你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure 虚拟桌面工作负载的操作过程注意事项

本文讨论 Azure 虚拟桌面工作负载的操作过程设计领域。 运行组织的 Azure 虚拟桌面环境时,需要建立适当的操作管理结果。 你需要制定一个计划,了解如何管理技术解决方案、支持平台、确保顺利升级并提供平台复原能力。

重要

本文是 Azure Well-Architected Framework Azure 虚拟桌面工作负载 系列的一部分。 如果不熟悉本系列,建议从什么是 Azure 虚拟桌面工作负载开始。

共担责任

影响:卓越运营、性能效率、安全性

与 Microsoft 提供的其他服务一样,有 Microsoft 管理的 Azure 虚拟桌面组件和客户管理的组件。 下图演示了客户和 Microsoft 之间如何分担各种责任领域。

列出 Azure 虚拟桌面组件的关系图。彩色框指示 Microsoft 管理的区域和客户管理的区域。

Microsoft 管理的组件

Microsoft 将以下 Azure 虚拟桌面服务作为 Azure 的一部分来管理:

  • Web 访问。 在 Azure 虚拟桌面中使用 Web 访问服务时,可以通过 HTML5 兼容的 Web 浏览器访问虚拟桌面和远程应用,就像使用本地电脑一样。 此访问可从任何位置在任何设备上使用。 可以通过在Microsoft Entra ID 中使用多重身份验证来帮助保护 Web 访问。
  • 网关。 远程连接网关服务将远程用户从任何可运行 Azure 虚拟桌面客户端的 Internet 连接设备连接到 Azure 虚拟桌面应用和桌面。 客户端连接到网关,然后协调从虚拟机 (VM 的连接,) 回同一网关。
  • 连接代理。 连接代理服务管理用户与虚拟桌面和远程应用的连接。 连接代理提供负载均衡和重新连接到现有会话。
  • 诊断。 远程桌面诊断是基于事件的聚合器,可将 Azure 虚拟桌面部署上的每个用户或管理员操作标记为成功或失败。 管理员可查询事件聚合信息来识别故障组件。
  • 扩展性组件。 Azure 虚拟桌面包括多个扩展性组件。 可以使用 Windows PowerShell 或提供的 REST API 来管理 Azure 虚拟桌面,这些 API 还支持来自第三方工具的支持。

客户管理的组件

Azure 虚拟桌面解决方案的以下组件由用户自行管理:

  • Azure 虚拟网络。 在虚拟网络中,VM 等 Azure 资源可以相互私下通信,也可以与 Internet 通信。 将 Azure 虚拟桌面主机池连接到 Active Directory 域时,可以定义一个网络拓扑,以便根据组织策略从 Intranet 或 Internet 访问虚拟桌面和虚拟应用。 可以使用虚拟专用网络 (VPN) 将 Azure 虚拟桌面连接到本地网络。 或者,可以使用 Azure ExpressRoute 通过专用连接将本地网络扩展到 Azure 云。
  • Microsoft Entra ID。 Azure 虚拟桌面使用 Microsoft Entra ID 进行标识和访问管理。 Microsoft Entra ID 集成应用Microsoft Entra ID 安全功能,例如条件访问、多重身份验证和智能安全图。 它还有助于维护已加入域的 VM 中的应用兼容性。
  • (可选)Active Directory 域服务 (AD DS) 。 Azure 虚拟桌面 VM 必须已加入 AD DS 或Microsoft Entra 域服务域。 AD DS 必须与Microsoft Entra ID 同步,才能在两个服务之间关联用户。 可以使用 Microsoft Entra Connect 将 AD DS 与Microsoft Entra ID 相关联。
  • Azure 虚拟桌面会话主机。 会话主机是用户为其桌面和应用程序连接到的 VM。 支持多个版本的 Windows,你可以使用应用程序和自定义项创建映像。 可以选择 VM 大小,包括启用了 GPU 的 VM。 每个会话主机都有一个 Azure 虚拟桌面主机代理,该代理将 VM 注册为 Azure 虚拟桌面工作区或租户的一部分。 每个主机池可以有一个或多个应用组,这些应用组是用户可访问的远程应用程序或桌面会话的集合。 要查看受支持的 Windows 版本,请参阅操作系统和许可证
  • Azure 虚拟桌面工作区。 Azure 虚拟桌面工作区或租户是用于管理和发布主机池资源的管理构造。
建议
  • 了解在共担责任模式下的责任。
  • 确保组织主动管理属于客户责任的组件。 示例包括网络拓扑、会话主机和工作区。

管理环境

影响:卓越运营、可靠性

若要管理 Azure 虚拟桌面环境,请重点关注以下方面:

  • 业务一致性。 若要帮助满足服务级别协议 (SLA) ,请在可用性区域中部署会话主机,以帮助保护它们免受特定容错域中的故障的影响。
  • 操作基线。 建立操作基线。 有关详细信息,请参阅 Azure 服务器管理服务概述
  • 平台操作。 使用工具、仪表板和警报等监视技术来帮助运营团队有效地监视和响应事件,以维护可靠的平台。 有关详细信息,请参阅 Azure 虚拟桌面工作负载的监视注意事项
建议
  • 在可用性区域中部署会话主机。
  • 建立操作基线。
  • 使用监视工具、仪表板和警报。

对新发展的认识

影响:卓越运营

请务必随时了解最新更新、功能、功能改进和 bug 修复。 有关每月更新,请参阅 Azure 虚拟桌面中的新增功能?

