Azure Virtual Desktop adalah layanan virtualisasi desktop dan aplikasi yang berjalan di Azure. Artikel ini dimaksudkan untuk membantu arsitek infrastruktur desktop, arsitek cloud, administrator desktop, dan administrator sistem menjelajahi Azure Virtual Desktop dan membangun solusi infrastruktur desktop virtual (VDI) dalam skala perusahaan. Solusi skala perusahaan umumnya mencakup 1.000 atau lebih desktop virtual.
Sistem
Penyiapan arsitektur umum untuk Azure Virtual Desktop diilustrasikan dalam diagram berikut:
Unduh file Visio arsitektur ini.
Aliran data
Elemen aliran data diagram dijelaskan di sini:
Titik akhir aplikasi berada di jaringan lokal pelanggan. Azure ExpressRoute memperluas jaringan lokal ke Azure, dan Microsoft Entra Koneksi mengintegrasikan Active Directory Domain Services (AD DS) pelanggan dengan ID Microsoft Entra.
Sarana kontrol Azure Virtual Desktop menangani akses web, gateway, broker, diagnostik, dan komponen ekstensibilitas seperti REST API.
Pelanggan mengelola AD DS dan ID Microsoft Entra, langganan Azure, jaringan virtual, Azure Files atau Azure NetApp Files, dan kumpulan host dan ruang kerja Azure Virtual Desktop.
Untuk meningkatkan kapasitas, pelanggan menggunakan dua langganan Azure dalam arsitektur hub-spoke dan menghubungkannya melalui peering jaringan virtual.
Untuk informasi selengkapnya tentang Kontainer Profil FSLogix - Praktik terbaik Azure Files dan Azure NetApp Files, lihat Contoh konfigurasi FSLogix.
Komponen
Arsitektur layanan Azure Virtual Desktop mirip dengan Layanan Desktop Jarak Jauh Windows Server. Meskipun Microsoft mengelola infrastruktur dan komponen perantara, pelanggan perusahaan mengelola komputer virtual host desktop (VM), data, dan klien mereka sendiri.
Komponen yang dikelola Microsoft
Microsoft mengelola layanan Azure Virtual Desktop berikut, sebagai bagian dari Azure:
Akses Web: Dengan menggunakan layanan Akses Web dalam Azure Virtual Desktop, Anda dapat mengakses desktop virtual dan aplikasi jarak jauh melalui browser web yang kompatibel dengan HTML5 seperti yang Anda lakukan dengan PC lokal, dari mana saja dan di perangkat apa pun. Anda dapat mengamankan akses web dengan menggunakan autentikasi multifaktor di ID Microsoft Entra.
Gateway: Layanan Gateway Koneksi Jarak Jauh menghubungkan pengguna jarak jauh ke aplikasi dan desktop Azure Virtual Desktop dari perangkat apa pun yang tersambung ke internet yang dapat menjalankan klien Azure Virtual Desktop. Klien tersambung ke gateway, yang kemudian mengatur koneksi dari VM kembali ke gateway yang sama.
Connection Broker: Layanan Connection Broker mengelola koneksi pengguna ke desktop virtual dan aplikasi jarak jauh. Koneksi ion Broker menyediakan penyeimbangan beban dan koneksi ulang ke sesi yang ada.
Diagnostik: Diagnostik Desktop Jarak Jauh adalah agregator berbasis peristiwa yang menandai setiap tindakan pengguna atau administrator pada penyebaran Azure Virtual Desktop sebagai berhasil atau gagal. Administrator dapat mengkueri agregasi peristiwa untuk mengidentifikasi komponen yang gagal.
Komponen ekstensibilitas: Azure Virtual Desktop menyertakan beberapa komponen yang dapat diperpanjang. Anda dapat mengelola Azure Virtual Desktop dengan menggunakan Windows PowerShell atau dengan REST API yang disediakan, yang juga mengaktifkan dukungan dari alat pihak ketiga.
