共用方式為

Azure 虛擬桌面設計原則

  • 發行項

關於 Azure 虛擬桌面工作負載的指引建置在 Azure Well-Architected Framework 及其架構卓越五大要素上。 下表列出每個要素及其目標的摘要。

Well-Architected Framework 要素 摘要
可靠性 虛擬桌面環境需要高階的服務可靠性,以協助確保一致且不中斷的使用者體驗。 請務必建立強固的基礎結構,以啟用虛擬桌面環境的可靠存取和最佳效能。 評估虛擬桌面部署,特別是與 Azure 原生服務整合的部署。 具體而言,請評估部署所使用的原生計算、網路和儲存體服務。 也評估您搭配 Azure 虛擬桌面使用的協力廠商產品和合作夥伴解決方案。 這些元件會影響可靠性,因為它們是登陸區域設計的一部分。 此方法有助於確保順暢且可靠的使用者體驗。
安全性 安全性要素著重于針對威脅和弱點保護工作負載的策略實作。 安全性也包含測試人員風險和資料遺失保護的考慮。 在 Azure 虛擬桌面內,請務必評估您的端對端安全性主題。 這些主題的範圍從身分識別和存取管理 (IAM) 、作業系統、應用程式、網路和 Azure 平臺到資料。 強烈建議您檢閱或開發策略,以在 Azure 資產中包含一系列的安全性層級。 這些策略應涵蓋您的桌面和 Azure 虛擬桌面底下呈現的應用程式。
成本最佳化 當您針對成本優化虛擬桌面環境時,符合商務需求所設定的效能預期。 您也可以將超額成本降到最低,以降低 TCO) 的總 (擁有成本。 您可以利用 Azure 虛擬桌面超大規模資料庫基礎結構的強大功能來減少 TCO。 優化 Azure 虛擬桌面的成本牽涉到數個步驟。 範例包括選擇大小正確的虛擬機器 (VM) 、使用保留實例或節省方案、設定調整方案,以及使用 Microsoft 成本管理來監視和優化消費。 請務必持續評估您的 Azure 虛擬桌面部署,以追蹤您的使用量,並找出優化工作負載的機會。
效能效率 效能效率著重于環境的能力,以符合或超過為虛擬桌面和應用程式設定的商務需求。 在 Azure 虛擬桌面環境中,您可以藉由確保您選取最佳的計算系列和磁片大小和類型,以符合所需的效能。 如果您使用 FSLogix 設定檔,您也需要選取最佳儲存體。 一般而言,請務必評估及測試一系列 VM 組態,以瞭解您的使用者和工作負載如何使用組成 Azure 虛擬桌面內工作階段主機的 Azure 資源。 部署之後,建議您持續監視生產資源的耗用量,以確保您符合或超過所需的目標效能。
卓越營運 在 Azure 虛擬桌面工作負載小組中套用 DevOps 的原則。 鼓勵採用 DevOps 思維、開發標準,以及在不斷演進時執行的方法。 透過 Azure 虛擬桌面,您可以建立設定程式,以便輕鬆部署、管理和維護工作負載。 這些程式可以牽涉到使用 Azure Resource Manager 範本、Bicep、Terraform 和其他形式的基礎結構作為程式碼 (IaC) 。 若要自訂工作階段主機,您可以使用 自訂映射範本功能 等工具搭配 Azure DevOps將映射建置自動化。 這些 DevOps 策略和其他策略可協助您的組織有效率地建立、維護及管理 Azure 虛擬桌面環境。

重要

本文是 Azure Well-Architected Framework Azure 虛擬桌面工作負載 系列的一部分。 如果您不熟悉此系列,建議您從 什麼是 Azure 虛擬桌面工作負載開始?

