Принципы проектирования Виртуального рабочего стола Azure
Руководство по рабочим нагрузкам Виртуального рабочего стола Azure основано на Azure Well-Architected Framework и пяти основных принципах архитектуры. В следующей таблице перечислены все основные аспекты и приводится сводка его целей.
| Well-Architected Framework | Сводка |
|---|---|
| надежность; | Среда виртуальных рабочих столов требует высокого уровня надежности служб, чтобы обеспечить согласованное и непрерывное взаимодействие с пользователем. Важно создать надежную инфраструктуру, которая обеспечивает надежный доступ и оптимальную производительность среды виртуальных рабочих столов. Оцените развертывания виртуальных рабочих столов, особенно те, которые интегрируются с собственными службами Azure. В частности, оцените собственные службы вычислений, сети и хранилища, которые используются в развертывании. Кроме того, оцените сторонние продукты и партнерские решения, которые вы используете с Виртуальным рабочим столом Azure. Эти компоненты влияют на надежность, так как они являются частью проектирования целевой зоны. Такой подход помогает обеспечить беспроблемный и надежный пользовательский интерфейс. |
| Безопасность | Основное внимание уделяется реализации стратегий защиты рабочей нагрузки от угроз и уязвимостей. Безопасность также включает рекомендации по защите от внутренних рисков и потери данных. В Виртуальном рабочем столе Azure крайне важно оценить комплексные разделы безопасности. Эти разделы варьируются от управления удостоверениями и доступом (IAM), операционных систем, приложений, сетей и платформ Azure до данных. Мы настоятельно рекомендуем вам изучить или разработать стратегии, чтобы включить ряд уровней безопасности в вашем пространстве Azure. Эти стратегии должны охватывать рабочие столы и приложения, представленные в разделе Виртуальный рабочий стол Azure. |
| Оптимизация затрат | При оптимизации среды виртуальных рабочих столов по затратам вы соответствуете требованиям к производительности, заданным бизнес-требованиями. Вы также снижаете совокупную стоимость владения (TCO), сводя к минимуму перерасход средств. Вы можете уменьшить TCO, используя преимущества инфраструктуры гипермасштабирования Виртуального рабочего стола Azure. Оптимизация затрат на Виртуальный рабочий стол Azure включает несколько шагов. Примеры включают выбор виртуальных машин правильного размера, использование зарезервированных экземпляров или планов экономии, настройка планов масштабирования и использование службы "Управление затратами Майкрософт" для мониторинга и оптимизации расходов. Важно постоянно оценивать развертывания Виртуального рабочего стола Azure, чтобы отслеживать использование и определять возможности для оптимизации рабочих нагрузок. |
| Уровень производительности | Эффективность производительности фокусируется на способности вашей среды соответствовать или превышать бизнес-требования, установленные для виртуального рабочего стола и приложений. В среде Виртуального рабочего стола Azure вы можете обеспечить необходимую производительность с идеальной эффективностью, выбрав оптимальные семейства вычислений, а также размеры и типы дисков. Если вы используете профили FSLogix, необходимо также выбрать оптимальное хранилище. Как правило, очень важно оценить и протестировать серию конфигураций виртуальных машин, чтобы понять, как пользователи и рабочие нагрузки используют ресурсы Azure, составляющие узлы сеансов в Виртуальном рабочем столе Azure. После развертывания рекомендуется постоянно отслеживать потребление рабочих ресурсов, чтобы обеспечить соответствие или превышение требуемой целевой производительности. |
| Эффективность операционных процессов | Применяйте принципы DevOps в группе рабочей нагрузки виртуального рабочего стола Azure. Поощряйте внедрение мышления DevOps, разработку стандартов и подход к выполнению в процессе развития. С помощью Виртуального рабочего стола Azure можно легко установить процедуры для развертывания, администрирования и обслуживания рабочих нагрузок. Эти процедуры могут включать использование шаблонов Azure Resource Manager, Bicep, Terraform и других форм инфраструктуры как кода (IaC). Чтобы настроить узлы сеансов, вы можете автоматизировать сборку образов с помощью таких средств, как функция пользовательского шаблона образа в Azure DevOps. Эти и другие стратегии DevOps помогают вашей организации эффективно создавать, обслуживать среды Виртуального рабочего стола Azure и управлять ими. |
Важно!
Эта статья входит в серию рабочих нагрузок Виртуального рабочего стола Azure Well-Architected Framework . Если вы не знакомы с этой серией, рекомендуется начать с рабочей нагрузки Что такое рабочая нагрузка Виртуального рабочего стола Azure?
надежность;
Надежность — это основа среды Виртуального рабочего стола Azure. Нарушения могут материализоваться как в локальной среде, так и в облаке. Поэтому необходимо внимательно относиться к компонентам виртуального рабочего стола, включая службы Azure и локальную инфраструктуру. Оцените требования к пользовательским данным (профилям) рабочей нагрузки, приложениям и вычислительным ресурсам, чтобы определить стратегию непрерывности бизнес-процессов и аварийного восстановления. Учитывайте различные уровни доступности, достигнутые в Виртуальном рабочем столе Azure с разными вариантами развертывания, такими как пулы узлов "активный — активный — активный" или "активный — пассивный". Также оцените рекомендации по проектированию аварийного восстановления, чтобы обеспечить бесперебойную отработку отказа во время простоя.