Komponen yang Anda kelola
Anda mengelola komponen solusi Azure Virtual Desktop berikut:
Azure Virtual Network: Dengan Azure Virtual Network, sumber daya Azure seperti VM dapat berkomunikasi secara privat satu sama lain dan dengan internet. Dengan menyambungkan kumpulan host Azure Virtual Desktop ke domain Active Directory, Anda dapat menentukan topologi jaringan untuk mengakses desktop virtual dan aplikasi virtual dari intranet atau internet, berdasarkan kebijakan organisasi. Anda dapat menyambungkan instans Azure Virtual Desktop ke jaringan lokal dengan menggunakan jaringan privat virtual (VPN), atau Anda dapat menggunakan Azure ExpressRoute untuk memperluas jaringan lokal ke Azure melalui koneksi privat.
ID Microsoft Entra: Azure Virtual Desktop menggunakan ID Microsoft Entra untuk manajemen identitas dan akses. Integrasi Microsoft Entra menerapkan fitur keamanan Microsoft Entra, seperti akses kondisional, autentikasi multifaktor, dan Grafik Keamanan Cerdas, dan membantu mempertahankan kompatibilitas aplikasi di VM yang bergabung dengan domain.
Active Directory Domain Services (Opsional): VM Azure Virtual Desktop dapat digabungkan dengan domain ke layanan AD DS atau menggunakan Menyebarkan komputer virtual yang bergabung dengan Microsoft Entra di Azure Virtual Desktop
- Saat menggunakan domain AD DS, domain harus sinkron dengan ID Microsoft Entra untuk mengaitkan pengguna di antara kedua layanan. Anda dapat menggunakan Microsoft Entra Koneksi untuk mengaitkan AD DS dengan ID Microsoft Entra.
- Saat menggunakan gabungan Microsoft Entra, tinjau konfigurasi yang didukung untuk memastikan skenario Anda didukung.
Host sesi Azure Virtual Desktop: Host sesi adalah VM yang disambungkan pengguna untuk desktop dan aplikasi mereka. Beberapa versi Windows didukung dan Anda dapat membuat gambar dengan aplikasi dan kustomisasi Anda. Anda dapat memilih ukuran VM, termasuk VM yang mendukung GPU. Setiap host sesi memiliki agen host Azure Virtual Desktop, yang mendaftarkan VM sebagai bagian dari ruang kerja atau penyewa Azure Virtual Desktop. Setiap kumpulan host dapat memiliki satu atau beberapa grup aplikasi, yang merupakan kumpulan aplikasi jarak jauh atau sesi desktop yang dapat Anda akses. Untuk melihat versi Windows mana yang didukung, lihat Sistem operasi dan lisensi.
Ruang kerja Azure Virtual Desktop: Ruang kerja atau penyewa Azure Virtual Desktop adalah konstruksi manajemen untuk mengelola dan menerbitkan sumber daya kumpulan host.
Detail skenario
Kemungkinan kasus penggunaan
Permintaan terbesar untuk solusi desktop virtual perusahaan berasal dari:
Aplikasi keamanan dan peraturan, seperti layanan keuangan, layanan kesehatan, dan pemerintah.
Kebutuhan tenaga kerja elastis, seperti pekerjaan jarak jauh, merger dan akuisisi, karyawan jangka pendek, kontraktor, dan akses mitra.
Karyawan tertentu, seperti membawa perangkat Anda sendiri (BYOD) dan pengguna seluler, pusat panggilan, dan pekerja cabang.
Beban kerja khusus, seperti desain dan rekayasa, aplikasi warisan, dan pengujian pengembangan perangkat lunak.
Desktop pribadi dan gabungan
Dengan menggunakan solusi desktop pribadi, kadang-kadang disebut desktop persisten, pengguna selalu dapat terhubung ke host sesi tertentu yang sama. Pengguna biasanya dapat memodifikasi pengalaman desktop mereka untuk memenuhi preferensi pribadi, dan mereka dapat menyimpan file di lingkungan desktop. Solusi desktop pribadi:
- Memungkinkan pengguna menyesuaikan lingkungan desktop mereka, termasuk aplikasi yang diinstal pengguna, dan pengguna dapat menyimpan file dalam lingkungan desktop.
