分享方式:


Azure 虛擬桌面服務結構和復原能力

Azure 虛擬桌面的設計目的。是為組織和使用者提供復原能力強大、可靠且安全的服務。 Azure 虛擬桌面的結構包含許多元件,其組成將使用者連線到其桌面和應用程式的服務。 元件多半由 Microsoft 管理,但也有一些是由客戶或合作夥伴管理。

Microsoft 為核心功能即服務提供虛擬桌面基礎結構 (VDI) 元件。 這些元件包括:

  • Web 服務:使用者面向的網站和端點,會將連線資訊傳回使用者的裝置。
  • 訊息代理程式服務:協調連入連線。
  • 閘道服務:這種 Websocket 服務可從使用者裝置連線到提供桌面和應用程式的工作階段主機,提供遠端桌面通訊協定 (RDP) 連線能力。
  • 資源目錄:提供指示 Web 服務的資訊,說明哪一個多個地理資料庫裝載每個使用者所需的連線資訊。
  • 地理資料庫:包含使用者已佈建之每個資源的連線檔案 (.rdp) 和圖示。

此外,Azure 虛擬桌面會使用其他全域 Azure 服務,例如 Azure 流量管理員Azure Front Door,將使用者導向到最接近的 Azure 虛擬桌面進入點。

您必須負責建立和管理工作階段主機,包括任何作業系統映像自訂和應用程式、虛擬網路連線、復原能力,以及這些工作階段主機的備份和復原。 您還要提供及管理使用者身分識別,以及控制服務的存取權。 您可以使用其他 Azure 服務協助您符合需求,例如:

  • Azure 可用性區域會將工作階段主機散發到 Azure 區域內的實際個別資料中心位置,每個位置都有獨立的電源、冷卻和網路功能。
  • Azure 備份會備份和還原工作階段主機。
  • Azure Site Recovery 會將工作階段主機複寫至另一個 Azure 區域。
  • Azure Advisor 可協助您最佳化 Azure 資源。

此高階圖表顯示元件和責任:

顯示誰管理 Azure 虛擬桌面元件的圖表。

使用者連線

使用者想在 Azure 虛擬桌面存取桌面和應用程式時,需要動用多個元件連線才能成功。 有兩個個別的序列:

  1. 摘要探索。 摘要是使用者可用的桌面和應用程式清單。
  2. 透過遠端桌面通訊協定連線到會話主機。

摘要探索

摘要探索期間,使用者可用的桌面和應用程式會填入本機裝置的應用程式。 摘要包含連線所需的一切資訊。

摘要探索流程如下所示:

  1. 使用者可能位於世界上任何地方。 Azure 流量管理員根據地理流量路由方法,使用使用者裝置的來源 IP 位址,將使用者的裝置路由傳送至最接近的 Azure 虛擬桌面 Web 服務執行個體。

  2. Web 服務會連線到相同 Azure 區域的 Azure 虛擬桌面訊息代理程式服務,擷取使用者摘要的 RDP 檔案和應用程式圖示。 訊息代理程式服務會連線到相同區域的 Azure 虛擬桌面地理資料庫和資源目錄,以擷取資訊。

  3. 訊息代理程式服務會將 RDP 檔案和應用程式圖示傳回 Web 服務,然後將資訊傳回使用者的裝置。

    以下是顯示單一 Azure 區域摘要探索的高階圖表:

    顯示單一 Azure 區域中摘要探索程式的圖表。

    地理資料庫只包含地理位置內相同 Azure 區域中主機集區之桌面和應用程式所需的資訊。 如果從不同地理位置內的主機集區指派使用者給桌面或應用程式,資源目錄會指示 Web 服務連線正確 Azure 區域的訊息代理程式和地理資料庫。

    以下是顯示不同地理位置內 Azure 區域中主機集區摘要探索的高階圖表:

    此圖顯示不同地理位置所涵蓋 Azure 區域中主機集區的摘要探索程式。

RDP 連線

使用者從摘要連線到桌面或應用程式時會建立 RDP 連線,如下所示:

  1. 所有遠端工作階段都會先連線 Azure Front Door,隨即提供 Azure 虛擬桌面的全域進入點。 Azure Front Door 會為使用者裝置判斷延遲最低的 Azure 虛擬桌面閘道服務,並將連線導向至該服務

