Azure Virtual Desktop は、組織とユーザーに回復性があり、信頼性が高く、セキュリティで保護されたサービスを提供するように設計されています。 Azure Virtual Desktop のアーキテクチャは、ユーザーをデスクトップやアプリに接続するサービスを構成する多くのコンポーネントで構成されています。 ほとんどのコンポーネントは Microsoft が管理しますが、一部はカスタマー マネージドまたはパートナー管理です。
Microsoft は、サービスとしてのコア機能用の仮想デスクトップ インフラストラクチャ (VDI) コンポーネントを提供します。 これらのコンポーネントには、次のものが含まれます。
- Web サービス: ユーザー向けの Web サイトとエンドポイント。接続情報をユーザーのデバイスに返します。
- ブローカー サービス: 受信接続を調整します。
- ゲートウェイ サービス: デスクトップとアプリを提供するセッション ホストに接続しているユーザーのデバイスからリモート デスクトップ プロトコル (RDP) 接続を提供する Websocket サービス。
- リソース ディレクトリ: 複数の地理的データベースのうち、各ユーザーに必要な接続情報をホストする Web サービスに指示する情報を提供します。
-
地理的データベース: ユーザーがプロビジョニングされたすべてのリソースの接続ファイル (
.rdp
) とアイコンが含まれます。
さらに、Azure Virtual Desktop では、 Azure Traffic Manager や Azure Front Door などの他のグローバル Azure サービスを使用して、ユーザーを最も近い Azure Virtual Desktop エントリ ポイントに誘導します。
オペレーティング システム イメージのカスタマイズとアプリケーション、仮想ネットワーク接続、回復性、それらのセッション ホストのバックアップと回復など、セッション ホストの作成と管理を担当します。 また、ユーザー ID を指定して管理し、サービスへのアクセスを制御します。 他の Azure サービスを使用して、次のような要件を満たすことができます。
- Azure 可用性ゾーン を使用して、Azure リージョン内の物理的に分離されたデータセンターの場所にセッション ホストを分散し、それぞれ独立した電源、冷却、ネットワークを使用します。
- セッション ホストのバックアップと復元を行うAzure Backup。
- Azure Site Recovery、セッション ホストを別の Azure リージョンにレプリケートします。
- Azure Advisor を使用すると、Azure リソースの最適化に役立ちます。
この大まかな図は、コンポーネントと責任を示しています。
ユーザー接続
ユーザーが Azure Virtual Desktop のデスクトップとアプリにアクセスする場合、その接続を成功させるために複数のコンポーネントが関与します。 次の 2 つのシーケンスがあります。
- フィード検出。 フィードは、ユーザーが使用できるデスクトップとアプリの一覧です。
- セッション ホストへのリモート デスクトップ プロトコル経由の接続。
フィード検出
フィード検出中に、ユーザーが使用できるデスクトップとアプリがローカル デバイス上のアプリに設定されます。 フィードには、接続に必要なすべての情報が含まれています。
フィード検出プロセスは次のとおりです。
ユーザーは、世界中の任意の場所に配置される可能性があります。 Azure Traffic Manager は、ユーザーのデバイスのソース IP アドレスを使用する 地理的なトラフィック ルーティング方法に基づいて、ユーザーのデバイスを Azure Virtual Desktop Web サービスの最も近いインスタンスにルーティングします。
Web サービスは、同じ Azure リージョンの Azure Virtual Desktop ブローカー サービスに接続して、ユーザーのフィードの RDP ファイルとアプリケーション アイコンを取得します。 ブローカー サービスは、同じリージョン内の Azure Virtual Desktop の地理的データベースとリソース ディレクトリに接続して情報を取得します。
ブローカー サービスは、RDP ファイルとアプリケーション アイコンを Web サービスに返し、ユーザーのデバイスに情報を返します。
1 つの Azure リージョンでのフィード検出プロセスを示す概要図を次に示します。
地理的データベースには、地域でカバーされているのと同じ Azure リージョン内のホスト プールからのデスクトップとアプリに必要な情報のみが含まれています。 ユーザーが別の地域でカバーされているホスト プールからデスクトップまたはアプリに割り当てられている場合、リソース ディレクトリは、正しい Azure リージョンのブローカー サービスと地理的データベースに接続するように Web サービスに指示します。
別の地域でカバーされている Azure リージョン内のホスト プールのフィード検出プロセスを示す概要図を次に示します。
RDP 接続
ユーザーがフィードからデスクトップまたはアプリに接続すると、RDP 接続は次のように確立されます。
すべてのリモート セッションは 、Azure Front Door への接続から始まり、Azure Virtual Desktop へのグローバル エントリ ポイントを提供します。 Azure Front Door は、ユーザーのデバイスの待機時間が最も短い Azure Virtual Desktop ゲートウェイ サービスを決定し、そのサービスへの接続を指示します
