A Área de Trabalho Virtual do Azure é um serviço de virtualização de área de trabalho e aplicativo executado no Azure. Este artigo destina-se a ajudar arquitetos de infraestrutura de desktop, arquitetos de nuvem, administradores de desktop e administradores de sistema a explorar a Área de Trabalho Virtual do Azure e criar soluções de infraestrutura de área de trabalho virtualizada (VDI) em escala empresarial. As soluções de escala empresarial geralmente abrangem 1.000 ou mais desktops virtuais.
Arquitetura
Uma configuração arquitetônica típica para a Área de Trabalho Virtual do Azure é ilustrada no diagrama a seguir:
Baixe um Arquivo Visio dessa arquitetura.
Fluxo de dados
Os elementos de fluxo de dados do diagrama são descritos aqui:
Os pontos de extremidade do aplicativo estão na rede local de um cliente. O Azure ExpressRoute estende a rede local para o Azure, e o Microsoft Entra Connect integra os Serviços de Domínio Active Directory (AD DS) do cliente com a ID do Microsoft Entra.
O plano de controle da Área de Trabalho Virtual do Azure manipula o acesso à Web, gateway, agente, diagnóstico e componentes de extensibilidade, como APIs REST.
O cliente gerencia o AD DS e a ID do Microsoft Entra, assinaturas do Azure, redes virtuais, Arquivos do Azure ou Arquivos do Azure NetApp e os pools e espaços de trabalho de host da Área de Trabalho Virtual do Azure.
Para aumentar a capacidade, o cliente usa duas assinaturas do Azure em uma arquitetura hub-spoke e as conecta por meio do emparelhamento de rede virtual.
Para obter mais informações sobre as práticas recomendadas do FSLogix Profile Container - Azure Files e Azure NetApp Files, consulte Exemplos de configuração do FSLogix.
Componentes
A arquitetura do serviço de Área de Trabalho Virtual do Azure é semelhante aos Serviços de Área de Trabalho Remota do Windows Server. Embora a Microsoft gerencie a infraestrutura e os componentes de corretagem, os clientes corporativos gerenciam suas próprias máquinas virtuais (VMs), dados e clientes de host de área de trabalho.
Componentes que a Microsoft gerencia
A Microsoft gerencia os seguintes serviços de Área de Trabalho Virtual do Azure como parte do Azure:
Acesso à Web: usando o serviço de Acesso à Web na Área de Trabalho Virtual do Azure, você pode acessar áreas de trabalho virtuais e aplicativos remotos por meio de um navegador da Web compatível com HTML5, assim como faria com um computador local, de qualquer lugar e em qualquer dispositivo. Você pode proteger o acesso à Web usando a autenticação multifator no Microsoft Entra ID.
Gateway: o serviço Gateway de Conexão Remota conecta usuários remotos a aplicativos de Área de Trabalho Virtual do Azure e áreas de trabalho de qualquer dispositivo conectado à Internet que possa executar um cliente de Área de Trabalho Virtual do Azure. O cliente se conecta a um gateway que, em seguida, orquestra uma conexão de uma VM de volta para o mesmo gateway.
Agente de conexão: o serviço Agente de Conexão gerencia conexões de usuário para áreas de trabalho virtuais e aplicativos remotos. O Agente de Conexão fornece balanceamento de carga e reconexão a sessões existentes.
Diagnóstico: o Diagnóstico de Área de Trabalho Remota é um agregador baseado em evento que marca cada ação de usuário ou administrador na implantação de Área de Trabalho Virtual do Azure como êxito ou falha. Os administradores podem consultar a agregação de eventos para identificar componentes com falha.
Componentes de extensibilidade: a Área de Trabalho Virtual do Azure inclui vários componentes de extensibilidade. Você pode gerenciar a Área de Trabalho Virtual do Azure usando o Windows PowerShell ou com as APIs REST fornecidas, que também habilitam o suporte de ferramentas de terceiros.
Componentes que você gerencia
Você gerencia os seguintes componentes das soluções de Área de Trabalho Virtual do Azure:
Rede Virtual do Azure: com a Rede Virtual do Azure, os recursos do Azure, como VMs, podem se comunicar de forma privada entre si e com a Internet. Ao conectar os pools de hosts de Área de Trabalho Virtual do Azure a um domínio do Active Directory, você pode definir a topologia de rede para acessar áreas de trabalho virtuais e aplicativos virtuais da intranet ou da Internet, com base na política organizacional. Você pode conectar uma instância da Área de Trabalho Virtual do Azure a uma rede local usando uma rede virtual privada (VPN) ou pode usar a Rota Expressa do Azure para estender a rede local para o Azure por meio de uma conexão privada.
