Share via

Důležité informace o sítích a připojení pro úlohy služby Azure Virtual Desktop

  • Článek

Tento článek popisuje oblast návrhu sítě a připojení úlohy služby Azure Virtual Desktop. Je důležité navrhnout a implementovat síťové funkce Azure pro cílovou zónu služby Azure Virtual Desktop. Základem tohoto článku je několik principů a doporučení architektury cílových zón Azure Well-Architected Framework na podnikové úrovni. Na základě těchto pokynů se v tomto článku dozvíte, jak spravovat síťovou topologii a možnosti připojení ve velkém měřítku.

Důležité

Tento článek je součástí řady úloh azure Well-Architected Framework služby Azure Virtual Desktop . Pokud tuto řadu neznáte, doporučujeme začít na co je úloha Služby Azure Virtual Desktop?.

Latence klienta

Dopad: Efektivita výkonu

Latence mezi koncovými uživateli a hostiteli relací je klíčovým aspektem, který ovlivňuje uživatelské prostředí služby Azure Virtual Desktop. K odhadu doby odezvy připojení (RTT) můžete použít nástroj Pro posouzení prostředí služby Azure Virtual Desktop . Tento nástroj konkrétně odhaduje dobu odezvy z umístění uživatelů prostřednictvím služby Azure Virtual Desktop do každé oblasti Azure, ve které nasazujete virtuální počítače.

Posouzení kvality prostředí pro koncové uživatele:

  • Testování kompletních latencí ve vývojových, testovacích a testovacích prostředích Tento test by měl brát v úvahu skutečné zkušenosti uživatelů. Měl by vzít v úvahu faktory, jako jsou síťové podmínky, zařízení koncových uživatelů a konfigurace nasazených virtuálních počítačů.
  • Mějte na paměti, že latence je pouze jedním z aspektů připojení ke vzdáleným protokolům. Šířka pásma a uživatelské zatížení také ovlivňují vaše prostředí pro koncové uživatele.
Doporučení
  • Pomocí nástroje Pro posouzení prostředí služby Azure Virtual Desktop shromážděte odhadované hodnoty latence.
  • Otestujte latence mezi virtuálními sítěmi Azure a místními systémy.
  • Pro klienty, kteří používají připojení VPN typu point-to-site (P2S), použijte rozdělený tunel založený na protokolu UDP (User Datagram Protocol).
  • Použití protokolu RDP (Remote Desktop Protocol) Shortpath se spravovanou sítí pro místní klienty, kteří používají SÍŤ VPN nebo Azure ExpressRoute.

Místní připojení (hybridní sítě)

Dopad: Efektivita výkonu, efektivita provozu

Některé organizace používají hybridní modely, které zahrnují místní a cloudové prostředky. V mnoha hybridních případech se musí pracovní postupy koncových uživatelů, které běží ve službě Azure Virtual Desktop, dostat k místním prostředkům, jako jsou sdílené služby nebo služby platformy, data nebo aplikace.

Při implementaci hybridních sítí si projděte osvědčené postupy a doporučení v článku Cloud Adoption Framework síťové topologie a připojení.

Je důležité zajistit soulad se škálovacím modelem služby Azure Virtual Desktop, který je popsaný v tématu Integrace úlohy služby Azure Virtual Desktop s cílovými zónami Azure. Pokud chcete postupovat podle tohoto modelu:

  • Vyhodnoťte požadavky pracovních postupů služby Azure Virtual Desktop na latenci a šířku pásma, které se připojují k místním systémům. Tyto informace jsou zásadní při návrhu hybridní síťové architektury.
  • Ujistěte se, že se ip adresy mezi podsítěmi služby Azure Virtual Desktop a místními sítěmi nepřekrývají. Doporučujeme přiřadit úlohu přidělování IP adres síťovým architektům, kteří jsou vlastníky vašeho předplatného připojení.
  • Dejte každé cílové zóně služby Azure Virtual Desktop vlastní konfiguraci virtuální sítě a podsítě.
  • Při určování potřebného adresního prostoru IP adres zvažte odpovídající velikost podsítí tím, že zvážíte potenciální růst.
  • Pokud chcete zabránit plýtvání adresním prostorem IP adres, použijte zápis inteligentního bezudržovacího mezidoménového směrování (CIDR).
Doporučení
  • Projděte si osvědčené postupy pro připojení virtuálních sítí Azure k místním systémům.
  • Otestujte latence mezi virtuálními sítěmi Azure a místními systémy.
  • Ujistěte se, že se v cílové zóně služby Azure Virtual Desktop nepoužívají žádné překrývající se IP adresy.
  • Dejte každé cílové zóně služby Azure Virtual Desktop vlastní konfiguraci virtuální sítě a podsítě.
  • Při vytváření velikosti podsítí služby Azure Virtual Desktop zvažte potenciální růst.

Připojení k více oblastem

Dopad: Efektivita výkonu, optimalizace nákladů

Aby nasazení služby Azure Virtual Desktop ve více oblastech nabídlo vašim koncovým uživatelům nejlepší možné prostředí, musí váš návrh vzít v úvahu následující faktory:

  • Služby platformy, jako jsou identity, překlad názvů, hybridní připojení a služby úložiště. Připojení z hostitelů relací služby Azure Virtual Desktop k těmto službám je klíčem k tomu, aby služba byla funkční. Výsledkem je, že cílem ideálního návrhu je snížit latenci mezi podsítěmi cílových zón služby Azure Virtual Desktop a těmito službami. Tohoto cíle můžete dosáhnout replikací služeb do každé oblasti nebo jejich zpřístupněním prostřednictvím připojení s nejnižší možnou latencí.
  • Latence koncového uživatele. Když vyberete umístění, která se mají použít pro nasazení služby Azure Virtual Desktop do více oblastí, je důležité zohlednit latenci, se kterou se uživatelé při připojení ke službě setká. Při výběru oblastí Azure, do kterých chcete nasadit hostitele relací, doporučujeme shromáždit data o latenci od populace koncových uživatelů pomocí nástroje Pro posouzení prostředí služby Azure Virtual Desktop .

Zvažte také následující faktory:

  • Závislosti aplikací napříč oblastmi
  • Dostupnost skladové položky virtuálního počítače.
  • Náklady na sítě spojené s internetovým výchozím přenosem dat, provozem mezi oblastmi a hybridním (místním) provozem, který vyžadují závislosti vaší aplikace nebo úloh.
  • Dodatečné zatížení, které funkce cloudové mezipaměti FSLogix v síti klade. Tento faktor je relevantní jenom v případě, že tuto funkci použijete k replikaci dat profilů uživatelů mezi různými oblastmi. Zvažte také náklady na zvýšený síťový provoz a úložiště, které tato funkce využívá.

Pokud je to možné, použijte skladové položky virtuálních počítačů, které nabízejí akcelerované síťové služby. U úloh, které využívají velkou šířku pásma, můžou akcelerované síťové služby snížit využití procesoru a latenci.

Dostupná šířka pásma sítě výrazně ovlivňuje kvalitu vzdálených relací. Proto je osvědčeným postupem vyhodnotit požadavky uživatelů na šířku pásma sítě, aby se zajistilo, že je pro místní závislosti k dispozici dostatečná šířka pásma.

Doporučení
  • Replikujte platformy a sdílené služby do každé oblasti, kdykoli to vaše interní zásady umožňují.
  • Pokud je to možné, použijte skladové položky virtuálních počítačů, které nabízejí akcelerované síťové služby.
  • Zahrňte odhady latence koncových uživatelů do procesu výběru oblasti.
  • Při odhadu požadavků na šířku pásma vezměte v úvahu typy úloh a monitorujte připojení reálných uživatelů.

