Megosztás a következőn keresztül:

Hálózatkezelési és kapcsolódási szempontok az Azure Virtual Desktop számítási feladataihoz

  • Cikk

Ez a cikk egy Azure Virtual Desktop-számítási feladat hálózatkezelési és kapcsolattervezési területét ismerteti. Az Azure Virtual Desktop kezdőzónájához kritikus fontosságú az Azure-beli hálózati képességek tervezése és megvalósítása. Ez a cikk alapként számos Azure Well-Architected Framework nagyvállalati szintű célzóna architekturális alapelvet és javaslatokat használ. Ebből az útmutatóból megtudhatja, hogyan kezelheti a hálózati topológiát és a kapcsolatot nagy méretekben.

Fontos

Ez a cikk az Azure Well-Architected Framework Azure Virtual Desktop számítási feladatok sorozatának része. Ha nem ismeri ezt a sorozatot, javasoljuk, hogy kezdje a Mi az Az Azure Virtual Desktop számítási feladat? című témakört.

Ügyfélkésés

Hatás: Teljesítményhatékonyság

A végfelhasználók és a munkamenet-gazdagépek közötti késés kulcsfontosságú szempont, amely hatással van az Azure Virtual Desktop felhasználói élményére. Az Azure Virtual Desktop élménybecslő eszközével megbecsülheti a kapcsolat menetidejének (RTT-k) becslését. Ez az eszköz az RTT-ket a felhasználói helyekről az Azure Virtual Desktop szolgáltatáson keresztül minden olyan Azure-régióra becsüli, amelyben virtuális gépeket (virtuális gépeket) helyez üzembe.

A végfelhasználói élmény minőségének értékelése:

  • A fejlesztési, tesztelési és megvalósíthatósági tesztkörnyezetekben a végpontok közötti késések tesztelése. Ennek a tesztnek figyelembe kell vennie a felhasználók tényleges élményét. Figyelembe kell vennie az olyan tényezőket, mint a hálózati feltételek, a végfelhasználói eszközök és az üzembe helyezett virtuális gépek konfigurációja.
  • Ne feledje, hogy a késés a távoli protokollokkal való kapcsolatnak csak egy aspektusa. A sávszélesség és a felhasználói számítási feladatok a végfelhasználói élményt is befolyásolják.
Javaslatok
  • Az Azure Virtual Desktop élménybecslője segítségével gyűjtse össze a becsült késési értékeket.
  • Tesztelje az Azure-beli virtuális hálózatok és a helyszíni rendszerek közötti késéseket.
  • Használjon felosztott alagutat, amely a User Datagram Protocol (UDP) protokollon alapul a pont–hely (P2S) VPN-kapcsolatot használó ügyfelek számára.
  • A Remote Desktop Protocol (RDP) Shortpath használata felügyelt hálózattal vpn-t vagy Azure ExpressRoute-ot használó helyszíni ügyfelek számára.

Helyszíni kapcsolat (hibrid hálózatkezelés)

Hatás: Teljesítményhatékonyság, működési kiválóság

Egyes szervezetek olyan hibrid modelleket használnak, amelyek helyszíni és felhőbeli erőforrásokat is tartalmaznak. Sok hibrid esetben az Azure Virtual Desktopon futó végfelhasználói munkafolyamatoknak el kell érniük a helyszíni erőforrásokat, például a megosztott vagy platformszolgáltatásokat, adatokat vagy alkalmazásokat.

A hibrid hálózatkezelés megvalósításakor tekintse át az ajánlott eljárásokat és javaslatokat a felhőadaptálási keretrendszer Hálózati topológia és kapcsolat című cikkben.

Fontos, hogy igazodjon az Azure Virtual Desktop skálázási modelljéhez, amely az Azure Virtual Desktop számítási feladatainak integrálása az Azure-beli kezdőzónákkal című témakörben található. A modell követése:

