Compartir a través de

Consideraciones sobre redes y conectividad para cargas de trabajo de Azure Virtual Desktop

  • Artículo

En este artículo se describe el área de diseño de redes y conectividad de una carga de trabajo de Azure Virtual Desktop. Es fundamental diseñar e implementar funcionalidades de red de Azure para la zona de aterrizaje de Azure Virtual Desktop. Como base, en este artículo se usan varios principios y recomendaciones de arquitectura de la zona de aterrizaje de escala empresarial de Azure Well-Architected Framework. Al basarse en esta guía, en este artículo se muestra cómo administrar la topología de red y la conectividad a escala.

Importante

Este artículo forma parte de la serie de cargas de trabajo de Azure Well-Architected Framework de Azure Virtual Desktop . Si no está familiarizado con esta serie, se recomienda empezar con ¿Qué es una carga de trabajo de Azure Virtual Desktop?.

Latencia del cliente

Impacto: Eficiencia del rendimiento

La latencia entre los usuarios finales y los hosts de sesión es un aspecto clave que afecta a la experiencia de usuario de Azure Virtual Desktop. Puede usar la herramienta Estimador de experiencia de Azure Virtual Desktop para ayudar a calcular los tiempos de ida y vuelta de conexión (RTT). En concreto, esta herramienta calcula los RTT de ubicaciones de usuario a través del servicio Azure Virtual Desktop a cada región de Azure en la que se implementan máquinas virtuales (VM).

Para evaluar la calidad de la experiencia del usuario final:

  • Pruebe las latencias de un extremo a otro en entornos de desarrollo, pruebas y prueba de concepto. Esta prueba debe tener en cuenta la experiencia real de los usuarios. Debe tener en cuenta factores como las condiciones de red, los dispositivos de usuario final y la configuración de las máquinas virtuales implementadas.
  • Tenga en cuenta que la latencia es solo un aspecto de la conectividad con protocolos remotos. El ancho de banda y la carga de trabajo del usuario también afectan a la experiencia del usuario final.
Recomendaciones
  • Use el estimador de experiencia de Azure Virtual Desktop para recopilar valores de latencia estimados.
  • Pruebe las latencias de las redes virtuales de Azure en los sistemas locales.
  • Use un túnel dividido basado en el Protocolo de datagramas de usuario (UDP) para los clientes que usan una conexión VPN de punto a sitio (P2S).
  • Use Shortpath del Protocolo de escritorio remoto (RDP) con una red administrada para clientes en el sitio que usan una VPN o Azure ExpressRoute.

Conectividad local (redes híbridas)

Impacto: Eficiencia del rendimiento, Excelencia operativa

Algunas organizaciones usan modelos híbridos que incluyen recursos locales y en la nube. En muchos casos híbridos, los flujos de trabajo de usuario final que se ejecutan en Azure Virtual Desktop deben acceder a recursos locales, como servicios compartidos o de plataforma, datos o aplicaciones.

Al implementar redes híbridas, revise los procedimientos recomendados y las recomendaciones del artículo Cloud Adoption Framework Topología de red y conectividad.

Es importante alinearse con el modelo de escalado de Azure Virtual Desktop que se describe en Integración de una carga de trabajo de Azure Virtual Desktop con zonas de aterrizaje de Azure. Para seguir este modelo:

  • Evalúe los requisitos de latencia y ancho de banda de los flujos de trabajo de Azure Virtual Desktop que se conectan a sistemas locales. Esta información es fundamental al diseñar la arquitectura de red híbrida.
  • Asegúrese de que no haya direcciones IP superpuestas entre las subredes de Azure Virtual Desktop y las redes locales. Se recomienda asignar la tarea de direccionamiento IP a los arquitectos de red que son los propietarios de la suscripción de conectividad.
  • Asigne a cada zona de aterrizaje de Azure Virtual Desktop su propia configuración de red virtual y subred.
  • Ajustar el tamaño de las subredes adecuadamente teniendo en cuenta el crecimiento potencial al determinar la cantidad de espacio de direcciones IP que se necesita.
  • Use la notación de enrutamiento entre dominios (CIDR) sin ip inteligente para evitar desperdiciar espacio de direcciones IP.
Recomendaciones
  • Revise los procedimientos recomendados para conectar redes virtuales de Azure a sistemas locales.
  • Pruebe las latencias de las redes virtuales de Azure en los sistemas locales.
  • Asegúrese de que no se usan direcciones IP superpuestas en la zona de aterrizaje de Azure Virtual Desktop.
  • Asigne a cada zona de aterrizaje de Azure Virtual Desktop su propia configuración de red virtual y subred.
  • Considere el crecimiento potencial al ajustar el tamaño de las subredes de Azure Virtual Desktop.

