Considérations relatives à la supervision des charges de travail Azure Virtual Desktop

Cet article décrit la zone de conception de supervision d’une charge de travail Azure Virtual Desktop. Avant de commencer à utiliser Azure Monitor pour Azure Virtual Desktop, vous devez effectuer les étapes suivantes :

• Configurez au moins un espace de travail Log Analytics. Utilisez un espace de travail Log Analytics désigné pour vos hôtes de session Azure Virtual Desktop pour vous assurer que les compteurs de performances et les événements sont collectés uniquement à partir des hôtes de session dans votre déploiement Azure Virtual Desktop.
• Activez la collecte de données pour les éléments suivants de votre espace de travail Log Analytics :
  • Diagnostics de votre environnement Azure Virtual Desktop
  • Compteurs de performances recommandés en fonction de vos hôtes de session Azure Virtual Desktop
  • Journaux d’événements Windows recommandés à partir de vos hôtes de session Azure Virtual Desktop

Les sections suivantes fournissent des considérations relatives à la surveillance de votre environnement Azure Virtual Desktop et à son intégrité.

Important

Cet article fait partie de la série de charges de travail Azure Well-Architected Framework Azure Virtual Desktop . Si vous n’êtes pas familiarisé avec cette série, nous vous recommandons de commencer par Qu’est-ce qu’une charge de travail Azure Virtual Desktop ?.

Surveillance de l’intégrité et de la disponibilité

Impact : Excellence opérationnelle, fiabilité

Azure propose plusieurs services tels qu’Azure Service Health et Azure Resource Health qui vous tiennent informé de l’intégrité de vos ressources cloud.

Service Health

Vous devez utiliser Service Health pour fournir une vue d’ensemble de l’intégrité des services Azure et des régions que vous utilisez. Service Health est le meilleur endroit pour rechercher des notifications sur les événements qui ont un impact sur votre service, tels que les pannes et les activités de maintenance planifiées. Service Health fournit également d’autres avis d’intégrité sur les impacts sur votre environnement Azure Virtual Desktop et l’abonnement associé. L’approche la plus proactive consiste à configurer des alertes Service Health. Vous pouvez recevoir ces alertes via vos canaux de communication préférés. Les alertes vous informent lorsque des problèmes de service, une maintenance planifiée ou d’autres modifications peuvent affecter vos ressources Azure Virtual Desktop. Pour plus d’informations, consultez Configurer les alertes de service.

Intégrité des ressources

Resource Health vous aide à diagnostiquer et à obtenir une prise en charge des problèmes de service qui affectent vos ressources Azure. Des informations sur l’intégrité actuelle et passée de vos ressources sont signalées dans Resource Health. Veillez à configurer des alertes proactives pour vous informer des états d’intégrité des ressources indésirables. Vous pouvez surveiller les types de ressources suivants pour les status d’intégrité des ressources :

• Solutions de stockage Azure pour Azure Virtual Desktop FSLogix et App Attach
• Hôtes de session ou machines virtuelles

Recommandations

• Utilisez Service Health pour rester informé de l’intégrité des services Azure et des régions que vous utilisez.
• Configurez des alertes Service Health afin de rester informé des problèmes de service, de la maintenance planifiée ou d’autres modifications susceptibles d’affecter vos ressources Azure Virtual Desktop.
• Utilisez Resource Health pour surveiller vos machines virtuelles et vos solutions de stockage.
• Configurez Resource Health alertes.

analyse des performances.

Impact : efficacité des performances, excellence opérationnelle

Pour obtenir une visibilité et surveiller les performances, vous devez surveiller les composants critiques de votre environnement Azure Virtual Desktop.

Recommandations relatives à la configuration

Pour vous assurer que vous récupérez les indicateurs de performances clés et les journaux nécessaires à partir de vos entités Azure Virtual Desktop, configurez les données diagnostics suivantes à envoyer à Log Analytics :

• Journaux du pool d’hôtes Azure Virtual Desktop
• Diagnostics d’espace de travail Azure Virtual Desktop
• Diagnostics du groupe d’applications Azure Virtual Desktop
• Diagnostics de stockage
• Données sur les hôtes de session d’un agent Monitor ou d’un agent Log Analytics
• Données de journal des performances et des événements collectées conformément aux règles de collecte des données de l’agent Monitor ou Log Analytics
• Données Azure VM Insights

Options de configuration

Plusieurs options sont disponibles pour configurer les paramètres de diagnostic :

• Classeur de configuration Azure Virtual Desktop Insights. Azure Virtual Desktop Insights est un tableau de bord basé sur des classeurs Monitor qui vous aide à comprendre votre environnement Azure Virtual Desktop. Azure Virtual Desktop Insights fournit un classeur de configuration que vous pouvez utiliser pour :

  • Configurez le pool d’hôtes et les diagnostics d’espace de travail.
  • Activez les agents de supervision sur vos hôtes de session.
  • Configurez les compteurs de performances recommandés et les journaux d’événements pour la surveillance de votre environnement Azure Virtual Desktop.

