Azure Virtual Desktop es un servicio de virtualización de aplicaciones y de escritorio que se ejecuta en Azure. Este artículo pretende ayudar a los arquitectos de infraestructura de escritorio, arquitectos de la nube, administradores de escritorio y administradores de sistemas a explorar Azure Virtual Desktop y compilar soluciones de infraestructura de escritorio virtualizada (VDI) a escala empresarial. Las soluciones a escala empresarial suelen abarcar 1.000 o más escritorios virtuales.
Architecture
En el diagrama siguiente se muestra una configuración de arquitectura típica para Azure Virtual Desktop:
Descargue un archivo Visio de esta arquitectura.
Flujo de datos
Los elementos de flujo de datos del diagrama se describen aquí:
Los puntos de conexión de la aplicación se encuentran en la red local del cliente. Azure ExpressRoute extiende la red local a Azure, y Microsoft Entra Connect integra Active Directory Domain Services (AD DS) del cliente con Microsoft Entra ID.
El plano de control de Azure Virtual Desktop controla los componentes de acceso web, puerta de enlace, agente, diagnósticos y extensibilidad, como las API REST.
El cliente administra AD DS y Microsoft Entra ID, las suscripciones de Azure, las redes virtuales, Azure Files o Azure NetApp Files y los grupos de hosts y las áreas de trabajo de Azure Virtual Desktop.
Para aumentar la capacidad, el cliente usa dos suscripciones de Azure en una arquitectura radial y las conecta mediante el emparejamiento de redes virtuales.
Para obtener más información sobre los procedimientos recomendados del contenedor de perfiles de FSLogix (Azure Files y Azure NetApp Files), consulte Ejemplos de configuración de FSLogix.
Componentes
La arquitectura del servicio Azure Virtual Desktop es similar a la de los Servicios de Escritorio remoto de Windows Server. Aunque Microsoft administra la infraestructura y los componentes de intermediación, los clientes empresariales administran sus propias máquinas virtuales (VM), datos y clientes.
Componentes que Microsoft administra
Microsoft administra los siguientes servicios de Azure Virtual Desktop como parte de Azure:
Acceso web: mediante el uso del servicio de acceso web en Azure Virtual Desktop, puede acceder a los escritorios virtuales y a las aplicaciones remotas mediante un explorador web compatible con HTML5, tal como lo haría con un PC local, desde cualquier lugar y en cualquier dispositivo. Puede proteger el acceso web mediante la autenticación multifactor en Microsoft Entra ID.
Puerta de enlace: el servicio de puerta de enlace de conexión remota conecta usuarios remotos a aplicaciones y escritorios de Azure Virtual Desktop desde cualquier dispositivo conectado a Internet que pueda ejecutar un cliente de Azure Virtual Desktop. El cliente se conecta a una puerta de enlace que, a su vez, orquesta una conexión desde una máquina virtual a la misma puerta de enlace.
Agente de conexión: el servicio de Agente de conexión administra las conexiones de usuario a escritorios virtuales y aplicaciones remotas. El Agente de conexión proporciona equilibrio de carga y reconexión a las sesiones existentes.
Diagnósticos: Diagnósticos de Escritorio remoto es un agregador basado en eventos que marca cada acción del usuario o administrador en la implementación de Azure Virtual Desktop como correcta o errónea. Los administradores pueden consultar la agregación de eventos para identificar los componentes con errores.
Componentes de extensibilidad: Azure Virtual Desktop incluye varios componentes de extensibilidad. Puede administrar Azure Virtual Desktop mediante Windows PowerShell o con las API REST proporcionadas, que también aportan compatibilidad con herramientas de terceros.
Componentes que administra
Puede administrar los siguientes componentes de las soluciones de Azure Virtual Desktop:
Azure Virtual Network: con Azure Virtual Network, los recursos de Azure, como las máquinas virtuales, pueden comunicarse de forma privada entre sí y con Internet. Al conectar los grupos de hosts de Azure Virtual Desktop a un dominio de Active Directory, puede definir la topología de red para acceder a los escritorios virtuales y a las aplicaciones virtuales desde la intranet o desde Internet, en función de las directivas de la organización. Puede conectar una instancia de Azure Virtual Desktop a una red local mediante una red privada virtual (VPN), o puede usar Azure ExpressRoute para extender la red local a Azure mediante una conexión privada.
