Nagyvállalati Azure Virtual Desktop

Microsoft Entra ID

Microsoft Entra

Azure Virtual Network

Azure Virtual Desktop

Az Azure Virtual Desktop egy asztali és alkalmazásvirtualizálási szolgáltatás, amely az Azure-ban fut. Ez a cikk segítséget nyújt az asztali infrastruktúra tervezőinek, felhőmérnökeinek, asztali rendszergazdáinak és rendszergazdáinak az Azure Virtual Desktop megismerésében és a virtualizált asztali infrastruktúra (VDI)) megoldások nagyvállalati szintű kiépítésében. A nagyvállalati szintű megoldások általában 1000 vagy több virtuális asztalt fednek le.

Architektúra

Az Azure Virtual Desktop tipikus architektúrabeállítását az alábbi ábra szemlélteti:

Töltse le az architektúra Visio-fájlját .

Adatfolyam

A diagram adatfolyam-elemeit az alábbiakban ismertetjük:

• Az alkalmazásvégpontok egy ügyfél helyszíni hálózatában találhatók. Az Azure ExpressRoute kiterjeszti a helyszíni hálózatot az Azure-ra, a Microsoft Entra Connect pedig integrálja az ügyfél Active Directory tartományi szolgáltatások (AD DS) és a Microsoft Entra ID azonosítóját.

• Az Azure Virtual Desktop vezérlősíkja kezeli a webes hozzáférést, az átjárót, a közvetítőt, a diagnosztikát és a bővíthetőségi összetevőket, például a REST API-kat.

• Az ügyfél kezeli az AD DS-t és a Microsoft Entra-azonosítót, az Azure-előfizetéseket, a virtuális hálózatokat, az Azure Filest vagy az Azure NetApp Filest, valamint az Azure Virtual Desktop gazdagépkészleteit és munkaterületeit.

• A kapacitás növelése érdekében az ügyfél két Azure-előfizetést használ küllős architektúrában, és virtuális hálózati társviszony-létesítésen keresztül csatlakoztatja őket.

Az FSLogix-profiltároló – Azure Files és az Azure NetApp Files ajánlott eljárásairól további információt az FSLogix konfigurációs példáiban talál.

Összetevők

Az Azure Virtual Desktop szolgáltatásarchitektúrája hasonló a Windows Server Remote Desktop Services (RDS) szolgáltatáshoz. Bár a Microsoft kezeli az infrastruktúrát és a közvetítő összetevőket, a nagyvállalati ügyfelek saját asztali gazda virtuális gépeket (virtuális gépeket), adatokat és ügyfeleket kezelnek.

A Microsoft által kezelt összetevők

A Microsoft az Azure részeként a következő Azure Virtual Desktop-szolgáltatásokat kezeli:

• Webhozzáférés: Az Azure Virtual Desktop Web Access szolgáltatásának használatával a virtuális asztalokat és a távoli alkalmazásokat egy HTML5-kompatibilis webböngészőn keresztül érheti el, ugyanúgy, mint egy helyi PC-vel, bárhonnan és bármilyen eszközről. A webes hozzáférést többtényezős hitelesítéssel biztosíthatja a Microsoft Entra ID-ban.

• Átjáró: A Távoli kapcsolati átjáró szolgáltatás távoli felhasználókat csatlakoztat az Azure Virtual Desktop-alkalmazásokhoz és -asztalokhoz minden olyan internetkapcsolattal rendelkező eszközről, amely képes Azure Virtual Desktop-ügyfelet futtatni. Az ügyfél egy átjáróhoz csatlakozik, amely ezután egy virtuális gépről ugyanarra az átjáróra létesít kapcsolatot.

• Kapcsolatszervező: A Kapcsolatszervező szolgáltatás kezeli a virtuális asztalokhoz és távoli alkalmazásokhoz való felhasználói kapcsolatokat. A Connection Broker terheléselosztást és újracsatlakozást biztosít a meglévő munkamenetekhez.

• Diagnosztikák: A távoli asztali diagnosztika egy eseményalapú összesítő, amely sikeres vagy sikertelenként jelöli meg az Azure Virtual Desktop üzembe helyezésével kapcsolatos egyes felhasználói vagy rendszergazdai műveletet. A rendszergazdák lekérdezhetik az esemény-összesítést a hibás összetevők azonosításához.

• Bővíthetőségi összetevők: Az Azure Virtual Desktop számos bővíthetőségi összetevőt tartalmaz. Az Azure Virtual Desktopot a Windows PowerShell vagy a megadott REST API-k segítségével kezelheti, amelyek külső eszközök támogatását is lehetővé teszik.

Ön által kezelt összetevők

Az Azure Virtual Desktop-megoldások alábbi összetevőit kezelheti:

• Azure Virtual Network: Az Azure Virtual Network használatával az Azure-erőforrások, például a virtuális gépek privát módon kommunikálhatnak egymással és az internettel. Az Azure Virtual Desktop gazdagépkészleteinek Active Directory-tartományhoz való csatlakoztatásával hálózati topológiát határozhat meg a virtuális asztalok és virtuális alkalmazások intranetről vagy internetről való eléréséhez a szervezeti szabályzat alapján. Egy Azure Virtual Desktop-példányt csatlakoztathat egy helyszíni hálózathoz egy virtuális magánhálózat (VPN) használatával, vagy az Azure ExpressRoute használatával kiterjesztheti a helyszíni hálózatot az Azure-ba egy privát kapcsolaton keresztül.

• Microsoft Entra-azonosító: Az Azure Virtual Desktop a Microsoft Entra-azonosítót használja az identitás- és hozzáférés-kezeléshez. A Microsoft Entra-integráció a Microsoft Entra biztonsági funkcióit, például a feltételes hozzáférést, a többtényezős hitelesítést és az intelligens biztonsági gráfot alkalmazza, és segít fenntartani az alkalmazáskompatibilitást a tartományhoz csatlakoztatott virtuális gépeken.

• Active Directory Domain Services (nem kötelező):: Az Azure Virtual Desktop virtuális gépek tartományhoz csatlakoztathatók egy AD DS-szolgáltatáshoz , vagy a Microsoft Entra-hoz csatlakoztatott virtuális gépek üzembe helyezése az Azure Virtual Desktopban

  • AD DS-tartomány használatakor a tartománynak szinkronban kell lennie a Microsoft Entra-azonosítóval a felhasználók két szolgáltatás közötti társításához. A Microsoft Entra Connect használatával társíthatja az AD DS-t a Microsoft Entra ID azonosítójával.
  • A Microsoft Entra join használata esetén tekintse át a támogatott konfigurációkat , hogy a forgatókönyv támogatott legyen.

• Azure Virtual Desktop-munkamenet-gazdagépek: A munkamenet-gazdagépek olyan virtuális gépek, amelyekhez a felhasználók asztali gépeikhez és alkalmazásaikhoz csatlakoznak. A Windows több verziója is támogatott, és rendszerképeket hozhat létre az alkalmazásokkal és a testreszabásokkal. Választhat virtuálisgép-méreteket, beleértve a GPU-kompatibilis virtuális gépeket is. Minden munkamenet-gazdagép rendelkezik egy Azure Virtual Desktop-gazdagépügynökkel, amely regisztrálja a virtuális gépet az Azure Virtual Desktop-munkaterület vagy -bérlő részeként. Minden gazdagépkészlet rendelkezhet egy vagy több alkalmazáscsoportpal, amelyek távoli alkalmazások vagy asztali munkamenetek gyűjteményei, amelyekhez hozzáférhet. A Windows támogatott verzióinak megtekintéséhez tekintse meg az operációs rendszereket és a licenceket.

• Azure Virtual Desktop-munkaterület: Az Azure Virtual Desktop-munkaterület vagy -bérlő felügyeleti szerkezet a gazdagépkészlet erőforrásainak kezeléséhez és közzétételéhez.

Forgatókönyv részletei

Lehetséges használati esetek

A nagyvállalati virtuális asztali megoldások iránti legnagyobb igény az alábbiakból származik:

• Biztonsági és szabályozási alkalmazások, például pénzügyi szolgáltatások, egészségügyi szolgáltatások és kormányzati alkalmazások.

