Partage via

Considérations relatives à la mise en réseau et à la connectivité pour les charges de travail Azure Virtual Desktop

  • Article

Cet article décrit le domaine de conception de la mise en réseau et de la connectivité d’une charge de travail Azure Virtual Desktop. Il est essentiel de concevoir et d’implémenter des fonctionnalités de mise en réseau Azure pour votre zone d’atterrissage Azure Virtual Desktop. Cet article utilise plusieurs principes et recommandations d’architecture de zone d’atterrissage à l’échelle de l’entreprise Azure Well-Architected Framework. En s’appuyant sur ces conseils, cet article vous montre comment gérer la topologie et la connectivité réseau à grande échelle.

Important

Cet article fait partie de la série de charges de travail Azure Well-Architected Framework Azure Virtual Desktop . Si vous n’êtes pas familiarisé avec cette série, nous vous recommandons de commencer par Qu’est-ce qu’une charge de travail Azure Virtual Desktop ?.

Latence du client

Impact : Efficacité des performances

La latence entre les utilisateurs finaux et les hôtes de session est un aspect clé qui affecte l’expérience utilisateur d’Azure Virtual Desktop. Vous pouvez utiliser l’outil Estimateur d’expérience Azure Virtual Desktop pour vous aider à estimer les temps d’aller-retour (RTT) de connexion. Plus précisément, cet outil estime les RTT des emplacements des utilisateurs via le service Azure Virtual Desktop vers chaque région Azure dans laquelle vous déployez des machines virtuelles.

Pour évaluer la qualité de votre expérience utilisateur finale :

  • Testez les latences de bout en bout dans les environnements de développement, de test et de preuve de concept. Ce test doit prendre en compte l’expérience réelle de vos utilisateurs. Il doit prendre en compte des facteurs tels que les conditions réseau, les appareils des utilisateurs finaux et la configuration des machines virtuelles déployées.
  • N’oubliez pas que la latence n’est qu’un aspect de la connectivité avec les protocoles distants. La bande passante et la charge de travail utilisateur affectent également l’expérience de l’utilisateur final.
Recommandations
  • Utilisez l’estimateur d’expérience Azure Virtual Desktop pour collecter des valeurs de latence estimées.
  • Testez les latences de vos réseaux virtuels Azure vers vos systèmes locaux.
  • Utilisez un tunnel fractionné basé sur le protocole UDP (User Datagram Protocol) pour les clients qui utilisent une connexion VPN point à site (P2S).
  • Utilisez Le protocole RDP (Remote Desktop Protocol) Shortpath avec un réseau managé pour les clients sur site qui utilisent un VPN ou Azure ExpressRoute.

Connectivité locale (mise en réseau hybride)

Impact : efficacité des performances, excellence opérationnelle

Certaines organisations utilisent des modèles hybrides qui incluent des ressources locales et cloud. Dans de nombreux cas hybrides, les flux de travail des utilisateurs finaux qui s’exécutent sur Azure Virtual Desktop doivent atteindre des ressources locales telles que des services partagés ou de plateforme, des données ou des applications.

Lorsque vous implémentez un réseau hybride, passez en revue les meilleures pratiques et recommandations dans l’article topologie et connectivité réseau Cloud Adoption Framework.

Il est important de s’aligner sur le modèle de mise à l’échelle Azure Virtual Desktop décrit dans Intégrer une charge de travail Azure Virtual Desktop avec des zones d’atterrissage Azure. Pour suivre ce modèle :

