aktualizace instancí služby Azure Virtual Desktop. Nasazení aktualizované image každý měsíc zaručuje dodržování předpisů a stav.
- Microsoft Endpoint Configuration Manager (MECM) aktualizuje serverové a desktopové operační systémy.
- služba Windows Update pro firmy aktualizuje desktopové operační systémy, jako je například více relací Windows 10.
- Azure Update Management aktualizuje serverové operační systémy.
- Azure Log Analytics kontroluje dodržování předpisů.
- Nasaďte novou (vlastní) image do hostitelů relací každý měsíc pro nejnovější aktualizace Windows a aplikací. Image můžete použít z Azure Marketplace nebo vlastní image spravované v Azure.
Vztahy mezi klíčovými logickými komponentami
Vztahy mezi fondy hostitelů, pracovními prostory a dalšími klíčovými logickými komponentami se liší. Shrnují se v následujícím diagramu:
Čísla v následujícím popisu odpovídají číslům v předchozím diagramu.
- (1) Skupina aplikací, která obsahuje publikovanou plochu, může obsahovat pouze balíčky MSIX připojené k fondu hostitelů (balíčky budou k dispozici v nabídce Start hostitele relace), nesmí obsahovat žádné další publikované prostředky a označuje se jako skupina desktopových aplikací.
- (2) Skupiny aplikací přiřazené ke stejnému fondu hostitelů musí být členy stejného pracovního prostoru.
- (3) Uživatelský účet lze přiřadit skupině aplikací buď přímo, nebo prostřednictvím skupiny Microsoft Entra. Je možné přiřadit žádné uživatele ke skupině aplikací, ale pak nemůže obsluhovat.
- (4) Je možné mít prázdný pracovní prostor, ale nemůže obsluhovat uživatele.
- (5) Je možné mít prázdný fond hostitelů, ale nemůže obsluhovat uživatele.
- (6) Fond hostitelů nemůže mít přiřazené žádné skupiny aplikací, ale nemůže obsluhovat uživatele.
- (7) Pro Azure Virtual Desktop se vyžaduje ID Microsoft Entra. Důvodem je to, že uživatelské účty a skupiny Microsoft Entra musí být vždy použity k přiřazování uživatelů ke skupinám aplikací služby Azure Virtual Desktop. ID Microsoft Entra se používá také k ověřování uživatelů ve službě Azure Virtual Desktop. Hostitelé relací služby Azure Virtual Desktop můžou být také členy domény Microsoft Entra a v této situaci se spustí a spustí také relace publikované službou Azure Virtual Desktop a relace plochy pomocí účtů Microsoft Entra.
- (7) Hostitelé relací služby Azure Virtual Desktop můžou být členy domény služby AD DS a v této situaci se aplikace a relace plochy publikované službou Azure Virtual Desktop spustí a spustí (ale nepřiřazují) pomocí účtů SLUŽBY AD DS. Aby se snížily režijní náklady na uživatele a správu, je možné službu AD DS synchronizovat s MICROSOFT Entra ID prostřednictvím Připojení Microsoft Entra.
- (7) Hostitelé relací služby Azure Virtual Desktop mohou být členy domény služby Microsoft Entra Domain Services a v této situaci se spustí a spustí (ale nepřiřazuje) pomocí účtů služby Microsoft Entra Domain Services publikované aplikace a relace služby Azure Virtual Desktop. Id Microsoft Entra se automaticky synchronizuje se službou Microsoft Entra Domain Services, a to jedním ze služeb Microsoft Entra ID do služby Microsoft Entra Domain Services.
