Architettura e resilienza del servizio Desktop virtuale Azure

Desktop virtuale Azure è progettato per offrire un servizio resiliente, affidabile e sicuro per organizzazioni e utenti. L'architettura di Desktop virtuale Azure comprende molti componenti che costituiscono il servizio che connette gli utenti ai desktop e alle app. La maggior parte dei componenti è gestita da Microsoft, ma alcuni sono gestiti dal cliente o gestiti dal partner.

Microsoft fornisce i componenti VDI (Virtual Desktop Infrastructure) per le funzionalità di base come servizio. Questi componenti includono:

• Servizio Web: il sito Web e l'endpoint rivolti all'utente e restituisce le informazioni di connessione al dispositivo dell'utente.
• Servizio Broker: orchestra le connessioni in ingresso.
• Servizio gateway: un servizio Websocket che fornisce la connettività RDP (Remote Desktop Protocol) dal dispositivo di un utente ovunque si connetta agli host di sessione che forniscono desktop e app.
• Directory risorse: fornisce informazioni per indicare al servizio Web quale dei più database geografici ospita le informazioni di connessione necessarie per ogni utente.
• Database geografico: contiene i file di connessione (.rdp) e le icone per ogni risorsa di cui è stato effettuato il provisioning da parte di un utente.

Desktop virtuale Azure usa anche altri servizi globali di Azure, ad esempio Gestione traffico di Azure e Frontdoor di Azure , per indirizzare gli utenti ai punti di ingresso di Desktop virtuale Azure più vicini.

L'utente è responsabile della creazione e della gestione degli host sessione, incluse le personalizzazioni e le applicazioni delle immagini del sistema operativo, la connettività di rete virtuale, la resilienza e il backup e il ripristino degli host di sessione. È anche possibile fornire e gestire le identità utente e controllare l'accesso al servizio. È possibile usare altri servizi di Azure per soddisfare i requisiti, ad esempio:

• Zone di disponibilità di Azure per distribuire gli host sessione in posizioni di data center fisicamente separate all'interno di un'area di Azure, ognuna con alimentazione, raffreddamento e rete indipendenti.
• Backup di Azure per eseguire il backup e il ripristino degli host sessione.
• Azure Site Recovery per replicare gli host sessione in un'altra area di Azure.
• Azure Advisor consente di ottimizzare le risorse di Azure.

Questo diagramma generale illustra i componenti e le responsabilità:

Connessioni utente

Quando un utente vuole accedere ai desktop e alle app in Desktop virtuale Azure, la connessione viene eseguita correttamente con più componenti. Esistono due sequenze separate:

1. Individuazione feed. Il feed è l'elenco di desktop e app disponibili per l'utente.
2. Connessione tramite Remote Desktop Protocol a un host di sessione.

Individuazione feed

Durante l'individuazione dei feed, i desktop e le app disponibili per l'utente vengono popolati nell'app nel dispositivo locale. Il feed contiene tutte le informazioni necessarie per la connessione.

Il processo di individuazione dei feed è il seguente:

1. L'utente potrebbe trovarsi in qualsiasi parte del mondo. Gestione traffico di Azure instrada il dispositivo dell'utente all'istanza più vicina del servizio Web Desktop virtuale Azure in base al metodo di routing del traffico geografico, che usa l'indirizzo IP di origine del dispositivo dell'utente.

2. Il servizio Web si connette al servizio broker di Desktop virtuale Azure nella stessa area di Azure per recuperare i file RDP e le icone dell'applicazione per il feed dell'utente. Il servizio broker si connette al database geografico di Desktop virtuale Azure e alla directory delle risorse nella stessa area per recuperare le informazioni.

3. Il servizio broker restituisce i file RDP e le icone dell'applicazione al servizio Web, che restituisce le informazioni al dispositivo dell'utente.

   Ecco un diagramma generale che mostra il processo di individuazione dei feed in una singola area di Azure:

   

   Il database geografico contiene solo le informazioni necessarie per i desktop e le app dei pool host nelle stesse aree di Azure coperte dall'area geografica. Se l'utente viene assegnato a desktop o app da un pool di host coperto da un'area geografica diversa, la directory delle risorse indica al servizio Web di connettersi al servizio broker e al database geografico nell'area di Azure corretta.

   Di seguito è riportato un diagramma generale che mostra il processo di individuazione dei feed per un pool di host in un'area di Azure coperta da un'area geografica diversa:

   

Connessione RDP

Quando un utente si connette a un desktop o a un'app dal proprio feed, la connessione RDP viene stabilita come segue:

1. Tutte le sessioni remote iniziano con una connessione a Frontdoor di Azure, che fornisce il punto di ingresso globale a Desktop virtuale Azure. Frontdoor di Azure determina il servizio gateway di Desktop virtuale Azure con la latenza più bassa per il dispositivo dell'utente e indirizza la connessione ad esso

2. Il servizio gateway si connette al servizio broker nella stessa area di Azure. Il servizio gateway consente agli host di sessione di trovarsi in qualsiasi area e di essere comunque accessibili agli utenti.

