Overwegingen voor operationele procedures voor Azure Virtual Desktop-workloads

In dit artikel wordt het ontwerpgebied van de operationele procedure van een Azure Virtual Desktop-workload besproken. Wanneer u de Azure Virtual Desktop-omgeving van uw organisatie uitvoert, moet u de juiste resultaten voor operationeel beheer vaststellen. U moet een plan hebben voor het beheren van technologische oplossingen, het ondersteunen van het platform, het garanderen van soepele upgrades en het bieden van platformtolerantie.

Belangrijk

Dit artikel maakt deel uit van de Azure Well-Architected Framework Azure Virtual Desktop-workloadreeks . Als u niet bekend bent met deze reeks, raden we u aan te beginnen met Wat is een Azure Virtual Desktop-workload? .

Gedeelde verantwoordelijkheden

Impact: operationele uitmuntendheid, prestatie-efficiëntie, beveiliging

Net als bij andere services die Microsoft biedt, zijn er Azure Virtual Desktop-onderdelen die Door Microsoft worden beheerd en onderdelen die de klant beheert. In het volgende diagram ziet u hoe verschillende gebieden van verantwoordelijkheid worden gedeeld tussen de klant en Microsoft.

Onderdelen die door Microsoft worden beheerd

Microsoft beheert de volgende Azure Virtual Desktop-services als onderdeel van Azure:

• Webtoegang. Wanneer u de webtoegangsservice in Azure Virtual Desktop gebruikt, hebt u toegang tot virtuele bureaubladen en externe apps via een met HTML5 compatibele webbrowser, net zoals u dat met een lokale pc zou doen. Deze toegang is overal en op elk apparaat beschikbaar. U kunt webtoegang beveiligen met behulp van meervoudige verificatie in Microsoft Entra ID.
• Gateway. De gatewayservice voor externe verbindingen verbindt externe gebruikers met Azure Virtual Desktop-apps en -bureaubladen vanaf elk apparaat dat is verbonden met internet waarop een Azure Virtual Desktop-client kan worden uitgevoerd. De client maakt verbinding met een gateway, die vervolgens een verbinding van een virtuele machine (VM) naar dezelfde gateway organiseert.
• Verbindingsbroker. De verbindingsbrokerservice beheert gebruikersverbindingen met virtuele bureaubladen en externe apps. De verbindingsbroker biedt taakverdeling en opnieuw verbinding maken met bestaande sessies.
• Diagnostics. Diagnostische gegevens van extern bureaublad zijn een op gebeurtenissen gebaseerde aggregator die elke actie van de gebruiker of beheerder op de Azure Virtual Desktop-implementatie markeert als geslaagd of mislukt. Beheerders kunnen een query uitvoeren op de gebeurtenisaggregatie om defecte onderdelen te identificeren.
• Uitbreidbaarheidsonderdelen. Azure Virtual Desktop bevat verschillende uitbreidbaarheidsonderdelen. U kunt Azure Virtual Desktop beheren met behulp van Windows PowerShell of de opgegeven REST API's, waarmee ook ondersteuning van hulpprogramma's van derden mogelijk is.

Onderdelen die de klant beheert

U beheert de volgende onderdelen van Azure Virtual Desktop-oplossingen:

• Azure Virtual Network. In Virtual Network kunnen Azure-resources zoals VM's privé met elkaar en met internet communiceren. Wanneer u Azure Virtual Desktop-hostgroepen verbindt met een Active Directory-domein, kunt u een netwerktopologie definiëren voor toegang tot virtuele bureaubladen en virtuele apps vanaf het intranet of internet, op basis van organisatiebeleid. U kunt Azure Virtual Desktop verbinden met een on-premises netwerk met behulp van een virtueel particulier netwerk (VPN). U kunt ook Azure ExpressRoute gebruiken om het on-premises netwerk via een privéverbinding uit te breiden naar de Azure-cloud.
• Microsoft Entra-id. Azure Virtual Desktop maakt gebruik van Microsoft Entra-id voor identiteits- en toegangsbeheer. Microsoft Entra id-integratie is van toepassing Microsoft Entra id-beveiligingsfuncties, zoals voorwaardelijke toegang, meervoudige verificatie en intelligente beveiligingsgrafiek. Het helpt ook bij het onderhouden van app-compatibiliteit op vm's die lid zijn van een domein.
• Optioneel Active Directory Domain Services (AD DS). Virtuele Azure Virtual Desktop-machines moeten lid zijn van een domein aan AD DS of Microsoft Entra Domeinservices. AD DS moet zijn gesynchroniseerd met Microsoft Entra-id om gebruikers tussen de twee services te koppelen. U kunt Microsoft Entra Connect gebruiken om AD DS te koppelen aan Microsoft Entra-id.
• Azure Virtual Desktop-sessiehosts. Sessiehosts zijn VM's waarmee gebruikers verbinding maken voor hun bureaubladen en toepassingen. Er worden verschillende versies van Windows ondersteund en u kunt installatiekopieën maken met uw toepassingen en aanpassingen. U kunt VM-grootten kiezen, waaronder VM's met GPU. Elke sessiehost heeft een Azure Virtual Desktop-hostagent, waarmee de VM wordt geregistreerd als onderdeel van de Azure Virtual Desktop-werkruimte of -tenant. Elke hostgroep kan een of meer app-groepen hebben. Dit zijn verzamelingen externe toepassingen of bureaubladsessies waartoe u toegang hebt. Zie Besturingssystemen en licenties om te zien welke versies van Windows worden ondersteund.
• Azure Virtual Desktop-werkruimten. De Azure Virtual Desktop-werkruimte, of tenant, is een beheerconstructie voor het beheren en publiceren van hostgroepresources.

Aanbevelingen

• Houd rekening met uw verantwoordelijkheden in het model voor gedeelde verantwoordelijkheid.
• Zorg ervoor dat uw organisatie actief onderdelen beheert die onder de verantwoordelijkheid van de klant vallen. Voorbeelden zijn uw netwerktopologie, uw sessiehosts en uw werkruimte.

De omgeving beheren

Impact: Operationele uitmuntendheid, betrouwbaarheid

Als u uw Azure Virtual Desktop-omgeving wilt beheren, richt u zich op de volgende gebieden:

• Bedrijfsuitlijning. Als u wilt voldoen aan serviceovereenkomsten (SLA's), implementeert u uw sessiehosts in een beschikbaarheidszone om ze te beschermen tegen fouten in specifieke foutdomeinen.
• Basislijn voor bewerkingen. Stel een basislijn voor bewerkingen in. Zie Overzicht van Azure-serverbeheerservices voor meer informatie.
• Platformbewerkingen. Gebruik bewakingstechnieken zoals hulpprogramma's, dashboards en waarschuwingen om het operationele team te helpen incidenten effectief te bewaken en erop te reageren om een betrouwbaar platform te onderhouden. Zie Bewakingsoverwegingen voor een Azure Virtual Desktop-workload voor meer informatie.

Aanbevelingen

• Implementeer uw sessiehosts in een beschikbaarheidszone.
• Stel een basislijn voor bewerkingen in.
• Gebruik bewakingshulpprogramma's, dashboards en waarschuwingen.

Bewustzijn van nieuwe ontwikkelingen

Impact: Operationele uitmuntendheid

Het is belangrijk om op de hoogte te blijven van de nieuwste updates, functies, functieverbeteringen en oplossingen voor fouten. Zie Wat is er nieuw in Azure Virtual Desktop? voor maandelijkse updates.

Aanbevelingen

• Houd rekening met de nieuwste updates, functies, functieverbeteringen en oplossingen voor problemen in Azure Virtual Desktop.
• Bekijk resources zoals Wat is er nieuw in Azure Virtual Desktop? maandelijks.

Drempelwaarden voor bewakingslimieten

Impact: Operationele uitmuntendheid

Naarmate uw Azure Virtual Desktop-platform groeit, moet u er rekening mee houden welke limieten u bijna bereikt. Als u het platform wilt beheren en proactief serviceonderbrekingen voor uw klanten wilt voorkomen, moet u de limieten van de onderdelen die u gebruikt, zorgvuldig bewaken.