  • Évaluez les exigences en matière de latence et de bande passante des workflows Azure Virtual Desktop qui se connectent aux systèmes locaux. Ces informations sont cruciales lorsque vous concevez votre architecture réseau hybride.
  • Vérifiez qu’il n’y a pas de chevauchement d’adresses IP entre vos sous-réseaux Azure Virtual Desktop et vos réseaux locaux. Nous vous recommandons d’affecter la tâche d’adressage IP aux architectes réseau qui sont les propriétaires de votre abonnement de connectivité.
  • Donnez à chaque zone d’atterrissage Azure Virtual Desktop sa propre configuration de réseau virtuel et de sous-réseau.
  • Dimensionner les sous-réseaux de manière appropriée en tenant compte de la croissance potentielle lorsque vous déterminez la quantité d’espace d’adressage IP nécessaire.
  • Utilisez la notation de routage inter-domaines sans classe (CIDR) d’IP intelligente pour éviter de gaspiller l’espace d’adressage IP.
Recommandations
  • Passez en revue les meilleures pratiques pour connecter des réseaux virtuels Azure à des systèmes locaux.
  • Testez les latences de vos réseaux virtuels Azure vers vos systèmes locaux.
  • Assurez-vous qu’aucune adresse IP qui se chevauche n’est utilisée dans votre zone d’atterrissage Azure Virtual Desktop.
  • Donnez à chaque zone d’atterrissage Azure Virtual Desktop sa propre configuration de réseau virtuel et de sous-réseau.
  • Tenez compte de la croissance potentielle lorsque vous dimensionner des sous-réseaux Azure Virtual Desktop.

Connectivité multirégion

Impact : efficacité des performances, optimisation des coûts

Pour que votre déploiement azure Virtual Desktop multirégion offre la meilleure expérience possible à vos utilisateurs finaux, votre conception doit prendre en compte les facteurs suivants :

  • Services de plateforme, tels que les services d’identité, de résolution de noms, de connectivité hybride et de stockage. La connectivité des hôtes de session Azure Virtual Desktop à ces services est essentielle pour que le service soit fonctionnel. Par conséquent, la conception idéale vise à réduire la latence des sous-réseaux de zone d’atterrissage Azure Virtual Desktop vers ces services. Vous pouvez atteindre cet objectif en répliquant les services dans chaque région ou en les rendant disponibles via la connexion avec la latence la plus faible possible.
  • Latence de l’utilisateur final. Lorsque vous sélectionnez des emplacements à utiliser pour un déploiement azure Virtual Desktop multirégion, il est important de tenir compte de la latence que rencontrent les utilisateurs lorsqu’ils se connectent au service. Nous vous recommandons de collecter des données de latence à partir de votre population d’utilisateurs finaux à l’aide de l’estimateur d’expérience Azure Virtual Desktop lorsque vous sélectionnez les régions Azure dans lesquelles déployer vos hôtes de session.

Prenez également en considération les facteurs suivants :

  • Dépendances d’application entre les régions.
  • Disponibilité de la référence SKU de machine virtuelle.
  • Coûts de mise en réseau associés à la sortie d’Internet, au trafic interrégion et au trafic hybride (local) requis par vos dépendances d’application ou de charge de travail.
  • Charge supplémentaire que la fonctionnalité de cache cloud FSLogix place sur le réseau. Ce facteur n’est pertinent que si vous utilisez cette fonctionnalité pour répliquer des données de profil utilisateur entre différentes régions. Tenez également compte du coût de l’augmentation du trafic réseau et du stockage utilisé par cette fonctionnalité.

Si possible, utilisez des références SKU de machine virtuelle qui offrent un réseau accéléré. Dans les charges de travail qui utilisent une bande passante élevée, la mise en réseau accélérée peut réduire l’utilisation et la latence du processeur.

La bande passante disponible de votre réseau a un impact considérable sur la qualité de vos sessions à distance. Par conséquent, il est recommandé d’évaluer les besoins en bande passante réseau pour les utilisateurs afin de s’assurer qu’une bande passante suffisante est disponible pour les dépendances locales.

Recommandations
  • Répliquez les services partagés et de plateforme dans chaque région chaque fois que vos stratégies internes vous le permettent.
  • Utilisez des références SKU de machine virtuelle qui offrent une mise en réseau accélérée si possible.
  • Incluez les estimations de latence de l’utilisateur final dans votre processus de sélection de région.
  • Prenez en compte les types de charge de travail lorsque vous estimez les besoins en bande passante et surveillez les connexions d’utilisateurs réels.

