Dela via


Integrera en Azure Virtual Desktop-arbetsbelastning med Azure-landningszoner

Att migrera en organisations slutanvändares datorer till molnet är ett vanligt molnmigreringsscenario. Det förbättrar de anställdas produktivitet och påskyndar migreringen av olika arbetsbelastningar för att stödja organisationens användarupplevelse. Varje organisation hanterar arbetsbelastningar och driver sin molnmiljö unikt. De vanliga molndriftsmodellerna är decentraliserade, centraliserade, företagsbaserade och distribuerade.

Den viktigaste skillnaden mellan de olika modellerna är ägarnivån. I den decentraliserade modellen har arbetsbelastningsägare oberoende utan någon central IT-tillsyn för styrning. De hanterar till exempel sina egna nätverks-, övervaknings- och identitetskrav. I andra änden av spektrumet finns den centraliserade modellen, där arbetsbelastningsägarna följer de styrningskrav som centrala IT-team har angett.

En detaljerad beskrivning av modellerna finns i Granska och jämföra vanliga molndriftsmodeller.

Som arbetsbelastningsägare bör du förstå den driftsmodell som din organisation använder. Det valet påverkar de tekniska beslut som du är ansvarig för och de tekniska krav som du tillämpar för dina centrala team.

För att få ut det mesta av Azure Virtual Desktop-funktioner bör du dra nytta av metodtips som gäller för organisationer. Plattformen ger anpassningsbarhet och flexibilitet, vilket hjälper din Azure Virtual Desktop-miljö att hantera framtida tillväxt.

Viktigt

Den här artikeln är en del av Azure Well-Architected Framework Azure Virtual Desktop-arbetsbelastningsserien . Om du inte är bekant med den här serien rekommenderar vi att du börjar med Vad är en Azure Virtual Desktop-arbetsbelastning?.

Azure-landningszoner

En Azure-landningszon är en konceptuell arkitektur som visar det övergripande molnavtrycket för en organisation. Den har flera prenumerationer, var och en med ett unikt syfte. Centrala team äger några av prenumerationerna, till exempel Landningszoner för Azure-plattformen.

Om du vill bekanta dig med begreppet Azure-landningszoner kan du läsa Vad är en Azure-landningszon?.

Viktigt

Azure Virtual Desktop har specifika överväganden och krav, särskilt de som är relaterade till integreringar med Azure-tjänster. Azure Virtual Desktop-landningszonacceleratorn och Azure Well-Architected Framework-vägledningen för Azure Virtual Desktop syftar till att lyfta fram dessa nödvändiga anpassningar. Dessa resurser innehåller också Cloud Adoption Framework perspektiv för en holistisk strategi för molnberedskap.

Arkitekturdiagram som visar trafikflödet i en virtuell skrivbordsarbetsbelastning.

Ladda ned en Visio-fil med den här arkitekturen.

Plattformslandningszoner

Azure Virtual Desktop måste interagera med flera externa tjänster. Centrala team kan äga vissa av dessa tjänster som en del av plattformslandningszoner. Exempel på dessa tjänster är identitetstjänster, nätverksanslutningar och säkerhetstjänster. Interaktion med dessa externa tjänster är ett grundläggande problem. För att vara fullt funktionell behöver en Azure Virtual Desktop-arbetsbelastning plattformsteamet och arbetsbelastningsteamet för att dela samma ansvarstänk.

En demonstration av de plattformslandningszoner som du behöver för att en Azure Virtual Desktop-arbetsbelastning ska köras finns i Granskning av Azure-landningszoner för Microsoft Azure Virtual Desktop. Den här artikeln beskriver en stabil plattformsgrund som påskyndar migreringen från en lokal miljö till ett privat Azure Virtual Desktop-moln.

Programlandningszoner

Det finns en separat prenumeration, som även kallas en Azure-programlandningszon, som är avsedd för arbetsbelastningsägare. I den här programlandningszonen distribuerar du din Azure Virtual Desktop-arbetsbelastning. Den har åtkomst till plattformslandningszoner som tillhandahåller den grundläggande infrastruktur som du behöver för att köra din arbetsbelastning. Exempel är nätverk, hantering av identitetsåtkomst, principer och övervakningsinfrastruktur.