• Rugalmas munkaerő-igények, például távoli munkavégzés, egyesülések és felvásárlások, rövid távú alkalmazottak, alvállalkozók és partnerhozzáférés.

• Konkrét alkalmazottak, például saját eszköz (BYOD) és mobilfelhasználók, call centerek és fiókmunkások használata.

• Speciális számítási feladatok, például tervezés és tervezés, örökölt alkalmazások és szoftverfejlesztési tesztelés.

Személyes és készletezett asztalok

A személyes asztali megoldások , más néven állandó asztalok használatával a felhasználók mindig csatlakozhatnak ugyanahhoz az adott munkamenet-gazdagéphez. A felhasználók általában úgy módosíthatják az asztali felületüket, hogy megfeleljenek a személyes beállításoknak, és fájlokat menthetnek az asztali környezetben. Személyes asztali megoldások:

• Lehetővé teszi a felhasználók számára az asztali környezet testreszabását, beleértve a felhasználó által telepített alkalmazásokat is, és a felhasználók fájlokat menthetnek az asztali környezetben.
• Dedikált erőforrások hozzárendelésének engedélyezése adott felhasználókhoz, ami bizonyos gyártási vagy fejlesztési használati esetekben hasznos lehet.

A készletezett asztali megoldások, más néven nem állandó asztalok, a terheléselosztási algoritmustól függően a felhasználókat a jelenleg elérhető munkamenet-gazdagéphez rendelik. Mivel a felhasználók nem mindig térnek vissza ugyanarra a munkamenet-gazdagépre minden csatlakozáskor, korlátozott mértékben testre szabhatják az asztali környezetet, és általában nem rendelkeznek rendszergazdai hozzáféréssel.

Feljegyzés

Ebben az esetben az állandó és a nem állandó terminológia a felhasználói profil megőrzésére utal. Ez nem jelenti azt, hogy az operációs rendszer lemeze visszaáll egy aranylemezre, vagy elveti a módosításokat az újraindításkor.

Windows-karbantartás

Az Azure Virtual Desktop-példányok frissítésére számos lehetőség áll rendelkezésre. A frissített rendszerképek minden hónapban történő üzembe helyezése garantálja a megfelelőséget és az állapotot.

• A Microsoft Endpoint Configuration Manager (MECM) frissíti a kiszolgálói és asztali operációs rendszereket.
• A Windows Update for Business frissíti az asztali operációs rendszereket, például a Windows 11 Enterprise több munkamenetet.
• Az Azure Update Management frissíti a kiszolgáló operációs rendszereit.
• Az Azure Log Analytics ellenőrzi a megfelelőséget.
• Havonta üzembe helyez egy új (egyéni) rendszerképet a munkamenet-gazdagépeken a Legújabb Windows- és alkalmazásfrissítésekhez. Használhat rendszerképet az Azure Marketplace-ről vagy egy egyéni, Azure által felügyelt rendszerképet.

A fő logikai összetevők közötti kapcsolatok

A gazdagépkészletek, a munkaterületek és más kulcsfontosságú logikai összetevők közötti kapcsolatok eltérőek. Ezeket a következő diagram foglalja össze:

Az alábbi leírásokban szereplő számok az előző diagramban szereplő számoknak felelnek meg.

• (1) A közzétett asztalt tartalmazó alkalmazáscsoportok csak a gazdagépkészlethez csatlakoztatott MSIX-csomagokat tartalmazhatnak (a csomagok a munkamenet-gazdagép Start menüjében lesznek elérhetők), nem tartalmazhatnak más közzétett erőforrásokat, és asztali alkalmazáscsoportnak nevezik.
• (2) Az ugyanahhoz a gazdagépkészlethez rendelt alkalmazáscsoportoknak ugyanahhoz a munkaterülethez kell tartoznia.
• (3) Egy felhasználói fiók közvetlenül vagy Microsoft Entra-csoporton keresztül rendelhető hozzá egy alkalmazáscsoporthoz. Lehetséges, hogy nem rendel hozzá felhasználókat egy alkalmazáscsoporthoz, de nem tudja kiszolgálni őket.
• (4) Lehetséges, hogy üres munkaterület van, de nem tudja kiszolgálni a felhasználókat.
• (5) Lehetséges, hogy üres gazdagépkészlet van, de nem tudja kiszolgálni a felhasználókat.
• (6) Előfordulhat, hogy egy gazdagépkészlethez nincs hozzárendelve alkalmazáscsoport, de nem tudja kiszolgálni a felhasználókat.
• (7) Az Azure Virtual Desktophoz Microsoft Entra-azonosító szükséges. Ennek az az oka, hogy a Microsoft Entra felhasználói fiókokat és csoportokat mindig használni kell a felhasználók Azure Virtual Desktop-alkalmazáscsoportokhoz való hozzárendeléséhez. A Microsoft Entra ID a felhasználók Azure Virtual Desktop szolgáltatásban való hitelesítésére is használható. Az Azure Virtual Desktop munkamenet-gazdagépei a Microsoft Entra-tartomány tagjai is lehetnek, és ebben az esetben az Azure Virtual Desktop által közzétett alkalmazások és asztali munkamenetek is elindulnak és futtathatók (nem csak hozzárendelve) a Microsoft Entra-fiókok használatával.
  • (7) Másik lehetőségként az Azure Virtual Desktop munkamenet-gazdagépei egy AD DS-tartomány tagjai lehetnek, és ebben az esetben az Azure Virtual Desktop által közzétett alkalmazások és asztali munkamenetek AD DS-fiókok használatával indulnak el és futnak (de nincs hozzárendelve). A felhasználói és rendszergazdai többletterhelés csökkentése érdekében az AD DS szinkronizálható a Microsoft Entra ID-val a Microsoft Entra Connecten keresztül.
  • (7) Végül az Azure Virtual Desktop munkamenetgazdai ehelyett egy Microsoft Entra Domain Services-tartomány tagjai lehetnek, és ebben az esetben az Azure Virtual Desktop által közzétett alkalmazásokat és asztali munkameneteket a Microsoft Entra Domain Services-fiókok használatával indítják el és futtatják (de nem rendelik hozzá). A Microsoft Entra-azonosító automatikusan szinkronizálódik a Microsoft Entra Domain Services szolgáltatással, egy módon, a Microsoft Entra-azonosítótól a Microsoft Entra Domain Servicesig.

Erőforrás	Cél	Logikai kapcsolatok
Közzétett asztal	Az Azure Virtual Desktop-munkamenet-gazdagépeken futó és a hálózaton keresztül a felhasználók számára kézbesített Windows asztali környezet	Egy és csak egy alkalmazáscsoport tagja (1)
Közzétett alkalmazás	Az Azure Virtual Desktop-munkamenet-gazdagépeken futó és a hálózaton keresztül a felhasználók számára kézbesített Windows-alkalmazás	Egy és csak egy alkalmazáscsoport tagja
Alkalmazáscsoport	Közzétett alkalmazások vagy közzétett asztal logikai csoportosítása	– Közzétett asztalt (1) vagy egy vagy több közzétett alkalmazást tartalmaz - Egy és csak egy gazdagépkészlethez van hozzárendelve (2) - Egy és csak egy munkaterület tagja (2) – Egy vagy több Microsoft Entra-felhasználói fiók vagy csoport van hozzá rendelve (3)
Microsoft Entra felhasználói fiók/csoport	Azonosítja azokat a felhasználókat, akik számára engedélyezett a közzétett asztalok vagy alkalmazások elindítása	- Egy és csak egy Microsoft Entra-azonosító tagja - Hozzárendelve egy vagy több alkalmazáscsoporthoz (3)
Microsoft Entra-azonosító (7)	Identitásszolgáltató	– Egy vagy több felhasználói fiókot vagy csoportot tartalmaz, amelyeket a felhasználók alkalmazáscsoportokhoz való hozzárendeléséhez, valamint a munkamenet-gazdagépekre való bejelentkezéshez is használhat - Megtarthatja a munkamenet-gazdagépek tagságát – Szinkronizálható az AD DS-vel vagy a Microsoft Entra Domain Services szolgáltatással
AD DS (7)	Identitás- és címtárszolgáltatás-szolgáltató	– Egy vagy több felhasználói fiókot vagy csoportot tartalmaz, amelyek a munkamenet-gazdagépekre való bejelentkezéshez használhatók - Megtarthatja a munkamenet-gazdagépek tagságát – Szinkronizálható a Microsoft Entra-azonosítóval
Microsoft Entra Domain Services (7)	Szolgáltatásként nyújtott platform (PaaS)-alapú identitás- és címtárszolgáltatás-szolgáltató	– Egy vagy több felhasználói fiókot vagy csoportot tartalmaz, amelyek a munkamenet-gazdagépekre való bejelentkezéshez használhatók - Megtarthatja a munkamenet-gazdagépek tagságát - Szinkronizálva a Microsoft Entra-azonosítóval
Munkaterület	Alkalmazáscsoportok logikai csoportosítása	Egy vagy több alkalmazáscsoportot tartalmaz (4)
Gazdagépkészlet	Azonos munkamenet-gazdagépek csoportja, amelyek közös célt szolgálnak	- Egy vagy több munkamenet-gazdagépet tartalmaz (5) – Egy vagy több alkalmazáscsoport van hozzá rendelve (6)
Munkamenet-gazdagép	Közzétett asztalokat vagy alkalmazásokat üzemeltető virtuális gép	Egy és csak egy gazdagépkészlet tagja

