Виртуальный рабочий стол Azure для предприятий

Microsoft Entra ID
Microsoft Entra
Виртуальная сеть Azure
Виртуальный рабочий стол Azure

Виртуальный рабочий стол Azure — это служба виртуализации рабочих столов и приложений, запущенная в Azure. Эта статья предназначена для того, чтобы помочь архитекторам инфраструктуры настольных компьютеров, облачным архитекторам, администраторам рабочих столов и системным администраторам изучить виртуальный рабочий стол Azure и создавать решения виртуализированной инфраструктуры (инфраструктура виртуальных рабочих столов (VDI)) в масштабе предприятия. Решения корпоративного масштаба обычно охватывают 1000 или более виртуальных рабочих столов.

Архитектура

Типичный архитектурный подход для Виртуального рабочего стола Azure показан на следующей схеме:

Схема архитектуры службы Виртуальных рабочих столов Azure.

Скачайте файл Visio для этой архитектуры.

Поток данных

Ниже описаны элементы потока данных схемы:

  • Конечные точки приложения находятся в локальной сети клиента. Azure ExpressRoute расширяет локальную сеть в Azure, а Microsoft Entra Connect интегрирует службы домен Active Directory клиента (AD DS) с идентификатором Microsoft Entra.

  • Плоскость управления Виртуальным рабочим столом Azure обрабатывает веб-доступ, шлюз, брокер, диагностика и компоненты расширяемости, такие как REST API.

  • Клиент управляет AD DS и идентификатором Microsoft Entra, подписками Azure, виртуальными сетями, Файлы Azure или Azure NetApp Files, а также пулами узлов и рабочими областями виртуального рабочего стола Azure.

  • Чтобы увеличить емкость, клиент использует две подписки Azure в центральной архитектуре и подключает их через пиринг виртуальной сети.

Дополнительные сведения о контейнере профилей FSLogix — Файлы Azure и рекомендациях по использованию Azure NetApp Files см. в примерах конфигурации FSLogix.

Компоненты

Архитектура службы виртуального рабочего стола Azure аналогична службам удаленных рабочих столов Windows Server (RDS). Хотя корпорация Майкрософт управляет компонентами инфраструктуры и брокеров, корпоративные клиенты управляют собственными виртуальными машинами узла рабочего стола (виртуальными машинами), данными и клиентами.

Компоненты, управляемые корпорацией Майкрософт

Корпорация Майкрософт управляет следующими службами Виртуальных рабочих столов Azure в рамках Azure:

  • Веб-доступ. Используя службу веб-доступа в виртуальном рабочем столе Azure, вы можете получить доступ к виртуальным рабочим столам и удаленным приложениям через веб-браузер, совместимый с HTML5, так же, как и с локальным компьютером, в любом месте и на любом устройстве. Вы можете защитить веб-доступ с помощью многофакторной проверки подлинности в идентификаторе Microsoft Entra.

  • Шлюз: служба шлюза удаленного подключения подключает удаленных пользователей к приложениям и Виртуальным рабочим столам Azure с любого устройства, подключенного к Интернету, которое может запустить клиент Виртуальных рабочих столов Azure. Клиент подключается к шлюзу, который затем руководит подключением ВМ к тому же шлюзу.

  • Брокер подключений: служба брокера подключений управляет подключениями пользователей к виртуальным рабочим столам и удаленным приложениям. Брокер подключений обеспечивает балансировку нагрузки и повторное подключение к существующим сеансам.

  • Диагностика: диагностика удаленного рабочего стола — это агрегатор на основе событий, который помечает все действия пользователя или администратора в развертывании Виртуальных рабочих столов Azure как успешные или неудачные. Администраторы могут запрашивать агрегирование событий для обнаружения неисправных компонентов.

  • Компоненты расширяемости: Виртуальный рабочий стол Azure включает несколько компонентов расширения. Вы можете управлять виртуальным рабочим столом Azure с помощью Windows PowerShell или с предоставленными ИНТЕРФЕЙСами REST API, которые также обеспечивают поддержку сторонних средств.

