Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Виртуальный рабочий стол Azure предназначен для предоставления устойчивой, надежной и безопасной службы для организаций и пользователей. Архитектура Виртуального рабочего стола Azure состоит из множества компонентов, составляющих службу, которая подключает пользователей к их рабочим столам и приложениям. Большинство компонентов управляются корпорацией Майкрософт, но некоторые из них управляются клиентом или партнером.
Корпорация Майкрософт предоставляет компоненты инфраструктуры виртуальных рабочих столов (VDI) для основных функций как услуги. К этим компонентам относятся:
- Веб-служба: веб-сайт и конечная точка, доступные пользователю, и возвращает сведения о подключении на устройство пользователя.
- Служба брокера: оркестрирует входящие подключения.
- Служба шлюза: служба websocket, которая обеспечивает подключение по протоколу удаленного рабочего стола (RDP) с устройства пользователя, где бы они ни подключались к узлам сеансов, предоставляющим рабочие столы и приложения.
- Каталог ресурсов: содержит сведения, чтобы указать веб-службе, в какой из нескольких географических баз данных размещены сведения о подключении, необходимые для каждого пользователя.
-
Географическая база данных: содержит файлы подключения (
.rdp) и значки для каждого ресурса, подготовленного пользователем.
Кроме того, Виртуальный рабочий стол Azure использует другие глобальные службы Azure, такие как Диспетчер трафика Azure и Azure Front Door , чтобы направлять пользователей в ближайшие точки входа в Виртуальный рабочий стол Azure.
Вы отвечаете за создание узлов сеансов и управление ими, включая любые настройки образа операционной системы и приложения, подключение к виртуальной сети, устойчивость, а также резервное копирование и восстановление этих узлов сеансов. Вы также предоставляете удостоверения пользователей и управляете ими, а также управляете доступом к службе. Вы можете использовать другие службы Azure для удовлетворения ваших требований, например:
- Зоны доступности Azure для распределения узлов сеансов между физически отдельными расположениями центров обработки данных в регионе Azure, каждый с независимым питанием, охлаждением и сетью.
- Azure Backup для резервного копирования и восстановления узлов сеансов.
- Azure Site Recovery для репликации узлов сеансов в другой регион Azure.
- Помощник по Azure поможет оптимизировать ресурсы Azure.
На этой высокоуровневой схеме показаны компоненты и обязанности:
Подключения пользователей
Когда пользователь хочет получить доступ к своим рабочим столам и приложениям в Виртуальном рабочем столе Azure, для успешного подключения участвуют несколько компонентов. Существует две отдельные последовательности:
- Обнаружение веб-каналов. Веб-канал — это список рабочих столов и приложений, доступных пользователю.
- Подключение по протоколу удаленного рабочего стола к узлу сеансов.
Обнаружение веб-канала
Во время обнаружения веб-канала рабочие столы и приложения, доступные пользователю, заполняются в приложении на локальном устройстве. Веб-канал содержит все сведения, необходимые для подключения.
Процесс обнаружения веб-канала выглядит следующим образом:
Пользователь может находиться в любой точке мира. Диспетчер трафика Azure направляет устройство пользователя в ближайший экземпляр веб-службы Виртуального рабочего стола Azure на основе метода маршрутизации географического трафика, который использует исходный IP-адрес устройства пользователя.
Веб-служба подключается к службе брокера Виртуального рабочего стола Azure в том же регионе Azure, чтобы получить файлы RDP и значки приложений для веб-канала пользователя. Служба брокера подключается к географической базе данных и каталогу ресурсов Виртуального рабочего стола Azure в том же регионе для получения сведений.
Служба брокера возвращает файлы RDP и значки приложений в веб-службу, которая возвращает сведения на устройство пользователя.
Ниже приведена высокоуровневая схема, показывающая процесс обнаружения веб-каналов в одном регионе Azure:
Географическая база данных содержит только сведения, необходимые для рабочих столов и приложений из пулов узлов в том же регионе Azure, на которые распространяется география. Если пользователь назначен для настольных компьютеров или приложений из пула узлов, охваченного другим географическим регионом, каталог ресурсов указывает веб-службе подключиться к службе брокера и географической базе данных в правильном регионе Azure.
Ниже приведена высокоуровневая схема, показывающая процесс обнаружения веб-канала для пула узлов в регионе Azure, который охватывает другую географию:
Подключение по протоколу RDP
Когда пользователь подключается к рабочему столу или приложению из веб-канала, подключение по протоколу RDP устанавливается следующим образом:
Все удаленные сеансы начинаются с подключения к Azure Front Door, который предоставляет глобальную точку входа в Виртуальный рабочий стол Azure. Azure Front Door определяет службу шлюза Виртуального рабочего стола Azure с наименьшей задержкой для устройства пользователя и направляет к ней подключение.
