Обновление узлов сеансов с помощью обновления узла сеанса в Виртуальном рабочем столе Azure (предварительная версия)
Внимание
Обновление узла сеанса для виртуального рабочего стола Azure в настоящее время находится в предварительной версии. Эта ограниченная предварительная версия предоставляется как есть, со всеми сбоями и как доступными, и исключается из соглашений об уровне обслуживания (SLA) или каких-либо ограниченных гарантий, предоставляемых корпорацией Майкрософт для служб Azure в общедоступной доступности. Чтобы зарегистрировать для ограниченной предварительной версии, выполните следующую форму: https://forms.office.com/r/ZziQRGR1Lz
Юридические условия, применимые к функциям Azure, которые находятся в состоянии бета-версии, предварительной версии или иным образом еще не выпущены в общедоступной версии, см. на странице Дополнительные условия использования предварительных версий в Microsoft Azure.
Если вы хотите обновить узлы сеансов в пуле узлов с конфигурацией узла сеансов, используйте обновление узла сеанса. Обновление узла сеансов позволяет обновить базовый образ виртуальной машины, размер, тип диска и другие свойства конфигурации. Во время обновления существующие виртуальные машины удаляются или освобождены, а новые создаются с обновленной конфигурацией, хранящейся в конфигурации узла сеанса. Обновление также использует значения из политики управления узлами сеансов, чтобы определить, как узлы сеансов должны обновляться.
В этой статье показано, как обновить конфигурацию узла пула узлов, обновить узлы сеансов в этом пуле и как отслеживать ход выполнения обновления с помощью портал Azure и Azure PowerShell.
Дополнительные сведения о том, как работает обновление узла сеанса, см. в разделе "Обновление узла сеанса".
Необходимые компоненты
Прежде чем обновлять узлы сеансов с помощью обновления узла сеанса, вам потребуется:
Существующий пул узлов с конфигурацией узла сеанса с узлами сеансов, которые находятся в одном регионе Azure и группе ресурсов. Личные пулы узлов не поддерживаются.
Новый образ должен поддерживаться для виртуального рабочего стола Azure и соответствовать поколению виртуальной машины. Если вы используете доверенные виртуальные машины запуска или конфиденциальные виртуальные машины, образ должен быть предназначен для виртуальных машин поколения 2. Это может быть из:
- Azure Marketplace.
- Существующий общий образ коллекции вычислений Azure. Рекомендуется иметь по крайней мере две реплики используемого образа.
- Существующий управляемый образ.
Удалите все блокировки ресурсов на узлах сеансов или группе ресурсов, в которую они вошли.
Назначьте субъекту-службе Виртуального рабочего стола Azure роль управления доступом на основе ролей (RBAC) в группе ресурсов или подписке с пулами узлов и узлами сеансов, которые вы хотите использовать с обновлением узла сеансов. Дополнительные сведения см. в статье "Назначение ролей Azure RBAC" или ролей Microsoft Entra субъектам-службам виртуального рабочего стола Azure.
Учетная запись Azure, используемая для настройки обновления узла сеансов, с помощью следующих ролей RBAC Azure для обновления следующих типов ресурсов. Вы также можете использовать другую встроенную роль, содержащую те же разрешения, или создать пользовательскую роль.
Тип ресурса Встроенная роль Azure RBAC Область Пул узлов Участник пула узлов виртуализации рабочих столов
Участник группы приложений виртуализации рабочих столовГруппа ресурсов или подписка Узлы сеансов Участник виртуальной машины Группа ресурсов или подписка Вы можете присоединить только узлы сеансов к домену Active Directory. Присоединение узлов сеансов к идентификатору Microsoft Entra не поддерживается, но вы можете использовать гибридное соединение Microsoft Entra.
При присоединении узлов сеансов к домену доменных служб Microsoft Entra необходимо быть членом группы администраторов контроллера домена AAD.
Если вы присоединяете узлы сеансов к домену служб домен Active Directory (AD DS), необходимо использовать учетную запись с большими разрешениями, чем обычно требуется для присоединения к домену, так как новый образ ОС повторно использует существующий объект компьютера. Разрешения и свойства в следующей таблице должны применяться к учетной записи в подразделении, содержащей узлы сеансов:
Имя. Тип Применяется к Введите новый пароль Разрешить Объекты компьютеров с детенентным интерфейсом Проверенное запись в dns-имя узла Разрешить Объекты компьютеров с детенентным интерфейсом Проверенное запись в имя субъекта-службы Разрешить Объекты компьютеров с детенентным интерфейсом Чтение ограничений учетной записи Разрешить Объекты компьютеров с детенентным интерфейсом Запись ограничений учетной записи Разрешить Объекты компьютеров с детенентным интерфейсом Начиная с KB5020276, в домене Active Directory были введены дополнительные защиты для повторного использования учетных записей компьютеров. Чтобы успешно использовать существующий объект компьютера для узла сеанса, выполните следующие действия.