ID do Microsoft Entra: a Área de Trabalho Virtual do Azure usa a ID do Microsoft Entra para gerenciamento de identidade e acesso. A integração do Microsoft Entra aplica recursos de segurança do Microsoft Entra, como acesso condicional, autenticação multifator e Gráfico de Segurança Inteligente, e ajuda a manter a compatibilidade de aplicativos em VMs ingressadas no domínio.
Serviços de Domínio Active Directory (Opcional): as VMs da Área de Trabalho Virtual do Azure podem ingressar no domínio de um serviço AD DS ou usar Implantar máquinas virtuais ingressadas no Microsoft Entra na Área de Trabalho Virtual do Azure
- Ao usar um domínio AD DS, o domínio deve estar sincronizado com a ID do Microsoft Entra para associar usuários entre os dois serviços. Você pode usar o Microsoft Entra Connect para associar o AD DS ao Microsoft Entra ID.
- Ao usar o ingresso do Microsoft Entra, revise as configurações com suporte para garantir que seu cenário seja suportado.
Hosts de sessão da Área de Trabalho Virtual do Azure: os hosts de sessão são VMs às quais os usuários se conectam para suas áreas de trabalho e aplicativos. Várias versões do Windows são suportadas e você pode criar imagens com seus aplicativos e personalizações. Você pode escolher tamanhos de VM, incluindo VMs habilitadas para GPU. Cada host da sessão tem um agente de host de Área de Trabalho Virtual do Azure, que registra a VM como parte do seu locatário ou workspace de Área de Trabalho Virtual do Azure. Cada pool de hosts pode ter um ou mais grupos de aplicativos, que são coleções de aplicativos remotos ou sessões de área de trabalho que você pode acessar. Para ver quais versões do Windows são suportadas, consulte Sistemas operacionais e licenças.
Espaço de trabalho da Área de Trabalho Virtual do Azure: o espaço de trabalho ou locatário da Área de Trabalho Virtual do Azure é uma construção de gerenciamento para gerenciar e publicar recursos do pool de hosts.
Detalhes do cenário
Possíveis casos de uso
A maior demanda por soluções de desktop virtual corporativo vem de:
Aplicações de segurança e regulamentação, como serviços financeiros, saúde e governo.
Necessidades elásticas da força de trabalho, como trabalho remoto, fusões e aquisições, funcionários de curto prazo, contratados e acesso de parceiros.
Funcionários específicos, como usuários de dispositivos próprios (BYOD) e móveis, call centers e funcionários de filiais.
Cargas de trabalho especializadas, como design e engenharia, aplicativos legados e testes de desenvolvimento de software.
Áreas de trabalho pessoais e em pool
Usando soluções de área de trabalho pessoal, às vezes chamadas de áreas de trabalho persistentes, os usuários sempre podem se conectar ao mesmo host de sessão específico. Normalmente, os usuários podem modificar sua experiência na área de trabalho para atender às preferências pessoais e podem salvar arquivos no ambiente de desktop. Soluções de área de trabalho pessoal:
- Permita que os usuários personalizem seu ambiente de desktop, incluindo aplicativos instalados pelo usuário, e os usuários possam salvar arquivos no ambiente de desktop.
- Permitir a atribuição de recursos dedicados a usuários específicos, o que pode ser útil para alguns casos de uso de fabricação ou desenvolvimento.
As soluções de área de trabalho em pool, também chamadas de desktops não persistentes, atribuem usuários a qualquer host de sessão disponível no momento, dependendo do algoritmo de balanceamento de carga. Como os usuários nem sempre retornam ao mesmo host de sessão sempre que se conectam, eles têm capacidade limitada de personalizar o ambiente de área de trabalho e geralmente não têm acesso de administrador.
Manutenção do Windows
Há várias opções para atualizar instâncias da Área de Trabalho Virtual do Azure. Implantar uma imagem atualizada todo mês garante a conformidade e o estado.
- O MECM (Microsoft Endpoint Configuration Manager) atualiza os sistemas operacionais do servidor e da área de trabalho.
- O Windows Updates for Business atualiza os sistemas operacionais da área de trabalho, como o Windows 10 em várias sessões.
- O Gerenciamento de Atualizações do Azure atualiza sistemas operacionais do servidor.
- O Azure Log Analytics verifica a conformidade.
