Интеграция рабочей нагрузки Виртуального рабочего стола Azure с целевыми зонами Azure
Перенос пользовательских рабочих столов организации в облако — распространенный сценарий облачной миграции. Это позволяет повысить производительность сотрудников и ускорить перенос различных рабочих нагрузок для обеспечения взаимодействия с пользователями организации. Каждая организация управляет рабочими нагрузками и управляет своей облачной средой уникальным образом. Общие облачные операционные модели : децентрализованные, централизованные, корпоративные и распределенные.
Наиболее важным различием между различными моделями является уровень владения. В децентрализованной модели владельцы рабочих нагрузок имеют автономию без какого-либо централизованного ит-надзора за управлением. Например, они управляют собственными требованиями к сети, мониторингу и идентификации. На другом конце спектра находится централизованная модель, в которой владельцы рабочей нагрузки придерживаются требований к управлению, которые задаются центральными ИТ-командами.
Подробные сведения о моделях см. в статье Обзор и сравнение распространенных облачных операционных моделей.
Владелец рабочей нагрузки должен понимать операционную модель, которую использует ваша организация. Этот выбор влияет на технические решения, за которые вы отвечаете, и на технические требования, которые вы применяете для центральных команд.
Чтобы максимально эффективно использовать функции и возможности Виртуального рабочего стола Azure, следует воспользоваться рекомендациями, которые применяются к организациям. Платформа обеспечивает адаптируемость и гибкость, что помогает вашей среде Виртуального рабочего стола Azure адаптироваться к будущему росту.
Важно!
Эта статья входит в серию рабочих нагрузок Виртуального рабочего стола Azure Well-Architected Framework . Если вы не знакомы с этой серией, рекомендуется начать с рабочей нагрузки Что такое рабочая нагрузка Виртуального рабочего стола Azure?
Целевые зоны Azure
Целевая зона Azure — это концептуальная архитектура, которая описывает общую облачную среду для организации. Он имеет несколько подписок, каждая из которых имеет уникальную цель. Центральные команды владеют некоторыми подписками, такими как целевые зоны платформы Azure.
Чтобы ознакомиться с концепцией целевых зон Azure, см. статью Что такое целевая зона Azure?
Важно!
Виртуальный рабочий стол Azure имеет определенные рекомендации и требования, особенно те, которые связаны с интеграцией со службами Azure. Акселератор целевой зоны Виртуального рабочего стола Azure и руководство по Azure Well-Architected Framework для Виртуального рабочего стола Azure предназначены для выделения этих необходимых настроек. Эти ресурсы также включают Cloud Adoption Framework перспективы целостного подхода к подготовке к облаку.
Скачайте файл Visio этой архитектуры.
Целевые зоны платформы
Виртуальный рабочий стол Azure должен взаимодействовать с несколькими внешними службами. Центральные команды могут владеть некоторыми из этих служб в составе целевых зон платформы. Примерами таких служб являются службы удостоверений, сетевое подключение и службы безопасности. Взаимодействие с этими внешними службами является основной задачей. Чтобы обеспечить полную работоспособность рабочей нагрузки Виртуального рабочего стола Azure, необходимо, чтобы команда платформы и команда рабочей нагрузки разделяли одинаковые установки на ответственность.
Демонстрацию целевых зон платформы, необходимых для выполнения рабочей нагрузки Виртуального рабочего стола Azure, см. в статье Обзор целевых зон Azure для Виртуального рабочего стола Microsoft Azure. В этой статье описывается надежная платформа, которая ускоряет миграцию из локальной среды в частное облако Виртуального рабочего стола Azure.
Целевые зоны приложения
Существует отдельная подписка, которая также называется целевой зоной приложения Azure, предназначенная для владельцев рабочих нагрузок. В этой целевой зоне приложения развертывается рабочая нагрузка Виртуального рабочего стола Azure. Он имеет доступ к целевым зонам платформы, которые предоставляют базовую инфраструктуру, необходимую для выполнения рабочей нагрузки. Например, сеть, управление доступом к удостоверениям, политика и инфраструктура мониторинга.
Руководство по целевым зонам приложений относится к рабочим нагрузкам Виртуального рабочего стола Azure. Дополнительные сведения см. в разделе Целевые зоны платформы и целевые зоны приложений. Это руководство содержит рекомендации по эффективному управлению рабочей нагрузкой и управлению ею.
