你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

Azure 虚拟桌面登陆区域设计指南

本文围绕 Azure 虚拟桌面的企业级登陆区域，为架构师和技术决策者提供了设计导向的概述。 目标是帮助你快速了解加速器及其设计方式，从而缩短成功完成部署所需的时间。

登陆区域的概念

如果你了解 Azure 登陆区域，可以直接跳到下一部分。 如果不了解，请在继续之前查看以下概念：

• 抽象地来说，登陆区域可通过概念化用于放置和集成资源的指定区域，帮助你规划和设计 Azure 部署。 登录区域有两种类型：

  • 平台登陆区域：针对多个工作负载和应用程序提供集中式企业级基础服务。
  • 应用程序登陆区域：提供特定于某个应用程序或工作负载的服务。

• 具体来说，可以从两个角度来考量登陆区域：

  • 参考体系结构：一种展示如何将资源部署到满足登陆区域要求的一个或多个 Azure 订阅的特定设计。
  • 参考实现：用于根据参考体系结构将 Azure 资源部署到登陆区域订阅的项目。 许多登陆区域都提供多种部署选项，但最常见的是现成的基础结构即代码 (IaC) 模板，也称为“登陆区域加速器”。 加速器将使用 ARM、Bicep 和 Terraform 等 IaC 技术自动执行和加速参考实现的部署。

• 部署到应用程序登陆区域的工作负载将与平台登陆区域提供的服务集成，并依赖于这些服务。 这些基础结构服务会运行网络、标识访问管理、策略和监视等工作负载。 此运营基础可在 Azure 中实现企业级迁移、现代化和创新。

总之，Azure 登陆区域提供了用于运行云工作负载的目标位置、用于大规模管理工作负载组合的规范性模型，以及跨工作负载团队的一致性和治理功能。

参考体系结构

Azure 虚拟桌面的企业级登陆区域是 Azure 云采用框架领域“桌面虚拟化”方案系列文章的一部分。 该系列提供了登陆区域的兼容性要求、设计原则和部署指南。 它们还提供了企业级实现的参考体系结构，确保环境能够托管桌面和任何支持性工作负载。

设计原理

与其他登陆区域一样，企业级 Azure 虚拟桌面登陆区域在设计时采用了一组核心云采用框架设计原则，并遵循了常见设计领域的要求。

Azure 虚拟桌面登陆区域的设计领域在图中用字母“A”到“J”表示，以说明资源组织的层次结构：

图例	设计领域	目标
A	企业注册	正确的租户创建、注册和计费设置是重要的早期步骤。
B、G	标识和访问管理	标识和访问管理是公有云中的主要安全边界。 它是任何安全且完全合规的体系结构的基础。
C-H、J	资源组织	随着云采用扩展，订阅设计和管理组层次结构的注意事项会影响治理、运营管理和采用模式。
C-H、J	管理与监视	若要在云中稳定持续运营，需要使用管理基线来提供可见性、运营合规性以及保护和恢复功能。
E、F	网络拓扑和连接	对于任何云体系结构，网络和连接性决策都是同等重要的基础方面。
G、F、J	业务连续性和灾难恢复	自动审核和强制实施治理策略。
F、J	安全性治理和符合性	实现控制措施和流程以保护云环境。
I	平台自动化和 DevOps	调整最佳工具和模板，以部署登陆区域和支持资源。

参考实现

Azure 虚拟桌面登陆区域加速器将为 Azure 虚拟桌面的企业级参考实现部署资源。 此实现基于上一部分中讨论的参考体系结构。

体系结构

重要

该加速器会将资源部署到以下体系结构图中标识的 Azure 虚拟桌面登陆区域订阅：AVD LZ 订阅和 AVD 共享服务 LZ 订阅。

强烈建议首先部署适当的云采用框架平台登陆区域，以提供加速器部署的资源所需的企业级基础服务。 请参阅基线部署先决条件，查看加速器的全套先决条件和要求。

请下载此体系结构的 Visio 图

加速器概述

Azure 虚拟桌面登录区域加速器可根据具体要求支持多种部署方案。 每种部署方案都支持在全新和旧有环境中进行部署，并提供多个 IaC 模板选项：

• Azure 门户 UI（ARM 模板）
• Azure CLI 或 Azure PowerShell（Bicep/ARM 模板）
• Terraform 模板

该加速器将根据以下建议使用资源命名自动化功能：

• Microsoft 云采用框架 (CAF) 命名约定的最佳做法
• Azure 资源类型的建议缩写
• 建议的最小标记。

在继续执行相应部署方案之前，请熟悉加速器使用的 Azure 资源 命名、标记和组织方式：

请下载此示意图的完整大小图像

加速器部署

若要继续进行部署，请选择以下最符合你的要求的部署方案选项卡：

基线部署

基线部署将会部署 Azure 虚拟桌面资源和依赖服务，让你能够建立 Azure 虚拟桌面基线。

此部署方案包括以下各项：

• Azure 虚拟桌面资源，包括一个工作区、两个应用程序组、一个伸缩计划、一个主机池，以及多个会话主机虚拟机
• 与标识服务集成的 Azure 文件存储共享
• 用于管理机密、密钥和证书的 Azure 密钥保管库
• （可选）具有基线网络安全组 (NSG)、应用程序安全组 (ASG) 和路由表的新 Azure 虚拟网络

准备好进行部署后，请完成以下步骤：

1. 查看入门文档，详细了解先决条件、规划信息，以及有关部署内容的讨论。

2. （可选）查看“自定义映像生成部署”选项卡，为 Azure 虚拟桌面主机会话生成更新的映像。

3. 继续执行基线部署步骤。 如果在上一步中创建了自定义 Azure Compute Gallery 映像，请确保在“会话主机”页面上为“OS 映像源”选择“计算库”，并选择正确的“映像”：

   

自定义映像生成部署

可选的自定义映像生成部署选项将会在 Azure 市场的 Azure Compute Gallery 中创建一个经过优化、修补且直接可用的新映像。 此部署是可选的，可通过自定义来扩展功能，例如添加脚本以进一步自定义映像。

以下是当前提供的映像：

• Windows 10 21H2
• Windows 10 22H2（第 2 代）
• Windows 11 21H2（第 2 代）
• Windows 11 22H2（第 2 代）
• 附带 Microsoft 365 的 Windows 10 21H2
• 附带 Microsoft 365 的 Windows 10 22H2（第 2 代）
• 附带 Microsoft 365 的 Windows 11 21H2（第 2 代）
• 附带 Microsoft 365 的 Windows 11 22H2（第 2 代）

你还可以选择在 Azure Compute Gallery 映像定义上启用受信任的启动或机密 VM 安全类型功能。 自定义映像将使用虚拟桌面优化工具 (VDOT) 进行优化，并使用最新的 Windows 更新进行修补。

准备好进行部署后，请完成以下步骤：

1. 查看入门文档，详细了解先决条件、规划信息，以及有关部署内容的讨论。
2. 继续执行自定义映像生成部署步骤。