Przeczytaj w języku angielskim

Udostępnij za pośrednictwem


Integrowanie obciążenia usługi Azure Virtual Desktop ze strefami docelowymi platformy Azure

Migrowanie pulpitów użytkownika końcowego organizacji do chmury to popularny scenariusz migracji do chmury. Dzięki temu można poprawić produktywność pracowników i przyspieszyć migrację różnych obciążeń w celu zapewnienia obsługi środowiska użytkownika w organizacji. Każda organizacja zarządza obciążeniami i unikatowo obsługuje swoje środowisko chmury. Typowe modele operacyjne w chmurze są zdecentralizowane, scentralizowane, przedsiębiorstwa i rozproszone.

Najważniejszą różnicą między różnymi modelami jest poziom własności. W modelu zdecentralizowanym właściciele obciążeń mają autonomię bez żadnego centralnego nadzoru it nad ładem. Na przykład zarządzają własnymi wymaganiami dotyczącymi sieci, monitorowania i tożsamości. Na drugim końcu spektrum jest scentralizowany model, w którym właściciele obciążeń przestrzegają wymagań dotyczących ładu ustawionych przez centralne zespoły IT.

Aby zapoznać się ze szczegółowym omówieniem modeli, zobacz Przeglądanie i porównywanie typowych modeli operacyjnych w chmurze.

Jako właściciel obciążenia należy zrozumieć model operacyjny używany przez organizację. Ten wybór ma wpływ na decyzje techniczne, które można podjąć, oraz wymagania techniczne, które są wymuszane przez zespoły centralne.

Aby jak najlepiej wykorzystać funkcje i możliwości usługi Azure Virtual Desktop, należy skorzystać z najlepszych rozwiązań, które mają zastosowanie do organizacji. Platforma zapewnia elastyczność i elastyczność dostosowywania, co ułatwia środowisko usługi Azure Virtual Desktop dostosowanie do przyszłego rozwoju.

Ważne

Ten artykuł jest częścią serii obciążeń azure Well-Architected Framework dla usługi Azure Virtual Desktop . Jeśli nie znasz tej serii, zalecamy rozpoczęcie od tematu Co to jest obciążenie usługi Azure Virtual Desktop?.

Strefy docelowe platformy Azure

Strefa docelowa platformy Azure to koncepcyjna architektura, która przedstawia ogólny ślad chmury dla organizacji. Ma wiele subskrypcji, z których każdy ma unikatowy cel. Zespoły centralne posiadają niektóre subskrypcje, takie jak strefy docelowe platformy Azure.

Aby zapoznać się z koncepcją stref docelowych platformy Azure, zobacz Co to jest strefa docelowa platformy Azure?.

Ważne

Usługa Azure Virtual Desktop ma konkretne zagadnienia i wymagania, zwłaszcza te, które są związane z integracją z usługami platformy Azure. Akcelerator strefy docelowej usługi Azure Virtual Desktop i wskazówki dotyczące platformy Azure Well-Architected Framework dla usługi Azure Virtual Desktop mają na celu wyróżnienie tych niezbędnych dostosowań. Te zasoby obejmują również Cloud Adoption Framework perspektywy holistycznego podejścia do gotowości do chmury.

Diagram architektury przedstawiający przepływ ruchu w obciążeniu pulpitu wirtualnego.

Pobierz plik programu Visio z tą architekturą.

Strefy docelowe platformy

Usługa Azure Virtual Desktop musi wchodzić w interakcje z wieloma usługami zewnętrznymi. Zespoły centralne mogą posiadać niektóre z tych usług w ramach stref docelowych platformy. Przykłady tych usług to usługi tożsamości, łączność sieciowa i usługi zabezpieczeń. Interakcja z tymi usługami zewnętrznymi jest podstawowym problemem. Aby zapewnić pełną funkcjonalność, obciążenie usługi Azure Virtual Desktop wymaga od zespołu platformy i zespołu ds. obciążeń współużytkowania tego samego sposobu myślenia odpowiedzialności.

Aby zapoznać się z pokazem stref docelowych platformy potrzebnych do uruchomienia obciążenia usługi Azure Virtual Desktop, zobacz Przegląd strefy docelowej platformy Azure dla usługi Microsoft Azure Virtual Desktop. W tym artykule opisano solidną podstawę platformy, która przyspiesza migrację ze środowiska lokalnego do chmury prywatnej usługi Azure Virtual Desktop.

Strefy docelowe aplikacji

Istnieje oddzielna subskrypcja, znana również jako strefa docelowa aplikacji platformy Azure przeznaczona dla właścicieli obciążeń. Ta strefa docelowa aplikacji to miejsce, w którym wdrażasz obciążenie usługi Azure Virtual Desktop. Ma dostęp do stref docelowych platformy, które zapewniają podstawową infrastrukturę, której potrzebujesz do uruchomienia obciążenia. Przykłady obejmują sieć, zarządzanie dostępem do tożsamości, zasady i infrastrukturę monitorowania.

Wskazówki dotyczące stref docelowych aplikacji dotyczą obciążeń usługi Azure Virtual Desktop. Aby uzyskać więcej informacji, zobacz Strefy docelowe platformy a strefy docelowe aplikacji. Te wskazówki obejmują zalecenia dotyczące efektywnego zarządzania obciążeniem i zarządzania nim.

Aby zapoznać się z pokazem strefy docelowej aplikacji dla obciążenia usługi Azure Virtual Desktop, zobacz architekturę referencyjną punktu odniesienia w temacie Przykładowe architektury dla usługi Azure Virtual Desktop.

Integracja obszaru projektowania

Ta sekcja wyróżnia solidne podstawy zapewniane przez platformę. Dyskusja obejmuje również obszary wspólnej odpowiedzialności między zespołem platformy a zespołem ds. obciążeń.

Obowiązki związane z platformą

Zespół ds. platformy usługi Azure Virtual Desktop zapewnia, że infrastruktura jest gotowa do tworzenia przez zespoły ds. obciążeń. Oto niektóre typowe zadania:

  • Zarządzanie pojemnością przez ustawienie limitów przydziałów subskrypcji i regionalnych, które są wystarczające do wdrożenia.
  • Zabezpieczanie i optymalizowanie łączności z systemami lokalnymi, platformą Azure i Internetem. To zadanie obejmuje routing, konfigurowanie wpisów zapory i zarządzanie scentralizowanymi urządzeniami sieciowymi.
  • Zarządzanie integracją platformy Azure, takimi jak integracje z usługami Azure Storage, Azure Monitor, Log Analytics, Tożsamość Microsoft Entra i Azure Key Vault.

Wspólna odpowiedzialność

Zespół ds. obciążeń i zespół platformy mają różne obowiązki. Jednak oba zespoły często ściśle współpracują ze sobą, aby zapewnić dostępność i możliwość odzyskiwania obciążenia. Zespoły koordynują wysiłki na rzecz ogólnego sukcesu obciążeń uruchamianych w usłudze Azure Virtual Desktop. Efektywna współpraca między zespołami platformy i aplikacji jest niezbędna do pomyślnego wdrożenia usługi Azure Virtual Desktop.

Obszary projektowe stref docelowych platformy i aplikacji są ściśle powiązane.

Obszar projektowania — rejestracja w przedsiębiorstwie

Zespół ds. platformy w chmurze musi poznać istniejące decyzje dotyczące rejestracji przedsiębiorstwa lub Microsoft Entra dzierżawy.

Obszar projektowania — zarządzanie tożsamościami i dostępem (zarządzanie dostępem i tożsamościami)

Tożsamość ma kluczowe znaczenie dla funkcji usługi Azure Virtual Desktop, ponieważ użytkownicy muszą być uwierzytelniani w celu korzystania z usługi. Zespół ds. platformy jest odpowiedzialny za projektowanie rozwiązania do obsługi tożsamości, które może obejmować Tożsamość Microsoft Entra, Microsoft Entra Domain Services lub Active Directory Domain Services (AD DS). Zespół ds. platformy zapewnia również, że środowisko usługi Azure Virtual Desktop zapewnia zasięg wzroku usług tożsamości.

Obowiązki zespołu platformy Obowiązki zespołu ds. obciążeń
- Projektowanie usług tożsamości dla Tożsamość Microsoft Entra, Domain Services, AD DS i Microsoft Entra Connect
- Korzystanie z kontroli dostępu opartej na rolach (RBAC) do implementowania separacji obowiązków
— Konfigurowanie zasad dostępu warunkowego Microsoft Entra
- Zarządzanie jednostkami organizacyjnymi usługi Active Directory i zasadami grupy
— Używanie przypisań RBAC do kontrolowania dostępu do sesji usługi Azure Virtual Desktop i infrastruktury na potrzeby zarządzania

Obszar projektowania — sieć i łączność

Łączność usług platformy to kluczowa koncepcja sieci. Zespół ds. platformy jest odpowiedzialny za zapewnienie, że środowisko usługi Azure Virtual Desktop ma odpowiednią łączność z:

  • Usługi tożsamości na potrzeby uwierzytelniania.
  • System nazw domen (DNS) do prawidłowego rozpoznawania.
  • Inne obciążenia w środowisku hybrydowym.

Obowiązki zespołu platformy obejmują:

  • Konfigurowanie prywatnych punktów końcowych i prywatnych stref DNS.
  • Należy uwzględnić zagadnienia dotyczące przepustowości, opóźnień i jakości usług.
  • Implementowanie zasad zabezpieczeń sieci.
  • Zapewnianie dostępu do wymaganych internetowych punktów końcowych.
  • Planowanie ciągłości działania i odzyskiwania po awarii.

Obszar projektowania — organizacja zasobów

Obowiązki zespołu platformy obejmują strukturyzowanie grup zarządzania i grup zasobów w celu uproszczenia zarządzania dostępem. Ta odpowiedzialność obejmuje definiowanie standardów nazewnictwa i tagowania. Zespół ds. obciążeń zapewnia zgodność z tymi standardami.

Obszar projektowania — zarządzanie

Obowiązki zespołu platformy Obowiązki zespołu ds. obciążeń
- Planowanie i opracowywanie strategii monitorowania
— Używanie Azure Policy do wymuszania zgodności w skali przedsiębiorstwa
- Opracowywanie strategii zarządzania kosztami
— Konfigurowanie wdrożenia usługi Azure Virtual Desktop na potrzeby monitorowania
- Zarządzanie dostępem użytkowników
— Monitorowanie usługi Azure Virtual Desktop i współpraca z zespołem platformy w zakresie monitorowania potrzeb
— Ustawianie budżetów i alertów
— Zarządzanie środowiskiem użytkownika i pomocą techniczną
- Zapewnianie zgodności z wytycznymi dotyczącymi platformy i monitorowania

Obszar projektowania — ciągłość działania i odzyskiwanie po awarii

Obowiązki zespołu platformy Obowiązki zespołu obciążeń
- Projektowanie strategii ciągłości działania i odzyskiwania po awarii, w tym ustanawianie celów punktu odzyskiwania (RPO) i celu czasu odzyskiwania (RTO)
- Koordynowanie z zespołem obciążeń w celu zapewnienia ciągłości działania i wyrównania odzyskiwania po awarii
— Konfigurowanie infrastruktury i składników usługi Azure Virtual Desktop w celu dostosowania do strategii ciągłości działania i odzyskiwania po awarii
- Implementowanie procedur odzyskiwania po awarii
— Trenowanie użytkowników w ramach odpowiedniego korzystania z usługi Azure Virtual Desktop

Obszar projektowania — zabezpieczenia i ład

Obowiązki zespołu platformy Obowiązki zespołu obciążeń
- Zrozumienie, czego organizacja musi przestrzegać wymagań prawnych, takich jak Health Insurance Portability and Accountability Act (HIPAA), National Institute of Standards and Technology (NIST) standards, and Payment Card Industry (PCI) standards, and using Microsoft Defender for Cloud to apply compliance standards (NIST) and using Microsoft Defender for Cloud to apply compliance standards (NIST) and using Microsoft Defender for Cloud to apply compliance standards
- Zapewnienie, że zasoby płaszczyzny zarządzania są wdrażane w lokalizacjach geograficznych w sposób spełniający wymagania dotyczące przechowywania danych
— Używanie zasad dostępu warunkowego Microsoft Entra i uwierzytelniania wieloskładnikowego w celu zabezpieczenia dostępu użytkowników
— Zapewnienie, że narzędzie do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM), takie jak Microsoft Sentinel, jest używane do zbierania i monitorowania danych aktywności użytkowników i administratorów
— Włączanie ocen Zarządzanie zagrożeniami i lukami, na przykład poprzez integrację z usługą Defender for Cloud lub rozwiązaniem do zarządzania lukami w zabezpieczeniach innej firmy
— Konfigurowanie zapory i używanie tagów usług i grup zabezpieczeń aplikacji w celu zdefiniowania reguł dostępu do sieci
— Tworzenie dedykowanej jednostki organizacyjnej w usłudze Active Directory dla hostów sesji usługi Azure Virtual Desktop
— Używanie konfiguracji gościa Azure Policy do inspekcji i wzmacniania zabezpieczeń systemów operacyjnych hosta sesji
- Włączanie szyfrowania dysków
— Monitorowanie ruchu sieciowego i implementowanie ochrony przed rozproszoną odmową usługi (DDoS)
— Używanie zasady dostępu z najmniejszymi uprawnieniami i kontroli dostępu opartej na rolach platformy Azure w celu ustanowienia ról administracyjnych, operacyjnych i inżynieryjnych
— Stosowanie dedykowanych zasad grupy do jednostek organizacyjnych usługi Azure Virtual Desktop
— Zarządzanie poprawkami i wzmacnianiem zabezpieczeń hostów sesji
— Monitorowanie aktywności użytkowników i zarządzanie nią

Obszar projektowania — zagadnienia dotyczące automatyzacji platformy i metodyki DevOps

Obowiązki zespołu platformy Obowiązki zespołu obciążeń
— Opracowywanie strategii infrastruktury jako kodu (IaC) i DevOps - Tworzenie obrazów
— Obsługa potoku kompilacji obrazu
— Aktualizowanie pul hostów
- Instalowanie aplikacji
— Zarządzanie wdrożeniami językowymi

Obszar projektowania — procedury operacyjne

Procedury operacyjne pomagają zapewnić bezpieczeństwo aplikacji uruchamianych w usłudze Azure Virtual Desktop. Procedury operacyjne pomagają również w obszarze kontroli dostępu.

Obowiązki zespołu platformy Obowiązki zespołu obciążeń
Kontrolowanie dostępu do platformy przez definiowanie ról i uprawnień użytkownika w środowisku usługi Azure Virtual Desktop — Analizowanie wydajności i opóźnień wdrożeń usługi Azure Virtual Desktop w celu uzyskania szczegółowych informacji na temat możliwych obszarów poprawy
- Aktualizowanie systemu operacyjnego, aplikacji i FSLogix
— Zarządzanie kluczami
— Zarządzanie usługami FSLogix i analizowanie danych w celu określenia, kiedy należy wprowadzić korekty

Następne kroki

Użyj narzędzia do oceny, aby ocenić wybory projektowe.