Delen via

Overwegingen voor netwerken en connectiviteit voor Azure Virtual Desktop-workloads

  • Artikel

In dit artikel wordt het ontwerpgebied voor netwerken en connectiviteit van een Azure Virtual Desktop-workload besproken. Het is essentieel om Azure-netwerkmogelijkheden te ontwerpen en te implementeren voor uw Azure Virtual Desktop-landingszone. Als basis maakt dit artikel gebruik van verschillende azure Well-Architected Framework-architectuurprincipes en aanbevelingen voor landingszones op ondernemingsniveau. Door voort te bouwen op deze richtlijnen, laat dit artikel zien hoe u netwerktopologie en connectiviteit op schaal kunt beheren.

Belangrijk

Dit artikel maakt deel uit van de Azure Well-Architected Framework Azure Virtual Desktop-workloadreeks . Als u niet bekend bent met deze reeks, raden we u aan te beginnen met Wat is een Azure Virtual Desktop-workload? .

Clientlatentie

Impact: prestatie-efficiëntie

De latentie tussen eindgebruikers en sessiehosts is een belangrijk aspect dat van invloed is op de gebruikerservaring van Azure Virtual Desktop. U kunt het hulpprogramma Azure Virtual Desktop Experience Estimator gebruiken om een schatting te maken van de retourtijden (RTT's) van de verbinding. Dit hulpprogramma schat rtt's van gebruikerslocaties via de Azure Virtual Desktop-service naar elke Azure-regio waarin u virtuele machines (VM's) implementeert.

De kwaliteit van uw eindgebruikerservaring beoordelen:

  • End-to-end-latenties testen in ontwikkel-, test- en proof-of-conceptomgevingen. Deze test moet rekening houden met de werkelijke ervaring van uw gebruikers. Hierbij moet rekening worden gehouden met factoren zoals netwerkomstandigheden, eindgebruikersapparaten en de configuratie van de geïmplementeerde VM's.
  • Houd er rekening mee dat latentie slechts één aspect is van connectiviteit met externe protocollen. Bandbreedte en gebruikersworkload zijn ook van invloed op uw eindgebruikerservaring.
Aanbevelingen
  • Gebruik Azure Virtual Desktop Experience Estimator om geschatte latentiewaarden te verzamelen.
  • Test de latentie van uw virtuele Azure-netwerken naar uw on-premises systemen.
  • Gebruik een gesplitste tunnel die is gebaseerd op UDP (User Datagram Protocol) voor clients die een punt-naar-site-VPN-verbinding (P2S) gebruiken.
  • Gebruik Remote Desktop Protocol (RDP) Shortpath met een beheerd netwerk voor on-site clients die een VPN of Azure ExpressRoute gebruiken.

On-premises connectiviteit (hybride netwerken)

Impact: prestatie-efficiëntie, operationele uitmuntendheid

Sommige organisaties gebruiken hybride modellen die on-premises en cloudresources bevatten. In veel hybride gevallen moeten werkstromen van eindgebruikers die worden uitgevoerd op Azure Virtual Desktop, on-premises resources bereiken, zoals gedeelde of platformservices, gegevens of toepassingen.

Wanneer u hybride netwerken implementeert, raadpleegt u best practices en aanbevelingen in het artikel Cloud Adoption Framework Netwerktopologie en -connectiviteit.

Het is belangrijk om af te stemmen op het Azure Virtual Desktop-schaalmodel dat wordt beschreven in Een Azure Virtual Desktop-workload integreren met Azure-landingszones. Ga als volgt te werk om dit model te volgen:

