Azure 虛擬桌面服務架構和復原能力
Azure 虛擬桌面的設計目的是為組織和使用者提供復原、可靠且安全的服務。 Azure 虛擬桌面的架構包含許多元件,組成將用戶連線到其桌面和應用程式的服務。 大部分元件都是 Microsoft 管理的,但有些元件是由客戶管理或合作夥伴管理的。
Microsoft 為核心功能即服務提供虛擬桌面基礎結構 (VDI) 元件。 這些元件包括:
- Web 服務:使用者面向的網站和端點,並將連線資訊傳回給用戶的裝置。
- Broker 服務:協調連入連線。
- 網關服務:Websocket 服務,可從使用者裝置連線到提供桌面和應用程式的會話主機,提供遠端桌面通訊協定 (RDP) 連線能力。
- 資源目錄:提供資訊來指示 Web 服務,其中哪一個地理資料庫裝載每個使用者所需的連線資訊。
- 地理資料庫:包含使用者已布建之每個資源的連線檔案 (
.rdp
) 和圖示。
此外,Azure 虛擬桌面會使用其他全域 Azure 服務,例如 Azure 流量管理員 和 Azure Front Door,將用戶導向至其最接近的 Azure 虛擬桌面進入點。
您必須負責建立和管理會話主機,包括任何操作系統映像自定義和應用程式、虛擬網路連線、復原能力,以及這些會話主機的備份和復原。 您也會提供及管理使用者身分識別,以及控制服務的存取權。 您可以使用其他 Azure 服務來協助您符合需求,例如:
- Azure 可用性區域 可將會話主機分散到 Azure 區域內的實際個別數據中心位置,每個位置都有獨立的電源、冷卻和網路功能。
- Azure 備份 備份和還原您的會話主機。
- Azure Site Recovery 將您的會話主機複寫至另一個 Azure 區域。
- Azure Advisor 可協助您優化 Azure 資源。
此高階圖表顯示元件和責任:
使用者連線
當使用者想要在 Azure 虛擬桌面中存取其桌面和應用程式時,牽涉到多個元件使該連線成功。 有兩個不同的序列:
- 摘要探索。 摘要是使用者可用的桌面和應用程式清單。
- 使用遠端桌面通訊協定與會話主機的連線。
摘要探索
在摘要探索期間,使用者可用的桌面和應用程式會填入其本機裝置上的應用程式中。 摘要包含連線所需的所有資訊。
摘要探索程式如下所示:
使用者可能位於世界上的任何地方。 Azure 流量管理員 會根據使用使用者裝置來源IP位址的地理流量路由方法,將使用者的裝置路由傳送至最接近的 Azure 虛擬桌面 Web 服務實例。
Web 服務會連線到相同 Azure 區域中的 Azure 虛擬桌面代理程式服務,以擷取使用者摘要的 RDP 檔案和應用程式圖示。 訊息代理程式服務會連線到相同區域中的 Azure 虛擬桌面地理資料庫和資源目錄,以擷取資訊。
Broker 服務會將 RDP 檔案和應用程式圖示傳回至 Web 服務,以將資訊傳回給使用者的裝置。
以下是顯示單一 Azure 區域中摘要探索程式的高階圖表:
地理資料庫只包含來自地理位置所涵蓋相同 Azure 區域中主機集區之桌面和應用程式所需的資訊。 如果使用者從不同地理位置涵蓋的主機集區指派給桌面或應用程式,資源目錄會告訴 Web 服務連線到正確的 Azure 區域中的訊息代理程式和地理資料庫。
以下是顯示不同地理位置所涵蓋 Azure 區域中主機集區的摘要探索程式的高階圖表:
RDP 連線
當使用者從其摘要連線到桌面或應用程式時,會建立 RDP 連線,如下所示:
所有遠端會話都是從連線到 Azure Front Door 開始,這會提供 Azure 虛擬桌面的全域進入點。 Azure Front Door 會以使用者裝置的最低延遲來判斷 Azure 虛擬桌面閘道服務,並將連線導向至該服務