ゲートウェイ サービスは、同じ Azure リージョンのブローカー サービスに接続します。 ゲートウェイ サービスを使用すると、セッション ホストは任意のリージョンに存在し、ユーザーは引き続きアクセスできます。
ブローカー サービスは、ユーザーのデバイスとセッション ホストの間の接続を引き継ぎ、調整します。 ブローカー サービスは、セッション ホストで実行されている Azure Virtual Desktop エージェントに、ユーザーのデバイスが接続したのと同じゲートウェイ サービスに接続するように指示します。
この時点で、構成と使用可能なネットワーク プロトコルに応じて、次の 2 つの接続の種類のいずれかが行われます。
リバース接続トランスポート: クライアントとセッション ホストの両方がゲートウェイ サービスに接続されると、クライアントとセッション ホストの間で伝送制御プロトコル (TCP) を使用して RDP トラフィックの中継が開始されます。 リバース接続トランスポートは、既定の接続の種類です。
RDP Shortpath: ゲートウェイ サービスをバイパスして、ユーザーのデバイスとセッション ホストの間に直接ユーザー データグラム プロトコル (UDP) ベースのトランスポートが作成されます。
RDP 接続プロセスを示す概要図を次に示します。
ヒント
ネットワーク接続に関するより詳細な技術情報については、「 Azure Virtual Desktop ネットワーク接続 について」および「 Azure Virtual Desktop の RDP Shortpath」を参照してください。
サービスの回復性
Azure Virtual Desktop は、障害に対する回復性を備え、ユーザーに信頼性の高いサービスを提供するように設計されています。 このサービスは、個々のコンポーネントの障害に対する回復性を備え、障害から迅速に復旧できるように設計されています。
Azure Virtual Desktop の Microsoft が管理するコンポーネントは、現在、ユーザーに近づき、回復性のあるサービスを提供するために、約 40 の Azure リージョンに配置されています。 回復性は、次の方法でグローバル、地理的、および Azure リージョン内に実装されています。
Azure Traffic Manager は Web サービスのトラフィックを転送し、 Azure Front Door はゲートウェイ サービスのトラフィックを転送します。 1 つの Azure リージョンから Web サービスまたはゲートウェイ サービスを利用できない障害が発生した場合、またはリージョン全体が停止している場合、トラフィックは、最も近いリージョンの次に最も近い使用可能なインスタンスにリダイレクトされます。 トラフィックのリダイレクトにより、ユーザーは引き続き新しい接続を行うことができます。
地理的データベースでは、各地域内Azure SQLデータベースのフェールオーバーとデータ レプリケーション機能が使用されます。 データベースが停止した場合、データベースはセカンダリ レプリカにフェールオーバーされ、通常の操作が再開されます。 フェールオーバー中は、フェールオーバーが完了するまで新しい接続が失敗する時間が短くなりますが、このフェールオーバーは既存の接続には影響しません。
リソース ディレクトリ、ブローカー サービス、Web サービス、ゲートウェイ サービスはすべて、Azure Virtual Desktop 用の Microsoft が管理するコンポーネントが配置されている各 Azure リージョンで使用できます。 各コンポーネントには複数のインスタンスがあるため、単一障害点はありません。 各 Azure リージョン内には、インスタンスの障害に耐えるために個別に動作する各コンポーネントの個別のインスタンスまたはクラスターが少なくとも 6 つあります。
たとえば、リージョンには、要求を満たすのに十分なゲートウェイ サービスのインスタンスがあるだけでなく、それらのインスタンスの障害にも対応できる十分な容量があります。 ゲートウェイ サービスのインスタンスが失敗した場合、ゲートウェイ サービスのその特定のインスタンスを介して中継されている TCP ベースの RDP 接続は削除されます。 切断されたユーザーが再接続すると、残りのインスタンスは要求を処理し、各ユーザーを既存のセッションに再接続します。 ゲートウェイ サービスの他のインスタンスによって処理されるその他のすべてのセッションは影響を受けません。
Microsoft マネージド コンポーネントの相互接続方法を示す概要図を次に示します。
Azure Virtual Desktop が依存している他の Azure サービスは、回復性と信頼性を備えて設計されています。 詳細については、「 Azure Traffic Manager と Azure Front Door」を参照してください。
グローバル展開
Azure Virtual Desktop は、組織がワーカーの要求に適応し、特にリモートで作業するのに役立つサービスです。 これは、デスクトップとアプリケーションを事実上どこでも提供する、安全で信頼性の高い柔軟な方法を提供します。 Azure Virtual Desktop は、ワークロードの高可用性サービスを確保するのに役立つ Azure の機能とサービスを使用して、回復性を持つように設計されています。
Azure Virtual Desktop のグローバルなリーチを示すマップを次に示します。
関連コンテンツ
Azure Virtual Desktop がサービス オブジェクトのデータを格納した場所については、「 Azure Virtual Desktop のデータの場所」を参照してください。