- Устойчивость — это восстановление после сбоев и поддержание функциональности.
- Доступность обеспечивает непрерывное время бесперебойной работы. Высокий уровень доступности позволяет свести к минимуму время простоя приложения во время критически важных действий по обслуживанию. Он также улучшает восстановление после таких инцидентов, как сбои виртуальных машин, внутренние обновления, расширенные простои и атаки программ-шантажистов.
Для обеспечения надежности требуется комплексный подход, охватывающий архитектуру, операционные процедуры, автоматизацию, мониторинг, регулярное тестирование и проверку.
- Определите соглашения об уровне обслуживания . Создание четко определенных соглашений об уровне обслуживания играет ключевую роль в укреплении надежности. Эти соглашения определяют точные ожидания по доступности и производительности сеансов и профилей пользователей. Таким образом, они определяют четкий тест производительности, который можно использовать для оценки операционной эффективности системы.
- Разработка эффективных стратегий масштабирования. При вертикальном масштабировании вы выбираете номер SKU виртуальной машины, соответствующий потребностям в ресурсах сеансов пользователей. Вы также учитывайте такие аспекты, как требования к ЦП и памяти. При горизонтальном масштабировании вы добавляете дополнительные экземпляры виртуальных машин для удовлетворения растущих требований при сохранении стабильности системы.
- Проектирование для обеспечения высокого уровня доступности. Этот процесс предполагает интеграцию механизмов избыточности и отработки отказа, которые помогают обеспечить непрерывную работу. Высокий уровень доступности сводит к минимуму потенциальные перебои и гарантирует пользователям беспроблемную работу даже во время непредвиденных событий.
- Реализуйте отказоустойчивость. Включение отказоустойчивого хранилища играет важную роль в обеспечении целостности и доступности перемещаемых профилей и пользовательских данных. Эта стратегия обеспечивает уровень защиты от потери данных, гарантируя, что важные пользовательские данные остаются нетронутыми и доступными во время сбоев.
- Общие сведения о возможностях резервного копирования и восстановления. Надежные методики резервного копирования помогают обеспечить непрерывность работы в условиях невзгода.
Безопасность
В модели общей ответственности:
- Организации в первую очередь отвечают за управление рабочими нагрузками Виртуального рабочего стола Azure и управление ими.
- Корпорация Майкрософт управляет уровнем управления, поддерживающим рабочую нагрузку Виртуального рабочего стола Azure.
Мы настоятельно рекомендуем регулярно оценивать свои службы и технологии, чтобы убедиться, что состояние безопасности адаптируется к меняющимся ландшафтам угроз. При совместной работе с поставщиками для реализации подходящих мер безопасности важно четко понимать модель общей ответственности.
Для защиты среды виртуального рабочего стола можно использовать несколько методов.
- Сетевая изоляция. Используйте методы сетевой изоляции, такие как подсети и группы безопасности сети, для укрепления взаимодействия между собственными службами Azure. Такая секцизация повышает общую безопасность.
- Управление исправлениями. Регулярно применяйте исправления и обновления для усиления защиты от уязвимостей, которые можно использовать.
- Аудит окружающей среды. Регулярные аудиты среды позволяют получить представление о потенциальных пробелах в безопасности. Такой подход упрощает раннее выявление и исправление уязвимостей.
- Управление информационной безопасностью и событиями безопасности (SIEM). Используйте решение SIEM, например Microsoft Sentinel. Это средство обеспечивает мониторинг событий безопасности в режиме реального времени, что помогает быстро реагировать на потенциальные угрозы.
- Шифрование данных. Реализуйте механизмы шифрования неактивных и передаваемых данных. Это помогает обеспечить конфиденциальность и целостность данных даже при несанкционированном доступе.
- Управление удостоверениями и доступом.
- Многофакторная проверка подлинности. Упростить процесс проверки личности путем применения многофакторной проверки подлинности. Это помогает предотвратить попытки несанкционированного доступа.
- Интеграция с идентификатором Microsoft Entra. Делегирование управления удостоверениями и доступом Microsoft Entra id для упрощения управления доступом.
- Принцип минимальных привилегий. Сведите к минимуму вероятность неправильного использования, применяя принцип наименьших привилегий. Используйте этот принцип, чтобы ограничить доступ к ресурсам в соответствии с ролями, которые ориентированы на методы JIT-доступа (JIT).
- Управление доступом на основе ролей (RBAC). Повышение уровня управляемого доступа с помощью Azure RBAC для назначения разрешений на основе предопределенных ролей.
Оптимизация затрат
Виртуальный рабочий стол Azure — это экономически эффективная модернизация служб удаленных рабочих столов (RDS). Некоторые компоненты удаляются из инфраструктуры и предоставляются в качестве собственных служб для всех регионов Azure. Виртуальный рабочий стол Azure снижает требования к клиентским лицензиям (CAL) windows Server и RDS, предлагая Windows 10 или Windows 11 Корпоративная удаленных рабочих столов с несколькими сеансами. На этих рабочих столах поддерживается использование существующего лицензирования Microsoft 365 для отдельных пользователей. Эта поддержка обеспечивает преимущества рабочих нагрузок, имеющих только приложения, поддерживаемые в современных операционных системах.