Sécurité du réseau

Impact : sécurité, optimisation des coûts, excellence opérationnelle

Traditionnellement, la sécurité réseau a été le pivot des efforts de sécurité de l’entreprise. Mais le cloud computing a accru la nécessité de rendre les périmètres réseau plus poreux, et de nombreux attaquants ont maîtrisé l’art des attaques contre les éléments du système d’identité. Les points suivants fournissent une vue d’ensemble des exigences minimales de pare-feu pour le déploiement d’Azure Virtual Desktop. Cette section fournit également des recommandations pour se connecter à un pare-feu et atteindre les applications qui nécessitent ce service.

  • Les contrôles réseau traditionnels basés sur une approche intranet fiable ne fournissent pas efficacement d’garanties de sécurité pour les applications cloud.
  • L’intégration des journaux d’activité à partir d’appareils réseau et du trafic réseau brut offre une visibilité sur les menaces de sécurité potentielles.
  • La plupart des organisations finissent par ajouter à leurs réseaux plus de ressources que celles initialement prévues. Par conséquent, les schémas d’adresse IP et de sous-réseau doivent être refactoris pour prendre en charge les ressources supplémentaires. Ce processus est exigeant en main-d’œuvre. La valeur de sécurité est limitée dans la création d’un grand nombre de petits sous-réseaux, puis dans la tentative de mapper les contrôles d’accès réseau, tels que les groupes de sécurité, à chacun d’eux.

Pour obtenir des informations générales sur la protection des ressources en plaçant des contrôles sur le trafic réseau, consultez Recommandations pour la mise en réseau et la connectivité.

Recommandations
  • Comprenez les configurations nécessaires pour utiliser Pare-feu Azure dans votre déploiement. Pour plus d’informations, consultez Utiliser le Pare-feu Azure pour protéger les déploiements Azure Virtual Desktop.
  • Créez des groupes de sécurité réseau et des groupes de sécurité d’application pour segmenter votre trafic Azure Virtual Desktop. Cette pratique vous aide à isoler vos sous-réseaux en contrôlant leurs flux de trafic.
  • Utilisez des balises de service au lieu d’adresses IP spécifiques pour les services Azure. Étant donné que les adresses changent, cette approche réduit la complexité de la mise à jour fréquente des règles de sécurité réseau.
  • Familiarisez-vous avec les URL requises pour Azure Virtual Desktop.
  • Utilisez une table de routage pour permettre au trafic Azure Virtual Desktop de contourner toutes les règles de tunneling forcé que vous utilisez pour acheminer le trafic vers un pare-feu ou un Appliance virtuel réseau (NVA). Sinon, le tunneling forcé peut affecter les performances et la fiabilité de la connectivité de vos clients.
  • Utilisez des points de terminaison privés pour protéger des solutions PaaS (Platform as a Service) telles que Azure Files et Azure Key Vault. Mais tenez compte du coût de l’utilisation de points de terminaison privés.
  • Ajustez les options de configuration pour Azure Private Link. Lorsque vous utilisez ce service avec Azure Virtual Desktop, vous pouvez désactiver les points de terminaison publics pour les composants du plan de contrôle Azure Virtual Desktop et utiliser des points de terminaison privés pour éviter d’utiliser des adresses IP publiques.
  • Implémentez des stratégies de pare-feu strictes si vous utilisez services de domaine Active Directory (AD DS). Basez ces stratégies sur le trafic requis dans votre domaine.
  • Envisagez d’utiliser le filtrage web Pare-feu Azure ou NVA pour protéger l’accès de vos utilisateurs finaux à Internet à partir des hôtes de session Azure Virtual Desktop.

