Hálózatkezelési és kapcsolódási szempontok az Azure Virtual Desktop számítási feladataihoz
Ez a cikk egy Azure Virtual Desktop-számítási feladat hálózatkezelési és kapcsolattervezési területét ismerteti. Az Azure Virtual Desktop kezdőzónájához kritikus fontosságú az Azure-beli hálózati képességek tervezése és megvalósítása. Ez a cikk alapként számos Azure Well-Architected Framework nagyvállalati szintű célzóna architekturális alapelvet és javaslatokat használ. Ebből az útmutatóból megtudhatja, hogyan kezelheti a hálózati topológiát és a kapcsolatot nagy méretekben.
Fontos
Ez a cikk az Azure Well-Architected Framework Azure Virtual Desktop számítási feladatok sorozatának része. Ha nem ismeri ezt a sorozatot, javasoljuk, hogy kezdje a Mi az Az Azure Virtual Desktop számítási feladat? című témakört.
Ügyfélkésés
Hatás: Teljesítményhatékonyság
A végfelhasználók és a munkamenet-gazdagépek közötti késés kulcsfontosságú szempont, amely hatással van az Azure Virtual Desktop felhasználói élményére. Az Azure Virtual Desktop élménybecslő eszközével megbecsülheti a kapcsolat menetidejének (RTT-k) becslését. Ez az eszköz az RTT-ket a felhasználói helyekről az Azure Virtual Desktop szolgáltatáson keresztül minden olyan Azure-régióra becsüli, amelyben virtuális gépeket (virtuális gépeket) helyez üzembe.
A végfelhasználói élmény minőségének értékelése:
- A fejlesztési, tesztelési és megvalósíthatósági tesztkörnyezetekben a végpontok közötti késések tesztelése. Ennek a tesztnek figyelembe kell vennie a felhasználók tényleges élményét. Figyelembe kell vennie az olyan tényezőket, mint a hálózati feltételek, a végfelhasználói eszközök és az üzembe helyezett virtuális gépek konfigurációja.
- Ne feledje, hogy a késés a távoli protokollokkal való kapcsolatnak csak egy aspektusa. A sávszélesség és a felhasználói számítási feladatok a végfelhasználói élményt is befolyásolják.
Javaslatok
- Az Azure Virtual Desktop élménybecslője segítségével gyűjtse össze a becsült késési értékeket.
- Tesztelje az Azure-beli virtuális hálózatok és a helyszíni rendszerek közötti késéseket.
- Használjon felosztott alagutat, amely a User Datagram Protocol (UDP) protokollon alapul a pont–hely (P2S) VPN-kapcsolatot használó ügyfelek számára.
- A Remote Desktop Protocol (RDP) Shortpath használata felügyelt hálózattal vpn-t vagy Azure ExpressRoute-ot használó helyszíni ügyfelek számára.
Helyszíni kapcsolat (hibrid hálózatkezelés)
Hatás: Teljesítményhatékonyság, működési kiválóság
Egyes szervezetek olyan hibrid modelleket használnak, amelyek helyszíni és felhőbeli erőforrásokat is tartalmaznak. Sok hibrid esetben az Azure Virtual Desktopon futó végfelhasználói munkafolyamatoknak el kell érniük a helyszíni erőforrásokat, például a megosztott vagy platformszolgáltatásokat, adatokat vagy alkalmazásokat.
A hibrid hálózatkezelés megvalósításakor tekintse át az ajánlott eljárásokat és javaslatokat a felhőadaptálási keretrendszer Hálózati topológia és kapcsolat című cikkben.
Fontos, hogy igazodjon az Azure Virtual Desktop skálázási modelljéhez, amely az Azure Virtual Desktop számítási feladatainak integrálása az Azure-beli kezdőzónákkal című témakörben található. A modell követése:
- Mérje fel a helyszíni rendszerekhez csatlakozó Azure Virtual Desktop-munkafolyamatok késési és sávszélesség-követelményeit. Ezek az információk kulcsfontosságúak a hibrid hálózati architektúra tervezésekor.
- Győződjön meg arról, hogy nincsenek átfedésben az IP-címek az Azure Virtual Desktop-alhálózatok és a helyszíni hálózatok között. Javasoljuk, hogy rendelje hozzá az IP-címzés feladatát a hálózati tervezőkhöz, akik a kapcsolati előfizetés tulajdonosai.
- Adjon meg minden Azure Virtual Desktop-célzónának saját virtuális hálózatot és alhálózatot.