- Учетная запись пользователя, присоединенная к узлу сеанса, является создателем существующей учетной записи компьютера.
- Учетная запись компьютера была создана членом группы безопасности администраторов домена.
- Примените параметр
Domain controller: Allow computer account re-use during domain joinгрупповой политики к владельцу учетной записи компьютера. Дополнительные сведения о области этого параметра см. в KB5020276.
Хранилище ключей, содержащее секреты, которые вы хотите использовать для учетных данных учетной записи локального администратора виртуальной машины, и при присоединении узлов сеансов к домену Active Directory учетные данные учетной записи присоединения к домену домена. Для каждого имени пользователя и пароля требуется один секрет. Пароль локального администратора виртуальной машины должен соответствовать требованиям к паролям при создании виртуальной машины.
Необходимо предоставить субъекту-службе Виртуального рабочего стола Azure возможность читать секреты. Хранилище ключей можно настроить для использования:
Модель разрешений Azure RBAC с пользователем секретов Key Vault, назначенным субъекту-службе виртуального рабочего стола Azure.
Политика доступа с разрешением get secret, назначенным субъекту-службе Виртуального рабочего стола Azure.
Хранилище ключей должно разрешить Azure Resource Manager для развертывания шаблона.
Чтобы убедиться, что вы используете правильный субъект-службу, см. статью "Назначение ролей Azure RBAC" или ролей Microsoft Entra субъектам-службам виртуального рабочего стола Azure.
Для любых пользовательских сценариев PowerShell, указанных в конфигурации узла сеанса, который будет выполняться после обновления, URL-адрес скрипта должен быть разрешаемым из общедоступного Интернета.
Если вы хотите использовать Azure PowerShell локально, ознакомьтесь с помощью Azure CLI и Azure PowerShell с виртуальным рабочим столом Azure, чтобы убедиться, что установлен модуль PowerShell Az.DesktopVirtualization . Кроме того, используйте Azure Cloud Shell.
Командлеты Azure PowerShell для виртуального рабочего стола Azure, поддерживающие обновление узла сеанса, находятся в предварительной версии. Для использования этих командлетов, добавленных в версию 5.3.0, необходимо скачать и установить предварительную версию модуля Az.DesktopVirtualization.
Планирование обновления и изменение конфигурации узла сеанса
При планировании обновления используется конфигурация узла сеанса для пула узлов. При планировании обновления необходимо внести изменения в конфигурацию узла сеанса, в противном случае узлы сеансов повторно развертываются с теми же значениями конфигурации узла сеанса. Все изменения, внесенные при планировании обновления, сохраняются в конфигурации узла сеанса.
Чтобы запланировать обновление узлов сеансов, выберите соответствующую вкладку для сценария и выполните действия.
Внимание
Во время обновления количество доступных узлов сеансов для сеансов пользователей уменьшается, а все пользователи, вошедший в систему, будет предложено выйти из системы. Мы рекомендуем запланировать обновление в течение менее занятых периодов, чтобы свести к минимуму нарушения работы конечных пользователей.
Если вы используете настраиваемую группу безопасности сети (NSG) для узлов сеансов, которые вы хотите обновить, существует известная проблема, из-за которой невозможно запустить обновление с помощью портал Azure. Чтобы обойти эту проблему, используйте Azure PowerShell для запуска обновления.
Вот как запланировать новое обновление для узлов сеансов с помощью портал Azure.
Совет
При планировании обновления с помощью портал Azure значения заполняются из конфигурации узла сеанса. Если это первое обновление и конфигурация узла сеанса еще не создана, портал отображает конфигурацию узла сеанса по умолчанию до создания конфигурации узла сеанса. Все изменения, внесенные в конфигурацию узла сеанса во время обновления, будут сохранены.
Если изменить конфигурацию узла сеанса с помощью портал Azure, необходимо запланировать обновление.
Убедитесь, что вы зарегистрировались для ограниченной предварительной версии с помощью ссылки в начале этой статьи, а затем войдите в портал Azure, используя определенную ссылку, указанную после регистрации. В обзоре виртуального рабочего стола Azure выберите пулы узлов, а затем выберите пул узлов с конфигурацией узла сеанса, которую требуется обновить.
Выберите узлы сеансов.
Если вы хотите проверить конфигурацию узла сеанса перед планированием обновления, выберите " Управление конфигурацией узла сеанса" и " Просмотреть". После проверки конфигурации узла сеанса нажмите кнопку "Отмена".
Чтобы запланировать новое обновление, выберите " Управление обновлением узла сеанса", а затем выберите "Создать обновление". Кроме того, выберите "Управление конфигурацией узла сеанса" и " Изменить".
На вкладке "Основы" выполните следующие сведения:
Параметр Значение и описание Включение сохранения исходных виртуальных машин после обновления Полезно в сценариях отката, но обычные затраты применяются для хранения компонентов исходной виртуальной машины. Текущий размер пула узлов (только для чтения) Количество узлов сеансов в пуле узлов. Размер пакета виртуальной машины, авторизованный для удаления из пула узлов во время обновления Максимальное количество узлов сеансов, обновляемых за раз.
