A Área de Trabalho Virtual do Azure é um serviço de virtualização de área de trabalho e aplicativo que é executado no Azure. Este artigo destina-se a ajudar arquitetos de infraestrutura de desktop, arquitetos de nuvem, administradores de área de trabalho e administradores de sistema a explorar a Área de Trabalho Virtual do Azure e criar soluções de infraestrutura de área de trabalho virtualizada (VDI) em escala empresarial. As soluções em escala empresarial geralmente abrangem 1.000 ou mais desktops virtuais.
Arquitetura
Uma configuração arquitetônica típica para a Área de Trabalho Virtual do Azure é ilustrada no diagrama a seguir:
Transfira um ficheiro do Visio desta arquitetura.
Fluxo de dados
Os elementos de fluxo de dados do diagrama são descritos aqui:
Os pontos de extremidade do aplicativo estão na rede local de um cliente. O Azure ExpressRoute estende a rede local para o Azure e o Microsoft Entra Connect integra os Serviços de Domínio Ative Directory (AD DS) do cliente com o Microsoft Entra ID.
O plano de controle da Área de Trabalho Virtual do Azure lida com acesso à Web, gateway, broker, diagnóstico e componentes de extensibilidade, como APIs REST.
O cliente gerencia o AD DS e o Microsoft Entra ID, assinaturas do Azure, redes virtuais, Arquivos do Azure ou Arquivos NetApp do Azure e os pools de hosts e espaços de trabalho da Área de Trabalho Virtual do Azure.
Para aumentar a capacidade, o cliente usa duas assinaturas do Azure em uma arquitetura hub-spoke e as conecta por meio de emparelhamento de rede virtual.
Para obter mais informações sobre as práticas recomendadas do FSLogix Profile Container - Azure Files e Azure NetApp Files, consulte Exemplos de configuração do FSLogix.
Componentes
A arquitetura do serviço de Área de Trabalho Virtual do Azure é semelhante aos Serviços de Área de Trabalho Remota do Windows Server. Embora a Microsoft gerencie a infraestrutura e os componentes de corretagem, os clientes corporativos gerenciam suas próprias máquinas virtuais (VMs) de host de desktop, dados e clientes.
Componentes que a Microsoft gerencia
A Microsoft gerencia os seguintes serviços de Área de Trabalho Virtual do Azure, como parte do Azure:
Acesso Web: Ao utilizar o serviço de Acesso Web no Ambiente de Trabalho Virtual do Azure, pode aceder a ambientes de trabalho virtuais e aplicações remotas através de um browser compatível com HTML5, tal como faria com um PC local, a partir de qualquer lugar e em qualquer dispositivo. Você pode proteger o acesso à Web usando a autenticação multifator no Microsoft Entra ID.
Gateway: O serviço Gateway de Ligação Remota liga utilizadores remotos a aplicações e ambientes de trabalho do Ambiente de Trabalho Virtual do Azure a partir de qualquer dispositivo ligado à Internet que possa executar um cliente de Ambiente de Trabalho Virtual do Azure. O cliente se conecta a um gateway, que orquestra uma conexão de uma VM de volta ao mesmo gateway.
Agente de Conexão: o serviço Agente de Conexão gerencia conexões de usuário com áreas de trabalho virtuais e aplicativos remotos. O Agente de Conexão fornece balanceamento de carga e reconexão com sessões existentes.
Diagnóstico: o Diagnóstico de Área de Trabalho Remota é um agregador baseado em eventos que marca cada ação do usuário ou administrador na implantação da Área de Trabalho Virtual do Azure como um sucesso ou falha. Os administradores podem consultar a agregação de eventos para identificar componentes com falha.
Componentes de extensibilidade: a Área de Trabalho Virtual do Azure inclui vários componentes de extensibilidade. Você pode gerenciar a Área de Trabalho Virtual do Azure usando o Windows PowerShell ou com as APIs REST fornecidas, que também habilitam o suporte de ferramentas de terceiros.
Componentes que você gerencia
Você gerencia os seguintes componentes das soluções de Área de Trabalho Virtual do Azure:
Rede Virtual do Azure: Com a Rede Virtual do Azure, os recursos do Azure, como VMs, podem se comunicar de forma privada entre si e com a Internet. Ao conectar pools de hosts da Área de Trabalho Virtual do Azure a um domínio do Ative Directory, você pode definir a topologia de rede para acessar áreas de trabalho virtuais e aplicativos virtuais da intranet ou da Internet, com base na política organizacional. Você pode conectar uma instância da Área de Trabalho Virtual do Azure a uma rede local usando uma rede virtual privada (VPN) ou pode usar a Rota Expressa do Azure para estender a rede local para o Azure por meio de uma conexão privada.