- Az alhálózatok megfelelő méretének meghatározásához mérlegelje a potenciális növekedést, amikor meghatározza a szükséges IP-címterületet.
- Az INTELLIGENS IP-címtartomány nélküli tartományközi útválasztás (CIDR) jelölésének használatával elkerülheti az IP-címtér elpapazását.
Javaslatok
- Tekintse át az Azure-beli virtuális hálózatok helyszíni rendszerekhez való csatlakoztatásának ajánlott eljárásait.
- Tesztelje az Azure-beli virtuális hálózatok és a helyszíni rendszerek közötti késéseket.
- Győződjön meg arról, hogy az Azure Virtual Desktop kezdőzónájában nem használnak átfedésben lévő IP-címeket.
- Adjon meg minden Azure Virtual Desktop-célzónának saját virtuális hálózatot és alhálózatot.
- Fontolja meg a potenciális növekedést az Azure Virtual Desktop-alhálózatok méretezésekor.
Többrégiós kapcsolat
Hatás: Teljesítményhatékonyság, költségoptimalizálás
Ahhoz, hogy az Azure Virtual Desktop többrégiós üzemelő példánya a lehető legjobb élményt nyújthassa a végfelhasználók számára, a tervezésnek a következő tényezőket kell figyelembe vennie:
- Platformszolgáltatások, például identitás, névfeloldás, hibrid kapcsolat és tárolási szolgáltatások. Az Azure Virtual Desktop-munkamenetgazdák és ezek a szolgáltatások közötti kapcsolat kulcsfontosságú ahhoz, hogy a szolgáltatás működőképes legyen. Ennek eredményeképpen az ideális kialakítás célja, hogy csökkentse az Azure Virtual Desktop kezdőzóna-alhálózatainak késését ezekre a szolgáltatásokra. Ezt a célt úgy érheti el, hogy minden régióba replikálja a szolgáltatásokat, vagy elérhetővé teszi őket a lehető legkisebb késéssel rendelkező kapcsolaton keresztül.
- Végfelhasználói késés. Ha egy többrégiós Azure Virtual Desktop-környezethez használandó helyeket választ, fontos figyelembe venni a felhasználók által a szolgáltatáshoz való csatlakozáskor tapasztalt késést. Azt javasoljuk, hogy gyűjtsön késési adatokat a végfelhasználói sokaságból az Azure Virtual Desktop élménybecslő használatával, amikor kiválasztja az Azure-régiókat a munkamenet-gazdagépek üzembe helyezéséhez.
Vegye figyelembe a következő tényezőket is:
- Alkalmazásfüggőségek régiók között.
- Virtuálisgép-termékváltozat rendelkezésre állása.
- Az internetes kimenő forgalomhoz, régiók közötti forgalomhoz és hibrid (helyszíni) forgalomhoz kapcsolódó hálózati költségek, amelyeket az alkalmazás vagy a számítási feladatok függőségei igényelnek.
- Az FSLogix felhőgyorsítótár szolgáltatás által a hálózatkezelésre helyezett többletterhelés. Ez a tényező csak akkor lényeges, ha ezt a funkciót használja a felhasználói profil adatainak különböző régiók közötti replikálásához. Vegye figyelembe a szolgáltatás által használt megnövekedett hálózati forgalom és tárolás költségeit is.
Ha lehetséges, használjon gyorsított hálózatkezelést kínáló virtuálisgép-termékváltozatokat. A nagy sávszélességet használó számítási feladatokban a gyorsított hálózatkezelés csökkentheti a processzorhasználatot és a késést.
A hálózat rendelkezésre álló sávszélessége jelentősen befolyásolja a távoli munkamenetek minőségét. Ennek eredményeképpen érdemes felmérni a hálózati sávszélességre vonatkozó követelményeket a felhasználók számára annak biztosítása érdekében, hogy elegendő sávszélesség legyen elérhető a helyszíni függőségekhez.
Javaslatok
- Minden régióba replikálhatja a platform- és megosztott szolgáltatásokat, amikor a belső szabályzatok lehetővé teszik.
- Ha lehetséges, gyorsított hálózatkezelést kínáló virtuálisgép-termékváltozatokat használjon.
- Adja meg a végfelhasználók késési becsléseit a régióválasztási folyamatba.
- Vegye figyelembe a számítási feladatok típusait, amikor megbecsüli a sávszélességre vonatkozó követelményeket, és figyeli a valós felhasználói kapcsolatokat.