  Vous pouvez collecter d’autres indicateurs de performances clés en configurant les paramètres de l’agent de votre espace de travail Log Analytics.

• Azure Policy. Vous pouvez utiliser Azure Policy pour vous assurer que les agents de surveillance sont installés sur vos machines virtuelles. Azure Policy prend en charge les agents monitor et les agents de supervision Microsoft.

• Configuration et modèles de déploiement. Vous pouvez utiliser le Portail Azure ou une solution de déploiement déclarative telle que des modèles Azure Resource Manager (modèles ARM), BICEP ou Terraform pour déployer Azure Virtual Desktop. Assurez-vous que les paramètres de diagnostic sont déployés dans le cadre de votre configuration de déploiement Azure Virtual Desktop. Si vous déployez Azure Virtual Desktop via le Portail Azure, vérifiez que les paramètres de diagnostic sont activés. Pour les modèles de déploiement déclaratifs, assurez-vous que les pools hôtes, les espaces de travail ou les groupes d’applications sont déployés avec les paramètres de diagnostic activés. Assurez-vous également que les machines virtuelles sont déployées avec l’agent de supervision Microsoft ou les extensions de l’agent Monitor.

Performances de l’hôte de session

Les compteurs de performances enregistrent la façon dont vos ressources système sont utilisées. L’ingestion des données des compteurs de performances dépend de la taille et de l’utilisation de votre environnement. Il est important de comprendre que chaque compteur de performances envoie des données à une fréquence spécifique. Dans votre classeur de configuration Azure Virtual Desktop Insights, vous pouvez ajuster votre taux d’échantillonnage par minute par défaut. Vous pouvez également modifier ce taux dans vos paramètres. Le facteur de multiplication appliqué à ce taux dépend du compteur.

La liste suivante présente les catégories de métriques de performances et les compteurs de performances que vous pouvez configurer dans chaque catégorie :

• Disque logique
  • Free Space
  • Avg. Disk Queue Length
  • Avg. Disk sec/Transfer
  • Current Disk Queue Length
• Mémoire
  • % Committed Bytes in Use
  • Available Mbytes
  • Page Faults/sec
  • Pages/sec
• Disque physique
  • Avg. Disk Queue Length
  • Avg. Disk sec/Read
  • Avg. Disk sec/Transfer
  • Avg. Disk sec/Write
• Informations sur le processeur
  • % Processor Time
  • RemoteFX network
  • Current TCP RTT
  • Current UDP Bandwidth
  • Terminal Services
  • Active Sessions
  • Inactive Sessions
  • Total Sessions
• Délai d’entrée utilisateur par processus
  • Max Input Delay
• Délai d’entrée utilisateur par session
  • Max Input Delay

Vous pouvez utiliser diagnostics tables dans Log Analytics pour interroger et analyser les informations réseau pour les connexions Azure Virtual Desktop. Les WVDConnectionNetworkData données incluent un ID de corrélation qui correspond à une connexion Azure Virtual Desktop spécifique. Pour chaque session, vous pouvez voir des données de performances critiques telles que le temps d’aller-retour estimé en millisecondes et la bande passante disponible estimée en KBits/s.

Les journaux d’événements Windows sont des sources de données que les agents Log Analytics collectent sur les machines virtuelles Windows. Vous pouvez collecter des événements à partir de journaux standard, tels que les journaux système et d’application. Vous pouvez également collecter des événements à partir de journaux personnalisés créés par des applications que vous devez surveiller. Par défaut, les journaux des types d’événements Windows suivants sont collectés pour Azure Virtual Desktop dans Monitor :

• Application
• Microsoft-Windows-TerminalServices-RemoteConnectionManager/Admin
• Microsoft-Windows-TerminalServices-LocalSessionManager/Operational
• System
• Microsoft-FSLogix-Apps/Operational
• Microsoft-FSLogix-Apps/Admin

Un événement Windows est déclenché chaque fois que les conditions de l’événement sont remplies dans l’environnement. Les machines dans des états sains envoient moins d’événements que les machines dans des états défectueux.