  • Mérje fel a helyszíni rendszerekhez csatlakozó Azure Virtual Desktop-munkafolyamatok késési és sávszélesség-követelményeit. Ezek az információk kulcsfontosságúak a hibrid hálózati architektúra tervezésekor.
  • Győződjön meg arról, hogy nincsenek átfedésben az IP-címek az Azure Virtual Desktop-alhálózatok és a helyszíni hálózatok között. Javasoljuk, hogy rendelje hozzá az IP-címzés feladatát a hálózati tervezőkhöz, akik a kapcsolati előfizetés tulajdonosai.
  • Adjon meg minden Azure Virtual Desktop-célzónának saját virtuális hálózatot és alhálózatot.
  • Az alhálózatok megfelelő méretének meghatározásához mérlegelje a potenciális növekedést, amikor meghatározza a szükséges IP-címterületet.
  • Az INTELLIGENS IP-címtartomány nélküli tartományközi útválasztás (CIDR) jelölésének használatával elkerülheti az IP-címtér elpapazását.
Javaslatok
  • Tekintse át az Azure-beli virtuális hálózatok helyszíni rendszerekhez való csatlakoztatásának ajánlott eljárásait.
  • Tesztelje az Azure-beli virtuális hálózatok és a helyszíni rendszerek közötti késéseket.
  • Győződjön meg arról, hogy az Azure Virtual Desktop kezdőzónájában nem használnak átfedésben lévő IP-címeket.
  • Adjon meg minden Azure Virtual Desktop-célzónának saját virtuális hálózatot és alhálózatot.
  • Fontolja meg a potenciális növekedést az Azure Virtual Desktop-alhálózatok méretezésekor.

Többrégiós kapcsolat

Hatás: Teljesítményhatékonyság, költségoptimalizálás

Ahhoz, hogy az Azure Virtual Desktop többrégiós üzemelő példánya a lehető legjobb élményt nyújthassa a végfelhasználók számára, a tervezésnek a következő tényezőket kell figyelembe vennie:

  • Platformszolgáltatások, például identitás, névfeloldás, hibrid kapcsolat és tárolási szolgáltatások. Az Azure Virtual Desktop-munkamenetgazdák és ezek a szolgáltatások közötti kapcsolat kulcsfontosságú ahhoz, hogy a szolgáltatás működőképes legyen. Ennek eredményeképpen az ideális kialakítás célja, hogy csökkentse az Azure Virtual Desktop kezdőzóna-alhálózatainak késését ezekre a szolgáltatásokra. Ezt a célt úgy érheti el, hogy minden régióba replikálja a szolgáltatásokat, vagy elérhetővé teszi őket a lehető legkisebb késéssel rendelkező kapcsolaton keresztül.
  • Végfelhasználói késés. Ha egy többrégiós Azure Virtual Desktop-környezethez használandó helyeket választ, fontos figyelembe venni a felhasználók által a szolgáltatáshoz való csatlakozáskor tapasztalt késést. Azt javasoljuk, hogy gyűjtsön késési adatokat a végfelhasználói sokaságból az Azure Virtual Desktop élménybecslő használatával, amikor kiválasztja az Azure-régiókat a munkamenet-gazdagépek üzembe helyezéséhez.

Vegye figyelembe a következő tényezőket is:

  • Alkalmazásfüggőségek régiók között.
  • Virtuálisgép-termékváltozat rendelkezésre állása.
  • Az internetes kimenő forgalomhoz, régiók közötti forgalomhoz és hibrid (helyszíni) forgalomhoz kapcsolódó hálózati költségek, amelyeket az alkalmazás vagy a számítási feladatok függőségei igényelnek.
  • Az FSLogix felhőgyorsítótár szolgáltatás által a hálózatkezelésre helyezett többletterhelés. Ez a tényező csak akkor lényeges, ha ezt a funkciót használja a felhasználói profil adatainak különböző régiók közötti replikálásához. Vegye figyelembe a szolgáltatás által használt megnövekedett hálózati forgalom és tárolás költségeit is.

Ha lehetséges, használjon gyorsított hálózatkezelést kínáló virtuálisgép-termékváltozatokat. A nagy sávszélességet használó számítási feladatokban a gyorsított hálózatkezelés csökkentheti a processzorhasználatot és a késést.

A hálózat rendelkezésre álló sávszélessége jelentősen befolyásolja a távoli munkamenetek minőségét. Ennek eredményeképpen érdemes felmérni a hálózati sávszélességre vonatkozó követelményeket a felhasználók számára annak biztosítása érdekében, hogy elegendő sávszélesség legyen elérhető a helyszíni függőségekhez.

Javaslatok
  • Minden régióba replikálhatja a platform- és megosztott szolgáltatásokat, amikor a belső szabályzatok lehetővé teszik.
  • Ha lehetséges, gyorsított hálózatkezelést kínáló virtuálisgép-termékváltozatokat használjon.
  • Adja meg a végfelhasználók késési becsléseit a régióválasztási folyamatba.
  • Vegye figyelembe a számítási feladatok típusait, amikor megbecsüli a sávszélességre vonatkozó követelményeket, és figyeli a valós felhasználói kapcsolatokat.

