Delen via

Bewakingsoverwegingen voor Azure Virtual Desktop-workloads

  • Artikel

In dit artikel wordt het ontwerpgebied voor bewaking van een Azure Virtual Desktop-workload besproken. Voordat u Azure Monitor voor Azure Virtual Desktop gaat gebruiken, moet u de volgende stappen uitvoeren:

  • Configureer ten minste één Log Analytics-werkruimte. Gebruik een aangewezen Log Analytics-werkruimte voor uw Azure Virtual Desktop-sessiehosts om ervoor te zorgen dat prestatiemeteritems en gebeurtenissen alleen worden verzameld van sessiehosts in uw Azure Virtual Desktop-implementatie.
  • Schakel gegevensverzameling in voor de volgende items van uw Log Analytics-werkruimte:
    • Diagnostische gegevens van uw Azure Virtual Desktop-omgeving
    • Aanbevolen prestatiemeteritems van uw Azure Virtual Desktop-sessiehosts
    • Aanbevolen Windows-gebeurtenislogboeken van uw Azure Virtual Desktop-sessiehosts

De volgende secties bevatten overwegingen voor het bewaken van uw Azure Virtual Desktop-omgeving en het in orde houden ervan.

Belangrijk

Dit artikel maakt deel uit van de Azure Well-Architected Framework Azure Virtual Desktop-workloadreeks . Als u niet bekend bent met deze reeks, raden we u aan te beginnen met Wat is een Azure Virtual Desktop-workload? .

Status- en beschikbaarheidsbewaking

Impact: Operationele uitmuntendheid, betrouwbaarheid

Azure biedt verschillende services, zoals Azure Service Health en Azure Resource Health die u op de hoogte houden van de status van uw cloudresources.

Service Health

Gebruik Service Health om een weergave te geven van de status van de Azure-services en -regio's die u gebruikt. Service Health is de beste plek om te zoeken naar meldingen over gebeurtenissen die van invloed zijn op uw service, zoals storingen en geplande onderhoudsactiviteiten. Service Health biedt ook andere statusadviezen over de gevolgen voor uw Azure Virtual Desktop-omgeving en gerelateerde abonnement. De meest proactieve aanpak is het instellen van Service Health-waarschuwingen. U kunt deze waarschuwingen ontvangen via de communicatiekanalen van uw voorkeur. De waarschuwingen melden u wanneer serviceproblemen, gepland onderhoud of andere wijzigingen van invloed kunnen zijn op uw Azure Virtual Desktop-resources. Zie Servicewaarschuwingen instellen voor meer informatie.

Status van resources

Resource Health helpt u bij het diagnosticeren en krijgen van ondersteuning voor serviceproblemen die van invloed zijn op uw Azure-resources. Informatie over de huidige en eerdere status van uw resources wordt gerapporteerd in Resource Health. Zorg ervoor dat u proactieve waarschuwingen instelt om u op de hoogte te stellen van ongewenste statussen van resources. U kunt de volgende resourcetypen controleren op de status van de resource:

  • Azure Storage-oplossingen voor Azure Virtual Desktop FSLogix en app-bijlage
  • Sessiehosts of virtuele machines (VM's)
Aanbevelingen
  • Gebruik Service Health om op de hoogte te blijven van de status van de Azure-services en -regio's die u gebruikt.
  • Stel Service Health-waarschuwingen in zodat u op de hoogte blijft van serviceproblemen, gepland onderhoud of andere wijzigingen die van invloed kunnen zijn op uw Azure Virtual Desktop-resources.
  • Gebruik Resource Health om uw VM's en opslagoplossingen te bewaken.
  • Stel Resource Health-waarschuwingen in.

Prestatiebewaking

Impact: prestatie-efficiëntie, operationele uitmuntendheid

Als u inzicht wilt krijgen en de prestaties wilt bewaken, moet u kritieke onderdelen van uw Azure Virtual Desktop-omgeving bewaken.