- Izinkan menetapkan sumber daya khusus untuk pengguna tertentu, yang dapat membantu untuk beberapa kasus penggunaan manufaktur atau pengembangan.
Solusi desktop yang dikumpulkan, juga disebut desktop non-persisten, menetapkan pengguna ke host sesi mana pun yang saat ini tersedia, tergantung pada algoritma penyeimbangan beban. Karena pengguna tidak selalu kembali ke host sesi yang sama setiap kali terhubung, mereka memiliki kemampuan terbatas untuk menyesuaikan lingkungan desktop dan biasanya tidak memiliki akses administrator.
Layanan Windows
Ada beberapa opsi untuk memperbarui instans Azure Virtual Desktop. Menyebarkan gambar yang diperbarui setiap bulan menjamin kepatuhan dan status.
- Microsoft Endpoint Configuration Manager (MECM) memperbarui server dan sistem operasi desktop.
- Pembaruan Windows untuk Bisnis memperbarui sistem operasi desktop seperti multi-sesi Windows 10.
- Azure Update Management memperbarui sistem operasi server.
- Azure Log Analytics memeriksa kepatuhan.
- Terapkan gambar (kustom) baru ke host sesi setiap bulan untuk pembaruan Windows dan aplikasi terbaru. Anda dapat menggunakan gambar dari Marketplace Azure atau gambar kustom yang dikelola Azure.
Hubungan antara komponen logis utama
Hubungan antara kumpulan host, ruang kerja, dan komponen logis utama lainnya bervariasi. Mereka dirangkum dalam diagram berikut:
Angka dalam deskripsi berikut sesuai dengan angka dalam diagram sebelumnya.
- (1) Grup aplikasi yang berisi desktop yang diterbitkan hanya dapat berisi paket MSIX yang dipasang ke kumpulan host (paket akan tersedia di menu Mulai host sesi), tidak dapat berisi sumber daya lain yang diterbitkan dan disebut grup aplikasi desktop.
- (2) Grup aplikasi yang ditetapkan ke kumpulan host yang sama harus menjadi anggota ruang kerja yang sama.
- (3) Akun pengguna dapat ditetapkan ke grup aplikasi baik secara langsung atau melalui grup Microsoft Entra. Dimungkinkan untuk menetapkan tidak ada pengguna ke grup aplikasi, tetapi kemudian tidak dapat melayani apa pun.
- (4) Dimungkinkan untuk memiliki ruang kerja kosong, tetapi tidak dapat melayani pengguna.
- (5) Dimungkinkan untuk memiliki kumpulan host kosong, tetapi tidak dapat melayani pengguna.
- (6) Dimungkinkan bagi kumpulan host untuk tidak memiliki grup aplikasi apa pun yang ditetapkan untuknya tetapi tidak dapat melayani pengguna.
- (7) ID Microsoft Entra diperlukan untuk Azure Virtual Desktop. Ini karena akun dan grup pengguna Microsoft Entra harus selalu digunakan untuk menetapkan pengguna ke grup aplikasi Azure Virtual Desktop. ID Microsoft Entra juga digunakan untuk mengautentikasi pengguna ke layanan Azure Virtual Desktop. Host sesi Azure Virtual Desktop juga dapat menjadi anggota domain Microsoft Entra, dan dalam situasi ini aplikasi dan sesi desktop yang diterbitkan Azure Virtual Desktop juga akan diluncurkan dan dijalankan (tidak hanya ditetapkan) dengan menggunakan akun Microsoft Entra.
