Partager via

Architecture et résilience du service Azure Virtual Desktop

Azure Virtual Desktop est conçu pour fournir un service résilient, fiable et sécurisé pour les organisations et les utilisateurs. L’architecture d’Azure Virtual Desktop comprend de nombreux composants qui composent le service qui connecte les utilisateurs à leurs bureaux et applications. La plupart des composants sont gérés par Microsoft, mais certains sont gérés par le client ou par un partenaire.

Microsoft fournit les composants VDI (Virtual Desktop Infrastructure) pour les fonctionnalités de base en tant que service. Ces composants sont les suivants :

  • Service web : le site web et le point de terminaison accessibles à l’utilisateur, et retourne les informations de connexion à l’appareil de l’utilisateur.
  • Service Broker : orchestre les connexions entrantes.
  • Service de passerelle : service websocket qui fournit la connectivité RDP (Remote Desktop Protocol) à partir de l’appareil d’un utilisateur où qu’il se connecte aux hôtes de session fournissant leurs ordinateurs de bureau et applications.
  • Répertoire de ressources : fournit des informations pour indiquer au service web laquelle des plusieurs bases de données géographiques héberge les informations de connexion requises pour chaque utilisateur.
  • Base de données géographique : contient les fichiers de connexion (.rdp) et les icônes pour chaque ressource provisionnée par un utilisateur.

En outre, Azure Virtual Desktop utilise d’autres services Azure globaux, tels qu’Azure Traffic Manager et Azure Front Door , pour diriger les utilisateurs vers leurs points d’entrée Azure Virtual Desktop les plus proches.

Vous êtes responsable de la création et de la gestion des hôtes de session, notamment les personnalisations et applications d’image du système d’exploitation, la connectivité de réseau virtuel, la résilience et la sauvegarde et la récupération de ces hôtes de session. Vous fournissez et gérez également les identités des utilisateurs et contrôlez l’accès au service. Vous pouvez utiliser d’autres services Azure pour répondre à vos besoins, par exemple :

  • Zones de disponibilité Azure pour distribuer vos hôtes de session entre des emplacements de centre de données physiquement distincts au sein d’une région Azure, chacun avec une alimentation, un refroidissement et un réseau indépendants.
  • Sauvegarde Azure sauvegarder et restaurer vos hôtes de session.
  • Azure Site Recovery répliquer vos hôtes de session dans une autre région Azure.
  • Azure Advisor pour vous aider à optimiser vos ressources Azure.

Ce diagramme de haut niveau montre les composants et les responsabilités :

Diagramme montrant qui gère les composants d’Azure Virtual Desktop.

Connexions utilisateur

Lorsqu’un utilisateur souhaite accéder à ses bureaux et applications dans Azure Virtual Desktop, plusieurs composants sont impliqués dans la réussite de cette connexion. Il existe deux séquences distinctes :

  1. Découverte de flux. Le flux est la liste des bureaux et des applications disponibles pour l’utilisateur.
  2. Connexion via le protocole Bureau à distance à un hôte de session.

Découverte de flux

Lors de la découverte du flux, les bureaux et les applications disponibles pour l’utilisateur sont renseignés dans l’application sur son appareil local. Le flux contient toutes les informations nécessaires à la connexion.

Le processus de découverte de flux est le suivant :

  1. L’utilisateur peut se trouver n’importe où dans le monde. Azure Traffic Manager achemine l’appareil de l’utilisateur vers le instance le plus proche du service web Azure Virtual Desktop en fonction de la méthode de routage du trafic géographique, qui utilise l’adresse IP source de l’appareil de l’utilisateur.

  2. Le service web se connecte au service broker Azure Virtual Desktop dans la même région Azure pour récupérer les fichiers RDP et les icônes d’application pour le flux de l’utilisateur. Le service broker se connecte à la base de données géographique et au répertoire des ressources Azure Virtual Desktop dans la même région pour récupérer les informations.

  3. Le service broker retourne les fichiers RDP et les icônes d’application au service web, qui retourne les informations à l’appareil de l’utilisateur.

    Voici un diagramme de haut niveau montrant le processus de découverte de flux dans une seule région Azure :

    Diagramme montrant le processus de découverte de flux dans une seule région Azure.

    La base de données géographique contient uniquement les informations requises pour les ordinateurs de bureau et les applications des pools d’hôtes dans les mêmes régions Azure couvertes par la zone géographique. Si l’utilisateur est affecté à des bureaux ou des applications à partir d’un pool d’hôtes couvert par une autre zone géographique, le répertoire de ressources indique au service web de se connecter au service broker et à la base de données géographique dans la région Azure appropriée.

    Voici un diagramme de haut niveau montrant le processus de découverte de flux pour un pool d’hôtes dans une région Azure couverte par une autre zone géographique :

    Diagramme montrant le processus de découverte de flux pour un pool d’hôtes dans une région Azure couverte par une autre zone géographique.