  • Evalueer de latentie- en bandbreedtevereisten van Azure Virtual Desktop-werkstromen die verbinding maken met on-premises systemen. Deze informatie is van cruciaal belang bij het ontwerpen van uw hybride netwerkarchitectuur.
  • Zorg ervoor dat er geen overlappende IP-adressen zijn tussen uw Azure Virtual Desktop-subnetten en uw on-premises netwerken. U wordt aangeraden de IP-adresseringstaak toe te wijzen aan de netwerkarchitecten die eigenaar zijn van uw connectiviteitsabonnement.
  • Geef elke Azure Virtual Desktop-landingszone een eigen virtuele netwerk- en subnetconfiguratie.
  • De grootte van subnetten op de juiste manier aanpassen door rekening te houden met mogelijke groei wanneer u de benodigde hoeveelheid IP-adresruimte bepaalt.
  • Gebruik de CIDR-notatie (Smart IP Classless Inter-Domain Routing) om te voorkomen dat ER IP-adresruimte wordt verstoken.
Aanbevelingen
  • Bekijk de best practices voor het verbinden van virtuele Azure-netwerken met on-premises systemen.
  • Test de latentie van uw virtuele Azure-netwerken naar uw on-premises systemen.
  • Zorg ervoor dat er geen overlappende IP-adressen worden gebruikt in uw Azure Virtual Desktop-landingszone.
  • Geef elke Azure Virtual Desktop-landingszone een eigen virtuele netwerk- en subnetconfiguratie.
  • Houd rekening met potentiële groei wanneer u de grootte van Azure Virtual Desktop-subnetten vergroot.

Connectiviteit voor meerdere regio's

Impact: prestatie-efficiëntie, kostenoptimalisatie

Om uw Azure Virtual Desktop-implementatie voor meerdere regio's de best mogelijke ervaring te bieden aan uw eindgebruikers, moet uw ontwerp rekening houden met de volgende factoren:

  • Platformservices, zoals identiteit, naamomzetting, hybride connectiviteit en opslagservices. Connectiviteit van Azure Virtual Desktop-sessiehosts naar deze services is essentieel voor de functionaliteit van de service. Als gevolg hiervan is het ideale ontwerp gericht op het verlagen van de latentie van Azure Virtual Desktop-landingszonesubnetten naar deze services. U kunt dit doel bereiken door services te repliceren naar elke regio of ze beschikbaar te maken via de verbinding met de laagst mogelijke latentie.
  • Latentie voor eindgebruikers. Wanneer u locaties selecteert voor een Azure Virtual Desktop-implementatie voor meerdere regio's, is het belangrijk om rekening te houden met de latentie die gebruikers ervaren wanneer ze verbinding maken met de service. We raden u aan om latentiegegevens van uw eindgebruikerspopulatie te verzamelen met behulp van de Azure Virtual Desktop Experience Estimator wanneer u Azure-regio's selecteert waarin u uw sessiehosts wilt implementeren.

Houd ook rekening met de volgende factoren:

  • Toepassingsafhankelijkheden tussen regio's.
  • Beschikbaarheid van VM-SKU's.
  • Netwerkkosten die zijn gekoppeld aan uitgaand internetverkeer, regiooverschrijdend verkeer en hybride (on-premises) verkeer dat uw toepassings- of workloadafhankelijkheden vereisen.
  • De extra belasting die de FSLogix-cloudcachefunctie op netwerken plaatst. Deze factor is alleen relevant als u deze functie gebruikt om gebruikersprofielgegevens te repliceren tussen verschillende regio's. Houd ook rekening met de kosten van het toegenomen netwerkverkeer en de opslag die deze functie gebruikt.

Gebruik indien mogelijk VM-SKU's die versneld netwerken bieden. In workloads die hoge bandbreedte gebruiken, kunnen versnelde netwerken het CPU-gebruik en de latentie verlagen.

De beschikbare bandbreedte van uw netwerk heeft een grote invloed op de kwaliteit van uw externe sessies. Daarom is het een goede gewoonte om de netwerkbandbreedtevereisten voor gebruikers te beoordelen om ervoor te zorgen dat er voldoende bandbreedte beschikbaar is voor on-premises afhankelijkheden.

Aanbevelingen
  • Repliceer platform- en gedeelde services naar elke regio wanneer uw interne beleid dit toestaat.
  • Gebruik indien mogelijk VM-SKU's die versneld netwerken bieden.
  • Neem schattingen van de latentie van eindgebruikers op in uw regioselectieproces.
  • Houd rekening met workloadtypen bij het schatten van bandbreedtevereisten en bewaak verbindingen van echte gebruikers.

