Arquitectura y resistencia del servicio Azure Virtual Desktop

  • Artículo

Azure Virtual Desktop está diseñado para proporcionar un servicio resistente, confiable y seguro para organizaciones y usuarios. La arquitectura de Azure Virtual Desktop consta de muchos componentes que componen el servicio que conecta a los usuarios a sus escritorios y aplicaciones. La mayoría de los componentes son administrados por Microsoft, pero algunos son administrados por el cliente o administrados por asociados.

Microsoft proporciona los componentes de infraestructura de escritorio virtual (VDI) para la funcionalidad básica como servicio. Estos componentes incluyen:

  • Servicio web: el sitio web y el punto de conexión orientados al usuario, y devuelven la información de conexión al dispositivo del usuario.
  • Servicio de agente: organiza las conexiones entrantes.
  • Servicio de puerta de enlace: un servicio websocket que proporciona la conectividad del Protocolo de Escritorio remoto (RDP) desde el dispositivo de un usuario dondequiera que se conecte desde a los hosts de sesión que proporcionan sus escritorios y aplicaciones.
  • Directorio de recursos: proporciona información para indicar al servicio web cuál de las varias bases de datos geográficas hospeda la información de conexión necesaria para cada usuario.
  • Base de datos geográfica: contiene los archivos de conexión (.rdp) e iconos de cada recurso que se han aprovisionado a un usuario.

Además, Azure Virtual Desktop usa otros servicios globales de Azure, como Azure Traffic Manager y Azure Front Door para dirigir a los usuarios a sus puntos de entrada de Azure Virtual Desktop más cercanos.

Es responsable de crear y administrar hosts de sesión, incluidas las personalizaciones y aplicaciones de imágenes del sistema operativo, la conectividad de red virtual, la resistencia y la copia de seguridad y recuperación de esos hosts de sesión. También proporciona y administra identidades de usuario y controla el acceso al servicio. Puede usar otros servicios de Azure para ayudarle a cumplir sus requisitos, como:

  • Zonas de disponibilidad de Azure para distribuir los hosts de sesión entre ubicaciones de centros de datos físicamente independientes dentro de una región de Azure, cada una con energía, refrigeración y redes independientes.
  • Azure Backup para realizar copias de seguridad y restaurar los hosts de sesión.
  • Azure Site Recovery para replicar los hosts de sesión en otra región de Azure.
  • Azure Advisor le ayudará a optimizar los recursos de Azure.

En este diagrama de alto nivel se muestran los componentes y las responsabilidades:

A diagram showing who manages the components of Azure Virtual Desktop.

Conexiones de usuario

Cuando un usuario quiere acceder a sus escritorios y aplicaciones en Azure Virtual Desktop, hay varios componentes implicados en realizar esa conexión correctamente. Hay dos secuencias independientes:

  1. Detección de fuentes. La fuente es la lista de escritorios y aplicaciones que están disponibles para el usuario.
  2. Una conexión mediante el Protocolo de Escritorio remoto a un host de sesión.

Detección de fuentes

Durante la detección de fuentes, los escritorios y las aplicaciones disponibles para el usuario se rellenan en la aplicación en su dispositivo local. La fuente contiene toda la información necesaria para conectarse.

El proceso de detección de fuentes es el siguiente:

  1. Es posible que el usuario se encuentre en cualquier parte del mundo. Azure Traffic Manager enruta el dispositivo del usuario a la instancia más cercana del servicio web de Azure Virtual Desktop en función del método de enrutamiento geográfico del tráfico, que usa la dirección IP de origen del dispositivo del usuario.

  2. El servicio web se conecta al servicio de agente de Azure Virtual Desktop en la misma región de Azure para recuperar los archivos RDP y los iconos de aplicación de la fuente del usuario. El servicio de agente se conecta a la base de datos geográfica y al directorio de recursos de Azure Virtual Desktop en la misma región para recuperar la información.

  3. El servicio de agente devuelve los archivos RDP y los iconos de aplicación al servicio web, que devuelve la información al dispositivo del usuario.

    Este es un diagrama de alto nivel que muestra el proceso de detección de fuentes en una sola región de Azure:

    A diagram showing the feed discovery process in a single Azure region.

    La base de datos geográfica solo contiene la información necesaria para escritorios y aplicaciones de grupos host en las mismas regiones de Azure que abarca la geografía. Si el usuario está asignado a escritorios o aplicaciones de un grupo de hosts que está cubierto por una geografía diferente, el directorio de recursos indica al servicio web que se conecte al servicio de agente y a la base de datos geográfica en la región de Azure correcta.

    Este es un diagrama de alto nivel que muestra el proceso de detección de fuentes para un grupo de hosts en una región de Azure que está cubierta por una geografía diferente:

    A diagram showing the feed discovery process for a host pool in an Azure region that's covered by a different geography.

Conexión RDP

Cuando un usuario se conecta a un escritorio o una aplicación desde su fuente, la conexión RDP se establece de la siguiente manera:

  1. Todas las sesiones remotas comienzan con una conexión a Azure Front Door, que proporciona el punto de entrada global a Azure Virtual Desktop. Azure Front Door determina el servicio de puerta de enlace de Azure Virtual Desktop con la latencia más baja para el dispositivo del usuario y dirige la conexión a él

  2. El servicio de puerta de enlace se conecta al servicio de agente en la misma región de Azure. El servicio de puerta de enlace permite que los hosts de sesión estén en cualquier región y sigan siendo accesibles para los usuarios.