Компоненты, которыми управляете

Вы управляете следующими компонентами решений Виртуального рабочего стола Azure:

  • Azure виртуальная сеть. С помощью Azure виртуальная сеть ресурсы Azure, такие как виртуальные машины, могут взаимодействовать друг с другом и с Интернетом. Подключив пулы узлов Виртуальных рабочих столов Azure к домену Active Directory, можно определить топологию сети для доступа к виртуальным рабочим столам и виртуальным приложениям из внутренней сети или Интернета на основе политики организации. Экземпляр виртуального рабочего стола Azure можно подключить к локальной сети с помощью виртуальной частной сети (VPN) или использовать Azure ExpressRoute для расширения локальной сети в Azure через частное подключение.

  • Идентификатор Microsoft Entra: виртуальный рабочий стол Azure использует идентификатор Microsoft Entra для управления удостоверениями и доступом. Интеграция Microsoft Entra применяет функции безопасности Microsoft Entra, такие как условный доступ, многофакторная проверка подлинности и Интеллектуальный граф безопасности, а также помогает поддерживать совместимость приложений на виртуальных машинах, присоединенных к домену.

  • домен Active Directory службы (необязательно): виртуальные машины виртуального рабочего стола Azure могут быть присоединены к службе AD DS или использовать виртуальные машины, присоединенные к Microsoft Entra, в виртуальном рабочем столе Azure

    • При использовании домена AD DS домен должен быть синхронизирован с идентификатором Microsoft Entra, чтобы связать пользователей между двумя службами. Вы можете использовать Microsoft Entra Connect для связывания AD DS с идентификатором Microsoft Entra.
    • При использовании соединения Microsoft Entra просмотрите поддерживаемые конфигурации , чтобы убедиться, что сценарий поддерживается.
  • Узлы сеансов виртуального рабочего стола Azure: узлы сеансов — это виртуальные машины, к которым пользователи подключаются для рабочих столов и приложений. Поддерживаются несколько версий Windows, и вы можете создавать образы с помощью приложений и настроек. Можно выбрать размеры ВМ, в том числе ВМ с поддержкой графических процессоров. На каждом узле сеансов имеется агент узла Виртуальных рабочих столов Azure, который регистрирует ВМ как часть рабочей области или клиент виртуального рабочего стола Azure. Каждый пул узлов может иметь одну или несколько групп приложений, которые являются коллекциями удаленных приложений или сеансов настольных компьютеров, к которым можно получить доступ. Сведения о поддерживаемых версиях Windows см. в разделе "Операционные системы и лицензии".

  • Рабочая область Виртуального рабочего стола Azure. Рабочая область или клиент Виртуального рабочего стола Azure — это конструкция управления для управления ресурсами пула узлов и публикации.

Подробности сценария

Потенциальные варианты использования

Наибольший спрос на решения для корпоративных виртуальных рабочих столов происходит из следующих вариантов:

  • Приложения безопасности и регулирования, такие как финансовые услуги, здравоохранение и правительство.

  • Эластичные рабочие ресурсы, такие как удаленная работа, слияние и приобретение, краткосрочные сотрудники, подрядчики и партнерский доступ.

  • Конкретные сотрудники, такие как использование собственного устройства (BYOD) и мобильных пользователей, центров вызовов и работников филиалов.

  • Специализированные рабочие нагрузки, такие как проектирование и проектирование, устаревшие приложения и тестирование разработки программного обеспечения.

Персональные и общие рабочие столы

Используя личные классические решения, иногда называемые постоянными рабочими столами, пользователи всегда могут подключаться к одному конкретному узлу сеанса. Пользователи могут обычно изменять возможности рабочего стола в соответствии с личными предпочтениями, и они могут сохранять файлы в классической среде. Решения для персональных рабочих столов:

  • Разрешить пользователям настраивать среду рабочего стола, включая установленные пользователем приложения, и пользователи могут сохранять файлы в классической среде.
  • Разрешить назначать выделенные ресурсы определенным пользователям, что может быть полезно для некоторых вариантов использования производства или разработки.