| Prostředek | Účel | Logické relace |
|---|---|---|
| Publikovaná plocha | Desktopové prostředí Windows, které běží na hostitelích relací služby Azure Virtual Desktop a doručuje se uživatelům přes síť. | Člen jedné a pouze jedné skupiny aplikací (1) |
| Publikovaná aplikace | Aplikace pro Windows, která běží na hostitelích relací služby Azure Virtual Desktop a doručuje se uživatelům přes síť. | Člen jedné a pouze jedné skupiny aplikací |
| Skupina aplikací | Logické seskupení publikovaných aplikací nebo publikované plochy | – Obsahuje publikovanou plochu (1) nebo jednu nebo více publikovaných aplikací. - Přiřazeno jednomu a pouze jednomu fondu hostitelů (2) - Člen jednoho a pouze jednoho pracovního prostoru (2) - Jeden nebo více uživatelských účtů nebo skupin Microsoft Entra jsou přiřazeny k němu (3) |
| Uživatelský účet nebo skupina Microsoft Entra | Identifikuje uživatele, kteří mají oprávnění spouštět publikované plochy nebo aplikace. | - Člen jednoho a pouze jednoho ID Microsoft Entra - Přiřazeno k jedné nebo více skupinám aplikací (3) |
| Microsoft Entra ID (7) | Zprostředkovatel identity | – Obsahuje jeden nebo více uživatelských účtů nebo skupin, které je potřeba použít k přiřazení uživatelů ke skupinám aplikací a lze je použít také k přihlášení k hostitelům relací. - Může obsahovat členství hostitelů relací. – Je možné synchronizovat se službou AD DS nebo Microsoft Entra Domain Services. |
| AD DS (7) | Zprostředkovatel identit a adresářových služeb | - Obsahuje jeden nebo více uživatelských účtů nebo skupin, které lze použít k přihlášení k hostitelům relace. - Může obsahovat členství hostitelů relací. - Je možné synchronizovat s Microsoft Entra ID |
| Microsoft Entra Domain Services (7) | Identita založená na platformě jako služba (PaaS) a poskytovatel adresářových služeb | - Obsahuje jeden nebo více uživatelských účtů nebo skupin, které lze použít k přihlášení k hostitelům relace. - Může obsahovat členství hostitelů relací. - Synchronizováno s Microsoft Entra ID |
| Pracovní prostor | Logické seskupení skupin aplikací | Obsahuje jednu nebo více skupin aplikací (4) |
| Fond hostitelů | Skupina identických hostitelů relací, kteří slouží společnému účelu | – Obsahuje jednoho nebo více hostitelů relací (5) – Jedna nebo více skupin aplikací jsou k ní přiřazeny (6) |
| Hostitel relace | Virtuální počítač, který hostuje publikované plochy nebo aplikace | Člen jednoho a pouze jednoho fondu hostitelů |
Důležité informace
Tyto aspekty implementují pilíře dobře architektuře Azure, což je sada hlavních principů, které je možné použít ke zlepšení kvality úlohy. Další informace naleznete v tématu Microsoft Azure Well-Architected Framework.
Čísla v následujících částech jsou přibližná. Jsou založeny na různých velkých zákaznických nasazeních a můžou se v průběhu času měnit.
Všimněte si také, že:
- Nemůžete vytvořit více než 500 skupin aplikací na jednoho tenanta Microsoft Entra*.
- Doporučujeme nepublikovat více než 50 aplikací na skupinu aplikací.
Omezení služby Azure Virtual Desktop
Azure Virtual Desktop, podobně jako Azure, má určitá omezení služeb, o které potřebujete vědět. Abyste se vyhnuli změnám ve fázi škálování, je vhodné vyřešit některá z těchto omezení během fáze návrhu.
| Objekt Služby Azure Virtual Desktop | Objekt nadřazeného kontejneru | Limit služby |
|---|---|---|
| Pracovní prostor | Tenant Microsoft Entra | 1300 |
| Fond hostitelů | Pracovní prostor | 400 |
| Skupina aplikací | Tenant Microsoft Entra | 500* |
| RemoteApp | Skupina aplikací | 500 |
| Přiřazení role | Libovolný objekt Služby Azure Virtual Desktop | 200 |
| Hostitel relace | Fond hostitelů | 10,000 |
*Pokud potřebujete více než 500 skupin aplikací, odešlete lístek podpory prostřednictvím webu Azure Portal.
- Doporučujeme nasadit maximálně 5 000 virtuálních počítačů na předplatné Azure pro každou oblast. Toto doporučení platí jak pro fondy osobních hostitelů, tak pro fondy hostitelů ve fondu založené na jedné a více relacích Windows Enterprise. Většina zákazníků používá více relací Windows Enterprise, což umožňuje více uživatelům přihlásit se k jednotlivým virtuálním počítačům. Můžete zvýšit prostředky jednotlivých virtuálních počítačů hostitele relací tak, aby vyhovovaly více uživatelským relacím.
- U automatizovaných nástrojů pro škálování hostitele relací platí omezení přibližně 2 500 virtuálních počítačů na předplatné Azure v jednotlivých oblastech, protože interakce se stavem virtuálního počítače spotřebovává více prostředků.
- Pokud chcete spravovat podniková prostředí s více než 5 000 virtuálními počítači na předplatné Azure ve stejné oblasti, můžete vytvořit více předplatných Azure v hvězdicové architektuře a připojit je prostřednictvím partnerského vztahu virtuálních sítí (pomocí jednoho předplatného na paprsk). Můžete také nasadit virtuální počítače v jiné oblasti ve stejném předplatném, abyste zvýšili počet virtuálních počítačů.
