Freigeben über

Architektur und Resilienz des Azure Virtual Desktop-Diensts

Azure Virtual Desktop ist darauf ausgelegt, Organisationen und Benutzern einen resilienten, zuverlässigen und sicheren Dienst bereitzustellen. Die Architektur von Azure Virtual Desktop umfasst viele Komponenten, aus denen der Dienst besteht, der Benutzer mit ihren Desktops und Apps verbindet. Die meisten Komponenten werden von Microsoft verwaltet, aber einige sind kundenseitig oder vom Partner verwaltet.

Microsoft stellt die VDI-Komponenten (Virtual Desktop Infrastructure) für kernige Funktionen als Dienst bereit. Zu diesen Komponenten gehören:

  • Webdienst: die benutzerseitige Website und der Endpunkt, und gibt die Verbindungsinformationen an das Gerät des Benutzers zurück.
  • Brokerdienst: Orchestriert eingehende Verbindungen.
  • Gatewaydienst: Ein Websocketdienst, der die RDP-Konnektivität (Remotedesktopprotokoll) vom Gerät eines Benutzers bereitstellt, unabhängig davon, wo er eine Verbindung mit den Sitzungshosts herstellt, die seine Desktops und Apps bereitstellen.
  • Ressourcenverzeichnis: Stellt Informationen bereit, um den Webdienst anzuweisen, welche der verschiedenen geografischen Datenbanken die für jeden Benutzer erforderlichen Verbindungsinformationen hostet.
  • Geografische Datenbank: Enthält die Verbindungsdateien (.rdp) und Symbole für jede Ressource, die ein Benutzer bereitgestellt hat.

Darüber hinaus verwendet Azure Virtual Desktop andere globale Azure-Dienste wie Azure Traffic Manager und Azure Front Door , um Benutzer an ihre nächstgelegenen Azure Virtual Desktop-Einstiegspunkte weiterzuleiten.

Sie sind für das Erstellen und Verwalten von Sitzungshosts verantwortlich, einschließlich aller Betriebssystemabbildanpassungen und -anwendungen, der VNET-Konnektivität, der Resilienz sowie der Sicherung und Wiederherstellung dieser Sitzungshosts. Außerdem stellen Sie Benutzeridentitäten bereit und verwalten sie und steuern den Zugriff auf den Dienst. Sie können andere Azure-Dienste verwenden, um Ihre Anforderungen zu erfüllen, z. B.:

  • Azure-Verfügbarkeitszonen zum Verteilen Ihrer Sitzungshosts auf physisch getrennte Rechenzentrumsstandorte innerhalb einer Azure-Region mit jeweils unabhängiger Stromversorgung, Kühlung und Netzwerkbetrieb.
  • Azure Backup, um Ihre Sitzungshosts zu sichern und wiederherzustellen.
  • Azure Site Recovery, um Ihre Sitzungshosts in eine andere Azure-Region zu replizieren.
  • Azure Advisor unterstützt Sie bei der Optimierung Ihrer Azure-Ressourcen.

Dieses allgemeine Diagramm zeigt die Komponenten und Zuständigkeiten:

Diagramm, das zeigt, wer die Komponenten von Azure Virtual Desktop verwaltet.

Benutzerverbindungen

Wenn ein Benutzer auf seine Desktops und Apps in Azure Virtual Desktop zugreifen möchte, sind mehrere Komponenten an der erfolgreichen Herstellung dieser Verbindung beteiligt. Es gibt zwei separate Sequenzen:

  1. Feedermittlung. Der Feed ist die Liste der Desktops und Apps, die dem Benutzer zur Verfügung stehen.
  2. Eine Verbindung über das Remotedesktopprotokoll mit einem Sitzungshost.

Feedermittlung

Während der Feedermittlung werden die Desktops und Apps, die dem Benutzer zur Verfügung stehen, in der App auf dem lokalen Gerät aufgefüllt. Der Feed enthält alle Informationen, die zum Herstellen einer Verbindung erforderlich sind.

Der Feedermittlungsprozess sieht wie folgt aus:

  1. Der Benutzer befindet sich möglicherweise überall auf der Welt. Azure Traffic Manager leitet das Gerät des Benutzers an die nächstgelegene instance des Azure Virtual Desktop-Webdiensts weiter, basierend auf der geografischen Methode für das Datenverkehrsrouting, bei der die Quell-IP-Adresse des Geräts des Benutzers verwendet wird.

