Share via

Principy návrhu služby Azure Virtual Desktop

  • Článek

Pokyny k úlohám služby Azure Virtual Desktop vycházejí z architektury Azure Well-Architected Framework a jejích pěti pilířů špičkové architektury. Následující tabulka obsahuje seznam jednotlivých pilířů a souhrn jejich cílů.

pilíř Well-Architected frameworku Souhrn
Spolehlivost Prostředí virtuálních klientských počítačů vyžaduje vysokou úroveň spolehlivosti služeb, která pomáhá zajistit konzistentní a nepřerušované uživatelské prostředí. Je nezbytné vytvořit robustní infrastrukturu, která umožní spolehlivý přístup a optimální výkon prostředí virtuálních klientských počítačů. Vyhodnoťte nasazení virtuálních klientských počítačů, zejména ta, která se integrují s nativními službami Azure. Konkrétně vyhodnoťte nativní výpočetní, síťové a úložné služby, které vaše nasazení používá. Vyhodnoťte také produkty třetích stran a partnerská řešení, která používáte se službou Azure Virtual Desktop. Tyto komponenty ovlivňují spolehlivost, protože jsou součástí návrhu cílové zóny. Tento přístup pomáhá zajistit bezproblémové a spolehlivé uživatelské prostředí.
Zabezpečení Pilíř zabezpečení se zaměřuje na implementaci strategií pro ochranu úloh před hrozbami a ohroženími zabezpečení. Zabezpečení také zahrnuje důležité informace týkající se insiderských rizik a ochrany před únikem informací. Ve službě Azure Virtual Desktop je důležité vyhodnotit kompletní témata týkající se zabezpečení. Tato témata sahají od správy identit a přístupu (IAM), operačních systémů, aplikací, sítí a platforem Azure až po data. Důrazně doporučujeme, abyste si prostudovali nebo vytvořili strategie pro začlenění celé řady vrstev zabezpečení napříč vašimi aktivy Azure. Tyto strategie by měly zahrnovat vaše desktopy a aplikace, které jsou prezentovány ve službě Azure Virtual Desktop.
Optimalizace nákladů Když optimalizujete prostředí virtuálních klientů z hlediska nákladů, splníte očekávání z výkonu, která jsou nastavená obchodními požadavky. Snížíte také celkové náklady na vlastnictví tím, že minimalizujete nadměrné výdaje. Celkových nákladů na vlastnictví můžete snížit tím, že využijete výkon infrastruktury hyperškálování služby Azure Virtual Desktop. Optimalizace nákladů na službu Azure Virtual Desktop zahrnuje několik kroků. Mezi příklady patří volba správné velikosti virtuálních počítačů, použití rezervovaných instancí nebo úsporných plánů, nastavení plánů škálování a monitorování a optimalizace výdajů pomocí služby Microsoft Cost Management. Je důležité průběžně vyhodnocovat nasazení služby Azure Virtual Desktop, abyste mohli sledovat využití a identifikovat příležitosti k optimalizaci úloh.
Efektivita výkonu Efektivita výkonu se zaměřuje na schopnost vašeho prostředí splnit nebo překročit obchodní požadavky, které jsou nastavené pro virtuální plochu a aplikace. V prostředí služby Azure Virtual Desktop můžete dosáhnout požadovaného výkonu s ideální efektivitou tím, že si vyberete optimální skupiny výpočetních prostředků a velikosti a typy disků. Pokud používáte profily FSLogix, musíte také vybrat optimální úložiště. Obecně je důležité vyhodnotit a otestovat řadu konfigurací virtuálních počítačů, abyste pochopili, jak vaši uživatelé a úlohy používají prostředky Azure, které tvoří hostitele relací ve službě Azure Virtual Desktop. Po nasazení doporučujeme průběžně monitorovat spotřebu produkčních prostředků, abyste měli jistotu, že dosáhnete nebo překročíte požadovaný cílový výkon.
Efektivita provozu Využijte principy DevOps v rámci týmu úloh virtuálních desktopů Azure. Podporovat přijetí myšlení DevOps, vývoj standardů a přístup k provádění při vývoji. Se službou Azure Virtual Desktop můžete snadno vytvořit nastavené postupy pro nasazení, správu a údržbu úloh. Tyto postupy mohou zahrnovat použití šablon Azure Resource Manager, Bicep, Terraformu a dalších forem infrastruktury jako kódu (IaC). Pokud chcete přizpůsobit hostitele relací, můžete sestavení image automatizovat pomocí nástrojů, jako je funkce vlastní šablony image s Azure DevOps. Tyto a další strategie DevOps pomáhají vaší organizaci efektivně vytvářet, udržovat a spravovat prostředí služby Azure Virtual Desktop.

