Sdílet prostřednictvím

Důležité informace o monitorování úloh služby Azure Virtual Desktop

  • Článek

Tento článek popisuje oblast návrhu monitorování úloh služby Azure Virtual Desktop. Než začnete používat Azure Monitor pro Azure Virtual Desktop, musíte provést následující kroky:

  • Nakonfigurujte alespoň jeden pracovní prostor služby Log Analytics. Použijte určený pracovní prostor služby Log Analytics pro hostitele relací služby Azure Virtual Desktop, abyste zajistili, že se čítače výkonu a události shromažďují jenom z hostitelů relací ve vašem nasazení služby Azure Virtual Desktop.
  • Povolte shromažďování dat pro následující položky pracovního prostoru služby Log Analytics:
    • Diagnostika z prostředí Služby Azure Virtual Desktop
    • Doporučené čítače výkonu z hostitelů relací služby Azure Virtual Desktop
    • Doporučené protokoly událostí Windows z hostitelů relací služby Azure Virtual Desktop

Následující části obsahují důležité informace o monitorování prostředí služby Azure Virtual Desktop a jeho udržování v dobrém stavu.

Důležité

Tento článek je součástí řady úloh azure Well-Architected Framework služby Azure Virtual Desktop . Pokud tuto řadu neznáte, doporučujeme začít na co je úloha Služby Azure Virtual Desktop?.

Monitorování stavu a dostupnosti

Dopad: Efektivita provozu, spolehlivost

Azure nabízí několik služeb, jako jsou Azure Service Health a Azure Resource Health, které vás informují o stavu vašich cloudových prostředků.

Service Health

Service Health byste měli použít k zobrazení stavu služeb a oblastí Azure, které používáte. Service Health je nejlepším místem, kde hledat oznámení o událostech, které mají vliv na vaši službu, jako jsou výpadky a aktivity plánované údržby. Service Health také poskytuje další poradce pro stav týkající se dopadu na prostředí služby Azure Virtual Desktop a související předplatné. Nejaktivnějším přístupem je nastavení upozornění služby Service Health. Tato upozornění můžete přijímat prostřednictvím upřednostňovaných komunikačních kanálů. Upozornění vás upozorní na problémy se službami, plánovanou údržbu nebo jiné změny, které můžou ovlivnit prostředky služby Azure Virtual Desktop. Další informace najdete v tématu Nastavení upozornění služby.

Resource Health

Resource Health vám pomůže diagnostikovat a získat podporu pro problémy se službami, které ovlivňují vaše prostředky Azure. Informace o aktuálním a minulém stavu vašich prostředků se hlásí v Resource Health. Nezapomeňte nastavit proaktivní výstrahy, které vás budou informovat o všech nežádoucích stavech služby Resource Health. Stav prostředku můžete sledovat u následujících typů prostředků:

  • Řešení Azure Storage pro Azure Virtual Desktop FSLogix a připojení aplikace
  • Hostitelé relací nebo virtuální počítače
Doporučení
  • Pomocí služby Service Health budete mít přehled o stavu služeb a oblastí Azure, které používáte.
  • Nastavte upozornění služby Service Health, abyste měli stále přehled o problémech se službami, plánované údržbě nebo jiných změnách, které můžou mít vliv na prostředky služby Azure Virtual Desktop.
  • K monitorování virtuálních počítačů a řešení úložiště použijte Resource Health.
  • Nastavte Resource Health upozornění.

Sledování výkonu

Dopad: Efektivita výkonu, efektivita provozu

Pokud chcete získat přehled a monitorovat výkon, musíte monitorovat důležité součásti prostředí služby Azure Virtual Desktop.

Doporučení ke konfiguraci

Abyste zajistili, že z entit služby Azure Virtual Desktop načtete klíčové ukazatele výkonu a potřebné protokoly, nakonfigurujte následující diagnostická data, která se mají odesílat do Log Analytics:

  • Protokoly fondu hostitelů služby Azure Virtual Desktop
  • Diagnostika pracovního prostoru služby Azure Virtual Desktop
  • Diagnostika skupin aplikací služby Azure Virtual Desktop
  • Diagnostika úložiště
  • Data o hostitelích relací z agenta monitorování nebo agenta Log Analytics
  • Data protokolu událostí a výkonu shromažďovaná podle pravidel shromažďování dat agenta monitorování nebo Log Analytics
  • Data přehledů virtuálních počítačů Azure

Možnosti konfigurace

Pro konfiguraci nastavení diagnostiky je k dispozici několik možností:

  • Sešit konfigurace Azure Virtual Desktop Insights. Azure Virtual Desktop Insights je řídicí panel založený na sešitech monitorování, který vám pomůže porozumět prostředí služby Azure Virtual Desktop. Azure Virtual Desktop Insights poskytuje konfigurační sešit, který můžete použít k:

    • Konfigurace diagnostiky fondu hostitelů a pracovního prostoru
    • Povolte agenty monitorování na hostitelích relací.
    • Nakonfigurujte doporučené čítače výkonu a protokoly událostí pro monitorování prostředí Služby Azure Virtual Desktop.

