Azure 虛擬桌面工作負載的作業程式考慮
本文討論 Azure 虛擬桌面工作負載的作業程式設計區域。 當您執行組織的 Azure 虛擬桌面環境時,您必須建立適當的作業管理結果。 您必須規劃如何管理技術解決方案、支援平臺、確保順暢升級,並提供平臺復原能力。
重要
本文是 Azure Well-Architected Framework Azure 虛擬桌面工作負載 系列的一部分。 如果您不熟悉此系列,建議您從 什麼是 Azure 虛擬桌面工作負載開始?。
共同責任
影響:營運卓越、效能效率、安全性
如同 Microsoft 提供的其他服務,Microsoft 會管理 Azure 虛擬桌面元件,以及客戶所管理的元件。 下圖說明客戶與 Microsoft 之間如何共用各種責任領域。
Microsoft 管理的元件
Microsoft 會在 Azure 中管理下列 Azure 虛擬桌面服務:
- Web 存取。 當您在 Azure 虛擬桌面中使用 Web 存取服務時,您可以透過 HTML5 相容的網頁瀏覽器來存取虛擬桌面和遠端應用程式,就像使用本機電腦一樣。 此存取權可從任何位置及任何裝置上取得。 您可以在Microsoft Entra識別碼中使用多重要素驗證,協助保護 Web 存取。
- 閘道。 遠端連線閘道服務會從任何可執行 Azure 虛擬桌面用戶端的網際網路連線裝置,將遠端使用者連線到 Azure 虛擬桌面應用程式和桌面。 用戶端會連線到閘道,然後協調從虛擬機器 (VM 連線,) 回到相同的閘道。
- 連接代理程式。 連線代理人服務會管理使用者對虛擬桌面和遠端應用程式的連線。 連線代理程式會提供負載平衡,並重新連線至現有的會話。
- 診斷。 遠端桌面診斷是以事件為基礎的匯總工具,會將 Azure 虛擬桌面部署上的每個使用者或系統管理員動作標示為成功或失敗。 管理員可以查詢事件彙總,以識別失敗的元件。
- 擴充性元件。 Azure 虛擬桌面包含數個擴充性元件。 您可以使用Windows PowerShell或提供的 REST API 來管理 Azure 虛擬桌面,這也會啟用協力廠商工具的支援。
客戶管理的元件
您可以管理 Azure 虛擬桌面解決方案的下列元件:
- Azure 虛擬網路。 在虛擬網路中,VM 等 Azure 資源可以私下與網際網路通訊。 當您將 Azure 虛擬桌面主機集區連線到 Active Directory 網域時,您可以根據組織原則定義網路拓撲,以從內部網路或網際網路存取虛擬桌面和虛擬應用程式。 您可以使用虛擬私人網路 (VPN) ,將 Azure 虛擬桌面連線到內部部署網路。 或者,您可以使用 Azure ExpressRoute,透過私人連線將內部部署網路延伸至 Azure 雲端。
- Microsoft Entra識別碼。 Azure 虛擬桌面會使用Microsoft Entra識別碼進行身分識別和存取管理。 Microsoft Entra識別碼整合會套用Microsoft Entra識別碼安全性功能,例如條件式存取、多重要素驗證和智慧型安全性圖表。 它也有助於維護已加入網域的 VM 中的應用程式相容性。
- 選擇性地Active Directory 網域服務 (AD DS) 。 Azure 虛擬桌面 VM 必須已加入 AD DS 或Microsoft Entra Domain Services。 AD DS 必須與Microsoft Entra識別碼同步,才能讓兩個服務之間的使用者產生關聯。 您可以使用 Microsoft Entra Connect,將 AD DS 與Microsoft Entra識別碼產生關聯。
