Dela via


Nätverks- och anslutningsöverväganden för Azure Virtual Desktop-arbetsbelastningar

Den här artikeln beskriver designområdet för nätverk och anslutningar i en Azure Virtual Desktop-arbetsbelastning. Det är viktigt att utforma och implementera Azure-nätverksfunktioner för din Azure Virtual Desktop-landningszon. Som grund använder den här artikeln flera arkitekturprinciper och rekommendationer för Azure Well-Architected Framework i företagsskala. Genom att bygga vidare på den här vägledningen visar den här artikeln hur du hanterar nätverkstopologi och anslutningar i stor skala.

Viktigt

Den här artikeln är en del av Azure Well-Architected Framework Azure Virtual Desktop-arbetsbelastningsserien . Om du inte är bekant med den här serien rekommenderar vi att du börjar med Vad är en Azure Virtual Desktop-arbetsbelastning?.

Klientfördröjning

Effekt: Prestandaeffektivitet

Svarstiden mellan slutanvändare och sessionsvärdar är en viktig aspekt som påverkar användarupplevelsen i Azure Virtual Desktop. Du kan använda verktyget Azure Virtual Desktop Experience Estimator för att beräkna anslutningars tur-och-retur-tider (RTT). Mer specifikt beräknar det här verktyget RTT:er från användarplatser via Azure Virtual Desktop-tjänsten till varje Azure-region där du distribuerar virtuella datorer (VM).

Så här utvärderar du kvaliteten på slutanvändarupplevelsen:

  • Testa svarstider från slutpunkt till slutpunkt i utvecklings-, testnings- och koncepttestmiljöer. Det här testet bör ta hänsyn till användarnas faktiska upplevelse. Den bör ta hänsyn till faktorer som nätverksförhållanden, slutanvändarenheter och konfigurationen av de distribuerade virtuella datorerna.
  • Tänk på att svarstiden bara är en aspekt av anslutningen med fjärrprotokoll. Bandbredd och användararbetsbelastning påverkar även slutanvändarupplevelsen.
Rekommendationer
  • Använd Azure Virtual Desktop Experience Estimator för att samla in värden för uppskattad svarstid.
  • Testa svarstider från dina virtuella Azure-nätverk till dina lokala system.
  • Använd en delad tunnel som baseras på UDP (User Datagram Protocol) för klienter som använder en PUNKT-till-plats-VPN-anslutning (P2S).
  • Använd rdp-kortsökvägen (Remote Desktop Protocol) med ett hanterat nätverk för lokala klienter som använder ett VPN eller Azure ExpressRoute.

Lokal anslutning (hybridnätverk)

Effekt: Prestandaeffektivitet, driftseffektivitet

Vissa organisationer använder hybridmodeller som innehåller lokala och molnbaserade resurser. I många hybridfall måste slutanvändararbetsflöden som körs på Azure Virtual Desktop nå lokala resurser, till exempel delade tjänster eller plattformstjänster, data eller program.

När du implementerar hybridnätverk kan du läsa metodtips och rekommendationer i artikeln Cloud Adoption Framework Nätverkstopologi och anslutning.

Det är viktigt att anpassa sig till skalningsmodellen för Azure Virtual Desktop som beskrivs i Integrera en Azure Virtual Desktop-arbetsbelastning med Azure-landningszoner. Så här följer du den här modellen:

  • Utvärdera svarstids- och bandbreddskraven för Azure Virtual Desktop-arbetsflöden som ansluter till lokala system. Den här informationen är viktig när du utformar din hybridnätverksarkitektur.
  • Kontrollera att det inte finns några överlappande IP-adresser mellan dina Azure Virtual Desktop-undernät och dina lokala nätverk. Vi rekommenderar att du tilldelar uppgiften ip-adressering till nätverksarkitekterna som är ägare till din anslutningsprenumeration.
  • Ge varje Azure Virtual Desktop-landningszon sin egen konfiguration av virtuella nätverk och undernät.
  • Ändra storlek på undernäten på lämpligt sätt genom att överväga potentiell tillväxt när du fastställer hur mycket IP-adressutrymme som behövs.
  • Använd CIDR-notation (smart IP classless inter-domain routing) för att undvika att slösa bort IP-adressutrymme.
Rekommendationer
  • Läs metodtipsen för att ansluta virtuella Azure-nätverk till lokala system.
  • Testa svarstider från dina virtuella Azure-nätverk till dina lokala system.
  • Se till att inga överlappande IP-adresser används i din Azure Virtual Desktop-landningszon.
  • Ge varje Azure Virtual Desktop-landningszon sin egen konfiguration av virtuella nätverk och undernät.
  • Överväg potentiell tillväxt när du har storleken på Azure Virtual Desktop-undernät.