Netwerkbeveiliging

Impact: beveiliging, kostenoptimalisatie, operationele uitmuntendheid

Van oudsher is netwerkbeveiliging de spil van beveiligingsinspanningen van ondernemingen. Maar cloudcomputing heeft de behoefte aan netwerkperimeters verhoogd om poreuzer te zijn en veel aanvallers hebben de kunst van aanvallen op identiteitssysteemelementen onder de knie. De volgende punten bieden een overzicht van de minimale firewallvereisten voor het implementeren van Azure Virtual Desktop. Deze sectie bevat ook aanbevelingen voor het maken van verbinding met een firewall en het bereiken van de apps waarvoor deze service is vereist.

  • Traditionele netwerkbesturingselementen die zijn gebaseerd op een vertrouwde intranetbenadering bieden niet effectief beveiligingsgaranties voor cloudtoepassingen.
  • De integratie van logboeken van netwerkapparaten en onbewerkt netwerkverkeer biedt inzicht in mogelijke beveiligingsrisico's.
  • De meeste organisaties voegen uiteindelijk meer resources toe aan netwerken dan oorspronkelijk gepland. Als gevolg hiervan moeten IP-adres- en subnetschema's worden geherstructureerd voor de extra resources. Dit proces is arbeidsintensief. Er is beperkte beveiligingswaarde bij het maken van een groot aantal kleine subnetten en het vervolgens proberen om netwerktoegangsbeheer, zoals beveiligingsgroepen, aan elk van deze subnetten toe te wijzen.

Zie Aanbevelingen voor netwerken en connectiviteit voor algemene informatie over het beveiligen van assets door het plaatsen van besturingselementen in netwerkverkeer.

Aanbevelingen
  • Krijg inzicht in de configuraties die nodig zijn voor het gebruik van Azure Firewall in uw implementatie. Zie Use Azure Firewall to protect Azure Virtual Desktop deployments (Azure Virtual Desktop-implementaties beveiligen) voor meer informatie.
  • Maak netwerkbeveiligingsgroepen en toepassingsbeveiligingsgroepen om uw Azure Virtual Desktop-verkeer te segmenteren. Met deze procedure kunt u uw subnetten isoleren door hun verkeersstromen te beheren.
  • Gebruik servicetags in plaats van specifieke IP-adressen voor Azure-services. Omdat adressen veranderen, minimaliseert deze benadering de complexiteit van het regelmatig bijwerken van netwerkbeveiligingsregels.
  • Maak uzelf vertrouwd met de vereiste URL's voor Azure Virtual Desktop.
  • Gebruik een routetabel om azure Virtual Desktop-verkeer toe te staan om regels voor geforceerde tunneling te omzeilen die u gebruikt om verkeer naar een firewall of een virtueel netwerkapparaat (NVA) te routeren. Anders kan geforceerde tunneling de prestaties en betrouwbaarheid van de connectiviteit van uw clients beïnvloeden.
  • Gebruik privé-eindpunten om PaaS-oplossingen (Platform as a Service) te beveiligen, zoals Azure Files en Azure Key Vault. Maar houd rekening met de kosten van het gebruik van privé-eindpunten.
  • Pas de configuratieopties voor Azure Private Link aan. Wanneer u deze service gebruikt met Azure Virtual Desktop, kunt u de openbare eindpunten voor onderdelen van het Azure Virtual Desktop-besturingsvlak uitschakelen en privé-eindpunten gebruiken om het gebruik van openbare IP-adressen te voorkomen.
  • Implementeer strikt firewallbeleid als u Active Directory Domain Services (AD DS) gebruikt. Baseer deze beleidsregels op het verkeer dat in uw domein is vereist.
  • Overweeg het gebruik van Azure Firewall- of NVA-webfilters om de toegang van uw eindgebruikers tot internet te beschermen tegen Azure Virtual Desktop-sessiehosts.

Impact: beveiliging

Verbindingen met Azure Virtual Desktop-resources worden standaard tot stand gebracht via een openbaar toegankelijk eindpunt. In sommige scenario's moet het verkeer gebruikmaken van privéverbindingen. Deze scenario's kunnen Private Link gebruiken om privé verbinding te maken met externe Azure Virtual Desktop-resources. Zie Azure Private Link met Azure Virtual Desktop voor meer informatie. Wanneer u een privé-eindpunt maakt, blijft het verkeer tussen uw virtuele netwerk en de service op het Microsoft-netwerk. Uw service is niet beschikbaar op het openbare internet.