- (7) Atau, host sesi Azure Virtual Desktop dapat menjadi anggota domain AD DS, dan dalam situasi ini aplikasi dan sesi desktop yang diterbitkan Azure Virtual Desktop akan diluncurkan dan dijalankan (tetapi tidak ditetapkan) dengan menggunakan akun AD DS. Untuk mengurangi overhead pengguna dan administratif, AD DS dapat disinkronkan dengan ID Microsoft Entra melalui Microsoft Entra Koneksi.
- (7) Akhirnya, host sesi Azure Virtual Desktop dapat, sebagai gantinya, menjadi anggota domain Microsoft Entra Domain Services, dan dalam situasi ini aplikasi dan sesi desktop yang diterbitkan Azure Virtual Desktop akan diluncurkan dan dijalankan (tetapi tidak ditetapkan) dengan menggunakan akun Microsoft Entra Domain Services. ID Microsoft Entra secara otomatis disinkronkan dengan Microsoft Entra Domain Services, satu arah, dari ID Microsoft Entra ke Microsoft Entra Domain Services saja.
| Sumber daya | Tujuan | Hubungan logis |
|---|---|---|
| Desktop yang diterbitkan | Lingkungan desktop Windows yang berjalan pada host sesi Azure Virtual Desktop dan dikirimkan kepada pengguna melalui jaringan | Anggota satu dan hanya satu grup aplikasi (1) |
| Aplikasi yang diterbitkan | Aplikasi Windows yang berjalan pada host sesi Azure Virtual Desktop dan dikirimkan kepada pengguna melalui jaringan | Anggota dari satu-satunya grup aplikasi |
| Grup aplikasi | Pengelompokan logis dari aplikasi yang diterbitkan atau desktop yang diterbitkan | - Berisi desktop yang diterbitkan (1) atau satu atau beberapa aplikasi yang diterbitkan - Ditetapkan ke satu dan hanya satu kumpulan host (2) - Anggota satu dan hanya satu ruang kerja (2) - Satu atau beberapa akun atau grup pengguna Microsoft Entra ditetapkan untuk itu (3) |
| Akun/grup pengguna Microsoft Entra | Mengidentifikasi pengguna yang diizinkan untuk meluncurkan desktop atau aplikasi yang diterbitkan | - Anggota satu dan hanya satu ID Microsoft Entra - Ditetapkan ke satu atau beberapa grup aplikasi (3) |
| ID Microsoft Entra (7) | IdP | - Berisi satu atau beberapa akun pengguna atau grup, yang harus digunakan untuk menetapkan pengguna ke grup aplikasi, dan juga dapat digunakan untuk masuk ke host sesi - Dapat menahan keanggotaan host sesi - Dapat disinkronkan dengan AD DS atau Microsoft Entra Domain Services |
| AD DS (7) | Penyedia layanan identitas dan direktori | - Berisi satu atau beberapa akun pengguna atau grup, yang dapat digunakan untuk masuk ke host sesi - Dapat menahan keanggotaan host sesi - Dapat disinkronkan dengan ID Microsoft Entra |
| Microsoft Entra Domain Services (7) | Penyedia layanan identitas dan direktori berbasis platform as a service (PaaS) | - Berisi satu atau beberapa akun pengguna atau grup, yang dapat digunakan untuk masuk ke host sesi - Dapat menahan keanggotaan host sesi - Disinkronkan dengan ID Microsoft Entra |
| Ruang kerja | Pengelompokan logis dari grup aplikasi | Berisi satu atau beberapa grup aplikasi (4) |
| Kumpulan host | Sekelompok host sesi identik yang memiliki tujuan yang sama | - Berisi satu atau beberapa host sesi (5) - Satu atau beberapa grup aplikasi ditetapkan untuk itu (6) |
| Host sesi | Komputer virtual yang menghosting desktop atau aplikasi yang diterbitkan | Anggota dari satu-satunya kumpulan host |
Pertimbangan
Pertimbangan ini mengimplementasikan pilar Azure Well-Architected Framework, yang merupakan serangkaian tenet panduan yang dapat digunakan untuk meningkatkan kualitas beban kerja. Untuk informasi selengkapnya, lihat Microsoft Azure Well-Architected Framework.
