通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure 虚拟桌面工作负载的网络和连接注意事项

  • 项目

本文讨论 Azure 虚拟桌面工作负载的网络和连接设计领域。 为 Azure 虚拟桌面登陆区域设计和实现 Azure 网络功能至关重要。 作为基础,本文使用多个 Azure Well-Architected Framework 企业级登陆区域体系结构原则和建议。 本文基于本指南构建,介绍如何大规模管理网络拓扑和连接。

重要

本文是 Azure Well-Architected Framework Azure 虚拟桌面工作负载 系列的一部分。 如果不熟悉本系列,建议从什么是 Azure 虚拟桌面工作负载开始。

客户端延迟

影响:性能效率

最终用户和会话主机之间的延迟是影响 Azure 虚拟桌面用户体验的一个关键方面。 可以使用 Azure 虚拟桌面体验估算器 工具来帮助估算 (RTT) 的连接往返时间。 具体而言,此工具通过 Azure 虚拟桌面服务估计从用户位置到部署虚拟机的每个 Azure 区域的 RTT (VM) 。

若要评估最终用户体验的质量,请执行以下操作:

  • 测试开发、测试和概念证明环境中的端到端延迟。 此测试应考虑用户的实际体验。 它应考虑网络状况、最终用户设备和已部署 VM 的配置等因素。
  • 请记住,延迟只是远程协议连接的一个方面。 带宽和用户工作负载也会影响最终用户体验。
建议
  • 使用 Azure 虚拟桌面体验估算器 收集估计的延迟值。
  • 测试从 Azure 虚拟网络到本地系统的延迟。
  • 对于使用点到站点 (P2S) VPN 连接的客户端,请使用基于用户数据报协议的拆分隧道 (UDP) 。
  • 将远程桌面协议 (RDP) Shortpath 与使用 VPN 或 Azure ExpressRoute 的站点客户端配合使用托管网络。

本地连接 (混合网络)

影响:性能效率、卓越运营

某些组织使用包含本地和云资源的混合模型。 在许多情况下,在 Azure 虚拟桌面上运行的最终用户工作流需要访问本地资源,例如共享或平台服务、数据或应用程序。

实现混合网络时,请查看云采用框架网络拓扑和连接一文中的最佳做法和建议。

请务必与将 Azure 虚拟桌面 工作负载与 Azure 登陆区域集成中所述的 Azure 虚拟桌面缩放模型保持一致。 若要遵循此模型,请执行以下操作:

  • 评估连接到本地系统的 Azure 虚拟桌面工作流的延迟和带宽要求。 设计混合网络体系结构时,此信息至关重要。
  • 确保 Azure 虚拟桌面子网与本地网络之间没有重叠的 IP 地址。 建议将 IP 寻址任务分配给网络架构师,而网络架构师是连接订阅的所有者。
  • 为每个 Azure 虚拟桌面登陆区域提供自己的虚拟网络和子网配置。
  • 在确定所需的 IP 地址空间量时,通过考虑潜在的增长来适当调整子网大小。
  • 使用智能 IP 无类域间路由 (CIDR) 表示法,以避免浪费 IP 地址空间。
建议
  • 查看将 Azure 虚拟网络连接到本地系统的最佳做法。
  • 测试从 Azure 虚拟网络到本地系统的延迟。
  • 确保在 Azure 虚拟桌面登陆区域中不使用重叠的 IP 地址。
  • 为每个 Azure 虚拟桌面登陆区域提供自己的虚拟网络和子网配置。
  • 在调整 Azure 虚拟桌面子网大小时,请考虑潜在的增长。

多区域连接

影响:性能效率、成本优化

为使 Azure 虚拟桌面多区域部署为最终用户提供最佳体验,设计需要考虑以下因素:

  • 平台服务,例如标识、名称解析、混合连接和存储服务。 从 Azure 虚拟桌面会话主机到这些服务的连接是该服务正常运行的关键。 因此,理想的设计旨在降低从 Azure 虚拟桌面登陆区域子网到这些服务的延迟。 可以通过将服务复制到每个区域或通过连接以尽可能低的延迟提供这些服务来实现此目标。
  • 最终用户延迟。 选择要用于 Azure 虚拟桌面多区域部署的位置时,请务必考虑用户在连接到服务时遇到的延迟。 建议在选择要将会话主机部署到的 Azure 区域时,使用 Azure 虚拟桌面体验估算器 从最终用户群体中收集延迟数据。

同时还应考虑下列因素:

  • 跨区域的应用程序依赖项。
  • VM SKU 可用性。
  • 与 Internet 出口、跨区域流量和本地混合 (关联的网络成本) 应用程序或工作负载依赖项所需的流量。
  • FSLogix 云缓存功能在网络上放置的额外负载。 仅当使用此功能在不同区域之间复制用户配置文件数据时,此因素才相关。 另请考虑此功能使用的网络流量和存储增加的成本。

如果可能,请使用提供加速网络的 VM SKU。 在使用高带宽的工作负载中,加速网络可以降低 CPU 利用率和延迟。

网络的可用带宽会极大地影响远程会话的质量。 因此,最好评估用户的网络带宽要求,以确保有足够的带宽可用于本地依赖项。

建议
  • 每当内部策略允许时,将平台和共享服务复制到每个区域。
  • 如果可能,请使用提供加速网络的 VM SKU。
  • 在区域选择过程中包括最终用户延迟估计。
  • 在估计带宽要求时考虑工作负载类型,并监视实际用户连接。