  2. Der Webdienst stellt eine Verbindung mit dem Azure Virtual Desktop-Brokerdienst in derselben Azure-Region her, um die RDP-Dateien und Anwendungssymbole für den Feed des Benutzers abzurufen. Der Brokerdienst stellt eine Verbindung mit der geografischen Azure Virtual Desktop-Datenbank und dem Ressourcenverzeichnis in derselben Region her, um die Informationen abzurufen.

  3. Der Brokerdienst gibt die RDP-Dateien und Anwendungssymbole an den Webdienst zurück, der die Informationen an das Gerät des Benutzers zurückgibt.

    Hier ist ein allgemeines Diagramm, das den Feedermittlungsprozess in einer einzelnen Azure-Region zeigt:

    Ein Diagramm, das den Feedermittlungsprozess in einer einzelnen Azure-Region zeigt.

    Die geografische Datenbank enthält nur die Informationen, die für Desktops und Apps aus Hostpools in denselben Azure-Regionen erforderlich sind, die von der Geografischen Region abgedeckt werden. Wenn der Benutzer Desktops oder Apps aus einem Hostpool zugewiesen ist, der von einer anderen Geografischen Region abgedeckt wird, weist das Ressourcenverzeichnis den Webdienst an, eine Verbindung mit dem Brokerdienst und der geografischen Datenbank in der richtigen Azure-Region herzustellen.

    Hier ist ein allgemeines Diagramm, das den Feedermittlungsprozess für einen Hostpool in einer Azure-Region zeigt, die von einer anderen Geografischen Region abgedeckt wird:

    Ein Diagramm, das den Feedermittlungsprozess für einen Hostpool in einer Azure-Region zeigt, die von einer anderen Geografischen Region abgedeckt wird.

RDP-Verbindung

Wenn ein Benutzer über seinen Feed eine Verbindung mit einem Desktop oder einer App herstellt, wird die RDP-Verbindung wie folgt hergestellt:

  1. Alle Remotesitzungen beginnen mit einer Verbindung mit Azure Front Door, die den globalen Einstiegspunkt zu Azure Virtual Desktop bereitstellt. Azure Front Door bestimmt den Azure Virtual Desktop-Gatewaydienst mit der geringsten Latenz für das Gerät des Benutzers und leitet die Verbindung an das Gerät weiter.

  2. Der Gatewaydienst stellt eine Verbindung mit dem Brokerdienst in derselben Azure-Region her. Der Gatewaydienst ermöglicht es Sitzungshosts, sich in einer beliebigen Region zu befinden und weiterhin für Benutzer zugänglich zu sein.

  3. Der Brokerdienst übernimmt und orchestriert die Verbindung zwischen dem Gerät des Benutzers und dem Sitzungshost. Der Brokerdienst weist den auf dem Sitzungshost ausgeführten Azure Virtual Desktop-Agent an, eine Verbindung mit dem gateway-Dienst herzustellen, über den das Gerät des Benutzers verbunden ist.

  4. An diesem Punkt wird je nach Konfiguration und verfügbaren Netzwerkprotokollen einer von zwei Verbindungstypen erstellt:

    1. Reverse Connect-Transport: Nachdem sowohl der Client als auch der Sitzungshost mit dem Gatewaydienst verbunden sind, beginnt er mit der Weiterleitung des RDP-Datenverkehrs mithilfe des Transmission Control Protocol (TCP) zwischen dem Client und dem Sitzungshost. Reverse Connect-Transport ist der Standardverbindungstyp.

    2. RDP Shortpath: Zwischen dem Gerät des Benutzers und dem Sitzungshost wird ein direkter UDP-basierter Transport (User Datagram Protocol) erstellt, wobei der Gatewaydienst umgangen wird.

Hier ist ein allgemeines Diagramm, das den RDP-Verbindungsprozess zeigt:

Ein Diagramm, das den RDP-Verbindungsprozess zeigt.

Tipp

Ausführlichere technische Informationen zur Netzwerkkonnektivität finden Sie unter Grundlegendes zur Netzwerkkonnektivität von Azure Virtual Desktop und RDP Shortpath für Azure Virtual Desktop.

Dienstresilienz

Azure Virtual Desktop ist darauf ausgelegt, ausfallsicher zu sein und Benutzern einen zuverlässigen Dienst bereitzustellen. Der Dienst ist so konzipiert, dass er gegenüber Fehlern einzelner Komponenten resilient ist und eine schnelle Wiederherstellung nach Fehlern ermöglicht.