Ниже приведены некоторые ключевые рекомендации и методы оптимизации затрат на Виртуальный рабочий стол Azure.
Использование экономичных виртуальных машин. Выбор нужного размера виртуальной машины гарантирует, что вы не платите за больше ресурсов, чем вам нужно. Определите, какая серия виртуальных машин лучше всего соответствует использованию ресурсов виртуальной машины рабочей нагрузкой. Найдите соответствующий баланс между производительностью и экономичностью.
Зарезервированные экземпляры или планы экономии. Azure предлагает зарезервированные экземпляры и планы экономии. При использовании этих планов вы экономите деньги, заключив срок на один или три года для виртуальных машин. Эта стратегия обеспечивает прогнозируемую цену и может помочь сократить затраты с течением времени.
Управление затратами работает с Помощником по Azure, чтобы определить возможности экономии для зарезервированных экземпляров и планов экономии. Убедитесь, что вы оптимизируете рабочие нагрузки Виртуального рабочего стола Azure, прежде чем выполнять фиксацию зарезервированных экземпляров или планов экономии. Кроме того, следует помнить о различиях между зарезервированными экземплярами и планами экономии в отношении определения области и совместного использования планов и экземпляров.
Теги службы. Вместо использования определенных IP-адресов для служб Azure можно использовать теги служб. Так как адреса меняются, такой подход минимизирует сложность частого обновления правил безопасности сети. Благодаря сокращению усилий, необходимых для обслуживания сетей, теги служб помогают снизить общие затраты.
Планы масштабирования. С помощью Виртуального рабочего стола Azure можно настроить планы масштабирования для виртуальных машин. Эта стратегия снижает затраты, помогая обеспечить правильное количество узлов сеансов, когда это необходимо.
Управление затратами. При использовании службы "Управление затратами" можно отслеживать и оптимизировать расходы на Azure. Это средство можно использовать для определения областей, в которых можно сократить затраты и оптимизировать развертывание Виртуального рабочего стола Azure. В частности, можно создавать бюджеты в службе "Управление затратами" и настраивать оповещения для этих бюджетов. Когда расходы превышают ваш бюджет, запускается проверка, чтобы выяснить, почему затраты выросли за пределы заданного уровня.
Помните, что возможности оборудования Azure часто расширяются. В результате для рабочих нагрузок регулярно поступают возможности для дальнейшей оптимизации затрат, устранения отходов и улучшения соотношения производительности к затратам. Организациям полезно периодически пересматривать и настраивать свои меры по экономии средств.
Уровень производительности
В этом разделе основное внимание уделяется оптимизации рабочих нагрузок, которые выполняют среду Виртуального рабочего стола Azure. Эта направленность включает в себя множество аспектов:
- Выделение правильного размера, семьи и количества узлов сеансов
- Непрерывный мониторинг производительности и обнаружение аномалий с помощью таких средств, как Azure Monitor, Log Analytics, Application Insights и оповещения
- Настройка правильного плана масштабирования таким образом, чтобы у вас было идеальное количество узлов сеансов, доступных для пользователей
Учитывая каждый из этих аспектов, вы сможете создать среду Виртуального рабочего стола Azure, которая обеспечивает согласованное и согласованное взаимодействие с пользователем.
Эффективность операционных процессов
В Виртуальном рабочем столе Azure эффективность работы означает обеспечение согласованности, повторяемости и стабильности операционных процедур на этапах разработки, развертывания и эксплуатации.
- Использование IaC для повторяемого и согласованного развертывания.
- Правильный мониторинг ресурсов для поддержания работоспособности среды.
- Адекватный конвейер непрерывной интеграции и непрерывной поставки (CI/CD), который помогает достичь:
- Своевременное аварийное восстановление.
- Предварительное тестирование.
- Репликация ресурсов.
- Реализация системы управления на основе политик Azure для обеспечения безопасности и соответствия требованиям в корпоративных технических пространствах.
- Проектирование схемы делегирования RBAC, реализующей доступ с минимальными привилегиями, с помощью встроенных ролей Виртуального рабочего стола Azure для упрощения процесса назначения разрешений на доступ и управления ими.
- Поддержание стандартов управления и соответствия требованиям для пула узлов.
- Документация по всем пунктам в этом списке.
Эти действия помогают командам эффективно и прозрачно сотрудничать.
Дальнейшие действия
Принципы проектирования включены в конкретные области технического проектирования. В каждой области есть специализированные рекомендации, которые помогут вам быстро получить доступ к информации, необходимой для повышения производительности за минимальное время. Заголовки рассматриваются как средства навигации, которые помогут вам в правильном направлении для сетевых сетей, базовой инфраструктуры, доставки приложений, мониторинга, безопасности и операционных процедур.
Начните с рассмотрения рекомендаций по проектированию для доставки приложений, необходимых для поддержки рабочей нагрузки.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по