Guia de design da zona de destino da Área de Trabalho Virtual do Azure

Esse artigo fornece uma visão geral orientada ao design da zona de destino em escala empresarial para a Área de Trabalho Virtual do Azure, para arquitetos e tomadores de decisões técnicas. O objetivo é ajudar você a entender rapidamente o acelerador e como ele foi projetado, permitindo reduzir o tempo necessário para concluir uma implantação bem-sucedida.

Conceitos de zona de destino

Se você entender as zonas de destino do Azure, pode avançar para a próxima seção. Caso contrário, aqui estão alguns conceitos a serem analisados antes de prosseguir:

• De forma abstrata, uma zona de destino ajuda você a planejar e projetar uma implantação do Azure conceituando uma área designada para posicionamento e integração de recursos. Existem dois tipos de zonas de destino:

  • zona de destino da plataforma: fornece serviços fundamentais centralizados em escala empresarial para cargas de trabalho e aplicativos.
  • zona de destino do aplicativo: fornece serviços específicos a um aplicativo ou carga de trabalho.

• De forma concreta, uma zona de aterrissagem pode ser vista de duas maneiras:

  • arquitetura de referência: um design específico que ilustra a implantação de recursos em uma ou mais assinaturas do Azure, que atendem aos requisitos da zona de destino.
  • implementação de referência: artefatos que implantam recursos do Azure nas assinaturas da zona de destino, de acordo com a arquitetura de referência. Muitas zonas de destino oferecem várias opções de implantação, mas a mais comum é um modelo de Infraestrutura como Código (IaC ) pronto chamado de acelerador de zona de destino. Os aceleradores automatizam e aceleram a implantação de uma implementação de referência usando a tecnologia IaC, como ARM, Bicep, Terraform e outros.

• Uma carga de trabalho implantada em uma zona de destino do aplicativo se integra e depende dos serviços fornecidos pela zona de destino da plataforma. Esses serviços de infraestrutura executam cargas de trabalho como rede, gerenciamento de acesso de identidade, políticas e monitoramento. Essa base operacional permite a migração, a modernização e a inovação em escala empresarial no Azure.

Em resumo, as Zonas de destino do Azure fornecem um destino para cargas de trabalho de nuvem, um modelo prescritivo para gerenciar portfólios de carga de trabalho em escala e consistência e governança entre as equipes de carga de trabalho.

Arquitetura de referência

A zona de destino em escala empresarial da Área de Trabalho Virtual do Azure faz parte da série de artigos de cenário "Virtualização de área de trabalho" no Azure Cloud Adoption Framework. A série fornece requisitos de compatibilidade, princípios de design e diretrizes de implantação para a zona de destino. Eles também servem como a arquitetura de referência para uma implementação em escala empresarial, garantindo que o ambiente seja capaz de hospedar áreas de trabalho e quaisquer cargas de trabalho de suporte.

Princípios de design

Assim como outras zonas de destino, a zona de destino da Área de Trabalho Virtual do Azure em escala empresarial foi projetada usando um conjunto principal de princípios de design do Cloud Adoption Framework e guiada por áreas de design comuns.

As áreas de design para a zona de destino da Área de Trabalho Virtual do Azure são indicadas por letras de "A" a "J" no diagrama, para ilustrar a hierarquia da organização de recursos:

Legenda	Área de design	Objetivo
A	Registro empresarial	A criação de locatários, o registro e a configuração de cobrança adequados são etapas iniciais importantes.
B, G	Gerenciamento de identidade e acesso	O gerenciamento de identidade e acesso é um limite de segurança primário na nuvem pública. É a base para qualquer arquitetura segura e totalmente em conformidade.
C-H, J	Organização do recurso	À medida que a adoção de nuvem é dimensionada, as considerações para design de assinatura e hierarquia de grupo de gerenciamento têm um impacto sobre os padrões de governança, o gerenciamento de operações e a adoção.
C-H, J	Gerenciamento e monitoramento	Para operações estáveis e contínuas na nuvem, uma linha de base de gerenciamento é necessária para fornecer visibilidade, conformidade de operações e funcionalidades de proteção e recuperação.
E, F	Topologia de rede e conectividade	Decisões de rede e conectividade são um aspecto fundamental igualmente importante de qualquer arquitetura de nuvem.
G, F, J	Continuidade dos negócios e recuperação de desastres	Automatize a auditoria e a imposição de políticas de governança.
F, J	Segurança, governança e conformidade	Implemente controles e processos para proteger seus ambientes de nuvem.
I	Automação de plataforma e DevOps	Alinhe as melhores ferramentas e modelos para implantar suas zonas de aterrissagem e recursos de suporte.

Implementação de referência

O acelerador de zona de destino da Área de Trabalho Virtual do Azure implanta recursos para uma implementação de referência de escala empresarial da Área de Trabalho Virtual do Azure. Essa implementação baseia-se na arquitetura de referência discutida na seção anterior.

Arquitetura

Importante

O acelerador implanta recursos nas assinaturas da zona de destino da Área de Trabalho Virtual do Azure identificadas no diagrama de arquitetura a seguir: Assinatura do AVD LZ e Assinatura LZ dos Serviços Compartilhados do AVD.

Recomendamos a implantação da Zona de destino da plataforma do Cloud Adoption Framework adequada primeiro para fornecer os serviços de base de escala empresarial exigidos pelos recursos implantados pelo acelerador. Consulte os pré-requisitos de implantação de linha de base para examinar o conjunto completo de pré-requisitos e requisitos para o acelerador.

Baixar um diagrama do Visio dessa arquitetura

Visão geral do acelerador

O Acelerador de zona de destino da Área de Trabalho Virtual do Azure dá suporte a vários cenários de implantação, dependendo de seus requisitos. Cada cenário de implantação dá suporte a implantações greenfield e brownfield e fornece várias opções de modelo IaC:

• Interface do usuário do portal do Azure (modelo do ARM)
• CLI do Azure ou Azure PowerShell (modelo Bicep/ARM)
• Modelo do Terraform

O acelerador usa a automação de nomenclatura de recursos com base nas seguintes recomendações:

• Práticas recomendadas do Microsoft Cloud Adoption Framework (CAF) para convenção de nomenclatura
• As abreviações recomendadas para tipos de recursos do Azure
• As marcas mínimas sugeridas.

Antes de prosseguir com os cenários de implantação, familiarize-se com a nomenclatura, marcação e organização de recursos do Azure usadas pelo acelerador:

Baixar uma imagem de tamanho completo desse diagrama

Implantação do acelerador

Para continuar com a implantação, escolha a seguinte guia de cenário de implantação que melhor corresponda aos seus requisitos:

Implantação de linha de base

A implantação de linha de base implanta os recursos da Área de Trabalho Virtual do Azure e os serviços dependentes que permitem estabelecer uma linha de base da Área de Trabalho Virtual do Azure.

Esse cenário de implantação inclui os seguintes itens:

• Recursos da Área de Trabalho Virtual do Azure, incluindo um workspace, dois grupos de aplicativos, um plano de dimensionamento, um pool de hosts e máquinas virtuais de host de sessão
• Um compartilhamento de Arquivos do Azure integrado ao serviço de identidade
• Azure Key Vault para gerenciamento de segredo, chave e certificado
• Opcionalmente, uma nova Rede Virtual do Azure com NSG (Grupos de Segurança de Rede) de linha de base, ASG (Grupos de Segurança de Aplicativo) e tabelas de rotas

Quando estiver pronto para implantação, conclua as seguintes etapas:

1. Examine o documento de introdução para obter detalhes sobre pré-requisitos, informações de planejamento e uma discussão sobre o que é implantado.

2. Opcionalmente, consulte a guia implantação de build de imagem personalizada para criar uma imagem atualizada para suas sessões de host da Área de Trabalho Virtual do Azure.

3. Continue com as etapas de implantação da linha de base. Se você criou uma imagem personalizada da Galeria de Computação do Azure na etapa anterior, selecione "Galeria de computação" para a origem da imagem do sistema operacional e selecione a imagem correta na página hosts da sessão:

   

Implantação de build de imagem personalizada

O build de imagem personalizada opcional cria uma nova imagem do Azure Marketplace em uma galeria de computação do Azure, otimizada, corrigida e pronta para ser usada. Essa implantação é opcional e pode ser personalizada para estender a funcionalidade, como adicionar scripts para personalizar ainda mais suas imagens.

No momento, as seguintes imagens são oferecidas:

• Windows 10 21H2
• Windows 10 22H2 (Gen 2)
• Windows 11 21H2 (Gen 2)
• Windows 11 22H2 (Gen 2)
• Windows 10 21H2 com Microsoft 365
• Windows 10 22H2 com Microsoft 365 (Gen 2)
• Windows 11 21H2 com Microsoft 365 (Gen 2)
• Windows 11 22H2 com Microsoft 365 (Gen 2)

Você também pode optar por habilitar o recurso de tipo de segurança de VM confidencial ou inicialização confiável na definição de imagem da Galeria de Computação do Azure. Uma imagem personalizada é otimizada usando a Ferramenta de Otimização da Área de Trabalho Virtual (VDOT) e corrigida com as atualizações mais recentes do Windows.

Quando estiver pronto para implantação, conclua as seguintes etapas:

1. Examine o documento de introdução para obter detalhes sobre pré-requisitos, informações de planejamento e uma discussão sobre o que é implantado.
2. Continue com as etapas de implantação de build de imagem personalizada.