Usługa Azure Virtual Desktop dla przedsiębiorstwa

Tożsamość Microsoft Entra

Microsoft Entra

Azure Virtual Network

Azure Virtual Desktop

Azure Virtual Desktop to usługa wirtualizacji aplikacji i pulpitu, która działa na platformie Azure. Ten artykuł ma pomóc architektom infrastruktury pulpitu, architektom chmury, administratorom komputerów stacjonarnych i administratorom systemu eksplorować usługę Azure Virtual Desktop i tworzyć rozwiązania infrastruktury pulpitu zwirtualizowanego (VDI) w skali przedsiębiorstwa. Rozwiązania w skali przedsiębiorstwa zwykle obejmują 1000 lub więcej pulpitów wirtualnych.

Architektura

Typowa konfiguracja architektury dla usługi Azure Virtual Desktop jest pokazana na poniższym diagramie:

Pobierz plik programu Visio tej architektury.

Przepływ danych

Elementy przepływu danych diagramu zostały opisane tutaj:

• Punkty końcowe aplikacji znajdują się w sieci lokalnej klienta. Usługa Azure ExpressRoute rozszerza sieć lokalną na platformę Azure, a program Microsoft Entra Connect integruje usługi domena usługi Active Directory klienta (AD DS) z identyfikatorem Firmy Microsoft Entra.

• Płaszczyzna sterowania usługi Azure Virtual Desktop obsługuje dostęp internetowy, bramę, brokera, diagnostykę i składniki rozszerzalności, takie jak interfejsy API REST.

• Klient zarządza usługami AD DS i Microsoft Entra ID, subskrypcjami platformy Azure, sieciami wirtualnymi, usługami Azure Files lub Azure NetApp Files oraz pulami hostów i obszarami roboczymi usługi Azure Virtual Desktop.

• Aby zwiększyć pojemność, klient korzysta z dwóch subskrypcji platformy Azure w architekturze piasty i szprych i łączy je za pośrednictwem komunikacji równorzędnej sieci wirtualnych.

Aby uzyskać więcej informacji na temat kontenera profilów FSLogix — najlepsze rozwiązania dotyczące usług Azure Files i Azure NetApp Files, zobacz przykłady konfiguracji fsLogix.

Składniki

Architektura usługi Azure Virtual Desktop jest podobna do usług pulpitu zdalnego systemu Windows Server (RDS). Mimo że firma Microsoft zarządza składnikami infrastruktury i brokera, klienci korporacyjni zarządzają własnymi maszynami wirtualnymi hosta pulpitu, danymi i klientami.

Składniki zarządzane przez firmę Microsoft

Firma Microsoft zarządza następującymi usługami azure Virtual Desktop w ramach platformy Azure:

• Dostęp do sieci Web: za pomocą usługi Web Access w usłudze Azure Virtual Desktop można uzyskiwać dostęp do pulpitów wirtualnych i aplikacji zdalnych za pośrednictwem przeglądarki internetowej zgodnej z językiem HTML5, tak jak w przypadku komputera lokalnego, z dowolnego miejsca i na dowolnym urządzeniu. Dostęp internetowy można zabezpieczyć przy użyciu uwierzytelniania wieloskładnikowego w usłudze Microsoft Entra ID.

• Brama: usługa bramy połączenia zdalnego łączy użytkowników zdalnych z aplikacjami i pulpitami usługi Azure Virtual Desktop z dowolnego urządzenia połączonego z Internetem, które może uruchamiać klienta usługi Azure Virtual Desktop. Klient łączy się z bramą, która następnie organizuje połączenie z maszyny wirtualnej z powrotem do tej samej bramy.

• Broker połączeń: usługa Broker połączeń zarządza połączeniami użytkowników z pulpitami wirtualnymi i aplikacjami zdalnymi. Broker połączeń zapewnia równoważenie obciążenia i ponowne nawiązywanie połączenia z istniejącymi sesjami.

• Diagnostyka: Diagnostyka pulpitu zdalnego to agregator oparty na zdarzeniach, który oznacza akcję każdego użytkownika lub administratora we wdrożeniu usługi Azure Virtual Desktop jako powodzenie lub niepowodzenie. Administratorzy mogą wysyłać zapytania dotyczące agregacji zdarzeń w celu zidentyfikowania składników, które kończą się niepowodzeniem.

• Składniki rozszerzalności: usługa Azure Virtual Desktop zawiera kilka składników rozszerzalności. Usługę Azure Virtual Desktop można zarządzać przy użyciu programu Windows PowerShell lub z udostępnionymi interfejsami API REST, które umożliwiają również obsługę z poziomu narzędzi innych firm.

Składniki, którymi zarządzasz

Zarządzasz następującymi składnikami rozwiązań usługi Azure Virtual Desktop:

• Azure Virtual Network: dzięki usłudze AzureVirtual Network zasoby platformy Azure, takie jak maszyny wirtualne, mogą komunikować się prywatnie ze sobą i z Internetem. Łącząc pule hostów usługi Azure Virtual Desktop z domeną usługi Active Directory, można zdefiniować topologię sieci w celu uzyskiwania dostępu do pulpitów wirtualnych i aplikacji wirtualnych z intranetu lub Internetu na podstawie zasad organizacji. Wystąpienie usługi Azure Virtual Desktop można połączyć z siecią lokalną przy użyciu wirtualnej sieci prywatnej (VPN) lub użyć usługi Azure ExpressRoute , aby rozszerzyć sieć lokalną na platformę Azure za pośrednictwem połączenia prywatnego.

• Microsoft Entra ID: Usługa Azure Virtual Desktop używa identyfikatora Entra firmy Microsoft do zarządzania tożsamościami i dostępem. Integracja firmy Microsoft Entra stosuje funkcje zabezpieczeń firmy Microsoft, takie jak dostęp warunkowy, uwierzytelnianie wieloskładnikowe i usługę Intelligent Security Graph, a także pomagają zachować zgodność aplikacji z maszynami wirtualnymi przyłączonym do domeny.

• Active Directory Domain Services (opcjonalnie): maszyny wirtualne usługi Azure Virtual Desktop mogą być przyłączone do usługi AD DS lub użyć polecenia Deploy Microsoft Entra joined virtual machines in Azure Virtual Desktop (Wdrażanie maszyn wirtualnych dołączonych do usługi Microsoft Entra w usłudze Azure Virtual Desktop)

  • W przypadku korzystania z domeny usług AD DS domena musi być zsynchronizowana z identyfikatorem Entra firmy Microsoft, aby skojarzyć użytkowników między dwiema usługami. Możesz użyć programu Microsoft Entra Connect , aby skojarzyć usługi AD DS z identyfikatorem Entra firmy Microsoft.
  • W przypadku korzystania z dołączania firmy Microsoft Entra zapoznaj się z obsługiwanymi konfiguracjami , aby upewnić się, że twój scenariusz jest obsługiwany.

• Hosty sesji usługi Azure Virtual Desktop: Hosty sesji to maszyny wirtualne, z którymi użytkownicy nawiązują połączenie dla swoich komputerów stacjonarnych i aplikacji. Obsługiwane są kilka wersji systemu Windows i można tworzyć obrazy za pomocą aplikacji i dostosowań. Możesz wybrać rozmiary maszyn wirtualnych, w tym maszyny wirtualne z obsługą procesora GPU. Każdy host sesji ma agenta hosta usługi Azure Virtual Desktop, który rejestruje maszynę wirtualną w ramach obszaru roboczego lub dzierżawy usługi Azure Virtual Desktop. Każda pula hostów może mieć co najmniej jedną grupę aplikacji, które są kolekcjami aplikacji zdalnych lub sesji pulpitu, do których można uzyskać dostęp. Aby sprawdzić, które wersje systemu Windows są obsługiwane, zobacz Systemy operacyjne i licencje.

• Obszar roboczy usługi Azure Virtual Desktop: obszar roboczy lub dzierżawa usługi Azure Virtual Desktop to konstrukcja zarządzania do zarządzania zasobami puli hostów i publikowania ich.

Szczegóły scenariusza

Potencjalne przypadki użycia

Największe zapotrzebowanie na rozwiązania pulpitu wirtualnego przedsiębiorstwa wynika z następujących rozwiązań:

• Aplikacje dotyczące zabezpieczeń i regulacji, takie jak usługi finansowe, opieka zdrowotna i instytucje rządowe.

