Azure Virtual Desktop är en skrivbords- och programvirtualiseringstjänst som körs i Azure. Den här artikeln är avsedd att hjälpa skrivbordsinfrastrukturarkitekter, molnarkitekter, skrivbordsadministratörer och systemadministratörer att utforska Azure Virtual Desktop och skapa LÖSNINGAR för virtualiserad skrivbordsinfrastruktur (VDI) i företagsskala. Lösningar i företagsskala omfattar vanligtvis 1 000 eller fler virtuella skrivbord.
Arkitektur
En typisk arkitekturkonfiguration för Azure Virtual Desktop illustreras i följande diagram:
Ladda ned en Visio-fil med den här arkitekturen.
Dataflöde
Diagrammets dataflödeselement beskrivs här:
Programslutpunkterna finns i kundens lokala nätverk. Azure ExpressRoute utökar det lokala nätverket till Azure och Microsoft Entra Anslut integrerar kundens Active Directory-domän Services (AD DS) med Microsoft Entra-ID.
Azure Virtual Desktop-kontrollplanet hanterar webbåtkomst, gateway, asynkron meddelandekö, diagnostik och utökningsbarhetskomponenter som REST-API:er.
Kunden hanterar AD DS och Microsoft Entra-ID, Azure-prenumerationer, virtuella nätverk, Azure Files eller Azure NetApp Files samt Värdpooler och arbetsytor för Azure Virtual Desktop.
För att öka kapaciteten använder kunden två Azure-prenumerationer i en hub-spoke-arkitektur och ansluter dem via peering för virtuella nätverk.
Mer information om metodtips för FSLogix-profilcontainer – Azure Files och Azure NetApp Files finns i FSLogix-konfigurationsexempel.
Komponenter
Azure Virtual Desktop-tjänstarkitekturen liknar Windows Server Fjärrskrivbordstjänster. Även om Microsoft hanterar infrastruktur- och koordinatorkomponenterna hanterar företagskunder sina egna virtuella skrivbordsvärddatorer, data och klienter.
Komponenter som Microsoft hanterar
Microsoft hanterar följande Azure Virtual Desktop-tjänster som en del av Azure:
Webbåtkomst: Genom att använda webbåtkomsttjänsten i Azure Virtual Desktop kan du komma åt virtuella skrivbord och fjärrappar via en HTML5-kompatibel webbläsare precis som med en lokal dator, var som helst och på vilken enhet som helst. Du kan skydda webbåtkomsten med hjälp av multifaktorautentisering i Microsoft Entra-ID.
Gateway: Tjänsten Remote Anslut ion Gateway ansluter fjärranvändare till Azure Virtual Desktop-appar och skrivbord från alla Internetanslutna enheter som kan köra en Azure Virtual Desktop-klient. Klienten ansluter till en gateway som sedan dirigerar en anslutning från en virtuell dator tillbaka till samma gateway.
Anslut ion Broker: Tjänsten Anslut ion Broker hanterar användaranslutningar till virtuella skrivbord och fjärrappar. Anslut ion Broker tillhandahåller belastningsutjämning och återanslutning till befintliga sessioner.
Diagnostik: Fjärrskrivbordsdiagnostik är en händelsebaserad aggregator som markerar varje användar- eller administratörsåtgärd i Azure Virtual Desktop-distributionen som ett lyckat eller fel. Administratörer kan köra frågor mot händelsesammansättningen för att identifiera komponenter som inte fungerar.
Utökningsbarhetskomponenter: Azure Virtual Desktop innehåller flera utökningsbarhetskomponenter. Du kan hantera Azure Virtual Desktop med hjälp av Windows PowerShell eller med de tillhandahållna REST-API:erna, som också aktiverar stöd från verktyg från tredje part.
Komponenter som du hanterar
Du hanterar följande komponenter i Azure Virtual Desktop-lösningar:
Azure Virtual Network: Med Azure Virtual Network kan Azure-resurser som virtuella datorer kommunicera privat med varandra och med Internet. Genom att ansluta Azure Virtual Desktop-värdpooler till en Active Directory-domän kan du definiera nätverkstopologi för åtkomst till virtuella skrivbord och virtuella appar från intranätet eller Internet, baserat på organisationens princip. Du kan ansluta en Azure Virtual Desktop-instans till ett lokalt nätverk med hjälp av ett virtuellt privat nätverk (VPN), eller så kan du använda Azure ExpressRoute för att utöka det lokala nätverket till Azure via en privat anslutning.
