Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье представлен обзор областей проектирования в архитектуре целевой зоны Azure для виртуального рабочего стола Azure. Он предназначен для архитекторов и технических лиц, принимающих решения. Используйте это руководство, чтобы быстро получить представление о эталонной реализации целевой зоны виртуального рабочего стола.
Понятия целевой зоны
Посадочная зона Azure — это среда, которая следует основным принципам проектирования в восьми областях проектирования. Эти принципы проектирования учитывают все портфели приложений и обеспечивают миграцию приложений, модернизацию и инновации в масштабе. Зоны развертывания Azure применяют подписки для изоляции и масштабирования ресурсов приложений и ресурсов платформы.
Целевая зона Azure обеспечивает необходимую основу для облачных рабочих нагрузок, таких как Виртуальный рабочий стол. Он определяет основные компоненты, такие как управление, безопасность, сеть, идентификация и операции. Чтобы разместить службы и управлять ими в масштабе, вам потребуется все эти компоненты.
Типы зон посадки
Целевые зоны Azure имеют две категории:
Зона приземления платформы предоставляет общие основные услуги, такие как сеть, управление идентификацией и управление ресурсами. Целевая зона платформы формирует базовую инфраструктуру, которая поддерживает рабочие нагрузки приложений.
Целевые зоны приложений размещают определенные приложения, рабочие нагрузки или службы. Они предоставляют необходимую среду для запуска приложений. Политики и группы управления применяют управление в целевых зонах приложений.
Эталонная архитектура
Эталонная архитектура виртуального рабочего стола — это проверенная архитектура для запуска виртуального рабочего стола в целевой зоне приложения. Начните с этой архитектуры для развертываний виртуального рабочего стола.
Архитектура целевой зоны для виртуального рабочего стола является частью серии статей по сценариям виртуального рабочего стола в Cloud Adoption Framework для Azure. В этой серии описываются требования к совместимости, принципы проектирования и рекомендации по развертыванию для целевой зоны.
При разработке виртуального рабочего стола для запуска из целевой зоны приложения следуйте этой структурированной архитектуре, чтобы обеспечить масштабируемость, безопасность и эффективность работы. Эта архитектура обеспечивает надежную основу для развертывания виртуального рабочего стола в масштабе при сохранении централизованного управления, безопасности и производительности.
Преимущества этой эталонной архитектуры
Масштабируемость: Поддерживает крупномасштабные развертывания, чтобы быстро масштабировать ресурсы на основе спроса
Безопасность: Использует такие меры безопасности, как управление доступом на основе ролей Azure (Azure RBAC) и сетевая безопасность для защиты среды от угроз
Эффективность работы: Включает средства автоматизации и мониторинга для снижения операционного бремени и повышения производительности системы
Скачайте файл Visio для этой архитектуры.
Области проектирования
Буквы "A" через "I" на схеме указывают области проектирования для посадочной зоны виртуального рабочего стола. На этой схеме показана иерархия организации ресурсов.
| Условные обозначения | Область проектирования | Цель |
|---|---|---|
| а | Выставление счетов Azure и клиент Active Directory | На раннем этапе настройте арендатора, регистрацию и конфигурацию выставления счетов. |
| Б | Управление удостоверениями и доступом | Создайте безопасный доступ к виртуальному рабочему столу с помощью идентификатора Microsoft Entra, условного доступа и Azure RBAC. Система управления идентификацией и доступом — это основная граница безопасности в общедоступном облаке. Она служит основой безопасных и полностью совместимых архитектур. |
| С | Организация ресурсов | Проектирование подписок и иерархий групп управления для поддержки управления, управления процессами и практик внедрения в масштабе. |
| D, G, H | Управление и мониторинг | Создайте базовые показатели, обеспечивающие операционную видимость, соответствие требованиям и возможность защиты и восстановления рабочих нагрузок. |
| Е | Топология сети и подключение | Проектирование надежной и масштабируемой сетевой архитектуры в качестве базового элемента облачной среды. |
| Ф | Безопасность | Применение элементов управления безопасностью непосредственно в рабочей нагрузке Виртуального рабочего стола. |
| G, F | Непрерывность бизнес-процессов и аварийное восстановление | Создайте стратегии непрерывности бизнес-процессов и аварийного восстановления для виртуального рабочего стола и вспомогательных служб, чтобы обеспечить устойчивость и восстановление. Эта область явно не помечена на схеме, но представлена в разделах G и F. |
| Я | Автоматизация платформы и DevOps | Включите инфраструктуру в виде кода и непрерывной интеграции и конвейеров непрерывной доставки (CI/CD) для управления ресурсами уровня платформы, политиками групп управления, определениями ролей и подготовкой подписки. |
Подсказка
Просмотрите области разработки виртуального рабочего стола, чтобы обеспечить соответствие рекомендациям по виртуальному рабочему столу.