Důležité

Tento článek je součástí řady úloh azure Well-Architected Framework služby Azure Virtual Desktop . Pokud tuto řadu neznáte, doporučujeme začít na co je úloha Služby Azure Virtual Desktop?.

Spolehlivost

Spolehlivost je základním pilířem prostředí Azure Virtual Desktop. Výpadky se můžou materializovat místně i v cloudu. V důsledku toho musíte věnovat pečlivou pozornost komponentám virtuálních klientských počítačů, mezi které patří služby Azure a místní infrastruktura. Vyhodnoťte uživatelská data (profily), aplikace a požadavky na dostupnost výpočetních prostředků úloh a určete strategii pro provozní kontinuitu a zotavení po havárii. Vezměte v úvahu různé úrovně dostupnosti, které dosáhnete ve službě Azure Virtual Desktop s různými možnostmi nasazení, jako jsou fondy hostitelů aktivní-aktivní nebo aktivní-pasivní. Vyhodnoťte také aspekty návrhu zotavení po havárii, abyste zajistili bezproblémové převzetí služeb při selhání během výpadků.

  • Odolnost proti chybám označuje zotavení po selhání a udržování funkčnosti.
  • Dostupnost zajišťuje nepřerušenou dobu provozu. Vysoká dostupnost minimalizuje výpadky aplikací během kritických aktivit údržby. Vylepšuje také zotavení po incidentech, jako jsou chyby virtuálních počítačů, aktualizace back-endu, prodloužené výpadky a útoky ransomwarem.

Dosažení spolehlivosti vyžaduje komplexní přístup, který zahrnuje architekturu, provozní postupy, automatizaci, monitorování, pravidelné testování a ověřování.

  • Definování smluv o úrovni služeb (SLA) Vytvoření jasně definovaných smluv SLA je pro podporu spolehlivosti zásadní. Tyto smlouvy určují přesná očekávání týkající se dostupnosti a výkonu uživatelských relací a profilů. Tím stanoví jasný srovnávací test, který můžete použít k posouzení provozní efektivity vašeho systému.
  • Vývoj efektivních strategií škálování U vertikálního škálování zvolíte skladovou položku virtuálního počítače, která odpovídá potřebám prostředků uživatelských relací. Zvažte také aspekty, jako jsou požadavky na procesor a paměť. Horizontálním škálováním přidáte další instance virtuálních počítačů, které budou vyhovět eskalačním požadavkům a zároveň udržovat stabilitu systému.
  • Návrh pro zajištění vysoké dostupnosti Tento proces zahrnuje integraci redundance a mechanismů převzetí služeb při selhání, které pomáhají zajistit nepřerušovaný provoz. Vysoká dostupnost minimalizuje potenciální přerušení a zaručuje uživatelům bezproblémové prostředí i během neočekávaných událostí.
  • Implementujte odolnost proti chybám. Zahrnutí úložiště odolného proti chybám hraje klíčovou roli při ochraně integrity a dostupnosti cestovních profilů a uživatelských dat. Tato strategie nabízí vrstvu ochrany před ztrátou dat, protože pomáhá zajistit, aby důležitá uživatelská data zůstala nedotčená a přístupná během selhání.
  • Seznamte se s možnostmi zálohování a obnovení. Robustní postupy zálohování vám pomůžou zajistit provozní kontinuitu i tváří v tvář nepřízenství.

Zabezpečení

V modelu sdílené odpovědnosti:

  • Organizace jsou primárně zodpovědné za správu a provoz úloh služby Azure Virtual Desktop.
  • Řídicí rovinu, která podporuje úlohy Azure Virtual Desktopu, spravuje Microsoft.