Connexion RDP

Lorsqu’un utilisateur se connecte à un bureau ou à une application à partir de son flux, la connexion RDP est établie comme suit :

  1. Toutes les sessions à distance commencent par une connexion à Azure Front Door, qui fournit le point d’entrée global à Azure Virtual Desktop. Azure Front Door détermine le service de passerelle Azure Virtual Desktop avec la latence la plus faible pour l’appareil de l’utilisateur et dirige la connexion vers celui-ci

  2. Le service de passerelle se connecte au service Broker dans la même région Azure. Le service de passerelle permet aux hôtes de session d’être dans n’importe quelle région et d’être toujours accessibles aux utilisateurs.

  3. Le service broker prend le relais et orchestre la connexion entre l’appareil de l’utilisateur et l’hôte de session. Le service broker indique à l’agent Azure Virtual Desktop en cours d’exécution sur l’hôte de session de se connecter au service de passerelle via lequel l’appareil de l’utilisateur s’est connecté.

  4. À ce stade, l’un des deux types de connexion est créé, en fonction de la configuration et des protocoles réseau disponibles :

    1. Transport de connexion inversée : une fois que le client et l’hôte de session se sont connectés au service de passerelle, il commence à relayer le trafic RDP à l’aide du protocole TCP (Transmission Control Protocol) entre le client et l’hôte de session. Le transport de connexion inverse est le type de connexion par défaut.

    2. RDP Shortpath : un transport UDP (User Datagram Protocol) direct est créé entre l’appareil de l’utilisateur et l’hôte de session, en contournant le service de passerelle.

Voici un diagramme général montrant le processus de connexion RDP :

Diagramme montrant le processus de connexion RDP.

Conseil

Vous trouverez des informations techniques plus détaillées sur la connectivité réseau dans Présentation de la connectivité réseau Azure Virtual Desktop et RDP Shortpath pour Azure Virtual Desktop.

Résilience du service

Azure Virtual Desktop est conçu pour être résilient aux défaillances et fournir un service fiable aux utilisateurs. Le service est conçu pour être résilient aux défaillances de composants individuels et pour pouvoir récupérer rapidement après des défaillances.

Les composants gérés par Microsoft d’Azure Virtual Desktop se trouvent actuellement dans environ 40 régions Azure pour être plus proches des utilisateurs et fournir un service résilient. La résilience a été implémentée globalement, géographiquement et au sein d’une région Azure des manières suivantes :

  • Azure Traffic Manager dirige le trafic pour le service web et Azure Front Door dirige le trafic pour le service de passerelle. En cas de panne entraînant l’indisponibilité du service web ou du service de passerelle d’une région Azure, ou d’une panne complète de la région, le trafic est redirigé vers le instance disponible le plus proche dans la région la plus proche. La redirection du trafic permet aux utilisateurs d’établir de nouvelles connexions.

  • La base de données géographique utilise Azure SQL fonctionnalités de basculement de base de données et de réplication des données dans chaque zone géographique. En cas de panne de la base de données, la base de données bascule vers le réplica secondaire et le fonctionnement normal reprend. Pendant le basculement, les nouvelles connexions échouent pendant une courte période jusqu’à ce que le basculement soit terminé, mais ce basculement n’affecte pas les connexions existantes.

  • L’annuaire de ressources, le service broker, le service web et le service de passerelle sont tous disponibles dans chacune des régions Azure où se trouvent les composants gérés par Microsoft pour Azure Virtual Desktop. Chaque composant a plusieurs instances de sorte qu’il n’y a pas un point de défaillance unique. Dans chaque région Azure, il existe au moins six instances ou clusters distincts et distincts de chaque composant qui fonctionnent indépendamment pour résister aux défaillances instance.

    Par exemple, une région a suffisamment d’instances du service de passerelle pour répondre à la demande, mais également avec une capacité suffisante pour prendre également en charge les défaillances de ces instances. Si une instance du service de passerelle échoue, toutes les connexions RDP basées sur TCP qui sont relayées via cette instance particulière du service de passerelle sont supprimées. Lorsque ces utilisateurs déconnectés se reconnectent, les instances restantes gèrent les demandes et reconnectent chaque utilisateur à leur session existante. Toutes les autres sessions gérées par d’autres instances du service de passerelle ne sont pas affectées.

Voici un diagramme de haut niveau montrant comment les composants gérés par Microsoft sont interconnectés :

Diagramme montrant comment les composants gérés par Microsoft sont interconnectés.

Les autres services Azure sur lesquels Azure Virtual Desktop s’appuie sont eux-mêmes conçus pour être résilients et fiables. Pour plus d’informations, consultez Azure Traffic Manager et Azure Front Door.

Portée mondiale

Azure Virtual Desktop est un service qui peut aider les organisations à s’adapter aux demandes de leurs employés, en particulier en travaillant à distance. Il offre un moyen sécurisé, fiable et flexible de fournir des bureaux et des applications pratiquement n’importe où. Azure Virtual Desktop est conçu pour être résilient, en utilisant des fonctionnalités et des services Azure qui permettent de garantir un service hautement disponible pour vos charges de travail.

Voici une carte illustrant la portée globale d’Azure Virtual Desktop :

Carte illustrant la portée globale d’Azure Virtual Desktop.

Contenu connexe

Pour en savoir plus sur les emplacements où Azure Virtual Desktop a stocké des données pour les objets de service, consultez Emplacements des données pour Azure Virtual Desktop.