Microsoft Entra-ID: Azure Virtual Desktop använder Microsoft Entra-ID för identitets- och åtkomsthantering. Microsoft Entra-integrering tillämpar Microsoft Entra-säkerhetsfunktioner, till exempel villkorlig åtkomst, multifaktorautentisering och Intelligent Security Graph, och det hjälper till att upprätthålla appkompatibiliteten på domänanslutna virtuella datorer.
Active Directory-domän Services (valfritt): Virtuella Azure Virtual Desktop-datorer kan antingen vara domänanslutna till en AD DS-tjänst eller använda Distribuera Microsoft Entra-anslutna virtuella datorer i Azure Virtual Desktop
- När du använder en AD DS-domän måste domänen vara synkroniserad med Microsoft Entra-ID för att associera användare mellan de två tjänsterna. Du kan använda Microsoft Entra Anslut för att associera AD DS med Microsoft Entra-ID.
- När du använder Microsoft Entra-anslutning granskar du de konfigurationer som stöds för att se till att ditt scenario stöds.
Azure Virtual Desktop-sessionsvärdar: Sessionsvärdar är virtuella datorer som användarna ansluter till för sina skrivbord och program. Flera versioner av Windows stöds och du kan skapa avbildningar med dina program och anpassningar. Du kan välja VM-storlekar, inklusive GPU-aktiverade virtuella datorer. Varje sessionsvärd har en Azure Virtual Desktop-värdagent som registrerar den virtuella datorn som en del av Azure Virtual Desktop-arbetsytan eller klientorganisationen. Varje värdpool kan ha en eller flera appgrupper, som är samlingar med fjärrprogram eller skrivbordssessioner som du kan komma åt. Information om vilka versioner av Windows som stöds finns i Operativsystem och licenser.
Azure Virtual Desktop-arbetsyta: Azure Virtual Desktop-arbetsytan eller klientorganisationen är en hanteringskonstruktion för hantering och publicering av värdpoolresurser.
Information om scenario
Potentiella användningsfall
Den största efterfrågan på lösningar för virtuella företagsdatorer kommer från:
Säkerhets- och regleringsprogram, till exempel finansiella tjänster, hälso- och sjukvård och myndigheter.
Elastiska arbetskraftsbehov, till exempel distansarbete, sammanslagningar och förvärv, korttidsanställda, entreprenörer och partneråtkomst.
Specifika anställda, till exempel BYOD (Bring Your Own Device) och mobila användare, callcenter och avdelningsarbetare.
Specialiserade arbetsbelastningar, till exempel design och teknik, äldre appar och testning av programvaruutveckling.
Personliga och poolade skrivbord
Genom att använda personliga skrivbordslösningar, som ibland kallas beständiga skrivbord, kan användarna alltid ansluta till samma specifika sessionsvärd. Användare kan vanligtvis ändra sin skrivbordsmiljö så att de uppfyller personliga inställningar, och de kan spara filer i skrivbordsmiljön. Personliga skrivbordslösningar:
- Låt användarna anpassa sin skrivbordsmiljö, inklusive användarinstallerade program, och användarna kan spara filer i skrivbordsmiljön.
- Tillåt tilldelning av dedikerade resurser till specifika användare, vilket kan vara användbart för vissa tillverknings- eller utvecklingsanvändningsfall.
Poolbaserade skrivbordslösningar, även kallade icke-beständiga skrivbord, tilldelar användare till den sessionsvärd som för närvarande är tillgänglig, beroende på belastningsutjämningsalgoritmen. Eftersom användarna inte alltid återgår till samma sessionsvärd varje gång de ansluter har de begränsad möjlighet att anpassa skrivbordsmiljön och har vanligtvis inte administratörsåtkomst.
Windows-service
Det finns flera alternativ för att uppdatera Azure Virtual Desktop-instanser. Om du distribuerar en uppdaterad avbildning varje månad garanteras efterlevnad och tillstånd.
- Microsoft Endpoint Configuration Manager (MECM) uppdaterar server- och skrivbordsoperativsystem.
- Windows Uppdateringar för företag uppdaterar skrivbordsoperativsystem som Windows 10 multi-session.
