Sdílet prostřednictvím

Aspekty automatizace platformy a DevOps pro Azure Virtual Desktop

  • Článek

Azure Virtual Desktop je spravovaná služba, která poskytuje řídicí rovinu Microsoftu pro vaše desktopové prostředí virtualizace.

Tento článek se zaměřuje na provozní úlohy, které potřebujete ke spuštění prostředí Azure Virtual Desktop. Jednotlivá doporučení v tomto článku můžete použít jednotlivě. Nemusíte implementovat všechna doporučení pro automatizaci, která by stála za to.

Aspekty návrhu

Při plánování a návrhu prostředí Azure Virtual Desktop si projděte následující aspekty.

Integrace s DevOps

Automatizace nemusí znamenat integraci s DevOps, ale integrace nabízí řadu výhod. Automatizace procesu sestavení pro vaši zlatou image stojí za investici z několika důvodů:

  • Když používáte kanál DevOps, můžete lépe spravovat tok automatizace.
  • Z kanálu DevOps můžete přijímat sestavy a výstrahy týkající se nasazení.
  • Kanál můžete nakonfigurovat tak, aby se integrovali s testovacími architekturami a vytvořili schvalovací brány pro fáze procesu automatizace.
  • Kanály můžete spustit z mnoha předdefinovaných událostí, jako je vydání nové image galerie, aplikace nebo nastavení plánu.
  • Při automatizaci vytváření fondu hostitelů je snadné přesunout metadata fondu hostitelů do nových geografických umístění, když jsou k dispozici nová umístění.

Infrastruktura jako kód

Při přechodu na přijetí postupů DevOps musíte zvolit nástroj pro nasazení prostředků Azure. Existují dvě různé kategorie nástrojů IaC. Upřednostňovanou možností je deklarativní nástroj IaC.

Azure poskytuje nativní možnosti pomocí šablon ARM a Azure Bicep.

Můžete také najít nástroje IaC třetích stran, jako je Terraform hashiCorp.

Pooled vs. personal

Vzhledem k tomu, že vaše organizace škáluje své prostředí, většina úloh spadá do konfigurace ve fondu, nikoli do osobní konfigurace.

Osobní konfigurace jsou často dražší než konfigurace ve fondu. Jsou vhodné pro konkrétní uživatele úloh, jako jsou vývojáři, kteří obvykle vyžadují zvýšená oprávnění. Pokud spouštíte fondy hostitelů v osobním režimu, zkuste udržovat počítače stejně jako fyzické plochy, abyste snížili množství nástrojů potřebných ve vašem prostředí.

Konfigurace ve fondu jsou nejoblíbenější pro virtualizaci plochy, což je důvod, proč se zaměřují na tento článek. Prostředí ve fondu musí být aktualizována jinak než tradiční prostředí. Aktualizujte virtuální počítače ze zlaté image ve správném tempu pro vaši organizaci (obvykle každých 1 až 3 měsíce). Pokud je vaše organizace vysoce automatizovaná, můžete v případě potřeby zvýšit četnost na týdenní nebo dokonce noční dobu.

Vytvoření image

Při vertikálním navýšení kapacity prostředí Azure Virtual Desktop vytvoříte fond hostitelů ze zlaté image, kterou v ideálním případě vytvoříte prostřednictvím automatizovaného procesu.

Ke vertikálnímu navýšení kapacity můžete použít také kontrolní seznam sestavení. Pokud máte velké prostředí, měl by být proces kontrolního seznamu součástí počátečního nastavení vývoje/testování. Čím více automatizujete vytváření zlatých imagí, tím větší jistotu můžete mít přesnost sestavení a stability prostředí.

Nedoporučujeme používat existující image k vytvoření virtuálního počítače, který aktualizujete pomocí nových aplikací a změn konfigurace, a pak zachytávat pro použití jako novou zlatou image. Údržba tohoto scénáře zahrnuje významné riziko a je hlavním faktorem v prostředích virtualizace stolních počítačů, které se stávají statickými a křehkými.

Existuje mnoho nástrojů automatizace pro vytváření zlatých imagí, včetně procesu Packer, který popisujeme dále v tomto článku. Použijte sadu nástrojů, která je nejvhodnější pro vaši organizaci. Bez ohledu na to, které nástroje zvolíte, automatizujte co nejvíce vytváření zlatých imagí, abyste mohli snadněji udržovat stav prostředí Služby Azure Virtual Desktop.

Instalace aplikace

Aplikace mohou být uživatelům zpřístupněny dvěma způsoby: nainstalovány v imagi nebo dynamicky doručovány pro jednotlivé uživatele.

Aplikace nainstalované v imagi by měly být univerzální pro uživatele a součástí procesu automatického vytváření imagí. Nainstalované aplikace bitové kopie můžou zahrnovat produkty zabezpečení a sadu Microsoft 365.