Impact : Sécurité

Par défaut, les connexions aux ressources Azure Virtual Desktop sont établies via un point de terminaison accessible publiquement. Dans certains scénarios, le trafic doit utiliser des connexions privées. Ces scénarios peuvent utiliser Private Link pour se connecter en privé à des ressources Azure Virtual Desktop distantes. Pour plus d’informations, consultez Azure Private Link avec Azure Virtual Desktop. Lorsque vous créez un point de terminaison privé, le trafic entre votre réseau virtuel et le service reste sur le réseau Microsoft. Votre service n’est pas exposé à l’Internet public.

Vous pouvez utiliser des points de terminaison privés Azure Virtual Desktop pour prendre en charge les scénarios suivants :

  • Vos clients ou utilisateurs finaux et vos machines virtuelles hôtes de session utilisent tous deux des itinéraires privés.
  • Vos clients ou utilisateurs finaux utilisent des routes publiques tandis que vos machines virtuelles hôtes de session utilisent des routes privées.

Les hôtes de session Azure Virtual Desktop ont les mêmes exigences de résolution de noms que toutes les autres charges de travail IaaS (Infrastructure as a Service). Par conséquent, les hôtes de session nécessitent une connectivité aux services de résolution de noms configurés pour résoudre les adresses IP de point de terminaison privé. Par conséquent, lorsque vous utilisez des points de terminaison privés, vous devez configurer des paramètres DNS spécifiques. Pour plus d’informations, consultez Configuration DNS du point de terminaison privé Azure.

Private Link est également disponible pour d’autres services Azure qui fonctionnent conjointement avec Azure Virtual Desktop, tels que Azure Files et Key Vault. Nous vous recommandons également d’implémenter des points de terminaison privés pour ces services afin de garder le trafic privé.

Recommandations

RDP Shortpath

Impact : efficacité des performances, optimisation des coûts

RDP Shortpath est une fonctionnalité d’Azure Virtual Desktop disponible pour les réseaux managés et non managés.

  • Pour les réseaux managés, RDP Shortpath établit une connexion directe entre un client Bureau à distance et un hôte de session. Le transport est basé sur UDP. En supprimant des points de relais supplémentaires, RDP Shortpath réduit le temps d’aller-retour, ce qui améliore l’expérience utilisateur dans les applications sensibles à la latence et les méthodes d’entrée. Pour prendre en charge RDP Shortpath, un client Azure Virtual Desktop a besoin d’une ligne de vue directe sur l’hôte de session. Le client doit également installer le client Windows Desktop et exécuter Windows 11 ou Windows 10.
  • Pour les réseaux non managés, deux types de connexions sont possibles :
    • La connectivité directe est établie entre le client et l’hôte de session. La traversée simple sous la traduction d’adresses réseau (STUN) et l’établissement de connectivité interactive (ICE) sont utilisés pour établir la connexion. Cette configuration améliore la fiabilité du transport pour Azure Virtual Desktop. Pour plus d’informations, consultez Fonctionnement de RDP Shortpath.
    • Une connexion UDP indirecte est établie. Il surmonte les limitations de traduction d’adresses réseau (NAT) en utilisant le protocole TURN (Traversal Using Relay NAT) avec un relais entre le client et l’hôte de session.

Avec le transport basé sur le protocole TCP (Transmission Control Protocol), le trafic sortant d’une machine virtuelle vers un client RDP transite par une passerelle Azure Virtual Desktop. Avec RDP Shortpath, le trafic sortant circule directement entre l’hôte de session et le client RDP via Internet. Cette configuration permet d’éliminer un tronçon et d’améliorer la latence et l’expérience de l’utilisateur final.

Recommandations
  • Utilisez RDP Shortpath pour améliorer la latence et l’expérience de l’utilisateur final.
  • Tenez compte de la disponibilité des modèles de connexion RDP Shortpath.
  • Tenez compte des frais liés à RDP Shortpath.

Étapes suivantes

Maintenant que vous avez examiné la mise en réseau et la connectivité dans Azure Virtual Desktop, examinez les meilleures pratiques pour la surveillance de votre infrastructure et de votre charge de travail.

Surveillance

Utilisez l’outil d’évaluation pour évaluer vos choix de conception.

Évaluation