Azure 虛擬桌面服務架構和復原能力

  • 發行項

Azure 虛擬桌面的設計目的是為組織和使用者提供復原、可靠且安全的服務。 Azure 虛擬桌面的架構包含許多元件,組成將用戶連線到其桌面和應用程式的服務。 大部分元件都是 Microsoft 管理的,但有些元件是由客戶管理或合作夥伴管理的。

Microsoft 為核心功能即服務提供虛擬桌面基礎結構 (VDI) 元件。 這些元件包括:

  • Web 服務:使用者面向的網站和端點,並將連線資訊傳回給用戶的裝置。
  • Broker 服務:協調連入連線。
  • 網關服務:Websocket 服務,可從使用者裝置連線到提供桌面和應用程式的會話主機,提供遠端桌面通訊協定 (RDP) 連線能力。
  • 資源目錄:提供資訊來指示 Web 服務,其中哪一個地理資料庫裝載每個使用者所需的連線資訊。
  • 地理資料庫:包含使用者已布建之每個資源的連線檔案 (.rdp) 和圖示。

此外,Azure 虛擬桌面會使用其他全域 Azure 服務,例如 Azure 流量管理員Azure Front Door,將用戶導向至其最接近的 Azure 虛擬桌面進入點。

您必須負責建立和管理會話主機,包括任何操作系統映像自定義和應用程式、虛擬網路連線、復原能力,以及這些會話主機的備份和復原。 您也會提供及管理使用者身分識別,以及控制服務的存取權。 您可以使用其他 Azure 服務來協助您符合需求,例如:

  • Azure 可用性區域 可將會話主機分散到 Azure 區域內的實際個別數據中心位置,每個位置都有獨立的電源、冷卻和網路功能。
  • Azure 備份 備份和還原您的會話主機。
  • Azure Site Recovery 將您的會話主機複寫至另一個 Azure 區域。
  • Azure Advisor 可協助您優化 Azure 資源。

此高階圖表顯示元件和責任:

A diagram showing who manages the components of Azure Virtual Desktop.

使用者連線

當使用者想要在 Azure 虛擬桌面中存取其桌面和應用程式時,牽涉到多個元件使該連線成功。 有兩個不同的序列:

  1. 摘要探索。 摘要是使用者可用的桌面和應用程式清單。
  2. 使用遠端桌面通訊協定與會話主機的連線。

摘要探索

在摘要探索期間,使用者可用的桌面和應用程式會填入其本機裝置上的應用程式中。 摘要包含連線所需的所有資訊。

摘要探索程式如下所示:

  1. 使用者可能位於世界上的任何地方。 Azure 流量管理員 會根據使用使用者裝置來源IP位址的地理流量路由方法,將使用者的裝置路由傳送至最接近的 Azure 虛擬桌面 Web 服務實例。

  2. Web 服務會連線到相同 Azure 區域中的 Azure 虛擬桌面代理程式服務,以擷取使用者摘要的 RDP 檔案和應用程式圖示。 訊息代理程式服務會連線到相同區域中的 Azure 虛擬桌面地理資料庫和資源目錄,以擷取資訊。

  3. Broker 服務會將 RDP 檔案和應用程式圖示傳回至 Web 服務,以將資訊傳回給使用者的裝置。

    以下是顯示單一 Azure 區域中摘要探索程式的高階圖表:

    A diagram showing the feed discovery process in a single Azure region.

    地理資料庫只包含來自地理位置所涵蓋相同 Azure 區域中主機集區之桌面和應用程式所需的資訊。 如果使用者從不同地理位置涵蓋的主機集區指派給桌面或應用程式,資源目錄會告訴 Web 服務連線到正確的 Azure 區域中的訊息代理程式和地理資料庫。

    以下是顯示不同地理位置所涵蓋 Azure 區域中主機集區的摘要探索程式的高階圖表:

    A diagram showing the feed discovery process for a host pool in an Azure region that's covered by a different geography.