  2. 閘道服務會連線到相同 Azure 區域中的訊息代理程式服務。 閘道服務支援工作階段主機位於任何區域,並且持續供使用者存取。

  3. 訊息代理程式服務會接管並協調使用者裝置與工作階段主機之間的連線。 訊息代理程式服務會指示在工作階段主機執行的 Azure 虛擬桌面代理程式,連線到使用者裝置連線使用的同一個閘道服務。

  4. 此時會根據設定和可用的網路協定,建立兩種連線類型的其中一種:

    1. 反向連線傳輸:用戶端和工作階段主機連線到閘道服務之後,它會使用傳輸控制通訊協定 (TCP),在用戶端與工作階段主機之間開始轉送 RDP 流量。 反向連線傳輸是預設連線類型。

    2. RDP Shortpath:使用者裝置與工作階段主機之間會建立直接的使用者資料包通訊協定 (UDP) 傳輸,略過閘道服務。

以下是顯示 RDP 連線流程的高階圖表:

顯示 RDP 連線程式的圖表。

提示

您可以在了解 Azure 虛擬桌面網路連線Azure 虛擬桌面 RDP Shortpath中,找到網路連線的進一步詳細技術資訊。

服務復原能力

Azure 虛擬桌面的設計目的是要能夠從失敗復原,並且為使用者提供可靠的服務。 此服務的設計目的是要能夠從個別元件失敗復原,並能夠快速從失敗復原。

Azure 虛擬桌面的 Microsoft 管理元件目前位於大約 40 個 Azure 區域,希望更接近使用者,並且提供復原能力強大的服務。 復原已在全域、地理位置和 Azure 區域內以下列方式實作:

  • Azure 流量管理員引導 Web 服務的流量,Azure Front Door 引導閘道服務的流量。 如果中斷導致某 Azure 區域無法提供 Web 服務或閘道服務,或者如果某區域全面中斷,則流量會重新導向至最近區域之下一個最相近的可用執行個體。 流量重新導向讓使用者依舊可建立新的連線。

  • 地理資料庫在每個地理位置內,使用 Azure SQL Database 的容錯移轉和資料複寫功能。 如果資料庫中斷,資料庫會容錯移轉至次要複本,並繼續正常作業。 容錯移轉期間,新連線在容錯移轉完成前會失敗,但此容錯移轉不會影響現有的連線。

  • Azure 虛擬桌面之 Microsoft 管理元件所在的每個 Azure 區域,全都可使用資源目錄、訊息代理程式服務、Web 服務和閘道服務。 每個元件都有多個執行個體,因此沒有單一失敗點。 在每個 Azure 區域內,每個元件至少有六個不同的個別執行個體或叢集可獨立運作,抵擋執行個體失敗的影響。

    例如,區域有足夠的閘道服務執行個體滿足需求,但也有足夠的容量因應這些執行個體的失敗。 如果閘道服務的執行個體失敗,則會卸除透過該特定閘道服務執行個體轉送的任何 TCP 型 RDP 連線。 中斷連線的使用者重新連線時,其餘執行個體會處理要求,並將每個使用者重新連線到其現有的工作階段。 閘道服務其他執行個體所處理的其他所有工作階段都不受影響。

以下是顯示 Microsoft 管理元件如何互連的高階圖表:

此圖顯示Microsoft受控元件的互連方式。

Azure 虛擬桌面所依賴的其他 Azure 服務,設計復原能力強大又可靠。 如需詳細資訊,請參閱 Microsoft Azure 流量管理員Azure Front Door

觸角擴及全球

Azure 虛擬桌面這項服務,可協助組織配合員工的需求,特別是遠距辦公。 它提供安全、可靠且彈性的方式,幾乎可在任何地方提供桌面和應用程式。 Azure 虛擬桌面的設計復原能力強大,使用 Azure 功能與服務,協助確保工作負載獲得可用性高的服務。

以下是展示 Azure 虛擬桌面全球觸及範圍的地圖:

示範 Azure 虛擬桌面全球觸達的地圖。

若要了解 Azure 虛擬桌面針對服務物件儲存資料的位置,請參閱 Azure 虛擬桌面的資料位置