Области проектирования целевой зоны Виртуального рабочего стола Azure: эти области определяют базовые элементы, необходимые для настройки развертывания виртуального рабочего стола в корпоративной среде. Они сосредоточены на подготовке ресурсов, таких как конфигурации сети, управление удостоверениями, безопасность и управление. Эта целевая зона помогает создать масштабируемую и безопасную среду для рабочих нагрузок виртуального рабочего стола.
Области проектирования виртуальных рабочих столов: эти области представляют архитектурные принципы и рекомендации по проектированию и эксплуатации рабочих нагрузок Виртуального рабочего стола. Они охватывают такие аспекты, как доставка приложений, проектирование инфраструктуры, безопасность и оптимизация затрат. Каждая область соответствует рекомендациям Azure для обеспечения оптимальной и экономичной реализации виртуального рабочего стола.
Принципы дизайна
Как и другие целевые зоны, целевая зона виртуального рабочего стола следует основным принципам проектирования целевой зоны Azure и соответствует общим областям проектирования.
В этой архитектуре используются следующие ключевые принципы:
Демократизация подписки: Команды управляют собственными ресурсами в рамках контролируемой среды.
Управление на основе политик: Централизованные политики и элементы управления обеспечивают соответствие требованиям и управление.
Модель службы, ориентированной на приложения: Архитектура поддерживает организации, структурированные вокруг приложений.
Единый уровень управления и управления: Централизованное управление ресурсами поддерживает надзор и контроль.
Эталонная реализация
Эталонная реализация целевой зоны приложения виртуального рабочего стола соответствует эталонной архитектуре и принципам проектирования, описанным в Cloud Adoption Framework и Azure Well-Architected Framework. Это решение содержит шаги по подготовке подписок целевой зоны для масштабируемого развертывания виртуального рабочего стола и развертывания виртуального рабочего стола в этих подписках целевой зоны.
Реализация зоны посадки виртуального рабочего стола предоставляет вашей организации развертывание, готовое к корпоративному использованию, которое соответствует лучшим практикам в области масштабируемости, безопасности и управления.
Архитектура
Внимание
Реализация развертывает ресурсы в целевой зоне приложения виртуального рабочего стола и подписках целевой зоны платформы.
Сначала необходимо развернуть целевую зону платформы Cloud Adoption Framework . Это развертывание предоставляет подписки и службы общего фонда, необходимые ресурсам в этой реализации.
Перед началом развертывания просмотрите предварительные требования виртуального рабочего стола.
Эта архитектура основана на нескольких подписках, которые предназначены для конкретных целей:
Подписка на виртуальный рабочий стол: Эта подписка или несколько подписок в зависимости от масштаба среды развертывает ресурсы виртуального рабочего стола, которые относятся к отдельным рабочим нагрузкам и не используются совместно между ними. К этим ресурсам относятся виртуальные машины, учетные записи хранения, хранилища ключей и частные конечные точки. Эта подписка считается частью входной зоны (landing zone) приложения.
Подписка на общие службы виртуального рабочего стола: Эта подписка размещает все службы, общие для нескольких рабочих нагрузок виртуального рабочего стола. Она включает такие ресурсы, как учетные записи службы автоматизации Azure, правила сбора данных, рабочие области Log Analytics и коллекции вычислений Azure. Эта подписка считается частью входной зоны (landing zone) приложения.
Подписки платформы: Эти базовые подписки предоставляют общие службы во всей среде. Они поддерживают и подключаются к подпискам целевой зоны приложений.
Подписка на управление: Эта подписка входит в структуру платформы целевой зоны Azure и обычно размещает общие ресурсы управления. К этим ресурсам относятся решения мониторинга, средства управления обновлениями и средства управления. В этой архитектуре подписка управления не является активной зависимостью для рабочей нагрузки Виртуального рабочего стола. Команда рабочей нагрузки должна реализовать собственные возможности автоматизации, мониторинга и управления в рамках указанной подписки на рабочую нагрузку.
Подписка на подключение: Эта подписка содержит компоненты, связанные с сетью, такие как виртуальные сети, группы безопасности сети (NSG), брандмауэр Azure и Azure ExpressRoute или VPN-шлюзы. В этой архитектуре эта подписка предоставляет целевую зону приложения Виртуального рабочего стола с безопасной и масштабируемой сетевой инфраструктурой. Эта функция обеспечивает изоляцию потоков трафика, сегментацию рабочих нагрузок организации и безопасный доступ к ресурсам между различными площадками.