Megfontolások

Ezek a szempontok implementálják az Azure Well-Architected Framework alappilléreit, amely a számítási feladatok minőségének javítására használható vezérelvek készlete. További információ: Well-Architected Framework.

Az értékelési eszközzel felmérheti az Azure Virtual Desktop számítási feladatainak felkészültségét. Ez az eszköz ellenőrzi az Azure Virtual Desktop számítási feladat dokumentációjában leírt ajánlott eljárásokhoz való igazítást.

Megbízhatóság

A megbízhatóság biztosítja, hogy az alkalmazás megfeleljen az ügyfelek felé vállalt kötelezettségeknek. További információkért tekintse meg a Megbízhatósági terv felülvizsgálati ellenőrzőlistát.

• Győződjön meg arról, hogy a kapacitás fenntartott: A számítási erőforrások garantált lefoglalásának biztosítása érdekében igény szerinti kapacitásfoglalást kérhet lekötés nélkül, és kombinálható fenntartott példányokkal.
• Régión belüli rugalmasság hozzáadása: Rendelkezésre állási zónák használata az őket támogató Azure-szolgáltatásokhoz, például:
  • Virtuális gépek (munkamenet-gazdagépek)
  • Azure Storage (FSLogix vagy App Attach). További információ: Azure Storage-redundancia.
• Üzletmenet-folytonossági terv készítése: Ha a rendelkezésre állási zónák nem felelnek meg az RTO- vagy RPO-céloknak, tekintse át az Azure Virtual Desktop többrégiós üzletmenet-folytonossági és vészhelyreállítási (BCDR) útmutatóját.

Biztonság

A biztonság biztosítékokat nyújt a szándékos támadások és az értékes adatokkal és rendszerekkel való visszaélés ellen. További információkért lásd a Biztonsági terv felülvizsgálati ellenőrzőlistát.

Az Azure Virtual Desktop üzembe helyezésekor vegye figyelembe az alábbi biztonsági tényezőket.

• Microsoft Entra-azonosító használata: A felhasználók bárhonnan bejelentkezhetnek az Azure Virtual Desktopba különböző eszközök és ügyfelek használatával. A Microsoft Entra többtényezős hitelesítésének kényszerítése feltételes hozzáféréssel a jogosulatlan hozzáférés kockázatának minimalizálása és a szervezet számára a bejelentkezési kockázatok kezeléséhez.
• Titkosítás használata: Alapértelmezés szerint a felügyelt Azure-lemezek többsége inaktív állapotban van titkosítva, amikor a felhőben marad. Ha a munkamenet-gazdagépek szélesebb körű titkosítást igényelnek, például a teljes körű titkosítást, tekintse át a felügyelt lemeztitkosítási lehetőségekre vonatkozó útmutatást, hogy megvédje a tárolt adatokat a jogosulatlan hozzáféréstől.
• Privát hálózatkezelés használata: Ha privát kapcsolatot igényel az Azure Virtual Desktop-erőforrásokhoz, az Azure Private Link és az Azure Virtual Desktop használatával korlátozza a forgalmat a virtuális hálózat és a Microsoft Network szolgáltatása között.

Feljegyzés

További biztonsági javaslatokért tekintse meg az Azure Virtual Desktop biztonsági ajánlásaival kapcsolatos útmutatót.

Költségoptimalizálás

A költségoptimalizálás a szükségtelen kiadások csökkentésére és a működési hatékonyság javítására összpontosít. További információt a Költségoptimalizálás tervezési felülvizsgálati ellenőrzőlistájában talál.

Az Azure Virtual Desktop üzembe helyezésekor vegye figyelembe a következő költségtényezőket.

• Több munkamenetes támogatás megtervezése: Az azonos számítási követelményekkel rendelkező, általánosan készletezett gazdagépkészletekkel rendelkező számítási feladatok esetén a Windows Enterprise több munkamenet lehetővé teszi, hogy több felhasználó egyszerre jelentkezzen be egyetlen virtuális gépre; csökkentik a költségeket és az adminisztratív többletterhelést.
• Licencelés optimalizálása: Ha rendelkezik szoftvergaranciával, az Azure Hybrid Benefit használatával csökkentheti az Azure számítási infrastruktúra költségeit.
• Vásárlás előtti számítás: A virtuálisgép-használat alapján kötelezettséget vállalhat egy vagy hároméves csomagra, az Azure Reservationsre, hogy kedvezményben részesüljön az erőforrásköltség jelentős csökkentése érdekében. Ez kombinálható az Azure Hybrid Benefittel további megtakarítások érdekében.
• Igény szerint horizontális felskálázás: Ha az Azure Reservationsre való véglegesítés nem felel meg az aktuális igényeknek, fontolja meg a munkamenet-gazdagépek dinamikus kiépítésére/megszüntetésére vonatkozó automatikus méretezési terveket , mivel az igény a nap/hét során változik.
• Terheléselosztási lehetőségek kiértékelése: A gazdagépkészlet terheléselosztási algoritmusának konfigurálása a mélységi elsőre. Vegye figyelembe azonban, hogy ez a konfiguráció ronthatja a felhasználói élményt; az alapértelmezett, elsőre optimalizált felhasználói felület. További információ: Gazdagépkészlet terheléselosztásának konfigurálása az Azure Virtual Desktopban.

Működési kiválóság

Az Operational Excellence azokat az üzemeltetési folyamatokat fedi le, amelyek üzembe helyeznek egy alkalmazást, és éles környezetben tartják azt. További információ: Az operatív kiválóság tervezési felülvizsgálati ellenőrzőlistája.

• Riasztások konfigurálása: Service Health - és Resource Health-riasztások konfigurálása a használt Azure-szolgáltatások és -régiók állapotának folyamatos tájékoztatásához.
  • Figyelje meg az FSLogix-profilok vagy alkalmazás csatolási megosztások üzemeltetéséhez használt Azure Storage-megoldást annak érdekében, hogy ne lépje túl a küszöbértékeket, ami negatív hatással lehet a felhasználói élményre.
• Teljesítményadatok gyűjtése: Telepítse az Azure Monitoring Agentet az Azure Virtual Desktop-munkamenet-gazdagépekre teljesítményszámlálók és eseménynaplók kinyeréséhez és figyeléséhez. További információkért tekintse meg a konfigurálható teljesítménymetrikák/számlálók és eseménynaplók listáját.
• Használati elemzések gyűjtése: Az Azure Virtual Desktop Insights segítségével ellenőrizheti például, hogy mely ügyfélverziók csatlakoznak, költségmegtakarítási lehetőségeket, vagy tudhatja, hogy erőforrás-korlátozásokkal vagy csatlakozási problémákkal rendelkezik-e.
• Diagnosztikai beállítások finomhangolása: Diagnosztikai beállítások engedélyezése minden szolgáltatáshoz, Azure Virtual Desktop-munkaterülethez, alkalmazáscsoporthoz, gazdagépkészlethez, tárfiókhoz. Határozza meg, hogy mely beállítások értelmezhetők a műveletek számára. Kapcsolja ki azokat a beállításokat, amelyek nem értelmezhetők az indokolatlan költségek elkerülése érdekében; A nagy mennyiségű IOPS-t figyelő tárfiókok (különösen a fájlszolgáltatás) magas monitorozási költségeket okozhatnak.