RDP 連線

當使用者從其摘要連線到桌面或應用程式時,會建立 RDP 連線,如下所示:

  1. 所有遠端會話都是從連線到 Azure Front Door 開始,這會提供 Azure 虛擬桌面的全域進入點。 Azure Front Door 會以使用者裝置的最低延遲來判斷 Azure 虛擬桌面閘道服務,並將連線導向至該服務

  2. 網關服務會連線到相同 Azure 區域中的訊息代理程式服務。 網關服務可讓會話主機位於任何區域中,且使用者仍可存取。

  3. 訊息代理程式服務會接管並協調使用者裝置與會話主機之間的連線。 訊息代理程式服務會指示在會話主機上執行的 Azure 虛擬桌面代理程式連線到使用者裝置所連線的相同閘道服務。

  4. 此時,會根據組態和可用的網路協定,建立兩種連線類型的其中一種:

    1. 反向連線傳輸:在用戶端和會話主機連線到閘道服務之後,它會使用用戶端與會話主機之間的傳輸控制通訊協定 (TCP) 開始轉送 RDP 流量。 反向連接傳輸是預設連接類型。

    2. RDP Shortpath:使用者裝置與會話主機之間會建立直接的用戶數據報通訊協定(UDP)傳輸,略過閘道服務。

以下是顯示 RDP 連線程式的高階圖表:

A diagram showing the RDP connection process.

提示

您可以在瞭解 Azure 虛擬桌面網路連線適用於 Azure 虛擬桌面的 RDP Shortpath,找到更多有關網路連線的詳細技術資訊。

服務復原能力

Azure 虛擬桌面的設計目的是要能夠復原失敗,並提供可靠的服務給使用者。 此服務的設計目的是要能夠復原個別元件的失敗,並能夠快速從失敗中復原。

Azure 虛擬桌面的 Microsoft 管理元件目前位於大約 40 個 Azure 區域,以接近使用者並提供復原服務。 復原已在全域、地理位置和 Azure 區域內以下列方式實作:

  • Azure 流量管理員 引導 Web 服務的流量,而 Azure Front Door 會引導閘道服務的流量。 如果中斷導致 Web 服務或閘道服務無法從一個 Azure 區域使用,或有完整的區域中斷,流量會重新導向至最接近區域中的下一個最接近可用實例。 流量重新導向可讓使用者仍然建立新的連線。

  • 地理資料庫會在每個地理位置中使用 Azure SQL 資料庫 故障轉移和數據複寫功能。 如果資料庫中斷,資料庫就會故障轉移至次要複本,並繼續正常作業。 在故障轉移期間,新聯機在故障轉移完成前會失敗,但此故障轉移不會影響現有的連線。

  • 資源目錄、訊息代理程式服務、Web 服務和閘道服務全都可以在 Azure 虛擬桌面的 Microsoft 管理元件所在的每個 Azure 區域中使用。 每個元件都有多個實例,因此沒有單一失敗點。 在每個 Azure 區域內,每個元件至少有六個不同的個別實例或叢集可獨立運作,以承受實例失敗。

    例如,區域有足夠的閘道服務實例來滿足需求,但也有足夠的容量來容納這些實例的失敗。 如果閘道服務的實例失敗,則會卸除透過該特定閘道服務實例轉送的任何 TCP 型 RDP 連線。 當中斷連線的使用者重新連線時,其餘實例會處理要求,並將每個使用者重新連線到其現有的會話。 閘道服務其他實例所處理的其他所有會話都不受影響。

以下是顯示 Microsoft 管理元件如何互連的高階圖表:

A diagram showing how the Microsoft-managed components are interconnected.

Azure 虛擬桌面所依賴的其他 Azure 服務本身設計為具彈性且可靠。 如需詳細資訊,請參閱 Azure 流量管理員Azure Front Door

觸角擴及全球

Azure 虛擬桌面是一項服務,可協助組織適應其工作者的需求,特別是從遠端工作。 它提供安全、可靠且彈性的方式,幾乎可在任何地方提供桌面和應用程式。 Azure 虛擬桌面的設計訴求是彈性,使用 Azure 功能與服務來協助確保工作負載的高可用性服務。

以下是示範 Azure 虛擬桌面全球觸達的地圖:

A map demonstrating the global reach of Azure Virtual Desktop.

相關內容

若要瞭解 Azure 虛擬桌面針對服務物件儲存資料的位置,請參閱 Azure 虛擬桌面的數據位置。