    Další klíčové ukazatele výkonu můžete shromažďovat konfigurací nastavení agenta pracovního prostoru služby Log Analytics.

  • Azure Policy Azure Policy můžete použít k zajištění toho, aby na virtuálních počítačích měli nainstalovaní agenti monitorování. Azure Policy podporuje agenty monitorování a agenty monitorování Microsoftu.

  • Konfigurace nasazení a šablony. K nasazení služby Azure Virtual Desktop můžete použít Azure Portal nebo deklarativní řešení nasazení, jako jsou šablony Azure Resource Manager (šablony ARM), BICEP nebo Terraform. Ujistěte se, že je nastavení diagnostiky nasazené jako součást konfigurace nasazení služby Azure Virtual Desktop. Pokud službu Azure Virtual Desktop nasazujete prostřednictvím Azure Portal, ujistěte se, že je povolené nastavení diagnostiky. U deklarativních modelů nasazení se ujistěte, že jsou fondy hostitelů, pracovní prostory nebo skupiny aplikací nasazené s povoleným nastavením diagnostiky. Také se ujistěte, že jsou virtuální počítače nasazené s rozšířeními agenta Microsoft Monitoring Agent nebo Monitor Agent.

Výkon hostitele relace

Čítače výkonu zaznamenávají způsob použití systémových prostředků. Příjem dat čítače výkonu závisí na velikosti a využití vašeho prostředí. Je důležité si uvědomit, že každý čítač výkonu odesílá data s určitou frekvencí. V sešitu konfigurace Azure Virtual Desktop Insights můžete upravit výchozí vzorkovací frekvenci za minutu. Tuto sazbu můžete také upravit v nastavení. Násobitel použitý na tuto sazbu závisí na čítači.

Následující seznam obsahuje kategorie metrik výkonu a čítače výkonu, které můžete nakonfigurovat v jednotlivých kategoriích:

  • Logický disk
    • Free Space
    • Avg. Disk Queue Length
    • Avg. Disk sec/Transfer
    • Current Disk Queue Length
  • Memory (Paměť)
    • % Committed Bytes in Use
    • Available Mbytes
    • Page Faults/sec
    • Pages/sec
  • Fyzický disk
    • Avg. Disk Queue Length
    • Avg. Disk sec/Read
    • Avg. Disk sec/Transfer
    • Avg. Disk sec/Write
  • Informace o procesoru
    • % Processor Time
    • RemoteFX network
    • Current TCP RTT
    • Current UDP Bandwidth
    • Terminal Services
    • Active Sessions
    • Inactive Sessions
    • Total Sessions
  • Zpoždění uživatelského vstupu na proces
    • Max Input Delay
  • Zpoždění uživatelského vstupu na relaci
    • Max Input Delay

Diagnostické tabulky v Log Analytics můžete použít k dotazování a analýze informací o síti pro připojení k Azure Virtual Desktopu. Data WVDConnectionNetworkData obsahují ID korelace, které se mapuje na konkrétní připojení ke službě Azure Virtual Desktop. Pro každou relaci můžete zobrazit důležitá data o výkonu, jako je odhadovaná doba odezvy v milisekundách a odhadovaná dostupná šířka pásma v KB/s.

Protokoly událostí Windows jsou zdroje dat, které agenti Log Analytics shromažďují na virtuálních počítačích s Windows. Události můžete shromažďovat ze standardních protokolů, jako jsou systémové a aplikační protokoly. Můžete také shromažďovat události z vlastních protokolů vytvořených aplikacemi, které potřebujete monitorovat. Ve výchozím nastavení se pro Azure Virtual Desktop ve službě Monitor shromažďují protokoly z následujících typů událostí Windows:

  • Application
  • Microsoft-Windows-TerminalServices-RemoteConnectionManager/Admin
  • Microsoft-Windows-TerminalServices-LocalSessionManager/Operational
  • System
  • Microsoft-FSLogix-Apps/Operational
  • Microsoft-FSLogix-Apps/Admin

Událost systému Windows se aktivuje vždy, když jsou v prostředí splněny podmínky události. Počítače v dobrém stavu odesílají méně událostí než počítače ve stavu, který není v pořádku.

V protokolech událostí je důležité monitorovat problémy s připojením, které můžou způsobovat agent služby Azure Virtual Desktop. Další informace najdete v tématu Řešení běžných potíží s agentem služby Azure Virtual Desktop.

