Aracılığıyla paylaş

Azure Sanal Masaüstü iş yükleri için ağ ve bağlantı konusunda dikkat edilmesi gerekenler

  • Makale

Bu makalede Azure Sanal Masaüstü iş yükünün ağ ve bağlantı tasarım alanı ele alınmaktadır. Azure Sanal Masaüstü giriş bölgeniz için Azure ağ özelliklerini tasarlamak ve uygulamak çok önemlidir. Temel olarak, bu makalede çeşitli Azure Well-Architected Framework kurumsal ölçekli giriş bölgesi mimari ilkeleri ve önerileri kullanılır. Bu kılavuza dayanarak, bu makalede ağ topolojisini ve bağlantıyı büyük ölçekte yönetme adımları gösterilmektedir.

Önemli

Bu makale, Azure Well-Architected Framework Azure Sanal Masaüstü iş yükü serisinin bir parçasıdır. Bu seriyi bilmiyorsanız Azure Sanal Masaüstü iş yükü nedir? ile başlamanızı öneririz.

İstemci gecikme süresi

Etki: Performans Verimliliği

Son kullanıcılar ve oturum konakları arasındaki gecikme süresi, Azure Sanal Masaüstü kullanıcı deneyimini etkileyen önemli bir özelliktir. Bağlantı gidiş dönüş sürelerini (RTT) tahmin etmeye yardımcı olması için Azure Sanal Masaüstü Deneyimi Tahmin Aracı aracını kullanabilirsiniz. Özellikle bu araç, Azure Sanal Masaüstü hizmeti aracılığıyla kullanıcı konumlarından sanal makineleri (VM) dağıttığınız her Azure bölgesine yönelik RTT'leri tahmin eder.

Son kullanıcı deneyiminizin kalitesini değerlendirmek için:

  • Geliştirme, test ve kavram kanıtı ortamlarında uçtan uca gecikme sürelerini test edin. Bu test, kullanıcılarınızın gerçek deneyimini dikkate almalıdır. Ağ koşulları, son kullanıcı cihazları ve dağıtılan VM'lerin yapılandırması gibi faktörleri dikkate almalıdır.
  • Gecikme süresinin uzak protokollerle bağlantının yalnızca bir yönü olduğunu unutmayın. Bant genişliği ve kullanıcı iş yükü, son kullanıcı deneyiminizi de etkiler.
Öneriler
  • Tahmini gecikme süresi değerlerini toplamak için Azure Sanal Masaüstü Deneyimi Tahmin Aracı'yı kullanın.
  • Azure sanal ağlarınızdan şirket içi sistemlerinize kadar olan gecikme sürelerini test edin.
  • Noktadan siteye (P2S) VPN bağlantısı kullanan istemciler için Kullanıcı Veri Birimi Protokolü'ne (UDP) dayalı bölünmüş bir tünel kullanın.
  • VPN veya Azure ExpressRoute kullanan şirket içi istemciler için yönetilen ağ ile Uzak Masaüstü Protokolü (RDP) Shortpath kullanın.

Şirket içi bağlantı (karma ağ)

Etki: Performans Verimliliği, Operasyonel Mükemmellik

Bazı kuruluşlar şirket içi ve bulut kaynaklarını içeren karma modelleri kullanır. Birçok karma durumda, Azure Sanal Masaüstü'nde çalışan son kullanıcı iş akışlarının paylaşılan veya platform hizmetleri, veriler veya uygulamalar gibi şirket içi kaynaklara ulaşması gerekir.

Karma ağ uygularken Bulut Benimseme Çerçevesi Ağ topolojisi ve bağlantı makalesindeki en iyi yöntemleri ve önerileri gözden geçirin.

Azure Sanal Masaüstü iş yükünü Azure giriş bölgeleriyle tümleştirme bölümünde açıklanan Azure Sanal Masaüstü ölçeklendirme modeliyle uyumlu hale getirmek önemlidir. Bu modeli izlemek için:

  • Şirket içi sistemlere bağlanan Azure Sanal Masaüstü iş akışlarının gecikme süresi ve bant genişliği gereksinimlerini değerlendirin. Karma ağ mimarinizi tasarlarken bu bilgiler çok önemlidir.
  • Azure Sanal Masaüstü alt ağlarınızla şirket içi ağlarınız arasında çakışan IP adresleri olmadığından emin olun. IP adresleme görevini, bağlantı aboneliğinizin sahibi olan ağ mimarlarına atamanızı öneririz.
  • Her Azure Sanal Masaüstü giriş bölgesine kendi sanal ağını ve alt ağ yapılandırmasını verin.
  • Gereken IP adresi alanı miktarını belirlerken olası büyümeyi göz önünde bulundurarak alt ağları uygun şekilde boyutlandırın.
  • IP adresi alanını boşa harcamamak için akıllı IP sınıfsız etki alanları arası yönlendirme (CIDR) gösterimini kullanın.
Öneriler
  • Azure sanal ağlarını şirket içi sistemlere bağlamak için en iyi yöntemleri gözden geçirin.
  • Azure sanal ağlarınızdan şirket içi sistemlerinize kadar olan gecikme sürelerini test edin.
  • Azure Sanal Masaüstü giriş bölgenizde çakışan IP adreslerinin kullanılmadığından emin olun.
  • Her Azure Sanal Masaüstü giriş bölgesine kendi sanal ağını ve alt ağ yapılandırmasını verin.
  • Azure Sanal Masaüstü alt ağlarını boyutlandırırken olası büyümeyi göz önünde bulundurun.

Çok bölgeli bağlantı

Etki: Performans Verimliliği, Maliyet İyileştirme

Azure Sanal Masaüstü çok bölgeli dağıtımınızın son kullanıcılarınıza mümkün olan en iyi deneyimi sunması için tasarımınızın aşağıdaki faktörleri dikkate alması gerekir:

  • Kimlik, ad çözümleme, karma bağlantı ve depolama hizmetleri gibi platform hizmetleri. Azure Sanal Masaüstü oturum konaklarından bu hizmetlere bağlantı, hizmetin işlevsel olması açısından çok önemlidir. Sonuç olarak, ideal tasarım Azure Sanal Masaüstü giriş bölgesi alt ağlarından bu hizmetlere gecikme süresini azaltmayı amaçlar. Hizmetleri her bölgeye çoğaltarak veya bağlantı üzerinden mümkün olan en düşük gecikme süresiyle kullanılabilir hale getirerek bu hedefe ulaşabilirsiniz.
  • Son kullanıcı gecikme süresi. Azure Sanal Masaüstü çok bölgeli dağıtım için kullanılacak konumları seçtiğinizde, kullanıcıların hizmete bağlanırken yaşadıkları gecikme süresini hesaba katın. Oturum konaklarınızı dağıtmak üzere Azure bölgelerini seçerken Azure Sanal Masaüstü Deneyimi Tahmin Aracı'nı kullanarak son kullanıcı popülasyonunuzdan gecikme süresi verilerini toplamanızı öneririz.

Ayrıca aşağıdaki faktörleri de göz önünde bulundurun:

  • Bölgeler arasında uygulama bağımlılıkları.
  • VM SKU kullanılabilirliği.
  • İnternet çıkışı, bölgeler arası trafik ve uygulamanızın veya iş yükü bağımlılıklarınızın gerektirdiği karma (şirket içi) trafikle ilişkili ağ maliyetleri.
  • FSLogix bulut önbelleği özelliğinin ağ üzerinde yerleştirdiğini ek yük. Bu faktör yalnızca bu özelliği farklı bölgeler arasında kullanıcı profili verilerini çoğaltmak için kullandığınızda geçerlidir. Ayrıca bu özelliğin kullandığı artan ağ trafiğinin ve depolama alanının maliyetini de göz önünde bulundurun.

Mümkünse hızlandırılmış ağ sunan VM SKU'larını kullanın. Yüksek bant genişliği kullanan iş yüklerinde hızlandırılmış ağ, CPU kullanımını ve gecikme süresini düşürebilir.

Ağınızın kullanılabilir bant genişliği, uzak oturumlarınızın kalitesini önemli ölçüde etkiler. Sonuç olarak, şirket içi bağımlılıklar için yeterli bant genişliğinin kullanılabilir olduğundan emin olmak için kullanıcıların ağ bant genişliği gereksinimlerini değerlendirmek iyi bir uygulamadır.

Öneriler
  • İç ilkeleriniz izin versin platform ve paylaşılan hizmetleri her bölgeye çoğaltın.
  • Mümkünse hızlandırılmış ağ sunan VM SKU'larını kullanın.
  • Bölge seçim işleminize son kullanıcı gecikme süresi tahminlerini ekleyin.
  • Bant genişliği gereksinimlerini tahmin ederken iş yükü türlerini dikkate alın ve gerçek kullanıcı bağlantılarını izleyin.