- Implante uma nova imagem (personalizada) em hosts de sessão todos os meses para as atualizações mais recentes do Windows e de aplicativos. Você pode usar uma imagem do Azure Marketplace ou uma imagem personalizada gerenciada pelo Azure.
Relações entre os principais componentes lógicos
As relações entre pools de hosts, espaços de trabalho e outros componentes lógicos importantes variam. Eles estão resumidos no diagrama a seguir:
Os números nas descrições a seguir correspondem aos do diagrama anterior.
- (1) Um grupo de aplicativos que contém uma área de trabalho publicada só pode conter pacotes MSIX montados no pool de hosts (os pacotes estarão disponíveis no menu Iniciar do host de sessão), não pode conter outros recursos publicados e é chamado de grupo de aplicativos da área de trabalho.
- (2) Os grupos de aplicativos atribuídos ao mesmo pool de hosts devem ser membros do mesmo espaço de trabalho.
- (3) Uma conta de usuário pode ser atribuída a um grupo de aplicativos diretamente ou por meio de um grupo do Microsoft Entra. É possível não atribuir nenhum usuário a um grupo de aplicativos, mas ele não pode atender a nenhum.
- (4) É possível ter um espaço de trabalho vazio, mas ele não pode atender os usuários.
- (5) É possível ter um pool de hosts vazio, mas ele não pode atender aos usuários.
- (6) É possível que um pool de hosts não tenha nenhum grupo de aplicativos atribuído a ele, mas ele não pode atender aos usuários.
- (7) A ID do Microsoft Entra é necessária para a Área de Trabalho Virtual do Azure. Isso ocorre porque as contas de usuário e os grupos do Microsoft Entra sempre devem ser usados para atribuir usuários a grupos de aplicativos da Área de Trabalho Virtual do Azure. A ID do Microsoft Entra também é usada para autenticar usuários no serviço Área de Trabalho Virtual do Azure. Os hosts de sessão da Área de Trabalho Virtual do Azure também podem ser membros de um domínio do Microsoft Entra e, nessa situação, os aplicativos e as sessões de área de trabalho publicados pela Área de Trabalho Virtual do Azure também serão iniciados e executados (não apenas atribuídos) usando contas do Microsoft Entra.
- (7) Como alternativa, os hosts de sessão da Área de Trabalho Virtual do Azure podem ser membros de um domínio do AD DS e, nessa situação, os aplicativos e as sessões de área de trabalho publicados na Área de Trabalho Virtual do Azure serão iniciados e executados (mas não atribuídos) usando contas do AD DS. Para reduzir a sobrecarga administrativa e de usuário, o AD DS pode ser sincronizado com a ID do Microsoft Entra por meio do Microsoft Entra Connect.
- (7) Finalmente, os hosts de sessão da Área de Trabalho Virtual do Azure podem, em vez disso, ser membros de um domínio dos Serviços de Domínio do Microsoft Entra e, nessa situação, os aplicativos e as sessões de área de trabalho publicados na Área de Trabalho Virtual do Azure serão iniciados e executados (mas não atribuídos) usando contas dos Serviços de Domínio do Microsoft Entra. A ID do Microsoft Entra é sincronizada automaticamente com os Serviços de Domínio do Microsoft Entra, de uma maneira, da ID do Microsoft Entra para os Serviços de Domínio do Microsoft Entra.