• Elastyczni pracownicy potrzebują, takich jak praca zdalna, fuzje i przejęcia, krótkoterminowi pracownicy, wykonawcy i dostęp partnerów.

• Konkretni pracownicy, tacy jak przynieś własne urządzenie (BYOD) i użytkownicy mobilni, centra telefoniczne i pracownicy oddziałów.

• Wyspecjalizowane obciążenia, takie jak projektowanie i inżynieria, starsze aplikacje i testowanie tworzenia oprogramowania.

Komputery osobiste i pulpity w puli

Korzystając z osobistych rozwiązań klasycznych, czasami nazywanych trwałymi pulpitami, użytkownicy zawsze mogą łączyć się z tym samym konkretnym hostem sesji. Użytkownicy mogą zwykle modyfikować swoje środowisko pulpitu w celu spełnienia osobistych preferencji i mogą zapisywać pliki w środowisku pulpitu. Osobiste rozwiązania klasyczne:

• Umożliwianie użytkownikom dostosowywania środowiska pulpitu, w tym aplikacji zainstalowanych przez użytkownika, a użytkownicy mogą zapisywać pliki w środowisku pulpitu.
• Zezwalaj na przypisywanie dedykowanych zasobów do określonych użytkowników, co może być przydatne w przypadku niektórych przypadków użycia produkcji lub programowania.

Rozwiązania pulpitu w puli, nazywane również pulpitami nietrwałymi, przypisz użytkowników do niezależnie od aktualnie dostępnego hosta sesji, w zależności od algorytmu równoważenia obciążenia. Ponieważ użytkownicy nie zawsze wracają do tego samego hosta sesji za każdym razem, gdy nawiązują połączenie, mają ograniczoną możliwość dostosowywania środowiska pulpitu i zwykle nie mają dostępu administratora.

Uwaga

Trwała i nietrwała terminologia w tym przypadku odnosi się do trwałości profilu użytkownika. Nie oznacza to, że dysk systemu operacyjnego powraca do złotego obrazu lub odrzuca zmiany po ponownym uruchomieniu.

Obsługa systemu Windows

Istnieje kilka opcji aktualizowania wystąpień usługi Azure Virtual Desktop. Wdrażanie zaktualizowanego obrazu co miesiąc gwarantuje zgodność i stan.

• Program Microsoft Endpoint Configuration Manager (MECM) aktualizuje serwery i systemy operacyjne pulpitu.
• Aktualizacje systemu Windows dla firm aktualizacji systemów operacyjnych klasycznych, takich jak windows 11 Enterprise, wiele sesji.
• Usługa Azure Update Management aktualizuje systemy operacyjne serwera.
• Usługa Azure Log Analytics sprawdza zgodność.
• Wdróż nowy (niestandardowy) obraz na hostach sesji co miesiąc dla najnowszych aktualizacji systemu Windows i aplikacji. Możesz użyć obrazu z witryny Azure Marketplace lub niestandardowego obrazu zarządzanego przez platformę Azure.

Relacje między kluczowymi składnikami logicznymi

Relacje między pulami hostów, obszarami roboczymi i innymi kluczowymi składnikami logicznymi różnią się. Zostały one podsumowane na poniższym diagramie:

Liczby w poniższych opisach odpowiadają liczbom na powyższym diagramie.

• (1) Grupa aplikacji zawierająca opublikowany pulpit może zawierać tylko pakiety MSIX zainstalowane w puli hostów (pakiety będą dostępne w menu Start hosta sesji), nie może zawierać żadnych innych opublikowanych zasobów i jest nazywana grupą aplikacji klasycznych.
• (2) Grupy aplikacji przypisane do tej samej puli hostów muszą należeć do tego samego obszaru roboczego.
• (3) Konto użytkownika można przypisać do grupy aplikacji bezpośrednio lub za pośrednictwem grupy Microsoft Entra. Istnieje możliwość przypisania żadnych użytkowników do grupy aplikacji, ale nie można jej obsłużyć.
• (4) Istnieje możliwość posiadania pustego obszaru roboczego, ale nie może obsługiwać użytkowników.
• (5) Istnieje możliwość posiadania pustej puli hostów, ale nie może obsługiwać użytkowników.
• (6) Istnieje możliwość, że pula hostów nie ma przypisanych do niej żadnych grup aplikacji, ale nie może obsługiwać użytkowników.
• (7) Identyfikator entra firmy Microsoft jest wymagany dla usługi Azure Virtual Desktop. Dzieje się tak, ponieważ konta i grupy użytkowników usługi Microsoft Entra muszą być zawsze używane do przypisywania użytkowników do grup aplikacji usługi Azure Virtual Desktop. Identyfikator Entra firmy Microsoft jest również używany do uwierzytelniania użytkowników w usłudze Azure Virtual Desktop. Hosty sesji usługi Azure Virtual Desktop mogą być również członkami domeny firmy Microsoft Entra, a w takiej sytuacji aplikacje opublikowane przez usługę Azure Virtual Desktop i sesje pulpitu również zostaną uruchomione i uruchomione (nie tylko przypisane) przy użyciu kont Microsoft Entra.
  • (7) Alternatywnie hosty sesji usługi Azure Virtual Desktop mogą być członkami domeny usług AD DS, a w takiej sytuacji aplikacje opublikowane przez usługę Azure Virtual Desktop i sesje pulpitu zostaną uruchomione i uruchomione (ale nie przypisane) przy użyciu kont usług AD DS. Aby zmniejszyć obciążenie użytkowników i administratorów, usługi AD DS można zsynchronizować z firmą Microsoft Entra ID za pośrednictwem programu Microsoft Entra Connect.
  • (7) Na koniec hosty sesji usługi Azure Virtual Desktop mogą być członkami domeny usług Microsoft Entra Domain Services, a w takiej sytuacji aplikacje opublikowane w usłudze Azure Virtual Desktop i sesje pulpitu zostaną uruchomione i uruchomione (ale nie przypisane) przy użyciu kont usług Microsoft Entra Domain Services. Identyfikator Entra firmy Microsoft jest automatycznie synchronizowany z usługami Microsoft Entra Domain Services w jeden sposób z identyfikatora Entra firmy Microsoft do usługi Microsoft Entra Domain Services.

Zasób	Przeznaczenie	Relacje logiczne
Opublikowany pulpit	Środowisko pulpitu systemu Windows uruchomione na hostach sesji usługi Azure Virtual Desktop i jest dostarczane do użytkowników za pośrednictwem sieci	Członek jednej i tylko jednej grupy aplikacji (1)
Opublikowana aplikacja	Aplikacja systemu Windows uruchomiona na hostach sesji usługi Azure Virtual Desktop i jest dostarczana użytkownikom za pośrednictwem sieci	Członek jednej i tylko jednej grupy aplikacji
Grupa aplikacji	Logiczne grupowanie opublikowanych aplikacji lub opublikowanego pulpitu	— Zawiera opublikowany pulpit (1) lub co najmniej jedną opublikowaną aplikację - Przypisane do jednej i tylko jednej puli hostów (2) - Członek jednego i tylko jednego obszaru roboczego (2) — Do niego są przypisane co najmniej jedno konto użytkownika lub grupy firmy Microsoft ( 3)
Microsoft Entra user account/group	Identyfikuje użytkowników, którzy mogą uruchamiać opublikowane pulpity lub aplikacje	- Członek jednego i tylko jednego identyfikatora Entra firmy Microsoft — Przypisane do co najmniej jednej grupy aplikacji (3)
Microsoft Entra ID (7)	Dostawca tożsamości	— Zawiera co najmniej jedno konto użytkownika lub grupy, które muszą być używane do przypisywania użytkowników do grup aplikacji, a także może służyć do logowania się do hostów sesji — Może przechowywać członkostwo hostów sesji — Można synchronizować z usługami AD DS lub Microsoft Entra Domain Services
USŁUGI AD DS (7)	Dostawca usług tożsamości i katalogów	— Zawiera co najmniej jedno konto użytkownika lub grupy, których można użyć do logowania się na hostach sesji — Może przechowywać członkostwo hostów sesji — Można zsynchronizować z identyfikatorem Entra firmy Microsoft
Microsoft Entra Domain Services (7)	Dostawca tożsamości i usług katalogowych opartych na platformie jako usługi (PaaS)	— Zawiera co najmniej jedno konto użytkownika lub grupy, których można użyć do logowania się na hostach sesji — Może przechowywać członkostwo hostów sesji — Synchronizowane z identyfikatorem Entra firmy Microsoft
Obszar roboczy	Logiczne grupowanie grup aplikacji	Zawiera co najmniej jedną grupę aplikacji (4)
Pula hostów	Grupa identycznych hostów sesji, które służą wspólnemu celowi	— Zawiera co najmniej jeden host sesji (5) — Przypisano do niej co najmniej jedną grupę aplikacji (6)
Host sesji	Maszyna wirtualna, która hostuje opublikowane komputery stacjonarne lub aplikacje	Element członkowski jednej i tylko jednej puli hostów

Kwestie wymagające rozważenia

Te zagadnienia obejmują implementację filarów platformy Azure Well-Architected Framework, która jest zestawem wytycznych, których można użyć do poprawy jakości obciążenia. Aby uzyskać więcej informacji, zobacz Well-Architected Framework.