- Azure Update Management uppdaterar serveroperativsystem.
- Azure Log Analytics kontrollerar efterlevnaden.
- Distribuera en ny (anpassad) avbildning till sessionsvärdar varje månad för de senaste windows- och programuppdateringarna. Du kan använda en avbildning från Azure Marketplace eller en anpassad Azure-hanterad avbildning.
Relationer mellan viktiga logiska komponenter
Relationerna mellan värdpooler, arbetsytor och andra viktiga logiska komponenter varierar. De sammanfattas i följande diagram:
Siffrorna i följande beskrivningar motsvarar dem i föregående diagram.
- (1) En programgrupp som innehåller ett publicerat skrivbord kan bara innehålla MSIX-paket som monterats på värdpoolen (paketen kommer att vara tillgängliga på Start-menyn på sessionsvärden), den kan inte innehålla några andra publicerade resurser och kallas för en skrivbordsprogramgrupp.
- (2) Programgrupper som tilldelats samma värdpool måste vara medlemmar i samma arbetsyta.
- (3) Ett användarkonto kan tilldelas till en programgrupp antingen direkt eller via en Microsoft Entra-grupp. Det går att tilldela inga användare till en programgrupp, men då kan den inte betjäna någon.
- (4) Det är möjligt att ha en tom arbetsyta, men det kan inte betjäna användare.
- (5) Det är möjligt att ha en tom värdpool, men det kan inte betjäna användare.
- (6) Det är möjligt för en värdpool att inte ha några programgrupper tilldelade till den, men den kan inte betjäna användare.
- (7) Microsoft Entra-ID krävs för Azure Virtual Desktop. Det beror på att Microsoft Entra-användarkonton och -grupper alltid måste användas för att tilldela användare till Azure Virtual Desktop-programgrupper. Microsoft Entra-ID används också för att autentisera användare till Azure Virtual Desktop-tjänsten. Azure Virtual Desktop-sessionsvärdar kan också vara medlemmar i en Microsoft Entra-domän, och i det här fallet kommer de Azure Virtual Desktop-publicerade programmen och skrivbordssessionerna också att startas och köras (inte bara tilldelas) med hjälp av Microsoft Entra-konton.
- (7) Alternativt kan Azure Virtual Desktop-sessionsvärdar vara medlemmar i en AD DS-domän, och i det här fallet kommer de Azure Virtual Desktop-publicerade programmen och skrivbordssessionerna att startas och köras (men inte tilldelas) med hjälp av AD DS-konton. För att minska användar- och administrationskostnaderna kan AD DS synkroniseras med Microsoft Entra-ID via Microsoft Entra Anslut.
- (7) Slutligen kan Azure Virtual Desktop-sessionsvärdar i stället vara medlemmar i en Microsoft Entra Domain Services-domän, och i det här fallet kommer de Azure Virtual Desktop-publicerade programmen och skrivbordssessionerna att startas och köras (men inte tilldelas) med hjälp av Microsoft Entra Domain Services-konton. Microsoft Entra-ID synkroniseras automatiskt med Microsoft Entra Domain Services, på ett sätt, från Microsoft Entra-ID till Endast Microsoft Entra Domain Services.