| Recurso | Finalidade | Relações lógicas |
|---|---|---|
| Área de trabalho publicada | Um ambiente de área de trabalho do Windows que é executado em hosts de sessão da Área de Trabalho Virtual do Azure e é entregue aos usuários pela rede | Membro de um único grupo de candidaturas (1) |
| Aplicativo publicado | Um aplicativo do Windows que é executado em hosts de sessão da Área de Trabalho Virtual do Azure e é entregue aos usuários pela rede | Membro de um e apenas um grupo de aplicativos |
| Grupo de aplicativos | Um agrupamento lógico de aplicativos publicados ou de uma área de trabalho publicada | - Contém um desktop publicado (1) ou um ou mais aplicativos publicados - Atribuído a um e apenas um pool de hosts (2) - Membro de um e apenas um espaço de trabalho (2) - Uma ou mais contas de usuário ou grupos do Microsoft Entra são atribuídos a ele (3) |
| Conta/grupo de usuário do Microsoft Entra | Identifica os usuários que têm permissão para iniciar desktops ou aplicativos publicados | - Membro de uma e apenas uma ID do Microsoft Entra - Atribuído a um ou mais grupos de aplicação (3) |
| ID do Microsoft Entra (7) | Provedor de identidade | - Contém uma ou mais contas de usuário ou grupos, que devem ser usados para atribuir usuários a grupos de aplicativos e também podem ser usados para fazer login nos hosts de sessão - Pode manter as associações dos hosts de sessão - Pode ser sincronizado com AD DS ou Microsoft Entra Domain Services |
| AD DS (7) | Provedor de serviços de identidade e diretório | - Contém uma ou mais contas de usuário ou grupos, que podem ser usados para fazer login nos hosts de sessão - Pode manter as associações dos hosts de sessão - Pode ser sincronizado com o Microsoft Entra ID |
| Serviços de Domínio Microsoft Entra (7) | Provedor de serviços de identidade e diretório baseado em plataforma como serviço (PaaS) | - Contém uma ou mais contas de usuário ou grupos, que podem ser usados para fazer login nos hosts de sessão - Pode manter as associações dos hosts de sessão - Sincronizado com o Microsoft Entra ID |
| Workspace | Um agrupamento lógico de grupos de aplicativos | Contém um ou mais grupos de aplicativos (4) |
| Pool de host | Um grupo de hosts de sessão idênticos que atendem a uma finalidade comum | - Contém um ou mais hosts de sessão (5) - Um ou mais grupos de aplicativos são atribuídos a ele (6) |
| Host da sessão | Uma máquina virtual que hospeda áreas de trabalho ou aplicativos publicados | Membro de apenas um pool de hosts |
Considerações
Essas considerações implementam os pilares do Azure Well-Architected Framework, que é um conjunto de princípios de orientação que podem ser usados para aprimorar a qualidade de uma carga de trabalho. Para obter mais informações, confira Microsoft Azure Well-Architected Framework.
Os números nas seções a seguir são aproximados. Eles são baseados em uma variedade de grandes implantações de clientes e estão sujeitos a alterações ao longo do tempo.
Além disso, note que:
- Não é possível criar mais de 500 grupos de aplicativos por único locatário do Microsoft Entra*.
- Recomendamos que você não publique mais de 50 aplicativos por grupo de aplicativos.
Limitações da Área de Trabalho Virtual do Azure
A Área de Trabalho Virtual do Azure, assim como o Azure, tem várias limitações do serviço que você precisa conhecer. Para evitar a necessidade de fazer alterações na fase de dimensionamento, é melhor resolver algumas dessas limitações durante a fase de design.
| Objeto da Área de Trabalho Virtual do Azure | Por objeto de contêiner pai | Limite do serviço |
|---|---|---|
| Workspace | Locatário do Microsoft Entra | 1300 |
| HostPool | Workspace | 400 |
| Grupo de aplicativos | Locatário do Microsoft Entra | 500* |
| RemoteApp | Grupo de aplicativos | 500 |
| Atribuição de função | Qualquer objeto da Área de Trabalho Virtual do Azure | 200 |
| Host da sessão | HostPool | 10.000 |
*Se você precisar de mais de 500 grupos de aplicativos, envie um tíquete de suporte por meio do portal do Azure.
- Recomendamos que você implante no máximo 5 mil VMs por assinatura do Azure, por região. Essa recomendação se aplica a pools de host pessoais e em pool, com base em sessão única ou multisessão do Windows Enterprise. A maioria dos clientes usa o Windows Enterprise de várias sessões, o que permite que vários usuários façam logon em cada VM. Você pode aumentar os recursos de VMs de host de sessão individuais para acomodar mais sessões de usuário.
- Para ferramentas automatizadas de dimensionamento de host de sessão, os limites são cerca de 2.500 VMs por assinatura do Azure por região, porque a interação do status da VM consome mais recursos.
- Para gerenciar ambientes corporativos com mais de 5 mil VMs por assinatura do Azure na mesma região, você pode criar várias assinaturas do Azure em uma arquitetura hub-spoke e conectá-las por meio do emparelhamento de rede virtual, como na arquitetura de exemplo anterior. Você também pode implantar VMs em uma região diferente na mesma assinatura para aumentar o número de VMs.
- Os limites de limitação da API de assinatura do ARM (Azure Resource Manager) não permitem mais de 600 reinicializações de VM do Azure por hora por meio do portal do Azure. Você pode reiniciar todos os seus computadores de uma vez por meio do sistema operacional, o que não consome nenhuma chamada de API de assinatura do Azure Resource Manager. Para obter mais informações sobre como contar e solucionar os limites de limitação com base em sua assinatura do Azure, consulte Solucionar erros de limitação de API.
