Azure 虛擬桌面工作負載的網路和連線考慮

本文討論 Azure 虛擬桌面工作負載的網路和連線設計區域。 請務必為您的 Azure 虛擬桌面登陸區域設計及實作 Azure 網路功能。 本文的基礎是使用數個 Azure Well-Architected Framework 企業級登陸區域架構原則和建議。 本文會根據本指南來建置，說明如何大規模管理網路拓撲和連線能力。

重要

本文是 Azure Well-Architected Framework Azure 虛擬桌面工作負載 系列的一部分。 如果您不熟悉此系列，建議您從 什麼是 Azure 虛擬桌面工作負載開始？。

用戶端延遲

影響：效能效率

終端使用者和工作階段主機之間的延遲是影響 Azure 虛擬桌面使用者體驗的重要層面。 您可以使用 Azure 虛擬桌面體驗估算器 工具來協助 (RTT) 估計連線來回時間。 具體而言，此工具會透過 Azure 虛擬桌面服務，將 RTT 從使用者位置預估到部署虛擬機器 (VM) 的每個 Azure 區域。

若要評估使用者體驗的品質：

• 在開發、測試和概念證明環境中測試端對端延遲。 這項測試應該將使用者的實際體驗納入考慮。 它應該考慮網路狀況、使用者裝置和已部署 VM 設定等因素。
• 請記住，延遲只是與遠端通訊協定連線的一個層面。 頻寬和使用者工作負載也會影響您的使用者體驗。

建議

• 使用 Azure 虛擬桌面體驗估算器 來收集估計的延遲值。
• 測試從 Azure 虛擬網路到內部部署系統的延遲。
• 針對使用點對站 (P2S) VPN 連線的用戶端，使用以使用者資料包通訊協定 (UDP) 為基礎的分割通道。
• 使用遠端桌面通訊協定 (RDP) Shortpath 搭配受控網路，供使用 VPN 或 Azure ExpressRoute 的月臺用戶端使用。

混合式網路 (內部部署連線能力)

影響：效能效率、卓越營運

有些組織會使用混合式模型，其中包含內部部署和雲端資源。 在許多情況下，在 Azure 虛擬桌面上執行的終端使用者工作流程必須連線到內部部署資源，例如共用或平臺服務、資料或應用程式。

當您實作混合式網路功能時，請檢閱雲端採用架構網路拓撲和連線一文中的最佳做法和建議。

請務必與整合 Azure 虛擬桌面工作負載與 Azure 登陸區域中所述的 Azure 虛擬桌面調整模型保持一致。 若要遵循此模型：

• 評估連線至內部部署系統的 Azure 虛擬桌面工作流程的延遲和頻寬需求。 當您設計混合式網路架構時，這項資訊非常重要。
• 請確定您的 Azure 虛擬桌面子網與內部部署網路之間沒有重迭的 IP 位址。 我們建議您將 IP 位址的工作指派給身為連線訂用帳戶擁有者的網路架構設計人員。
• 為每個 Azure 虛擬桌面登陸區域提供自己的虛擬網路和子網設定。
• 當您決定所需的 IP 位址空間量時，請考慮潛在的成長，以適當地調整子網的大小。
• 使用智慧型 IP 類別的無網域間路由 (CIDR) 標記法，以避免浪費 IP 位址空間。

建議

• 檢閱將 Azure 虛擬網路連線到內部部署系統的最佳做法。
• 測試從 Azure 虛擬網路到內部部署系統的延遲。
• 請確定您的 Azure 虛擬桌面登陸區域中不會使用重迭的 IP 位址。
• 為每個 Azure 虛擬桌面登陸區域提供自己的虛擬網路和子網設定。
• 當您調整 Azure 虛擬桌面子網的大小時，請考慮潛在的成長。