Angka-angka di bagian berikut adalah perkiraan. Mereka didasarkan pada berbagai penyebaran pelanggan besar dan dapat berubah dari waktu ke waktu.
Juga, perhatikan bahwa:
- Anda tidak dapat membuat lebih dari 500 grup aplikasi per satu penyewa Microsoft Entra*.
- Kami menyarankan agar Anda tidak menerbitkan lebih dari 50 aplikasi per grup aplikasi.
Batasan Azure Virtual Desktop
Azure Virtual Desktop, seperti Azure, memiliki batasan layanan tertentu yang perlu Anda waspadai. Untuk menghindari harus membuat perubahan dalam fase penskalaan, ada baiknya untuk mengatasi beberapa batasan ini selama fase desain.
| Objek Azure Virtual Desktop | Per objek kontainer Induk | Batas layanan |
|---|---|---|
| Ruang kerja | Penyewa Microsoft Entra | 1300 |
| HostPool | Ruang kerja | 400 |
| Grup aplikasi | Penyewa Microsoft Entra | 500* |
| RemoteApp | Grup aplikasi | 500 |
| Penetapan peran | Objek Azure Virtual Desktop apa pun | 200 |
| Host sesi | HostPool | 10,000 |
*Jika Anda memerlukan lebih dari 500 grup aplikasi, kirimkan tiket dukungan melalui portal Azure.
- Kami menyarankan agar Anda menyebarkan tidak lebih dari 5.000 VM per langganan Azure per wilayah. Rekomendasi ini berlaku untuk kumpulan host pribadi dan kumpulan, berdasarkan windows Enterprise tunggal dan multi-sesi. Sebagian besar pelanggan menggunakan multi-sesi Windows Enterprise, yang memungkinkan beberapa pengguna untuk masuk ke setiap VM. Anda dapat meningkatkan sumber daya masing-masing VM host sesi untuk mengakomodasi lebih banyak sesi pengguna.
- Untuk alat penskalaan host sesi otomatis, batasnya adalah sekitar 2.500 VM per langganan Azure per wilayah, karena interaksi status VM mengonsumsi lebih banyak sumber daya.
- Untuk mengelola lingkungan perusahaan dengan lebih dari 5.000 VM per langganan Azure di wilayah yang sama, Anda dapat membuat beberapa langganan Azure dalam arsitektur hub-spoke dan menghubungkannya melalui peering jaringan virtual (menggunakan satu langganan per spoke). Anda juga dapat menerapkan VM di wilayah berbeda dalam langganan yang sama untuk meningkatkan jumlah VM.
- Batas throttling API langganan Azure Resource Manager (ARM) tidak mengizinkan lebih dari 600 reboot Azure VM per jam melalui portal Microsoft Azure. Anda dapat mem-boot ulang semua mesin Anda sekaligus melalui sistem operasi, yang tidak menggunakan panggilan API langganan Azure Resource Manager. Untuk informasi selengkapnya tentang menghitung dan memecahkan masalah batas pelambatan berdasarkan langganan Azure Anda, lihat Memecahkan masalah kesalahan pelambatan API.
- Saat ini Anda dapat menyebarkan hingga 132 VM dalam satu penyebaran templat ARM di portal Azure Virtual Desktop. Untuk membuat lebih dari 132 VM, jalankan penyebaran templat ARM di portal Azure Virtual Desktop beberapa kali.
- Awalan nama host sesi Azure VM tidak boleh melebihi 11 karakter, karena penetapan nama instans secara otomatis dan batas NetBIOS 15 karakter per akun komputer.
- Secara default, Anda dapat menyebarkan hingga 800 instans dari sebagian besar jenis sumber daya dalam grup sumber daya. Azure Compute tidak memiliki batas ini.
Untuk informasi selengkapnya tentang batas langganan dan layanan Azure, lihat Batas langganan dan layanan, kuota, dan batasan Azure.