Решения для настольных компьютеров в пуле, также называемые не постоянными рабочими столами, назначают пользователям любой узел сеансов в зависимости от алгоритма балансировки нагрузки. Так как пользователи не всегда возвращаются к одному узлу сеансов при каждом подключении, они имеют ограниченную возможность настраивать среду рабочего стола и обычно не имеют доступа администратора.

Примечание.

Сохраняемая и не сохраняемая терминология в этом случае относится к сохраняемости профиля пользователя. Это не означает, что диск операционной системы возвращается к золотому образу или отменяет изменения при перезагрузке.

Обслуживание Windows

Существует несколько вариантов обновления экземпляров Виртуального рабочего стола Azure. Развертывание обновленного образа каждый месяц гарантирует соответствие требованиям и статусу.

Связи между ключевыми логическими компонентами

Связи между пулами узлов, рабочими областями и другими ключевыми логическими компонентами зависят. Они приведены на следующей схеме:

Схема, иллюстрирующая связи между ключевыми логическими компонентами.

Числа в следующих описаниях соответствуют числам, указанным на предыдущей схеме.

  • (1) Группа приложений, содержащая опубликованный рабочий стол, может содержать только пакеты MSIX, подключенные к пулу узлов (пакеты будут доступны в меню "Пуск " узла сеансов), он не может содержать другие опубликованные ресурсы и называется группой классических приложений.
  • (2) Группы приложений, назначенные одному пулу узлов, должны быть членами одной рабочей области.
  • (3) Учетная запись пользователя может быть назначена группе приложений напрямую или через группу Microsoft Entra. Невозможно назначить пользователей группе приложений, но она не может обслуживаться.
  • (4) Можно иметь пустую рабочую область, но она не может обслуживать пользователей.
  • (5) Можно иметь пустой пул узлов, но он не может обслуживать пользователей.
  • (6) Возможно, что пул узлов не назначен группам приложений, но не может обслуживать пользователей.
  • (7) Идентификатор Microsoft Entra требуется для виртуального рабочего стола Azure. Это связано с тем, что учетные записи и группы пользователей Microsoft Entra всегда должны использоваться для назначения пользователей группам приложений Виртуального рабочего стола Azure. Идентификатор Microsoft Entra также используется для проверки подлинности пользователей в службе виртуального рабочего стола Azure. Узлы сеансов виртуального рабочего стола Azure также могут быть членами домена Microsoft Entra, и в этой ситуации опубликованные приложения и сеансы рабочего стола Azure также будут запускаться и запускаться (не только с помощью учетных записей Microsoft Entra).
    • (7) Кроме того, узлы сеансов Виртуального рабочего стола Azure могут быть членами домена AD DS, и в этом случае опубликованные приложения и сеансы рабочего стола Azure будут запущены и запущены (но не назначены) с помощью учетных записей AD DS. Чтобы снизить нагрузку на пользователей и администрирование, AD DS можно синхронизировать с идентификатором Microsoft Entra Connect с помощью Microsoft Entra Connect.
    • (7) Наконец, узлы сеансов виртуального рабочего стола Azure могут быть членами домена доменных служб Microsoft Entra, а в этой ситуации опубликованные приложения и сеансы рабочего стола Azure будут запущены и запущены (но не назначены) с помощью учетных записей доменных служб Microsoft Entra. Идентификатор Microsoft Entra автоматически синхронизируется с доменными службами Microsoft Entra, одним из способов— от идентификатора Microsoft Entra до доменных служб Microsoft Entra.
Ресурс Назначение Логические связи
Опубликованный рабочий стол Классическая среда Windows, которая выполняется на узлах сеансов виртуального рабочего стола Azure и поставляется пользователям по сети. Член одной и только одной группы приложений (1)
Опубликованное приложение Приложение Windows, работающее на узлах сеансов Виртуального рабочего стола Azure и доставляемое пользователям по сети Член одной и только одной группы приложений
Группа приложений Логическая группировка опубликованных приложений или опубликованного рабочего стола — содержит опубликованный рабочий стол (1) или одно или несколько опубликованных приложений
— назначено одному и только одному пулу узлов (2)
— Член одной и только одной рабочей области (2)
— одной или нескольких учетных записей пользователей Или групп Microsoft Entra назначается ему (3)
Учетная запись пользователя или группа Microsoft Entra Определяет пользователей, которым разрешено запускать опубликованные рабочие столы или приложения. — Член одного и только одного идентификатора Microsoft Entra
— назначено одной или нескольким группам приложений (3)
Идентификатор Microsoft Entra (7) Поставщик удостоверений — Содержит одну или несколько учетных записей пользователей или групп, которые должны использоваться для назначения пользователей группам приложений, а также могут использоваться для входа на узлы сеансов.
— Может содержать членство узлов сеансов.
— Можно синхронизировать с AD DS или доменными службами Microsoft Entra
AD DS (7) Поставщик служб идентификации и каталогов — содержит одну или несколько учетных записей пользователей или групп, которые можно использовать для входа в узлы сеансов.
— Может иметь членство в узлах сеансов.
— Может быть синхронизирован с идентификатором Microsoft Entra
Доменные службы Microsoft Entra (7) Поставщик удостоверений и служб каталогов на основе платформы как службы (PaaS) — содержит одну или несколько учетных записей пользователей или групп, которые можно использовать для входа в узлы сеансов.
— Может иметь членство в узлах сеансов.
— Синхронизировано с идентификатором Microsoft Entra
Рабочая область Логическое объединение групп приложений Содержит одну или несколько групп приложений (4)
Пул узлов Группа идентичных узлов сеансов, исполняющих общую задачу — содержит один или несколько узлов сеансов (5)
— Одному или нескольким группам приложений назначается ( 6)
Узел сеансов Виртуальная машина с опубликованными рабочими столами или приложениями Член одного и только одного пула узлов.