| Resurs | Syfte | Logiska relationer |
|---|---|---|
| Publicerat skrivbord | En Windows-skrivbordsmiljö som körs på Azure Virtual Desktop-sessionsvärdar och levereras till användare via nätverket | Medlem i en och endast en programgrupp (1) |
| Publicerat program | Ett Windows-program som körs på Azure Virtual Desktop-sessionsvärdar och levereras till användare via nätverket | Medlem i en och endast en programgrupp |
| Programgrupp | En logisk gruppering av publicerade program eller ett publicerat skrivbord | – Innehåller ett publicerat skrivbord (1) eller ett eller flera publicerade program – Tilldelad till en och endast en värdpool (2) - Medlem i en och endast en arbetsyta (2) – Ett eller flera Microsoft Entra-användarkonton eller -grupper tilldelas till det (3) |
| Microsoft Entra-användarkonto/grupp | Identifierar de användare som har behörighet att starta publicerade skrivbord eller program | - Medlem i ett och endast ett Microsoft Entra-ID – Tilldelad till en eller flera programgrupper (3) |
| Microsoft Entra-ID (7) | Identitetsprovider | – Innehåller ett eller flera användarkonton eller grupper som måste användas för att tilldela användare till programgrupper och kan även användas för att logga in på sessionsvärdarna – Kan behålla medlemskapen för sessionsvärdarna – Kan synkroniseras med AD DS eller Microsoft Entra Domain Services |
| AD DS (7) | Identitets- och katalogtjänstleverantör | – Innehåller ett eller flera användarkonton eller grupper som kan användas för att logga in på sessionsvärdarna – Kan behålla medlemskapen för sessionsvärdarna – Kan synkroniseras med Microsoft Entra-ID |
| Microsoft Entra Domain Services (7) | PaaS-baserad identitets- och katalogtjänstleverantör (Plattform som en tjänst) | – Innehåller ett eller flera användarkonton eller grupper som kan användas för att logga in på sessionsvärdarna – Kan behålla medlemskapen för sessionsvärdarna – Synkroniserad med Microsoft Entra-ID |
| Arbetsyta | En logisk gruppering av programgrupper | Innehåller en eller flera programgrupper (4) |
| Värdpool | En grupp med identiska sessionsvärdar som har ett gemensamt syfte | – Innehåller en eller flera sessionsvärdar (5) – En eller flera programgrupper tilldelas till den (6) |
| Sessionsvärd | En virtuell dator som är värd för publicerade skrivbord eller program | Medlem i en och endast en värdpool |
Att tänka på
Dessa överväganden implementerar grundpelarna i Azure Well-Architected Framework, som är en uppsättning vägledande grundsatser som kan användas för att förbättra kvaliteten på en arbetsbelastning. Mer information finns i Microsoft Azure Well-Architected Framework.
Siffrorna i följande avsnitt är ungefärliga. De baseras på en mängd olika stora kunddistributioner och kan komma att ändras över tid.
Observera också att:
- Du kan inte skapa fler än 500 programgrupper per enskild Microsoft Entra-klient*.
- Vi rekommenderar att du inte publicerar fler än 50 program per programgrupp.
Begränsningar för Azure Virtual Desktop
Azure Virtual Desktop, ungefär som Azure, har vissa tjänstbegränsningar som du måste känna till. För att undvika att behöva göra ändringar i skalningsfasen är det en bra idé att åtgärda vissa av dessa begränsningar under designfasen.
| Azure Virtual Desktop-objekt | Objekt per överordnad container | Servicegräns |
|---|---|---|
| Arbetsyta | Microsoft Entra-klientorganisation | 1300 |
| HostPool | Arbetsyta | 400 |
| Programgrupp | Microsoft Entra-klientorganisation | 500* |
| RemoteApp | Programgrupp | 500 |
| Rolltilldelning | Alla Azure Virtual Desktop-objekt | 200 |
| Sessionsvärd | HostPool | 10,000 |
*Om du behöver fler än 500 programgrupper skickar du ett supportärende via Azure-portalen.
- Vi rekommenderar att du distribuerar högst 5 000 virtuella datorer per Azure-prenumeration per region. Den här rekommendationen gäller för både personliga och poolbaserade värdpooler, baserat på windows enterprise enkel och flera sessioner. De flesta kunder använder Windows Enterprise flera sessioner, vilket gör att flera användare kan logga in på varje virtuell dator. Du kan öka resurserna för enskilda virtuella sessionsvärddatorer för att hantera fler användarsessioner.
- För automatiserade skalningsverktyg för sessionsvärdar är gränserna cirka 2 500 virtuella datorer per Azure-prenumeration per region, eftersom interaktion med VM-status förbrukar fler resurser.
- Om du vill hantera företagsmiljöer med fler än 5 000 virtuella datorer per Azure-prenumeration i samma region kan du skapa flera Azure-prenumerationer i en hub-spoke-arkitektur och ansluta dem via peering för virtuella nätverk (med en prenumeration per eker). Du kan också distribuera virtuella datorer i en annan region i samma prenumeration för att öka antalet virtuella datorer.
- Begränsningar för AZURE Resource Manager-prenumerations-API:et tillåter inte fler än 600 omstarter av virtuella Azure-datorer per timme via Azure-portalen. Du kan starta om alla dina datorer samtidigt via operativsystemet, som inte använder några API-anrop för Azure Resource Manager-prenumerationer. Mer information om hur du räknar och felsöker begränsningsgränser baserat på din Azure-prenumeration finns i Felsöka API-begränsningsfel.