可靠性

可靠性是 Azure 虛擬桌面環境中的基礎要素。 中斷可能會具體化內部部署和雲端。 因此,您必須特別注意虛擬桌面元件,其中包括 Azure 服務和內部部署基礎結構。 評估工作負載的使用者資料 (設定檔) 、應用程式和計算可用性需求,以判斷商務持續性和災害復原的策略。 使用不同的部署選項,例如主動-主動或主動-被動主機集區,將您在 Azure 虛擬桌面中達到的不同可用性層級納入考慮。 同時評估災害復原設計考慮,以協助確保中斷期間順暢的容錯移轉。

  • 復原 是指從失敗復原和維護功能。
  • 可用性 可確保未中斷的執行時間。 高可用性可將重大維護活動期間的應用程式停機時間降到最低。 它也會增強 VM 當機、後端更新、延長停機時間和勒索軟體攻擊等事件的復原。

達成可靠性需要跨越架構、作業程式、自動化、監視、定期測試和驗證的完整方法。

  • ) 定義 SLA (服務等級協定 。 建立定義完善的 SLA 是促進可靠性的核心。 這些合約會指定使用者會話和設定檔可用性和效能的精確預期。 如此一來,他們就能明確設定基準,讓您用來評估系統的作業效率。
  • 開發有效的調整策略。 透過垂直調整,您可以選擇符合使用者會話資源需求的 VM SKU。 您也會考慮 CPU 和記憶體需求等層面。 使用水準調整,您可以新增額外的 VM 實例,以配合擴大的需求,同時維持系統穩定性。
  • 高可用性的設計。 此程式需要整合備援和容錯移轉機制,以協助確保未中斷的作業。 高可用性可將潛在的中斷降到最低,並保證使用者即使在非預期事件期間也能順暢地體驗。
  • 實作容錯。 包含容錯儲存體在保護漫遊設定檔和使用者資料的完整性和可用性方面扮演重要角色。 此策略藉由協助確保基本使用者資料在失敗期間維持不變且可存取,以提供一層保護,以防止資料遺失。
  • 瞭解備份和還原功能。 強固的備份做法可協助您在面對敵人時維持作業持續性。

安全性

在共同責任模型中:

  • 組織主要負責管理及操作 Azure 虛擬桌面工作負載。
  • Microsoft 會管理支援 Azure 虛擬桌面工作負載的控制平面。

我們強烈建議您定期評估您的服務和技術,以確保您的安全性狀態適應不斷演進的威脅環境。 當您與廠商共同作業以實作適當的安全性措施時,請務必清楚瞭解共用責任模型。

您可以使用數種方法來協助保護虛擬桌面環境:

  • 網路隔離。 使用子網和網路安全性群組等網路隔離技術來強化 Azure 原生服務之間的互動。 此區間化可增強整體安全性。
  • 修補程式管理。 定期套用修補程式和更新,以抵禦可能遭到入侵的弱點。
  • 環境稽核。 環境的定期稽核可提供潛在安全性缺口的深入解析。 此做法有助於早期識別和修正弱點。
  • SIEM) 的安全性資訊和事件管理 (。 使用 SIEM 解決方案,例如 Microsoft Sentinel。 此工具提供安全性事件的即時監視,可協助您立即回應潛在威脅。
  • 資料加密。 實作待用資料和傳輸中資料的加密機制。 此做法有助於確保資料機密性和完整性,即使在未經授權的存取嘗試期間也一直。
  • 身分識別和存取管理
    • 多重要素驗證:藉由強制執行多重要素驗證來強化身分識別驗證程式。 此做法有助於防止未經授權的存取嘗試。
    • 與Microsoft Entra識別碼整合:將您的身分識別和存取管理委派給Microsoft Entra識別碼,以進行簡化的存取控制。
    • 最低許可權原則:套用最低許可權原則,將誤用的可能性降到最低。 使用此原則,根據著重于 JEA) 和 Just-In-Time 存取 ( (JIT) 方法的角色,限制對資源的存取。
    • 角色型存取控制 (RBAC) :使用 Azure RBAC 升級受控存取權,以指派以預先定義角色為基礎的許可權。