Microsoft Entra ID: A Área de Trabalho Virtual do Azure usa o Microsoft Entra ID para gerenciamento de identidade e acesso. A integração do Microsoft Entra aplica recursos de segurança do Microsoft Entra, como acesso condicional, autenticação multifator e Gráfico de Segurança Inteligente, e ajuda a manter a compatibilidade de aplicativos em VMs ingressadas no domínio.
Serviços de Domínio Ative Directory (Opcional): as VMs da Área de Trabalho Virtual do Azure podem ingressar no domínio a um serviço AD DS ou usar Implantar máquinas virtuais associadas ao Microsoft Entra na Área de Trabalho Virtual do Azure
- Ao usar um domínio AD DS, o domínio deve estar sincronizado com o Microsoft Entra ID para associar usuários entre os dois serviços. Você pode usar o Microsoft Entra Connect para associar o AD DS à ID do Microsoft Entra.
- Ao usar a associação do Microsoft Entra, revise as configurações suportadas para garantir que seu cenário seja suportado.
Hosts de sessão da Área de Trabalho Virtual do Azure: os hosts de sessão são VMs às quais os usuários se conectam para suas áreas de trabalho e aplicativos. Várias versões do Windows são suportadas e você pode criar imagens com seus aplicativos e personalizações. Você pode escolher tamanhos de VM, incluindo VMs habilitadas para GPU. Cada host de sessão tem um agente de host da Área de Trabalho Virtual do Azure, que registra a VM como parte do espaço de trabalho ou locatário da Área de Trabalho Virtual do Azure. Cada pool de hosts pode ter um ou mais grupos de aplicativos, que são coleções de aplicativos remotos ou sessões de área de trabalho que você pode acessar. Para ver quais versões do Windows são suportadas, consulte Sistemas operacionais e licenças.
Espaço de trabalho da Área de Trabalho Virtual do Azure: O espaço de trabalho ou locatário da Área de Trabalho Virtual do Azure é uma construção de gerenciamento para gerenciar e publicar recursos do pool de hosts.
Detalhes do cenário
Potenciais casos de utilização
A maior demanda por soluções de desktop virtual corporativo vem de:
Aplicações de segurança e regulação, como serviços financeiros, cuidados de saúde e governo.
Necessidades elásticas da força de trabalho, como trabalho remoto, fusões e aquisições, funcionários de curto prazo, contratados e acesso a parceiros.
Funcionários específicos, como traga seu próprio dispositivo (BYOD) e usuários móveis, call centers e funcionários de filiais.
Cargas de trabalho especializadas, como design e engenharia, aplicativos legados e testes de desenvolvimento de software.
Ambientes de trabalho pessoais e agrupados
Usando soluções de área de trabalho pessoal, às vezes chamadas de áreas de trabalho persistentes, os usuários sempre podem se conectar ao mesmo host de sessão específico. Normalmente, os usuários podem modificar sua experiência na área de trabalho para atender às preferências pessoais e podem salvar arquivos no ambiente da área de trabalho. Soluções de ambiente de trabalho pessoal:
- Permita que os usuários personalizem seu ambiente de desktop, incluindo aplicativos instalados pelo usuário, e os usuários podem salvar arquivos no ambiente de desktop.
- Permita atribuir recursos dedicados a usuários específicos, o que pode ser útil para alguns casos de uso de fabricação ou desenvolvimento.
As soluções de área de trabalho em pool, também chamadas de áreas de trabalho não persistentes, atribuem usuários a qualquer host de sessão disponível no momento, dependendo do algoritmo de balanceamento de carga. Como os usuários nem sempre retornam ao mesmo host de sessão cada vez que se conectam, eles têm capacidade limitada de personalizar o ambiente da área de trabalho e geralmente não têm acesso de administrador.
Manutenção do Windows
Há várias opções para atualizar instâncias da Área de Trabalho Virtual do Azure. A implantação de uma imagem atualizada todos os meses garante a conformidade e o estado.
- O Microsoft Endpoint Configuration Manager (MECM) atualiza os sistemas operacionais de servidor e desktop.
- O Windows Updates for Business atualiza os sistemas operacionais da área de trabalho, como o Windows 10 com várias sessões.
- O Azure Update Management atualiza os sistemas operacionais do servidor.
- O Azure Log Analytics verifica a conformidade.