Vägledning om landningszoner för program gäller för Azure Virtual Desktop-arbetsbelastningar. Mer information finns i Plattformslandningszoner jämfört med programlandningszoner. Den här vägledningen innehåller rekommendationer för att effektivt styra och hantera din arbetsbelastning.

En demonstration av en programlandningszon för en Azure Virtual Desktop-arbetsbelastning finns i referensarkitekturen för baslinjen i Exempelarkitekturer för Azure Virtual Desktop.

Integrering av designområde

Det här avsnittet belyser den solida grund som plattformen tillhandahåller. Diskussionen beskriver också de områden som har delat ansvar mellan plattformsteamet och arbetsbelastningsteamet.

Plattformsansvar

Azure Virtual Desktop-plattformsteamet ser till att infrastrukturen är redo för arbetsbelastningsteam att bygga. Några vanliga uppgifter är:

  • Hantera kapacitet genom att ange prenumerationer och regionala kvoter som är tillräckliga för distributionen.
  • Skydda och optimera anslutningen till lokala system, Azure och Internet. Den här uppgiften omfattar routning, konfiguration av brandväggsposter och hantering av centraliserade nätverksinstallationer.
  • Hantera Azure-integreringar, till exempel integreringar med Azure Storage, Azure Monitor, Log Analytics, Microsoft Entra ID och Azure Key Vault.

Delat ansvar

Arbetsbelastningsteamet och plattformsteamet har olika ansvarsområden. Men båda teamen arbetar ofta nära varandra för att säkerställa tillgänglighet och återställning av arbetsbelastningar. Teamen samordnar arbetet för att de arbetsbelastningar som körs i Azure Virtual Desktop ska lyckas. Ett effektivt samarbete mellan plattforms- och programteamen är avgörande för att distribuera Azure Virtual Desktop.

Designområdena för plattformen och programlandningszonerna är nära kopplade.

Designområde – Enterprise-registrering

Molnplattformsteamet måste förstå befintlig företagsregistrering eller Microsoft Entra klientbeslut.

Designområde – Identitets- och åtkomsthantering (IAM)

Identitet är avgörande för Azure Virtual Desktop-funktioner eftersom användarna måste autentiseras för att kunna använda tjänsten. Plattformsteamet ansvarar för att utforma en identitetslösning som kan omfatta Microsoft Entra ID, Microsoft Entra Domain Services eller Active Directory Domain Services (AD DS). Plattformsteamet ser också till att Azure Virtual Desktop-miljön har en siktlinje för identitetstjänster.

Ansvarsområden för plattformsteam Ansvarsområden för arbetsbelastningsteam
– Utforma identitetstjänster för Microsoft Entra ID, Domain Services, AD DS och Microsoft Entra Connect
- Använda rollbaserad åtkomstkontroll (RBAC) för att genomföra ansvarsfördelning
– Konfigurera Microsoft Entra principer för villkorsstyrd åtkomst
– Hantera Active Directory-organisationsenheter och grupprinciper
– Använda RBAC-tilldelningar för att styra åtkomsten till Azure Virtual Desktop-sessioner och infrastruktur i hanteringssyfte

Designområde – Nätverk och anslutning

Plattformstjänsters anslutning är ett viktigt nätverkskoncept. Plattformsteamet ansvarar för att säkerställa att Azure Virtual Desktop-miljön har rätt anslutning till:

  • Identitetstjänster för autentisering.
  • Dns (Domain Name System) för korrekt matchning.
  • Andra arbetsbelastningar i en hybridmiljö.

Plattformsteamets ansvarsområden omfattar:

  • Konfigurera privata slutpunkter och privata DNS-zoner.
  • Se till att hänsyn tas till bandbredd, svarstid och tjänstkvalitet.
  • Implementera nätverkssäkerhetsprinciper.
  • Säkerställa åtkomst till nödvändiga Internetslutpunkter.
  • Planera för affärskontinuitet och haveriberedskap.

Designområde – Resursorganisation

I plattformsteamets ansvarsområden ingår att strukturera hanteringsgrupper och resursgrupper för att förenkla åtkomsthanteringen. Det här ansvaret omfattar att definiera namngivnings- och taggningsstandarder. Arbetsbelastningsteamet säkerställer att dessa standarder efterlevs.

