Considerações de rede e conectividade para cargas de trabalho do Azure Virtual Desktop
Este artigo aborda a área de design de rede e conectividade de uma carga de trabalho do Azure Virtual Desktop. É fundamental conceber e implementar capacidades de rede do Azure para a zona de destino do Azure Virtual Desktop. Como base, este artigo utiliza vários princípios e recomendações de arquitetura de zonas de destino à escala empresarial do Azure Well-Architected Framework. Ao basear-se nesta documentação de orientação, este artigo mostra-lhe como gerir a topologia de rede e a conectividade em escala.
Importante
Este artigo faz parte da série de cargas de trabalho do Azure Well-Architected Framework do Azure Virtual Desktop . Se não estiver familiarizado com esta série, recomendamos que comece com O que é uma carga de trabalho do Azure Virtual Desktop?.
Latência do cliente
Impacto: Eficiência de Desempenho
A latência entre utilizadores finais e anfitriões de sessão é um aspeto fundamental que afeta a experiência de utilizador do Azure Virtual Desktop. Pode utilizar a ferramenta Avaliador de Experiências de Ambiente de Trabalho Virtual do Azure para ajudar a estimar os tempos de ida e volta da ligação (RTTs). Especificamente, esta ferramenta estima os RTTs das localizações dos utilizadores através do serviço Azure Virtual Desktop para cada região do Azure na qual implementa máquinas virtuais (VMs).
Para avaliar a qualidade da sua experiência de utilizador final:
- Testar latências ponto a ponto em ambientes de desenvolvimento, teste e prova de conceito. Este teste deve ter em conta a experiência real dos seus utilizadores. Deve considerar fatores como condições de rede, dispositivos de utilizador final e a configuração das VMs implementadas.
- Tenha em atenção que a latência é apenas um aspeto da conectividade com protocolos remotos. A largura de banda e a carga de trabalho do utilizador também afetam a sua experiência de utilizador final.
Recomendações
- Utilize o Avaliador da Experiência de Ambiente de Trabalho Virtual do Azure para recolher valores de latência estimados.
- Testar latências das redes virtuais do Azure para os seus sistemas no local.
- Utilize um túnel dividido baseado no Protocolo UDP (User Datagram Protocol) para clientes que utilizam uma ligação VPN ponto a site (P2S).
- Utilize o Protocolo RDP (Remote Desktop Protocol) com uma rede gerida para clientes no local que utilizam uma VPN ou o Azure ExpressRoute.
Conectividade no local (redes híbridas)
Impacto: Eficiência de Desempenho, Excelência Operacional
Algumas organizações utilizam modelos híbridos que incluem recursos no local e na cloud. Em muitos casos híbridos, os fluxos de trabalho do utilizador final que são executados no Azure Virtual Desktop têm de aceder a recursos no local, como serviços partilhados ou de plataforma, dados ou aplicações.
Quando implementar redes híbridas, reveja as melhores práticas e recomendações no artigo Cloud Adoption Framework Topologia de rede e conectividade.
É importante alinhar com o modelo de dimensionamento do Azure Virtual Desktop descrito em Integrar uma carga de trabalho do Azure Virtual Desktop com zonas de destino do Azure. Para seguir este modelo:
- Avalie os requisitos de latência e largura de banda dos fluxos de trabalho do Azure Virtual Desktop que se ligam a sistemas no local. Estas informações são cruciais quando estrutura a arquitetura de rede híbrida.
- Certifique-se de que não existem endereços IP sobrepostos entre as sub-redes do Azure Virtual Desktop e as redes no local. Recomendamos que atribua a tarefa de endereçamento IP aos arquitetos de rede que são os proprietários da sua subscrição de conectividade.
- Atribua a cada zona de destino do Azure Virtual Desktop a sua própria rede virtual e configuração de sub-rede.
- Dimensione as sub-redes adequadamente ao considerar um potencial crescimento quando determinar a quantidade de espaço de endereços IP necessário.
- Utilize a notação de encaminhamento entre domínios (CIDR) sem classe ip inteligente para evitar desperdiçar espaço de endereços IP.
Recomendações
- Veja as melhores práticas para ligar redes virtuais do Azure a sistemas no local.
- Testar latências das redes virtuais do Azure para os seus sistemas no local.
- Certifique-se de que não são utilizados endereços IP sobrepostos na zona de destino do Azure Virtual Desktop.
- Atribua a cada zona de destino do Azure Virtual Desktop a sua própria rede virtual e configuração de sub-rede.
- Considere o potencial crescimento ao dimensionar as sub-redes do Azure Virtual Desktop.
Conectividade de várias regiões
Impacto: Eficiência de Desempenho, Otimização de Custos
Para que a implementação de várias regiões do Azure Virtual Desktop ofereça a melhor experiência possível aos seus utilizadores finais, a sua estrutura tem de ter em consideração os seguintes fatores:
- Serviços de plataforma, como identidade, resolução de nomes, conectividade híbrida e serviços de armazenamento. A conectividade dos anfitriões de sessões do Azure Virtual Desktop a estes serviços é fundamental para que o serviço seja funcional. Como resultado, o design ideal visa reduzir a latência das sub-redes da zona de destino do Azure Virtual Desktop para estes serviços. Pode atingir este objetivo ao replicar serviços para cada região ou disponibilizá-los através da ligação com a latência mais baixa possível.