- Implante uma nova imagem (personalizada) em hosts de sessão todos os meses para obter as atualizações mais recentes do Windows e de aplicativos. Você pode usar uma imagem do Azure Marketplace ou uma imagem personalizada gerenciada pelo Azure.
Relações entre os principais componentes lógicos
As relações entre pools de hosts, espaços de trabalho e outros componentes lógicos importantes variam. Eles estão resumidos no diagrama a seguir:
Os números nas descrições a seguir correspondem aos do diagrama anterior.
- (1) Um grupo de aplicativos que contém uma área de trabalho publicada só pode conter pacotes MSIX montados no pool de hosts (os pacotes estarão disponíveis no menu Iniciar do host da sessão), não pode conter outros recursos publicados e é chamado de grupo de aplicativos de desktop.
- (2) Os grupos de aplicativos atribuídos ao mesmo pool de hosts devem ser membros do mesmo espaço de trabalho.
- (3) Uma conta de utilizador pode ser atribuída a um grupo de aplicações diretamente ou através de um grupo Microsoft Entra. É possível atribuir nenhum usuário a um grupo de aplicativos, mas ele não pode atender nenhum.
- (4) É possível ter um espaço de trabalho vazio, mas não pode atender usuários.
- (5) É possível ter um pool de hosts vazio, mas ele não pode atender usuários.
- (6) É possível que um pool de hosts não tenha nenhum grupo de aplicativos atribuído a ele, mas não pode atender usuários.
- (7) A ID do Microsoft Entra é necessária para a Área de Trabalho Virtual do Azure. Isso ocorre porque as contas de usuário e grupos do Microsoft Entra sempre devem ser usados para atribuir usuários a grupos de aplicativos da Área de Trabalho Virtual do Azure. A ID do Microsoft Entra também é usada para autenticar usuários no serviço de Área de Trabalho Virtual do Azure. Os hosts de sessão da Área de Trabalho Virtual do Azure também podem ser membros de um domínio do Microsoft Entra e, nessa situação, os aplicativos e sessões de área de trabalho publicados pela Área de Trabalho Virtual do Azure também serão iniciados e executados (não apenas atribuídos) usando contas do Microsoft Entra.
- (7) Como alternativa, os hosts de sessão da Área de Trabalho Virtual do Azure podem ser membros de um domínio do AD DS e, nessa situação, os aplicativos publicados pela Área de Trabalho Virtual do Azure e as sessões da área de trabalho serão iniciados e executados (mas não atribuídos) usando contas do AD DS. Para reduzir a sobrecarga administrativa e de usuários, o AD DS pode ser sincronizado com o Microsoft Entra ID por meio do Microsoft Entra Connect.
- (7) Finalmente, os anfitriões de sessão do Ambiente de Trabalho Virtual do Azure podem, em vez disso, ser membros de um domínio dos Serviços de Domínio Microsoft Entra e, nesta situação, as aplicações e sessões de ambiente de trabalho publicadas no Ambiente de Trabalho Virtual do Azure serão iniciadas e executadas (mas não atribuídas) utilizando contas dos Serviços de Domínio Microsoft Entra. O Microsoft Entra ID é sincronizado automaticamente com os Serviços de Domínio Microsoft Entra, de uma forma, apenas do Microsoft Entra ID para os Serviços de Domínio Microsoft Entra.