Důrazně doporučujeme, abyste pravidelně vyhodnocovali své služby a technologie, abyste zajistili, že se váš stav zabezpečení přizpůsobí měnícímu se prostředí hrozeb. Když spolupracujete s dodavateli na implementaci vhodných bezpečnostních opatření, je nezbytné jasně porozumět modelu sdílené odpovědnosti.

K zabezpečení prostředí virtuálních klientských počítačů můžete použít několik metod:

  • Izolace sítě. Pomocí technik izolace sítě, jako jsou podsítě a skupiny zabezpečení sítě, můžete ztěžovat interakce mezi nativními službami Azure. Toto oddělení zvyšuje celkové zabezpečení.
  • Správa oprav. Pravidelné používání oprav a aktualizací k posílení ochrany před ohroženími zabezpečení, která se dají zneužít
  • Environmentální audity. Pravidelné audity vašeho prostředí poskytují přehled o potenciálních mezerách zabezpečení. Tento postup usnadňuje včasnou identifikaci a nápravu ohrožení zabezpečení.
  • Správa informací o zabezpečení a událostí (SIEM) Použijte řešení SIEM, jako je Microsoft Sentinel. Tento nástroj nabízí monitorování událostí zabezpečení v reálném čase, které pomáhá rychle reagovat na potenciální hrozby.
  • Šifrování dat: Implementujte mechanismy šifrování neaktivních uložených dat a přenášených dat. Tento postup pomáhá zajistit důvěrnost a integritu dat, a to i během pokusů o neoprávněný přístup.
  • Správa identit a přístupu.
    • Vícefaktorové ověřování: Posílení procesu ověření identity vynucením vícefaktorového ověřování. Tento postup pomáhá odradit od pokusů o neoprávněný přístup.
    • Integrace s ID Microsoft Entra: Delegujte správu identit a přístupu na id Microsoft Entra pro jednodušší řízení přístupu.
    • Princip nejnižší úrovně oprávnění: Minimalizujte riziko zneužití použitím principu nejnižší úrovně oprávnění. Tento princip použijte k omezení přístupu k prostředkům podle rolí, které se zaměřují na metody přístupu podle potřeby (JEA) a přístupu za běhu (JIT).
    • Řízení přístupu na základě role (RBAC): Upřednostnění řízeného přístupu pomocí Azure RBAC k přiřazení oprávnění založených na předdefinovaných rolích.

Optimalizace nákladů

Azure Virtual Desktop je nákladově efektivní modernizace služby Vzdálená plocha(RDS). Některé komponenty se odeberou z vaší infrastruktury a poskytují se jako nativní služby pro všechny oblasti Azure. Azure Virtual Desktop snižuje požadavky na licence pro klientský přístup (CAL) k Windows Serveru a Vzdálené ploše tím, že nabízí Windows 10 nebo Windows 11 Enterprise vzdálené plochy s více relacemi. V těchto stolních počítačích se podporuje použití stávajících licencí Microsoftu 365 vázaného na uživatele. Tato podpora přináší výhody úlohám, které obsahují pouze aplikace, které jsou podporovány v moderních operačních systémech.

Mezi klíčové aspekty a metody optimalizace nákladů na službu Azure Virtual Desktop patří:

  • Používání nákladově efektivních virtuálních počítačů Volba správné velikosti virtuálního počítače vám pomůže zajistit, že nebudete platit za více prostředků, než potřebujete. Určete, která řada virtuálních počítačů nejlépe vyhovuje spotřebě prostředků virtuálních počítačů pro vaši úlohu. Najděte vhodnou rovnováhu mezi výkonem a nákladovou efektivitou.

  • Rezervované instance nebo úsporné plány. Azure nabízí rezervované instance a úsporné plány. Při používání těchto plánů ušetříte peníze tím, že se zavážete k jednoletému nebo tříletému období pro vaše virtuální počítače. Tato strategie poskytuje předvídatelné ceny a pomáhá snižovat náklady v průběhu času.

    Cost Management spolupracuje s Azure Advisorem na identifikaci příležitostí k úsporám pro rezervované instance a úsporné plány. Než se zavážete k rezervovaným instancím nebo úsporným plánům, ujistěte se, že optimalizujete úlohy služby Azure Virtual Desktop. Mějte také na paměti, jak se rezervované instance a plány úspor liší v souvislosti s vymezením rozsahu a sdílenou spotřebou plánů a instancí.