Aanbevelingen voor configuratie

Configureer de volgende diagnostische gegevens die naar Log Analytics worden verzonden om ervoor te zorgen dat u key performance indicators en de benodigde logboeken van uw Azure Virtual Desktop-entiteiten ophaalt:

  • Logboeken van Azure Virtual Desktop-hostgroep
  • Diagnostische gegevens voor Azure Virtual Desktop-werkruimte
  • Diagnostische gegevens van Azure Virtual Desktop-toepassingsgroepen
  • Diagnostische gegevens voor opslag
  • Gegevens over sessiehosts van een Monitor-agent of Log Analytics-agent
  • Prestatie- en gebeurtenislogboekgegevens die worden verzameld volgens de regels voor het verzamelen van gegevens in de Monitor- of Log Analytics-agent
  • Azure VM Insights-gegevens

Configuratie-opties

Er zijn verschillende opties beschikbaar voor het configureren van diagnostische instellingen:

  • Een Azure Virtual Desktop Insights-configuratiewerkmap. Azure Virtual Desktop Insights is een dashboard dat is gebouwd op Monitorwerkmappen waarmee u inzicht krijgt in uw Azure Virtual Desktop-omgeving. Azure Virtual Desktop Insights biedt een configuratiewerkmap die u kunt gebruiken voor het volgende:

    • Diagnostische gegevens voor hostgroep en werkruimte configureren.
    • Schakel bewakingsagents in op uw sessiehosts.
    • Configureer aanbevolen prestatiemeteritems en gebeurtenislogboeken voor het bewaken van uw Azure Virtual Desktop-omgeving.

    U kunt andere key performance indicators verzamelen door de agentinstellingen van uw Log Analytics-werkruimte te configureren.

  • Azure Policy. U kunt Azure Policy gebruiken om ervoor te zorgen dat bewakingsagents op uw VM's worden geïnstalleerd. Azure Policy ondersteunt Bewakingsagents en Microsoft-bewakingsagents.

  • Implementatieconfiguratie en -sjablonen. U kunt de Azure Portal of een declaratieve implementatieoplossing zoals Azure Resource Manager-sjablonen (ARM-sjablonen), BICEP of Terraform gebruiken om Azure Virtual Desktop te implementeren. Zorg ervoor dat diagnostische instellingen worden geïmplementeerd als onderdeel van uw Azure Virtual Desktop-implementatieconfiguratie. Als u Azure Virtual Desktop implementeert via de Azure Portal, moet u ervoor zorgen dat de diagnostische instellingen zijn ingeschakeld. Voor de declaratieve implementatiemodellen moet u ervoor zorgen dat hostgroepen, werkruimten of toepassingsgroepen worden geïmplementeerd met diagnostische instellingen ingeschakeld. Zorg er ook voor dat VM's worden geïmplementeerd met Microsoft-bewakingsagent- of monitoragentextensies.

Prestaties van sessiehost

Prestatiemeteritems registreren hoe uw systeembronnen worden gebruikt. De gegevensopname van prestatiemeteritems is afhankelijk van de grootte en het gebruik van uw omgeving. Het is belangrijk om te weten dat elk prestatiemeteritems gegevens met een specifieke frequentie verzendt. In uw Azure Virtual Desktop Insights-configuratiewerkmap kunt u de standaardvoorbeeldfrequentie per minuut aanpassen. U kunt deze snelheid ook bewerken in uw instellingen. De vermenigvuldigingsfactor die op dit tarief wordt toegepast, is afhankelijk van de teller.

