Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этом документе предоставляются технические рекомендации для заинтересованных лиц, ответственных за зоны приземления платформ и рабочих нагрузок, по использованию Azure Virtual Desktop, используя методологии корпоративного уровня. В нем описывается, как подготовить и использовать ускоритель зоны посадки для виртуального рабочего стола Azure, что позволит сократить время развертывания и применить корпоративное управление, безопасность, сетевое взаимодействие и шаблоны автоматизации. Следуйте этим рекомендациям, чтобы стандартизировать развертывания, применять элементы управления соответствием требованиям и масштабировать AVD в разных регионах с прогнозируемыми операциями.
Эта документация позволяет вашим командам выполнять указанные ниже действия.
- Настройка системы управления удостоверениями, управления и контроля безопасности в корпоративном масштабе для рабочих нагрузок AVD
- Развертывание акселератора Виртуального рабочего стола Azure со встроенными рекомендациями
- Реализация конвейеров автоматизированного развертывания (предоставлено IaC)
Скачайте файл Visio этой архитектуры с несколькими регионами развертывания виртуального рабочего стола Azure в целевой зоне Azure корпоративного масштаба.
Создание посадочной зоны Azure
Целевая зона Azure корпоративного масштаба обеспечивает согласованную систему управления, безопасности и оперативной готовности в средах Azure. Прежде чем развертывать виртуальный рабочий стол Azure, прежде чем обеспечить соответствие требованиям к безопасности и соответствию требованиям.
Разверните посадочную зону Azure. Это развертывание включает в себя конфигурации удостоверений, сети, управления и безопасности, которые поддерживают масштабируемые рабочие нагрузки. Используйте пошаговое руководство по развертыванию для настройки среды.
Ознакомьтесь с рекомендациями по реализации, чтобы соответствовать архитектуре целевой зоны Azure корпоративного масштаба. Этот шаг гарантирует, что развертывание следует рекомендациям по модульности, масштабируемости и соответствию требованиям. Ознакомьтесь с рекомендациями по реализации корпоративного масштаба.
Развертывание акселератора целевой зоны приложения для виртуального рабочего стола Azure
Акселератор зоны приземления приложения для Виртуального рабочего стола Azure предоставляет шаблоны Инфраструктуры как кода, реализующие лучшие практики для масштабных корпоративных сред, что сокращает время развертывания и обеспечивает согласованность между средами.
Используйте акселератор целевой зоны приложения для развертывания базовых ресурсов Виртуального рабочего стола Azure. Акселератор включает проверенные шаблоны Bicep и ARM для виртуальных сетей, хранилища и виртуальных машин. Доступ к акселератору Виртуального рабочего стола Azure на GitHub и ознакомьтесь с предварительными условиями развертывания перед началом работы.
Настройте акселератор в соответствии с требованиями организации. Измените переменные среды и параметры развертывания, чтобы отразить потребности в удостоверении, сети и соответствии требованиям. Эта гибкость поддерживает различные корпоративные сценарии при сохранении стандартов безопасности.
Интеграция с конвейерами CI/CD для автоматизированных развертываний. Автоматизация развертываний Виртуального рабочего стола Azure с помощью PowerShell или Azure CLI. Ознакомьтесь с примерами автоматизации Bicep акселератора или развертыванием на портале Azure для первоначального тестирования и проверки.
Развертывание пользовательских образов для стандартизации конфигураций виртуальных машин. Создайте согласованные образы виртуальных машин с помощью требуемого программного обеспечения, конфигураций безопасности и политик организации. Сохраните эти образы в коллекции вычислений Azure , чтобы сократить время развертывания и обеспечить соответствие всем узлам сеансов.
Развертывание виртуального рабочего стола Azure в разных регионах
Растет глобально или требуется больше емкости? Региональное расширение обеспечивает масштабируемость, повышает производительность распределенных пользователей и обеспечивает непрерывность бизнес-процессов. Выберите сценарий расширения, соответствующий вашим потребностям:
Сценарий 1. Масштабирование за пределы региональной емкости . Добавление регионов, когда основной регион достигает пределов ресурсов 2. Улучшение взаимодействия пользователей. Развертывание ближе к конечным пользователям и приложениям для повышения производительности и локального подключения
Расширение из-за ограничений емкости
Дополнительный регион помогает организациям масштабировать виртуальный рабочий стол Azure, когда основной регион достигает ограничений емкости.
Разверните новую виртуальную сеть с не перекрывающимся пространством IP-адресов. Эта конфигурация предотвращает конфликты маршрутизации и гарантирует очистку пиринга между регионами. Используйте блоки CIDR, которые не перекрываются с существующими виртуальными сетями.
Подключите новый регион к основному региону с помощью глобального пиринга виртуальной сети с включенным транзитом шлюза . Транзит шлюза позволяет новому региону получать доступ к общим локальным ресурсам через VPN или ExpressRoute. Эта настройка поддерживает централизованное подключение и позволяет избежать дублирования сетевой инфраструктуры.
Подготовка регионального хранилища для профилей пользователей. Разверните решение хранилища в новом регионе для хранения контейнеров профилей FSLogix. Убедитесь, что пользователи назначены рабочим столам только в одном регионе, чтобы избежать фрагментации профилей в системах хранения.