Zabezpečení sítě

Dopad: Zabezpečení, optimalizace nákladů, efektivita provozu

Zabezpečení sítě je tradičně hlavní součástí úsilí o zabezpečení podniku. Cloud computing ale zvýšil požadavek na to, aby perimetry sítě byly prorétnější, a mnoho útočníků zvládlo umění útoků na prvky systému identit. Následující body poskytují přehled minimálních požadavků na bránu firewall pro nasazení služby Azure Virtual Desktop. Tato část obsahuje také doporučení pro připojení k bráně firewall a přístup k aplikacím, které tuto službu vyžadují.

  • Tradiční síťové ovládací prvky, které jsou založené na přístupu založeném na důvěryhodném intranetu, ve skutečnosti neposkytují záruky zabezpečení pro cloudové aplikace.
  • Integrace protokolů ze síťových zařízení a nezpracovaný síťový provoz poskytuje přehled o potenciálních bezpečnostních hrozbách.
  • Většina organizací nakonec přidá do sítí více prostředků, než se původně plánovalo. V důsledku toho je potřeba refaktorovat schémata IP adres a podsítí tak, aby vyhovovala dodatečným prostředkům. Tento proces je náročný na práci. Vytvoření velkého počtu malých podsítí a následné pokusu o mapování řízení přístupu k síti, jako jsou skupiny zabezpečení, na každou z nich má omezenou hodnotu.

Obecné informace o ochraně prostředků umístěním ovládacích prvků na síťový provoz najdete v tématu Doporučení pro sítě a připojení.

Doporučení
  • Seznamte se s konfiguracemi, které jsou potřeba k použití Azure Firewall ve vašem nasazení. Další informace najdete v tématu Ochrana nasazení služby Azure Virtual Desktop s využitím Azure Firewall.
  • Vytvořte skupiny zabezpečení sítě a skupiny zabezpečení aplikací pro segmentace provozu služby Azure Virtual Desktop. Tento postup vám pomůže izolovat podsítě tím, že řídí jejich toky provozu.
  • Pro služby Azure používejte značky služeb místo konkrétních IP adres. Vzhledem k tomu, že řeší změny, tento přístup minimalizuje složitost častých aktualizací pravidel zabezpečení sítě.
  • Seznamte se s požadovanými adresami URL služby Azure Virtual Desktop.
  • Směrovací tabulku použijte k tomu, aby provoz služby Azure Virtual Desktop obešel veškerá pravidla vynuceného tunelování, která používáte ke směrování provozu do brány firewall nebo síťového virtuálního zařízení. V opačném případě může vynucené tunelování ovlivnit výkon a spolehlivost připojení klientů.
  • Privátní koncové body můžete použít k ochraně řešení PaaS (platforma jako služba), jako jsou Azure Files a Azure Key Vault. Zvažte ale náklady na používání privátních koncových bodů.
  • Upravte možnosti konfigurace pro Azure Private Link. Pokud tuto službu používáte se službou Azure Virtual Desktop, můžete zakázat veřejné koncové body pro komponenty řídicí roviny služby Azure Virtual Desktop a použít privátní koncové body, abyste se vyhnuli používání veřejných IP adres.
  • Implementujte striktní zásady brány firewall, pokud používáte službu Active Directory Domain Services (AD DS). Založte tyto zásady na provozu, který se vyžaduje v rámci vaší domény.
  • Zvažte použití webového filtrování Azure Firewall nebo síťového virtuálního zařízení, které pomůže chránit přístup koncových uživatelů k internetu z hostitelů relací služby Azure Virtual Desktop.

Dopad: Zabezpečení

Ve výchozím nastavení se připojení k prostředkům služby Azure Virtual Desktop navazují prostřednictvím veřejně přístupného koncového bodu. V některých scénářích musí provoz používat privátní připojení. Tyto scénáře můžou používat Private Link k privátnímu připojení ke vzdáleným prostředkům služby Azure Virtual Desktop. Další informace najdete v tématu Azure Private Link se službou Azure Virtual Desktop. Když vytvoříte privátní koncový bod, provoz mezi vaší virtuální sítí a službou zůstane v síti Microsoftu. Vaše služba není zpřístupněna veřejnému internetu.