Teljesítményhatékonyság

A teljesítményhatékonyság azt jelenti, hogy a számítási feladat hatékonyan képes méretezni a felhasználói igényeket. További információt a Teljesítményhatékonyság tervezési felülvizsgálati ellenőrzőlistájában talál.

• Víruskereső kizárások használata: Az olyan profilmegoldások esetében, mint a virtuális merevlemez-fájlokat csatlakoztató FSLogix, javasoljuk, hogy zárja ki ezeket a fájlkiterjesztéseket. További információ: Víruskereső fájl- és mappakivételek konfigurálása.
• Késés finomhangolása: Pont–hely (P2S) VPN-kapcsolatot használó ügyfelek esetén a User Datagram Protocol (UDP) protokollon alapuló osztott alagúttal csökkentheti a késést, és optimalizálhatja az alagút sávszélesség-használatát. VPN-t vagy Azure ExpressRoute-ot használó helyszíni ügyfelek esetén az RDP Shortpath használatával csökkentheti az oda-vissza menetidőt, ami javítja a késésre érzékeny alkalmazások és bemeneti módszerek felhasználói élményét.
• Megfelelő méretű számítás használata: A virtuális gépek méretezési irányelvei felsorolják a virtuális központi feldolgozó egységenként (vCPU) javasolt felhasználók maximális számát és a különböző számítási feladatok minimális virtuálisgép-konfigurációit. Ezek az adatok segítenek megbecsülni a gazdagépkészletben szükséges virtuális gépeket.
  • Használjon szimulációs eszközöket az üzemelő példányok teszteléséhez stressztesztekkel és valós használati szimulációkkal. Győződjön meg arról, hogy a rendszer rugalmas és rugalmas ahhoz, hogy megfeleljen a felhasználói igényeknek, és ne felejtse el a terhelés méretét a tesztelés során módosítani.
• Rövid élettartamú operációsrendszer-lemezek használata: Ha a munkamenet-gazdagépeket a háziállatok helyett szarvasmarhaként kezeli, a rövid élettartamú operációsrendszer-lemezek kiválóan alkalmasak a teljesítmény javítására, az ideiglenes lemezekhez hasonló késésre, és egyidejűleg költségmegtakarítást tesznek lehetővé, mivel azok ingyenesek.

Korlátozások

Az Azure Virtual Desktophoz hasonlóan az Azure is rendelkezik bizonyos szolgáltatási korlátozásokkal, amelyekkel tisztában kell lennie. Annak érdekében, hogy ne kelljen módosításokat végeznie a skálázási fázisban, érdemes a tervezési fázisban kezelni néhány korlátozást.

Az Azure Virtual Desktop szolgáltatás korlátozásairól további információt az Azure Virtual Desktop Service korlátai között talál.

Vegye figyelembe azt is, hogy:

• Egyetlen Microsoft Entra-bérlőnként nem hozhat létre 500-nál több alkalmazáscsoportot*.
  • Ha több mint 500 alkalmazáscsoportra van szüksége, küldjön támogatási jegyet az Azure Portalon keresztül.
• Azt javasoljuk, hogy alkalmazáscsoportonként ne tegyen közzé 50-nél több alkalmazást.
• Javasoljuk, hogy régiónként legfeljebb 5000 virtuális gépet telepítsen Azure-előfizetésenként. Ez a javaslat mind a személyes, mind a készletezett gazdagépkészletekre vonatkozik, a Windows Enterprise egyszeri és több munkameneten alapulva. A legtöbb ügyfél több munkamenetet használ a Windows Enterprise-ban, így több felhasználó is bejelentkezhet az egyes virtuális gépekre. Az egyes munkamenetgazda virtuális gépek erőforrásait növelheti, hogy több felhasználói munkamenetet is el tudjanak fogadni.
• Az automatizált munkamenet-gazdagép-skálázási eszközök esetében a korlátok régiónként körülbelül 2500 virtuális gépet jelentenek Azure-előfizetésenként, mivel a virtuális gépek állapotának interakciója több erőforrást használ fel.
• Ha egy régióban azure-előfizetésenként több mint 5000 virtuális géppel szeretné kezelni a vállalati környezeteket, több Azure-előfizetést is létrehozhat küllős architektúrában, és virtuális hálózati társviszony-létesítéssel (küllőnként egy előfizetés használatával) csatlakoztathatja őket. A virtuális gépek számának növelése érdekében egy másik régióban is üzembe helyezhet virtuális gépeket ugyanabban az előfizetésben.
• Az Azure Resource Manager-előfizetés API szabályozási korlátai nem teszik lehetővé óránként 600-nál több Azure-beli virtuális gép újraindítását az Azure Portalon keresztül. Az összes gépet egyszerre újraindíthatja az operációs rendszeren keresztül, amely nem használ Azure Resource Manager-előfizetési API-hívásokat. Az Azure-előfizetésen alapuló szabályozási korlátok számlálásáról és hibaelhárításáról további információt az API szabályozási hibáinak hibaelhárítása című témakörben talál.
• Jelenleg legfeljebb 132 virtuális gépet helyezhet üzembe egyetlen ARM-sablon üzembe helyezésében az Azure Virtual Desktop portálon. Több mint 132 virtuális gép létrehozásához futtassa többször az ARM-sablon üzembe helyezését az Azure Virtual Desktop portálon.
• Az Azure-beli virtuális gép munkamenet-állomásnév előtagjai nem haladhatják meg a 11 karaktert a példánynevek automatikus hozzárendelése és a számítógépfiókonkénti 15 karakteres NetBIOS-korlát miatt.
• Alapértelmezés szerint egy erőforráscsoportban a legtöbb erőforrástípus legfeljebb 800 példányát helyezheti üzembe. Az Azure Compute nem rendelkezik ezzel a korlátval.

Az Azure-előfizetés korlátozásairól további információt az Azure-előfizetések és -szolgáltatások korlátai, kvótái és megkötései című témakörben talál.

A forgatókönyv üzembe helyezése

Arm-sablonok gyűjteményei automatizálhatják az Azure Virtual Desktop-környezet üzembe helyezését. Ezek az ARM-sablonok csak az Azure Resource Manager Azure Virtual Desktop-objektumokat támogatják. Ezek az ARM-sablonok nem támogatják az Azure Virtual Desktopot (klasszikus).

További forgatókönyvek érhetők el a Microsoft Developer Toolsban, amelyek számos üzembe helyezési lehetőséget támogatnak:

• Azure Virtual Desktop és Microsoft Entra ID Join
• Azure Virtual Desktop FSLogix- és AD DS-csatlakozással

Közreműködők

Ezt a cikket a Microsoft tartja karban. Eredetileg a következő közreműködők írták.

Fő szerző:

• Tom Hickling | Vezető termékmenedzser, Azure Virtual Desktop Engineering

Egyéb közreműködő:

• Nelson Del Villar | Felhőmegoldás-tervező, Azure Core-infrastruktúra

Következő lépések

• Az Azure Virtual Desktop partnerintegrációi a jóváhagyott Azure Virtual Desktop-partnerszolgáltatókat és független szoftverszállítókat sorolják fel.
• A Virtuális asztal optimalizálási eszközével optimalizálhatja a teljesítményt Windows 11 Enterprise VDI (virtuális asztali infrastruktúra) környezetben.
• További információ: Microsoft Entra csatlakoztatott virtuális gépek üzembe helyezése az Azure Virtual Desktopban.
• További információ az Active Directory Domain Services szolgáltatásról.
• Mi a Microsoft Entra Connect?
• További információ az Azure Virtual Desktop Well-Architected-keretrendszerről

Kapcsolódó erőforrások

• Több Active Directory-erdő architektúrájáról további információt az Azure Virtual Desktop Több Active Directory-erdő architektúrája című témakörben talál.