Microsoft Entra ID: Azure Virtual Desktop usa Microsoft Entra ID para la administración de identidades y acceso. La integración de Microsoft Entra se aplica a las características de seguridad de Microsoft Entra, como el acceso condicional, la autenticación multifactor e Intelligent Security Graph, y permite mantener la compatibilidad de la aplicación en las VM unidas a un dominio.
Active Directory Domain Services (opcional): las máquinas virtuales de Azure Virtual Desktop pueden unirse a un dominio de un servicio de AD DS o usar la Implementación de máquinas virtuales unidas a Microsoft Entra en Azure Virtual Desktop
- Al usar un dominio de AD DS, el dominio debe estar sincronizado con Microsoft Entra ID para asociar usuarios entre los dos servicios. Puede usar Microsoft Entra Connect para asociar AD DS con Microsoft Entra ID.
- Cuando use la unión a Microsoft Entra, revise las configuraciones admitidas para asegurarse de que se admite el escenario.
Hosts de sesión de Azure Virtual Desktop: los hosts de sesión son máquinas virtuales a las que los usuarios se conectan para acceder a sus escritorios y aplicaciones. Se admiten varias versiones de Windows y se pueden crear imágenes con sus aplicaciones y personalizaciones. Puede elegir los tamaños de máquina virtual, incluidas las máquinas virtuales habilitadas para GPU. Cada host de sesión tiene un agente host de Azure Virtual Desktop, que registra la VM como parte del área de trabajo o el inquilino de Azure Virtual Desktop. Cada grupo de hosts puede tener uno o varios grupos de aplicaciones, que son colecciones de aplicaciones remotas o sesiones de escritorio a las que pueda acceder. Para ver qué versiones de Windows se admiten, consulte Sistemas operativos y licencias.
Área de trabajo de Azure Virtual Desktop : el espacio de trabajo o inquilino de Azure Virtual Desktop es una construcción de administración para la administración y publicación de recursos de grupo de hosts.
Detalles del escenario
Posibles casos de uso
La mayor demanda de soluciones de escritorio virtual para empresas proviene de:
Aplicaciones de seguridad y regulación, como los servicios financieros, la sanidad y la administración pública.
Necesidades de personal elástico, como el trabajo a distancia, fusiones y adquisiciones, empleados a corto plazo, contratistas y acceso de socios.
Determinados empleados, como los usuarios BYOD y los usuarios móviles, los centros de llamadas y los trabajadores de las sucursales.
Cargas de trabajo especializadas, como diseño e ingeniería, aplicaciones heredadas y pruebas de desarrollo de software.
Escritorios personales y agrupados
Mediante el uso de soluciones de escritorio personal, a veces llamadas escritorios persistentes, los usuarios pueden conectarse siempre al mismo host de sesión específico. Los usuarios pueden modificar normalmente su experiencia de escritorio para satisfacer sus preferencias personales, y pueden guardar archivos en el entorno de escritorio. Soluciones de escritorio personal:
- Permite a los usuarios personalizar su entorno de escritorio, incluidas las aplicaciones instaladas por el usuario, y los usuarios pueden guardar archivos dentro del entorno de escritorio.
- Permitir la asignación de recursos dedicados a usuarios específicos, lo que puede ser útil para algunos casos de uso de fabricación o desarrollo.
Las soluciones de escritorio agrupado, también llamadas escritorios no persistentes, asignan los usuarios a cualquier host de sesión que esté disponible actualmente, en función del algoritmo de equilibrio de carga. Dado que los usuarios no siempre vuelven al mismo host de sesión cada vez que se conectan, tienen una capacidad limitada para personalizar el entorno de escritorio y no suelen tener acceso de administrador.
Mantenimiento de Windows
Hay varias opciones para actualizar los escritorios de Azure Virtual Desktop. La implementación de una imagen actualizada cada mes garantiza el cumplimiento y el estado.
- Microsoft Endpoint Configuration Manager (MECM) actualiza los sistemas operativos de servidor y de escritorio.
- Windows Update para empresas actualiza los sistemas operativos de escritorio, como Windows 10 Enterprise para sesiones múltiples.
- Azure Update Management actualiza los sistemas operativos de servidor.
- Azure Log Analytics comprueba el cumplimiento.
- Implemente una nueva imagen (personalizada) en los hosts de sesión todos los meses con las actualizaciones más recientes de Windows y las aplicaciones. Puede usar una imagen de Azure Marketplace o una imagen personalizada administrada por Azure.