Użyj narzędzia do oceny , aby ocenić gotowość obciążenia usługi Azure Virtual Desktop. To narzędzie sprawdza dopasowanie do najlepszych rozwiązań opisanych w dokumentacji obciążenia usługi Azure Virtual Desktop.

Niezawodność

Niezawodność pomaga zapewnić, że aplikacja może spełnić zobowiązania podjęte przez klientów. Aby uzyskać więcej informacji, zobacz Lista kontrolna przeglądu projektu dotycząca niezawodności.

• Upewnij się, że pojemność jest zarezerwowana: aby zagwarantować gwarantowaną alokację zasobów obliczeniowych, możesz zażądać rezerwacji pojemności na żądanie bez zobowiązania terminowego i połączyć je z wystąpieniami zarezerwowanymi.
• Dodaj odporność wewnątrz regionów: użyj stref dostępności dla usług platformy Azure, które je obsługują, takich jak:
  • Maszyny wirtualne (hosty sesji)
  • Azure Storage (FSLogix lub App Attach). Aby uzyskać więcej informacji, zobacz Nadmiarowość usługi Azure Storage.
• Utwórz plan ciągłości działania: jeśli strefy dostępności nie spełniają celów celu celu czasu odzyskiwania lub celu punktu odzyskiwania, zapoznaj się ze wskazówkami dotyczącymi wieloregionowej ciągłości działania i odzyskiwania po awarii (BCDR) dla usługi Azure Virtual Desktop.

Zabezpieczenia

Zabezpieczenia zapewniają ochronę przed celowymi atakami i nieprawidłowym użyciem cennych danych i systemów. Aby uzyskać więcej informacji, zobacz Lista kontrolna przeglądu projektu dotycząca zabezpieczeń.

Podczas wdrażania usługi Azure Virtual Desktop należy wziąć pod uwagę następujące czynniki związane z zabezpieczeniami.

• Użyj identyfikatora Entra firmy Microsoft: użytkownicy mogą logować się do usługi Azure Virtual Desktop z dowolnego miejsca przy użyciu różnych urządzeń i klientów. Aby zminimalizować ryzyko nieautoryzowanego dostępu i zapewnić organizacji możliwość zarządzania ryzykiem logowania, wymuszaj uwierzytelnianie wieloskładnikowe firmy Microsoft przy użyciu dostępu warunkowego.
• Użyj szyfrowania: domyślnie większość dysków zarządzanych platformy Azure jest szyfrowana podczas utrwalania w chmurze. Jeśli hosty sesji wymagają bardziej rozbudowanego szyfrowania, takiego jak kompleksowe szyfrowanie, zapoznaj się ze wskazówkami dotyczącymi opcji szyfrowania dysków zarządzanych w celu ochrony przechowywanych danych przed nieautoryzowanym dostępem.
• Użyj sieci prywatnej: jeśli potrzebujesz prywatnej łączności z zasobami usługi Azure Virtual Desktop, użyj usługi Azure Private Link z usługą Azure Virtual Desktop , aby ograniczyć ruch między siecią wirtualną a usługą w usłudze Microsoft Network.

Uwaga

Aby uzyskać więcej zaleceń dotyczących zabezpieczeń, zobacz wskazówki dotyczące zaleceń dotyczących zabezpieczeń usługi Azure Virtual Desktop.

Optymalizacja kosztów

Optymalizacja kosztów koncentruje się na sposobach zmniejszenia niepotrzebnych wydatków i poprawy wydajności operacyjnej. Aby uzyskać więcej informacji, zobacz Lista kontrolna przeglądu projektu dotycząca optymalizacji kosztów.

Podczas wdrażania usługi Azure Virtual Desktop należy wziąć pod uwagę następujące czynniki związane z kosztami.

• Planowanie obsługi wielu sesji: w przypadku obciążeń o identycznych wymaganiach obliczeniowych, ogólnie w puli pul hostów wielosesyjnej systemu Windows Enterprise można akceptować więcej użytkowników do logowania się do jednej maszyny wirtualnej jednocześnie; zmniejszenie kosztów i kosztów administracyjnych.
• Optymalizowanie licencjonowania: jeśli masz pakiet Software Assurance, możesz użyć korzyści użycia hybrydowego platformy Azure , aby zmniejszyć koszty infrastruktury obliczeniowej platformy Azure.
• Obliczenia przed zakupem: możesz zatwierdzić plany roczne lub trzyletnie, rezerwacje platformy Azure na podstawie użycia maszyny wirtualnej, aby uzyskać rabat, aby znacznie zmniejszyć koszt zasobów. Można to połączyć z korzyścią użycia hybrydowego platformy Azure w celu uzyskania dodatkowych oszczędności.
• Skalowanie w poziomie i w razie potrzeby: jeśli zatwierdzenie do rezerwacji platformy Azure nie jest odpowiednie dla bieżących potrzeb, rozważ skalowanie automatyczne planów skalowania na potrzeby dynamicznej aprowizacji/anulowania aprowizacji hostów sesji, ponieważ zapotrzebowanie zmienia się w ciągu dnia/tygodnia.
• Oceń opcje równoważenia obciążenia: skonfiguruj algorytm równoważenia obciążenia puli hostów pod kątem głębokości. Należy jednak pamiętać, że konfiguracja może obniżyć środowisko użytkownika; domyślne środowisko użytkownika zoptymalizowane pod kątem zakresu. Aby uzyskać więcej informacji, zobacz Konfigurowanie równoważenia obciążenia puli hostów w usłudze Azure Virtual Desktop.

Doskonałość operacyjna

Doskonałość operacyjna obejmuje procesy operacyjne, które wdrażają aplikację i działają w środowisku produkcyjnym. Aby uzyskać więcej informacji, zobacz Lista kontrolna projektu dotycząca doskonałości operacyjnej.

• Konfigurowanie alertów: skonfiguruj alertyusługi Service Health i Resource Health , aby otrzymywać informacje o kondycji używanych usług i regionów platformy Azure.
  • Monitoruj rozwiązanie usługi Azure Storage używane do hostowania profilów FSLogix lub udziałów dołączania aplikacji, aby upewnić się, że progi nie zostały przekroczone, co może mieć negatywny wpływ na środowisko użytkownika.
• Zbieranie danych wydajności: zainstaluj agenta monitorowania platformy Azure na hostach sesji usługi Azure Virtual Desktop, aby wyodrębnić i monitorować liczniki wydajności i dzienniki zdarzeń. Aby uzyskać więcej informacji, zobacz listę konfigurowalnych metryk wydajności/liczników i dzienników zdarzeń.
• Zbieranie szczegółowych informacji o użyciu: użyj usługi Azure Virtual Desktop Insights , aby uzyskać pomoc w sprawdzaniu, na przykład, które wersje klienta łączą się, możliwości oszczędzania kosztów lub wiedząc, czy masz ograniczenia zasobów lub problemy z łącznością.
• Dostrajanie ustawień diagnostycznych: włącz ustawienia diagnostyczne dla wszystkich usług, obszarów roboczych usługi Azure Virtual Desktop, grup aplikacji, pul hostów, kont magazynu. Określ, które ustawienia mają znaczenie dla operacji. Wyłącz ustawienia, które nie mają znaczenia, aby uniknąć niepotrzebnych kosztów; konta magazynu (w szczególności usługa plików), które widzą dużą liczbę operacji we/wy na sekundę, mogą wiązać się z wysokimi kosztami monitorowania.