| Recurso | Objetivo | Relações lógicas |
|---|---|---|
| Área de trabalho publicada | Um ambiente de área de trabalho do Windows que é executado em hosts de sessão da Área de Trabalho Virtual do Azure e é entregue aos usuários pela rede | Membro de um único grupo de candidaturas (1) |
| Aplicação publicada | Um aplicativo do Windows que é executado em hosts de sessão da Área de Trabalho Virtual do Azure e é entregue aos usuários pela rede | Membro de um único grupo de candidaturas |
| Grupo de aplicação | Um agrupamento lógico de aplicativos publicados ou uma área de trabalho publicada | - Contém um ambiente de trabalho publicado (1) ou uma ou mais aplicações publicadas - Atribuído a um e apenas um grupo de anfitriões (2) - Membro de um único espaço de trabalho (2) - Uma ou mais contas de usuário ou grupos do Microsoft Entra são atribuídos a ele (3) |
| Conta/grupo de usuário do Microsoft Entra | Identifica os usuários que têm permissão para iniciar desktops ou aplicativos publicados | - Membro de um e apenas um Microsoft Entra ID - Atribuído a um ou mais grupos de aplicação (3) |
| ID do Microsoft Entra (7) | Fornecedor de identidade | - Contém uma ou mais contas de usuário ou grupos, que devem ser usados para atribuir usuários a grupos de aplicativos e também podem ser usados para fazer login nos hosts de sessão - Pode manter as associações dos anfitriões da sessão - Pode ser sincronizado com AD DS ou Microsoft Entra Domain Services |
| AD DS (7) | Provedor de identidade e serviços de diretório | - Contém uma ou mais contas de usuário ou grupos, que podem ser usados para fazer login nos hosts da sessão - Pode manter as associações dos anfitriões da sessão - Pode ser sincronizado com o Microsoft Entra ID |
| Serviços de domínio Microsoft Entra (7) | Provedor de identidade e serviços de diretório baseado em plataforma como serviço (PaaS) | - Contém uma ou mais contas de usuário ou grupos, que podem ser usados para fazer login nos hosts da sessão - Pode manter as associações dos anfitriões da sessão - Sincronizado com o Microsoft Entra ID |
| Área de trabalho | Um agrupamento lógico de grupos de aplicativos | Contém um ou mais grupos de aplicações (4) |
| Conjunto de anfitriões | Um grupo de anfitriões de sessão idênticos que servem um propósito comum | - Contém um ou mais anfitriões de sessão (5) - São-lhe atribuídos um ou mais grupos de candidaturas (6) |
| Anfitrião da sessão | Uma máquina virtual que hospeda áreas de trabalho ou aplicativos publicados | Membro de um único grupo de anfitriões |
Considerações
Essas considerações implementam os pilares do Azure Well-Architected Framework, que é um conjunto de princípios orientadores que podem ser usados para melhorar a qualidade de uma carga de trabalho. Para obter mais informações, consulte Microsoft Azure Well-Architected Framework.
Os números nas seções a seguir são aproximados. Eles são baseados em uma variedade de implantações de grandes clientes e estão sujeitos a alterações ao longo do tempo.
Além disso, note que:
- Não é possível criar mais de 500 grupos de aplicativos por único locatário do Microsoft Entra*.
- Recomendamos que você não publique mais de 50 aplicativos por grupo de aplicativos.
Limitações da Área de Trabalho Virtual do Azure
A Área de Trabalho Virtual do Azure, assim como o Azure, tem certas limitações de serviço das quais você precisa estar ciente. Para evitar ter que fazer alterações na fase de dimensionamento, é uma boa ideia abordar algumas dessas limitações durante a fase de design.
| Objeto da Área de Trabalho Virtual do Azure | Por objeto de contêiner pai | Limite do serviço |
|---|---|---|
| Área de trabalho | Inquilino do Microsoft Entra | 1300 |
| HostPool | Área de trabalho | 400 |
| Grupo de aplicação | Inquilino do Microsoft Entra | 500* |
| RemoteApp | Grupo de aplicação | 500 |
| Atribuição de função | Qualquer objeto da Área de Trabalho Virtual do Azure | 200 |
| Anfitrião da sessão | HostPool | 10.000 |
*Se você precisar de mais de 500 grupos de aplicativos, envie um tíquete de suporte por meio do portal do Azure.
- Recomendamos que você implante no máximo 5.000 VMs por assinatura do Azure por região. Esta recomendação aplica-se a pools de hosts pessoais e em pool, com base no Windows Enterprise de sessão única e múltipla. A maioria dos clientes usa o Windows Enterprise com várias sessões, que permite que vários usuários façam logon em cada VM. Você pode aumentar os recursos de VMs individuais de host de sessão para acomodar mais sessões de usuário.
- Para ferramentas automatizadas de dimensionamento de host de sessão, os limites são de cerca de 2.500 VMs por assinatura do Azure por região, porque a interação de status da VM consome mais recursos.
- Para gerenciar ambientes corporativos com mais de 5.000 VMs por assinatura do Azure na mesma região, você pode criar várias assinaturas do Azure em uma arquitetura hub-spoke e conectá-las por meio de emparelhamento de rede virtual (usando uma assinatura por raio). Você também pode implantar VMs em uma região diferente na mesma assinatura para aumentar o número de VMs.
- Os limites de limitação da API de assinatura do Azure Resource Manager (ARM) não permitem mais de 600 reinicializações de VM do Azure por hora por meio do portal do Azure. Você pode reinicializar todas as suas máquinas de uma só vez por meio do sistema operacional, que não consome nenhuma chamada de API de assinatura do Azure Resource Manager. Para obter mais informações sobre contagem e solução de problemas de limites de limitação com base em sua assinatura do Azure, consulte Solucionar problemas de erros de limitação de API.