多重區域連線能力

影響：效能效率、成本優化

若要讓 Azure 虛擬桌面多區域部署為您的終端使用者提供最佳體驗，您的設計必須考慮下列因素：

• 平臺服務，例如身分識別、名稱解析、混合式連線和儲存體服務。 從 Azure 虛擬桌面工作階段主機連線到這些服務是服務運作的關鍵。 因此，理想的設計旨在將 Azure 虛擬桌面登陸區域子網的延遲降低到這些服務。 您可以藉由將服務複寫至每個區域，或透過連線提供這些服務，以達到此目標，且延遲最低。
• 使用者延遲。 當您選取要用於 Azure 虛擬桌面多區域部署的位置時，請務必考慮使用者在連線到服務時所遇到的延遲。 當您選取要部署工作階段主機的 Azure 區域時，建議您使用 Azure 虛擬桌面體驗估算器 ，從使用者母體擴展收集延遲資料。

也請考慮下列因素：

• 跨區域的應用程式相依性。
• VM SKU 可用性。
• 與網際網路輸出、跨區域流量和混合式 (內部部署) 應用程式或工作負載相依性所需的流量相關聯的網路成本。
• FSLogix 雲端快取功能在網路上的額外負載。 只有在您使用此功能在不同區域之間複寫使用者設定檔資料時，才會有此因素。 也請考慮這項功能所使用之增加網路流量和儲存體的成本。

可能的話，請使用提供加速網路的 VM SKU。 在使用高頻寬的工作負載中，加速網路可能會降低 CPU 使用率和延遲。

您網路的可用頻寬會大幅影響遠端會話的品質。 因此，最好是評估使用者的網路頻寬需求，以確保有足夠的頻寬可供內部部署相依性使用。

建議

• 每當內部原則允許您使用時，將平臺和共用服務複寫至每個區域。
• 盡可能使用提供加速網路的 VM SKU。
• 在您的區域選取程式中納入使用者延遲估計。
• 當您估計頻寬需求並監視實際使用者連線時，請將工作負載類型納入考慮。

網路安全性

影響：安全性、成本優化、卓越營運

傳統上，網路安全性是企業安全性工作的精靈。 但雲端運算已提高網路周邊的需求，而許多攻擊者已掌握身分識別系統元素的攻擊藝術。 下列幾點提供部署 Azure 虛擬桌面的最低防火牆需求概觀。 本節也提供連線到防火牆並聯機到需要此服務之應用程式的建議。

• 以受信任內部網路方法為基礎的傳統網路控制，不會有效地為雲端應用程式提供安全性保證。
• 整合來自網路裝置和原始網路流量的記錄可提供潛在安全性威脅的可見度。
• 大部分的組織最後會將較最初計劃的更多資源新增至網路。 因此，必須重構 IP 位址和子網配置，以容納額外的資源。 此程式需要大量人力。 建立大量小型子網時，安全性價值有限，然後嘗試將網路安全性群組等網路存取控制對應至每個子網。

如需透過對網路流量放置控制項來保護資產的一般資訊，請參閱 網路和連線的建議。

建議

• 瞭解部署中使用Azure 防火牆所需的設定。 如需詳細資訊，請參閱使用 Azure 防火牆來保護 Azure 虛擬桌面部署。
• 建立網路安全性群組和應用程式安全性群組，以區隔您的 Azure 虛擬桌面流量。 此做法可藉由控制子網的流量，協助您隔離子網。
• 使用 服務標籤 ，而不是 Azure 服務的特定 IP 位址。 因為位址有所變更，所以這種方法可將經常更新網路安全性規則的複雜度降到最低。
• 熟悉 Azure 虛擬桌面的必要 URL。
• 使用路由表來允許 Azure 虛擬桌面流量略過您用來將流量路由傳送至防火牆或網路虛擬裝置的任何強制通道規則， (NVA) 。 否則，強制通道可能會影響用戶端連線的效能和可靠性。
• 使用私人端點來協助保護平臺即服務， (PaaS) 解決方案，例如 Azure 檔案儲存體 和 Azure 金鑰保存庫。 但請考慮使用私人端點的成本。
• 調整Azure Private Link的組態選項。 當您搭配 Azure 虛擬桌面使用此服務時，您可以停用 Azure 虛擬桌面控制平面元件的公用端點，並使用私人端點來避免使用公用 IP 位址。
• 如果您使用 Active Directory 網域服務 (AD DS) ，請實作嚴格的防火牆原則。 根據網域中所需流量的原則。
• 請考慮使用Azure 防火牆或 NVA Web 篩選，協助保護終端使用者從 Azure 虛擬桌面工作階段主機存取網際網路。