FSLogix

De beperkingen van FSLogix zijn afhankelijk van de opslaginfrastructuur die u gebruikt voor het opslaan van bestanden met virtuele harde schijven (VHD) en uitgebreide VHDX-bestanden (VHDX).

De volgende tabel bevat voorbeelden van het aantal invoer-/uitvoerbewerkingen per seconde (IOPS) dat een FSLogix-profiel nodig heeft om elke Azure Virtual Desktop-gebruiker in verschillende scenario's te ondersteunen. Gebruikersgegevens, toepassingen en de hoeveelheid activiteit op elk profiel zijn van invloed op de hoeveelheid die nodig is.

Resource	IOPS-vereiste per gebruiker	Aantal gebruikers	Aantal benodigde IOPS
IOPS met stabiele status	10	100	1000
IOPS voor aanmelden en afmelden	50	100	5.000

Hostgroepen

De volgende factoren kunnen van invloed zijn op het schalen van hostgroepen:

• De Azure-sjabloon beperkt het aantal objecten dat u kunt maken en elke VM maakt een bepaald aantal objecten. Als gevolg hiervan is er een limiet voor het aantal VM's dat u kunt maken telkens wanneer u de sjabloon uitvoert. Zie Is er een schaallimiet voor hostgroepen die zijn gemaakt in de Azure Portal? voor meer informatie.
• Voor vCPU's geldt een limiet voor het aantal dat u kunt maken per regio, per abonnement en type abonnement. Enterprise Agreement abonnementen hebben standaard een limiet van 350 vCPU's. Als u het aantal vm's wilt bepalen dat u per sjabloonuitvoering kunt maken, deelt u de vCPU-limiet door het aantal vCPU's dat u per VM hebt.

Servicelimieten

Alle resources die worden gebruikt in Azure Virtual Desktop, zoals VM's, opslagruimte en netwerken, zijn onderhevig aan beperkingen en beperkingen. Er is bijvoorbeeld een servicelimiet van 10.000 voor sessiehostobjecten. Het overschrijden van deze limieten kan van invloed zijn op de beschikbaarheid van uw service.

De Azure Virtual Desktop-infrastructuur maakt gebruik van de volgende onderdelen. Zie Azure Virtual Desktop-servicelimieten voor de bijbehorende servicelimieten.

• Toepassingsgroep
• Hostgroep
• RemoteApp
• Roltoewijzing
• Sessiehost
• Werkruimte

Verloop van VM-token

In Azure Virtual Desktop worden VM's geregistreerd bij een hostgroep en krijgen ze een token toegewezen. De Azure Virtual Desktop-agent vernieuwt regelmatig het token van een VM wanneer de VM actief is. Registratietokens zijn 90 dagen geldig.

Om te voorkomen dat tokens verlopen, moet het Azure Virtual Desktop-team automatisering gebruiken om elke VM regelmatig in te schakelen. Een geautomatiseerde oplossing kan bijvoorbeeld elke VM 20 minuten per 90 dagen inschakelen. Vervolgens wordt het token van elke VM vernieuwd voordat het verloopt of ongeldig wordt. De agent- en side-by-side stack-onderdelen worden ook bijgewerkt.

VM's die meer dan 90 dagen zijn uitgeschakeld, ondervinden registratieproblemen. Als u een virtuele machine opnieuw wilt gebruiken, volgt u de stappen in Veelvoorkomende problemen met de Azure Virtual Desktop-agent oplossen. In deze instructies wordt uitgelegd hoe u de VM uit uw hostgroep verwijdert, de agent opnieuw installeert en de VM opnieuw registreert bij uw hostgroep.

Aanbevelingen

• Bewaak het resourcegebruik van uw onderdelen.
• Houd rekening met systeemlimieten voor:
  • Diensten.
  • Azure-objecten.
  • Het aantal vCPU's dat u kunt maken.
• Begrijpen hoeveel IOPS een FSLogix-profiel nodig heeft om elke gebruiker te ondersteunen.
• Gebruik automatisering om te voorkomen dat VM-tokens verlopen.