Ağ güvenliği

Etki: Güvenlik, Maliyet İyileştirme, Operasyonel Mükemmellik

Geleneksel olarak ağ güvenliği, kurumsal güvenlik çalışmalarının temeli olmuştur. Ancak bulut bilişim, ağ çevrelerinin daha gözenekli olması gereksinimini artırdı ve birçok saldırgan kimlik sistemi öğelerine yönelik saldırılar konusunda ustalaşmıştır. Aşağıdaki noktalar, Azure Sanal Masaüstü'nü dağıtmak için en düşük güvenlik duvarı gereksinimlerine genel bir bakış sağlar. Bu bölümde ayrıca bir güvenlik duvarına bağlanma ve bu hizmeti gerektiren uygulamalara ulaşma önerileri sağlanır.

  • Güvenilir-intranet yaklaşımını temel alan geleneksel ağ denetimleri, bulut uygulamaları için etkili güvenlik güvenceleri sağlamaz.
  • Günlüklerin ağ cihazlarından ve ham ağ trafiğinden tümleştirilmesi olası güvenlik tehditlerine görünürlük sağlar.
  • Çoğu kuruluş başlangıçta planlanandan daha fazla kaynağı ağlara ekler. Sonuç olarak, ek kaynakları barındırmak için IP adresi ve alt ağ düzenlerinin yeniden düzenlenmesi gerekir. Bu süreç yoğun emek gerektirir. Çok sayıda küçük alt ağ oluşturma ve ardından güvenlik grupları gibi ağ erişim denetimlerini bunların her birine eşlemeye çalışma konusunda sınırlı güvenlik değeri vardır.

Ağ trafiğine denetimler yerleştirerek varlıkları koruma hakkında genel bilgi için bkz. Ağ ve bağlantı önerileri.

Öneriler
  • Dağıtımınızda Azure Güvenlik Duvarı kullanmak için gereken yapılandırmaları anlayın. Daha fazla bilgi için bkz. Azure Sanal Masaüstü dağıtımlarını korumak için Azure Güvenlik Duvarı kullanma.
  • Azure Sanal Masaüstü trafiğinizi segmentlere ayırmak için ağ güvenlik grupları ve uygulama güvenlik grupları oluşturun. Bu uygulama, alt ağlarınızı trafik akışlarını denetleyerek yalıtmanıza yardımcı olur.
  • Azure hizmetleri için belirli IP adresleri yerine hizmet etiketlerini kullanın. Adresler değiştiğinden, bu yaklaşım ağ güvenlik kurallarını sık sık güncelleştirmenin karmaşıklığını en aza indirir.
  • Azure Sanal Masaüstü için gerekli URL'leri öğrenin.
  • Azure Sanal Masaüstü trafiğinin trafiği bir güvenlik duvarına veya ağ sanal gerecine (NVA) yönlendirmek için kullandığınız zorlamalı tünel kurallarını atlamasına izin vermek için bir yönlendirme tablosu kullanın. Aksi takdirde zorlamalı tünel, istemcilerinizin bağlantısının performansını ve güvenilirliğini etkileyebilir.
  • Azure Dosyalar ve Azure Key Vault gibi hizmet olarak platform (PaaS) çözümlerini korumaya yardımcı olmak için özel uç noktaları kullanın. Ancak özel uç noktaları kullanmanın maliyetini göz önünde bulundurun.
  • Azure Özel Bağlantı yapılandırma seçeneklerini ayarlayın. Bu hizmeti Azure Sanal Masaüstü ile kullandığınızda, Azure Sanal Masaüstü denetim düzlemi bileşenlerinin genel uç noktalarını devre dışı bırakabilir ve genel IP adreslerini kullanmaktan kaçınmak için özel uç noktaları kullanabilirsiniz.
  • Active Directory Domain Services (AD DS) kullanıyorsanız katı güvenlik duvarı ilkeleri uygulayın. Bu ilkeleri, etki alanınız genelinde gerekli olan trafiğe dayandırın.
  • Son kullanıcılarınızın Azure Sanal Masaüstü oturum konaklarından internet erişimini korumaya yardımcı olmak için Azure Güvenlik Duvarı veya NVA web filtrelemesi kullanmayı göz önünde bulundurun.

Etki: Güvenlik

Varsayılan olarak, Azure Sanal Masaüstü kaynaklarına bağlantılar genel olarak erişilebilen bir uç nokta üzerinden kurulur. Bazı senaryolarda trafiğin özel bağlantılar kullanması gerekir. Bu senaryolar, uzak Azure Sanal Masaüstü kaynaklarına özel olarak bağlanmak için Özel Bağlantı kullanabilir. Daha fazla bilgi için bkz. Azure Sanal Masaüstü ile Azure Özel Bağlantı. Özel uç nokta oluşturduğunuzda, sanal ağınızla hizmet arasındaki trafik Microsoft ağında kalır. Hizmetiniz genel İnternet'e açık değildir.