Az Azure Virtual Desktop egy asztali és alkalmazásvirtualizálási szolgáltatás, amely az Azure-ban fut. Ez a cikk segítséget nyújt az asztali infrastruktúra tervezőinek, felhőmérnökeinek, asztali rendszergazdáinak és rendszergazdáinak az Azure Virtual Desktop megismerésében és a virtualizált asztali infrastruktúra (VDI)) megoldások nagyvállalati szintű kiépítésében. A nagyvállalati szintű megoldások általában 1000 vagy több virtuális asztalt fednek le.

Architektúra

Az Azure Virtual Desktop tipikus architektúrabeállítását az alábbi ábra szemlélteti:

Töltse le az architektúra Visio-fájlját .

Adatfolyam

A diagram adatfolyam-elemeit az alábbiakban ismertetjük:

• Az alkalmazásvégpontok egy ügyfél helyszíni hálózatában találhatók. Az Azure ExpressRoute kiterjeszti a helyszíni hálózatot az Azure-ra, a Microsoft Entra Connect pedig integrálja az ügyfél Active Directory tartományi szolgáltatások (AD DS) és a Microsoft Entra ID azonosítóját.

• Az Azure Virtual Desktop vezérlősíkja kezeli a webes hozzáférést, az átjárót, a közvetítőt, a diagnosztikát és a bővíthetőségi összetevőket, például a REST API-kat.

• Az ügyfél kezeli az AD DS-t és a Microsoft Entra-azonosítót, az Azure-előfizetéseket, a virtuális hálózatokat, az Azure Filest vagy az Azure NetApp Filest, valamint az Azure Virtual Desktop gazdagépkészleteit és munkaterületeit.

• A kapacitás növelése érdekében az ügyfél két Azure-előfizetést használ küllős architektúrában, és virtuális hálózati társviszony-létesítésen keresztül csatlakoztatja őket.

Az FSLogix-profiltároló – Azure Files és az Azure NetApp Files ajánlott eljárásairól további információt az FSLogix konfigurációs példáiban talál.

Összetevők

Az Azure Virtual Desktop szolgáltatásarchitektúrája hasonló a Windows Server Remote Desktop Services (RDS) szolgáltatáshoz. Bár a Microsoft kezeli az infrastruktúrát és a közvetítő összetevőket, a nagyvállalati ügyfelek saját asztali gazda virtuális gépeket (virtuális gépeket), adatokat és ügyfeleket kezelnek.

A Microsoft által kezelt összetevők

A Microsoft az Azure részeként a következő Azure Virtual Desktop-szolgáltatásokat kezeli:

• Webhozzáférés: Az Azure Virtual Desktop Web Access szolgáltatásának használatával a virtuális asztalokat és a távoli alkalmazásokat egy HTML5-kompatibilis webböngészőn keresztül érheti el, ugyanúgy, mint egy helyi PC-vel, bárhonnan és bármilyen eszközről. A webes hozzáférést többtényezős hitelesítéssel biztosíthatja a Microsoft Entra ID-ban.

• Átjáró: A Távoli kapcsolati átjáró szolgáltatás távoli felhasználókat csatlakoztat az Azure Virtual Desktop-alkalmazásokhoz és -asztalokhoz minden olyan internetkapcsolattal rendelkező eszközről, amely képes Azure Virtual Desktop-ügyfelet futtatni. Az ügyfél egy átjáróhoz csatlakozik, amely ezután egy virtuális gépről ugyanarra az átjáróra létesít kapcsolatot.

• Kapcsolatszervező: A Kapcsolatszervező szolgáltatás kezeli a virtuális asztalokhoz és távoli alkalmazásokhoz való felhasználói kapcsolatokat. A Connection Broker terheléselosztást és újracsatlakozást biztosít a meglévő munkamenetekhez.

• Diagnosztikák: A távoli asztali diagnosztika egy eseményalapú összesítő, amely sikeres vagy sikertelenként jelöli meg az Azure Virtual Desktop üzembe helyezésével kapcsolatos egyes felhasználói vagy rendszergazdai műveletet. A rendszergazdák lekérdezhetik az esemény-összesítést a hibás összetevők azonosításához.

• Bővíthetőségi összetevők: Az Azure Virtual Desktop számos bővíthetőségi összetevőt tartalmaz. Az Azure Virtual Desktopot a Windows PowerShell vagy a megadott REST API-k segítségével kezelheti, amelyek külső eszközök támogatását is lehetővé teszik.

Ön által kezelt összetevők

Az Azure Virtual Desktop-megoldások alábbi összetevőit kezelheti:

• Azure Virtual Network: Az Azure Virtual Network használatával az Azure-erőforrások, például a virtuális gépek privát módon kommunikálhatnak egymással és az internettel. Az Azure Virtual Desktop gazdagépkészleteinek Active Directory-tartományhoz való csatlakoztatásával hálózati topológiát határozhat meg a virtuális asztalok és virtuális alkalmazások intranetről vagy internetről való eléréséhez a szervezeti szabályzat alapján. Egy Azure Virtual Desktop-példányt csatlakoztathat egy helyszíni hálózathoz egy virtuális magánhálózat (VPN) használatával, vagy az Azure ExpressRoute használatával kiterjesztheti a helyszíni hálózatot az Azure-ba egy privát kapcsolaton keresztül.

• Microsoft Entra-azonosító: Az Azure Virtual Desktop a Microsoft Entra-azonosítót használja az identitás- és hozzáférés-kezeléshez. A Microsoft Entra-integráció a Microsoft Entra biztonsági funkcióit, például a feltételes hozzáférést, a többtényezős hitelesítést és az intelligens biztonsági gráfot alkalmazza, és segít fenntartani az alkalmazáskompatibilitást a tartományhoz csatlakoztatott virtuális gépeken.

• Active Directory Domain Services (nem kötelező):: Az Azure Virtual Desktop virtuális gépek tartományhoz csatlakoztathatók egy AD DS-szolgáltatáshoz , vagy a Microsoft Entra-hoz csatlakoztatott virtuális gépek üzembe helyezése az Azure Virtual Desktopban

  • AD DS-tartomány használatakor a tartománynak szinkronban kell lennie a Microsoft Entra-azonosítóval a felhasználók két szolgáltatás közötti társításához. A Microsoft Entra Connect használatával társíthatja az AD DS-t a Microsoft Entra ID azonosítójával.
  • A Microsoft Entra join használata esetén tekintse át a támogatott konfigurációkat , hogy a forgatókönyv támogatott legyen.

• Azure Virtual Desktop-munkamenet-gazdagépek: A munkamenet-gazdagépek olyan virtuális gépek, amelyekhez a felhasználók asztali gépeikhez és alkalmazásaikhoz csatlakoznak. A Windows több verziója is támogatott, és rendszerképeket hozhat létre az alkalmazásokkal és a testreszabásokkal. Választhat virtuálisgép-méreteket, beleértve a GPU-kompatibilis virtuális gépeket is. Minden munkamenet-gazdagép rendelkezik egy Azure Virtual Desktop-gazdagépügynökkel, amely regisztrálja a virtuális gépet az Azure Virtual Desktop-munkaterület vagy -bérlő részeként. Minden gazdagépkészlet rendelkezhet egy vagy több alkalmazáscsoportpal, amelyek távoli alkalmazások vagy asztali munkamenetek gyűjteményei, amelyekhez hozzáférhet. A Windows támogatott verzióinak megtekintéséhez tekintse meg az operációs rendszereket és a licenceket.

• Azure Virtual Desktop-munkaterület: Az Azure Virtual Desktop-munkaterület vagy -bérlő felügyeleti szerkezet a gazdagépkészlet erőforrásainak kezeléséhez és közzétételéhez.

Forgatókönyv részletei

Lehetséges használati esetek

A nagyvállalati virtuális asztali megoldások iránti legnagyobb igény az alábbiakból származik:

• Biztonsági és szabályozási alkalmazások, például pénzügyi szolgáltatások, egészségügyi szolgáltatások és kormányzati alkalmazások.