Идентификационная подписка: Эта подписка управляет службами управления учетными данными и доступом, которые необходимы для поддержки доменных узлов виртуальных рабочих столов. В этой архитектуре эта подписка предоставляет посадочную зону приложения виртуального рабочего стола с доменными службами. К этим службам относятся доменные службы Microsoft Entra или автономные контроллеры домена Active Directory, размещенные в Azure. Эти службы позволяют узлам сеансов безопасно присоединяться к домену и проверять подлинность пользователей, применять групповые политики и поддерживать устаревшие сценарии проверки подлинности, необходимые некоторым приложениям.
Скачайте файл Visio для этой архитектуры.
Преимущества этой эталонной реализации
Масштабируемость: Она эффективно масштабируется в соответствии с потребностями вашей организации.
Безопасность: В нем используются средства управления безопасностью, соответствием и управлением корпоративного уровня для защиты среды.
Быстрое развертывание: Она ускоряет развертывание с помощью стандартных шаблонов, конфигураций и рекомендаций.
Соответствие наилучшим практикам: Он соответствует наилучшим практикам в архитектуре.
Обзор репозитория
— эталонная реализация целевой зоны виртуального рабочего стола поддерживает несколько сценариев развертывания в зависимости от ваших требований. Каждый сценарий развертывания поддерживает развертывания greenfield и brownfield и предоставляет несколько параметров шаблона инфраструктуры в виде кода (IaC):
- Пользовательский интерфейс портала Azure
- Шаблон Bicep для использования с Azure CLI или Azure PowerShell
- Шаблон Terraform
Реализация использует автоматизацию именования ресурсов на основе следующих рекомендаций:
Прежде чем продолжить развертывание, ознакомьтесь с именами ресурсов Azure, тегами и организацией реализации.
Скачайте файл Visio изображения.
Шаги развертывания
Чтобы выполнить развертывание, выполните следующие действия.
Ознакомьтесь с предварительными условиями развертывания. Этот шаг поможет вам подготовить среду к развертыванию.
Разверните зону приземления платформы, если у вас ее еще нет. Этот шаг настраивает базовые компоненты.
Разверните эталонную реализацию виртуального рабочего стола. После размещения посадочной зоны платформы разверните эталонную реализацию посадочной зоны виртуального рабочего стола в соответствии с эталонной архитектурой.
Чтобы начать, выберите следующий сценарий развертывания, который лучше всего соответствует вашим требованиям.
Базовое развертывание предусматривает развертывание ресурсов виртуального рабочего стола и зависимых служб, необходимых для установления базового уровня виртуального рабочего стола.
Этот сценарий развертывания включает следующие элементы:
Ресурсы виртуального рабочего стола, включая рабочую область, план масштабирования, пул узлов, группы приложений, виртуальные машины узла сеанса и при необходимости частные конечные точки
Общий объект файлов Azure, интегрированный со службой удостоверений
Azure Key Vault для управления секретами, ключами и сертификатами
При необходимости новая виртуальная сеть Azure, включающая базовые группы безопасности сети, группы безопасности приложений (ASGs) и таблицы маршрутов
При необходимости учетная запись хранения Azure, частные конечные точки Key Vault и частные зоны системы доменных имен (DNS)
Когда вы будете готовы к развертыванию, выполните следующие действия.
Следуйте руководству по базовому развертыванию , чтобы узнать о предварительных требованиях, сведениях о планировании и компонентах развертывания.
При необходимости просмотрите вкладку развертывания сборки пользовательского образа , чтобы создать обновленный образ для сеансов узла виртуального рабочего стола.
Выполните действия по базовому развертыванию. Если вы создали пользовательский образ коллекции вычислений Azure на предыдущем шаге, на странице узлов сеансов выберите коллекцию вычислений в качестве источника выбора ОС. Затем выберите правильное изображение.
Дальнейшие шаги
Чтобы развить концепции из этого руководства по проектированию, изучите следующие ресурсы Microsoft Learn:
Развертывание корпоративной посадочной зоны Azure для виртуального рабочего стола Azure: Узнайте, как развернуть посадочную зону виртуального рабочего стола, которая соответствует Cloud Adoption Framework.
Топология сети и подключение для виртуального рабочего стола. Изучите рекомендуемые сетевые проекты, включая топологию концентраторов и периферийных узлов, гибридное подключение, RDP Shortpath и рекомендации по обеспечению безопасности для виртуального рабочего стола.
Безопасность, управление и соответствие виртуальным рабочим столам. Узнайте, как реализовать элементы управления безопасностью, Azure RBAC, мониторинг и управление, чтобы обеспечить безопасность и соответствие среды виртуального рабочего стола.