Anslutning mellan flera regioner

Effekt: Prestandaeffektivitet, kostnadsoptimering

För att distributionen av Azure Virtual Desktop i flera regioner ska ge slutanvändarna bästa möjliga upplevelse måste designen ta hänsyn till följande faktorer:

  • Plattformstjänster, till exempel identitet, namnmatchning, hybridanslutningar och lagringstjänster. Anslutningen från Azure Virtual Desktop-sessionsvärdar till dessa tjänster är nyckeln för att tjänsten ska fungera. Därför syftar den perfekta designen till att minska svarstiden från Azure Virtual Desktop-undernät för landningszoner till dessa tjänster. Du kan uppnå det här målet genom att replikera tjänster till varje region eller göra dem tillgängliga via anslutningen med kortast möjliga svarstid.
  • Slutanvändarens svarstid. När du väljer platser som ska användas för en Distribution i flera regioner i Azure Virtual Desktop är det viktigt att ta hänsyn till den svarstid som användarna upplever när de ansluter till tjänsten. Vi rekommenderar att du samlar in svarstidsdata från slutanvändarens befolkning med hjälp av Azure Virtual Desktop Experience Estimator när du väljer Azure-regioner att distribuera dina sessionsvärdar till.

Tänk också på följande faktorer:

  • Programberoenden mellan regioner.
  • TILLGÄNGLIGHET för VM SKU.
  • Nätverkskostnader som är associerade med utgående Internettrafik, trafik mellan regioner och hybridtrafik (lokalt) som ditt program eller dina arbetsbelastningsberoenden kräver.
  • Den extra belastning som FSLogix cloud cache-funktionen placerar i nätverk. Den här faktorn är bara relevant om du använder den här funktionen för att replikera användarprofildata mellan olika regioner. Överväg även kostnaden för den ökade nätverkstrafik och lagring som den här funktionen använder.

Om möjligt använder du VM-SKU:er som erbjuder accelererat nätverk. I arbetsbelastningar som använder hög bandbredd kan accelererat nätverk minska processoranvändningen och svarstiden.

Nätverkets tillgängliga bandbredd påverkar avsevärt kvaliteten på dina fjärrsessioner. Därför är det en bra idé att utvärdera kraven på nätverksbandbredd för användarna för att säkerställa att tillräckligt med bandbredd är tillgänglig för lokala beroenden.

Rekommendationer
  • Replikera plattforms- och delade tjänster till varje region när dina interna principer tillåter det.
  • Använd VM-SKU:er som erbjuder accelererat nätverk om möjligt.
  • Inkludera uppskattningar av svarstid för slutanvändare i din regionvalsprocess.
  • Ta hänsyn till arbetsbelastningstyper när du beräknar bandbreddskraven och övervaka anslutningar med verkliga användare.

Nätverkssäkerhet

Effekt: Säkerhet, kostnadsoptimering, driftseffektivitet

Traditionellt har nätverkssäkerhet varit grundbulten i företagets säkerhetsinsatser. Men molnbaserad databehandling har ökat kravet på att nätverksperimeter ska vara mer porösa, och många angripare har behärskat konsten att attackera identitetssystemelement. Följande punkter ger en översikt över de minsta brandväggskraven för distribution av Azure Virtual Desktop. Det här avsnittet innehåller också rekommendationer för att ansluta till en brandvägg och nå de appar som kräver den här tjänsten.

  • Traditionella nätverkskontroller som baseras på en betrodd intranätsmetod ger inte effektivt säkerhetsgarantier för molnprogram.
  • Integrering av loggar från nätverksenheter och rå nätverkstrafik ger insyn i potentiella säkerhetshot.
  • De flesta organisationer lägger till fler resurser i nätverk än vad som ursprungligen planerades. Därför måste IP-adress- och undernätsscheman omstruktureras för att tillgodose de extra resurserna. Den här processen är arbetsintensiv. Det finns ett begränsat säkerhetsvärde för att skapa ett stort antal små undernät och sedan försöka mappa nätverksåtkomstkontroller, till exempel säkerhetsgrupper, till var och en av dem.

Allmän information om hur du skyddar tillgångar genom att placera kontroller på nätverkstrafik finns i Rekommendationer för nätverk och anslutningar.

Rekommendationer
  • Förstå de konfigurationer som behövs för att använda Azure Firewall i distributionen. Mer information finns i Använda Azure Firewall för att skydda Azure Virtual Desktop-distributioner.
  • Skapa nätverkssäkerhetsgrupper och programsäkerhetsgrupper för att segmentera Azure Virtual Desktop-trafiken. Den här metoden hjälper dig att isolera dina undernät genom att styra deras trafikflöden.
  • Använd tjänsttaggar i stället för specifika IP-adresser för Azure-tjänster. Eftersom adresser ändras minimerar den här metoden komplexiteten med att ofta uppdatera nätverkssäkerhetsregler.
  • Bekanta dig med de URL:er som krävs för Azure Virtual Desktop.
  • Använd en routningstabell för att tillåta Azure Virtual Desktop-trafik att kringgå regler för tvingad tunneltrafik som du använder för att dirigera trafik till en brandvägg eller virtuell nätverksinstallation (NVA). Annars kan tvingad tunneltrafik påverka prestanda och tillförlitlighet för dina klienters anslutning.
  • Använd privata slutpunkter för att skydda PaaS-lösningar (plattform som en tjänst) som Azure Files och Azure Key Vault. Men överväg kostnaden för att använda privata slutpunkter.
  • Justera konfigurationsalternativen för Azure Private Link. När du använder den här tjänsten med Azure Virtual Desktop kan du inaktivera de offentliga slutpunkterna för Kontrollplanskomponenter i Azure Virtual Desktop och använda privata slutpunkter för att undvika att använda offentliga IP-adresser.
  • Implementera strikta brandväggsprinciper om du använder Active Directory Domain Services (AD DS). Basera dessa principer på den trafik som krävs i hela domänen.
  • Överväg att använda Azure Firewall- eller NVA-webbfiltrering för att skydda dina slutanvändares åtkomst till Internet från Azure Virtual Desktop-sessionsvärdar.