• Rugalmas munkaerő-igények, például távoli munkavégzés, egyesülések és felvásárlások, rövid távú alkalmazottak, alvállalkozók és partnerhozzáférés.

• Konkrét alkalmazottak, például saját eszköz (BYOD) és mobilfelhasználók, call centerek és fiókmunkások használata.

• Speciális számítási feladatok, például tervezés és tervezés, örökölt alkalmazások és szoftverfejlesztési tesztelés.

Személyes és készletezett asztalok

A személyes asztali megoldások , más néven állandó asztalok használatával a felhasználók mindig csatlakozhatnak ugyanahhoz az adott munkamenet-gazdagéphez. A felhasználók általában úgy módosíthatják az asztali felületüket, hogy megfeleljenek a személyes beállításoknak, és fájlokat menthetnek az asztali környezetben. Személyes asztali megoldások:

• Lehetővé teszi a felhasználók számára az asztali környezet testreszabását, beleértve a felhasználó által telepített alkalmazásokat is, és a felhasználók fájlokat menthetnek az asztali környezetben.
• Dedikált erőforrások hozzárendelésének engedélyezése adott felhasználókhoz, ami bizonyos gyártási vagy fejlesztési használati esetekben hasznos lehet.

A készletezett asztali megoldások, más néven nem állandó asztalok, a terheléselosztási algoritmustól függően a felhasználókat a jelenleg elérhető munkamenet-gazdagéphez rendelik. Mivel a felhasználók nem mindig térnek vissza ugyanarra a munkamenet-gazdagépre minden csatlakozáskor, korlátozott mértékben testre szabhatják az asztali környezetet, és általában nem rendelkeznek rendszergazdai hozzáféréssel.

Feljegyzés

Ebben az esetben az állandó és a nem állandó terminológia a felhasználói profil megőrzésére utal. Ez nem jelenti azt, hogy az operációs rendszer lemeze visszaáll egy aranylemezre, vagy elveti a módosításokat az újraindításkor.

Windows-karbantartás

Az Azure Virtual Desktop-példányok frissítésére számos lehetőség áll rendelkezésre. A frissített rendszerképek minden hónapban történő üzembe helyezése garantálja a megfelelőséget és az állapotot.

• A Microsoft Endpoint Configuration Manager (MECM) frissíti a kiszolgálói és asztali operációs rendszereket.
• A Windows Update for Business frissíti az asztali operációs rendszereket, például a Windows 11 Enterprise több munkamenetet.
• Az Azure Update Management frissíti a kiszolgáló operációs rendszereit.
• Az Azure Log Analytics ellenőrzi a megfelelőséget.
• Havonta üzembe helyez egy új (egyéni) rendszerképet a munkamenet-gazdagépeken a Legújabb Windows- és alkalmazásfrissítésekhez. Használhat rendszerképet az Azure Marketplace-ről vagy egy egyéni, Azure által felügyelt rendszerképet.

A fő logikai összetevők közötti kapcsolatok

A gazdagépkészletek, a munkaterületek és más kulcsfontosságú logikai összetevők közötti kapcsolatok eltérőek. Ezeket a következő diagram foglalja össze:

Az alábbi leírásokban szereplő számok az előző diagramban szereplő számoknak felelnek meg.

• (1) A közzétett asztalt tartalmazó alkalmazáscsoportok csak a gazdagépkészlethez csatlakoztatott MSIX-csomagokat tartalmazhatnak (a csomagok a munkamenet-gazdagép Start menüjében lesznek elérhetők), nem tartalmazhatnak más közzétett erőforrásokat, és asztali alkalmazáscsoportnak nevezik.
• (2) Az ugyanahhoz a gazdagépkészlethez rendelt alkalmazáscsoportoknak ugyanahhoz a munkaterülethez kell tartoznia.
• (3) Egy felhasználói fiók közvetlenül vagy Microsoft Entra-csoporton keresztül rendelhető hozzá egy alkalmazáscsoporthoz. Lehetséges, hogy nem rendel hozzá felhasználókat egy alkalmazáscsoporthoz, de nem tudja kiszolgálni őket.
• (4) Lehetséges, hogy üres munkaterület van, de nem tudja kiszolgálni a felhasználókat.
• (5) Lehetséges, hogy üres gazdagépkészlet van, de nem tudja kiszolgálni a felhasználókat.
• (6) Előfordulhat, hogy egy gazdagépkészlethez nincs hozzárendelve alkalmazáscsoport, de nem tudja kiszolgálni a felhasználókat.
• (7) Az Azure Virtual Desktophoz Microsoft Entra-azonosító szükséges. Ennek az az oka, hogy a Microsoft Entra felhasználói fiókokat és csoportokat mindig használni kell a felhasználók Azure Virtual Desktop-alkalmazáscsoportokhoz való hozzárendeléséhez. A Microsoft Entra ID a felhasználók Azure Virtual Desktop szolgáltatásban való hitelesítésére is használható. Az Azure Virtual Desktop munkamenet-gazdagépei a Microsoft Entra-tartomány tagjai is lehetnek, és ebben az esetben az Azure Virtual Desktop által közzétett alkalmazások és asztali munkamenetek is elindulnak és futtathatók (nem csak hozzárendelve) a Microsoft Entra-fiókok használatával.
  • (7) Másik lehetőségként az Azure Virtual Desktop munkamenet-gazdagépei egy AD DS-tartomány tagjai lehetnek, és ebben az esetben az Azure Virtual Desktop által közzétett alkalmazások és asztali munkamenetek AD DS-fiókok használatával indulnak el és futnak (de nincs hozzárendelve). A felhasználói és rendszergazdai többletterhelés csökkentése érdekében az AD DS szinkronizálható a Microsoft Entra ID-val a Microsoft Entra Connecten keresztül.
  • (7) Végül az Azure Virtual Desktop munkamenetgazdai ehelyett egy Microsoft Entra Domain Services-tartomány tagjai lehetnek, és ebben az esetben az Azure Virtual Desktop által közzétett alkalmazásokat és asztali munkameneteket a Microsoft Entra Domain Services-fiókok használatával indítják el és futtatják (de nem rendelik hozzá). A Microsoft Entra-azonosító automatikusan szinkronizálódik a Microsoft Entra Domain Services szolgáltatással, egy módon, a Microsoft Entra-azonosítótól a Microsoft Entra Domain Servicesig.

Erőforrás	Cél	Logikai kapcsolatok
Közzétett asztal	Az Azure Virtual Desktop-munkamenet-gazdagépeken futó és a hálózaton keresztül a felhasználók számára kézbesített Windows asztali környezet	Egy és csak egy alkalmazáscsoport tagja (1)
Közzétett alkalmazás	Az Azure Virtual Desktop-munkamenet-gazdagépeken futó és a hálózaton keresztül a felhasználók számára kézbesített Windows-alkalmazás	Egy és csak egy alkalmazáscsoport tagja
Alkalmazáscsoport	Közzétett alkalmazások vagy közzétett asztal logikai csoportosítása	– Közzétett asztalt (1) vagy egy vagy több közzétett alkalmazást tartalmaz - Egy és csak egy gazdagépkészlethez van hozzárendelve (2) - Egy és csak egy munkaterület tagja (2) – Egy vagy több Microsoft Entra-felhasználói fiók vagy csoport van hozzá rendelve (3)
Microsoft Entra felhasználói fiók/csoport	Azonosítja azokat a felhasználókat, akik számára engedélyezett a közzétett asztalok vagy alkalmazások elindítása	- Egy és csak egy Microsoft Entra-azonosító tagja - Hozzárendelve egy vagy több alkalmazáscsoporthoz (3)
Microsoft Entra-azonosító (7)	Identitásszolgáltató	– Egy vagy több felhasználói fiókot vagy csoportot tartalmaz, amelyeket a felhasználók alkalmazáscsoportokhoz való hozzárendeléséhez, valamint a munkamenet-gazdagépekre való bejelentkezéshez is használhat - Megtarthatja a munkamenet-gazdagépek tagságát – Szinkronizálható az AD DS-vel vagy a Microsoft Entra Domain Services szolgáltatással
AD DS (7)	Identitás- és címtárszolgáltatás-szolgáltató	– Egy vagy több felhasználói fiókot vagy csoportot tartalmaz, amelyek a munkamenet-gazdagépekre való bejelentkezéshez használhatók - Megtarthatja a munkamenet-gazdagépek tagságát – Szinkronizálható a Microsoft Entra-azonosítóval
Microsoft Entra Domain Services (7)	Szolgáltatásként nyújtott platform (PaaS)-alapú identitás- és címtárszolgáltatás-szolgáltató	– Egy vagy több felhasználói fiókot vagy csoportot tartalmaz, amelyek a munkamenet-gazdagépekre való bejelentkezéshez használhatók - Megtarthatja a munkamenet-gazdagépek tagságát - Szinkronizálva a Microsoft Entra-azonosítóval
Munkaterület	Alkalmazáscsoportok logikai csoportosítása	Egy vagy több alkalmazáscsoportot tartalmaz (4)
Gazdagépkészlet	Azonos munkamenet-gazdagépek csoportja, amelyek közös célt szolgálnak	- Egy vagy több munkamenet-gazdagépet tartalmaz (5) – Egy vagy több alkalmazáscsoport van hozzá rendelve (6)
Munkamenet-gazdagép	Közzétett asztalokat vagy alkalmazásokat üzemeltető virtuális gép	Egy és csak egy gazdagépkészlet tagja