Служба шлюза подключается к службе брокера в том же регионе Azure. Служба шлюза позволяет узлам сеансов находиться в любом регионе и по-прежнему быть доступными для пользователей.
Служба брокера берет на себя и управляет подключением между устройством пользователя и узлом сеансов. Служба брокера указывает агенту Виртуального рабочего стола Azure, работающему на узле сеансов, подключиться к той же службе шлюза, через которую подключено устройство пользователя.
На этом этапе выполняется один из двух типов подключения в зависимости от конфигурации и доступных сетевых протоколов:
Транспорт обратного подключения. После подключения клиента и узла сеансов к службе шлюза начинается ретрансляция трафика RDP по протоколу TCP между клиентом и узлом сеансов. Транспорт обратного подключения является типом подключения по умолчанию.
RDP Shortpath: между устройством пользователя и узлом сеансов создается прямой транспорт на основе протокола UDP, минуя службу шлюза.
Ниже приведена высокоуровневая схема, показывающая процесс подключения по протоколу RDP:
Совет
Более подробные технические сведения о сетевом подключении см. в статье Общие сведения о сетевом подключении Виртуального рабочего стола Azure и RDP Shortpath для Виртуального рабочего стола Azure.
Устойчивость службы
Виртуальный рабочий стол Azure предназначен для обеспечения устойчивости к сбоям и предоставления пользователям надежной службы. Служба предназначена для обеспечения устойчивости к сбоям отдельных компонентов и быстрого восстановления после сбоев.
Компоненты Виртуального рабочего стола Azure, управляемые корпорацией Майкрософт, в настоящее время находятся примерно в 40 регионах Azure, чтобы быть ближе к пользователям и обеспечить отказоустойчивую службу. Устойчивость реализована на глобальном, географическом уровне и в регионе Azure следующими способами:
Диспетчер трафика Azure направляет трафик для веб-службы, а Azure Front Door — трафик для службы шлюза. Если произошел сбой, который приводит к недоступности веб-службы или службы шлюза в одном регионе Azure или полному сбою в регионе, трафик перенаправляется в следующий ближайший доступный экземпляр в ближайшем регионе. Перенаправление трафика позволяет пользователям по-прежнему устанавливать новые подключения.
Географическая база данных использует Azure SQL возможности отработки отказа базы данных и репликации данных в каждом географическом регионе. При сбое базы данных база данных выполняет отработку отказа на дополнительный реплика и возобновляется нормальная работа. Во время отработки отказа существует короткий период времени, когда новые подключения завершаются сбоем до завершения отработки отказа, однако эта отработка отказа не влияет на существующие подключения.
Каталог ресурсов, служба брокера, веб-служба и служба шлюза доступны в каждом из регионов Azure, где находятся компоненты, управляемые Корпорацией Майкрософт для Виртуального рабочего стола Azure. Каждый компонент имеет несколько экземпляров, чтобы не было единой точки сбоя. В каждом регионе Azure существует по крайней мере шесть отдельных и отдельных экземпляров или кластеров каждого компонента, которые работают независимо, чтобы противостоять сбоям экземпляров.
Например, регион имеет достаточно экземпляров службы шлюза для удовлетворения спроса, но также имеет достаточную емкость для размещения сбоев этих экземпляров. Если экземпляр службы шлюза завершается сбоем, все подключения RDP на основе TCP, которые ретранслируются через этот конкретный экземпляр службы шлюза, удаляются. При повторном подключении этих отключенных пользователей остальные экземпляры обрабатывают запросы и повторно подключают каждого пользователя к существующему сеансу. Все остальные сеансы, обрабатываемые другими экземплярами службы шлюза, не затрагиваются.
Ниже приведена высокоуровневая схема, показывающая, как связаны между собой компоненты, управляемые Корпорацией Майкрософт.
Другие службы Azure, от которых зависит Виртуальный рабочий стол Azure, сами по себе предназначены для обеспечения устойчивости и надежности. Дополнительные сведения см. в статье Диспетчер трафика Azure и Azure Front Door.
Глобальная связь.
Виртуальный рабочий стол Azure — это служба, которая может помочь организациям адаптироваться к потребностям своих сотрудников, особенно удаленной работы. Он обеспечивает безопасный, надежный и гибкий способ доставки рабочих столов и приложений практически в любом месте. Виртуальный рабочий стол Azure предназначен для обеспечения устойчивости с использованием функций и служб Azure, которые помогают обеспечить высокую доступность службы для рабочих нагрузок.
Ниже приведена карта, демонстрирующая глобальный охват Виртуального рабочего стола Azure:
Связанные материалы
Сведения о расположениях, в которые Виртуальный рабочий стол Azure хранит данные для объектов-служб, см. в статье Расположения данных для Виртуального рабочего стола Azure.