Il est important de surveiller les journaux des événements pour les problèmes de connexion qui peuvent être fournis avec l’agent Azure Virtual Desktop. Pour plus d’informations, consultez Résoudre les problèmes courants liés à l’agent Azure Virtual Desktop.

Seuils de performances de stockage et surveillance

Vous devez surveiller la solution de stockage Azure que vous utilisez pour héberger des profils FSLogix ou des partages App Attach. Il est important de surveiller les emplacements de stockage des profils pour vous assurer que les seuils ne sont pas dépassés, ce qui peut avoir un impact négatif sur votre expérience utilisateur. Pour le stockage, vous devez surveiller la capacité du partage de fichiers pour vous assurer que les quotas de partage de fichiers n’atteignent pas la capacité maximale. Vous devez également surveiller les transactions de partage de fichiers pour vous assurer que les transactions se trouvent dans des seuils définis.

Limites du service

Azure Virtual Desktop a des limites de service que vous devez prendre en compte pendant la phase de conception de votre déploiement. Vous devez également connaître ces limites de service dans les environnements de production, et vous devez signaler de manière proactive ces limites. Les limites sont relativement grandes. Toutefois, dans les déploiements plus grands, où il est plus facile d’atteindre ces limites, il est essentiel de les surveiller. Pour plus d’informations, consultez Limitations d’Azure Virtual Desktop.

Recommandations

• Configurez diagnostics données à envoyer à Log Analytics.
• Sélectionnez parmi les différentes options de configuration des paramètres de diagnostics, telles qu’un classeur de configuration Azure Virtual Desktop Insights, Azure Policy, le Portail Azure ou un modèle.
• Configurez des compteurs de performances afin de disposer d’un enregistrement de la façon dont vos ressources système sont utilisées.
• Utilisez diagnostics tables dans Log Analytics pour interroger et analyser les informations réseau pour les connexions Azure Virtual Desktop.
• Surveillez les journaux des événements pour les problèmes de connexion avec l’agent Azure Virtual Desktop.
• Surveillez la solution de stockage Azure que vous utilisez pour héberger des profils FSLogix ou des partages App Attach.
• Surveillez l’utilisation du service pour vous assurer que votre charge de travail ne dépasse pas les limites.

Surveillance de la sécurité

Impact : Sécurité

Les sections suivantes décrivent plusieurs mesures de surveillance que vous pouvez prendre pour améliorer la sécurité de votre charge de travail.

Microsoft Defender pour le cloud et Microsoft Sentinel

Assurez-vous que les fonctionnalités de sécurité renforcée Microsoft Defender pour le cloud sont activées sur l’abonnement et les hôtes de session Azure Virtual Desktop que vous déployez. Defender pour le cloud fournit une plateforme de protection des charges de travail cloud et une gestion de la posture de sécurité cloud. Vous pouvez utiliser Defender pour le cloud pour gérer les vulnérabilités et évaluer la conformité aux infrastructures courantes telles que l’industrie des cartes de paiement (PCI) et ISO27001. Vous pouvez également utiliser Defender pour le cloud pour renforcer la posture de sécurité globale de votre environnement. Defender pour le cloud utilise l’agent de supervision Microsoft ou l’agent Monitor.

journaux d’audit et d’authentification Microsoft Entra ID

Microsoft Entra ID est la solution d’authentification de première ligne pour Azure Virtual Desktop, quelle que soit la méthode de connexion utilisée par un client. Par conséquent, il est important de collecter Microsoft Entra ID journaux d’authentification et d’audit. Vous pouvez collecter ces journaux d’activité des manières suivantes :

• Dans vos paramètres de diagnostics, configurez les journaux d’audit et les journaux de connexion à envoyer à Log Analytics, où les données peuvent être interrogées et alertées.
• Utilisez un connecteur dans Microsoft Sentinel pour collecter des données à partir de Microsoft Entra ID et les diffuser en continu dans Microsoft Sentinel.

Les journaux des événements de sécurité

Vous devez collecter les journaux des événements de sécurité à partir de vos hôtes de session Azure Virtual Desktop. Il est judicieux d’ajouter ces journaux à un dépôt centralisé pour les événements de sécurité qui impliquent vos hôtes Azure Virtual Desktop. Vous pouvez utiliser le référentiel pour stocker et interroger les journaux. Vous pouvez utiliser l’une des options suivantes pour collecter les journaux :

• Utilisez une règle de collecte de données de l’agent Monitor pour collecter les journaux des événements de sécurité. Cette option est recommandée.
• Utilisez un agent de surveillance Microsoft pour collecter les journaux pour Microsoft Sentinel, ou utilisez un connecteur d’agent hérité pour collecter les événements de sécurité.
• Utilisez un agent de supervision Microsoft pour collecter des événements de sécurité pour Defender pour le cloud.