Рекомендации

Эти рекомендации реализуют основные принципы платформы Azure Well-Architected Framework, которая является набором руководящих принципов, которые можно использовать для улучшения качества рабочей нагрузки. Дополнительные сведения см. в статье Microsoft Azure Well-Architected Framework.

Цифры в следующих разделах являются приблизительными. Они основаны на различных крупных развертываниях клиентов и могут меняться с течением времени.

Дополнительное замечание.

  • Вы не можете создавать более 500 групп приложений на один клиент Microsoft Entra*.
  • Рекомендуется не публиковать более 50 приложений для каждой группы приложений.

Ограничения Виртуального рабочего стола Azure

Виртуальный рабочий стол Azure, как и Azure, имеет определенные ограничения службы, которые необходимо учитывать. Чтобы избежать необходимости вносить изменения на этапе масштабирования, рекомендуется устранить некоторые из этих ограничений на этапе проектирования.

Объект Виртуального рабочего стола Azure Объект контейнера "Родитель" Лимит обслуживания
Рабочая область Клиент Microsoft Entra 1300
Пул узлов Рабочая область 400
Группа приложений Клиент Microsoft Entra 500*
RemoteApp Группа приложений 500
Назначение ролей Любой объект Виртуального рабочего стола Azure 200
Узел сеансов Пул узлов 10,000

*Если вам требуется более 500 групп приложений, отправьте запрос в службу поддержки через портал Azure.