- Latência do utilizador final. Quando seleciona localizações a utilizar para uma implementação de várias regiões do Azure Virtual Desktop, é importante ter em conta a latência que os utilizadores experimentam quando se ligam ao serviço. Recomendamos que recolha dados de latência da população do utilizador final com o Avaliador de Experiências de Ambiente de Trabalho Virtual do Azure quando selecionar regiões do Azure para implementar os anfitriões de sessão.
Considere também os seguintes fatores:
- Dependências de aplicações entre regiões.
- Disponibilidade do SKU da VM.
- Custos de rede associados à saída da Internet, tráfego entre regiões e tráfego híbrido (no local) necessário para a sua aplicação ou dependências de carga de trabalho.
- A carga adicional que a funcionalidade de cache da cloud do FSLogix coloca em rede. Este fator só é relevante se utilizar esta funcionalidade para replicar dados de perfil de utilizador entre diferentes regiões. Considere também o custo do aumento do tráfego de rede e do armazenamento que esta funcionalidade utiliza.
Se possível, utilize SKUs de VM que oferecem redes aceleradas. Nas cargas de trabalho que utilizam largura de banda elevada, as redes aceleradas podem reduzir a utilização e a latência da CPU.
A largura de banda disponível da sua rede afeta significativamente a qualidade das suas sessões remotas. Como resultado, é uma boa prática avaliar os requisitos de largura de banda de rede para os utilizadores garantirem que existe largura de banda suficiente disponível para dependências no local.
Recomendações
- Replicar serviços partilhados e de plataforma para cada região sempre que as suas políticas internas o permitirem.
- Utilize SKUs de VM que oferecem redes aceleradas, se possível.
- Inclua estimativas de latência do utilizador final no processo de seleção da região.
- Tenha em conta os tipos de carga de trabalho quando estimar os requisitos de largura de banda e monitorize as ligações de utilizador real.
Segurança da rede
Impacto: Segurança, Otimização de Custos, Excelência Operacional
Tradicionalmente, a segurança de rede tem sido o eixo principal dos esforços de segurança empresarial. Mas a computação na cloud aumentou a necessidade de os perímetros de rede serem mais porosos e muitos atacantes dominaram a arte dos ataques a elementos do sistema de identidade. Os seguintes pontos fornecem uma descrição geral dos requisitos mínimos de firewall para implementar o Azure Virtual Desktop. Esta secção também fornece recomendações para ligar a uma firewall e aceder às aplicações que necessitam deste serviço.
- Os controlos de rede tradicionais baseados numa abordagem de intranet fidedigna não fornecem efetivamente garantias de segurança para aplicações na cloud.
- Integrar registos de dispositivos de rede e tráfego de rede não processado proporciona visibilidade sobre potenciais ameaças de segurança.
- A maioria das organizações acaba por adicionar mais recursos às redes do que o inicialmente planeado. Como resultado, os esquemas de endereços IP e sub-redes têm de ser refatorizar para acomodar os recursos adicionais. Este processo é de mão-de-obra intensiva. Existe um valor de segurança limitado na criação de um grande número de sub-redes pequenas e, em seguida, na tentativa de mapear controlos de acesso à rede, como grupos de segurança, para cada uma delas.
Para obter informações gerais sobre como proteger recursos ao colocar controlos no tráfego de rede, veja Recomendações para rede e conectividade.
Recomendações
- Compreenda as configurações necessárias para utilizar Azure Firewall na sua implementação. Para obter mais informações, veja Utilizar Azure Firewall para proteger implementações do Azure Virtual Desktop.
- Crie grupos de segurança de rede e grupos de segurança de aplicações para segmentar o tráfego do Azure Virtual Desktop. Esta prática ajuda-o a isolar as sub-redes ao controlar os respetivos fluxos de tráfego.
- Utilize etiquetas de serviço em vez de endereços IP específicos para serviços do Azure. Uma vez que os endereços mudam, esta abordagem minimiza a complexidade da atualização frequente das regras de segurança de rede.
- Familiarize-se com os URLs necessários para o Azure Virtual Desktop.
- Utilize uma tabela de rotas para permitir que o tráfego do Azure Virtual Desktop ignore quaisquer regras de túnel forçadas que utilize para encaminhar o tráfego para uma firewall ou aplicação virtual de rede (NVA). Caso contrário, o túnel forçado pode afetar o desempenho e a fiabilidade da conectividade dos seus clientes.
- Utilize pontos finais privados para ajudar a proteger soluções de plataforma como serviço (PaaS), como Ficheiros do Azure e Key Vault do Azure. Mas considere o custo da utilização de pontos finais privados.