Die von Microsoft verwalteten Komponenten von Azure Virtual Desktop befinden sich derzeit in rund 40 Azure-Regionen, um den Benutzern näher zu sein und einen resilienten Dienst bereitzustellen. Resilienz wurde global, geografisch und innerhalb einer Azure-Region wie folgt implementiert:

  • Azure Traffic Manager leitet Datenverkehr für den Webdienst und Azure Front Door leitet Datenverkehr für den Gatewaydienst weiter. Wenn ein Ausfall dazu führt, dass der Webdienst oder Gatewaydienst in einer Azure-Region nicht verfügbar ist, oder wenn es zu einem vollständigen Ausfall der Region kommt, wird der Datenverkehr an den nächstgelegenen verfügbaren instance in der nächstgelegenen Region umgeleitet. Durch die Umleitung des Datenverkehrs können Benutzer weiterhin neue Verbindungen herstellen.

  • Die geografische Datenbank verwendet Azure SQL Datenbankfailover- und Datenreplikationsfunktionen innerhalb der einzelnen Geografischen Regionen. Bei einem Datenbankausfall wird für die Datenbank ein Failover auf das sekundäre Replikat ausgeführt, und der normale Betrieb wird fortgesetzt. Während des Failovers kann es einen kurzen Zeitraum geben, in dem neue Verbindungen fehlschlagen, bis das Failover abgeschlossen ist. Dieses Failover wirkt sich jedoch nicht auf vorhandene Verbindungen aus.

  • Das Ressourcenverzeichnis, der Brokerdienst, der Webdienst und der Gatewaydienst sind alle in jeder Azure-Region verfügbar, in der sich die von Microsoft verwalteten Komponenten für Azure Virtual Desktop befinden. Jede Komponente verfügt über mehrere Instanzen, sodass es keinen einzelnen Fehlerpunkt gibt. Innerhalb jeder Azure-Region gibt es mindestens sechs separate Instanzen oder Cluster jeder Komponente, die unabhängig voneinander arbeiten, um instance Ausfällen standzuhalten.

    Beispielsweise verfügt eine Region über genügend Instanzen des Gatewaydiensts, um den Bedarf zu erfüllen, aber auch über genügend Kapazität, um auch Fehler dieser Instanzen zu bewältigen. Wenn ein instance des Gatewaydiensts fehlschlägt, werden alle TCP-basierten RDP-Verbindungen, die über diesen bestimmten instance des Gatewaydiensts weitergeleitet werden, gelöscht. Wenn diese getrennten Benutzer die Verbindung wiederherstellen, verarbeiten die verbleibenden Instanzen Anforderungen und verbinden jeden Benutzer erneut mit seiner vorhandenen Sitzung. Alle anderen Sitzungen, die von anderen Instanzen des Gatewaydiensts verarbeitet werden, sind davon nicht betroffen.

Hier ist ein allgemeines Diagramm, das zeigt, wie die von Microsoft verwalteten Komponenten miteinander verbunden sind:

Diagramm, das zeigt, wie die von Microsoft verwalteten Komponenten miteinander verbunden sind.

Die anderen Azure-Dienste, auf denen Azure Virtual Desktop basiert, sind selbst so konzipiert, dass sie resilient und zuverlässig sind. Weitere Informationen finden Sie unter Azure Traffic Manager und Azure Front Door.

Globale Reichweite

Azure Virtual Desktop ist ein Dienst, der Organisationen dabei helfen kann, sich an die Anforderungen ihrer Mitarbeiter anzupassen, insbesondere bei der Remotearbeit. Es bietet eine sichere, zuverlässige und flexible Möglichkeit, Desktops und Anwendungen praktisch überall bereitzustellen. Azure Virtual Desktop ist so konzipiert, dass es resilient ist und Azure-Features und -Dienste verwendet, die einen hochverfügbaren Dienst für Ihre Workloads sicherstellen.

Hier ist eine Karte, die die globale Reichweite von Azure Virtual Desktop veranschaulicht:

Eine Karte, die die globale Reichweite von Azure Virtual Desktop veranschaulicht.

Verwandte Inhalte

Informationen zu den Speicherorten, an denen Azure Virtual Desktop Daten für Dienstobjekte gespeichert hat, finden Sie unter Datenspeicherorte für Azure Virtual Desktop.