Демонстрацию целевой зоны приложения для рабочей нагрузки Виртуального рабочего стола Azure см. в базовой эталонной архитектуре в статье Примеры архитектур для Виртуального рабочего стола Azure.
Интеграция с областью разработки
В этом разделе описывается прочная основа, которую предоставляет платформа. В обсуждении также рассматриваются области общей ответственности между командой платформы и командой рабочей нагрузки.
Обязанности платформы
Команда платформы Виртуального рабочего стола Azure гарантирует, что инфраструктура готова для создания рабочих нагрузок. Ниже перечислены некоторые распространенные задачи.
- Управление емкостью путем настройки подписки и региональных квот, достаточных для развертывания.
- Защита и оптимизация подключения к локальным системам, Azure и Интернету. Эта задача включает маршрутизацию, настройку записей брандмауэра и управление централизованным сетевым оборудованием.
- Управление интеграцией Azure, например интеграциями со службой хранилища Azure, Azure Monitor, Log Analytics, Microsoft Entra ID и Azure Key Vault.
Совместная ответственность
Команда рабочей нагрузки и команда платформы имеют разные обязанности. Но обе команды часто тесно взаимодействуют друг с другом, чтобы обеспечить доступность и возможность восстановления рабочей нагрузки. Команды координируют усилия для общего успеха рабочих нагрузок, которые выполняются в Виртуальном рабочем столе Azure. Эффективная совместная работа между платформой и командами приложений крайне важна для успешного развертывания Виртуального рабочего стола Azure.
Области проектирования платформы и целевых зон приложений тесно связаны.
- Описание изменений в ресурсах платформы, необходимых для рабочей нагрузки, см. в статье Обзор целевой зоны Azure Виртуального рабочего стола Azure.
- Описание технической спецификации рабочей нагрузки см. в статье Основные области проектирования.
Область проектирования — корпоративная регистрация
Команда облачной платформы должна понимать существующие корпоративные регистрации или Microsoft Entra решения клиента.
Область разработки — управление удостоверениями и доступом (IAM)
Удостоверение имеет решающее значение для функциональных возможностей Виртуального рабочего стола Azure, так как для использования службы пользователи должны пройти проверку подлинности. Команда платформы отвечает за разработку решения для идентификации, которое может включать Microsoft Entra ID, Доменные службы Microsoft Entra или доменные службы Active Directory (AD DS). Команда платформы также гарантирует, что среда Виртуального рабочего стола Azure поддерживает доступ к службам идентификации.
| Обязанности команды платформы | Обязанности группы рабочей нагрузки |
|---|---|
| — Разработка служб удостоверений для Microsoft Entra ID, Доменные службы, AD DS и Microsoft Entra Connect — Использование управления доступом на основе ролей (RBAC) для реализации разделения обязанностей — Настройка политик условного доступа Microsoft Entra — Управление организационными подразделениями и групповыми политиками Active Directory |
— Использование назначений RBAC для управления доступом к сеансам и инфраструктуре Виртуального рабочего стола Azure в целях управления |
Область проектирования — сеть и подключение
Подключение служб платформы — это ключевая сетевая концепция. Команда платформы отвечает за обеспечение правильного подключения к среде Виртуального рабочего стола Azure:
- Службы удостоверений для проверки подлинности.
- Система доменных имен (DNS) для правильного разрешения.
- Другие рабочие нагрузки в гибридной среде.
К обязанностям команды платформы относятся:
- Настройка частных конечных точек и частных зон DNS.
- Обеспечение учета пропускной способности, задержки и качества обслуживания.
- Реализация политик безопасности сети.
- Обеспечение доступа к необходимым конечным точкам Интернета.
- Планирование непрерывности бизнес-процессов и аварийного восстановления.
Область разработки — организация ресурсов
Обязанности группы платформы включают структурирование групп управления и групп ресурсов для упрощения управления доступом. Эта обязанность включает определение стандартов именования и добавления тегов. Команда рабочей нагрузки обеспечивает соответствие этим стандартам.