Hálózati biztonság
Hatás: biztonság, költségoptimalizálás, működési kiválóság
A hálózati biztonság hagyományosan a vállalati biztonsági erőfeszítések egyik fő éke. A felhőalapú számítástechnika azonban megnövelte a hálózati szegélyek porózusabbra való követelményét, és sok támadó elsajátította az identitásrendszer-elemek elleni támadások művészetét. Az alábbi pontok áttekintést nyújtanak az Azure Virtual Desktop üzembe helyezésének minimális tűzfalkövetelményeiről. Ez a szakasz a tűzfalhoz való csatlakozásra és a szolgáltatást igénylő alkalmazások elérésére vonatkozó javaslatokat is tartalmaz.
- A megbízható intranetes megközelítésen alapuló hagyományos hálózati vezérlők nem nyújtanak hatékonyan biztonsági biztosítékokat a felhőalkalmazásokhoz.
- A naplók hálózati eszközökről és nyers hálózati forgalomból történő integrálása lehetővé teszi a potenciális biztonsági fenyegetések áttekintését.
- A legtöbb szervezet végül az eredetileg tervezettnél több erőforrást ad hozzá a hálózatokhoz. Ennek eredményeképpen az IP-címeket és az alhálózati sémákat újra kell bontani a további erőforrások fogadására. Ez a folyamat munkaigényes. Korlátozott a biztonsági érték, ha nagy számú kis alhálózatot hoz létre, majd megpróbálja mindegyikhez hozzárendelni a hálózati hozzáférés-vezérléseket, például a biztonsági csoportokat.
Az eszközök hálózati forgalomra vonatkozó vezérlők elhelyezésével történő védelmével kapcsolatos általános információkért lásd: Hálózati és kapcsolati javaslatok.
Javaslatok
- Megismerheti az üzembe helyezési Azure Firewall használatához szükséges konfigurációkat. További információ: Az Azure Virtual Desktop-környezetek védelme a Azure Firewall használatával.
- Hozzon létre hálózati biztonsági csoportokat és alkalmazásbiztonsági csoportokat az Azure Virtual Desktop-forgalom szegmentálásához. Ez a gyakorlat segít elkülöníteni az alhálózatokat a forgalmi folyamatok szabályozásával.
- Az Azure-szolgáltatásokhoz adott IP-címek helyett használjon szolgáltatáscímkéket . Mivel a címek megváltoznak, ez a megközelítés minimálisra csökkenti a hálózati biztonsági szabályok gyakori frissítésének összetettségét.
- Ismerkedjen meg az Azure Virtual Desktophoz szükséges URL-címekkel.
- Útvonaltáblával engedélyezheti, hogy az Azure Virtual Desktop-forgalom megkerülje azokat a kényszerített bújtatási szabályokat, amelyekkel a forgalmat egy tűzfalra vagy hálózati virtuális berendezésre (NVA) irányíthatja. Ellenkező esetben a kényszerített bújtatás hatással lehet az ügyfelek kapcsolatának teljesítményére és megbízhatóságára.
- Privát végpontok használatával védheti a szolgáltatásként nyújtott platform (PaaS) megoldásait, például a Azure Files és az Azure Key Vault. Vegye figyelembe azonban a privát végpontok használatának költségeit.
- Módosítsa a Azure Private Link konfigurációs beállításait. Ha ezt a szolgáltatást az Azure Virtual Desktoppal használja, letilthatja az Azure Virtual Desktop vezérlősík-összetevőinek nyilvános végpontjait, és privát végpontokkal elkerülheti a nyilvános IP-címek használatát.
- Szigorú tűzfalszabályzatok implementálása Active Directory tartományi szolgáltatások (AD DS) használata esetén. Ezeket a szabályzatokat a tartományon belül szükséges forgalomra alapozhatja.
- Fontolja meg Azure Firewall vagy NVA-webszűrés használatát, hogy megvédje a végfelhasználók internet-hozzáférését az Azure Virtual Desktop munkamenetgazdáitól.
Privát végpontok (Private Link)
Hatás: Biztonság
Alapértelmezés szerint az Azure Virtual Desktop-erőforrásokhoz való kapcsolatok nyilvánosan elérhető végponton keresztül jönnek létre. Bizonyos esetekben a forgalomnak privát kapcsolatokat kell használnia. Ezek a forgatókönyvek a Private Link használatával privát módon csatlakozhatnak távoli Azure Virtual Desktop-erőforrásokhoz. További információ: Azure Private Link az Azure Virtual Desktoppal. Privát végpont létrehozásakor a virtuális hálózat és a szolgáltatás közötti forgalom a Microsoft-hálózaton marad. A szolgáltatás nem érhető el a nyilvános interneten.
