Zagadnienia dotyczące sieci i łączności dla obciążeń usługi Azure Virtual Desktop
W tym artykule omówiono obszar projektowania sieci i łączności obciążenia usługi Azure Virtual Desktop. Kluczowe znaczenie ma projektowanie i implementowanie możliwości sieci platformy Azure dla strefy docelowej usługi Azure Virtual Desktop. Jako podstawa w tym artykule użyto kilku zasad architektury i zaleceń dotyczących architektury strefy docelowej w skali przedsiębiorstwa w ramach platformy Azure Well-Architected Framework. Korzystając z tych wskazówek, w tym artykule przedstawiono sposób zarządzania topologią sieci i łącznością na dużą skalę.
Ważne
Ten artykuł jest częścią serii obciążeń Azure Well-Architected Framework Azure Virtual Desktop . Jeśli nie znasz tej serii, zalecamy rozpoczęcie pracy z tematem Co to jest obciążenie usługi Azure Virtual Desktop?.
Wpływ: Wydajność
Opóźnienie między użytkownikami końcowymi a hostami sesji jest kluczowym aspektem wpływającym na środowisko użytkownika usługi Azure Virtual Desktop. Możesz użyć narzędzia do szacowania środowiska pulpitu wirtualnego platformy Azure , aby ułatwić szacowanie czasu rundy połączenia (RTTs). W szczególności to narzędzie szacuje rtTs z lokalizacji użytkowników za pośrednictwem usługi Azure Virtual Desktop do każdego regionu świadczenia usługi Azure, w którym wdrażasz maszyny wirtualne.
Aby ocenić jakość środowiska użytkownika końcowego:
- Przetestuj kompleksowe opóźnienia w środowiskach programowania, testowania i weryfikacji koncepcji. Ten test powinien uwzględniać rzeczywiste środowisko użytkowników. Należy wziąć pod uwagę czynniki, takie jak warunki sieciowe, urządzenia użytkowników końcowych i konfiguracja wdrożonych maszyn wirtualnych.
- Należy pamiętać, że opóźnienie jest tylko jednym aspektem łączności z protokołami zdalnymi. Przepustowość i obciążenie użytkownika wpływają również na środowisko użytkownika końcowego.
- Użyj narzędzia do szacowania wydajności usługi Azure Virtual Desktop, aby zebrać szacowane wartości opóźnień.
- Testowanie opóźnień z sieci wirtualnych platformy Azure do systemów lokalnych.
- Użyj tunelu podzielonego opartego na protokole UDP (User Datagram Protocol) dla klientów korzystających z połączenia sieci VPN typu punkt-lokacja (P2S).
- Użyj krótkiej ścieżki protokołu RDP (Remote Desktop Protocol) z siecią zarządzaną dla klientów w lokacji korzystających z sieci VPN lub Usługi Azure ExpressRoute.
Wpływ: wydajność, doskonałość operacyjna
Niektóre organizacje używają modeli hybrydowych, które obejmują zasoby lokalne i w chmurze. W wielu przypadkach hybrydowych przepływy pracy użytkownika końcowego uruchamiane w usłudze Azure Virtual Desktop muszą docierać do zasobów lokalnych, takich jak usługi udostępnione lub usługi platformy, dane lub aplikacje.
Podczas implementowania sieci hybrydowej zapoznaj się z najlepszymi rozwiązaniami i zaleceniami w artykule Cloud Adoption Framework Topologia sieci i łączność.
Ważne jest, aby dostosować model skalowania usługi Azure Virtual Desktop opisany w temacie Integrowanie obciążenia usługi Azure Virtual Desktop ze strefami docelowymi platformy Azure. Aby postępować zgodnie z tym modelem:
- Oceń wymagania dotyczące opóźnienia i przepustowości przepływów pracy usługi Azure Virtual Desktop, które łączą się z systemami lokalnymi. Te informacje mają kluczowe znaczenie podczas projektowania architektury sieci hybrydowej.
- Upewnij się, że nie ma nakładających się adresów IP między podsieciami usługi Azure Virtual Desktop i sieciami lokalnymi. Zalecamy przypisanie zadania adresowania IP architektom sieci, którzy są właścicielami subskrypcji łączności.
- Nadaj każdej strefie docelowej usługi Azure Virtual Desktop własną sieć wirtualną i konfigurację podsieci.
- Odpowiednio rozmieścij podsieci, biorąc pod uwagę potencjalny wzrost, gdy określisz wymaganą przestrzeń adresową IP.
- Użyj inteligentnej notacji routingu między domenami (CIDR, smart IP classless inter-domain routing), aby uniknąć marnowania przestrzeni adresów IP.
- Zapoznaj się z najlepszymi rozwiązaniami dotyczącymi łączenia sieci wirtualnych platformy Azure z systemami lokalnymi.
- Testowanie opóźnień z sieci wirtualnych platformy Azure do systemów lokalnych.
- Upewnij się, że w strefie docelowej usługi Azure Virtual Desktop nie są używane żadne nakładające się adresy IP.
- Nadaj każdej strefie docelowej usługi Azure Virtual Desktop własną sieć wirtualną i konfigurację podsieci.
- Rozważ potencjalny wzrost w przypadku rozmiaru podsieci usługi Azure Virtual Desktop.
Wpływ: Wydajność, Optymalizacja kosztów
Aby wdrożenie usługi Azure Virtual Desktop w wielu regionach oferowało użytkownikom końcowym najlepsze możliwe środowisko, projekt musi wziąć pod uwagę następujące czynniki:
- Usługi platformy, takie jak tożsamość, rozpoznawanie nazw, łączność hybrydowa i usługi magazynu. Łączność z hostów sesji usługi Azure Virtual Desktop do tych usług ma kluczowe znaczenie dla funkcjonalności usługi. W rezultacie idealny projekt ma na celu obniżenie opóźnienia z podsieci strefy docelowej usługi Azure Virtual Desktop do tych usług. Ten cel można osiągnąć, replikując usługi do każdego regionu lub udostępniając je za pośrednictwem połączenia z najniższym możliwym opóźnieniem.
- Opóźnienie użytkownika końcowego. Po wybraniu lokalizacji do użycia na potrzeby wdrożenia w wielu regionach usługi Azure Virtual Desktop ważne jest, aby uwzględnić opóźnienie, które użytkownicy będą używać podczas nawiązywania połączenia z usługą. Zalecamy zebranie danych opóźnienia z populacji użytkowników końcowych przy użyciu narzędzia do szacowania środowiska usługi Azure Virtual Desktop podczas wybierania regionów platformy Azure w celu wdrożenia hostów sesji.
Należy również wziąć pod uwagę następujące czynniki:
- Zależności aplikacji w różnych regionach.
- Dostępność jednostki SKU maszyny wirtualnej.
- Koszty sieci skojarzone z ruchami wychodzącymi z Internetu, ruchem między regionami i ruchem hybrydowym (lokalnym) wymaganym przez aplikację lub zależności obciążenia.
- Dodatkowe obciążenie funkcji pamięci podręcznej w chmurze FSLogix umieszcza w sieci. Ten czynnik jest istotny tylko wtedy, gdy ta funkcja jest używana do replikowania danych profilu użytkownika między różnymi regionami. Należy również wziąć pod uwagę koszt zwiększonego ruchu sieciowego i magazynu używanego przez tę funkcję.
Jeśli to możliwe, użyj jednostek SKU maszyn wirtualnych, które oferują przyspieszoną sieć. W obciążeniach korzystających z wysokiej przepustowości przyspieszona sieć może obniżyć wykorzystanie procesora CPU i opóźnienie.
Dostępna przepustowość sieci znacznie wpływa na jakość sesji zdalnych. W związku z tym dobrym rozwiązaniem jest ocena wymagań dotyczących przepustowości sieci dla użytkowników w celu zapewnienia, że wystarczająca przepustowość jest dostępna dla zależności lokalnych.
- Replikowanie platformy i usług udostępnionych do każdego regionu za każdym razem, gdy zasady wewnętrzne umożliwiają.
- Jeśli to możliwe, użyj jednostek SKU maszyn wirtualnych, które oferują przyspieszoną sieć.
- Uwzględnij szacowanie opóźnień użytkowników końcowych w procesie wyboru regionu.
- Weź pod uwagę typy obciążeń podczas szacowania wymagań dotyczących przepustowości i monitorowania połączeń rzeczywistych użytkowników.
Wpływ: zabezpieczenia, optymalizacja kosztów, doskonałość operacyjna
Tradycyjnie zabezpieczenia sieci były linchpin wysiłków związanych z bezpieczeństwem przedsiębiorstwa. Jednak przetwarzanie w chmurze zwiększyło wymaganie, aby obwody sieci były bardziej porowe, a wielu atakujących opanowało sztukę ataków na elementy systemu tożsamości. Poniższe kwestie zawierają omówienie minimalnych wymagań zapory dotyczących wdrażania usługi Azure Virtual Desktop. Ta sekcja zawiera również zalecenia dotyczące nawiązywania połączenia z zaporą i uzyskiwania dostępu do aplikacji, które wymagają tej usługi.
- Tradycyjne mechanizmy kontroli sieci oparte na podejściu zaufanego intranetu nie zapewniają gwarancji bezpieczeństwa dla aplikacji w chmurze.
- Integrowanie dzienników z urządzeń sieciowych i nieprzetworzonego ruchu sieciowego zapewnia wgląd w potencjalne zagrożenia bezpieczeństwa.
- Większość organizacji dodaje więcej zasobów do sieci niż początkowo planowano. W związku z tym należy refaktoryzować schematy adresów IP i podsieci, aby pomieścić dodatkowe zasoby. Ten proces jest czasochłonny. Istnieje ograniczona wartość zabezpieczeń podczas tworzenia dużej liczby małych podsieci, a następnie próby mapowania kontroli dostępu do sieci, takich jak grupy zabezpieczeń, do każdego z nich.
Aby uzyskać ogólne informacje na temat ochrony zasobów przez umieszczenie kontrolek w ruchu sieciowym, zobacz Zalecenia dotyczące sieci i łączności.
- Zapoznaj się z konfiguracjami wymaganymi do użycia Azure Firewall we wdrożeniu. Aby uzyskać więcej informacji, zobacz Używanie Azure Firewall do ochrony wdrożeń usługi Azure Virtual Desktop.
- Utwórz sieciowe grupy zabezpieczeń i grupy zabezpieczeń aplikacji, aby podzielić ruch usługi Azure Virtual Desktop. Ta praktyka pomaga odizolować podsieci przez kontrolowanie przepływów ruchu.
- Użyj tagów usługi zamiast określonych adresów IP dla usług platformy Azure. Ponieważ adresy zmieniają się, takie podejście minimalizuje złożoność często aktualizowania reguł zabezpieczeń sieci.
- Zapoznaj się z wymaganymi adresami URL usługi Azure Virtual Desktop.
- Użyj tabeli tras, aby zezwolić na ruch usługi Azure Virtual Desktop w celu obejścia wszelkich wymuszonych reguł tunelowania używanych do kierowania ruchu do zapory lub wirtualnego urządzenia sieciowego (WUS). W przeciwnym razie wymuszone tunelowanie może mieć wpływ na wydajność i niezawodność łączności klientów.
- Użyj prywatnych punktów końcowych, aby pomóc w ochronie rozwiązań platformy jako usługi (PaaS), takich jak Azure Files i Azure Key Vault. Rozważ jednak koszt korzystania z prywatnych punktów końcowych.
- Dostosuj opcje konfiguracji dla Azure Private Link. W przypadku korzystania z tej usługi z usługą Azure Virtual Desktop można wyłączyć publiczne punkty końcowe dla składników płaszczyzny sterowania usługi Azure Virtual Desktop i używać prywatnych punktów końcowych, aby uniknąć używania publicznych adresów IP.
- Zaimplementuj ścisłe zasady zapory, jeśli używasz Active Directory Domain Services (AD DS). Te zasady są oparte na ruchu wymaganym w domenie.
- Rozważ użycie Azure Firewall lub filtrowania sieci Web urządzenia WUS, aby chronić dostęp użytkowników końcowych do Internetu z hostów sesji usługi Azure Virtual Desktop.
Wpływ: Zabezpieczenia
Domyślnie połączenia z zasobami usługi Azure Virtual Desktop są nawiązywane za pośrednictwem publicznie dostępnego punktu końcowego. W niektórych scenariuszach ruch musi używać połączeń prywatnych. Te scenariusze mogą używać Private Link do prywatnego łączenia się ze zdalnymi zasobami usługi Azure Virtual Desktop. Aby uzyskać więcej informacji, zobacz Azure Private Link z usługą Azure Virtual Desktop. Podczas tworzenia prywatnego punktu końcowego ruch między siecią wirtualną a usługą pozostaje w sieci firmy Microsoft. Twoja usługa nie jest widoczna w publicznym Internecie.
Prywatne punkty końcowe usługi Azure Virtual Desktop umożliwiają obsługę następujących scenariuszy:
- Zarówno klienci, jak i użytkownicy końcowi, a maszyny wirtualne hosta sesji używają tras prywatnych.
- Klienci lub użytkownicy końcowi używają tras publicznych, podczas gdy maszyny wirtualne hosta sesji używają tras prywatnych.
Hosty sesji usługi Azure Virtual Desktop mają te same wymagania dotyczące rozpoznawania nazw co inne obciążenia infrastruktury jako usługi (IaaS). W związku z tym hosty sesji wymagają łączności z usługami rozpoznawania nazw skonfigurowanymi do rozpoznawania prywatnych adresów IP punktów końcowych. W związku z tym w przypadku korzystania z prywatnych punktów końcowych należy skonfigurować określone ustawienia DNS. Aby uzyskać szczegółowe informacje, zobacz Konfiguracja usługi DNS prywatnego punktu końcowego platformy Azure.
Private Link jest również dostępna dla innych usług platformy Azure, które działają w połączeniu z usługą Azure Virtual Desktop, takimi jak Azure Files i Key Vault. Zalecamy również zaimplementowanie prywatnych punktów końcowych dla tych usług, aby ruch był prywatny.
- Dowiedz się, jak Private Link współdziała z usługą Azure Virtual Desktop. Aby uzyskać więcej informacji, zobacz Azure Private Link z usługą Azure Virtual Desktop.
- Zapoznaj się z konfiguracjami DNS, które są wymagane dla prywatnych punktów końcowych platformy Azure. Aby uzyskać więcej informacji, zobacz Konfiguracja usługi DNS prywatnego punktu końcowego platformy Azure.
Wpływ: Wydajność wydajności, Optymalizacja kosztów
RDP Shortpath to funkcja usługi Azure Virtual Desktop, która jest dostępna dla sieci zarządzanych i niezarządzanych.
- W przypadku sieci zarządzanych protokół RDP Shortpath ustanawia bezpośrednie połączenie między klientem usług pulpitu zdalnego a hostem sesji. Transport jest oparty na UDP. Dzięki usunięciu dodatkowych punktów przekaźnika funkcja RDP Shortpath skraca czas rundy, co poprawia środowisko użytkownika w aplikacjach wrażliwych na opóźnienia i metodach wejściowych. Aby obsługiwać protokół RDP Shortpath, klient usługi Azure Virtual Desktop potrzebuje bezpośredniego kontaktu z hostem sesji. Klient musi również zainstalować klienta klasycznego systemu Windows i uruchomić Windows 11 lub Windows 10.
- W przypadku sieci niezarządzanych możliwe są dwa typy połączeń:
- Bezpośrednia łączność jest ustanawiana między klientem a hostem sesji. Proste przechodzenie poniżej translacji adresów sieciowych (STUN) i interaktywnego ustanowienia łączności (ICE) są używane do nawiązywania połączenia. Ta konfiguracja zwiększa niezawodność transportu dla usługi Azure Virtual Desktop. Aby uzyskać więcej informacji, zobacz How RDP Shortpath works (Jak działa ścieżka RDP).
- Nawiązane jest pośrednie połączenie UDP. Pokonuje on ograniczenia translatora adresów sieciowych (NAT) przy użyciu protokołu Traversal Using Relay NAT (TURN) z przekaźnikiem między klientem a hostem sesji.
W przypadku transportu opartego na protokole TCP (Transmission Control Protocol) ruch wychodzący z maszyny wirtualnej do klienta RDP przepływa przez bramę usługi Azure Virtual Desktop. W przypadku protokołu RDP Shortpath ruch wychodzący przepływa bezpośrednio między hostem sesji a klientem RDP przez Internet. Ta konfiguracja pomaga wyeliminować przeskok i zwiększyć opóźnienie oraz środowisko użytkownika końcowego.
- Użyj ścieżki RDP Shortpath, aby zwiększyć opóźnienie i środowisko użytkownika końcowego.
- Należy pamiętać o dostępności modeli połączeń RDP Shortpath.
- Pamiętaj o opłatach za krótką ścieżkę protokołu RDP.
Po przeanalizowaniu sieci i łączności w usłudze Azure Virtual Desktop zbadaj najlepsze rozwiązania dotyczące monitorowania infrastruktury i obciążenia.
Użyj narzędzia do oceny, aby ocenić wybrane opcje projektu.