Область проектирования — управление
| Обязанности команды платформы | Обязанности группы рабочей нагрузки |
|---|---|
| - Планирование и разработка стратегии мониторинга — Использование Политика Azure для обеспечения соответствия требованиям корпоративного уровня - Разработка стратегии управления затратами |
— Настройка развертывания Виртуального рабочего стола Azure для мониторинга — Управление доступом пользователей — Мониторинг Виртуального рабочего стола Azure и совместная работа с командой платформы по вопросам мониторинга — Настройка бюджетов и оповещений — Управление взаимодействием с пользователем и поддержкой — Обеспечение соответствия требованиям платформы и рекомендаций по мониторингу |
Область проектирования — непрерывность бизнес-процессов и аварийное восстановление
| Обязанности команды платформы | Обязанности группы рабочей нагрузки |
|---|---|
| — Разработка стратегии непрерывности бизнес-процессов и аварийного восстановления, включая установку целевых точек восстановления (RPO) и целевых значений времени восстановления (RTO). — Координация с командой рабочей нагрузки для обеспечения непрерывности бизнес-процессов и согласования аварийного восстановления |
— Настройка инфраструктуры и компонентов Виртуального рабочего стола Azure в соответствии со стратегией непрерывности бизнес-процессов и аварийного восстановления — Реализация процедур аварийного восстановления - Обучение пользователей правильному использованию Виртуального рабочего стола Azure |
Область проектирования — безопасность и управление
| Обязанности команды платформы | Обязанности группы рабочей нагрузки |
|---|---|
| - Понимание того, что необходимо организации для соблюдения нормативных требований, таких как Закон о переносимости и подотчетности медицинского страхования (HIPAA), стандарты Национального института стандартов и технологий (NIST) и стандарты индустрии платежных карт (PCI), а также использование Microsoft Defender для облака для применения стандартов соответствия требованиям — обеспечение развертывания ресурсов плоскости управления в географических регионах таким образом, чтобы они соответствовали требованиям к месту расположения данных. — Использование Microsoft Entra политик условного доступа и многофакторной проверки подлинности для защиты доступа пользователей — Обеспечение использования средства управления информационной безопасностью и событиями безопасности (SIEM), такого как Microsoft Sentinel, для сбора и мониторинга данных о действиях пользователей и администраторов. — Включение оценок контроль угроз и уязвимостей, например путем интеграции с Defender для облака или сторонним решением для управления уязвимостями. — Настройка брандмауэра и использование тегов служб и групп безопасности приложений для определения правил доступа к сети — Создание выделенного подразделения в Active Directory для узлов сеансов Виртуального рабочего стола Azure — Использование Политика Azure гостевых конфигураций для аудита и усиления защиты операционных систем узла сеансов — Включение шифрования дисков — Мониторинг сетевого трафика и реализация распределенной защиты от атак типа "отказ в обслуживании" (DDoS) |
— Использование принципа доступа с минимальными привилегиями и Azure RBAC для создания административных, операционных и инженерных ролей — Применение выделенной групповой политики к подразделениям Виртуального рабочего стола Azure — Управление исправлениями и усиление защиты узлов сеансов — Мониторинг действий пользователей и управление ими |
Область проектирования— вопросы автоматизации платформы и DevOps
| Обязанности команды платформы | Обязанности группы рабочей нагрузки |
|---|---|
| - Разработка стратегий "инфраструктура как код" (IaC) и DevOps | — Создание образов — Обслуживание конвейера сборки образа — Обновление пулов узлов — Установка приложений — Управление языковыми развертываниями |
Область проектирования — операционные процедуры
Операционные процедуры помогают обеспечить безопасность приложений, работающих в Виртуальном рабочем столе Azure. Операционные процедуры также помогают в области контроля доступа.
| Обязанности команды платформы | Обязанности группы рабочей нагрузки |
|---|---|
| Управление доступом к платформе путем определения ролей и разрешений пользователей в среде Виртуального рабочего стола Azure | — Анализ производительности и задержки развертываний Виртуального рабочего стола Azure для получения аналитических сведений о возможных областях улучшения. — Обновление операционной системы, приложений и FSLogix — Управление ключами — Управление FSLogix и анализ данных для определения времени внесения корректировок |
Дальнейшие действия
Используйте средство оценки для оценки вариантов разработки.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по