De volgende lijst bevat de categorieën metrische prestatiegegevens en de prestatiemeteritems die u in elke categorie kunt configureren:

  • Logische schijf
    • Free Space
    • Avg. Disk Queue Length
    • Avg. Disk sec/Transfer
    • Current Disk Queue Length
  • Geheugen
    • % Committed Bytes in Use
    • Available Mbytes
    • Page Faults/sec
    • Pages/sec
  • Fysieke schijf
    • Avg. Disk Queue Length
    • Avg. Disk sec/Read
    • Avg. Disk sec/Transfer
    • Avg. Disk sec/Write
  • Processorgegevens
    • % Processor Time
    • RemoteFX network
    • Current TCP RTT
    • Current UDP Bandwidth
    • Terminal Services
    • Active Sessions
    • Inactive Sessions
    • Total Sessions
  • Gebruikersinvoervertraging per proces
    • Max Input Delay
  • Vertraging van gebruikersinvoer per sessie
    • Max Input Delay

U kunt diagnostische tabellen in Log Analytics gebruiken om netwerkgegevens voor Azure Virtual Desktop-verbindingen op te vragen en te analyseren. De WVDConnectionNetworkData gegevens bevatten een correlatie-id die is toegewezen aan een specifieke Azure Virtual Desktop-verbinding. Voor elke sessie kunt u kritieke prestatiegegevens bekijken, zoals de geschatte retourtijd in milliseconden en de geschatte beschikbare bandbreedte in KBps.

Windows-gebeurtenislogboeken zijn gegevensbronnen die Log Analytics-agents verzamelen op Windows-VM's. U kunt gebeurtenissen verzamelen uit standaardlogboeken, zoals systeem- en toepassingslogboeken. U kunt ook gebeurtenissen verzamelen uit aangepaste logboeken die zijn gemaakt door toepassingen die u moet bewaken. Standaard worden logboeken van de volgende typen Windows-gebeurtenissen verzameld voor Azure Virtual Desktop in Monitor:

  • Application
  • Microsoft-Windows-TerminalServices-RemoteConnectionManager/Admin
  • Microsoft-Windows-TerminalServices-LocalSessionManager/Operational
  • System
  • Microsoft-FSLogix-Apps/Operational
  • Microsoft-FSLogix-Apps/Admin

Er wordt een Windows-gebeurtenis geactiveerd wanneer in de omgeving aan de voorwaarden van de gebeurtenis wordt voldaan. Machines met een goede status verzenden minder gebeurtenissen dan computers met een slechte status.

Het is belangrijk om de gebeurtenislogboeken te controleren op verbindingsproblemen die kunnen optreden met de Azure Virtual Desktop-agent. Zie Veelvoorkomende problemen met de Azure Virtual Desktop-agent oplossen voor meer informatie.

Drempelwaarden en bewaking voor opslagprestaties

U moet de Azure-opslagoplossing bewaken die u gebruikt voor het hosten van FSLogix-profielen of App Attach-shares. Het is belangrijk om de opslaglocaties van het profiel te bewaken om ervoor te zorgen dat drempelwaarden niet worden overschreden, wat een negatieve invloed kan hebben op uw gebruikerservaring. Voor Opslag moet u de capaciteit van de bestandsshare controleren om ervoor te zorgen dat de quota voor bestandsshares de maximale capaciteit niet bereiken. U moet ook de bestandssharetransacties controleren om ervoor te zorgen dat transacties binnen gedefinieerde drempelwaarden vallen.

Servicelimieten

Azure Virtual Desktop heeft servicelimieten die u moet overwegen tijdens de ontwerpfase van uw implementatie. U moet ook op de hoogte zijn van deze servicelimieten in productieomgevingen en u moet proactief rapporteren over deze limieten. De limieten zijn relatief groot. Maar in grotere implementaties, waar het gemakkelijker is om deze limieten te bereiken, is het essentieel om ze te bewaken. Zie Beperkingen van Azure Virtual Desktop voor meer informatie.

Aanbevelingen
  • Configureer diagnostische gegevens die naar Log Analytics moeten worden verzonden.
  • Selecteer uit verschillende opties voor het configureren van diagnostische instellingen, zoals een Azure Virtual Desktop Insights-configuratiewerkmap, Azure Policy, de Azure Portal of een sjabloon.
  • Configureer prestatiemeteritems zodat u een record hebt van hoe uw systeembronnen worden gebruikt.
  • Gebruik diagnostische tabellen in Log Analytics om netwerkgegevens voor Azure Virtual Desktop-verbindingen op te vragen en te analyseren.
  • Gebeurtenislogboeken controleren op verbindingsproblemen met de Azure Virtual Desktop-agent.
  • Bewaak de Azure-opslagoplossing die u gebruikt voor het hosten van FSLogix-profielen of App Attach-shares.
  • Bewaak het servicegebruik om ervoor te zorgen dat uw workload de limieten niet overschrijdt.