Megfontolások

Ezek a szempontok implementálják az Azure Well-Architected Framework alappilléreit, amely a számítási feladatok minőségének javítására használható vezérelvek készlete. További információ: Well-Architected Framework.

Az értékelési eszközzel felmérheti az Azure Virtual Desktop számítási feladatainak felkészültségét. Ez az eszköz ellenőrzi az Azure Virtual Desktop számítási feladat dokumentációjában leírt ajánlott eljárásokhoz való igazítást.

Megbízhatóság

A megbízhatóság biztosítja, hogy az alkalmazás megfeleljen az ügyfelek felé vállalt kötelezettségeknek. További információkért tekintse meg a Megbízhatósági terv felülvizsgálati ellenőrzőlistát.

• Győződjön meg arról, hogy a kapacitás fenntartott: A számítási erőforrások garantált lefoglalásának biztosítása érdekében igény szerinti kapacitásfoglalást kérhet lekötés nélkül, és kombinálható fenntartott példányokkal.
• Régión belüli rugalmasság hozzáadása: Rendelkezésre állási zónák használata az őket támogató Azure-szolgáltatásokhoz, például:
  • Virtuális gépek (munkamenet-gazdagépek)
  • Azure Storage (FSLogix vagy App Attach). További információ: Azure Storage-redundancia.
• Üzletmenet-folytonossági terv készítése: Ha a rendelkezésre állási zónák nem felelnek meg az RTO- vagy RPO-céloknak, tekintse át az Azure Virtual Desktop többrégiós üzletmenet-folytonossági és vészhelyreállítási (BCDR) útmutatóját.

Biztonság

A biztonság biztosítékokat nyújt a szándékos támadások és az értékes adatokkal és rendszerekkel való visszaélés ellen. További információkért lásd a Biztonsági terv felülvizsgálati ellenőrzőlistát.

Az Azure Virtual Desktop üzembe helyezésekor vegye figyelembe az alábbi biztonsági tényezőket.

• Microsoft Entra-azonosító használata: A felhasználók bárhonnan bejelentkezhetnek az Azure Virtual Desktopba különböző eszközök és ügyfelek használatával. A Microsoft Entra többtényezős hitelesítésének kényszerítése feltételes hozzáféréssel a jogosulatlan hozzáférés kockázatának minimalizálása és a szervezet számára a bejelentkezési kockázatok kezeléséhez.
• Titkosítás használata: Alapértelmezés szerint a felügyelt Azure-lemezek többsége inaktív állapotban van titkosítva, amikor a felhőben marad. Ha a munkamenet-gazdagépek szélesebb körű titkosítást igényelnek, például a teljes körű titkosítást, tekintse át a felügyelt lemeztitkosítási lehetőségekre vonatkozó útmutatást, hogy megvédje a tárolt adatokat a jogosulatlan hozzáféréstől.
• Privát hálózatkezelés használata: Ha privát kapcsolatot igényel az Azure Virtual Desktop-erőforrásokhoz, az Azure Private Link és az Azure Virtual Desktop használatával korlátozza a forgalmat a virtuális hálózat és a Microsoft Network szolgáltatása között.

Feljegyzés

További biztonsági javaslatokért tekintse meg az Azure Virtual Desktop biztonsági ajánlásaival kapcsolatos útmutatót.

Költségoptimalizálás

A költségoptimalizálás a szükségtelen kiadások csökkentésére és a működési hatékonyság javítására összpontosít. További információt a Költségoptimalizálás tervezési felülvizsgálati ellenőrzőlistájában talál.

Az Azure Virtual Desktop üzembe helyezésekor vegye figyelembe a következő költségtényezőket.

• Több munkamenetes támogatás megtervezése: Az azonos számítási követelményekkel rendelkező, általánosan készletezett gazdagépkészletekkel rendelkező számítási feladatok esetén a Windows Enterprise több munkamenet lehetővé teszi, hogy több felhasználó egyszerre jelentkezzen be egyetlen virtuális gépre; csökkentik a költségeket és az adminisztratív többletterhelést.
• Licencelés optimalizálása: Ha rendelkezik szoftvergaranciával, az Azure Hybrid Benefit használatával csökkentheti az Azure számítási infrastruktúra költségeit.
• Vásárlás előtti számítás: A virtuálisgép-használat alapján kötelezettséget vállalhat egy vagy hároméves csomagra, az Azure Reservationsre, hogy kedvezményben részesüljön az erőforrásköltség jelentős csökkentése érdekében. Ez kombinálható az Azure Hybrid Benefittel további megtakarítások érdekében.
• Igény szerint horizontális felskálázás: Ha az Azure Reservationsre való véglegesítés nem felel meg az aktuális igényeknek, fontolja meg a munkamenet-gazdagépek dinamikus kiépítésére/megszüntetésére vonatkozó automatikus méretezési terveket , mivel az igény a nap/hét során változik.
• Terheléselosztási lehetőségek kiértékelése: A gazdagépkészlet terheléselosztási algoritmusának konfigurálása a mélységi elsőre. Vegye figyelembe azonban, hogy ez a konfiguráció ronthatja a felhasználói élményt; az alapértelmezett, elsőre optimalizált felhasználói felület. További információ: Gazdagépkészlet terheléselosztásának konfigurálása az Azure Virtual Desktopban.

Működési kiválóság

Az Operational Excellence azokat az üzemeltetési folyamatokat fedi le, amelyek üzembe helyeznek egy alkalmazást, és éles környezetben tartják azt. További információ: Az operatív kiválóság tervezési felülvizsgálati ellenőrzőlistája.

• Riasztások konfigurálása: Service Health - és Resource Health-riasztások konfigurálása a használt Azure-szolgáltatások és -régiók állapotának folyamatos tájékoztatásához.
  • Figyelje meg az FSLogix-profilok vagy alkalmazás csatolási megosztások üzemeltetéséhez használt Azure Storage-megoldást annak érdekében, hogy ne lépje túl a küszöbértékeket, ami negatív hatással lehet a felhasználói élményre.
• Teljesítményadatok gyűjtése: Telepítse az Azure Monitoring Agentet az Azure Virtual Desktop-munkamenet-gazdagépekre teljesítményszámlálók és eseménynaplók kinyeréséhez és figyeléséhez. További információkért tekintse meg a konfigurálható teljesítménymetrikák/számlálók és eseménynaplók listáját.
• Használati elemzések gyűjtése: Az Azure Virtual Desktop Insights segítségével ellenőrizheti például, hogy mely ügyfélverziók csatlakoznak, költségmegtakarítási lehetőségeket, vagy tudhatja, hogy erőforrás-korlátozásokkal vagy csatlakozási problémákkal rendelkezik-e.
• Diagnosztikai beállítások finomhangolása: Diagnosztikai beállítások engedélyezése minden szolgáltatáshoz, Azure Virtual Desktop-munkaterülethez, alkalmazáscsoporthoz, gazdagépkészlethez, tárfiókhoz. Határozza meg, hogy mely beállítások értelmezhetők a műveletek számára. Kapcsolja ki azokat a beállításokat, amelyek nem értelmezhetők az indokolatlan költségek elkerülése érdekében; A nagy mennyiségű IOPS-t figyelő tárfiókok (különösen a fájlszolgáltatás) magas monitorozási költségeket okozhatnak.

