Dela via


Arkitektur och motståndskraft för Azure Virtual Desktop-tjänsten

Azure Virtual Desktop är utformat för att tillhandahålla en motståndskraftig, tillförlitlig och säker tjänst för organisationer och användare. Arkitekturen för Azure Virtual Desktop består av många komponenter som utgör tjänsten som ansluter användare till deras skrivbord och appar. De flesta komponenter är Microsoft-hanterade, men vissa är kundhanterade eller partnerhanterade.

Microsoft tillhandahåller VDI-komponenter (Virtual Desktop Infrastructure) för kärnfunktioner som en tjänst. Dessa komponenter omfattar:

  • Webbtjänst: den användarriktade webbplatsen och slutpunkten och returnerar anslutningsinformationen till användarens enhet.
  • Koordinatortjänst: dirigerar inkommande anslutningar.
  • Gateway-tjänst: en websocket-tjänst som tillhandahåller RDP-anslutningen (Remote Desktop Protocol) från en användares enhet var de än ansluter från till sessionsvärdarna och tillhandahåller sina skrivbord och appar.
  • Resurskatalog: innehåller information för att instruera webbtjänsten vilken av de flera geografiska databaserna som är värd för den anslutningsinformation som krävs för varje användare.
  • Geografisk databas: innehåller anslutningsfilerna (.rdp) och ikonerna för varje resurs som en användare har etablerats.

Dessutom använder Azure Virtual Desktop andra globala Azure-tjänster, till exempel Azure Traffic Manager och Azure Front Door för att dirigera användarna till närmaste Azure Virtual Desktop-startpunkter.

Du ansvarar för att skapa och hantera sessionsvärdar, inklusive eventuella anpassningar och program för operativsystemavbildningar, anslutning till virtuella nätverk, återhämtning och säkerhetskopiering och återställning av dessa sessionsvärdar. Du tillhandahåller och hanterar även användaridentiteter och styr åtkomsten till tjänsten. Du kan använda andra Azure-tjänster för att uppfylla dina krav, till exempel:

  • Azure-tillgänglighetszoner för att distribuera dina sessionsvärdar mellan fysiskt separata datacenterplatser i en Azure-region, var och en med oberoende ström, kylning och nätverk.
  • Azure Backup för att säkerhetskopiera och återställa sessionsvärdarna.
  • Azure Site Recovery för att replikera dina sessionsvärdar till en annan Azure-region.
  • Azure Advisor som hjälper dig att optimera dina Azure-resurser.

Det här diagrammet på hög nivå visar komponenter och ansvarsområden:

A diagram showing who manages the components of Azure Virtual Desktop.

Användaranslutningar

När en användare vill komma åt sina skrivbord och appar i Azure Virtual Desktop är flera komponenter inblandade i att göra anslutningen lyckad. Det finns två separata sekvenser:

  1. Flödesidentifiering. Feeden är en lista över skrivbord och appar som är tillgängliga för användaren.
  2. En anslutning med hjälp av Fjärrskrivbordsprotokollet till en sessionsvärd.

Flödesidentifiering

Under flödesidentifiering fylls skrivborden och apparna som är tillgängliga för användaren i appen på deras lokala enhet. Feeden innehåller all information som behövs för att ansluta.

Processen för flödesidentifiering är följande:

  1. Användaren kan finnas var som helst i världen. Azure Traffic Manager dirigerar användarens enhet till den närmaste instansen av Azure Virtual Desktop-webbtjänsten baserat på den geografiska trafikroutningsmetoden, som använder källans IP-adress för användarens enhet.

  2. Webbtjänsten ansluter till Azure Virtual Desktop-koordinatortjänsten i samma Azure-region för att hämta RDP-filer och programikoner för användarens flöde. Koordinatortjänsten ansluter till den geografiska Azure Virtual Desktop-databasen och resurskatalogen i samma region för att hämta informationen.

  3. Broker-tjänsten returnerar RDP-filer och programikoner till webbtjänsten, som returnerar informationen till användarens enhet.

    Här är ett diagram på hög nivå som visar processen för flödesidentifiering i en enda Azure-region:

    A diagram showing the feed discovery process in a single Azure region.

    Den geografiska databasen innehåller bara den information som krävs för skrivbord och appar från värdpooler i samma Azure-regioner som omfattas av geografin. Om användaren har tilldelats skrivbord eller appar från en värdpool som omfattas av ett annat geografiskt område, uppmanar resurskatalogen webbtjänsten att ansluta till koordinatortjänsten och den geografiska databasen i rätt Azure-region.

    Här är ett diagram på hög nivå som visar processen för flödesidentifiering för en värdpool i en Azure-region som omfattas av ett annat geografiskt område:

    A diagram showing the feed discovery process for a host pool in an Azure region that's covered by a different geography.

RDP-anslutning

När en användare ansluter till ett skrivbord eller en app från sitt flöde upprättas RDP-anslutningen på följande sätt:

  1. Alla fjärrsessioner börjar med en anslutning till Azure Front Door, som tillhandahåller den globala startpunkten till Azure Virtual Desktop. Azure Front Door avgör Azure Virtual Desktop-gatewaytjänsten med den lägsta svarstiden för användarens enhet och dirigerar anslutningen till den

  2. Gatewaytjänsten ansluter till koordinatortjänsten i samma Azure-region. Gatewaytjänsten gör det möjligt för sessionsvärdar att finnas i alla regioner och fortfarande vara tillgängliga för användare.