Aşağıdaki senaryoları desteklemek için Azure Sanal Masaüstü özel uç noktalarını kullanabilirsiniz:

  • İstemcileriniz veya son kullanıcılarınız ve oturum konağı VM'leriniz özel yollar kullanır.
  • İstemcileriniz veya son kullanıcılarınız genel yolları kullanırken, oturum konağı VM'leriniz özel yollar kullanır.

Azure Sanal Masaüstü oturum konakları, diğer hizmet olarak altyapı (IaaS) iş yükleriyle aynı ad çözümleme gereksinimlerine sahiptir. Sonuç olarak, oturum konakları özel uç nokta IP adreslerini çözümlemek için yapılandırılmış ad çözümleme hizmetlerine bağlantı gerektirir. Sonuç olarak, özel uç noktaları kullandığınızda belirli DNS ayarlarını yapılandırmanız gerekir. Ayrıntılı bilgi için bkz. Azure özel uç nokta DNS yapılandırması.

Özel Bağlantı, Azure Dosyalar ve Key Vault gibi Azure Sanal Masaüstü ile birlikte çalışan diğer Azure hizmetleri için de kullanılabilir. Trafiğin özel kalmasını sağlamak için bu hizmetler için özel uç noktalar da uygulamanızı öneririz.

Öneriler

RDP Kısayolu

Etki: Performans Verimliliği, Maliyet İyileştirme

RDP Shortpath, Yönetilen ve yönetilmeyen ağlarda kullanılabilen bir Azure Sanal Masaüstü özelliğidir.

  • RdP Shortpath, yönetilen ağlar için uzak masaüstü istemcisi ile oturum konağı arasında doğrudan bağlantı kurar. Aktarım UDP'yi temel alır. RDP Shortpath, fazladan geçiş noktalarını kaldırarak gidiş dönüş süresini kısaltarak gecikme süresine duyarlı uygulamalarda ve giriş yöntemlerinde kullanıcı deneyimini geliştirir. RDP Shortpath'i desteklemek için Azure Sanal Masaüstü istemcisinin oturum konağına doğrudan görüş hattı sağlaması gerekir. İstemcinin ayrıca Windows Masaüstü istemcisini yüklemesi ve Windows 11 veya Windows 10 çalıştırması gerekir.
  • Yönetilmeyen ağlar için iki bağlantı türü mümkündür:
    • İstemci ve oturum konağı arasında doğrudan bağlantı kurulur. Bağlantıyı kurmak için ağ adresi çevirisi (STUN) ve etkileşimli bağlantı kurma (ICE) altında basit dolaşma kullanılır. Bu yapılandırma, Azure Sanal Masaüstü için aktarım güvenilirliğini artırır. Daha fazla bilgi için bkz. RDP Shortpath nasıl çalışır?
    • Dolaylı bir UDP bağlantısı kurulur. İstemci ve oturum konağı arasında geçişle Geçiş Kullanarak Geçiş NAT (TURN) protokollerini kullanarak ağ adresi çevirisi (NAT) sınırlamalarının üstesinden gelir.

İletim Denetimi Protokolü'nü (TCP) temel alan aktarımda, bir VM'den RDP istemcisine giden trafik Azure Sanal Masaüstü ağ geçidi üzerinden akar. RDP Shortpath ile giden trafik doğrudan oturum konağı ile RDP istemcisi arasında İnternet üzerinden akar. Bu yapılandırma, bir atlamanın ortadan kaldırılmasına ve gecikme süresini ve son kullanıcı deneyiminin iyileştirilmesine yardımcı olur.

Öneriler
  • Gecikme süresini ve son kullanıcı deneyiminizi iyileştirmeye yardımcı olması için RDP Shortpath'i kullanın.
  • RDP Shortpath bağlantı modellerinin kullanılabilirliğini unutmayın.
  • RDP Shortpath ücretlerine dikkat edin.

Sonraki adımlar

Azure Sanal Masaüstü'nde ağ ve bağlantıyı incelediğinize göre altyapınızı ve iş yükünüzü izlemeye yönelik en iyi yöntemleri araştırın.

İzleme

Tasarım seçimlerinizi değerlendirmek için değerlendirme aracını kullanın.

Değerlendirme