Designområde – Hantering

Ansvarsområden för plattformsteam Ansvarsområden för arbetsbelastningsteam
- Planera för och utveckla en övervakningsstrategi
– Använda Azure Policy för att framtvinga efterlevnad i företagsskala
- Utveckla en strategi för kostnadshantering
– Konfigurera Azure Virtual Desktop-distributionen för övervakning
– Hantera användaråtkomst
– Övervaka Azure Virtual Desktop och samarbeta med plattformsteamet om övervakningsbehov
– Ställa in budgetar och aviseringar
– Hantera användarupplevelsen och supporten
- Säkerställa efterlevnad av riktlinjer för plattform och övervakning

Designområde – Affärskontinuitet och haveriberedskap

Ansvarsområden för plattformsteam Ansvarsområden för arbetsbelastningsteam
- Utforma en strategi för affärskontinuitet och haveriberedskap, inklusive upprättande av mål för återställningspunkt (RPO) och mål för återställningstid (RTO)
– Samordna med arbetsbelastningsteamet för att säkerställa anpassning av affärskontinuitet och haveriberedskap
– Konfigurera Azure Virtual Desktop-infrastruktur och -komponenter så att de överensstämmer med strategin för affärskontinuitet och haveriberedskap
– Implementera haveriberedskapsprocedurer
– Utbilda användare om lämplig användning av Azure Virtual Desktop

Designområde – Säkerhet och styrning

Ansvarsområden för plattformsteam Ansvarsområden för arbetsbelastningsteam
- Förstå vad organisationen behöver för att uppfylla regelkrav som HIPAA (Health Insurance Portability and Accountability Act), NIST-standarder (National Institute of Standards and Technology) och PCI-standarder (Payment Card Industry) och använda Microsoft Defender för molnet för att tillämpa efterlevnadsstandarder
– Se till att resurser på hanteringsplanet distribueras i geografiska områden på ett sätt som uppfyller kraven på datahemvist
– Använda Microsoft Entra principer för villkorsstyrd åtkomst och multifaktorautentisering för att skydda användaråtkomst
– Se till att ett SIEM-verktyg (säkerhetsinformation och händelsehantering) som Microsoft Sentinel används för att samla in och övervaka användar- och administratörsaktivitetsdata
– Aktivera Hantering av hot och säkerhetsrisker utvärderingar, till exempel genom att integrera med Defender för molnet eller en lösning för sårbarhetshantering från tredje part
– Konfigurera en brandvägg och använda tjänsttaggar och programsäkerhetsgrupper för att definiera regler för nätverksåtkomst
– Skapa en dedikerad organisationsenhet i Active Directory för Azure Virtual Desktop-sessionsvärdar
– Använda Azure Policy gästkonfigurationer för att granska och härda värdoperativsystem för sessioner
– Aktivera diskkryptering
– Övervaka nätverkstrafik och implementera distribuerat överbelastningsskydd (DDoS)
– Använda principen om lägsta privilegierad åtkomst och Azure RBAC för att upprätta administrativa roller, åtgärder och tekniska roller
– Tillämpa en dedikerad grupprincip på Azure Virtual Desktop-organisationsenheter
– Hantera korrigeringar och härdning av sessionsvärdar
– Övervaka och hantera användaraktivitet

Designområde – Plattformsautomatisering och DevOps-överväganden

Ansvarsområden för plattformsteam Ansvarsområden för arbetsbelastningsteam
– Utveckla strategier för infrastruktur som kod (IaC) och DevOps – Skapa bilder
– Underhålla en pipeline för avbildningsbygge
– Uppdatera värdpooler
– Installera program
– Hantera språkdistributioner

Designområde – Operativa procedurer

Driftprocedurer hjälper till att säkerställa säkerheten för program som körs i Azure Virtual Desktop. Operativa förfaranden bidrar också till åtkomstkontroll.

Ansvarsområden för plattformsteam Ansvarsområden för arbetsbelastningsteam
Kontrollera åtkomsten till plattformen genom att definiera användarroller och behörigheter i Azure Virtual Desktop-miljön – Analysera prestanda och svarstider för Azure Virtual Desktop-distributioner för att få insikter om möjliga förbättringsområden
– Uppdatera operativsystemet, programmen och FSLogix
– Hantera nycklar
– Hantera FSLogix och analysera data för att avgöra när justeringar ska göras

Nästa steg

Använd utvärderingsverktyget för att utvärdera dina designval.