Aplikace dynamicky doručované pro jednotlivé uživatele by měly obsahovat všechno ostatní, co vyžaduje flexibilnější přístup. Dynamicky doručované aplikace můžou zahrnovat aplikace, které jsou omezené na konkrétní skupinu a aplikace, které nejsou kompatibilní s jinými aplikacemi.

Nasazení jazyka

S tím, jak se vaše prostředí Azure Virtual Desktopu začnou škálovat na více instancí, možná budete muset lokalizovat image do nativního jazyka pro vaše uživatele. Pokud chcete, můžete začít z místního jazyka nebo můžete do image přidat další jazyky při sestavování. Při výběru základní image zvažte tento požadavek. Předem optimalizovaná image galerie Windows 10, například s Microsoftem 365 i bez, je poskytována pouze v USA angličtině (en-US).

Poznámka:

Pokud používáte více relací Windows 10 Enterprise, nemůžete ho sestavit v jiném jazyce. V takovém případě musíte přizpůsobit poskytnutou image galerie. Pokud chcete přizpůsobit existující image galerie en-US, před instalací jiných aplikací nainstalujte další jazyky.

Umístění nasazení

Azure Virtual Desktop nabízí větší volnost v oblasti geografického umístění fondů hostitelů než tradiční desktopová prostředí. Tato svoboda existuje, protože všechna umístění Azure podporují Azure Virtual Desktop. Vyhněte se vytváření virtuálních počítačů z image v široké síti WAN (Wide Area Network) tím, že svoji zlatou image zpřístupníte ve všech stejných umístěních jako vaši uživatelé.

Aktualizace zlatých imagí fondu hostitelů

Existují dva způsoby, jak aktualizovat image zlatého členství, na které jsou virtuální počítače v konkrétním fondu hostitelů založené.

Metoda 1:

  • Nasaďte druhý fond hostitelů a potom uživatele vyřízněte do nového fondu hostitelů, až budete připraveni.
  • Zpřístupnit starý fond hostitelů, pokud je potřeba vrácení zpět.
  • Starý fond hostitelů můžete odebrat, jakmile bude vaše organizace spokojená, že nový fond hostitelů funguje správně.

Metoda 2:

  • Nastavte stávající virtuální počítače na režim vyprázdnění ve fondu hostitelů.
  • Nasaďte nové virtuální počítače z aktualizované zlaté image do stejného fondu hostitelů.
  • Při zdvojnásobení počtu virtuálních počítačů v jednom fondu hostitelů dbejte na to, aby nedošlo k omezením prostředků ani omezením rozhraní API.

Doporučení k návrhu

Při návrhu prostředí Azure Virtual Desktop vaší organizace si projděte následující doporučení.

Správa zdrojového kódu

Ke správě zdrojového kódu a zachování jednoduché strategie větvení doporučujeme používat Git. Při použití Gitu pro vaše prostředí:

  • Ponechte úložiště Git a projekt Azure DevOps soukromý, pokud vaše firemní zásady nezadají, že úložiště musí být veřejná.
  • Inicializace úložiště souborem README, abyste mohli začít vyplňovat informace o projektu.
  • Umožňuje změnit oprávnění projektu tak, aby ostatní členové týmu mohli přistupovat.
  • Osvojte si základní proces pracovních položek, který umožňuje vyvíjet kanál a zjednodušit úlohy.
  • Minimálně byste měli udržovat dvě úložiště: jedno úložiště pro správu sestavení zlaté image a další úložiště pro správu nasazení služby Azure Virtual Desktop.

Pipelines

Systém nasazení kanálu určuje, jaký systém správy zdrojového kódu zvolíte.

Pokud má vaše organizace standardizované služby Azure DevOps, použijte Azure Pipelines. Pokud vaše organizace na GitHubu standardizovala, použijte GitHub Actions. Obě možnosti poskytují možnost nasadit v síti agenta v místním prostředí, který má několik výhod, mezi které patří:

  • Povolení delší doby sestavení
  • Možnost přístupu k prostředkům v síti

Zamkněte kanály nasazení, aby se mohly automaticky aktivovat pro nasazení do fondu hostitelů ověření, ale ne automaticky odeslané do produkčního fondu hostitelů bez explicitního schválení.

Proměnné a Azure Key Vault

Při práci v Azure Pipelines používejte skupiny proměnných.

  • Skupiny proměnných umožňují v kanálech mít opakovatelné parametry, jako jsou tajné kódy a umístění souborů.
  • Proměnné v rámci skupin proměnných je možné uložit jako páry klíč/hodnota, ale doporučenou metodou je propojení skupiny proměnných se službou Azure Key Vault za účelem vyžádání tajných kódů pro použití v kanálu nasazení.