Beveiligingsbewaking

Impact: beveiliging

In de volgende secties worden verschillende bewakingsmaatregelen beschreven die u kunt nemen om de beveiliging van uw workload te verbeteren.

Microsoft Defender voor Cloud en Microsoft Sentinel

Zorg ervoor dat Microsoft Defender voor verbeterde cloudbeveiligingsfuncties zijn ingeschakeld voor het abonnement en de Azure Virtual Desktop-sessiehosts die u implementeert. Defender voor Cloud biedt een platform voor cloudworkloadbeveiliging en cloudbeveiligingspostuurbeheer. U kunt Defender voor Cloud gebruiken om beveiligingsproblemen te beheren en om de naleving van algemene frameworks zoals Pci (Payment Card Industry) en ISO27001 te beoordelen. U kunt Defender for Cloud ook gebruiken om de algehele beveiligingspostuur van uw omgeving te versterken. Defender for Cloud maakt gebruik van de Microsoft-bewakingsagent of monitoragent.

Microsoft Entra ID verificatie- en auditlogboeken

Microsoft Entra ID is de eerstelijns verificatieoplossing voor Azure Virtual Desktop, ongeacht welke verbindingsmethode een client gebruikt. Daarom is het belangrijk om Microsoft Entra ID verificatie- en auditlogboeken te verzamelen. U kunt deze logboeken op de volgende manieren verzamelen:

  • Configureer in uw diagnostische instellingen auditlogboeken en aanmeldingslogboeken die moeten worden verzonden naar Log Analytics, waar de gegevens kunnen worden opgevraagd en gewaarschuwd.
  • Gebruik een connector in Microsoft Sentinel om gegevens van Microsoft Entra ID te verzamelen en deze naar Microsoft Sentinel te streamen.

Gebeurtenislogboeken voor beveiliging

U moet beveiligingslogboeken verzamelen van uw Azure Virtual Desktop-sessiehosts. Het is een goed idee om deze logboeken toe te voegen aan een gecentraliseerde opslagplaats voor beveiligingsgebeurtenissen waarbij uw Azure Virtual Desktop-hosts betrokken zijn. U kunt de opslagplaats gebruiken om de logboeken op te slaan en er query's op uit te voeren. U kunt een van de volgende opties gebruiken om de logboeken te verzamelen:

  • Gebruik een regel agentgegevensverzameling bewaken voor het verzamelen van gebeurtenislogboeken voor beveiliging. Deze optie wordt aanbevolen.
  • Gebruik een Microsoft-bewakingsagent om de logboeken voor Microsoft Sentinel te verzamelen of gebruik een verouderde agentconnector om beveiligingsevenementen te verzamelen.
  • Gebruik een Microsoft-bewakingsagent om beveiligingsevenementen voor Defender for Cloud te verzamelen.

Naleving handhaven

Maandelijkse beveiligingsupdates zijn essentieel voor de algehele status en beveiliging van uw Azure Virtual Desktop-omgeving. Zorg ervoor dat u uw Azure Virtual Desktop-omgeving regelmatig bijwerkt door nieuwe installatiekopieën te installeren of door een hulpprogramma voor updatebeheer te gebruiken. Het is het beste om maandelijks nalevingsrapportage en bewaking van de algehele updatecompatibiliteit van uw omgeving uit te voeren. Deze procedure helpt ervoor te zorgen dat uw Azure Virtual Desktop-beheerders en -beveiligingsteam op de hoogte blijven van de algehele beveiligingsnalevingsstatus van uw omgeving.