Prahové hodnoty výkonu úložiště a monitorování

Měli byste monitorovat řešení úložiště Azure, které používáte k hostování profilů FSLogix nebo sdílených složek připojení aplikace. Je důležité monitorovat umístění úložiště profilu, abyste měli jistotu, že nedošlo k překročení prahových hodnot, což může mít negativní dopad na uživatelské prostředí. V případě úložiště byste měli monitorovat kapacitu sdílené složky, abyste měli jistotu, že kvóty sdílených složek nedosahují maximální kapacity. Měli byste také monitorovat transakce sdílených složek, abyste měli jistotu, že jsou transakce v rámci definovaných prahových hodnot.

Omezení služby

Azure Virtual Desktop má limity služeb, které byste měli zvážit ve fázi návrhu nasazení. O těchto omezeních služeb musíte vědět také v produkčních prostředích a měli byste o nich proaktivně informovat. Limity jsou poměrně velké. Ale u větších nasazení, kde je dosažení těchto limitů jednodušší, je nezbytné je monitorovat. Další informace najdete v tématu Omezení služby Azure Virtual Desktop.

Doporučení
  • Nakonfigurujte diagnostická data, která se mají odesílat do Log Analytics.
  • Vyberte si z různých možností konfigurace nastavení diagnostiky, jako je konfigurační sešit Služby Azure Virtual Desktop Insights, Azure Policy, Azure Portal nebo šablona.
  • Nakonfigurujte čítače výkonu tak, abyste měli záznam o tom, jak se používají systémové prostředky.
  • Pomocí diagnostických tabulek v Log Analytics můžete dotazovat a analyzovat informace o síti pro připojení služby Azure Virtual Desktop.
  • Monitorujte v protokolech událostí problémy s připojením k agentu služby Azure Virtual Desktop.
  • Monitorujte řešení úložiště Azure, které používáte k hostování profilů FSLogix nebo sdílených složek připojení aplikace.
  • Monitorujte využití služby a ujistěte se, že vaše úlohy nepřekročí limity.

Monitorování zabezpečení

Dopad: Zabezpečení

Následující části popisují několik monitorovacích opatření, která můžete použít ke zlepšení zabezpečení úloh.

Microsoft Defender pro cloud a Microsoft Sentinel

Ujistěte se, že jsou v předplatném a hostitelích relací služby Azure Virtual Desktop, které nasazujete, povolené Microsoft Defender pro funkce rozšířeného cloudového zabezpečení. Defender for Cloud poskytuje platformu ochrany cloudových úloh a správu stavu cloudového zabezpečení. Defender for Cloud můžete použít ke správě ohrožení zabezpečení a k posouzení dodržování předpisů s běžnými architekturami, jako jsou pci (Payment Card Industry) a ISO27001. Defender for Cloud můžete také použít k posílení celkového stavu zabezpečení vašeho prostředí. Defender for Cloud používá agenta monitorování Microsoftu nebo agenta monitorování.

protokoly ověřování a auditu Microsoft Entra ID

Microsoft Entra ID je řešení ověřování prvního řádku pro Službu Azure Virtual Desktop bez ohledu na to, kterou metodu připojení klient používá. Proto je důležité shromažďovat protokoly ověřování a auditu Microsoft Entra ID. Tyto protokoly můžete shromažďovat následujícími způsoby:

  • V nastavení diagnostiky nakonfigurujte protokoly auditu a protokoly přihlášení tak, aby se odesílaly do Log Analytics, kde se na data můžete dotazovat a upozorňovat na je.
  • Pomocí konektoru ve službě Microsoft Sentinel můžete shromažďovat data z Microsoft Entra ID a streamovat je do služby Microsoft Sentinel.

Protokoly událostí zabezpečení

Měli byste shromažďovat protokoly událostí zabezpečení z hostitelů relací služby Azure Virtual Desktop. Tyto protokoly je vhodné přidat do centralizovaného úložiště pro události zabezpečení, které zahrnují hostitele služby Azure Virtual Desktop. Úložiště můžete použít k ukládání protokolů a dotazování na tyto protokoly. Ke shromažďování protokolů můžete použít jednu z následujících možností:

  • Ke shromažďování protokolů událostí zabezpečení použijte pravidlo shromažďování dat agenta monitorování. Tato možnost se doporučuje.
  • Ke shromažďování protokolů pro službu Microsoft Sentinel použijte agenta Microsoft Monitoring Agent nebo ke shromažďování událostí zabezpečení použijte starší konektor agenta.
  • Ke shromažďování událostí zabezpečení pro Defender for Cloud použijte agenta monitorování Microsoftu.

