Arquitetura e resiliência do serviço de Área de Trabalho Virtual do Azure

A Área de Trabalho Virtual do Azure foi projetada para fornecer um serviço resiliente, confiável e seguro para organizações e usuários. A arquitetura da Área de Trabalho Virtual do Azure compreende muitos componentes que compõem o serviço que conecta os usuários a suas áreas de trabalho e aplicativos. A maioria dos componentes é gerenciada pela Microsoft, mas alguns são gerenciados pelo cliente ou pelo parceiro.

A Microsoft fornece os componentes da VDI (infraestrutura de área de trabalho virtual) para a funcionalidade principal como serviço. Esses componentes incluem:

• Serviço Web: o site e o ponto de extremidade voltados para o usuário. Retorna as informações de conexão para o dispositivo do usuário.
• Serviço do agente: orquestra conexões de entrada.
• Serviço de gateway: um serviço websocket que fornece a conectividade RDP (Protocolo de Área de Trabalho Remota) do dispositivo de um usuário de onde quer que ele esteja se conectando aos hosts de sessão que fornecem seus desktops e aplicativos.
• Diretório de recursos: fornece informações para instruir o serviço da web sobre qual dos vários bancos de dados geográficos hospeda as informações de conexão necessárias para cada usuário.
• Banco de dados geográfico: contém os arquivos de conexão (.rdp) e ícones para cada recurso que um usuário foi provisionado.

Além disso, a Área de Trabalho Virtual do Azure usa outros serviços globais do Azure, como o Gerenciador de Tráfego do Azure e o Azure Front Door, para direcionar os usuários para seus pontos de entrada mais próximos da Área de Trabalho Virtual do Azure.

Você é responsável por criar e gerenciar hosts de sessão, incluindo personalizações e aplicativos de imagem do sistema operacional, conectividade de rede virtual, resiliência e backup e recuperação desses hosts de sessão. Você também fornece e gerencia identidades de usuário e controla o acesso ao serviço. Você pode usar outros serviços do Azure para ajudá-lo a atender aos seus requisitos, como:

• Zonas de disponibilidade do Azure para distribuir seus hosts de sessão em locais de datacenter fisicamente separados em uma região do Azure, cada um com energia, resfriamento e rede independentes.
• Backup do Azure para fazer backup e restaurar seus hosts de sessão.
• Azure Site Recovery para replicar seus hosts de sessão para outra região do Azure.
• Assistente do Azure para ajudá-lo a otimizar seus recursos do Azure.

Este diagrama de alto nível mostra os componentes e as responsabilidades:

Conexões de usuário

Quando um usuário deseja acessar suas áreas de trabalho e aplicativos na Área de Trabalho Virtual do Azure, vários componentes estão envolvidos para tornar essa conexão bem-sucedida. Há duas sequências separadas:

1. Descoberta de feed. O feed é a lista de desktops e aplicativos que estão disponíveis para o usuário.
2. Uma conexão usando o Protocolo de Área de Trabalho Remota para um host de sessão.

Descoberta de feed

Durante a descoberta do feed, as áreas de trabalho e os aplicativos disponíveis para o usuário são preenchidos no aplicativo em seu dispositivo local. O feed contém todas as informações necessárias para se conectar.

O processo de descoberta do feed é o seguinte:

1. O usuário pode estar localizado em qualquer lugar do mundo. O Gerenciador de Tráfego do Azure roteia o dispositivo do usuário para a instância mais próxima do serviço Web da Área de Trabalho Virtual do Azure com base no método de roteamento de tráfego geográfico, que usa o endereço IP de origem do dispositivo do usuário.

2. O serviço Web se conecta ao serviço de agente da Área de Trabalho Virtual do Azure na mesma região do Azure para recuperar os arquivos RDP e os ícones do aplicativo para o feed do usuário. O serviço de agente se conecta ao banco de dados geográfico da Área de Trabalho Virtual do Azure e ao diretório de recursos na mesma região para recuperar as informações.

3. O serviço do agente retorna os arquivos RDP e ícones de aplicativo para o serviço Web, que retorna as informações para o dispositivo do usuário.

   Aqui está um diagrama de alto nível mostrando o processo de descoberta do feed em uma única região do Azure:

   

   O banco de dados geográfico contém apenas as informações necessárias para áreas de trabalho e aplicativos de pools de host nas mesmas regiões do Azure cobertas pela geografia. Se o usuário for atribuído a áreas de trabalho ou aplicativos de um pool de hosts coberto por uma geografia diferente, o diretório de recursos informará ao serviço Web para se conectar ao serviço do agente e ao banco de dados geográfico na região correta do Azure.

   Aqui está um diagrama de alto nível mostrando o processo de descoberta de feed para um pool de hosts em uma região do Azure coberta por uma geografia diferente:

   

Conexão RDP

Quando um usuário se conecta a uma área de trabalho ou aplicativo do feed, a conexão RDP é estabelecida da seguinte maneira:

1. Todas as sessões remotas começam com uma conexão com o Azure Front Door, que fornece o ponto de entrada global para a Área de Trabalho Virtual do Azure. O Azure Front Door determina o serviço de gateway de Área de Trabalho Virtual do Azure com a menor latência para o dispositivo do usuário e direciona a conexão a ele

2. O serviço de gateway se conecta ao serviço de agente na mesma região do Azure. O serviço de gateway permite que os hosts de sessão estejam em qualquer região e ainda estejam acessíveis aos usuários.