- Ajuste as opções de configuração para Azure Private Link. Quando utiliza este serviço com o Azure Virtual Desktop, pode desativar os pontos finais públicos para componentes do plano de controlo do Azure Virtual Desktop e utilizar pontos finais privados para evitar a utilização de endereços IP públicos.
- Implemente políticas de firewall rigorosas se utilizar Active Directory Domain Services (AD DS). Baseie essas políticas no tráfego necessário em todo o seu domínio.
- Considere utilizar Azure Firewall ou a filtragem Web da NVA para ajudar a proteger o acesso dos seus utilizadores finais à Internet a partir de anfitriões de sessões do Azure Virtual Desktop.
Pontos finais privados (Private Link)
Impacto: Segurança
Por predefinição, as ligações aos recursos do Azure Virtual Desktop são estabelecidas através de um ponto final acessível publicamente. Em alguns cenários, o tráfego tem de utilizar ligações privadas. Estes cenários podem utilizar Private Link para ligar em privado a recursos remotos do Azure Virtual Desktop. Para obter mais informações, veja Azure Private Link com o Azure Virtual Desktop. Quando cria um ponto final privado, o tráfego entre a rede virtual e o serviço permanece na rede da Microsoft. O seu serviço não está exposto à Internet pública.
Pode utilizar pontos finais privados do Azure Virtual Desktop para suportar os seguintes cenários:
- Os clientes, os utilizadores finais e as VMs do anfitrião da sessão utilizam rotas privadas.
- Os seus clientes, ou utilizadores finais, utilizam rotas públicas enquanto as VMs do anfitrião de sessões utilizam rotas privadas.
Os anfitriões de sessões do Azure Virtual Desktop têm os mesmos requisitos de resolução de nomes que qualquer outra infraestrutura como um serviço (IaaS). Como resultado, os anfitriões de sessão requerem conectividade aos serviços de resolução de nomes configurados para resolver endereços IP de ponto final privado. Consequentemente, quando utiliza pontos finais privados, tem de configurar definições DNS específicas. Para obter informações detalhadas, veja Configuração do DNS do ponto final privado do Azure.
Private Link também está disponível para outros serviços do Azure que funcionam em conjunto com o Azure Virtual Desktop, como Ficheiros do Azure e Key Vault. Recomendamos que implemente também pontos finais privados para estes serviços para manter o tráfego privado.
Recomendações
- Compreender como Private Link funciona com o Azure Virtual Desktop. Para obter mais informações, veja Azure Private Link com o Azure Virtual Desktop.
- Compreenda as configurações de DNS necessárias para os pontos finais privados do Azure. Para obter mais informações, veja Configuração do DNS do ponto final privado do Azure.
RDP Shortpath
Impacto: Eficiência de Desempenho, Otimização de Custos
O RDP Shortpath é uma funcionalidade do Azure Virtual Desktop que está disponível para redes geridas e não geridas.
- Para redes geridas, o RDP Shortpath estabelece uma ligação direta entre um cliente de ambiente de trabalho remoto e um anfitrião de sessão. O transporte baseia-se no UDP. Ao remover pontos de reencaminhamento adicionais, o RDP Shortpath reduz o tempo de ida e volta, o que melhora a experiência do utilizador em aplicações sensíveis à latência e métodos de entrada. Para suportar o RDP Shortpath, um cliente do Azure Virtual Desktop precisa de uma linha de visão direta para o anfitrião da sessão. O cliente também precisa de instalar o cliente de Ambiente de Trabalho do Windows e executar Windows 11 ou Windows 10.
- Para redes não geridas, são possíveis dois tipos de ligação:
- A conectividade direta é estabelecida entre o cliente e o anfitrião da sessão. O percurso simples por baixo da tradução de endereços de rede (STUN) e do estabelecimento de conectividade interativa (ICE) são utilizados para estabelecer a ligação. Esta configuração melhora a fiabilidade do transporte para o Azure Virtual Desktop. Para obter mais informações, veja Como funciona o RDP Shortpath.
- É estabelecida uma ligação UDP indireta. Supera as limitações de tradução de endereços de rede (NAT) através do protocolo Traversal Using Relay NAT (TURN) com um reencaminhamento entre o cliente e o anfitrião de sessão.
Com o transporte baseado no Protocolo de Controlo de Transmissão (TCP), o tráfego de saída de uma VM para um cliente RDP flui através de um gateway do Azure Virtual Desktop. Com o RDP Shortpath, o tráfego de saída flui diretamente entre o anfitrião da sessão e o cliente RDP através da Internet. Esta configuração ajuda a eliminar um salto e a melhorar a latência e a experiência do utilizador final.
Recomendações
- Utilize o RDP Shortpath para ajudar a melhorar a latência e a sua experiência de utilizador final.
- Tenha em atenção a disponibilidade dos modelos de ligação RDP Shortpath.
- Tenha em atenção os custos do RDP Shortpath.
Passos seguintes
Agora que examinou a rede e a conectividade no Azure Virtual Desktop, investigue as melhores práticas para monitorizar a infraestrutura e a carga de trabalho.
Utilize a ferramenta de avaliação para avaliar as suas escolhas de estrutura.