建议

监视限制阈值

影响:卓越运营

随着 Azure 虚拟桌面平台的增长,需要注意即将达到的限制。 成功管理平台并主动防止服务中断给客户,需要仔细监视所用组件的限制。

FSLogix

FSLogix 的限制取决于存储用户配置文件虚拟硬盘 (VHD) 和 VHD 扩展 (VHDX) 文件的存储结构。

下表举例说明了 FSLogix 配置文件在各种方案中支持每个 Azure 虚拟桌面用户) 每秒 (IOPS 所需的输入/输出操作数。 用户数据、应用程序和每个配置文件上的活动量会影响所需的数量。

资源 每个用户的 IOPS 要求 用户数 所需的 IOPS 数
稳定状态 IOPS 10 100 1,000
登录和注销 IOPS 50 100 5,000

主机池

以下因素可能会影响主机池缩放:

  • Azure 模板限制可以创建的对象数,每个 VM 都会创建一定数量的对象。 因此,每次运行模板时可以创建的 VM 数都有限制。 有关详细信息,请参阅在Azure 门户中创建的主机池是否有缩放限制?
  • 对于 vCPU,可以为每个区域、每个订阅和订阅类型创建的数量有限制。 默认情况下,企业协议订阅限制为 350 个 vCPU。 若要确定每个模板运行可以创建的 VM 数,请将 vCPU 限制除以每个 VM 具有的 vCPU 数。

服务限制

Azure 虚拟桌面中使用的所有资源(例如 VM、存储空间和网络)都受到限制。 例如,会话主机对象的服务限制为 10,000。 越过这些限制可能会影响服务可用性。

Azure 虚拟桌面基础结构使用以下组件。 有关相应的服务限制,请参阅 Azure 虚拟桌面服务限制

  • 应用程序组
  • 主机池
  • RemoteApp
  • 角色分配
  • 会话主机
  • 工作区

VM 令牌过期

在 Azure 虚拟桌面中,VM 注册到主机池并分配令牌。 当 VM 处于活动状态时,Azure 虚拟桌面代理会定期刷新 VM 的令牌。 注册令牌的有效期为 90 天。

若要防止令牌过期,Azure 虚拟桌面团队应使用自动化定期打开每个 VM。 例如,自动化解决方案可能每 90 天打开每个 VM 20 分钟。 然后,每个 VM 的令牌都会在过期或变为无效之前刷新。 代理和并行堆栈组件也会更新。

已关闭超过 90 天的 VM 遇到注册问题。 若要再次使用 VM,请按照 排查常见的 Azure 虚拟桌面代理问题中的步骤操作。 这些说明介绍了如何从主机池中删除 VM、重新安装代理,然后再次将 VM 注册到主机池。

建议
  • 监视组件的资源使用情况。
  • 请注意以下方面的系统限制:
    • 服务。
    • Azure 对象。
    • 可以创建的 vCPU 数。
  • 了解 FSLogix 配置文件支持每个用户所需的 IOPS 数。
  • 使用自动化来防止 VM 令牌过期。

主机池黄金映像更新

影响:卓越运营、可靠性

可以通过采用以下任一方法更新主机池 VM:

  • 部署第二个主机池。 准备就绪后,将用户分配到该池。 此方法提供让初始主机池可用于回滚的选项。 收到新主机池按预期执行的确认后,可以删除原始主机池。
  • 在主机池中将原始 VM 设置为排出模式。 然后将新 VM 从新的黄金映像部署到同一主机池中。 这种方法的风险更大。 将单个主机池中的 VM 数增加一倍时,可以达到资源约束或 API 限制。
建议
  • 如果希望初始主机池可用于回滚,请在更新 VM 时部署第二个主机池。
  • 如果每个主机池的 VM 数量可以增加一倍,则可以通过将新 VM 从新的黄金映像部署到主机池来更新 VM。

映像管理

影响:卓越运营、安全性

可以使用 Azure VM 映像生成器自动执行黄金映像的生成、更新、系统准备和分发过程。 可以将 Azure 市场 与支持的基础映像配合使用,以帮助确保拥有最新更新。

作为用于更新 VM 的黄金映像生成过程的一部分,可以使用脚本来安装所使用的应用程序。 建议使用 PowerShell 脚本编写方法。 如果需要能够回滚应用程序或数据,请使用版本控制系统和存储库来管理脚本和安装程序。 建议使用 Azure 密钥保管库来存储在自动化部署过程中所需的任何机密。

建议
  • 使用 VM 映像生成器自动执行更新黄金映像的过程。
  • 从Azure 市场检索最新版本的映像。
  • 使用 PowerShell 脚本安装应用程序。
  • 使用版本控制系统管理部署脚本。
  • 使用 密钥保管库 存储自动化部署过程使用的机密。

随时了解受支持的版本

影响:卓越运营

运行任何类型的平台时,版本合规性都很重要。 以下资源提供有关 Azure 虚拟桌面组件的最新信息:

建议
  • 定期查看有关 Azure 虚拟桌面组件开发情况的发行说明和其他文章。
  • 在更新可用时安装更新。

后续步骤

现在,你已了解操作过程,请参阅如何设计 Azure 虚拟桌面组件以确保可靠性。

使用评估工具评估设计选项。