U kunt privé-eindpunten van Azure Virtual Desktop gebruiken ter ondersteuning van de volgende scenario's:

  • Uw clients, of eindgebruikers, en uw sessiehost-VM's maken beide gebruik van privéroutes.
  • Uw clients, of eindgebruikers, gebruiken openbare routes terwijl uw sessie-VM's privéroutes gebruiken.

Azure Virtual Desktop-sessiehosts hebben dezelfde naamomzettingsvereisten als andere IaaS-workloads (Infrastructure as a Service). Als gevolg hiervan vereisen de sessiehosts connectiviteit met services voor naamomzetting die zijn geconfigureerd om IP-adressen van privé-eindpunten om te lossen. Als u privé-eindpunten gebruikt, moet u daarom specifieke DNS-instellingen configureren. Zie DNS-configuratie van Azure-privé-eindpunten voor gedetailleerde informatie.

Private Link is ook beschikbaar voor andere Azure-services die in combinatie met Azure Virtual Desktop werken, zoals Azure Files en Key Vault. U wordt aangeraden ook privé-eindpunten voor deze services te implementeren om het verkeer privé te houden.

Aanbevelingen

RDP-shortpath

Impact: prestatie-efficiëntie, kostenoptimalisatie

RDP Shortpath is een functie van Azure Virtual Desktop die beschikbaar is voor beheerde en onbeheerde netwerken.

  • Voor beheerde netwerken brengt RDP Shortpath een directe verbinding tot stand tussen een extern bureaublad-client en een sessiehost. Het transport is gebaseerd op UDP. Door extra relaypunten te verwijderen, verkort RDP Shortpath de retourtijd, waardoor de gebruikerservaring in latentiegevoelige toepassingen en invoermethoden wordt verbeterd. Voor de ondersteuning van RDP Shortpath heeft een Azure Virtual Desktop-client een directe zichtlijn naar de sessiehost nodig. De client moet ook de Windows-bureaubladclient installeren en Windows 11 of Windows 10 uitvoeren.
  • Voor niet-beheerde netwerken zijn twee verbindingstypen mogelijk:
    • Er wordt een directe verbinding tot stand gebracht tussen de client en de sessiehost. Eenvoudige doorkruising onder STUN (Network Address Translation) en interactieve connectiviteitsinstelling (ICE) worden gebruikt om de verbinding tot stand te brengen. Deze configuratie verbetert de betrouwbaarheid van het transport voor Azure Virtual Desktop. Zie How RDP Shortpath works (Hoe RDP Shortpath werkt) voor meer informatie.
    • Er wordt een indirecte UDP-verbinding tot stand gebracht. Hiermee worden de nat-beperkingen (Network Address Translation) opgelost door gebruik te maken van het PROTOCOL Traversal Using Relay NAT (TURN) met een relay tussen de client en de sessiehost.

Met transport dat is gebaseerd op Tcp (Transmission Control Protocol), loopt het uitgaande verkeer van een VM naar een RDP-client via een Azure Virtual Desktop-gateway. Met RDP Shortpath stroomt het uitgaande verkeer rechtstreeks tussen de sessiehost en de RDP-client via internet. Deze configuratie helpt een hop te elimineren en de latentie en de eindgebruikerservaring te verbeteren.

Aanbevelingen
  • Gebruik RDP Shortpath om de latentie en de eindgebruikerservaring te verbeteren.
  • Houd rekening met de beschikbaarheid van RDP Shortpath-verbindingsmodellen.
  • Houd rekening met RDP Shortpath-kosten.

Volgende stappen

Nu u netwerken en connectiviteit in Azure Virtual Desktop hebt onderzocht, kunt u best practices voor het bewaken van uw infrastructuur en workload onderzoeken.

Controle

Gebruik het evaluatiehulpprogramma om uw ontwerpkeuzen te evalueren.

Evaluatie