Teljesítményhatékonyság

A teljesítményhatékonyság azt jelenti, hogy a számítási feladat hatékonyan képes méretezni a felhasználói igényeket. További információt a Teljesítményhatékonyság tervezési felülvizsgálati ellenőrzőlistájában talál.

• Víruskereső kizárások használata: Az olyan profilmegoldások esetében, mint a virtuális merevlemez-fájlokat csatlakoztató FSLogix, javasoljuk, hogy zárja ki ezeket a fájlkiterjesztéseket. További információ: Víruskereső fájl- és mappakivételek konfigurálása.
• Késés finomhangolása: Pont–hely (P2S) VPN-kapcsolatot használó ügyfelek esetén a User Datagram Protocol (UDP) protokollon alapuló osztott alagúttal csökkentheti a késést, és optimalizálhatja az alagút sávszélesség-használatát. VPN-t vagy Azure ExpressRoute-ot használó helyszíni ügyfelek esetén az RDP Shortpath használatával csökkentheti az oda-vissza menetidőt, ami javítja a késésre érzékeny alkalmazások és bemeneti módszerek felhasználói élményét.
• Megfelelő méretű számítás használata: A virtuális gépek méretezési irányelvei felsorolják a virtuális központi feldolgozó egységenként (vCPU) javasolt felhasználók maximális számát és a különböző számítási feladatok minimális virtuálisgép-konfigurációit. Ezek az adatok segítenek megbecsülni a gazdagépkészletben szükséges virtuális gépeket.
  • Használjon szimulációs eszközöket az üzemelő példányok teszteléséhez stressztesztekkel és valós használati szimulációkkal. Győződjön meg arról, hogy a rendszer rugalmas és rugalmas ahhoz, hogy megfeleljen a felhasználói igényeknek, és ne felejtse el a terhelés méretét a tesztelés során módosítani.
• Rövid élettartamú operációsrendszer-lemezek használata: Ha a munkamenet-gazdagépeket a háziállatok helyett szarvasmarhaként kezeli, a rövid élettartamú operációsrendszer-lemezek kiválóan alkalmasak a teljesítmény javítására, az ideiglenes lemezekhez hasonló késésre, és egyidejűleg költségmegtakarítást tesznek lehetővé, mivel azok ingyenesek.

Korlátozások

Az Azure Virtual Desktophoz hasonlóan az Azure is rendelkezik bizonyos szolgáltatási korlátozásokkal, amelyekkel tisztában kell lennie. Annak érdekében, hogy ne kelljen módosításokat végeznie a skálázási fázisban, érdemes a tervezési fázisban kezelni néhány korlátozást.

Az Azure Virtual Desktop szolgáltatás korlátozásairól további információt az Azure Virtual Desktop Service korlátai között talál.

Vegye figyelembe azt is, hogy:

• Egyetlen Microsoft Entra-bérlőnként nem hozhat létre 500-nál több alkalmazáscsoportot*.
  • Ha több mint 500 alkalmazáscsoportra van szüksége, küldjön támogatási jegyet az Azure Portalon keresztül.
• Azt javasoljuk, hogy alkalmazáscsoportonként ne tegyen közzé 50-nél több alkalmazást.
• Javasoljuk, hogy régiónként legfeljebb 5000 virtuális gépet telepítsen Azure-előfizetésenként. Ez a javaslat mind a személyes, mind a készletezett gazdagépkészletekre vonatkozik, a Windows Enterprise egyszeri és több munkameneten alapulva. A legtöbb ügyfél több munkamenetet használ a Windows Enterprise-ban, így több felhasználó is bejelentkezhet az egyes virtuális gépekre. Az egyes munkamenetgazda virtuális gépek erőforrásait növelheti, hogy több felhasználói munkamenetet is el tudjanak fogadni.
• Az automatizált munkamenet-gazdagép-skálázási eszközök esetében a korlátok régiónként körülbelül 2500 virtuális gépet jelentenek Azure-előfizetésenként, mivel a virtuális gépek állapotának interakciója több erőforrást használ fel.
• Ha egy régióban azure-előfizetésenként több mint 5000 virtuális géppel szeretné kezelni a vállalati környezeteket, több Azure-előfizetést is létrehozhat küllős architektúrában, és virtuális hálózati társviszony-létesítéssel (küllőnként egy előfizetés használatával) csatlakoztathatja őket. A virtuális gépek számának növelése érdekében egy másik régióban is üzembe helyezhet virtuális gépeket ugyanabban az előfizetésben.
• Az Azure Resource Manager-előfizetés API szabályozási korlátai nem teszik lehetővé óránként 600-nál több Azure-beli virtuális gép újraindítását az Azure Portalon keresztül. Az összes gépet egyszerre újraindíthatja az operációs rendszeren keresztül, amely nem használ Azure Resource Manager-előfizetési API-hívásokat. Az Azure-előfizetésen alapuló szabályozási korlátok számlálásáról és hibaelhárításáról további információt az API szabályozási hibáinak hibaelhárítása című témakörben talál.
• Jelenleg legfeljebb 132 virtuális gépet helyezhet üzembe egyetlen ARM-sablon üzembe helyezésében az Azure Virtual Desktop portálon. Több mint 132 virtuális gép létrehozásához futtassa többször az ARM-sablon üzembe helyezését az Azure Virtual Desktop portálon.
• Az Azure-beli virtuális gép munkamenet-állomásnév előtagjai nem haladhatják meg a 11 karaktert a példánynevek automatikus hozzárendelése és a számítógépfiókonkénti 15 karakteres NetBIOS-korlát miatt.
• Alapértelmezés szerint egy erőforráscsoportban a legtöbb erőforrástípus legfeljebb 800 példányát helyezheti üzembe. Az Azure Compute nem rendelkezik ezzel a korlátval.

Az Azure-előfizetés korlátozásairól további információt az Azure-előfizetések és -szolgáltatások korlátai, kvótái és megkötései című témakörben talál.

A forgatókönyv üzembe helyezése

Arm-sablonok gyűjteményei automatizálhatják az Azure Virtual Desktop-környezet üzembe helyezését. Ezek az ARM-sablonok csak az Azure Resource Manager Azure Virtual Desktop-objektumokat támogatják. Ezek az ARM-sablonok nem támogatják az Azure Virtual Desktopot (klasszikus).

További forgatókönyvek érhetők el a Microsoft Developer Toolsban, amelyek számos üzembe helyezési lehetőséget támogatnak:

• Azure Virtual Desktop és Microsoft Entra ID Join
• Azure Virtual Desktop FSLogix- és AD DS-csatlakozással

Közreműködők

Ezt a cikket a Microsoft tartja karban. Eredetileg a következő közreműködők írták.

Fő szerző:

• Tom Hickling | Vezető termékmenedzser, Azure Virtual Desktop Engineering

Egyéb közreműködő:

• Nelson Del Villar | Felhőmegoldás-tervező, Azure Core-infrastruktúra

Következő lépések

• Az Azure Virtual Desktop partnerintegrációi a jóváhagyott Azure Virtual Desktop-partnerszolgáltatókat és független szoftverszállítókat sorolják fel.
• A Virtuális asztal optimalizálási eszközével optimalizálhatja a teljesítményt Windows 11 Enterprise VDI (virtuális asztali infrastruktúra) környezetben.
• További információ: Microsoft Entra csatlakoztatott virtuális gépek üzembe helyezése az Azure Virtual Desktopban.
• További információ az Active Directory Domain Services szolgáltatásról.
• Mi a Microsoft Entra Connect?
• További információ az Azure Virtual Desktop Well-Architected-keretrendszerről

Kapcsolódó erőforrások

• Több Active Directory-erdő architektúrájáról további információt az Azure Virtual Desktop Több Active Directory-erdő architektúrája című témakörben talál.