网络安全性

影响:安全性、成本优化、卓越运营

传统上,网络安全一直是企业安全工作的关键。 但云计算增加了对网络外围更加漏洞的要求,许多攻击者已经掌握了对标识系统元素的攻击艺术。 以下几点概述了部署 Azure 虚拟桌面的最低防火墙要求。 本部分还提供有关连接到防火墙和访问需要此服务的应用的建议。

  • 基于受信任的 Intranet 方法的传统网络控制无法有效地为云应用程序提供安全保障。
  • 通过集成来自网络设备的日志和原始网络流量,可以了解潜在的安全威胁。
  • 大部分组织最终会向网络添加比最初计划的数量更多的资源。 因此,需要重构 IP 地址和子网方案,以适应额外的资源。 此过程是劳动密集型的。 创建大量小型子网,然后尝试将网络访问控制(如安全组)映射到每个子网的安全价值有限。

有关通过对网络流量进行控制来保护资产的一般信息,请参阅 网络和连接的建议

建议
  • 了解在部署中使用 Azure 防火墙 所需的配置。 有关详细信息,请参阅使用 Azure 防火墙保护 Azure 虚拟桌面部署
  • 创建网络安全组和应用程序安全组,以细分 Azure 虚拟桌面流量。 这种做法有助于通过控制子网的流量流来隔离子网。
  • 使用 服务标记 而不是 Azure 服务的特定 IP 地址。 由于地址发生更改,此方法可最大程度地降低频繁更新网络安全规则的复杂性。
  • 熟悉 Azure 虚拟桌面所需的 URL
  • 使用路由表允许 Azure 虚拟桌面流量绕过用于将流量路由到防火墙或网络虚拟设备的任何强制隧道规则, (NVA) 。 否则,强制隧道可能会影响客户端连接的性能和可靠性。
  • 使用专用终结点帮助保护平台即服务 (PaaS) 解决方案(如 Azure 文件存储 和 Azure 密钥保管库)。 但请考虑使用专用终结点的成本。
  • 调整Azure 专用链接的配置选项。 将此服务与 Azure 虚拟桌面配合使用时,可以禁用 Azure 虚拟桌面控制平面组件的公共终结点,并使用专用终结点来避免使用公共 IP 地址。
  • 如果使用 Active Directory 域服务 (AD DS) ,请实施严格的防火墙策略。 这些策略基于整个域所需的流量。
  • 请考虑使用Azure 防火墙或 NVA Web 筛选来帮助保护最终用户从 Azure 虚拟桌面会话主机访问 Internet。

影响:安全性

默认情况下,通过可公开访问的终结点建立到 Azure 虚拟桌面资源的连接。 在某些情况下,流量需要使用专用连接。 这些方案可以使用 专用链接 以私密方式连接到远程 Azure 虚拟桌面资源。 有关详细信息,请参阅将 Azure 专用链接与 Azure 虚拟桌面配合使用。 创建 专用终结点时,虚拟网络与服务之间的流量仍保留在 Microsoft 网络上。 你的服务不会向公共 Internet 公开。

可以使用 Azure 虚拟桌面专用终结点来支持以下方案:

  • 客户端或最终用户以及会话主机 VM 都使用专用路由。
  • 客户端或最终用户使用公共路由,而会话主机 VM 使用专用路由。

Azure 虚拟桌面会话主机的名称解析要求与 IaaS) 工作负荷的任何其他基础结构即服务 (相同。 因此,会话主机需要连接到配置为解析专用终结点 IP 地址的名称解析服务。 因此,使用专用终结点时,需要配置特定的 DNS 设置。 有关详细信息,请参阅 Azure 专用终结点 DNS 配置

专用链接也适用于与 Azure 虚拟桌面配合使用的其他 Azure 服务,例如Azure 文件存储和密钥保管库。 建议同时为这些服务实现专用终结点,以保持流量的私密性。

建议

RDP 短路径

影响:性能效率、成本优化

RDP 短路径是 Azure 虚拟桌面的一项功能,可用于托管网络和非托管网络。

  • 对于托管网络,RDP 短路径在远程桌面客户端和会话主机之间建立直接连接。 传输基于 UDP。 通过删除额外的中继点,RDP 短路径可缩短往返时间,从而改善对延迟敏感的应用程序和输入方法的用户体验。 若要支持 RDP 短路径,Azure 虚拟桌面客户端需要直接连接到会话主机。 客户端还需要安装 Windows 桌面客户端并运行Windows 11或Windows 10。
  • 对于非托管网络,可以采用两种连接类型:
    • 在客户端和会话主机之间建立直接连接。 网络地址转换下的简单遍历 (STUN) 和交互式连接建立 (ICE) 用于建立连接。 此配置增强了 Azure 虚拟桌面的传输可靠性。 有关详细信息,请参阅 RDP 短路径的工作原理
    • 已建立间接 UDP 连接。 它通过使用遍历使用中继 NAT (TURN) 协议和客户端和会话主机之间的中继,克服了网络地址转换 (NAT) 限制。

使用基于传输控制协议的传输 (TCP) ,从 VM 到 RDP 客户端的出站流量流经 Azure 虚拟桌面网关。 使用 RDP 短路径时,出站流量通过 Internet 直接在会话主机和 RDP 客户端之间流动。 此配置有助于消除跃点并改善延迟和最终用户体验。

建议
  • 使用 RDP 短路径来帮助改善延迟和最终用户体验。
  • 请注意 RDP 短路径连接模型的可用性。
  • 请注意 RDP 短路径费用。

后续步骤

检查 Azure 虚拟桌面中的网络和连接后,接下来请研究监视基础结构和工作负载的最佳做法。

监视

使用评估工具评估设计选择。

评估