Aanbevelingen
  • Gebruik Defender voor Cloud om beveiligingsproblemen te beheren en de naleving van algemene frameworks te beoordelen.
  • Gebruik Defender for Cloud om de algehele beveiligingspostuur van uw omgeving te versterken.
  • Verzamel Microsoft Entra ID verificatie- en auditlogboeken.
  • Sla beveiligingslogboeken van uw Azure Virtual Desktop-sessiehosts op in een opslagplaats.
  • Werk uw Azure Virtual Desktop-omgeving regelmatig bij.
  • Voer maandelijkse nalevingsrapportage uit.

Rapporten

Impact: Operationele uitmuntendheid

Er zijn meerdere opties beschikbaar voor Azure Virtual Desktop-rapportage:

  • Azure Virtual Desktop Insights. Dit dashboard biedt veel van de vereiste inzichten en visualisaties die u nodig hebt om uw Azure Virtual Desktop-omgeving te begrijpen en te bewaken.
  • Werkmappen en hulpprogramma's voor externe rapportage. In sommige scenario's is het handig om een aangepaste werkmap en dashboard te hebben. U kunt uw eigen rapporten of werkmappen maken met behulp van Log Analytics-tabellen en Azure Resource Graph queryresultaten als gegevensbronnen. Resource Graph is een service die u kunt gebruiken om te rapporteren over Azure Virtual Desktop-objecten, zoals hostgroepen, werkruimten, rekenonderdelen en opslagoplossingen. Gegevens worden alleen ingevuld in aangepaste oplossingen als u diagnostische gegevens inschakelt voor Azure Virtual Desktop-objecten en als u een ondersteunde bewakingsagent gebruikt om prestatie- en gebeurtenislogboekgegevens te verzamelen. De volgende Log Analytics-tabellen zijn beschikbaar als gegevensbronnen:
    • Azure Virtual Desktop Log Analytics-tabellen
      • WVDAgentHealthStatus
      • WVDCheckpoints
      • WVDConnectionGraphicsDataPreview
      • WVDConnectionNetworkData
      • WVDConnections
      • WVDErrors
      • WVDFeeds
      • WVDHostRegistrations
      • WVDManagement
    • Tabel prestatiemeteritems
      • Perf
      • InsightMetrics (alleen als de functie VM-inzichten is ingeschakeld)
    • Gebeurtenistabellen
      • Event
Aanbevelingen
  • Overweeg het gebruik van Azure Virtual Desktop Insights voor rapportage.
  • Gebruik Log Analytics-tabellen en Resource Graph queryresultaten als gegevensbronnen wanneer u aangepaste dashboards maakt.

Waarschuwingen

Impact: prestatie-efficiëntie, operationele uitmuntendheid

Gebruik het monitorwaarschuwingsframework of een vergelijkbare bewakingsoplossing om op de hoogte te blijven van de prestaties en beveiliging van Azure Virtual Desktop. U kunt aangepaste waarschuwingen configureren voor de volgende typen Azure Virtual Desktop-gebeurtenissen, diagnostische gegevens en resources:

  • VM-prestaties
  • Kritieke gebeurtenissen, zoals toepassingsgebeurtenissen met id's 3702 of 3703 voor problemen met de status Niet-beschikbaar op sessiehosts
  • Service Health
  • Status van resources
  • Diagnostische gegevens van Azure Virtual Desktop
  • Pakketten voor profiel en app-bijlage
  • Defender voor Cloud
Aanbevelingen
  • Gebruik waarschuwingen om op de hoogte te blijven van de prestaties en beveiliging van Azure Virtual Desktop.
  • Configureer waarschuwingen voor verschillende Gebeurtenissen, diagnostische gegevens en resources van Azure Virtual Desktop.

Volgende stappen

Nu u de best practices voor waarneembaarheid in Azure Virtual Desktop hebt bekeken, kunt u mechanismen, hulpprogramma's en perimeters verkennen die u kunt gebruiken om uw Azure Virtual Desktop-workloads verder te beveiligen.

Beveiligings- en identiteits- en toegangsbeheer (IAM)

Gebruik het evaluatieprogramma om uw ontwerpkeuzen te evalueren.

Evaluatie