Zajištění dodržování předpisů

Měsíční aktualizace zabezpečení jsou důležité pro celkový stav a zabezpečení prostředí Služby Azure Virtual Desktop. Ujistěte se, že pravidelně aktualizujete prostředí služby Azure Virtual Desktop instalací nových imagí nebo pomocí nástroje pro správu aktualizací. Nejlepší je provádět měsíční sestavy dodržování předpisů a monitorování celkového dodržování předpisů pro aktualizace vašeho prostředí. Tento postup pomáhá zajistit, aby správci služby Azure Virtual Desktop a bezpečnostní tým měli přehled o celkovém stavu dodržování předpisů zabezpečení vašeho prostředí.

Doporučení
  • Pomocí Defenderu for Cloud můžete spravovat ohrožení zabezpečení a vyhodnocovat dodržování předpisů s běžnými architekturami.
  • Pomocí Defenderu for Cloud můžete posílit celkový stav zabezpečení vašeho prostředí.
  • Shromážděte protokoly ověřování a auditu Microsoft Entra ID.
  • Protokoly událostí zabezpečení z hostitelů relací služby Azure Virtual Desktop můžete ukládat v úložišti.
  • Pravidelně aktualizujte prostředí služby Azure Virtual Desktop.
  • Provádějte měsíční sestavy dodržování předpisů.

Generování sestav

Dopad: Efektivita provozu

Pro vytváření sestav služby Azure Virtual Desktop je k dispozici několik možností:

  • Azure Virtual Desktop Insights. Tento řídicí panel poskytuje mnoho požadovaných přehledů a vizualizací, které potřebujete k pochopení a monitorování prostředí Služby Azure Virtual Desktop.
  • Sešity a externí nástroje pro vytváření sestav. V některých scénářích je užitečné mít vlastní sešit a řídicí panel. Pomocí tabulek Log Analytics a výsledků dotazů Azure Resource Graph jako zdrojů dat můžete vytvářet vlastní sestavy nebo sešity. Resource Graph je služba, pomocí které můžete hlásit objekty služby Azure Virtual Desktop, jako jsou fondy hostitelů, pracovní prostory, výpočetní komponenty a řešení úložiště. Data se ve vlastních řešeních naplní pouze v případě, že zapnete diagnostiku objektů služby Azure Virtual Desktop a pokud ke shromažďování dat protokolu událostí a výkonu používáte podporovaného agenta monitorování. Jako zdroje dat jsou k dispozici následující tabulky Log Analytics:
    • Tabulky Log Analytics služby Azure Virtual Desktop
      • WVDAgentHealthStatus
      • WVDCheckpoints
      • WVDConnectionGraphicsDataPreview
      • WVDConnectionNetworkData
      • WVDConnections
      • WVDErrors
      • WVDFeeds
      • WVDHostRegistrations
      • WVDManagement
    • Tabulka čítačů výkonu
      • Perf
      • InsightMetrics (pouze v případě, že je povolená funkce VM Insights)
    • Tabulky událostí
      • Event
Doporučení
  • Zvažte použití Azure Virtual Desktop Insights k vytváření sestav.
  • Při vytváření vlastních řídicích panelů používejte tabulky Log Analytics a Resource Graph dotazovat výsledky jako zdroje dat.

Zobrazení výstrah

Dopad: Efektivita výkonu, efektivita provozu

Pokud chcete mít přehled o výkonu a zabezpečení služby Azure Virtual Desktop, využijte architekturu monitorování upozornění nebo ekvivalentní řešení pro monitorování. Vlastní upozornění můžete nakonfigurovat pro následující typy událostí, diagnostiky a prostředků služby Azure Virtual Desktop:

  • Výkon virtuálního počítače
  • Kritické události, jako jsou události aplikace s ID 3702 nebo 3703 v případě problémů s nedostupným stavem na hostitelích relací
  • Service Health
  • Resource Health
  • Diagnostická data služby Azure Virtual Desktop
  • Profilové balíčky a balíčky připojení aplikace
  • Defender for Cloud
Doporučení
  • Pomocí upozornění budete mít přehled o výkonu a zabezpečení služby Azure Virtual Desktop.
  • Konfigurace upozornění pro různé události, diagnostiku a prostředky služby Azure Virtual Desktop

Další kroky

Teď, když jste se seznámili s osvědčenými postupy pozorovatelnosti ve službě Azure Virtual Desktop, prozkoumejte mechanismy, nástroje a perimetry, které můžete použít k dalšímu zabezpečení úloh služby Azure Virtual Desktop.

Zabezpečení, správa identit a přístupu (IAM)

Pomocí nástroje pro posouzení vyhodnoťte své volby návrhu.

Posouzení