私人端點 (Private Link)

影響：安全性

根據預設，Azure 虛擬桌面資源的連線會透過可公開存取的端點來建立。 在某些情況下，流量需要使用私人連線。 這些案例可以使用Private Link私下連線到遠端 Azure 虛擬桌面資源。 如需詳細資訊，請參閱使用 Azure 虛擬桌面Azure Private Link。 當您建立 私人端點時，虛擬網路與服務之間的流量會保留在 Microsoft 網路上。 您的服務不會公開至公用網際網路。

您可以使用 Azure 虛擬桌面私人端點來支援下列案例：

• 您的用戶端或終端使用者，以及工作階段主機 VM 都會使用私人路由。
• 您的用戶端或終端使用者會在工作階段主機 VM 使用私人路由時使用公用路由。

Azure 虛擬桌面工作階段主機的名稱解析需求與 IaaS) 工作負載 (服務的任何其他基礎結構相同。 因此，工作階段主機需要連線到設定為解析私人端點 IP 位址的名稱解析服務。 因此，當您使用私人端點時，您必須設定特定的 DNS 設定。 如需詳細資訊，請參閱 Azure 私人端點 DNS 設定。

Private Link也適用于與 Azure 虛擬桌面搭配運作的其他 Azure 服務，例如Azure 檔案儲存體和金鑰保存庫。 建議您也為這些服務實作私人端點，讓流量保持私人。

建議

• 瞭解Private Link如何與 Azure 虛擬桌面搭配運作。 如需詳細資訊，請參閱使用 Azure 虛擬桌面Azure Private Link。
• 瞭解 Azure 私人端點所需的 DNS 設定。 如需詳細資訊，請參閱 Azure 私人端點 DNS 設定。

RDP Shortpath

影響：效能效率、成本優化

RDP Shortpath 是 Azure 虛擬桌面的一項功能，可用於受控和非受控網路。

• 針對受控網路，RDP Shortpath 會在遠端桌面用戶端與會話主機之間建立直接連線。 傳輸是以 UDP 為基礎。 藉由移除額外的轉寄點，RDP Shortpath 可減少來回時間，進而改善延遲敏感應用程式和輸入方法的使用者體驗。 為了支援 RDP Shortpath，Azure 虛擬桌面用戶端需要直接看見工作階段主機。 用戶端也需要安裝 Windows 桌面用戶端，並執行Windows 11或Windows 10。
• 針對非受控網路，可能會有兩種連線類型：
  • 用戶端與會話主機之間會建立直接連線。 STUN () 網路位址轉譯下方的簡單周遊，以及使用 ICE) 建立連線 (互動式連線。 此設定可增強 Azure 虛擬桌面的傳輸可靠性。 如需詳細資訊，請參閱 RDP Shortpath 的運作方式。
  • 已建立間接 UDP 連線。 其可克服網路位址轉譯 (NAT) 限制，方法是使用周遊使用轉送 NAT (TURN) 通訊協定與用戶端與會話主機之間的轉送。

透過以傳輸控制通訊協定為基礎的傳輸 (TCP) ，從 VM 到 RDP 用戶端的輸出流量會流經 Azure 虛擬桌面閘道。 透過 RDP Shortpath，輸出流量會透過網際網路直接在工作階段主機與 RDP 用戶端之間流動。 此設定有助於消除躍點，並改善延遲和使用者體驗。

建議

• 使用 RDP Shortpath 來協助改善延遲和使用者體驗。
• 請注意 RDP Shortpath 連線模型的可用性。
• 請注意 RDP Shortpath 費用。

下一步

既然您已在 Azure 虛擬桌面中檢查網路和連線能力，請調查監視基礎結構和工作負載的最佳做法。

監視

使用評定工具來評估您的設計選擇。

評量