3. O serviço do agente assume e orquestra a conexão entre o dispositivo do usuário e o host da sessão. O serviço de agente instrui o agente da Área de Trabalho Virtual do Azure em execução no host de sessão a se conectar ao mesmo serviço de gateway pelo qual o dispositivo do usuário se conectou.

4. Neste ponto, um dos dois tipos de conexão é feito, dependendo da configuração e dos protocolos de rede disponíveis:

   1. Transporte de conexão reversa: depois que o host do cliente e da sessão estiver conectado ao serviço de gateway, ele começará a retransmitir o tráfego RDP usando o Protocolo de Controle de Transmissão (TCP) entre o cliente e o host de sessão. O transporte de conexão reversa é o tipo de conexão padrão.

   2. Shortpath RDP: um transporte direto baseado em UDP (User Datagram Protocol) é criado entre o dispositivo do usuário e o host da sessão, ignorando o serviço de gateway.

Aqui está um diagrama de alto nível mostrando o processo de conexão RDP:

Dica

Você pode encontrar informações técnicas mais detalhadas sobre conectividade de rede em Reconhecimento da conectividade de rede da Área de Trabalho Virtual do Azure e do Shortpath RDP para Área de Trabalho Virtual do Azure.

Resiliência do serviço

A Área de Trabalho Virtual do Azure foi projetada para ser resiliente a falhas e fornecer um serviço confiável aos usuários. O serviço foi projetado para ser resiliente a falhas de componentes individuais e ser capaz de se recuperar de falhas rapidamente.

Os componentes gerenciados pela Microsoft da Área de Trabalho Virtual do Azure estão atualmente localizados em cerca de 40 regiões do Azure para serem mais próximos dos usuários e fornecerem um serviço resiliente. A resiliência foi implementada globalmente, geograficamente e em uma região do Azure das seguintes maneiras:

• O Gerenciador de Tráfego do Azure direciona o tráfego para o serviço Web e o Azure Front Door direciona o tráfego para o serviço de gateway. Se houver uma interrupção que faça com que o serviço Web ou o serviço de gateway não esteja disponível de uma região do Azure ou se houver uma interrupção de região completa, o tráfego será redirecionado para a próxima instância disponível mais próxima na região mais próxima. O redirecionamento do tráfego permite que os usuários ainda façam novas conexões.

• O banco de dados geográfico usa recursos de failover e replicação de dados do Banco de Dados SQL do Azure em cada geografia. Se houver uma interrupção de banco de dados, o banco de dados fará failover para a réplica secundária e a operação normal será retomada. Durante o failover, há um curto período de tempo em que novas conexões falham até que o failover seja concluído, no entanto, esse failover não afeta as conexões existentes.

• O diretório de recursos, o serviço de agente, o serviço Web e o serviço de gateway estão todos disponíveis em cada uma das regiões do Azure em que os componentes gerenciados pela Microsoft para a Área de Trabalho Virtual do Azure estão localizados. Cada componente tem várias instâncias para que não haja um único ponto de falha. Em cada região do Azure, há pelo menos seis instâncias ou clusters distintos e separados de cada componente que operam independentemente para suportar falhas de instância.

  Por exemplo, uma região tem instâncias suficientes do serviço de gateway para atender à demanda, mas também com capacidade suficiente para acomodar falhas dessas instâncias. Se uma instância do serviço de gateway falhar, todas as conexões RDP baseadas em TCP que estão sendo retransmitidas por essa instância específica do serviço de gateway serão descartadas. Quando esses usuários desconectados se reconectam, as instâncias restantes lidam com solicitações e reconectam cada usuário à sessão existente. Todas as outras sessões manipuladas por outras instâncias do serviço de gateway não são afetadas.

Aqui está um diagrama de alto nível mostrando como os componentes gerenciados pela Microsoft são interconectados:

Os outros serviços do Azure nos quais a Área de Trabalho Virtual do Azure depende são projetados para serem resilientes e confiáveis. Para obter mais informações, consulte o Gerenciador de Tráfego do Azure e o Azure Front Door.

Alcance global

A Área de Trabalho Virtual do Azure é um serviço que pode ajudar as organizações a se adaptarem às demandas de seus trabalhadores, especialmente trabalhando remotamente. Ela fornece uma maneira segura, confiável e flexível de fornecer desktops e aplicativos praticamente em qualquer lugar. A Área de Trabalho Virtual do Azure foi projetada para ser resiliente, usando recursos e serviços do Azure que ajudam a garantir um serviço altamente disponível para suas cargas de trabalho.

Aqui está um mapa demonstrando o alcance global da Área de Trabalho Virtual do Azure:

Conteúdo relacionado

Para saber mais sobre os locais que a Área de Trabalho Virtual do Azure armazenou dados para objetos de serviço, consulte os locais de dados da Área de Trabalho Virtual do Azure.