  3. Koordinatortjänsten tar över och samordnar anslutningen mellan användarens enhet och sessionsvärden. Broker-tjänsten instruerar Azure Virtual Desktop-agenten som körs på sessionsvärden att ansluta till samma gatewaytjänst som användarens enhet har anslutit via.

  4. I det här läget görs en av två anslutningstyper, beroende på konfigurationen och tillgängliga nätverksprotokoll:

    1. Omvänd anslutningstransport: När både klient- och sessionsvärden är anslutna till gatewaytjänsten börjar den vidarebefordra RDP-trafiken med hjälp av TCP (Transmission Control Protocol) mellan klienten och sessionsvärden. Omvänd anslutningstransport är standardanslutningstypen.

    2. RDP Shortpath: en direkt UDP-baserad transport (User Datagram Protocol) skapas mellan användarens enhet och sessionsvärden och kringgår gatewaytjänsten.

Här är ett diagram på hög nivå som visar RDP-anslutningsprocessen:

A diagram showing the RDP connection process.

Dricks

Mer detaljerad teknisk information om nätverksanslutning finns i Förstå Nätverksanslutning för Azure Virtual Desktop och RDP Shortpath för Azure Virtual Desktop.

Serviceresiliens

Azure Virtual Desktop är utformat för att vara motståndskraftigt mot fel och ge användarna en tillförlitlig tjänst. Tjänsten är utformad för att vara motståndskraftig mot fel i enskilda komponenter och för att snabbt kunna återställa från fel.

De Microsoft-hanterade komponenterna i Azure Virtual Desktop finns för närvarande i cirka 40 Azure-regioner för att vara närmare användarna och tillhandahålla en elastisk tjänst. Återhämtning har implementerats globalt, geografiskt och inom en Azure-region på följande sätt:

  • Azure Traffic Manager dirigerar trafik för webbtjänsten och Azure Front Door dirigerar trafik för gatewaytjänsten. Om det uppstår ett avbrott som gör att webbtjänsten eller gatewaytjänsten inte är tillgänglig från en Azure-region, eller om det uppstår ett fullständigt regionstopp, omdirigeras trafiken till nästa närmaste tillgängliga instans i närmaste region. Omdirigering av trafiken gör det möjligt för användare att fortfarande skapa nya anslutningar.

  • Den geografiska databasen använder redundans- och datareplikeringsfunktioner i Azure SQL Database inom varje geografiskt område. Om det uppstår ett databasfel redundansväxlar databasen till den sekundära repliken och den normala åtgärden återupptas. Under redundansväxlingen finns det en kort tidsperiod då nya anslutningar misslyckas tills redundansväxlingen är klar, men den här redundansväxlingen påverkar inte befintliga anslutningar.

  • Resurskatalogen, mäklartjänsten, webbtjänsten och gatewaytjänsten är alla tillgängliga i var och en av de Azure-regioner där De Microsoft-hanterade komponenterna för Azure Virtual Desktop finns. Varje komponent har flera instanser så att det inte finns en enda felpunkt. Inom varje Azure-region finns det minst sex distinkta och separata instanser eller kluster av varje komponent som fungerar oberoende för att motstå instansfel.

    En region har till exempel tillräckligt med instanser av gatewaytjänsten för att möta efterfrågan, men också med tillräckligt med kapacitet för att även hantera fel i dessa instanser. Om en instans av gatewaytjänsten misslyckas tas alla TCP-baserade RDP-anslutningar som vidarebefordras via den specifika instansen av gatewaytjänsten bort. När de frånkopplade användarna återansluter hanterar de återstående instanserna begäranden och återansluter varje användare till sin befintliga session. Alla andra sessioner som hanteras av andra instanser av gatewaytjänsten påverkas inte.

Här är ett diagram på hög nivå som visar hur de Microsoft-hanterade komponenterna är sammankopplade:

A diagram showing how the Microsoft-managed components are interconnected.

De andra Azure-tjänster som Azure Virtual Desktop förlitar sig på är själva utformade för att vara motståndskraftiga och tillförlitliga. Mer information finns i Azure Traffic Manager och Azure Front Door.

Global räckvidd

Azure Virtual Desktop är en tjänst som kan hjälpa organisationer att anpassa sig till kraven från sina arbetare, särskilt när de arbetar på distans. Det ger ett säkert, tillförlitligt och flexibelt sätt att leverera stationära datorer och program praktiskt taget var som helst. Azure Virtual Desktop är utformat för att vara motståndskraftigt med hjälp av Azure-funktioner och -tjänster som hjälper dig att säkerställa en tjänst med hög tillgänglighet för dina arbetsbelastningar.

Här är en karta som visar den globala räckvidden för Azure Virtual Desktop:

A map demonstrating the global reach of Azure Virtual Desktop.

Information om de platser där Azure Virtual Desktop lagrade data för tjänstobjekt finns i Dataplatser för Azure Virtual Desktop.