Efektywność operacyjna

Wydajność odnosi się do możliwości skalowania obciążenia w celu efektywnego zaspokojenia wymagań użytkowników. Aby uzyskać więcej informacji, zobacz Lista kontrolna przeglądu projektu pod kątem wydajności.

• Używaj wykluczeń oprogramowania antywirusowego: w przypadku rozwiązań profilowych, takich jak FSLogix, które zainstalują pliki wirtualnego dysku twardego, zaleca się wykluczenie tych rozszerzeń plików. Aby uzyskać więcej informacji, zobacz Konfigurowanie wykluczeń plików i folderów programu antywirusowego.
• Dostrajanie opóźnienia: w przypadku klientów korzystających z połączenia sieci VPN typu punkt-lokacja (P2S) użyj tunelu podzielonego opartego na protokole UDP (User Datagram Protocol), aby zmniejszyć opóźnienie i zoptymalizować użycie przepustowości tunelu. W przypadku klientów w lokacji korzystających z sieci VPN lub usługi Azure ExpressRoute użyj protokołu RDP Shortpath , aby skrócić czas rundy, co poprawia środowisko użytkownika w aplikacjach i metodach wejściowych wrażliwych na opóźnienia.
• Użyj obliczeń o odpowiednim rozmiarze: Wytyczne dotyczące określania rozmiaru maszyn wirtualnych obejmują maksymalną sugerowaną liczbę użytkowników na wirtualną centralną jednostkę przetwarzania (vCPU) i minimalną konfigurację maszyn wirtualnych dla różnych obciążeń. Te dane ułatwiają oszacowanie potrzebnych maszyn wirtualnych w puli hostów.
  • Korzystanie z narzędzi symulacji do testowania wdrożeń zarówno przy użyciu testów obciążeniowych, jak i symulacji użycia w czasie rzeczywistym. Upewnij się, że system odpowiada i jest wystarczająco odporny, aby zaspokoić potrzeby użytkowników i pamiętać, aby zmieniać rozmiary obciążenia podczas testowania.
• Używaj efemerycznych dysków systemu operacyjnego: jeśli traktujesz hostów sesji, takich jak bydło, w przeciwieństwie do zwierząt domowych, efemeryczne dyski systemu operacyjnego są doskonałym sposobem na poprawę wydajności, opóźnienia podobne do dysków tymczasowych, a jednocześnie oszczędność kosztów, ponieważ są bezpłatne.

Ograniczenia

Usługa Azure Virtual Desktop, podobnie jak platforma Azure, ma pewne ograniczenia usługi, o których musisz pamiętać. Aby uniknąć konieczności wprowadzania zmian w fazie skalowania, dobrym pomysłem jest rozwiązanie niektórych z tych ograniczeń w fazie projektowania.

Aby uzyskać więcej informacji na temat ograniczeń usługi Azure Virtual Desktop, zobacz Limity usługi Azure Virtual Desktop.

Należy również pamiętać, że:

• Nie można utworzyć więcej niż 500 grup aplikacji na jedną dzierżawę firmy Microsoft Entra*.
  • Jeśli potrzebujesz więcej niż 500 grup aplikacji, prześlij bilet pomocy technicznej za pośrednictwem witryny Azure Portal.
• Zalecamy , aby nie publikować więcej niż 50 aplikacji na grupę aplikacji.
• Zalecamy wdrożenie nie więcej niż 5000 maszyn wirtualnych na subskrypcję platformy Azure na region. To zalecenie dotyczy zarówno pul hostów osobistych, jak i pul hostów w puli na podstawie pojedynczej i wielosesyjnej sesji systemu Windows Enterprise. Większość klientów korzysta z wielu sesji systemu Windows Enterprise, co umożliwia wielu użytkownikom logowanie się do każdej maszyny wirtualnej. Możesz zwiększyć zasoby poszczególnych maszyn wirtualnych hosta sesji, aby pomieścić więcej sesji użytkownika.
• W przypadku zautomatyzowanych narzędzi skalowania hosta sesji limity to około 2500 maszyn wirtualnych na subskrypcję platformy Azure na region, ponieważ interakcja ze stanem maszyny wirtualnej zużywa więcej zasobów.
• Aby zarządzać środowiskami przedsiębiorstwa z ponad 5000 maszynami wirtualnymi na subskrypcję platformy Azure w tym samym regionie, możesz utworzyć wiele subskrypcji platformy Azure w architekturze piasty i szprych i połączyć je za pośrednictwem komunikacji równorzędnej sieci wirtualnych (przy użyciu jednej subskrypcji na szprychę). Możesz również wdrożyć maszyny wirtualne w innym regionie w tej samej subskrypcji, aby zwiększyć liczbę maszyn wirtualnych.
• Limity ograniczania przepustowości interfejsu API subskrypcji usługi Azure Resource Manager nie zezwalają na ponad 600 ponownych uruchomień maszyn wirtualnych platformy Azure na godzinę za pośrednictwem witryny Azure Portal. Wszystkie maszyny można uruchomić jednocześnie za pośrednictwem systemu operacyjnego, który nie używa żadnych wywołań interfejsu API subskrypcji usługi Azure Resource Manager. Aby uzyskać więcej informacji na temat zliczania i rozwiązywania problemów z limitami ograniczania przepustowości na podstawie subskrypcji platformy Azure, zobacz Rozwiązywanie problemów z błędami ograniczania przepustowości interfejsu API.
• Obecnie można wdrożyć maksymalnie 132 maszyn wirtualnych we wdrożeniu jednego szablonu usługi ARM w portalu usługi Azure Virtual Desktop. Aby utworzyć więcej niż 132 maszyn wirtualnych, uruchom wdrożenie szablonu usługi ARM w portalu usługi Azure Virtual Desktop wiele razy.
• Prefiksy nazw sesji-hosta maszyny wirtualnej platformy Azure nie mogą przekraczać 11 znaków, ponieważ automatyczne przypisywanie nazw wystąpień i limit NetBIOS wynoszący 15 znaków na konto komputera.
• Domyślnie w grupie zasobów można wdrożyć maksymalnie 800 wystąpień większości typów zasobów. Usługa Azure Compute nie ma tego limitu.

Aby uzyskać więcej informacji na temat ograniczeń subskrypcji platformy Azure, zobacz Limity, limity przydziału i ograniczenia subskrypcji platformy Azure.

Wdrażanie tego scenariusza

Kolekcję szablonów usługi ARM można stosować do automatyzowania wdrażania środowiska usługi Azure Virtual Desktop. Te szablony usługi ARM obsługują tylko obiekty usługi Azure Resource Manager usługi Azure Virtual Desktop. Te szablony usługi ARM nie obsługują usługi Azure Virtual Desktop (wersja klasyczna).

Więcej scenariuszy jest dostępnych w narzędziu Microsoft Developer Tools, które obsługuje kilka opcji wdrażania:

• Usługa Azure Virtual Desktop z przyłączem microsoft Entra ID
• Usługa Azure Virtual Desktop z usługami FSLogix i AD DS Join

Współautorzy

Ten artykuł jest obsługiwany przez firmę Microsoft. Pierwotnie został napisany przez następujących współautorów.

Główny autor:

• Tom Hickling | Starszy menedżer produktu, inżynieria usługi Azure Virtual Desktop

Inny współautor:

• Nelson Del Villar | Architekt rozwiązań w chmurze, infrastruktura podstawowa platformy Azure

Następne kroki

• Integracje partnerów usługi Azure Virtual Desktop zawiera listę zatwierdzonych dostawców partnerów usługi Azure Virtual Desktop i niezależnych dostawców oprogramowania.
• Użyj narzędzia optymalizacji pulpitu wirtualnego , aby zoptymalizować wydajność w środowisku VDI systemu Windows 11 Enterprise (infrastruktury pulpitu wirtualnego).
• Aby uzyskać więcej informacji, zobacz Wdrażanie maszyn wirtualnych dołączonych do firmy Microsoft w usłudze Azure Virtual Desktop.
• Dowiedz się więcej o usługach Active Directory Domain Services.
• Co to jest microsoft Entra Connect?
• Dowiedz się więcej o programie Azure Virtual Desktop Well-Architected Framework

Powiązane zasoby

• Aby uzyskać więcej informacji na temat architektury wielu lasów usługi Active Directory, zobacz Architektura wielu lasów usługi Active Directory w usłudze Azure Virtual Desktop.