- Du kan för närvarande distribuera upp till 132 virtuella datorer i en enda ARM-malldistribution i Azure Virtual Desktop-portalen. Om du vill skapa fler än 132 virtuella datorer kör du ARM-malldistributionen i Azure Virtual Desktop-portalen flera gånger.
- Prefix för sessionsvärd för virtuella Azure-datorer får inte överstiga 11 tecken på grund av automatisk tilldelning av instansnamn och NetBIOS-gränsen på 15 tecken per datorkonto.
- Som standard kan du distribuera upp till 800 instanser av de flesta resurstyper i en resursgrupp. Azure Compute har inte den här gränsen.
Mer information om begränsningar för Azure-prenumerationer finns i Azure-prenumerations- och tjänstgränser, kvoter och begränsningar.
Vm-storleksändring
Riktlinjerna för storleksändring för virtuella datorer visar det maximala föreslagna antalet användare per virtuell central bearbetningsenhet (vCPU) och minsta vm-konfigurationer för olika arbetsbelastningar. Dessa data hjälper dig att uppskatta de virtuella datorer som du behöver i din värdpool.
Använd simuleringsverktyg för att testa distributioner med både stresstester och verkliga användningssimuleringar. Se till att systemet är tillräckligt dynamiskt och motståndskraftigt för att uppfylla användarnas behov och kom ihåg att variera belastningsstorlekarna vid testning.
Kostnadsoptimering
Kostnadsoptimering handlar om att titta på sätt att minska onödiga utgifter och förbättra drifteffektiviteten. Mer information finns i Översikt över kostnadsoptimeringspelare.
Du kan skapa din Azure Virtual Desktop-lösning för att realisera kostnadsbesparingar. Här är fem olika alternativ för att hantera kostnader för företag:
- Windows 10 multi-session: Genom att leverera en skrivbordsmiljö för flera sessioner för användare med identiska beräkningskrav kan du låta fler användare logga in på en enda virtuell dator samtidigt, en metod som kan leda till betydande kostnadsbesparingar.
- Azure Hybrid-förmån: Om du har Software Assurance kan du använda Azure Hybrid-förmån för Windows Server för att spara på kostnaden för din Azure-infrastruktur.
- Azure Reserved VM Instances: Du kan förskottsbetala för din VM-användning och spara pengar. Kombinera Azure Reserved VM Instances med Azure Hybrid-förmån för upp till 80 procent besparingar jämfört med listpriser.
- Belastningsutjämning för sessionsvärdar: När du konfigurerar sessionsvärdar är det standardläge som sprider användare slumpmässigt över sessionsvärdarna. Du kan också använda djupläge för att fylla upp en sessionsvärdserver med det maximala antalet användare innan den går vidare till nästa sessionsvärd. Du kan justera den här inställningen för maximala kostnadsfördelar.
Distribuera det här scenariot
Använd ARM-mallarna för att automatisera distributionen av din Azure Virtual Desktop-miljö. Dessa ARM-mallar stöder endast Azure Resource Manager-azure virtual desktop-objekt. Dessa ARM-mallar stöder inte Azure Virtual Desktop (klassisk).
Deltagare
Den här artikeln underhålls av Microsoft. Det har ursprungligen skrivits av följande medarbetare.
Huvudförfattare:
- Tom Hickling | Senior Product Manager, Azure Virtual Desktop Engineering
Annan deltagare:
- Nelson Del Villar | Molnlösningsarkitekt, Azure Core-infrastruktur
Nästa steg
- Azure Virtual Desktop-partnerintegreringar listar godkända Azure Virtual Desktop-partnerleverantörer och oberoende programvaruleverantörer.
- Använd optimeringsverktyget för virtuellt skrivbord för att optimera prestanda i en WINDOWS 10 Enterprise VDI-miljö (infrastruktur för virtuellt skrivbord).
- Se Distribuera Microsoft Entra-anslutna virtuella datorer i Azure Virtual Desktop.
- Läs mer om Active Directory-domän Services.
- Vad är Microsoft Entra Anslut?
Relaterade resurser
- Mer information om flera Active Directory-skogars arkitektur finns i Flera Active Directory-skogars arkitektur i Azure Virtual Desktop.