Vytváření imagí služby Azure Virtual Desktop

Pomocí služby Azure Image Builder (AIB) můžete automatizovat procesy sestavení, aktualizace, nástroje sysprep a distribuce pro vaše zlaté image. Tato služba může pro každé sestavení použít podporovanou základní image z Azure Marketplace, abyste měli jistotu, že máte nejnovější aktualizace.

Poznámka:

Azure Image Builder je aktuálně dostupný v rámci vybraných oblastí, ale můžete distribuovat image mimo tyto oblasti.

V rámci procesu sestavení zlaté image zvažte všechny aplikace, které potřebujete nainstalovat, a určete, jestli je možné je nainstalovat pomocí skriptů. Ujistěte se, že máte instalační příkazy aplikace skriptované v PowerShellu a že jste se zavázali k vašemu úložišti Git. Pokud nemůžete stáhnout instalační programy aplikací přes veřejný internet, zvažte umístění aplikací do služby Azure Blob Storage. Pokud procesy instalace vaší aplikace potřebují tajné kódy, zvažte jejich umístění do služby Azure Key Vault.

Pokud chcete začít pracovat s Azure Image Builderem, přečtěte si téma Vytvoření image služby Azure Virtual Desktop pomocí Nástroje image virtuálního počítače Azure a PowerShellu.

Pokud chcete vyvolat Azure Image Builder pomocí kanálů CI/CD, použijte buď úlohu DevOps služby Azure Image Builder pro Azure Pipelines, nebo akci sestavení image virtuálního počítače Azure pro GitHub Actions.

HashiCorp Packer je opensourcová alternativa. Nabízí stejné funkce jako Azure Image Builder (který je založený na HashiCorp Packeru), včetně možnosti distribuovat do galerie výpočetních prostředků Azure.

Další informace o Packer naleznete na webu Packer.

Metoda Packer má následující požadavky:

  • Licencování Azure DevOps musí používat úplnou sadu nástrojů Packer.
  • Musíte přiřadit uživatele roli Globální Správa istrator v Microsoft Entra ID.
  • Instančnímu objektu s přístupem přispěvatele musíte udělit přístup k předplatnému.
  • Abyste mohli ukládat tajné kódy, musíte mít službu Azure Key Vault, která poskytuje správě tajných kódů instančního objektu v zásadách přístupu.

Při práci s Packerem v kanálu nasazení:

  • Nainstalujte nástroje Packer do agenta sestavení, který budete používat v kanálu nasazení.
  • Vytvořte v kanálu fázi ověření, abyste ověřili, že sestavení funguje.
  • Po ověření naklonujte fázi ověření a nastavte režim nasazení na přírůstkové.

Další důležité informace o úložišti souborů Packer:

  • Ukládejte soubory Packeru a zřídíte je do centralizovaného umístění, ke kterému má Azure Pipelines přístup. K bezpečnému ukládání těchto souborů doporučujeme používat sdílené složky Azure.
  • Ukládání přihlašovacích údajů pro přístup ke službě Azure Files ve službě Key Vault Přihlašovací údaje pro přístup můžete vyžádat ze služby Key Vault při sestavování pomocí proměnných kanálu.
  • Kromě toho uložte název souboru Packeru a klíč účtu do trezoru klíčů propojených se skupinou proměnných v Azure DevOps. Kanály k těmto přihlašovacím údajům přistupují ke stažení souborů Packeru do virtuálního počítače použitého k vytvoření image.
  • Uložte cestu UNC jako proměnnou ve skupině proměnných Azure DevOps.

Ukládání imagí Služby Azure Virtual Desktop

Služba Galerie výpočetních prostředků Azure je nejjednodušší způsob, jak vytvořit strukturu a organizaci kolem obrázků zlatého členství. Poskytuje:

  • Globální replikace imagí do různých oblastí Azure
    • Ujistěte se, že jste nasadili image do oblastí, do kterých se nasadí relace Azure Virtual Desktopu.
  • Správa verzí imagí a seskupování pro snadnější správu Správa verzí a seskupování jsou užitečné pro vrácení fondů hostitelů Služby Azure Virtual Desktop do předchozích verzí imagí.
  • Vysoce dostupné image s účty zónově redundantního úložiště (ZRS) v oblastech, které podporují Zóny dostupnosti. Zónově redundantní úložiště nabízí vyšší odolnost proti selháním jednotlivých zón.
  • Sdílení imagí služby Azure Virtual Desktop mezi předplatnými a dokonce i mezi tenanty Microsoft Entra prostřednictvím řízení přístupu na základě role (RBAC).
  • Škálování nasazení pomocí replik imagí v jednotlivých oblastech

Další informace najdete v přehledu služby Galerie výpočetních prostředků Azure.