  • Značky služeb. Místo použití konkrétních IP adres pro služby Azure můžete použít značky služeb. Vzhledem k tomu, že řeší změny, tento přístup minimalizuje složitost častých aktualizací pravidel zabezpečení sítě. Díky snížení úsilí potřebného k údržbě sítí pomáhají značky služeb snižovat celkové náklady.

  • Plány škálování. Se službou Azure Virtual Desktop můžete pro virtuální počítače nastavit plány škálování. Tato strategie snižuje náklady tím, že pomáhá zajistit, aby byl v případě potřeby spuštěn správný počet hostitelů relací.

  • Cost Management. Při používání služby Cost Management můžete monitorovat a optimalizovat útratu za Azure. Pomocí tohoto nástroje můžete identifikovat oblasti, ve kterých můžete snížit náklady a optimalizovat nasazení služby Azure Virtual Desktop. Konkrétně můžete vytvářet rozpočty ve službě Cost Management a nastavovat pro tyto rozpočty upozornění. Když útrata překročí váš rozpočet, aktivuje se kontrola, která prověří, proč se náklady zvýšily nad nastavenou úroveň.

Mějte na paměti, že možnosti hardwaru Azure se často rozšiřují. V důsledku toho se pro úlohy pravidelně objevují příležitosti k další optimalizaci nákladů, vyloučení plýtvání a zlepšení poměru výkonu a nákladů. Pro organizace je vhodné pravidelně se vracet a upravovat svá opatření pro úsporu nákladů.

Efektivita výkonu

Tento pilíř se zaměřuje na optimalizaci úloh, ve kterých běží vaše prostředí Služby Azure Virtual Desktop. Toto zaměření zahrnuje mnoho aspektů:

  • Přidělování správné velikosti, rodiny a počtu hostitelů relací
  • Průběžné monitorování výkonu a zjišťování anomálií pomocí nástrojů, jako jsou Azure Monitor, Log Analytics, Application Insights a upozornění
  • Konfigurace správného plánu škálování, abyste uživatelům měli k dispozici ideální počet hostitelů relací

Zvážení každého z těchto aspektů vám pomůže vytvořit prostředí služby Azure Virtual Desktop, které poskytuje konzistentní a soudržné uživatelské prostředí.

Efektivita provozu

Efektivita provozu ve službě Azure Virtual Desktop znamená zajištění konzistence, opakovatelnosti a stability vašich provozních postupů ve fázích vývoje, nasazení a provozu.

  • Použití IaC k opakovatelnému a konzistentnímu nasazení
  • Správné monitorování prostředků pro zachování stavu vašeho prostředí
  • Odpovídající kanál kontinuální integrace nebo průběžného doručování (CI/CD), který vám pomůže dosáhnout:
    • Včasné zotavení po havárii.
    • Předprodukční testování.
    • Replikace prostředků.
  • Implementace zásad správného řízení Azure, které pomáhají zajistit zabezpečení a dodržování předpisů v rámci podnikových technických aktiv
  • Návrh schématu delegování RBAC, které implementuje přístup s nejnižšími oprávněními pomocí předdefinovaných rolí služby Azure Virtual Desktop za účelem zjednodušení procesu přiřazování a správy přístupových oprávnění.
  • Udržování standardů zásad správného řízení a dodržování předpisů pro fond hostitelů
  • Dokumentace, která obsahuje všechny body v tomto seznamu.

Tyto kroky pomáhají týmům spolupracovat způsobem, který je efektivní a transparentní.

Další kroky

Principy návrhu jsou začleněny do specifických technických oblastí návrhu. Každá oblast nabízí cílené pokyny, které vám pomůžou rychle získat přístup k informacím, které potřebujete pro zvýšení produktivity v minimálním časovém intervalu. Zvažte nadpisy jako navigační nástroje, které vás povedou správným směrem pro sítě, základní infrastrukturu, doručování aplikací, monitorování, zabezpečení a provozní postupy.

Začněte tím, že si projděte aspekty návrhu pro doručování aplikací, které jsou potřeba pro podporu úloh.

Dodávání aplikací