Azure Virtual Desktop to usługa wirtualizacji aplikacji i pulpitu, która działa na platformie Azure. Ten artykuł ma pomóc architektom infrastruktury pulpitu, architektom chmury, administratorom komputerów stacjonarnych i administratorom systemu eksplorować usługę Azure Virtual Desktop i tworzyć rozwiązania infrastruktury pulpitu zwirtualizowanego (VDI) w skali przedsiębiorstwa. Rozwiązania w skali przedsiębiorstwa zwykle obejmują 1000 lub więcej pulpitów wirtualnych.

Architektura

Typowa konfiguracja architektury dla usługi Azure Virtual Desktop jest pokazana na poniższym diagramie:

Pobierz plik programu Visio tej architektury.

Przepływ danych

Elementy przepływu danych diagramu zostały opisane tutaj:

• Punkty końcowe aplikacji znajdują się w sieci lokalnej klienta. Usługa Azure ExpressRoute rozszerza sieć lokalną na platformę Azure, a program Microsoft Entra Connect integruje usługi domena usługi Active Directory klienta (AD DS) z identyfikatorem Firmy Microsoft Entra.

• Płaszczyzna sterowania usługi Azure Virtual Desktop obsługuje dostęp internetowy, bramę, brokera, diagnostykę i składniki rozszerzalności, takie jak interfejsy API REST.

• Klient zarządza usługami AD DS i Microsoft Entra ID, subskrypcjami platformy Azure, sieciami wirtualnymi, usługami Azure Files lub Azure NetApp Files oraz pulami hostów i obszarami roboczymi usługi Azure Virtual Desktop.

• Aby zwiększyć pojemność, klient korzysta z dwóch subskrypcji platformy Azure w architekturze piasty i szprych i łączy je za pośrednictwem komunikacji równorzędnej sieci wirtualnych.

Aby uzyskać więcej informacji na temat kontenera profilów FSLogix — najlepsze rozwiązania dotyczące usług Azure Files i Azure NetApp Files, zobacz przykłady konfiguracji fsLogix.

Składniki

Architektura usługi Azure Virtual Desktop jest podobna do usług pulpitu zdalnego systemu Windows Server (RDS). Mimo że firma Microsoft zarządza składnikami infrastruktury i brokera, klienci korporacyjni zarządzają własnymi maszynami wirtualnymi hosta pulpitu, danymi i klientami.

Składniki zarządzane przez firmę Microsoft

Firma Microsoft zarządza następującymi usługami azure Virtual Desktop w ramach platformy Azure:

• Dostęp do sieci Web: za pomocą usługi Web Access w usłudze Azure Virtual Desktop można uzyskiwać dostęp do pulpitów wirtualnych i aplikacji zdalnych za pośrednictwem przeglądarki internetowej zgodnej z językiem HTML5, tak jak w przypadku komputera lokalnego, z dowolnego miejsca i na dowolnym urządzeniu. Dostęp internetowy można zabezpieczyć przy użyciu uwierzytelniania wieloskładnikowego w usłudze Microsoft Entra ID.

• Brama: usługa bramy połączenia zdalnego łączy użytkowników zdalnych z aplikacjami i pulpitami usługi Azure Virtual Desktop z dowolnego urządzenia połączonego z Internetem, które może uruchamiać klienta usługi Azure Virtual Desktop. Klient łączy się z bramą, która następnie organizuje połączenie z maszyny wirtualnej z powrotem do tej samej bramy.

• Broker połączeń: usługa Broker połączeń zarządza połączeniami użytkowników z pulpitami wirtualnymi i aplikacjami zdalnymi. Broker połączeń zapewnia równoważenie obciążenia i ponowne nawiązywanie połączenia z istniejącymi sesjami.

• Diagnostyka: Diagnostyka pulpitu zdalnego to agregator oparty na zdarzeniach, który oznacza akcję każdego użytkownika lub administratora we wdrożeniu usługi Azure Virtual Desktop jako powodzenie lub niepowodzenie. Administratorzy mogą wysyłać zapytania dotyczące agregacji zdarzeń w celu zidentyfikowania składników, które kończą się niepowodzeniem.

• Składniki rozszerzalności: usługa Azure Virtual Desktop zawiera kilka składników rozszerzalności. Usługę Azure Virtual Desktop można zarządzać przy użyciu programu Windows PowerShell lub z udostępnionymi interfejsami API REST, które umożliwiają również obsługę z poziomu narzędzi innych firm.

Składniki, którymi zarządzasz

Zarządzasz następującymi składnikami rozwiązań usługi Azure Virtual Desktop:

• Azure Virtual Network: dzięki usłudze AzureVirtual Network zasoby platformy Azure, takie jak maszyny wirtualne, mogą komunikować się prywatnie ze sobą i z Internetem. Łącząc pule hostów usługi Azure Virtual Desktop z domeną usługi Active Directory, można zdefiniować topologię sieci w celu uzyskiwania dostępu do pulpitów wirtualnych i aplikacji wirtualnych z intranetu lub Internetu na podstawie zasad organizacji. Wystąpienie usługi Azure Virtual Desktop można połączyć z siecią lokalną przy użyciu wirtualnej sieci prywatnej (VPN) lub użyć usługi Azure ExpressRoute , aby rozszerzyć sieć lokalną na platformę Azure za pośrednictwem połączenia prywatnego.

• Microsoft Entra ID: Usługa Azure Virtual Desktop używa identyfikatora Entra firmy Microsoft do zarządzania tożsamościami i dostępem. Integracja firmy Microsoft Entra stosuje funkcje zabezpieczeń firmy Microsoft, takie jak dostęp warunkowy, uwierzytelnianie wieloskładnikowe i usługę Intelligent Security Graph, a także pomagają zachować zgodność aplikacji z maszynami wirtualnymi przyłączonym do domeny.

• Active Directory Domain Services (opcjonalnie): maszyny wirtualne usługi Azure Virtual Desktop mogą być przyłączone do usługi AD DS lub użyć polecenia Deploy Microsoft Entra joined virtual machines in Azure Virtual Desktop (Wdrażanie maszyn wirtualnych dołączonych do usługi Microsoft Entra w usłudze Azure Virtual Desktop)

  • W przypadku korzystania z domeny usług AD DS domena musi być zsynchronizowana z identyfikatorem Entra firmy Microsoft, aby skojarzyć użytkowników między dwiema usługami. Możesz użyć programu Microsoft Entra Connect , aby skojarzyć usługi AD DS z identyfikatorem Entra firmy Microsoft.
  • W przypadku korzystania z dołączania firmy Microsoft Entra zapoznaj się z obsługiwanymi konfiguracjami , aby upewnić się, że twój scenariusz jest obsługiwany.

• Hosty sesji usługi Azure Virtual Desktop: Hosty sesji to maszyny wirtualne, z którymi użytkownicy nawiązują połączenie dla swoich komputerów stacjonarnych i aplikacji. Obsługiwane są kilka wersji systemu Windows i można tworzyć obrazy za pomocą aplikacji i dostosowań. Możesz wybrać rozmiary maszyn wirtualnych, w tym maszyny wirtualne z obsługą procesora GPU. Każdy host sesji ma agenta hosta usługi Azure Virtual Desktop, który rejestruje maszynę wirtualną w ramach obszaru roboczego lub dzierżawy usługi Azure Virtual Desktop. Każda pula hostów może mieć co najmniej jedną grupę aplikacji, które są kolekcjami aplikacji zdalnych lub sesji pulpitu, do których można uzyskać dostęp. Aby sprawdzić, które wersje systemu Windows są obsługiwane, zobacz Systemy operacyjne i licencje.

• Obszar roboczy usługi Azure Virtual Desktop: obszar roboczy lub dzierżawa usługi Azure Virtual Desktop to konstrukcja zarządzania do zarządzania zasobami puli hostów i publikowania ich.

Szczegóły scenariusza

Potencjalne przypadki użycia

Największe zapotrzebowanie na rozwiązania pulpitu wirtualnego przedsiębiorstwa wynika z następujących rozwiązań:

• Aplikacje dotyczące zabezpieczeń i regulacji, takie jak usługi finansowe, opieka zdrowotna i instytucje rządowe.