Relaciones entre componentes lógicos clave
Las relaciones entre los grupos host, las áreas de trabajo y otros componentes lógicos clave varían. Se resumen en el siguiente diagrama:
Los números de las descripciones siguientes corresponden a los del diagrama anterior.
- (1) Un grupo de aplicaciones que contiene un escritorio publicado solo puede contener paquetes MSIX montados en el grupo de hosts (los paquetes estarán disponibles en el menú Inicio del host de sesión), no puede contener ningún otro recurso publicado y se denomina grupo de aplicaciones de escritorio.
- (2) Los grupos de aplicaciones asignados al mismo grupo de hosts deben ser miembros de la misma área de trabajo.
- (3) Una cuenta de usuario se puede asignar a un grupo de aplicaciones directamente o a través de un grupo de Microsoft Entra. Es posible no asignar ningún usuario a un grupo de aplicaciones, pero entonces no podrá dar servicio a ninguno.
- (4) Es posible tener un área de trabajo vacía, pero no podrá dar servicio a los usuarios.
- (5) Es posible tener un grupo de hosts vacío, pero no podrá dar servicio a los usuarios.
- (6) Es posible que un grupo de hosts no tenga ningún grupo de aplicaciones asignado, pero no podrá dar servicio a los usuarios.
- (7) Microsoft Entra ID es necesario para Azure Virtual Desktop. Esto se debe a que las cuentas y los grupos de usuarios de Microsoft Entra deben utilizarse siempre para asignar usuarios a los grupos de aplicaciones de Azure Virtual Desktop. Microsoft Entra ID también se usa para autenticar a los usuarios en el servicio Azure Virtual Desktop. Los hosts de sesión de Azure Virtual Desktop también pueden ser miembros de un dominio de Microsoft Entra y, en esta situación, las aplicaciones publicadas de Azure Virtual Desktop y las sesiones de escritorio también se iniciarán y ejecutarán (no solo se asignarán) mediante cuentas de Microsoft Entra.
- (7) Como alternativa, los hosts de sesión de Azure Virtual Desktop pueden ser miembros de un dominio AD DS, y en esta situación las aplicaciones publicadas por Azure Virtual Desktop y las sesiones de escritorio se lanzarán y ejecutarán (pero no se asignarán) mediante el uso de cuentas AD DS. Para reducir la sobrecarga administrativa y del usuario, AD DS se puede sincronizar con Microsoft Entra ID a través de Microsoft Entra Connect.
- (7) Por último, los hosts de sesión de Azure Virtual Desktop pueden, en cambio, ser miembros de un dominio de Microsoft Entra Domain Services, y, en esta situación, las aplicaciones publicadas por Azure Virtual Desktop y las sesiones de escritorio se lanzarán y ejecutarán (pero no se asignarán) mediante cuentas de Microsoft Entra Domain Services. Microsoft Entra ID solo se sincroniza automáticamente con Microsoft Entra Domain Services de una manera, de Microsoft Entra ID a Microsoft Entra Domain Services.
| Resource | Propósito | Relaciones lógicas |
|---|---|---|
| Escritorio publicado | Un entorno de escritorio de Windows que se ejecuta en hosts de sesión de Azure Virtual Desktop y se entrega a los usuarios a través de la red | Miembro de un solo grupo de aplicaciones.(1) |
| Aplicación publicada | Una aplicación de Windows que se ejecuta en hosts de sesión de Azure Virtual Desktop y se entrega a los usuarios a través de la red | Miembro de un solo grupo de aplicaciones. |
| Grupo de aplicaciones | Una agrupación lógica de aplicaciones publicadas o un escritorio publicado. | - Contiene un escritorio publicado (1) o una o varias aplicaciones publicadas - Asignado a un único grupo host (2) - Miembro de una sola área de trabajo (2) - Se le asignan una o varias cuentas de usuario o grupos de Microsoft Entra (3) |
| Cuenta de usuario/grupo de Microsoft Entra | Identifica los usuarios a los que se les permite iniciar escritorios o aplicaciones publicados | - Miembro de uno y solo una instancia de Microsoft Entra ID - Asignado a uno o varios grupos de aplicaciones (3) |
| Microsoft Entra ID (7) | Proveedor de identidades | - Contiene una o más cuentas o grupos de usuarios, que se deben usar para asignar a los usuarios a los grupos de aplicaciones, y también se pueden usar para iniciar sesión en los hosts de sesión - Puede mantener las pertenencias de los hosts de sesión. - Se puede sincronizar con AD DS o Microsoft Entra Domain Services |