Privátní koncové body služby Azure Virtual Desktop můžete použít k podpoře následujících scénářů:

  • Vaši klienti nebo koncoví uživatelé a virtuální počítače hostitele relace používají privátní trasy.
  • Vaši klienti nebo koncoví uživatelé používají veřejné trasy, zatímco virtuální počítače hostitele relace používají privátní trasy.

Hostitelé relací služby Azure Virtual Desktop mají stejné požadavky na překlad ip adres jako jakékoli jiné úlohy infrastruktury jako služby (IaaS). V důsledku toho hostitelé relace vyžadují připojení ke službám překladu názvů, které jsou nakonfigurované pro překlad IP adres privátních koncových bodů. V důsledku toho je při použití privátních koncových bodů potřeba nakonfigurovat konkrétní nastavení DNS. Podrobné informace najdete v tématu Konfigurace DNS privátního koncového bodu Azure.

Private Link je k dispozici také pro další služby Azure, které fungují ve spojení se službou Azure Virtual Desktop, jako jsou Azure Files a Key Vault. Doporučujeme, abyste pro tyto služby implementovali také privátní koncové body, aby provoz zůstal privátní.

Doporučení

RDP stručně

Dopad: Efektivita výkonu, optimalizace nákladů

RDP Shortpath je funkce služby Azure Virtual Desktop, která je dostupná pro spravované a nespravované sítě.

  • V případě spravovaných sítí vytvoří RDP Shortpath přímé připojení mezi klientem vzdálené plochy a hostitelem relace. Přenos je založený na protokolu UDP. Odebráním dalších bodů přenosu zkracuje RDP Shortpath dobu odezvy, což zlepšuje uživatelské prostředí v aplikacích citlivých na latenci a metodách zadávání. Aby klient služby Azure Virtual Desktop podporoval technologii RDP Shortpath, potřebuje přímou viditelnost hostitele relace. Klient také musí nainstalovat klienta Windows Desktop a spustit Windows 11 nebo Windows 10.
  • Pro nespravované sítě jsou možné dva typy připojení:
    • Mezi klientem a hostitelem relace je navázáno přímé připojení. K navázání připojení se používá jednoduché procházení pod překladem adres (STUN) a interaktivní připojení (ICE). Tato konfigurace zvyšuje spolehlivost přenosu ve službě Azure Virtual Desktop. Další informace najdete v tématu Jak funguje funkce RDP Shortpath.
    • Naváže se nepřímé připojení UDP. Překonává omezení překladu adres (NAT) pomocí protokolu TURN (Traversal Using Relay NAT) s přenosem mezi klientem a hostitelem relace.

Při přenosu, který je založený na protokolu TCP (Transmission Control Protocol), odchozí provoz z virtuálního počítače do klienta RDP prochází bránou služby Azure Virtual Desktop. Při použití protokolu RDP Shortpath probíhá odchozí provoz přímo mezi hostitelem relace a klientem protokolu RDP přes internet. Tato konfigurace pomáhá eliminovat segment směrování a zlepšit latenci a prostředí koncového uživatele.

Doporučení
  • Pomocí protokolu RDP Shortpath můžete zlepšit latenci a prostředí koncového uživatele.
  • Mějte na paměti dostupnost modelů připojení RDP Shortpath.
  • Mějte na paměti poplatky za RDP Shortpath.

Další kroky

Teď, když jste prozkoumali sítě a možnosti připojení ve službě Azure Virtual Desktop, prozkoumejte osvědčené postupy pro monitorování infrastruktury a úloh.

Monitorování

Pomocí nástroje pro posouzení vyhodnoťte volby návrhu.

Posouzení