3. Il servizio broker rileva e orchestra la connessione tra il dispositivo dell'utente e l'host della sessione. Il servizio broker indica all'agente di Desktop virtuale Azure in esecuzione nell'host della sessione di connettersi allo stesso servizio gateway tramite cui è connesso il dispositivo dell'utente.

4. A questo punto, viene creato uno dei due tipi di connessione, a seconda della configurazione e dei protocolli di rete disponibili:

   1. Trasporto con connessione inversa: dopo che sia il client che l'host di sessione si sono connessi al servizio gateway, avvia l'inoltro del traffico RDP tramite TCP (Transmission Control Protocol) tra il client e l'host di sessione. Il trasporto di connessione inversa è il tipo di connessione predefinito.

   2. Percorso breve RDP: viene creato un trasporto diretto basato su UDP (User Datagram Protocol) tra il dispositivo dell'utente e l'host della sessione, ignorando il servizio gateway.

Ecco un diagramma generale che mostra il processo di connessione RDP:

Resilienza del servizio

Desktop virtuale Azure è progettato per essere resiliente agli errori e fornire un servizio affidabile agli utenti. Il servizio è progettato per essere resiliente agli errori dei singoli componenti e per essere in grado di eseguire rapidamente il ripristino da errori.

I componenti gestiti da Microsoft di Desktop virtuale Azure si trovano attualmente in circa 40 aree di Azure per essere più vicini agli utenti e fornire un servizio resiliente. La resilienza è stata implementata a livello globale, geografico e all'interno di un'area di Azure nei modi seguenti:

• Gestione traffico di Azure indirizza il traffico per il servizio Web e Frontdoor di Azure indirizza il traffico per il servizio gateway. Se si verifica un'interruzione che causa l'indisponibilità del servizio Web o del gateway da un'area di Azure o si verifica un'interruzione completa dell'area, il traffico viene reindirizzato all'istanza disponibile più vicina nell'area più vicina. Il reindirizzamento del traffico consente agli utenti di effettuare ancora nuove connessioni.

• Il database geografico usa Azure SQL funzionalità di failover del database e replica dei dati all'interno di ogni area geografica. Se si verifica un'interruzione del database, il database esegue il failover nella replica secondaria e l'operazione normale riprende. Durante il failover, c'è un breve periodo di tempo in cui le nuove connessioni non riescono fino al completamento del failover, tuttavia questo failover non influisce sulle connessioni esistenti.

• La directory delle risorse, il servizio broker, il servizio Web e il servizio gateway sono tutti disponibili in ognuna delle aree di Azure in cui si trovano i componenti gestiti da Microsoft per Desktop virtuale Azure. Ogni componente ha più istanze in modo che non vi sia un singolo punto di errore. All'interno di ogni area di Azure sono presenti almeno sei istanze o cluster distinti e separati di ogni componente che opera in modo indipendente per resistere agli errori delle istanze.

  Ad esempio, un'area ha istanze sufficienti del servizio gateway per soddisfare la domanda, ma anche con capacità sufficiente per gestire anche gli errori di tali istanze. Se un'istanza del servizio gateway ha esito negativo, tutte le connessioni RDP basate su TCP che vengono inoltrate tramite tale istanza specifica del servizio gateway vengono eliminate. Quando gli utenti disconnessi si riconnettono, le istanze rimanenti gestiscono le richieste e riconnettono ogni utente alla sessione esistente. Tutte le altre sessioni gestite da altre istanze del servizio gateway non sono interessate.

Ecco un diagramma generale che mostra come i componenti gestiti da Microsoft sono interconnessi:

Gli altri servizi di Azure su cui si basa Desktop virtuale Azure sono progettati per essere resilienti e affidabili. Per altre informazioni, vedere Gestione traffico di Azure e Frontdoor di Azure.

Portata globale

Desktop virtuale Azure è un servizio che può aiutare le organizzazioni ad adattarsi alle esigenze dei lavoratori, in particolare in remoto. Offre un modo sicuro, affidabile e flessibile per distribuire desktop e applicazioni praticamente ovunque. Desktop virtuale Azure è progettato per essere resiliente, usando funzionalità e servizi di Azure che consentono di garantire un servizio a disponibilità elevata per i carichi di lavoro.

Ecco una mappa che illustra la portata globale di Desktop virtuale Azure:

Contenuto correlato

Per informazioni sulle posizioni in cui Desktop virtuale Azure ha archiviato i dati per gli oggetti del servizio, vedere Percorsi dei dati per Desktop virtuale Azure.