| AD DS (7) | Proveedor de servicios de identidad y de directorio. | - Contiene una o varias cuentas de usuario o grupos, que se pueden usar para iniciar sesión en los hosts de sesión - Puede mantener las pertenencias de los hosts de sesión. - Se puede sincronizar con Microsoft Entra ID |
| Microsoft Entra Domain Services (7) | Proveedor de servicios de identidad y directorio basados en plataforma como servicio (PaaS) | - Contiene una o varias cuentas de usuario o grupos, que se pueden usar para iniciar sesión en los hosts de sesión - Puede mantener las pertenencias de los hosts de sesión. - Sincronizado con Microsoft Entra ID |
| Área de trabajo | Agrupación lógica de grupos de aplicaciones. | Contiene uno o varios grupos de aplicaciones (4) |
| Grupo de hosts | Un grupo de hosts de sesión idénticos que sirven para un propósito común. | - Contiene uno o varios hosts de sesión (5) - Tiene asignados uno o varios grupos de aplicaciones (6) |
| Host de sesión | Una máquina virtual que hospeda escritorios o aplicaciones publicados. | Miembro de un solo grupo de hosts. |
Consideraciones
Estas consideraciones implementan los pilares del marco de buena arquitectura de Azure, que es un conjunto de principios guía que se pueden usar para mejorar la calidad de una carga de trabajo. Para más información, consulte Marco de buena arquitectura de Microsoft Azure.
Los números de las siguientes secciones son aproximados. Se basan en una variedad de implementaciones de grandes clientes y están sujetas a cambios con el tiempo.
Además:
- No puede crear más de 500 grupos de aplicaciones por cada inquilino de Microsoft Entra*.
- Es recomendable no publicar más de 50 aplicaciones por grupo de aplicaciones.
Limitaciones de Azure Virtual Desktop
Azure Virtual Desktop, al igual que Azure, tiene ciertas limitaciones de servicio que debe conocer. Para evitar tener que realizar cambios en la fase de escalado, es recomendable abordar algunas de estas limitaciones durante la fase de diseño.
| Objeto de Azure Virtual Desktop | Por objeto de contenedor primario | Límite de servicio |
|---|---|---|
| Área de trabajo | Inquilino de Microsoft Entra | 1300 |
| Grupo de hosts | Área de trabajo | 400 |
| Grupo de aplicaciones | Inquilino de Microsoft Entra | 500* |
| RemoteApp | Grupo de aplicaciones | 500 |
| Asignación de roles | Cualquier objeto de Azure Virtual Desktop | 200 |
| Host de sesión | Grupo de hosts | 10 000 |
*Si necesita más de 500 grupos de aplicaciones, envíe una incidencia de soporte técnico a través del Azure Portal.
- Se recomienda implementar no más de 5000 máquinas virtuales por suscripción de Azure por región. Esta recomendación se aplica a los grupos de hosts personales y agrupados basados en Windows 10 Enterprise y Windows Enterprise para sesiones múltiples. La mayoría de los clientes usan Windows Enterprise para sesiones múltiples, que permite que varios usuarios inicien sesión en cada máquina virtual. Puede aumentar los recursos de las máquinas virtuales de host de sesión individuales para permitir más sesiones de usuario.
- En el caso de las herramientas de escalado de host de sesión automatizadas, los límites son unas 2500 máquinas virtuales por suscripción de Azure por región, porque la interacción del estado de la máquina virtual consume más recursos.
- Para administrar entornos empresariales con más de 5000 VM por suscripción de Azure en la misma región, puede crear varias suscripciones de Azure en una arquitectura tipo hub-and-spoke, y conectarlas mediante el emparejamiento de redes virtuales, (usando una suscripción por radio). También puede implementar las VM en otra región de la misma suscripción para aumentar el número de VM.
- Las limitaciones de la API de la suscripción de Azure Resource Manager (ARM) no permiten más de 600 reinicios de máquina virtual de Azure por hora mediante Azure Portal. Puede reiniciar todas las máquinas a la vez mediante el sistema operativo, que no consume ninguna llamada a la API de la suscripción de Azure Resource Manager. Para más información sobre el recuento y la solución de problemas de las limitaciones basadas en la suscripción de Azure, consulte Solución de problemas de errores de limitación de API.