Conectividad entre varias regiones

Impacto: Eficiencia del rendimiento, Optimización de costos

Para que la implementación en varias regiones de Azure Virtual Desktop ofrezca la mejor experiencia posible a los usuarios finales, el diseño debe tener en cuenta los siguientes factores:

  • Servicios de plataforma, como la identidad, la resolución de nombres, la conectividad híbrida y los servicios de almacenamiento. La conectividad de los hosts de sesión de Azure Virtual Desktop con estos servicios es clave para que el servicio sea funcional. Como resultado, el diseño ideal tiene como objetivo reducir la latencia de las subredes de la zona de aterrizaje de Azure Virtual Desktop a estos servicios. Puede lograr este objetivo replicando servicios en cada región o haciendo que estén disponibles a través de la conexión con la latencia más baja posible.
  • Latencia del usuario final. Al seleccionar ubicaciones que se van a usar para una implementación de varias regiones de Azure Virtual Desktop, es importante tener en cuenta la latencia que experimentan los usuarios al conectarse al servicio. Se recomienda recopilar datos de latencia de la población del usuario final mediante el estimador de experiencia de Azure Virtual Desktop al seleccionar regiones de Azure para implementar los hosts de sesión.

Considere también los siguientes factores:

  • Dependencias de la aplicación entre regiones.
  • Disponibilidad de la SKU de máquina virtual.
  • Costos de red asociados a la salida de Internet, el tráfico entre regiones y el tráfico híbrido (local) que requieren las dependencias de la aplicación o de la carga de trabajo.
  • Carga adicional que coloca la característica de caché en la nube de FSLogix en las redes. Este factor solo es relevante si usa esta característica para replicar los datos del perfil de usuario entre regiones diferentes. Tenga en cuenta también el costo del aumento del tráfico de red y el almacenamiento que usa esta característica.

Si es posible, use las SKU de máquina virtual que ofrecen redes aceleradas. En las cargas de trabajo que usan un ancho de banda alto, las redes aceleradas pueden reducir el uso y la latencia de la CPU.

El ancho de banda disponible de la red afecta considerablemente a la calidad de las sesiones remotas. Como resultado, se recomienda evaluar los requisitos de ancho de banda de red para que los usuarios se aseguren de que hay suficiente ancho de banda disponible para las dependencias locales.

Recomendaciones
  • Replique la plataforma y los servicios compartidos en cada región siempre que las directivas internas le permitan.
  • Use las SKU de máquina virtual que ofrecen redes aceleradas si es posible.
  • Incluya estimaciones de latencia del usuario final en el proceso de selección de región.
  • Tenga en cuenta los tipos de carga de trabajo al calcular los requisitos de ancho de banda y supervise las conexiones de usuario real.

Seguridad de las redes

Impacto: Seguridad, Optimización de costos, Excelencia operativa

Tradicionalmente, la seguridad de red ha sido el eje de los esfuerzos de seguridad empresarial. Pero la informática en la nube ha aumentado el requisito de que los perímetros de red sean más porosos, y muchos atacantes han dominado el arte de los ataques en los elementos del sistema de identidad. Los siguientes puntos proporcionan información general sobre los requisitos mínimos de firewall para implementar Azure Virtual Desktop. En esta sección también se proporcionan recomendaciones para conectarse a un firewall y llegar a las aplicaciones que requieren este servicio.

  • Los controles de red tradicionales que se basan en un enfoque de intranet de confianza no proporcionan de forma eficaz garantías de seguridad para las aplicaciones en la nube.
  • La integración de registros de dispositivos de red y tráfico de red sin procesar proporciona visibilidad sobre posibles amenazas de seguridad.
  • La mayoría de las organizaciones acaban agregando a las redes más recursos de los planeados inicialmente. Como resultado, los esquemas de dirección IP y subred deben refactorizarse para dar cabida a los recursos adicionales. Este proceso consume mucha mano de obra. Hay un valor de seguridad limitado para crear un gran número de subredes pequeñas y, a continuación, intentar asignar controles de acceso de red, como grupos de seguridad, a cada una de ellas.

Para obtener información general sobre cómo proteger los recursos mediante la colocación de controles en el tráfico de red, consulte Recomendaciones para redes y conectividad.

Recomendaciones
  • Comprenda las configuraciones necesarias para usar Azure Firewall en la implementación. Para obtener más información, consulte Uso de Azure Firewall para proteger las implementaciones de Azure Virtual Desktop.
  • Cree grupos de seguridad de red y grupos de seguridad de aplicaciones para segmentar el tráfico de Azure Virtual Desktop. Esta práctica le ayuda a aislar las subredes mediante el control de sus flujos de tráfico.
  • Use etiquetas de servicio en lugar de direcciones IP específicas para los servicios de Azure. Dado que se soluciona el cambio, este enfoque minimiza la complejidad de las reglas de seguridad de red que se actualizan con frecuencia.
  • Familiarícese con las direcciones URL necesarias para Azure Virtual Desktop.
  • Use una tabla de rutas para permitir que el tráfico de Azure Virtual Desktop omita las reglas de tunelización forzadas que use para enrutar el tráfico a un firewall o a una aplicación virtual de red (NVA). De lo contrario, la tunelización forzada puede afectar al rendimiento y la confiabilidad de la conectividad de los clientes.
  • Use puntos de conexión privados para ayudar a proteger soluciones de plataforma como servicio (PaaS), como Azure Files y Azure Key Vault. Pero tenga en cuenta el costo de usar puntos de conexión privados.
  • Ajuste las opciones de configuración para Azure Private Link. Al usar este servicio con Azure Virtual Desktop, puede deshabilitar los puntos de conexión públicos para los componentes del plano de control de Azure Virtual Desktop y usar puntos de conexión privados para evitar el uso de direcciones IP públicas.
  • Implemente directivas de firewall estrictas si usa Servicios de dominio de Active Directory (AD DS). Base esas directivas en el tráfico necesario en el dominio.
  • Considere la posibilidad de usar Azure Firewall o filtrado web de NVA para ayudar a proteger el acceso de los usuarios finales a Internet desde hosts de sesión de Azure Virtual Desktop.