Hálózati biztonság

Hatás: biztonság, költségoptimalizálás, működési kiválóság

A hálózati biztonság hagyományosan a vállalati biztonsági erőfeszítések egyik fő éke. A felhőalapú számítástechnika azonban megnövelte a hálózati szegélyek porózusabbra való követelményét, és sok támadó elsajátította az identitásrendszer-elemek elleni támadások művészetét. Az alábbi pontok áttekintést nyújtanak az Azure Virtual Desktop üzembe helyezésének minimális tűzfalkövetelményeiről. Ez a szakasz a tűzfalhoz való csatlakozásra és a szolgáltatást igénylő alkalmazások elérésére vonatkozó javaslatokat is tartalmaz.

  • A megbízható intranetes megközelítésen alapuló hagyományos hálózati vezérlők nem nyújtanak hatékonyan biztonsági biztosítékokat a felhőalkalmazásokhoz.
  • A naplók hálózati eszközökről és nyers hálózati forgalomból történő integrálása lehetővé teszi a potenciális biztonsági fenyegetések áttekintését.
  • A legtöbb szervezet végül az eredetileg tervezettnél több erőforrást ad hozzá a hálózatokhoz. Ennek eredményeképpen az IP-címeket és az alhálózati sémákat újra kell bontani a további erőforrások fogadására. Ez a folyamat munkaigényes. Korlátozott a biztonsági érték, ha nagy számú kis alhálózatot hoz létre, majd megpróbálja mindegyikhez hozzárendelni a hálózati hozzáférés-vezérléseket, például a biztonsági csoportokat.

Az eszközök hálózati forgalomra vonatkozó vezérlők elhelyezésével történő védelmével kapcsolatos általános információkért lásd: Hálózati és kapcsolati javaslatok.

Javaslatok
  • Megismerheti az üzembe helyezési Azure Firewall használatához szükséges konfigurációkat. További információ: Az Azure Virtual Desktop-környezetek védelme a Azure Firewall használatával.
  • Hozzon létre hálózati biztonsági csoportokat és alkalmazásbiztonsági csoportokat az Azure Virtual Desktop-forgalom szegmentálásához. Ez a gyakorlat segít elkülöníteni az alhálózatokat a forgalmi folyamatok szabályozásával.
  • Az Azure-szolgáltatásokhoz adott IP-címek helyett használjon szolgáltatáscímkéket . Mivel a címek megváltoznak, ez a megközelítés minimálisra csökkenti a hálózati biztonsági szabályok gyakori frissítésének összetettségét.
  • Ismerkedjen meg az Azure Virtual Desktophoz szükséges URL-címekkel.
  • Útvonaltáblával engedélyezheti, hogy az Azure Virtual Desktop-forgalom megkerülje azokat a kényszerített bújtatási szabályokat, amelyekkel a forgalmat egy tűzfalra vagy hálózati virtuális berendezésre (NVA) irányíthatja. Ellenkező esetben a kényszerített bújtatás hatással lehet az ügyfelek kapcsolatának teljesítményére és megbízhatóságára.
  • Privát végpontok használatával védheti a szolgáltatásként nyújtott platform (PaaS) megoldásait, például a Azure Files és az Azure Key Vault. Vegye figyelembe azonban a privát végpontok használatának költségeit.
  • Módosítsa a Azure Private Link konfigurációs beállításait. Ha ezt a szolgáltatást az Azure Virtual Desktoppal használja, letilthatja az Azure Virtual Desktop vezérlősík-összetevőinek nyilvános végpontjait, és privát végpontokkal elkerülheti a nyilvános IP-címek használatát.
  • Szigorú tűzfalszabályzatok implementálása Active Directory tartományi szolgáltatások (AD DS) használata esetén. Ezeket a szabályzatokat a tartományon belül szükséges forgalomra alapozhatja.
  • Fontolja meg Azure Firewall vagy NVA-webszűrés használatát, hogy megvédje a végfelhasználók internet-hozzáférését az Azure Virtual Desktop munkamenetgazdáitól.