Updates voor gouden installatiekopieën van hostpool

Impact: Operationele uitmuntendheid, betrouwbaarheid

U kunt de VM's van uw hostgroep bijwerken door een van de volgende methoden te volgen:

• Implementeer een tweede hostgroep. Wanneer het klaar is, wijst u gebruikers toe aan die pool. Deze benadering biedt u de mogelijkheid om de oorspronkelijke hostgroep beschikbaar te maken voor een terugdraaiactie. U kunt de oorspronkelijke hostgroep verwijderen nadat u een bevestiging hebt ontvangen dat de nieuwe hostgroep werkt zoals verwacht.
• Stel de oorspronkelijke VM's in op de afvoermodus in de hostgroep. Implementeer vervolgens nieuwe VM's vanuit een nieuwe gouden installatiekopie in dezelfde hostgroep. Deze aanpak is riskanter. U kunt resourcebeperkingen of API-beperkingslimieten bereiken wanneer u het aantal VM's in één hostgroep verdubbelt.

Aanbevelingen

• Implementeer een tweede hostgroep wanneer u uw VM's bijwerkt als u liever wilt dat uw eerste hostgroep beschikbaar is voor een terugdraaiactie.
• Werk uw VM's bij door nieuwe VM's te implementeren vanuit een nieuwe gouden installatiekopie in uw hostpools als u het aantal VM's per hostgroep kunt verdubbelen.

Installatiekopiebeheer

Impact: Operationele uitmuntendheid, beveiliging

U kunt Azure VM Image Builder gebruiken om de processen voor het bouwen, bijwerken, voorbereiden en distribueren van gouden installatiekopieën te automatiseren. U kunt Azure Marketplace met ondersteunde basisinstallatiekopieën gebruiken om ervoor te zorgen dat u over de meest recente updates beschikt.

Als onderdeel van het proces voor het maken van een gouden installatiekopieën voor het bijwerken van VM's, kunt u een script gebruiken om de toepassingen te installeren die u gebruikt. PowerShell is de aanbevolen methode voor het uitvoeren van scripts. Als u toepassingen of gegevens wilt terugdraaien, gebruikt u een versiebeheersysteem en een opslagplaats om scripts en installatieprogramma's te beheren. Azure Key Vault is een aanbevolen benadering voor het opslaan van geheimen die u nodig hebt als onderdeel van een geautomatiseerd implementatieproces.

Aanbevelingen

• Gebruik VM Image Builder om het proces van het bijwerken van gouden installatiekopieën te automatiseren.
• Haal de nieuwste versies van installatiekopieën op uit Azure Marketplace.
• PowerShell-scripts gebruiken om toepassingen te installeren.
• Gebruik een versiebeheersysteem om implementatiescripts te beheren.
• Gebruik Key Vault om geheimen op te slaan die uw geautomatiseerde implementatieprocessen gebruiken.

Up-to-date blijven met ondersteunde versies

Impact: Operationele uitmuntendheid

Versienaleving is belangrijk wanneer u elk type platform uitvoert. De volgende resources bieden actuele informatie over Azure Virtual Desktop-onderdelen:

• Wat is er nieuw in de Azure Virtual Desktop-agent?
• Wat is er nieuw in Azure Virtual Desktop Insights?
• Opmerkingen bij de release van FSLogix
• Wat is er nieuw in de Extern bureaublad WebRTC Redirector-service
• Wat is er nieuw in multimedia-omleiding?
• Wat is er nieuw in het hulpprogramma MSIXMGR

Aanbevelingen

• Bekijk regelmatig releaseopmerkingen en andere artikelen over ontwikkelingen in Azure Virtual Desktop-onderdelen.
• Installeer updates zodra deze beschikbaar zijn.

Volgende stappen

Nu u de operationele procedures hebt bekeken, kunt u zien hoe u Azure Virtual Desktop-onderdelen ontwerpt voor betrouwbaarheid.

Bedrijfscontinuïteit

Gebruik het evaluatieprogramma om uw ontwerpkeuzen te evalueren.

Evaluatie