- No momento, você pode implantar até 132 VMs em uma só implantação de modelo do ARM no portal da Área de Trabalho Virtual do Azure. Para criar mais de 132 VMs, execute a implantação do modelo do ARM no portal da Área de Trabalho Virtual do Azure várias vezes.
- Os prefixos de nome de host da sessão de VM do Azure não podem exceder 11 caracteres, devido à atribuição automática de nomes de instância e ao limite do NetBIOS de 15 caracteres por conta de computador.
- Por padrão, você pode implantar até 800 instâncias da maioria dos tipos de recursos em um grupo de recursos. A Computação do Azure não tem esse limite.
Para obter mais informações sobre as limitações de assinatura do Azure, confira Assinatura do Azure e limites, cotas e restrições do serviço.
Dimensionamento da VM
Diretrizes de dimensionamento de máquina virtual lista o número máximo sugerido de usuários por vCPU (unidade de processamento central virtual) e configurações de VM mínimas para cargas de trabalho diferentes. Esses dados ajudam a estimar as VMs de que você precisa em seu pool de hosts.
Use ferramentas de simulação para testar implantações com testes de estresse e simulações de uso da vida real. Certifique-se de que o sistema seja responsivo e resiliente o suficiente para atender às necessidades do usuário e lembre-se de variar os tamanhos de carga ao testar.
Otimização de custo
A otimização de custos é a análise de maneiras de reduzir as despesas desnecessárias e melhorar a eficiência operacional. Para obter mais informações, confira Visão geral do pilar de otimização de custo.
Você pode arquitetar sua solução de Área de Trabalho Virtual do Azure para obter economia de custos. Confira cinco opções diferentes para ajudar a gerenciar os custos das empresas:
- Várias sessões do Windows 10: ao oferecer uma experiência de área de trabalho de várias sessões para usuários com requisitos de computação idênticos, você pode permitir que mais usuários façam logon em uma única VM de uma só vez, uma abordagem que pode resultar em economias de custos consideráveis.
- Benefício Híbrido do Azure: se você tiver o Software Assurance, poderá usar o Benefício Híbrido do Azure para Windows Server para economizar no custo da sua infraestrutura do Azure.
- Instâncias de VM Reservadas do Azure: você pode pagar antecipadamente pelo uso da VM e economizar dinheiro. Combine Instâncias de VM Reservadas do Azure com o Benefício Híbrido do Azure para obter até 80% de economia em relação aos preços de tabela.
- Balanceamento de carga do host de sessão: quando você está configurando hosts de sessão, o modo de amplitude primeiro , que espalha os usuários aleatoriamente pelos hosts de sessão, é o modo padrão padrão. Como alternativa, você pode usar o modo depth-first para preencher um servidor host de sessão com o número máximo de usuários antes que ele passe para o próximo host de sessão. Você pode ajustar essa configuração para obter os benefícios de custo máximos.
Implantar este cenário
Use os modelos do ARM para automatizar a implantação do seu ambiente de Área de Trabalho Virtual do Azure. Esses modelos de ARM dão suporte apenas a objetos de Área de Trabalho Virtuais do Azure Resource Manager. Esses modelos de ARM não dão suporte à Área de Trabalho Virtual do Azure (clássico).
Colaboradores
Esse artigo é mantido pela Microsoft. Ele foi originalmente escrito pelos colaboradores a seguir.
Autor principal:
- Tom Hickling - Brasil | Gerente de Produto Sênior, Engenharia de Área de Trabalho Virtual do Azure
Outro colaborador:
- Nelson Del Villar - Brasil | Arquiteto de Soluções na Nuvem, Infraestrutura Principal do Azure
Próximas etapas
- Integrações de parceiros de Área de Trabalho Virtual do Azure lista os provedores de parceiros de área de trabalho virtuais do Azure e fornecedores de software independentes.
- Use a Ferramenta de Otimização de Área de Trabalho Virtual para ajudar a otimizar o desempenho em um ambiente VDI (infraestrutura de área de trabalho virtual) do Windows 10 Enterprise.
- Consulte Implantar máquinas virtuais ingressadas no Microsoft Entra na Área de Trabalho Virtual do Azure.
- Saiba mais sobre os Serviços de Domínio Active Directory.
- O que é o Microsoft Entra Connect?
Recursos relacionados
- Para obter mais informações sobre a arquitetura de várias florestas do Active Directory, consulte Arquitetura de várias florestas do Active Directory na Área de Trabalho Virtual do Azure.