網關服務會連線到相同 Azure 區域中的訊息代理程式服務。 網關服務可讓會話主機位於任何區域中,且使用者仍可存取。
訊息代理程式服務會接管並協調使用者裝置與會話主機之間的連線。 訊息代理程式服務會指示在會話主機上執行的 Azure 虛擬桌面代理程式連線到使用者裝置所連線的相同閘道服務。
此時,會根據組態和可用的網路協定,建立兩種連線類型的其中一種:
反向連線傳輸:在用戶端和會話主機連線到閘道服務之後,它會使用用戶端與會話主機之間的傳輸控制通訊協定 (TCP) 開始轉送 RDP 流量。 反向連接傳輸是預設連接類型。
RDP Shortpath:使用者裝置與會話主機之間會建立直接的用戶數據報通訊協定(UDP)傳輸,略過閘道服務。
以下是顯示 RDP 連線程式的高階圖表:
提示
您可以在瞭解 Azure 虛擬桌面網路連線和適用於 Azure 虛擬桌面的 RDP Shortpath,找到更多有關網路連線的詳細技術資訊。
服務復原能力
Azure 虛擬桌面的設計目的是要能夠復原失敗,並提供可靠的服務給使用者。 此服務的設計目的是要能夠復原個別元件的失敗,並能夠快速從失敗中復原。
Azure 虛擬桌面的 Microsoft 管理元件目前位於大約 40 個 Azure 區域,以接近使用者並提供復原服務。 復原已在全域、地理位置和 Azure 區域內以下列方式實作:
Azure 流量管理員 引導 Web 服務的流量,而 Azure Front Door 會引導閘道服務的流量。 如果中斷導致 Web 服務或閘道服務無法從一個 Azure 區域使用,或有完整的區域中斷,流量會重新導向至最接近區域中的下一個最接近可用實例。 流量重新導向可讓使用者仍然建立新的連線。
地理資料庫會在每個地理位置中使用 Azure SQL 資料庫 故障轉移和數據複寫功能。 如果資料庫中斷,資料庫就會故障轉移至次要複本,並繼續正常作業。 在故障轉移期間,新聯機在故障轉移完成前會失敗,但此故障轉移不會影響現有的連線。
資源目錄、訊息代理程式服務、Web 服務和閘道服務全都可以在 Azure 虛擬桌面的 Microsoft 管理元件所在的每個 Azure 區域中使用。 每個元件都有多個實例,因此沒有單一失敗點。 在每個 Azure 區域內,每個元件至少有六個不同的個別實例或叢集可獨立運作,以承受實例失敗。
例如,區域有足夠的閘道服務實例來滿足需求,但也有足夠的容量來容納這些實例的失敗。 如果閘道服務的實例失敗,則會卸除透過該特定閘道服務實例轉送的任何 TCP 型 RDP 連線。 當中斷連線的使用者重新連線時,其餘實例會處理要求,並將每個使用者重新連線到其現有的會話。 閘道服務其他實例所處理的其他所有會話都不受影響。
以下是顯示 Microsoft 管理元件如何互連的高階圖表:
Azure 虛擬桌面所依賴的其他 Azure 服務本身設計為具彈性且可靠。 如需詳細資訊,請參閱 Azure 流量管理員 和 Azure Front Door。
觸角擴及全球
Azure 虛擬桌面是一項服務,可協助組織適應其工作者的需求,特別是從遠端工作。 它提供安全、可靠且彈性的方式,幾乎可在任何地方提供桌面和應用程式。 Azure 虛擬桌面的設計訴求是彈性,使用 Azure 功能與服務來協助確保工作負載的高可用性服務。
以下是示範 Azure 虛擬桌面全球觸達的地圖:
相關內容
若要瞭解 Azure 虛擬桌面針對服務物件儲存資料的位置,請參閱 Azure 虛擬桌面的數據位置。