Az Azure Virtual Desktop privát végpontjaival a következő forgatókönyveket támogathatja:
- Az ügyfelek vagy a végfelhasználók és a munkamenetgazda virtuális gépek egyaránt privát útvonalakat használnak.
- Az ügyfelek vagy a végfelhasználók nyilvános útvonalakat használnak, míg a munkamenetgazda virtuális gépek privát útvonalakat használnak.
Az Azure Virtual Desktop-munkamenetgazdák névfeloldási követelményei megegyeznek a szolgáltatásként nyújtott egyéb infrastruktúra (IaaS) számítási feladataival. Ennek eredményeképpen a munkamenetgazdáknak csatlakozniuk kell a privát végpont IP-címeinek feloldására konfigurált névfeloldási szolgáltatásokhoz. Ezért privát végpontok használatakor adott DNS-beállításokat kell konfigurálnia. Részletes információkért lásd: Azure privát végpont DNS-konfigurációja.
Private Link az Azure Virtual Desktoppal együtt működő egyéb Azure-szolgáltatásokhoz is elérhető, például Azure Files és Key Vault. Javasoljuk, hogy privát végpontokat is implementáljon ezekhez a szolgáltatásokhoz, hogy a forgalom privát maradjon.
Javaslatok
- Ismerje meg, hogyan működik a Private Link az Azure Virtual Desktoppal. További információ: Azure Private Link az Azure Virtual Desktoppal.
- Megismerheti az Azure privát végpontjaihoz szükséges DNS-konfigurációkat. További információ: Azure privát végpont DNS-konfigurációja.
RDP rövid elérési útja
Hatás: Teljesítményhatékonyság, költségoptimalizálás
Az RDP Shortpath az Azure Virtual Desktop egyik funkciója, amely felügyelt és nem felügyelt hálózatokhoz érhető el.
- Felügyelt hálózatok esetén az RDP Shortpath közvetlen kapcsolatot hoz létre egy távoli asztali ügyfél és egy munkamenetgazda között. Az átvitel az UDP-n alapul. Az extra továbbítási pontok eltávolításával az RDP Shortpath csökkenti az oda-vissza menetidőt, ami javítja a felhasználói élményt a késésre érzékeny alkalmazásokban és a bemeneti módszerekben. Az RDP Shortpath támogatásához az Azure Virtual Desktop-ügyfélnek közvetlen látóvonalra van szüksége a munkamenetgazda számára. Az ügyfélnek telepítenie kell a Windows asztali ügyfelet is, és futtatnia kell Windows 11 vagy Windows 10.
- Nem felügyelt hálózatok esetében két kapcsolattípus lehetséges:
- Közvetlen kapcsolat jön létre az ügyfél és a munkamenetgazda között. A hálózati címfordítás (STUN) és az interaktív kapcsolatlétrehozás (ICE) alatti egyszerű bejárás a kapcsolat létrehozásához használható. Ez a konfiguráció javítja az Azure Virtual Desktop átviteli megbízhatóságát. További információ: Az RDP shortpath működése.
- Létrejön egy közvetett UDP-kapcsolat. A hálózati címfordítás (NAT) korlátait a Relay NAT (TURN) protokoll és az ügyfél és a munkamenetgazda közötti továbbítás használatával oldja meg.
A Transmission Control Protocolon (TCP) alapuló átvitel esetén a virtuális gépről egy RDP-ügyfélre irányuló kimenő forgalom egy Azure Virtual Desktop-átjárón halad át. Az RDP Shortpath használatával a kimenő forgalom közvetlenül a munkamenetgazda és az RDP-ügyfél között áramlik az interneten keresztül. Ez a konfiguráció segít kiküszöbölni az ugrást, és javítani a késést és a végfelhasználói élményt.
Javaslatok
- Az RDP Shortpath használatával javíthatja a késést és a végfelhasználói élményt.
- Vegye figyelembe az RDP shortpath kapcsolati modellek rendelkezésre állását.
- Vegye figyelembe az RDP shortpath díjait.
Következő lépések
Most, hogy megvizsgálta a hálózatkezelést és a kapcsolatot az Azure Virtual Desktopban, vizsgálja meg az infrastruktúra és a számítási feladatok monitorozásának ajánlott eljárásait.
Az értékelési eszközzel kiértékelheti a tervezési lehetőségeket.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: