A Área de Trabalho Virtual do Azure é um serviço de virtualização de aplicativos e de área de trabalho que é executado no Azure. Este artigo destina-se a ajudar arquitetos de infraestrutura de desktop, arquitetos de nuvem, administradores de desktop e administradores de sistema a explorar a Área de Trabalho Virtual e criar soluções de área de trabalho virtual (infraestrutura de área de trabalho virtual (VDI)) em escala empresarial. As soluções de escala Enterprise geralmente cobrem 1.000 áreas de trabalho virtuais ou mais.
Arquitetura
Uma configuração arquitetônica típica para a Área de Trabalho Virtual do Azure é ilustrada no diagrama a seguir:
Baixe um Arquivo Visio dessa arquitetura.
Fluxo de dados
Os elementos de fluxo de dados do diagrama são descritos aqui:
Os pontos de extremidade do aplicativo estão na rede local do cliente. O Azure ExpressRoute estende a rede local para o Azure e o Microsoft Entra Connect integra os Active Directory Domain Services (AD DS) do cliente com o Microsoft Entra ID.
O painel de controle da Área de Trabalho Virtual do Azure gerencia o acesso à Web, o gateway, o agente, o diagnóstico e os componentes de extensibilidade, como as APIs REST.
O cliente gerencia o AD DS e o Microsoft Entra ID, as assinaturas do Azure, as redes virtuais, os Arquivos do Azure ou o Azure NetApp Files e os workspaces e pools de host da Área de Trabalho Virtual do Azure.
Para aumentar a capacidade, o cliente usa duas assinaturas do Azure em uma arquitetura hub-spoke e as conecta por meio do emparelhamento de rede virtual.
Para obter mais informações sobre as práticas recomendadas para o contêiner de perfil do FSLogix – Arquivos do Azure e Azure NetApp Files, consulte exemplos de configuração do FSLogix
Componentes
A arquitetura do serviço de Área de Trabalho Virtual do Azure é semelhante aos Serviços de Área de Trabalho Remota do Windows Server (RDS). Embora a Microsoft gerencia a infraestrutura e os componentes de agente, os clientes corporativos gerenciam as próprias VMs (máquinas virtuais), dados e clientes de host da área de trabalho.
Componentes gerenciados pela Microsoft
A Microsoft gerencia os seguintes serviços de Área de Trabalho Virtual do Azure como parte do Azure:
Acesso via Web: usando o serviço de Acesso via Web na Área de Trabalho Virtual do Azure, você permite que os usuários acessem áreas de trabalho virtuais e aplicativos remotos por meio de um navegador da Web compatível com HTML5 como fariam com um PC local, de qualquer lugar em qualquer dispositivo. Você pode proteger o acesso via web usando a autenticação multifator no Microsoft Entra ID.
Gateway: o serviço Gateway de Conexão Remota conecta usuários remotos a aplicativos de Área de Trabalho Virtual do Azure e áreas de trabalho de qualquer dispositivo conectado à Internet que possa executar um cliente de Área de Trabalho Virtual do Azure. O cliente se conecta a um gateway que, em seguida, orquestra uma conexão de uma VM de volta para o mesmo gateway.
Agente de conexão: o serviço Agente de Conexão gerencia conexões de usuário para áreas de trabalho virtuais e aplicativos remotos. O Agente de Conexão fornece balanceamento de carga e reconexão a sessões existentes.
Diagnóstico: o Diagnóstico de Área de Trabalho Remota é um agregador baseado em evento que marca cada ação de usuário ou administrador na implantação de Área de Trabalho Virtual do Azure como êxito ou falha. Os administradores podem consultar a agregação de eventos para identificar componentes com falha.
Componentes de extensibilidade: a Área de Trabalho Virtual do Azure inclui vários componentes de extensibilidade. Você pode gerenciar a Área de Trabalho Virtual do Azure usando o Windows PowerShell ou com as APIs REST fornecidas, que também habilitam o suporte de ferramentas de terceiros.
Componentes que você gerencia
Você gerencia os seguintes componentes de soluções de Área de Trabalho Virtual do Azure:
Rede Virtual do Azure: com a Rede Virtual do Azure, os recursos do Azure, como VMS, podem se comunicar de maneira privada entre si e com a Internet. Ao conectar os pools de hosts de Área de Trabalho Virtual do Azure a um domínio do Active Directory, você pode definir a topologia de rede para acessar áreas de trabalho virtuais e aplicativos virtuais da intranet ou da Internet, com base na política organizacional. É possível conectar uma instância da Área de Trabalho Virtual do Azure a uma rede local usando uma rede virtual privada (VPN) ou usar o Azure ExpressRoute para estender a rede local para o Azure por meio de uma conexão privada.
Microsoft Entra ID: A Área de Trabalho Virtual do Azure usa o Microsoft Entra ID para gerenciamento de identidade e acesso. A integração do Microsoft Entra aplica recursos de segurança do Microsoft Entra como acesso condicional, autenticação multifator e o Gráfico de Segurança Inteligente, além de ajudar a manter a compatibilidade de aplicativos em VMs conectadas ao domínio.
Active Directory Domain Services (Opcional): as VMs da Área de Trabalho Virtual do Azure podem ingressar no domínio de um serviço do AD DS ou usar Implantar máquinas virtuais ingressadas no Microsoft Entra na Área de Trabalho Virtual do Azure
- Ao usar um domínio do AD DS, o domínio deve estar sincronizado com o Microsoft Entra ID para associar usuários entre os dois serviços. Você pode usar o Microsoft Entra Connect para associar o AD DS ao Microsoft Entra ID.
- Ao usar o ingresso do Microsoft Entra, revise as configurações com suporte para garantir que seu cenário seja suportado.
Hosts de sessão da Área de Trabalho Virtual do Azure: os hosts de sessão são VMs às quais os usuários se conectam para suas áreas de trabalho e aplicativos. Várias versões do Windows são suportadas, e você pode criar imagens com seus aplicativos e personalizações. Você pode escolher tamanhos de VM, incluindo VMs habilitadas para GPU. Cada host da sessão tem um agente de host de Área de Trabalho Virtual do Azure, que registra a VM como parte do seu locatário ou workspace de Área de Trabalho Virtual do Azure. Cada pool de host pode ter um ou mais grupos de aplicativos, que são coleções de aplicativos remotos ou sessões de área de trabalho que você pode acessar. Para ver quais versões do Windows são suportadas, consulte Sistemas operacionais e licenças.
Workspace da Área de Trabalho Virtual do Azure: o workspace ou locatário da Área de Trabalho Virtual do Azure é uma construção de gerenciamento para gerenciar e publicar recursos do pool de host.
Detalhes do cenário
Possíveis casos de uso
A maior parte da demanda por soluções de área de trabalho virtual corporativa vem de:
Aplicativos de segurança e regulamentação, como serviços financeiros, saúde e governo.
Necessidades de força de trabalho elástica, como trabalhos remotos, fusões e aquisições, funcionários de curto prazo, prestadores de serviço e acesso de parceiros.
Funcionários específicos, como BYOD (Traga seu próprio dispositivo) e usuários móveis, centrais de chamadas e trabalhos de filial.
Cargas de trabalho especializadas, como design e engenharia, aplicativos herdados e teste de desenvolvimento de software.
Áreas de trabalho pessoais e em pool
Ao usar soluções de área de trabalho pessoal (às vezes chamadas de áreas de trabalho persistentes), os usuários sempre podem se conectar ao mesmo host de sessão específico. Os usuários normalmente podem modificar a experiência de área de trabalho para atender às preferências pessoais e salvar arquivos no ambiente de área de trabalho. Soluções de área de trabalho pessoal:
- Permitir que os usuários personalizem o ambiente de área de trabalho, incluindo aplicativos instalados pelo usuário, e salvem arquivos no ambiente de área de trabalho.
- Permitir a atribuição de recursos dedicados a usuários específicos, o que pode ser útil para alguns casos de uso de fabricação ou desenvolvimento.
Soluções de área de trabalho em pool, também chamadas de áreas de trabalho não persistentes, atribuem usuários a qualquer host de sessão disponível no momento, dependendo do algoritmo de balanceamento de carga. Como os usuários nem sempre retornam ao mesmo host de sessão cada vez que se conectam, eles têm capacidade limitada de personalizar o ambiente de área de trabalho e normalmente não têm acesso de administrador.
Janelas de atendimento
Há várias opções para atualizar instâncias da Área de Trabalho Virtual do Azure. Implantar uma imagem atualizada todo mês garante a conformidade e o estado.
- O MECM (Microsoft Endpoint Configuration Manager) atualiza os sistemas operacionais do servidor e da área de trabalho.
- O Windows Update para Empresas atualiza os sistemas operacionais de áreas de trabalho, como Windows 10 multissessão.
- O Gerenciamento de Atualizações do Azure atualiza sistemas operacionais do servidor.
- O Azure Log Analytics verifica a conformidade.
- Implante uma nova imagem (personalizada) em hosts de sessão todos os meses para as atualizações mais recentes do Windows e de aplicativos. Você pode usar uma imagem do Azure Marketplace ou uma imagem gerenciada personalizada do Azure.
Relações entre os principais componentes lógicos
As relações entre pools de host, espaço de trabalho e outros componentes lógicos principais variam. Isso é resumido no diagrama a seguir:
Os números nas descrições a seguir correspondem aos do diagrama anterior.
- (1) Um grupo de aplicativos que contém uma área de trabalho publicada só pode conter pacotes MSIX montados no pool de host (os pacotes estarão disponíveis no menu Iniciar do host de sessão), não pode conter outros recursos publicados e é chamado de grupo de aplicativos da área de trabalho.
- (2) Grupos de aplicativos atribuídos ao mesmo pool de host devem ser membros do mesmo espaço de trabalho.
- (3) Uma conta de usuário pode ser atribuída a um grupo de aplicativos diretamente ou por meio de um grupo do Microsoft Entra. É possível atribuir nenhum usuário a um grupo de aplicativos, mas, nesse caso, ele não poderá fazer nenhum serviço.
- (4) É possível ter um espaço de trabalho vazio, mas, nesse caso, ele não poderá atender usuários.
- (5) É possível ter um pool de host vazio, mas, nesse caso, ele não poderá atender usuários.
- (6) É possível que um pool de host não tenha nenhum grupo de aplicativos atribuídos a ele, mas, nesse caso, ele não poderá atender usuários.
- (7) O Microsoft Entra ID é necessário para a Área de Trabalho Virtual do Azure. Isso porque contas de usuário e grupos do Microsoft Entra sempre devem ser usados para atribuir usuários a grupos de aplicativos da Área de Trabalho Virtual do Azure. O Microsoft Entra ID também é usado para autenticar usuários no serviço de Área de Trabalho Virtual do Azure. Os hosts de sessão da Área de Trabalho Virtual do Azure também podem ser membros de um domínio do Microsoft Entra e, nessa situação, os aplicativos e as sessões de área de trabalho publicados pela Área de Trabalho Virtual do Azure também serão iniciados e executados (não apenas atribuídos) usando contas do Microsoft Entra.
- (7) Como alternativa, os hosts de sessão da Área de Trabalho Virtual do Azure podem ser membros de um domínio do AD DS e, nessa situação, os aplicativos publicados pela Área de Trabalho Virtual do Azure e as sessões da área de trabalho serão lançados e executados (mas não atribuídos) usando contas AD DS. Para reduzir a sobrecarga administrativa e de usuário, o AD DS pode ser sincronizado com o Microsoft Entra ID por meio do Microsoft Entra Connect.
- (7) Finalmente, os hosts de sessão da Área de Trabalho Virtual do Azure podem, em vez disso, ser membros de um domínio do Microsoft Entra Domain Services e, nessa situação, os aplicativos e as sessões de área de trabalho publicados na Área de Trabalho Virtual do Azure serão iniciados e executados (mas não atribuídos) usando contas do Microsoft Entra Domain Services. O Microsoft Entra ID é sincronizada automaticamente com o Microsoft Entra Domain Services, somente a partir do Microsoft Entra ID para o Microsoft Entra Domain Services.
| Recurso | Finalidade | Relações lógicas |
|---|---|---|
| Área de trabalho publicada | Um ambiente de área de trabalho do Windows que é executado em hosts de sessão da Área de Trabalho Virtual do Azure e é entregue aos usuários pela rede | Membro de um e apenas um grupo de aplicativos (1) |
| Aplicativo publicado | Um aplicativo do Windows que é executado em hosts de sessão da Área de Trabalho Virtual do Azure e é entregue aos usuários pela rede | Membro de um e apenas um grupo de aplicativos |
| Grupo de aplicativos | Um agrupamento lógico de aplicativos publicados ou de uma área de trabalho publicada | - Contém uma área de trabalho publicada (1) ou um ou mais aplicativos publicados - Atribuído a apenas um pool de host (2) - Membro de apenas um workspace (2) - Uma ou mais contas de usuário ou grupos do Microsoft Entra são atribuídos a ele (3) |
| Grupo/conta de usuário do Microsoft Entra | Identifica os usuários que têm permissão para iniciar áreas de trabalho ou aplicativos publicados | - Membro de um e apenas um Microsoft Entra ID - Atribuído a um ou mais grupos de aplicativos (3) |
| Microsoft Entra ID (7) | Provedor de identidade | - Contém um ou mais grupos ou contas de usuários que devem ser usados para atribuir usuários a grupos de aplicativos e que também podem ser usados para fazer logon nos hosts de sessão - Pode manter as associações dos hosts de sessão - Pode ser sincronizado com AD DS ou Microsoft Entra Domain Services |
| AD DS (7) | Provedor de serviços de identidade e diretório | - Contém um ou mais grupos ou contas de usuários que podem ser usados para fazer logon nos hosts de sessão - Pode manter as associações dos hosts de sessão - Pode ser sincronizado com o Microsoft Entra ID |
| Microsoft Entra Domain Services (7) | Provedor de serviços de identidade e diretório baseado em plataforma como serviço (PaaS) | - Contém um ou mais grupos ou contas de usuários que podem ser usados para fazer logon nos hosts de sessão - Pode manter as associações dos hosts de sessão - Sincronizado com o Microsoft Entra ID |
| Workspace | Um agrupamento lógico de grupos de aplicativos | - Contém um ou mais grupos de aplicativos (4) |
| Pool de host | Um grupo de hosts de sessão idênticos que atendem a uma finalidade comum | - Contém um ou mais hosts de sessão (5) - Um ou mais grupos de aplicativos são atribuídos a ele (6) |
| Host da sessão | Uma máquina virtual que hospeda áreas de trabalho ou aplicativos publicados | Membro de apenas um pool de hosts |
Considerações
Estas considerações implementam os pilares do Azure Well-Architected Framework, que é um conjunto de princípios de orientação que podem ser usados para aprimorar a qualidade de uma carga de trabalho. Para obter mais informações, consulte Microsoft Azure Well-Architected Framework.
Os números nas seções a seguir são aproximados. Eles baseiam-se em uma variedade de grandes implantações de clientes e podem mudar ao longo do tempo.
Além disso, note que:
- Você não pode criar mais de 500 grupos de aplicativos por um único locatário do Microsoft Entra*.
- Recomendamos que você não publique mais de 50 aplicativos por grupo de aplicativos.
Limitações da Área de Trabalho Virtual do Azure
A Área de Trabalho Virtual do Azure, assim como o Azure, tem várias limitações do serviço que você precisa conhecer. Para evitar a necessidade de fazer alterações na fase de dimensionamento, é melhor resolver algumas dessas limitações durante a fase de design.
| Objeto da Área de Trabalho Virtual do Azure | Por objeto de contêiner pai | Limite do serviço |
|---|---|---|
| Workspace | Locatário do Microsoft Entra | 1300 |
| HostPool | Workspace | 400 |
| Grupo de aplicativos | Locatário do Microsoft Entra | 500* |
| RemoteApp | Grupo de aplicativos | 500 |
| Atribuição de função | Qualquer objeto da Área de Trabalho Virtual do Azure | 200 |
| Host da sessão | HostPool | 10.000 |
*Se você precisar de mais de 500 grupos de aplicativos, envie um tíquete de suporte por meio do portal do Azure.
- Recomendamos que você implante no máximo 5 mil VMs por assinatura do Azure, por região. Essa recomendação se aplica a pools de host pessoais e em pool, com base em sessão única ou multisessão do Windows Enterprise. A maioria dos clientes usa o Windows Enterprise de várias sessões, o que permite que vários usuários façam logon em cada VM. Você pode aumentar os recursos de VMs de host de sessão individuais para acomodar mais sessões de usuário.
- Para ferramentas automatizadas de dimensionamento de host de sessão, os limites são cerca de 2.500 VMs por assinatura do Azure por região, porque a interação do status da VM consome mais recursos.
- Para gerenciar ambientes corporativos com mais de 5 mil VMs por assinatura do Azure na mesma região, você pode criar várias assinaturas do Azure em uma arquitetura hub-spoke e conectá-las por meio do emparelhamento de rede virtual, como na arquitetura de exemplo anterior. Você também pode implantar VMs em uma região diferente na mesma assinatura para aumentar o número de VMs.
- Os limites de limitação da API de assinatura do ARM (Azure Resource Manager) não permitem mais de 600 reinicializações de VM do Azure por hora por meio do portal do Azure. Você pode reiniciar todos os seus computadores de uma vez por meio do sistema operacional, o que não consome nenhuma chamada de API de assinatura do Azure Resource Manager. Para obter mais informações sobre como contar e solucionar os limites de limitação com base em sua assinatura do Azure, consulte Solucionar erros de limitação de API.
- No momento, você pode implantar até 132 VMs em uma só implantação de modelo do ARM no portal da Área de Trabalho Virtual do Azure. Para criar mais de 132 VMs, execute a implantação do modelo do ARM no portal da Área de Trabalho Virtual do Azure várias vezes.
- Os prefixos de nome de host da sessão de VM do Azure não podem exceder 11 caracteres, devido à atribuição automática de nomes de instância e ao limite do NetBIOS de 15 caracteres por conta de computador.
- Por padrão, você pode implantar até 800 instâncias da maioria dos tipos de recursos em um grupo de recursos. A Computação do Azure não tem esse limite.
Para obter mais informações sobre as limitações de assinatura do Azure, confira Assinatura do Azure e limites, cotas e restrições do serviço.
Dimensionamento da VM
Diretrizes de dimensionamento de máquina virtual lista o número máximo sugerido de usuários por vCPU (unidade de processamento central virtual) e configurações de VM mínimas para cargas de trabalho diferentes. Esses dados ajudam a estimar as VMs de que você precisa em seu pool de hosts.
Use ferramentas de simulação para testar implantações com testes de estresse e simulações de uso da vida real. Certifique-se de que o sistema seja responsivo e resiliente o suficiente para atender às necessidades dos usuários e varie os tamanhos de carga durante os testes.
Otimização de custo
A otimização de custos é a análise de maneiras de reduzir as despesas desnecessárias e melhorar a eficiência operacional. Para obter mais informações, confira Visão geral do pilar de otimização de custo.
Projete sua solução de Área de Trabalho Virtual do Azure para obter economia de custos. Confira cinco opções diferentes para ajudar a gerenciar os custos das empresas:
- Windows 10 multissessão: ao fornecer uma experiência de área de trabalho multissessão para usuários com requisitos de computação idênticos, você pode permitir que mais usuários façam logon em uma única VM ao mesmo tempo, resultando em uma economia considerável de custos.
- Benefício Híbrido do Azure: se você tiver o Software Assurance, poderá usar o Benefício Híbrido do Azure para Windows Server para economizar no custo da sua infraestrutura do Azure.
- Instâncias de VM Reservadas do Azure: é possível pagar antecipadamente pelo uso da VM e economizar dinheiro. Combine as Instâncias de VM Reservadas do Azure com o Benefício Híbrido do Azure para obter uma economia de até 80% sobre os preços da lista.
- Balanceamento de carga de host de sessão: ao configurar hosts de sessão, o modo de balanceamento de carga em largura é o modo padrão, que espalha os usuários aleatoriamente entre os hosts de sessão. Como alternativa, você pode usar o modo de balanceamento em profundidade para preencher um servidor de host de sessão com o número máximo de usuários antes de passar para o próximo host de sessão. Você pode ajustar essa configuração para obter os benefícios de custo máximos.
Implantar este cenário
Use os modelos do ARM para automatizar a implantação do seu ambiente de Área de Trabalho Virtual do Azure. Esses modelos de ARM dão suporte apenas a objetos de Área de Trabalho Virtuais do Azure Resource Manager. Esses modelos de ARM não dão suporte à Área de Trabalho Virtual do Azure (clássico).
Colaboradores
Esse artigo é mantido pela Microsoft. Ele foi originalmente escrito pelos colaboradores a seguir.
Autor principal:
- Tom Hickling | Gerente de Produto Sênior, Engenharia de Área de Trabalho Virtual do Azure
Outro colaborador:
- Nelson Del Villar | Arquiteto de Soluções na Nuvem, Infraestrutura Principal do Azure
Próximas etapas
- Integrações de parceiros de Área de Trabalho Virtual do Azure lista os provedores de parceiros de área de trabalho virtuais do Azure e fornecedores de software independentes.
- Use a Ferramenta de Otimização de Área de Trabalho Virtual para ajudar a otimizar o desempenho em um ambiente VDI (infraestrutura de área de trabalho virtual) do Windows 10 Enterprise.
- Confira Implantar máquinas virtuais conectadas ao Microsoft Entra na Área de Trabalho Virtual do Azure.
- Saiba mais sobre o Active Directory Domain Services.
- O que é o Microsoft Entra Connect?
Recursos relacionados
- Para obter mais informações sobre a arquitetura de várias florestas do Active Directory, consulte Arquitetura de várias florestas do Active Directory na Área de Trabalho Virtual do Azure.