Ukuran VM
Pedoman ukuran mesin virtual mencantumkan jumlah maksimum pengguna yang disarankan per unit pemrosesan pusat virtual (vCPU) dan konfigurasi VM minimum untuk beban kerja yang berbeda. Data ini membantu memperkirakan VM yang Anda butuhkan di kumpulan host Anda.
Gunakan alat simulasi untuk menguji penyebaran dengan tes stres dan simulasi penggunaan kehidupan nyata. Pastikan sistem cukup responsif dan tangguh untuk memenuhi kebutuhan pengguna, dan ingatlah untuk memvariasi ukuran beban saat pengujian.
Pengoptimalan biaya
Optimalisasi biaya adalah tentang mencari cara untuk mengurangi pengeluaran yang tidak perlu dan meningkatkan efisiensi operasional. Untuk informasi selengkapnya, lihat Gambaran umum pilar pengoptimalan biaya.
Anda dapat merancang solusi Azure Virtual Desktop Anda untuk mewujudkan penghematan biaya. Berikut adalah lima opsi berbeda untuk membantu mengelola biaya untuk perusahaan:
- Multi-sesi Windows 10: Dengan memberikan pengalaman desktop multi-sesi untuk pengguna dengan persyaratan komputasi yang identik, Anda dapat membiarkan lebih banyak pengguna masuk ke satu VM sekaligus, pendekatan yang dapat menghasilkan penghematan biaya yang cukup besar.
- Azure Hybrid Benefit: Jika Anda memiliki Software Assurance, Anda dapat menggunakan Azure Hybrid Benefit untuk Windows Server untuk menghemat biaya infrastruktur Azure Anda.
- Azure Reserved VM Instances: Anda dapat membayar di muka untuk penggunaan VM Anda dan menghemat uang. Gabungkan Azure Reserved VM Instances dengan Azure Hybrid Benefit untuk penghematan hingga 80 persen dibandingkan harga daftar.
- Penyeimbangan beban host sesi: Saat Anda menyiapkan host sesi, mode yang mengutamakan luas, yang menyebarkan pengguna secara acak di seluruh host sesi, adalah mode default standar. Atau, Anda dapat menggunakan mode depth-first untuk mengisi server host sesi dengan jumlah maksimum pengguna sebelum melanjutkan ke host sesi berikutnya. Anda dapat menyesuaikan pengaturan ini untuk manfaat biaya maksimum.
Menyebarkan skenario ini
Gunakan templat ARM baru untuk mengotomatiskan penyebaran lingkungan Azure Virtual Desktop Anda. Templat ARM ini hanya mendukung objek Azure Virtual Desktop Azure Resource Manager. Templat ARM ini tidak mendukung Azure Virtual Desktop (klasik).
Kontributor
Artikel ini dikelola oleh Microsoft. Ini awalnya ditulis oleh kontributor berikut.
Penulis utama:
- Tom Hickling | Manajer Produk Senior, Rekayasa Azure Virtual Desktop
Kontributor lainnya:
- Nelson Del Villar | Arsitek Solusi Cloud, Infrastruktur Inti Azure
Langkah berikutnya
- Integrasi mitra Azure Virtual Desktop mencantumkan penyedia mitra Azure Virtual Desktop yang disetujui dan vendor perangkat lunak independen.
- Gunakan Alat Pengoptimalan Desktop Virtual untuk membantu mengoptimalkan performa di lingkungan Windows 10 Enterprise VDI (infrastruktur desktop virtual).
- Lihat Menyebarkan komputer virtual yang bergabung dengan Microsoft Entra di Azure Virtual Desktop.
- Pelajari selengkapnya tentang Active Directory Domain Services.
- Apa itu Microsoft Entra Koneksi?
Sumber daya terkait
- Untuk informasi selengkapnya tentang beberapa arsitektur forest Direktori Aktif, lihat Beberapa arsitektur forest Direktori Aktif di Azure Virtual Desktop.