• Elastyczni pracownicy potrzebują, takich jak praca zdalna, fuzje i przejęcia, krótkoterminowi pracownicy, wykonawcy i dostęp partnerów.

• Konkretni pracownicy, tacy jak przynieś własne urządzenie (BYOD) i użytkownicy mobilni, centra telefoniczne i pracownicy oddziałów.

• Wyspecjalizowane obciążenia, takie jak projektowanie i inżynieria, starsze aplikacje i testowanie tworzenia oprogramowania.

Komputery osobiste i pulpity w puli

Korzystając z osobistych rozwiązań klasycznych, czasami nazywanych trwałymi pulpitami, użytkownicy zawsze mogą łączyć się z tym samym konkretnym hostem sesji. Użytkownicy mogą zwykle modyfikować swoje środowisko pulpitu w celu spełnienia osobistych preferencji i mogą zapisywać pliki w środowisku pulpitu. Osobiste rozwiązania klasyczne:

• Umożliwianie użytkownikom dostosowywania środowiska pulpitu, w tym aplikacji zainstalowanych przez użytkownika, a użytkownicy mogą zapisywać pliki w środowisku pulpitu.
• Zezwalaj na przypisywanie dedykowanych zasobów do określonych użytkowników, co może być przydatne w przypadku niektórych przypadków użycia produkcji lub programowania.

Rozwiązania pulpitu w puli, nazywane również pulpitami nietrwałymi, przypisz użytkowników do niezależnie od aktualnie dostępnego hosta sesji, w zależności od algorytmu równoważenia obciążenia. Ponieważ użytkownicy nie zawsze wracają do tego samego hosta sesji za każdym razem, gdy nawiązują połączenie, mają ograniczoną możliwość dostosowywania środowiska pulpitu i zwykle nie mają dostępu administratora.

Uwaga

Trwała i nietrwała terminologia w tym przypadku odnosi się do trwałości profilu użytkownika. Nie oznacza to, że dysk systemu operacyjnego powraca do złotego obrazu lub odrzuca zmiany po ponownym uruchomieniu.

Obsługa systemu Windows

Istnieje kilka opcji aktualizowania wystąpień usługi Azure Virtual Desktop. Wdrażanie zaktualizowanego obrazu co miesiąc gwarantuje zgodność i stan.

• Program Microsoft Endpoint Configuration Manager (MECM) aktualizuje serwery i systemy operacyjne pulpitu.
• Aktualizacje systemu Windows dla firm aktualizacji systemów operacyjnych klasycznych, takich jak windows 11 Enterprise, wiele sesji.
• Usługa Azure Update Management aktualizuje systemy operacyjne serwera.
• Usługa Azure Log Analytics sprawdza zgodność.
• Wdróż nowy (niestandardowy) obraz na hostach sesji co miesiąc dla najnowszych aktualizacji systemu Windows i aplikacji. Możesz użyć obrazu z witryny Azure Marketplace lub niestandardowego obrazu zarządzanego przez platformę Azure.

Relacje między kluczowymi składnikami logicznymi

Relacje między pulami hostów, obszarami roboczymi i innymi kluczowymi składnikami logicznymi różnią się. Zostały one podsumowane na poniższym diagramie:

Liczby w poniższych opisach odpowiadają liczbom na powyższym diagramie.

• (1) Grupa aplikacji zawierająca opublikowany pulpit może zawierać tylko pakiety MSIX zainstalowane w puli hostów (pakiety będą dostępne w menu Start hosta sesji), nie może zawierać żadnych innych opublikowanych zasobów i jest nazywana grupą aplikacji klasycznych.
• (2) Grupy aplikacji przypisane do tej samej puli hostów muszą należeć do tego samego obszaru roboczego.
• (3) Konto użytkownika można przypisać do grupy aplikacji bezpośrednio lub za pośrednictwem grupy Microsoft Entra. Istnieje możliwość przypisania żadnych użytkowników do grupy aplikacji, ale nie można jej obsłużyć.
• (4) Istnieje możliwość posiadania pustego obszaru roboczego, ale nie może obsługiwać użytkowników.
• (5) Istnieje możliwość posiadania pustej puli hostów, ale nie może obsługiwać użytkowników.
• (6) Istnieje możliwość, że pula hostów nie ma przypisanych do niej żadnych grup aplikacji, ale nie może obsługiwać użytkowników.
• (7) Identyfikator entra firmy Microsoft jest wymagany dla usługi Azure Virtual Desktop. Dzieje się tak, ponieważ konta i grupy użytkowników usługi Microsoft Entra muszą być zawsze używane do przypisywania użytkowników do grup aplikacji usługi Azure Virtual Desktop. Identyfikator Entra firmy Microsoft jest również używany do uwierzytelniania użytkowników w usłudze Azure Virtual Desktop. Hosty sesji usługi Azure Virtual Desktop mogą być również członkami domeny firmy Microsoft Entra, a w takiej sytuacji aplikacje opublikowane przez usługę Azure Virtual Desktop i sesje pulpitu również zostaną uruchomione i uruchomione (nie tylko przypisane) przy użyciu kont Microsoft Entra.
  • (7) Alternatywnie hosty sesji usługi Azure Virtual Desktop mogą być członkami domeny usług AD DS, a w takiej sytuacji aplikacje opublikowane przez usługę Azure Virtual Desktop i sesje pulpitu zostaną uruchomione i uruchomione (ale nie przypisane) przy użyciu kont usług AD DS. Aby zmniejszyć obciążenie użytkowników i administratorów, usługi AD DS można zsynchronizować z firmą Microsoft Entra ID za pośrednictwem programu Microsoft Entra Connect.
  • (7) Na koniec hosty sesji usługi Azure Virtual Desktop mogą być członkami domeny usług Microsoft Entra Domain Services, a w takiej sytuacji aplikacje opublikowane w usłudze Azure Virtual Desktop i sesje pulpitu zostaną uruchomione i uruchomione (ale nie przypisane) przy użyciu kont usług Microsoft Entra Domain Services. Identyfikator Entra firmy Microsoft jest automatycznie synchronizowany z usługami Microsoft Entra Domain Services w jeden sposób z identyfikatora Entra firmy Microsoft do usługi Microsoft Entra Domain Services.

Zasób	Przeznaczenie	Relacje logiczne
Opublikowany pulpit	Środowisko pulpitu systemu Windows uruchomione na hostach sesji usługi Azure Virtual Desktop i jest dostarczane do użytkowników za pośrednictwem sieci	Członek jednej i tylko jednej grupy aplikacji (1)
Opublikowana aplikacja	Aplikacja systemu Windows uruchomiona na hostach sesji usługi Azure Virtual Desktop i jest dostarczana użytkownikom za pośrednictwem sieci	Członek jednej i tylko jednej grupy aplikacji
Grupa aplikacji	Logiczne grupowanie opublikowanych aplikacji lub opublikowanego pulpitu	— Zawiera opublikowany pulpit (1) lub co najmniej jedną opublikowaną aplikację - Przypisane do jednej i tylko jednej puli hostów (2) - Członek jednego i tylko jednego obszaru roboczego (2) — Do niego są przypisane co najmniej jedno konto użytkownika lub grupy firmy Microsoft ( 3)
Microsoft Entra user account/group	Identyfikuje użytkowników, którzy mogą uruchamiać opublikowane pulpity lub aplikacje	- Członek jednego i tylko jednego identyfikatora Entra firmy Microsoft — Przypisane do co najmniej jednej grupy aplikacji (3)
Microsoft Entra ID (7)	Dostawca tożsamości	— Zawiera co najmniej jedno konto użytkownika lub grupy, które muszą być używane do przypisywania użytkowników do grup aplikacji, a także może służyć do logowania się do hostów sesji — Może przechowywać członkostwo hostów sesji — Można synchronizować z usługami AD DS lub Microsoft Entra Domain Services
USŁUGI AD DS (7)	Dostawca usług tożsamości i katalogów	— Zawiera co najmniej jedno konto użytkownika lub grupy, których można użyć do logowania się na hostach sesji — Może przechowywać członkostwo hostów sesji — Można zsynchronizować z identyfikatorem Entra firmy Microsoft
Microsoft Entra Domain Services (7)	Dostawca tożsamości i usług katalogowych opartych na platformie jako usługi (PaaS)	— Zawiera co najmniej jedno konto użytkownika lub grupy, których można użyć do logowania się na hostach sesji — Może przechowywać członkostwo hostów sesji — Synchronizowane z identyfikatorem Entra firmy Microsoft
Obszar roboczy	Logiczne grupowanie grup aplikacji	Zawiera co najmniej jedną grupę aplikacji (4)
Pula hostów	Grupa identycznych hostów sesji, które służą wspólnemu celowi	— Zawiera co najmniej jeden host sesji (5) — Przypisano do niej co najmniej jedną grupę aplikacji (6)
Host sesji	Maszyna wirtualna, która hostuje opublikowane komputery stacjonarne lub aplikacje	Element członkowski jednej i tylko jednej puli hostów

Kwestie wymagające rozważenia

Te zagadnienia obejmują implementację filarów platformy Azure Well-Architected Framework, która jest zestawem wytycznych, których można użyć do poprawy jakości obciążenia. Aby uzyskać więcej informacji, zobacz Well-Architected Framework.