  • Рекомендуется развертывать не более 5 000 виртуальных машин на одну подписку Azure в каждом регионе. Эта рекомендация применяется как к личным, так и к пулам узлов на основе одного и нескольких сеансов Windows Enterprise. Большинство клиентов используют многосеансовый сеанс Windows Enterprise, что позволяет нескольким пользователям входить в каждую виртуальную машину. Вы можете увеличить ресурсы отдельных виртуальных машин узла сеансов, чтобы разместить больше сеансов пользователей.
  • Для автоматизированных средств масштабирования узла сеансов ограничения составляют около 2500 виртуальных машин на одну подписку Azure в каждом регионе, так как взаимодействие с состоянием виртуальной машины потребляет больше ресурсов.
  • Чтобы управлять корпоративными средами с более чем 5000 виртуальными машинами на одну подписку Azure в одном регионе, можно создать несколько подписок Azure в центральной архитектуре и подключить их через пиринг между виртуальными сетями (с помощью одной подписки на периферийную). Вы также можете развернуть ВМ в другом регионе в той же подписке, чтобы увеличить число ВМ.
  • Ограничения регулирования API подписки Azure Resource Manager не позволяют выполнять более 600 перезагружаемых виртуальных машин Azure в час через портал Azure. Можно перезагрузить все компьютеры одновременно через операционную систему, которая не использует вызовы API подписки Azure Resource Manager. Дополнительные сведения о подсчете и устранении проблем с ограничениями регулирования в зависимости от подписки Azure см. в разделе Устранение ошибок регулирования API.
  • В настоящее время можно развернуть до 132 виртуальных машин в одном развертывании шаблона ARM на портале Виртуального рабочего стола Azure. Чтобы создать более 132 виртуальных машин, выполните развертывание шаблона ARM на портале виртуального рабочего стола Azure несколько раз.
  • Префиксы имени узла сеанса виртуальной машины Azure не могут превышать 11 символов из-за автоматического назначения имен экземпляров и ограничения NetBIOS в 15 символов на учетную запись компьютера.
  • По умолчанию в группе ресурсов можно развернуть до 800 экземпляров большинства типов ресурсов. В Azure Compute это ограничение не предусмотрено.

Дополнительные сведения о подписке Azure и ограничениях см. в статье Подписка Azure и ограничения служб, квоты и ограничения.

Изменение размера виртуальной машины

В рекомендациях по выбору размера виртуальной машины приведено максимальное количество пользователей на каждый виртуальный ЦП и минимальные конфигурации виртуальных машин для разных рабочих нагрузок. Эти данные помогают оценить виртуальные машины, необходимые для пула узлов.

Используйте средства моделирования для тестирования развертываний с помощью нагрузочных тестов и симуляций реальных ситуаций. Убедитесь, что система реагирует и устойчива достаточно для удовлетворения потребностей пользователей и не забывайте изменять размеры нагрузки при тестировании.

Оптимизация затрат

Оптимизация затрат заключается в поиске способов уменьшения ненужных расходов и повышения эффективности работы. Дополнительные сведения см. в разделе Обзор критерия "Оптимизация затрат".

Вы можете разработать решение Виртуального рабочего стола Azure для экономии затрат. Ниже приведены пять различных вариантов управления затратами для предприятий:

  • Windows 10 с несколькими сеансами. Предоставляя многосеансовый рабочий стол для пользователей с идентичными требованиями к вычислительным ресурсам, вы можете одновременно разрешить пользователям входить на одну виртуальную машину, что может привести к значительной экономии затрат.
  • Преимущество гибридного использования Azure: если у вас есть Software Assurance, вы можете использовать Преимущество гибридного использования Azure для Windows Server, чтобы сэкономить на стоимости инфраструктуры Azure.
  • Зарезервированные экземпляры виртуальных машин Azure: вы можете заплатить за использование виртуальной машины и сэкономить деньги. Объединяйте зарезервированные экземпляры виртуальных машин Azure с Преимущество гибридного использования Azure до 80 процентов экономии по сравнению со списком цен.
  • Балансировка нагрузки узла сеанса. При настройке узлов сеансов в режиме ширины первого режима, который случайным образом распределяет пользователей по узлам сеансов, является стандартным режимом по умолчанию. Кроме того, можно использовать режим глубины для заполнения сервера узла сеанса максимальным числом пользователей, прежде чем перейти к следующему узлу сеанса. Этот параметр можно настроить для достижения максимальной выгоды.

Развертывание этого сценария

Используйте шаблоны ARM для автоматизации развертывания среды Виртуального рабочего стола Azure. Эти шаблоны ARM поддерживают только объекты Виртуального рабочего стола Azure Resource Manager Azure. Эти шаблоны ARM не поддерживают Виртуальный рабочий стол Azure (классическая версия).

Соавторы

Эта статья поддерживается корпорацией Майкрософт. Первоначально он был написан следующими участниками.

Автор субъекта:

  • Том Хиклинг | Старший менеджер по продуктам, инженерия виртуальных рабочих столов Azure

Другой участник:

Следующие шаги