- Limity omezování rozhraní API předplatného Azure Resource Manageru (ARM) neumožňují přes Azure Portal více než 600 restartování virtuálních počítačů Azure za hodinu. Všechny počítače můžete restartovat najednou prostřednictvím operačního systému, který nevyužívají žádná volání rozhraní API předplatného Azure Resource Manageru. Další informace o počítání a řešení potíží s limity omezování na základě předplatného Azure najdete v tématu Řešení potíží s chybami omezování rozhraní API.
- V současné době můžete nasadit až 132 virtuálních počítačů v jednom nasazení šablony ARM na portálu Azure Virtual Desktop. Pokud chcete vytvořit více než 132 virtuálních počítačů, spusťte nasazení šablony ARM na portálu Azure Virtual Desktop několikrát.
- Předpony názvu hostitele relace virtuálního počítače Azure nesmí překročit 11 znaků, protože automatické přiřazování názvů instancí a limitu netBIOS na účet počítače je 15 znaků.
- Ve výchozím nastavení můžete ve skupině prostředků nasadit až 800 instancí většiny typů prostředků. Azure Compute tento limit nemá.
Určení velikosti virtuálního počítače
Pokyny k určení velikosti virtuálních počítačů uvádějí maximální navrhovaný počet uživatelů na virtuální jednotku centrálního zpracování (vCPU) a minimální konfigurace virtuálních počítačů pro různé úlohy. Tato data pomáhají odhadnout virtuální počítače, které potřebujete ve fondu hostitelů.
Pomocí simulačních nástrojů můžete testovat nasazení pomocí zátěžových testů i simulací využití v reálném životě. Ujistěte se, že systém reaguje a je dostatečně odolný, aby vyhovoval potřebám uživatelů, a nezapomeňte při testování lišit velikosti zatížení.
Optimalizace nákladů
Optimalizace nákladů se zabývá způsoby, jak snížit zbytečné výdaje a zlepšit efektivitu provozu. Další informace najdete v tématu Přehled pilíře optimalizace nákladů.
Řešení Azure Virtual Desktop můžete navrhovat tak, aby bylo možné dosáhnout úspor nákladů. Tady je pět různých možností, jak spravovat náklady pro podniky:
- Více relací Windows 10: Poskytnutím desktopového prostředí s více relacemi pro uživatele s identickými požadavky na výpočetní prostředky můžete umožnit více uživatelům přihlásit se k jednomu virtuálnímu počítači najednou, což může způsobit značné úspory nákladů.
- Zvýhodněné hybridní využití Azure: Pokud máte Software Assurance, můžete použít Zvýhodněné hybridní využití Azure pro Windows Server, abyste ušetřili náklady na infrastrukturu Azure.
- Rezervované instance virtuálních počítačů Azure: Můžete si předplatit využití virtuálního počítače a ušetřit peníze. Zkombinujte rezervované instance virtuálních počítačů Azure s Zvýhodněné hybridní využití Azure až za 80 % úspor oproti cenám seznamu.
- Vyrovnávání zatížení hostitele relace: Při nastavování hostitelů relací je standardní výchozí režim. Případně můžete použít režim hloubkového prvního spuštění k vyplnění serveru hostitele relace maximálním počtem uživatelů, než přejde na dalšího hostitele relace. Toto nastavení můžete upravit pro maximální nákladové výhody.
Nasazení tohoto scénáře
Pomocí šablon ARM můžete automatizovat nasazení prostředí Azure Virtual Desktop. Tyto šablony ARM podporují pouze objekty Azure Virtual Desktopu Azure Resource Manageru. Tyto šablony ARM nepodporují Azure Virtual Desktop (Classic).
Přispěvatelé
Tento článek spravuje Microsoft. Původně byla napsána následujícími přispěvateli.
Hlavní autor:
- Tom Hickling | Senior Product Manager, Azure Virtual Desktop Engineering
Další přispěvatel:
- Nelson Del Villar | Architekt cloudových řešení, základní infrastruktura Azure
Další kroky
- Integrace partnerů Azure Virtual Desktopu uvádí schválené poskytovatele partnerů Azure Virtual Desktopu a nezávislé dodavatele softwaru.
- Pomocí nástroje Pro optimalizaci virtuálních klientských počítačů můžete optimalizovat výkon v prostředí windows 10 Enterprise VDI (infrastruktura virtuálních klientských počítačů).
- Viz Nasazení virtuálních počítačů připojených k Microsoft Entra ve službě Azure Virtual Desktop.
- Přečtěte si další informace o službách Doména služby Active Directory.
- Co je Microsoft Entra Připojení?
Související prostředky
- Další informace o architektuře více doménových struktur služby Active Directory najdete v tématu Architektura více doménových struktur služby Active Directory ve službě Azure Virtual Desktop.