Użyj narzędzia do oceny , aby ocenić gotowość obciążenia usługi Azure Virtual Desktop. To narzędzie sprawdza dopasowanie do najlepszych rozwiązań opisanych w dokumentacji obciążenia usługi Azure Virtual Desktop.

Niezawodność

Niezawodność pomaga zapewnić, że aplikacja może spełnić zobowiązania podjęte przez klientów. Aby uzyskać więcej informacji, zobacz Lista kontrolna przeglądu projektu dotycząca niezawodności.

• Upewnij się, że pojemność jest zarezerwowana: aby zagwarantować gwarantowaną alokację zasobów obliczeniowych, możesz zażądać rezerwacji pojemności na żądanie bez zobowiązania terminowego i połączyć je z wystąpieniami zarezerwowanymi.
• Dodaj odporność wewnątrz regionów: użyj stref dostępności dla usług platformy Azure, które je obsługują, takich jak:
  • Maszyny wirtualne (hosty sesji)
  • Azure Storage (FSLogix lub App Attach). Aby uzyskać więcej informacji, zobacz Nadmiarowość usługi Azure Storage.
• Utwórz plan ciągłości działania: jeśli strefy dostępności nie spełniają celów celu celu czasu odzyskiwania lub celu punktu odzyskiwania, zapoznaj się ze wskazówkami dotyczącymi wieloregionowej ciągłości działania i odzyskiwania po awarii (BCDR) dla usługi Azure Virtual Desktop.

Zabezpieczenia

Zabezpieczenia zapewniają ochronę przed celowymi atakami i nieprawidłowym użyciem cennych danych i systemów. Aby uzyskać więcej informacji, zobacz Lista kontrolna przeglądu projektu dotycząca zabezpieczeń.

Podczas wdrażania usługi Azure Virtual Desktop należy wziąć pod uwagę następujące czynniki związane z zabezpieczeniami.

• Użyj identyfikatora Entra firmy Microsoft: użytkownicy mogą logować się do usługi Azure Virtual Desktop z dowolnego miejsca przy użyciu różnych urządzeń i klientów. Aby zminimalizować ryzyko nieautoryzowanego dostępu i zapewnić organizacji możliwość zarządzania ryzykiem logowania, wymuszaj uwierzytelnianie wieloskładnikowe firmy Microsoft przy użyciu dostępu warunkowego.
• Użyj szyfrowania: domyślnie większość dysków zarządzanych platformy Azure jest szyfrowana podczas utrwalania w chmurze. Jeśli hosty sesji wymagają bardziej rozbudowanego szyfrowania, takiego jak kompleksowe szyfrowanie, zapoznaj się ze wskazówkami dotyczącymi opcji szyfrowania dysków zarządzanych w celu ochrony przechowywanych danych przed nieautoryzowanym dostępem.
• Użyj sieci prywatnej: jeśli potrzebujesz prywatnej łączności z zasobami usługi Azure Virtual Desktop, użyj usługi Azure Private Link z usługą Azure Virtual Desktop , aby ograniczyć ruch między siecią wirtualną a usługą w usłudze Microsoft Network.

Uwaga

Aby uzyskać więcej zaleceń dotyczących zabezpieczeń, zobacz wskazówki dotyczące zaleceń dotyczących zabezpieczeń usługi Azure Virtual Desktop.

Optymalizacja kosztów

Optymalizacja kosztów koncentruje się na sposobach zmniejszenia niepotrzebnych wydatków i poprawy wydajności operacyjnej. Aby uzyskać więcej informacji, zobacz Lista kontrolna przeglądu projektu dotycząca optymalizacji kosztów.

Podczas wdrażania usługi Azure Virtual Desktop należy wziąć pod uwagę następujące czynniki związane z kosztami.

• Planowanie obsługi wielu sesji: w przypadku obciążeń o identycznych wymaganiach obliczeniowych, ogólnie w puli pul hostów wielosesyjnej systemu Windows Enterprise można akceptować więcej użytkowników do logowania się do jednej maszyny wirtualnej jednocześnie; zmniejszenie kosztów i kosztów administracyjnych.
• Optymalizowanie licencjonowania: jeśli masz pakiet Software Assurance, możesz użyć korzyści użycia hybrydowego platformy Azure , aby zmniejszyć koszty infrastruktury obliczeniowej platformy Azure.
• Obliczenia przed zakupem: możesz zatwierdzić plany roczne lub trzyletnie, rezerwacje platformy Azure na podstawie użycia maszyny wirtualnej, aby uzyskać rabat, aby znacznie zmniejszyć koszt zasobów. Można to połączyć z korzyścią użycia hybrydowego platformy Azure w celu uzyskania dodatkowych oszczędności.
• Skalowanie w poziomie i w razie potrzeby: jeśli zatwierdzenie do rezerwacji platformy Azure nie jest odpowiednie dla bieżących potrzeb, rozważ skalowanie automatyczne planów skalowania na potrzeby dynamicznej aprowizacji/anulowania aprowizacji hostów sesji, ponieważ zapotrzebowanie zmienia się w ciągu dnia/tygodnia.
• Oceń opcje równoważenia obciążenia: skonfiguruj algorytm równoważenia obciążenia puli hostów pod kątem głębokości. Należy jednak pamiętać, że konfiguracja może obniżyć środowisko użytkownika; domyślne środowisko użytkownika zoptymalizowane pod kątem zakresu. Aby uzyskać więcej informacji, zobacz Konfigurowanie równoważenia obciążenia puli hostów w usłudze Azure Virtual Desktop.

Doskonałość operacyjna

Doskonałość operacyjna obejmuje procesy operacyjne, które wdrażają aplikację i działają w środowisku produkcyjnym. Aby uzyskać więcej informacji, zobacz Lista kontrolna projektu dotycząca doskonałości operacyjnej.

• Konfigurowanie alertów: skonfiguruj alertyusługi Service Health i Resource Health , aby otrzymywać informacje o kondycji używanych usług i regionów platformy Azure.
  • Monitoruj rozwiązanie usługi Azure Storage używane do hostowania profilów FSLogix lub udziałów dołączania aplikacji, aby upewnić się, że progi nie zostały przekroczone, co może mieć negatywny wpływ na środowisko użytkownika.
• Zbieranie danych wydajności: zainstaluj agenta monitorowania platformy Azure na hostach sesji usługi Azure Virtual Desktop, aby wyodrębnić i monitorować liczniki wydajności i dzienniki zdarzeń. Aby uzyskać więcej informacji, zobacz listę konfigurowalnych metryk wydajności/liczników i dzienników zdarzeń.
• Zbieranie szczegółowych informacji o użyciu: użyj usługi Azure Virtual Desktop Insights , aby uzyskać pomoc w sprawdzaniu, na przykład, które wersje klienta łączą się, możliwości oszczędzania kosztów lub wiedząc, czy masz ograniczenia zasobów lub problemy z łącznością.
• Dostrajanie ustawień diagnostycznych: włącz ustawienia diagnostyczne dla wszystkich usług, obszarów roboczych usługi Azure Virtual Desktop, grup aplikacji, pul hostów, kont magazynu. Określ, które ustawienia mają znaczenie dla operacji. Wyłącz ustawienia, które nie mają znaczenia, aby uniknąć niepotrzebnych kosztów; konta magazynu (w szczególności usługa plików), które widzą dużą liczbę operacji we/wy na sekundę, mogą wiązać się z wysokimi kosztami monitorowania.