Impacto: Seguridad

De forma predeterminada, las conexiones a los recursos de Azure Virtual Desktop se establecen a través de un punto de conexión accesible públicamente. En algunos escenarios, el tráfico debe usar conexiones privadas. Estos escenarios pueden usar Private Link para conectarse de forma privada a recursos remotos de Azure Virtual Desktop. Para obtener más información, consulte Azure Private Link con Azure Virtual Desktop. Cuando se crea un punto de conexión privado, el tráfico entre la red virtual y el servicio permanece en la red de Microsoft. El servicio no está expuesto a la red pública de Internet.

Puede usar puntos de conexión privados de Azure Virtual Desktop para admitir los siguientes escenarios:

  • Los clientes, o los usuarios finales, y las máquinas virtuales del host de sesión usan rutas privadas.
  • Los clientes, o los usuarios finales, usan rutas públicas mientras que las máquinas virtuales del host de sesión usan rutas privadas.

Los hosts de sesión de Azure Virtual Desktop tienen los mismos requisitos de resolución de nombres que cualquier otra carga de trabajo de infraestructura como servicio (IaaS). Como resultado, los hosts de sesión requieren conectividad con los servicios de resolución de nombres configurados para resolver las direcciones IP del punto de conexión privado. Por lo tanto, al usar puntos de conexión privados, debe configurar una configuración de DNS específica. Para obtener información detallada, consulte Configuración de DNS del punto de conexión privado de Azure.

Private Link también está disponible para otros servicios de Azure que funcionan junto con Azure Virtual Desktop, como Azure Files y Key Vault. Se recomienda implementar también puntos de conexión privados para estos servicios para mantener el tráfico privado.

Recomendaciones

Ruta corta de RDP

Impacto: Eficiencia del rendimiento, Optimización de costos

RDP Shortpath es una característica de Azure Virtual Desktop que está disponible para redes administradas y no administradas.

  • En el caso de las redes administradas, RDP Shortpath establece una conexión directa entre un cliente de escritorio remoto y un host de sesión. El transporte se basa en UDP. Al quitar puntos de retransmisión adicionales, RDP Shortpath reduce el tiempo de ida y vuelta, lo que mejora la experiencia del usuario en las aplicaciones sensibles a la latencia y los métodos de entrada. Para admitir RDP Shortpath, un cliente de Azure Virtual Desktop necesita una línea directa de visión al host de sesión. El cliente también debe instalar el cliente de escritorio de Windows y ejecutar Windows 11 o Windows 10.
  • En el caso de las redes no administradas, se pueden realizar dos tipos de conexión:
    • La conectividad directa se establece entre el cliente y el host de sesión. El recorrido simple debajo de la traducción de direcciones de red (STUN) y el establecimiento de conectividad interactiva (ICE) se usan para establecer la conexión. Esta configuración mejora la confiabilidad del transporte para Azure Virtual Desktop. Para obtener más información, consulte Funcionamiento de RDP Shortpath.
    • Se establece una conexión UDP indirecta. Supera las limitaciones de traducción de direcciones de red (NAT) mediante el protocolo Traversal Using Relay NAT (TURN) con una retransmisión entre el cliente y el host de sesión.

Con el transporte basado en el Protocolo de control de transmisión (TCP), el tráfico saliente de una máquina virtual a un cliente RDP fluye a través de una puerta de enlace de Azure Virtual Desktop. Con RDP Shortpath, el tráfico saliente fluye directamente entre el host de sesión y el cliente RDP a través de Internet. Esta configuración ayuda a eliminar un salto y a mejorar la latencia y la experiencia del usuario final.

Recomendaciones
  • Use RDP Shortpath para ayudar a mejorar la latencia y la experiencia del usuario final.
  • Tenga en cuenta la disponibilidad de los modelos de conexión de RDP Shortpath.
  • Tenga en cuenta los cargos de RDP Shortpath.

Pasos siguientes

Ahora que ha examinado las redes y la conectividad en Azure Virtual Desktop, investigue los procedimientos recomendados para supervisar la infraestructura y la carga de trabajo.

Supervisión

Use la herramienta de evaluación para evaluar las opciones de diseño.

Valoración