Maintenir la conformité

Les mises à jour de sécurité mensuelles sont essentielles pour l’intégrité et la sécurité globales de votre environnement Azure Virtual Desktop. Veillez à mettre à jour régulièrement votre environnement Azure Virtual Desktop en installant de nouvelles images ou à l’aide d’un outil de gestion des mises à jour. Il est préférable d’effectuer des rapports de conformité mensuels et une surveillance de la conformité globale des mises à jour de votre environnement. Cette pratique permet de garantir que les administrateurs et l’équipe de sécurité d’Azure Virtual Desktop restent conscients de la conformité globale status de votre environnement.

Recommandations

• Utilisez Defender pour le cloud pour gérer les vulnérabilités et évaluer la conformité avec les infrastructures courantes.
• Utilisez Defender pour le cloud pour renforcer la posture de sécurité globale de votre environnement.
• Collectez Microsoft Entra ID journaux d’authentification et d’audit.
• Stockez les journaux des événements de sécurité à partir de vos hôtes de session Azure Virtual Desktop dans un dépôt.
• Mettez régulièrement à jour votre environnement Azure Virtual Desktop.
• Effectuer des rapports de conformité mensuels.

Rapports

Impact : Excellence opérationnelle

Plusieurs options sont disponibles pour la création de rapports Azure Virtual Desktop :

• Azure Virtual Desktop Insights. Ce tableau de bord fournit de nombreuses informations et visualisations nécessaires pour comprendre et surveiller votre environnement Azure Virtual Desktop.
• Classeurs et outils de création de rapports externes. Dans certains scénarios, il est utile d’avoir un classeur et un tableau de bord personnalisés. Vous pouvez créer vos propres rapports ou classeurs en utilisant des tables Log Analytics et des résultats de requête Azure Resource Graph comme sources de données. Resource Graph est un service que vous pouvez utiliser pour créer des rapports sur des objets Azure Virtual Desktop tels que des pools hôtes, des espaces de travail, des composants de calcul et des solutions de stockage. Les données sont renseignées dans les solutions personnalisées uniquement si vous activez diagnostics pour les objets Azure Virtual Desktop et si vous utilisez un agent de supervision pris en charge pour collecter des données de journal des performances et des événements. Les tables Log Analytics suivantes sont disponibles en tant que sources de données :
  • Tables Log Analytics Azure Virtual Desktop
    • WVDAgentHealthStatus
    • WVDCheckpoints
    • WVDConnectionGraphicsDataPreview
    • WVDConnectionNetworkData
    • WVDConnections
    • WVDErrors
    • WVDFeeds
    • WVDHostRegistrations
    • WVDManagement
  • Table des compteurs de performances
    • Perf
    • InsightMetrics (uniquement si la fonctionnalité Vm Insights est activée)
  • Tables d’événements
    • Event

Recommandations

• Envisagez d’utiliser Azure Virtual Desktop Insights pour la création de rapports.
• Utilisez des tables Log Analytics et Resource Graph résultats de requête comme sources de données lorsque vous créez des tableaux de bord personnalisés.

Génération d’alertes

Impact : efficacité des performances, excellence opérationnelle

Utilisez l’infrastructure Surveiller les alertes ou une solution de supervision équivalente pour rester informé des performances et de la sécurité d’Azure Virtual Desktop. Vous pouvez configurer des alertes personnalisées pour les types d’événements, de diagnostics et de ressources Azure Virtual Desktop suivants :

• Performances des machines virtuelles
• Événements critiques, tels que les événements d’application avec id 3702 ou 3703 pour les problèmes d’état indisponible sur les hôtes de session
• Service Health
• Intégrité des ressources
• Données de diagnostic Azure Virtual Desktop
• Packages de profil et d’attachement d’application
• Defender pour le cloud

Recommandations

• Utilisez des alertes pour rester informé des performances et de la sécurité d’Azure Virtual Desktop.
• Configurez des alertes pour différents événements, diagnostics et ressources Azure Virtual Desktop.

Étapes suivantes

Maintenant que vous avez examiné les meilleures pratiques d’observabilité dans Azure Virtual Desktop, explorez les mécanismes, les outils et les périmètres que vous pouvez utiliser pour sécuriser davantage vos charges de travail Azure Virtual Desktop.

Gestion de la sécurité et des identités et des accès (IAM)

Utilisez l’outil d’évaluation pour évaluer vos choix de conception.

Évaluation