- Azure 虛擬桌面工作階段主機。 工作階段主機是使用者為其桌面和應用程式連線的 VM。 支援數個版本的 Windows,而且您可以使用應用程式和自訂來建立映射。 您可以選擇 VM 大小,包括已啟用 GPU 的 VM。 每個工作階段主機都有一個 Azure 虛擬桌面主機代理程式,可在 Azure 虛擬桌面工作區或租用戶中註冊 VM。 每個主機集區都可以有一或多個應用程式群組,這些群組是您可以存取的遠端應用程式或桌面會話集合。 若要查看支援的 Windows 版本,請參閱 作業系統和授權。
- Azure 虛擬桌面工作區。 Azure 虛擬桌面工作區或租使用者是管理及發佈主機集區資源的管理建構。
建議
- 請留意您在共用責任模型中的責任。
- 請確定您的組織會主動管理屬於客戶責任的元件。 範例包括網路拓撲、工作階段主機和工作區。
管理環境
影響:營運卓越、可靠性
若要管理 Azure 虛擬桌面環境,請專注于下列領域:
- 業務一致性。 為了協助符合服務等級協定 (SLA) ,請在可用性區域中部署您的工作階段主機,協助保護它們免于特定容錯網域中的失敗。
- 作業基準。 建立作業基準。 如需詳細資訊,請參閱 Azure 伺服器管理服務概觀。
- 平臺作業。 使用工具、儀表板和警示等監視技術,協助作業小組有效地監視和回應事件,以維護可靠的平臺。 如需詳細資訊,請參閱 Azure 虛擬桌面工作負載的監視考慮。
建議
- 在可用性區域中部署您的工作階段主機。
- 建立作業基準。
- 使用監視工具、儀表板和警示。
瞭解新開發
影響:營運卓越
請務必掌握最新的更新、功能、功能改進和錯誤修正。 如需每月更新,請參閱 Azure 虛擬桌面的新功能?。
建議
- 請注意最新的 Azure 虛擬桌面更新、功能、功能改進和 Bug 修正。
- 每月檢查 Azure 虛擬桌面中的新功能等 資源。
監視限制閾值
影響:營運卓越
隨著 Azure 虛擬桌面平臺成長,您必須留意接近哪些限制。 成功管理平臺,並主動防止對客戶造成服務中斷,您必須仔細監視您使用的元件限制。
FSLogix
FSLogix 的限制取決於您用來儲存使用者設定檔虛擬硬碟的儲存網狀架構, (VHD) 和 VHD 擴充 (VHDX) 檔案。
下表提供 FSLogix 設定檔) FSLogix 設定檔每秒輸入/輸出 (作業數目的範例,以支援各種案例中的每個 Azure 虛擬桌面使用者。 使用者資料、應用程式和每個設定檔的活動量會影響所需的數量。
| 資源 | 每個使用者的 IOPS 需求 | 使用者人數 | 所需的 IOPS 數目 |
|---|---|---|---|
| 穩定狀態 IOPS | 10 | 100 | 1,000 |
| 登入和登出 IOPS | 50 | 100 | 5,000 |
主機集區
下列因素可能會影響主機集區調整:
- Azure 範本會限制您可以建立的物件數目,而每個 VM 都會建立特定數目的物件。 因此,每次執行範本時,您都可以建立的 VM 數目有限制。 如需詳細資訊,請參閱在Azure 入口網站中建立的主機集區是否有調整限制?。
- 針對 vCPU,您可以針對每個區域、每個訂用帳戶和訂用帳戶類型建立的數目有限制。 Enterprise 合約訂用帳戶預設限制為 350 個 vCPU。 若要判斷您可以為每個範本執行建立的 VM 數目,請將您的 vCPU 限制除以每個 VM 所擁有的 vCPU 數目。
服務限制
Azure 虛擬桌面中使用的所有資源,例如 VM、儲存空間和網路功能,都受限於限制和限制。 例如,工作階段主機物件有 10,000 個服務限制。 跨越這些限制可能會影響您的服務可用性。