(Рекомендуется) Разверните контроллер домена в новом регионе. Это развертывание повышает производительность проверки подлинности и поддерживает разрешение локальных удостоверений. Рекомендуется реплицировать службы Active Directory, если задержка или доступность являются проблемой.
Настройте исходящее подключение к Интернету в новом регионе. Используйте группы безопасности сети (NSG), сетевые виртуальные устройства (NVA) или брандмауэр Azure для применения политик безопасности и управления потоком трафика. Используйте частную подсеть с шлюзом NAT для явного определения исходящего подключения к Интернету.
Развертывание виртуальных машин Виртуального рабочего стола Azure в новом регионе. Используйте акселератор целевой зоны приложения для виртуального рабочего стола Azure для развертывания узлов сеансов и поддержки инфраструктуры. Убедитесь, что все зависимости доступны в новом регионе.
Назначьте пользователей рабочим столам только в одном регионе. Это одно назначение обеспечивает согласованный доступ к данным профиля и позволяет избежать конфликтов, вызванных несколькими экземплярами профилей в разных регионах.
Расширение для поддержки регионального взаимодействия пользователей
Развертывание виртуального рабочего стола Azure ближе к пользователям и локальным системам повышает производительность и снижает задержку.
Разверните новую виртуальную сеть с не перекрывающимся пространством IP-адресов. Эта конфигурация гарантирует очистку маршрутизации и избегает конфликтов IP-адресов с существующими сетями в других регионах или локальной среде.
Подключите новый регион к локальному локальному центру обработки данных с помощью VPN или ExpressRoute с частным пирингом. Эта настройка позволяет пользователям получать доступ к региональным приложениям и службам, размещенным в близлежащих центрах обработки данных. Используйте ExpressRoute для повышения надежности и производительности; Дополнительные сведения см. в статье "Настройка частного пиринга ExpressRoute ".
Подготовка регионального хранилища для профилей пользователей. Храните контейнеры профилей FSLogix в том же регионе, что и узлы сеансов, чтобы уменьшить задержку и повысить производительность входа. Избегайте доступа к профилям между регионами.
(Рекомендуется) Разверните контроллер домена в новом регионе. Эта настройка поддерживает локальную проверку подлинности и снижает зависимость от служб удостоверений между регионами.
Настройте исходящее подключение к Интернету в новом регионе. Используйте группы безопасности сети, NVAs или Брандмауэр Azure для обеспечения согласованной политики безопасности и управления трафиком, связанным с Интернетом. Используйте частную подсеть с шлюзом NAT для явного определения исходящего подключения к Интернету.
Развертывание виртуальных машин Виртуального рабочего стола Azure в новом регионе. Используйте акселератор целевой зоны приложения для виртуального рабочего стола Azure для развертывания узлов сеансов и поддержки инфраструктуры. Убедитесь, что доступны региональные зависимости.
Назначьте пользователей рабочим столам только в одном регионе. Эта настройка предотвращает дублирование профилей и гарантирует согласованность взаимодействия с пользователем. Профили относятся к регионам и не должны совместно использоваться в разных регионах.
Продолжить путешествие по виртуальному рабочему столу Azure
Максимальное развертывание виртуального рабочего стола Azure с помощью этих основных рекомендаций по проектированию. Каждая область содержит конкретные рекомендации по оптимизации реализации:
Основные области проектирования:
- Регистрация предприятия — оптимизация подписки и управления выставлением счетов
- Управление удостоверениями и доступом — безопасная проверка подлинности и авторизация пользователей
- Топология сети и подключение — проектирование устойчивых шаблонов сети
- Организация ресурсов — реализация эффективной группировки ресурсов и тегов
- Управление и мониторинг . Настройка комплексного операционного управления
- Непрерывность бизнес-процессов и аварийное восстановление — защита с помощью стратегий резервного копирования и восстановления
- Управление безопасностью и соответствие требованиям. Применение элементов управления безопасностью и соответствие требованиям
- Автоматизация платформы и DevOps — оптимизация конвейеров автоматизации и развертывания
Начните с удостоверений и сетей , если вы не знакомы с шаблонами корпоративного масштаба. Эти базовые области влияют на все остальные решения по проектированию.
Средства и ресурсы Azure
Основные средства развертывания:
| Категория | Tool | Зачем вам это нужно |
|---|---|---|
| Быстрый старт | Акселератор Виртуального рабочего стола Azure | Развертывание avD, готового к рабочей среде в часах, а не неделях, включает в себя инфраструктуру как шаблоны кода с помощью встроенных рекомендаций по масштабированию предприятия |
| Фундамент | Руководство по целевой зоне для корпоративного масштаба Azure | Создание возможностей управления, безопасности и управления, поддерживающих масштабируемые развертывания виртуальных рабочих столов Azure |
| Автоматизация | Сценарии развертывания Bicep и PowerShell | Автоматизация развертываний Виртуальных рабочих столов Azure с использованием проверенных шаблонов кода и примеров интеграции CI/CD |
Дальнейшие шаги
Готовы защитить среду Виртуального рабочего стола Azure и управлять ими? Начните с управления удостоверениями и доступом, чтобы установить шаблоны проверки подлинности и элементы управления безопасностью.