  3. El servicio de agente toma el control y organiza la conexión entre el dispositivo del usuario y el host de sesión. El servicio de agente indica al agente de Azure Virtual Desktop que se ejecuta en el host de sesión que se conecte al mismo servicio de puerta de enlace a través del que se ha conectado el dispositivo del usuario.

  4. En este momento, se realiza uno de los dos tipos de conexión, según la configuración y los protocolos de red disponibles:

    1. Transporte de conexión inversa: después del host de cliente y de sesión conectado al servicio de puerta de enlace, comienza a retransmitir el tráfico RDP mediante el Protocolo de control de transmisión (TCP) entre el cliente y el host de sesión. El transporte de conexión inversa es el tipo de conexión predeterminado.

    2. RDP Shortpath: se crea un transporte basado en protocolo de datagramas de usuario directo (UDP) entre el dispositivo del usuario y el host de sesión, pasando el servicio de puerta de enlace.

Este es un diagrama de alto nivel que muestra el proceso de conexión RDP:

A diagram showing the RDP connection process.

Sugerencia

Puede encontrar información técnica más detallada sobre la conectividad de red en Descripción de la conectividad de red de Azure Virtual Desktop y RDP Shortpath para Azure Virtual Desktop.

Resistencia del servicio

Azure Virtual Desktop está diseñado para ser resistente a errores y proporcionar un servicio confiable a los usuarios. El servicio está diseñado para ser resistente a errores de componentes individuales y para poder recuperarse de errores rápidamente.

Los componentes administrados por Microsoft de Azure Virtual Desktop se encuentran actualmente en alrededor de 40 regiones de Azure para estar más cerca de los usuarios y proporcionar un servicio resistente. La resistencia se ha implementado globalmente, geográficamente y dentro de una región de Azure de las siguientes maneras:

  • Azure Traffic Manager dirige el tráfico para el servicio web y Azure Front Door dirige el tráfico para el servicio de puerta de enlace. Si hay una interrupción que hace que el servicio web o el servicio de puerta de enlace no estén disponibles desde una región de Azure o que haya una interrupción completa de la región, el tráfico se redirige a la siguiente instancia disponible más cercana en la región más cercana. La redirección del tráfico permite a los usuarios seguir realizando nuevas conexiones.

  • La base de datos geográfica usa las funcionalidades de conmutación por error y replicación de datos de Azure SQL Database dentro de cada geografía. Si hay una interrupción de la base de datos, la base de datos conmuta por error a la réplica secundaria y se reanuda la operación normal. Durante la conmutación por error, hay un breve período de tiempo en el que se produce un error en las nuevas conexiones hasta que se completa la conmutación por error, pero esta conmutación por error no afecta a las conexiones existentes.

  • El directorio de recursos, el servicio de agente, el servicio web y el servicio de puerta de enlace están disponibles en cada una de las regiones de Azure donde se encuentran los componentes administrados por Microsoft para Azure Virtual Desktop. Cada componente tiene varias instancias para que no haya un único punto de error. Dentro de cada región de Azure, hay al menos seis instancias o clústeres distintos e independientes de cada componente que funcionan de forma independiente para resistir errores de instancia.

    Por ejemplo, una región tiene suficientes instancias del servicio de puerta de enlace para satisfacer la demanda, pero también con capacidad suficiente para dar cabida a errores de esas instancias. Si se produce un error en una instancia del servicio de puerta de enlace, se quitan las conexiones RDP basadas en TCP que se retransmiten a través de esa instancia concreta del servicio de puerta de enlace. Cuando esos usuarios desconectados se vuelven a conectar, las instancias restantes controlan las solicitudes y vuelven a conectar cada usuario a su sesión existente. Las demás sesiones controladas por otras instancias del servicio de puerta de enlace no se ven afectadas.

Este es un diagrama de alto nivel que muestra cómo están interconectados los componentes administrados por Microsoft:

A diagram showing how the Microsoft-managed components are interconnected.

Los demás servicios de Azure en los que se basa Azure Virtual Desktop están diseñados para ser resistentes y confiables. Para más información, consulte Azure Traffic Manager y Azure Front Door.

Alcance global

Azure Virtual Desktop es un servicio que puede ayudar a las organizaciones a adaptarse a las demandas de sus trabajadores, especialmente trabajando de forma remota. Proporciona una manera segura, confiable y flexible de ofrecer escritorios y aplicaciones prácticamente en cualquier lugar. Azure Virtual Desktop está diseñado para ser resistente, mediante características y servicios de Azure que ayudan a garantizar un servicio de alta disponibilidad para las cargas de trabajo.

Este es un mapa que muestra el alcance global de Azure Virtual Desktop:

A map demonstrating the global reach of Azure Virtual Desktop.

Contenido relacionado

Para obtener información sobre las ubicaciones en las que Azure Virtual Desktop almacena datos para objetos de servicio, consulte Ubicaciones de datos para Azure Virtual Desktop.