Effekt: Säkerhet

Som standard upprättas anslutningar till Azure Virtual Desktop-resurser via en offentligt tillgänglig slutpunkt. I vissa fall måste trafiken använda privata anslutningar. De här scenarierna kan använda Private Link för att ansluta privat till fjärranslutna Azure Virtual Desktop-resurser. Mer information finns i Azure Private Link med Azure Virtual Desktop. När du skapar en privat slutpunkt finns trafiken mellan ditt virtuella nätverk och tjänsten kvar i Microsoft-nätverket. Tjänsten exponeras inte för det offentliga Internet.

Du kan använda privata Azure Virtual Desktop-slutpunkter för att stödja följande scenarier:

  • Både dina klienter eller slutanvändare och dina virtuella sessionsvärddatorer använder privata vägar.
  • Dina klienter eller slutanvändare använder offentliga vägar medan dina virtuella sessionsvärddatorer använder privata vägar.

Azure Virtual Desktop-sessionsvärdar har samma namnmatchningskrav som andra IaaS-arbetsbelastningar (infrastruktur som en tjänst). Därför kräver sessionsvärdarna anslutning till namnmatchningstjänster som är konfigurerade för att matcha privata slutpunkts-IP-adresser. När du använder privata slutpunkter måste du därför konfigurera specifika DNS-inställningar. Detaljerad information finns i DNS-konfiguration för privat slutpunkt i Azure.

Private Link är också tillgängligt för andra Azure-tjänster som fungerar tillsammans med Azure Virtual Desktop, till exempel Azure Files och Key Vault. Vi rekommenderar att du även implementerar privata slutpunkter för dessa tjänster för att hålla trafiken privat.

Rekommendationer

RDP Shortpath

Effekt: Prestandaeffektivitet, kostnadsoptimering

RDP Shortpath är en funktion i Azure Virtual Desktop som är tillgänglig för hanterade och ohanterade nätverk.

  • För hanterade nätverk upprättar RDP Shortpath en direktanslutning mellan en fjärrskrivbordsklient och en sessionsvärd. Transporten baseras på UDP. Genom att ta bort extra reläpunkter minskar RDP Shortpath tur och retur-tiden, vilket förbättrar användarupplevelsen i svarstidskänsliga program och indatametoder. För att stödja RDP Shortpath behöver en Azure Virtual Desktop-klient en direkt siktlinje till sessionsvärden. Klienten måste också installera Windows Desktop-klienten och köra Windows 11 eller Windows 10.
  • För ohanterade nätverk är två anslutningstyper möjliga:
    • Direktanslutning upprättas mellan klienten och sessionsvärden. Enkel bläddring under nätverksadressöversättning (STUN) och interaktiv anslutningsetablering (ICE) används för att upprätta anslutningen. Den här konfigurationen förbättrar transporttillförlitligheten för Azure Virtual Desktop. Mer information finns i Så här fungerar RDP Shortpath.
    • En indirekt UDP-anslutning upprättas. Den övervinner begränsningar för NAT (Network Address Translation) med hjälp av protokollet Traversal Using Relay NAT (TURN) med ett relä mellan klienten och sessionsvärden.

Med transport som baseras på TCP (Transmission Control Protocol) flödar utgående trafik från en virtuell dator till en RDP-klient via en Azure Virtual Desktop-gateway. Med RDP Shortpath flödar utgående trafik direkt mellan sessionsvärden och RDP-klienten via Internet. Den här konfigurationen hjälper till att eliminera ett hopp och förbättra svarstiden och slutanvändarupplevelsen.

Rekommendationer
  • Använd RDP Shortpath för att förbättra svarstiden och slutanvändarupplevelsen.
  • Var medveten om tillgängligheten för RDP Shortpath-anslutningsmodeller.
  • Tänk på RDP Shortpath-avgifter.

Nästa steg

Nu när du har undersökt nätverk och anslutningar i Azure Virtual Desktop undersöker du metodtips för övervakning av din infrastruktur och arbetsbelastning.

Använd utvärderingsverktyget för att utvärdera dina designval.