成本最佳化

Azure 虛擬桌面是遠端桌面服務 (RDS) 符合成本效益的現代化。 某些元件會從您的基礎結構中移除,並以原生服務的形式提供給所有 Azure 區域。 Azure 虛擬桌面藉由提供Windows 10或Windows 11 企業版多會話遠端桌面,來減少 Windows Server 和 RDS 用戶端存取授權 (CAL) 的需求。 在這些桌面中,支援使用現有的每個使用者 Microsoft 365 授權。 這項支援可讓只有新式作業系統支援應用程式的工作負載受益。

優化 Azure 虛擬桌面成本的一些重要考慮和方法包括:

  • 使用符合成本效益的 VM。 選擇正確的大小 VM 有助於確保您不需支付超過所需資源的費用。 判斷哪一個 VM 系列最適合您工作負載的 VM 資源耗用量。 尋找效能與成本效益之間的適當平衡。

  • 保留實例或節省方案。 Azure 提供保留實例和節省方案。 當您使用這些方案時,您可以藉由認可 VM 的一年或三年期來節省成本。 此策略提供可預測的定價,並可協助您隨著時間降低成本。

    成本管理會與 Azure Advisor 合作,以識別保留實例和節省方案的節省機會。 請務必先將 Azure 虛擬桌面工作負載優化,再認可保留實例或節省方案。 另請注意,保留實例和節省方案與方案的範圍和共用耗用量有何差異。

  • 服務標籤。 您可以使用 服務標籤,而不是使用 Azure 服務的特定 IP 位址。 因為位址有所變更,所以這種方法可將經常更新網路安全性規則的複雜度降到最低。 藉由減少維護網路所需的工作,服務標籤有助於降低整體成本。

  • 調整計畫。 透過 Azure 虛擬桌面,您可以設定 VM 的調整計畫。 此策略可協助確保所需的工作階段主機數目正確執行,藉此降低成本。

  • 成本管理。 當您使用成本管理時,您可以監視和優化您的 Azure 費用。 您可以使用此工具來識別可降低成本並優化 Azure 虛擬桌面部署的區域。 具體而言,您可以在成本管理中建立預算,並設定這些預算的警示。 當消費超過預算時,會觸發檢閱來調查成本增加超過設定層級的原因。

請記住,Azure 硬體的功能會經常擴充。 因此,工作負載會定期有機會進一步優化成本、消除浪費,以及改善效能與成本比率。 組織發現定期重新流覽及調整其節省成本措施會很有説明。

效能效率

此要素著重于優化執行 Azure 虛擬桌面環境的工作負載。 該焦點包含許多層面:

  • 配置適當的大小、系列和工作階段主機數目
  • 使用 Azure 監視器、Log Analytics、Application Insights 和警示等工具來持續監視效能和偵測異常
  • 設定適當的調整計畫,以便您有一些適合使用者的工作階段主機

考慮上述每個層面,可協助您建置 Azure 虛擬桌面環境,以提供一致且一致的使用者體驗。

卓越營運

在 Azure 虛擬桌面中,營運卓越表示確保開發、部署和作業階段中作業程式的一致性、可重複性和穩定性。

  • 使用 IaC 進行可重複且一致的部署。
  • 適當監視資源以維護環境的健康情況。
  • 適當的持續整合/持續傳遞 (CI/CD) 管線,可協助您達成:
    • 及時災害復原。
    • 生產前測試。
    • 資源的複寫。
  • 實作 Azure 原則導向治理,以協助確保企業技術資產內的安全性與合規性。
  • 設計使用內建 Azure 虛擬桌面角色實作最低許可權存取的 RBAC 委派架構,以簡化指派和管理存取權限的程式。
  • 維護主機集區的治理和合規性標準。
  • 涵蓋此清單中所有點的檔。

這些步驟可協助小組以有效率且透明的方式共同作業。

下一步

設計原則會併入特定的技術設計領域。 每個區域都提供專注的指引,可協助您在最少時間內快速存取提升生產力所需的資訊。 請將標題視為導覽工具,引導您以正確的方向引導網路、核心基礎結構、應用程式傳遞、監視、安全性和作業程式。

從檢閱支援工作負載所需的應用程式傳遞設計考慮開始。

應用程式交付