Efektywność operacyjna

Wydajność odnosi się do możliwości skalowania obciążenia w celu efektywnego zaspokojenia wymagań użytkowników. Aby uzyskać więcej informacji, zobacz Lista kontrolna przeglądu projektu pod kątem wydajności.

• Używaj wykluczeń oprogramowania antywirusowego: w przypadku rozwiązań profilowych, takich jak FSLogix, które zainstalują pliki wirtualnego dysku twardego, zaleca się wykluczenie tych rozszerzeń plików. Aby uzyskać więcej informacji, zobacz Konfigurowanie wykluczeń plików i folderów programu antywirusowego.
• Dostrajanie opóźnienia: w przypadku klientów korzystających z połączenia sieci VPN typu punkt-lokacja (P2S) użyj tunelu podzielonego opartego na protokole UDP (User Datagram Protocol), aby zmniejszyć opóźnienie i zoptymalizować użycie przepustowości tunelu. W przypadku klientów w lokacji korzystających z sieci VPN lub usługi Azure ExpressRoute użyj protokołu RDP Shortpath , aby skrócić czas rundy, co poprawia środowisko użytkownika w aplikacjach i metodach wejściowych wrażliwych na opóźnienia.
• Użyj obliczeń o odpowiednim rozmiarze: Wytyczne dotyczące określania rozmiaru maszyn wirtualnych obejmują maksymalną sugerowaną liczbę użytkowników na wirtualną centralną jednostkę przetwarzania (vCPU) i minimalną konfigurację maszyn wirtualnych dla różnych obciążeń. Te dane ułatwiają oszacowanie potrzebnych maszyn wirtualnych w puli hostów.
  • Korzystanie z narzędzi symulacji do testowania wdrożeń zarówno przy użyciu testów obciążeniowych, jak i symulacji użycia w czasie rzeczywistym. Upewnij się, że system odpowiada i jest wystarczająco odporny, aby zaspokoić potrzeby użytkowników i pamiętać, aby zmieniać rozmiary obciążenia podczas testowania.
• Używaj efemerycznych dysków systemu operacyjnego: jeśli traktujesz hostów sesji, takich jak bydło, w przeciwieństwie do zwierząt domowych, efemeryczne dyski systemu operacyjnego są doskonałym sposobem na poprawę wydajności, opóźnienia podobne do dysków tymczasowych, a jednocześnie oszczędność kosztów, ponieważ są bezpłatne.

Ograniczenia

Usługa Azure Virtual Desktop, podobnie jak platforma Azure, ma pewne ograniczenia usługi, o których musisz pamiętać. Aby uniknąć konieczności wprowadzania zmian w fazie skalowania, dobrym pomysłem jest rozwiązanie niektórych z tych ograniczeń w fazie projektowania.

Aby uzyskać więcej informacji na temat ograniczeń usługi Azure Virtual Desktop, zobacz Limity usługi Azure Virtual Desktop.

Należy również pamiętać, że:

• Nie można utworzyć więcej niż 500 grup aplikacji na jedną dzierżawę firmy Microsoft Entra*.
  • Jeśli potrzebujesz więcej niż 500 grup aplikacji, prześlij bilet pomocy technicznej za pośrednictwem witryny Azure Portal.
• Zalecamy , aby nie publikować więcej niż 50 aplikacji na grupę aplikacji.
• Zalecamy wdrożenie nie więcej niż 5000 maszyn wirtualnych na subskrypcję platformy Azure na region. To zalecenie dotyczy zarówno pul hostów osobistych, jak i pul hostów w puli na podstawie pojedynczej i wielosesyjnej sesji systemu Windows Enterprise. Większość klientów korzysta z wielu sesji systemu Windows Enterprise, co umożliwia wielu użytkownikom logowanie się do każdej maszyny wirtualnej. Możesz zwiększyć zasoby poszczególnych maszyn wirtualnych hosta sesji, aby pomieścić więcej sesji użytkownika.
• W przypadku zautomatyzowanych narzędzi skalowania hosta sesji limity to około 2500 maszyn wirtualnych na subskrypcję platformy Azure na region, ponieważ interakcja ze stanem maszyny wirtualnej zużywa więcej zasobów.
• Aby zarządzać środowiskami przedsiębiorstwa z ponad 5000 maszynami wirtualnymi na subskrypcję platformy Azure w tym samym regionie, możesz utworzyć wiele subskrypcji platformy Azure w architekturze piasty i szprych i połączyć je za pośrednictwem komunikacji równorzędnej sieci wirtualnych (przy użyciu jednej subskrypcji na szprychę). Możesz również wdrożyć maszyny wirtualne w innym regionie w tej samej subskrypcji, aby zwiększyć liczbę maszyn wirtualnych.
• Limity ograniczania przepustowości interfejsu API subskrypcji usługi Azure Resource Manager nie zezwalają na ponad 600 ponownych uruchomień maszyn wirtualnych platformy Azure na godzinę za pośrednictwem witryny Azure Portal. Wszystkie maszyny można uruchomić jednocześnie za pośrednictwem systemu operacyjnego, który nie używa żadnych wywołań interfejsu API subskrypcji usługi Azure Resource Manager. Aby uzyskać więcej informacji na temat zliczania i rozwiązywania problemów z limitami ograniczania przepustowości na podstawie subskrypcji platformy Azure, zobacz Rozwiązywanie problemów z błędami ograniczania przepustowości interfejsu API.
• Obecnie można wdrożyć maksymalnie 132 maszyn wirtualnych we wdrożeniu jednego szablonu usługi ARM w portalu usługi Azure Virtual Desktop. Aby utworzyć więcej niż 132 maszyn wirtualnych, uruchom wdrożenie szablonu usługi ARM w portalu usługi Azure Virtual Desktop wiele razy.
• Prefiksy nazw sesji-hosta maszyny wirtualnej platformy Azure nie mogą przekraczać 11 znaków, ponieważ automatyczne przypisywanie nazw wystąpień i limit NetBIOS wynoszący 15 znaków na konto komputera.
• Domyślnie w grupie zasobów można wdrożyć maksymalnie 800 wystąpień większości typów zasobów. Usługa Azure Compute nie ma tego limitu.

Aby uzyskać więcej informacji na temat ograniczeń subskrypcji platformy Azure, zobacz Limity, limity przydziału i ograniczenia subskrypcji platformy Azure.

Wdrażanie tego scenariusza

Kolekcję szablonów usługi ARM można stosować do automatyzowania wdrażania środowiska usługi Azure Virtual Desktop. Te szablony usługi ARM obsługują tylko obiekty usługi Azure Resource Manager usługi Azure Virtual Desktop. Te szablony usługi ARM nie obsługują usługi Azure Virtual Desktop (wersja klasyczna).

Więcej scenariuszy jest dostępnych w narzędziu Microsoft Developer Tools, które obsługuje kilka opcji wdrażania:

• Usługa Azure Virtual Desktop z przyłączem microsoft Entra ID
• Usługa Azure Virtual Desktop z usługami FSLogix i AD DS Join

Współautorzy

Ten artykuł jest obsługiwany przez firmę Microsoft. Pierwotnie został napisany przez następujących współautorów.

Główny autor:

• Tom Hickling | Starszy menedżer produktu, inżynieria usługi Azure Virtual Desktop

Inny współautor:

• Nelson Del Villar | Architekt rozwiązań w chmurze, infrastruktura podstawowa platformy Azure

Następne kroki

• Integracje partnerów usługi Azure Virtual Desktop zawiera listę zatwierdzonych dostawców partnerów usługi Azure Virtual Desktop i niezależnych dostawców oprogramowania.
• Użyj narzędzia optymalizacji pulpitu wirtualnego , aby zoptymalizować wydajność w środowisku VDI systemu Windows 11 Enterprise (infrastruktury pulpitu wirtualnego).
• Aby uzyskać więcej informacji, zobacz Wdrażanie maszyn wirtualnych dołączonych do firmy Microsoft w usłudze Azure Virtual Desktop.
• Dowiedz się więcej o usługach Active Directory Domain Services.
• Co to jest microsoft Entra Connect?
• Dowiedz się więcej o programie Azure Virtual Desktop Well-Architected Framework

Powiązane zasoby

• Aby uzyskać więcej informacji na temat architektury wielu lasów usługi Active Directory, zobacz Architektura wielu lasów usługi Active Directory w usłudze Azure Virtual Desktop.