Azure 虛擬桌面基礎結構會使用下列元件。 如需對應的服務限制,請參閱 Azure 虛擬桌面服務限制。
- 應用程式群組
- 主機集區
- RemoteApp
- 角色指派
- 工作階段主機
- 工作區
VM 權杖到期日
在 Azure 虛擬桌面中,VM 會註冊到主機集區,並獲指派權杖。 Azure 虛擬桌面代理程式會在 VM 作用中時定期重新整理 VM 的權杖。 註冊權杖有效期為 90 天。
為了避免權杖過期,Azure 虛擬桌面小組應該使用自動化定期開啟每個 VM。 例如,自動化解決方案可能會每隔 90 天開啟每部 VM 20 分鐘。 然後,每個 VM 的權杖都會在到期或變成無效之前重新整理。 代理程式和並存堆疊元件也會更新。
已關閉超過 90 天的 VM 會經歷註冊問題。 若要再次使用 VM,請遵循 針對常見的 Azure 虛擬桌面代理程式問題進行疑難排解中的步驟。 這些指示說明如何從主機集區移除 VM、重新安裝代理程式,以及再次向主機集區註冊 VM。
建議
- 監視元件的資源使用量。
- 請注意下列專案的系統限制:
- 宣告型授權。
- Azure 物件。
- 您可以建立的 vCPU 數目。
- 瞭解 FSLogix 設定檔需要多少 IOPS 來支援每個使用者。
- 使用自動化來防止 VM 權杖過期。
主機集區黃金映射更新
影響:營運卓越、可靠性
您可以採用下列其中一種方法來更新主機集區 VM:
- 部署第二個主機集區。 準備就緒時,請將使用者指派給該集區。 此方法可讓您選擇讓初始正本集區可供復原。 收到確認新主機集區如預期般執行之後,您可以移除原始主機集區。
- 將原始 VM 設定為主機集區中的清空模式。 然後將新的 VM 從新的黃金映射部署到相同的主機集區。 這種方法有風險。 當您將單一主機集區中的 VM 數目加倍時,您可以達到資源限制或 API 節流限制。
建議
- 如果您想要讓初始正本集區可供復原,請在更新 VM 時部署第二個主機集區。
- 如果您可以將每個主機集區的 VM 數目加倍,請將新的 VM 從新的黃金映射部署至主機集區,以更新 VM。
映像管理
影響:營運卓越、安全性
您可以使用 Azure VM 映射產生器,將黃金映射的建置、更新、系統準備和散發程式自動化。 您可以使用Azure Marketplace搭配支援的基底映射,以協助確保您擁有最新的更新。
作為更新 VM 之黃金映射建置程式的一部分,您可以使用腳本來安裝您使用的應用程式。 PowerShell 是建議的腳本方法。 如果您需要能夠復原應用程式或資料,請使用版本控制系統和存放庫來管理腳本和安裝程式。 Azure 金鑰保存庫是儲存在自動化部署程式時所需之任何秘密的建議方法。
建議
- 使用 VM 映射產生器將更新黃金映射的程式自動化。
- 從Azure Marketplace擷取最新版本的映射。
- 使用 PowerShell 腳本來安裝應用程式。
- 使用版本控制系統來管理部署腳本。
- 使用金鑰保存庫來儲存自動化部署程式所使用的秘密。
隨時掌握支援的版本
影響:營運卓越
當您執行任何類型的平臺時,版本合規性很重要。 下列資源提供有關 Azure 虛擬桌面元件的最新資訊:
- Azure 虛擬桌面代理程式的新功能為何?
- Azure 虛擬桌面深入解析的新功能為何?
- FSLogix 版本資訊
- 遠端桌面 WebRTC 重新導向器服務中的新功能
- 多媒體重新導向的新功能為何?
- MSIXMGR 工具的新功能
建議
- 定期檢閱有關 Azure 虛擬桌面元件開發的版本資訊和其他文章。
- 當更新可供使用時安裝。
下一步
既然您已查看作業程式,請參閱如何設計 Azure 虛擬桌面元件以取得可靠性。
使用評定工具來評估您的設計選擇。