- Atualmente, você pode implantar até 132 VMs em uma única implantação de modelo ARM no portal da Área de Trabalho Virtual do Azure. Para criar mais de 132 VMs, execute a implantação do modelo ARM no portal da Área de Trabalho Virtual do Azure várias vezes.
- Os prefixos de nome de host de sessão da VM do Azure não podem exceder 11 caracteres, devido à atribuição automática de nomes de instância e ao limite NetBIOS de 15 caracteres por conta de computador.
- Por padrão, você pode implantar até 800 instâncias da maioria dos tipos de recursos em um grupo de recursos. O Azure Compute não tem esse limite.
Para obter mais informações sobre limitações de assinatura do Azure, consulte Limites de assinatura, cotas e restrições de serviço e assinatura do Azure.
Dimensionamento de VM
As diretrizes de dimensionamento de máquina virtual listam o número máximo sugerido de usuários por unidade de processamento central virtual (vCPU) e as configurações mínimas de VM para diferentes cargas de trabalho. Esses dados ajudam a estimar as VMs de que você precisa em seu pool de hosts.
Use ferramentas de simulação para testar implantações com testes de estresse e simulações de uso da vida real. Certifique-se de que o sistema é responsivo e resiliente o suficiente para atender às necessidades do usuário e lembre-se de variar os tamanhos de carga ao testar.
Otimização de custos
A otimização de custos consiste em procurar formas de reduzir despesas desnecessárias e melhorar a eficiência operacional. Para obter mais informações, consulte Visão geral do pilar de otimização de custos.
Você pode arquitetar sua solução de Área de Trabalho Virtual do Azure para obter economias de custos. Aqui estão cinco opções diferentes para ajudar a gerenciar os custos para as empresas:
- Windows 10 multi-sessão: Ao fornecer uma experiência de área de trabalho de várias sessões para usuários com requisitos de computação idênticos, você pode permitir que mais usuários façam login em uma única VM de uma só vez, uma abordagem que pode resultar em economias de custos consideráveis.
- Benefício Híbrido do Azure: Se você tiver o Software Assurance, poderá usar o Benefício Híbrido do Azure para Windows Server para economizar no custo de sua infraestrutura do Azure.
- Instâncias de VM Reservadas do Azure: você pode pagar antecipadamente pelo uso da VM e economizar dinheiro. Combine as Instâncias de VM Reservadas do Azure com o Benefício Híbrido do Azure para obter até 80% de economia em relação aos preços de tabela.
- Balanceamento de carga do host de sessão: quando você está configurando hosts de sessão, o modo amplitude-primeiro , que distribui os usuários aleatoriamente pelos hosts de sessão, é o modo padrão padrão. Como alternativa, você pode usar o modo depth-first para preencher um servidor host de sessão com o número máximo de usuários antes que ele passe para o próximo host de sessão. Você pode ajustar essa configuração para obter o máximo de custo-benefício.
Implementar este cenário
Use os modelos ARM para automatizar a implantação do seu ambiente de Área de Trabalho Virtual do Azure. Esses modelos ARM dão suporte apenas aos objetos da Área de Trabalho Virtual do Azure do Azure Resource Manager. Estes modelos ARM não suportam o Ambiente de Trabalho Virtual do Azure (clássico).
Contribuidores
Este artigo é mantido pela Microsoft. Foi originalmente escrito pelos seguintes contribuidores.
Autor principal:
- Tom Hickling - Brasil | Gerente de Produto Sênior, Engenharia de Área de Trabalho Virtual do Azure
Outros contribuidores:
- Nelson Del Villar - Brasil | Arquiteto de Soluções na Nuvem, Infraestrutura Principal do Azure
Próximos passos
- As integrações de parceiros da Área de Trabalho Virtual do Azure listam os provedores de parceiros aprovados da Área de Trabalho Virtual do Azure e os fornecedores independentes de software.
- Use a Ferramenta de Otimização de Área de Trabalho Virtual para ajudar a otimizar o desempenho em um ambiente de VDI (infraestrutura de área de trabalho virtual) do Windows 10 Enterprise.
- Consulte Implantar máquinas virtuais unidas ao Microsoft Entra na Área de Trabalho Virtual do Azure.
- Saiba mais sobre os Serviços de Domínio Ative Directory.
- O que é o Microsoft Entra Connect?
Recursos relacionados
- Para obter mais informações sobre a arquitetura de várias florestas do Ative Directory, consulte Arquitetura de várias florestas do Ative Directory na Área de Trabalho Virtual do Azure.