Instalace aplikace v imagích Služby Azure Virtual Desktop

  • V případě univerzálních aplikací nainstalovaných ve zlaté imagi použijte metodu Packer popsanou výše v tomto článku.
  • App-V je aktuálně podporovanou metodou od Microsoftu pro streamování aplikací pro jednotlivé uživatele.
  • Maskování aplikací FSLogix slouží ke skrytí nebo odhalení aplikací nebo modulů plug-in, když tyto aplikace nefungují dobře s aplikací App-V.
  • Pokud je to možné, připojte aplikaci MSIX tam, kde je to možné, dynamicky doručujte aplikace uživatelům a zmenšete celkovou velikost zlaté image. Kanály CI/CD můžete také použít k automatizaci procesu balení aplikací do formátu MSIX. Další informace najdete v přehledu.

Nasazení jazyků v imagích Služby Azure Virtual Desktop

Microsoft má procesy ruční nebo automatické instalace jazykových sad. Doporučujeme udržovat co nejmenší režijní náklady na správu a automatizovat proces instalace jazyka.

Tento proces zahrnuje stažení skriptu PowerShellu na virtuální počítač, který se převede na vaši image. Příklady automatizačních skriptů najdete v dokumentaci Microsoftu. Pokud postupujete podle doporučení pro kanály Packeru, můžete tento proces zahrnout jako další úlohu sestavení.

Další informace o instalaci jazykových sad ve Více relacích Windows 10 Enterprise najdete v tématu Instalace jazykových sad na virtuálních počítačích s Windows 10 ve službě Azure Virtual Desktop.

Použití přístupu Infrastruktura jako kód (IaC) k nasazení a přizpůsobení prostředků Služby Azure Virtual Desktop Měly by se používat, kdykoli je to možné, aby se zajistila konzistence v nasazeních. Šablony ARM je možné použít k nasazení prostředků Azure Virtual Desktopu jako součást úlohy kanálu CI/CD. Můžete je také použít při použití webu Azure Portal, Azure PowerShellu nebo Azure CLI.

Níže je doporučená strategie aktualizace fondu hostitelů:

  • Nastavte kanál CI/CD pro sestavování a distribuci zlatých imagí do Galerie výpočetních prostředků Azure.
  • Určete fond hostitelů ověření a nasaďte nové hostitele relací do fondu ověřovacích hostitelů pomocí kanálů CI/CD.
  • Otestujte automatizaci pomocí fondu hostitelů ověření.
  • Označte hostitele relace číslem buildu nebo verzí image, abyste identifikovali verzi image, která je spuštěná.
  • Před nasazením ověřte (nebo zkontrolujte), abyste měli v rámci svého předplatného dostatečnou kvótu výpočetních prostředků.
  • Po úspěšném testování ve fondu ověření umístěte existující hostitele relací do režimu vyprázdnění – označené virtuální počítače budou snadno identifikovatelné.
  • Nasaďte nové hostitele relací a povolte uživatelům připojení.
  • Po úspěšném testování v produkčním prostředí začněte uvolnit staré hostitele relací, aby se neúčtovaly žádné další poplatky za výpočetní prostředky a nakonec se odstranily, aby se neúčtovaly žádné další poplatky za spravované disky.
  • Odstraněné hostitele relací se odeberou jenom z Azure. Počítačové objekty zůstanou ve vaší službě AD, takže tyto počítačové objekty budou muset být odstraněny ručně nebo prostřednictvím skriptu.

Výše uvedený příklad ukazuje jednu metodu automatizace obrázků pomocí Azure DevOps a kanálu kontinuální integrace a průběžného doručování (CI/CD). Jedná se o nativní přístup pro cloud a nabízí méně rušivé zavedení nových hostitelů relací bez výpadků. Je důležité si uvědomit, že byste měli vzít v úvahu nárůst počtu virtuálních počítačů při postupném vyřazení starých imagí a online přenesení nových imagí.

Jak už bylo zmíněno výše, Galerie výpočetních prostředků Azure je služba, která vám pomůže se strukturou a uspořádáním obrázků. Tyto image se dají odkazovat na vaše nasazení IaC hostitelů relací služby Azure Virtual Desktop. Služba umožňuje správu verzí, seskupování a replikaci imagí.

Při nasazování hostitelů relací pomocí šablony ARM nebo Terraformu doporučujeme použít ID prostředku image, kterou jste vytvořili v galerii, jako ID vlastní image virtuálního počítače. Image, kterou používáte, se musí replikovat prostřednictvím služby Galerie výpočetních prostředků Azure do oblastí Azure, ve kterých nasazujete fondy hostitelů služby Azure Virtual Desktop.

Další kroky

Zjistěte, jak nasadit Azure Virtual Desktop pomocí akcelerátoru cílové zóny pro scénáře na podnikové úrovni.

1. Oblasti návrhu akcelerátorů cílových zón služby Azure Virtual Desktop

2. Úložiště GitHubu pro akcelerátor cílové zóny Azure Virtual Desktopu