- Actualmente, puede implementar hasta 132 máquinas virtuales en una sola implementación de plantillas de ARM en el portal de Azure Virtual Desktop. Para crear más de 132 máquinas virtuales, ejecute la implementación de plantillas de ARM en el portal de Azure Virtual Desktop varias veces.
- Los prefijos de nombre de host de sesión de máquina virtual de Azure no pueden superar los 11 caracteres, debido a la asignación automática de nombres de instancia y al límite de NetBIOS de 15 caracteres por cuenta de equipo.
- De forma predeterminada, puede implementar hasta 800 instancias de la mayoría de los tipos de recurso en un grupo de recursos. Azure Compute no tiene este límite.
Para más información sobre las limitaciones de la suscripción de Azure, consulte Límites, cuotas y restricciones de suscripción y servicios de Microsoft Azure.
Tamaño de máquina virtual
En Directrices de ajuste del tamaño de la máquina virtual se indica el número máximo de usuarios sugerido por unidad central de procesamiento virtual (vCPU) y las configuraciones de máquina virtual mínimas para las diferentes cargas de trabajo. Estos datos ayudan a calcular las máquinas virtuales que se necesitan en el grupo de hosts.
Use herramientas de simulación para probar las implementaciones con pruebas de esfuerzo y simulaciones de uso real. Asegúrese de que el sistema responde y es lo suficientemente resistente para satisfacer las necesidades de los usuarios, y recuerde variar los tamaños de carga al realizar las pruebas.
Optimización de costos
La optimización de costos trata de buscar formas de reducir los gastos innecesarios y mejorar las eficiencias operativas. Para más información, vea Información general del pilar de optimización de costos.
Puede diseñar su solución de Azure Virtual Desktop para ahorrar costos. A continuación se muestran cinco opciones diferentes para ayudar a administrar los costos en las empresas:
- Windows 10 multisesión: Al ofrecer una experiencia de escritorio multisesión para usuarios con requisitos de computación idénticos, puede permitir que más usuarios inicien sesión en una única máquina virtual a la vez, un enfoque que puede suponer un ahorro de costes considerable.
- Ventaja híbrida de Azure: si tiene Software Assurance, puede usar Ventaja híbrida de Azure para Windows Server para ahorrar en el costo de la infraestructura de Azure.
- Azure Reserved Virtual Machine Instances: puede pagar por adelantado el uso de la máquina virtual y ahorrar dinero. Combine Azure Reserved Virtual Machine Instances con Ventaja híbrida de Azure para ahorrar hasta el 80 % con respecto a los precios de lista.
- Equilibrio de carga del host de sesión: cuando se configuran hosts de sesión, el modo de amplitud , que distribuye los usuarios aleatoriamente entre los hosts de sesión, es el modo predeterminado estándar. Como alternativa, puede usar el modo deprofundidad primero para rellenar un servidor host de sesión con el número máximo de usuarios antes de pasar al siguiente host de sesión. Puede ajustar esta configuración para maximizar el ahorro de costos.
Implementación de este escenario
Use las plantillas de ARM para automatizar la implementación del entorno de Azure Virtual Desktop. Estas plantillas de ARM solo admiten objetos de Azure Virtual Desktop de Azure Resource Manager. Estas plantillas de ARM no admiten Azure Virtual Desktop (clásico).
Colaboradores
Microsoft mantiene este artículo. Originalmente lo escribieron los siguientes colaboradores.
Autor principal:
- Tom Hickling | Responsable sénior de producto, Ingeniería de Azure Virtual Desktop
Otro colaborador:
- Nelson Del Villar | Arquitecto de soluciones en la nube, Infraestructura básica de Azure
Pasos siguientes
- Integraciones de asociados de Azure Virtual Desktop enumera los proveedores asociados de Azure Virtual Desktop aprobados y los proveedores de software independientes.
- Use la herramienta de optimización de Virtual Desktop para ayudar a optimizar el rendimiento en un entorno VDI (infraestructura de escritorios virtuales) de Windows 10 Enterprise.
- Consulte Implementación de máquinas virtuales unidas a Microsoft Entra en Azure Virtual Desktop.
- Más información sobre Active Directory Domain Services.
- ¿Qué es Microsoft Entra Connect?
Recursos relacionados
- Para más información sobre varias arquitecturas de bosques de Active Directory, consulte Arquitectura de varios bosques de Active Directory en Azure Virtual Desktop.