Hatás: Biztonság

Alapértelmezés szerint az Azure Virtual Desktop-erőforrásokhoz való kapcsolatok nyilvánosan elérhető végponton keresztül jönnek létre. Bizonyos esetekben a forgalomnak privát kapcsolatokat kell használnia. Ezek a forgatókönyvek a Private Link használatával privát módon csatlakozhatnak távoli Azure Virtual Desktop-erőforrásokhoz. További információ: Azure Private Link az Azure Virtual Desktoppal. Privát végpont létrehozásakor a virtuális hálózat és a szolgáltatás közötti forgalom a Microsoft-hálózaton marad. A szolgáltatás nem érhető el a nyilvános interneten.

Az Azure Virtual Desktop privát végpontjaival a következő forgatókönyveket támogathatja:

  • Az ügyfelek vagy a végfelhasználók és a munkamenetgazda virtuális gépek egyaránt privát útvonalakat használnak.
  • Az ügyfelek vagy a végfelhasználók nyilvános útvonalakat használnak, míg a munkamenetgazda virtuális gépek privát útvonalakat használnak.

Az Azure Virtual Desktop-munkamenetgazdák névfeloldási követelményei megegyeznek a szolgáltatásként nyújtott egyéb infrastruktúra (IaaS) számítási feladataival. Ennek eredményeképpen a munkamenetgazdáknak csatlakozniuk kell a privát végpont IP-címeinek feloldására konfigurált névfeloldási szolgáltatásokhoz. Ezért privát végpontok használatakor adott DNS-beállításokat kell konfigurálnia. Részletes információkért lásd: Azure privát végpont DNS-konfigurációja.

Private Link az Azure Virtual Desktoppal együtt működő egyéb Azure-szolgáltatásokhoz is elérhető, például Azure Files és Key Vault. Javasoljuk, hogy privát végpontokat is implementáljon ezekhez a szolgáltatásokhoz, hogy a forgalom privát maradjon.

Javaslatok

RDP rövid elérési útja

Hatás: Teljesítményhatékonyság, költségoptimalizálás

Az RDP Shortpath az Azure Virtual Desktop egyik funkciója, amely felügyelt és nem felügyelt hálózatokhoz érhető el.

  • Felügyelt hálózatok esetén az RDP Shortpath közvetlen kapcsolatot hoz létre egy távoli asztali ügyfél és egy munkamenetgazda között. Az átvitel az UDP-n alapul. Az extra továbbítási pontok eltávolításával az RDP Shortpath csökkenti az oda-vissza menetidőt, ami javítja a felhasználói élményt a késésre érzékeny alkalmazásokban és a bemeneti módszerekben. Az RDP Shortpath támogatásához az Azure Virtual Desktop-ügyfélnek közvetlen látóvonalra van szüksége a munkamenetgazda számára. Az ügyfélnek telepítenie kell a Windows asztali ügyfelet is, és futtatnia kell Windows 11 vagy Windows 10.
  • Nem felügyelt hálózatok esetében két kapcsolattípus lehetséges:
    • Közvetlen kapcsolat jön létre az ügyfél és a munkamenetgazda között. A hálózati címfordítás (STUN) és az interaktív kapcsolatlétrehozás (ICE) alatti egyszerű bejárás a kapcsolat létrehozásához használható. Ez a konfiguráció javítja az Azure Virtual Desktop átviteli megbízhatóságát. További információ: Az RDP shortpath működése.
    • Létrejön egy közvetett UDP-kapcsolat. A hálózati címfordítás (NAT) korlátait a Relay NAT (TURN) protokoll és az ügyfél és a munkamenetgazda közötti továbbítás használatával oldja meg.

A Transmission Control Protocolon (TCP) alapuló átvitel esetén a virtuális gépről egy RDP-ügyfélre irányuló kimenő forgalom egy Azure Virtual Desktop-átjárón halad át. Az RDP Shortpath használatával a kimenő forgalom közvetlenül a munkamenetgazda és az RDP-ügyfél között áramlik az interneten keresztül. Ez a konfiguráció segít kiküszöbölni az ugrást, és javítani a késést és a végfelhasználói élményt.

Javaslatok
  • Az RDP Shortpath használatával javíthatja a késést és a végfelhasználói élményt.
  • Vegye figyelembe az RDP shortpath kapcsolati modellek rendelkezésre állását.
  • Vegye figyelembe az RDP shortpath díjait.

Következő lépések

Most, hogy megvizsgálta a hálózatkezelést és a kapcsolatot az Azure Virtual Desktopban, vizsgálja meg az infrastruktúra és a számítási feladatok monitorozásának ajánlott eljárásait.

Figyelés

Az értékelési eszközzel kiértékelheti a tervezési lehetőségeket.

Értékelés