При запуске обновления сначала обновляется только один узел сеанса, известный как начальный, чтобы проверить процесс обновления перед обновлением оставшихся узлов сеансов в пакетах. Если обновление начального не выполнено, обновление останавливается.Узлы сеансов, доступные во время обновления (только для чтения) Минимальное количество узлов сеансов, доступных для сеансов пользователей во время обновления. После завершения этой вкладки нажмите кнопку "Далее: узлы сеансов".
На вкладке "Узлы сеансов " можно при необходимости обновить следующие параметры в конфигурации узла сеанса:
Параметр Значение и описание Тип безопасности Выберите из стандартных, доверенных виртуальных машин или конфиденциальных виртуальных машин.
— При выборе доверенных виртуальных машин запуска параметры безопасной загрузки и vTPM автоматически выбираются.
— При выборе конфиденциальных виртуальных машин параметры безопасной загрузки, vTPM и мониторинга целостности автоматически выбираются. Вы не можете отказаться от VTPM при использовании конфиденциальной виртуальной машины.Изображения Выберите образ ОС, который вы хотите использовать в списке, или выберите "Просмотреть все изображения ", чтобы просмотреть больше, включая пользовательские образы, созданные и сохраненные как общий образ коллекции вычислений Azure или управляемый образ. размер виртуальной машины; Выберите рекомендуемый номер SKU из списка. Если вы хотите использовать другой номер SKU, выберите "Просмотреть все размеры", а затем выберите из списка. Тип диска ОС Выберите тип диска, используемый для узлов сеансов. Рекомендуется использовать SSD класса Premium для рабочих нагрузок.
Тип диска должен поддерживаться в выбранном семействе виртуальных машин и размере. Убедитесь, что вы выбираете сочетание, которое поддерживает вычисление Azure. Имя диска ОС обновленных узлов сеансов имеет новое имя в форматеSessionHostName-DateTime_Hash.Домен для присоединения Выберите каталог, к которому вы хотите присоединиться Выберите Active Directory, а затем выберите хранилище ключей, содержащее секреты для имени пользователя и пароля для учетной записи присоединения к домену.
При необходимости можно указать доменное имя и путь подразделения.Учетная запись администратора виртуальной машины Выполните соответствующие параметры, выбрав хранилище ключей и секрет для имени пользователя и пароля для учетной записи локального администратора обновленных виртуальных машин узла сеансов. Имя пользователя и пароль должны соответствовать требованиям для виртуальных машин Windows в Azure. Настраиваемая конфигурация URL-адрес пользовательского скрипта конфигурации Если вы хотите запустить скрипт PowerShell во время развертывания, можно ввести URL-адрес здесь. После просмотра или завершения внесения изменений в конфигурацию узла сеанса нажмите кнопку "Далее: расписание".
На вкладке "Расписание " установите флажок "Запланировать обновление сейчас" или выберите дату, время и часовой пояс, которые необходимо запустить обновление, не более двух недель с текущего времени.
После настройки расписания нажмите кнопку "Далее: уведомления".
На вкладке "Уведомления" выполните следующие сведения:
Параметр Значение и описание За несколько минут до выхода пользователей Время ожидания после начала обновления для пользователей, которые будут получать уведомления о выходе. Это значение можно настроить в диапазоне от 0 до 60 минут. Пользователи автоматически будут выключено после истечения этого времени. Сообщение выхода Сообщение, которое можно указать, чтобы сообщить пользователям о том, что узел сеанса, который они используют, начинает обновляться. После завершения этой вкладки нажмите кнопку "Далее: Проверка".
На вкладке "Проверка " убедитесь, что проверка проходит и просмотрите сведения, используемые во время обновления.
Выберите "Обновить", чтобы запланировать обновление. При просмотре списка узлов сеансов в столбце "Текущая версия" отображается метка времени конфигурации узла сеанса, используемой узлом сеанса. Если в столбце текущей версии есть значок предупреждения, это означает, что метка времени версии в целевой версии столбца будет позже, а узел сеанса необходимо обновить.
Примечание.
При первом планировании обновления параметры, предоставляемые вами, перезаписывают параметры по умолчанию в политике управления узлом сеанса. Последующие обновления будут иметь предварительно заполненные параметры и все изменения сохраняются.
Внимание
После запланированного обновления невозможно изменить расписание или параметры. Если вам нужно внести изменения, необходимо отменить обновление и запланировать новый.
Не удаляйте виртуальные машины из пула узлов во время обновления. Это может привести к созданию проблем с текущим обновлением.
Не изменяйте режим очистки виртуальных машин в пуле узлов во время обновления. Режим очистки виртуальных машин автоматически изменяется на основе того, в каком этапе обновления он находится. Если узел сеанса не может восстановиться после обновления, его параметр режима очистки будет включен. После завершения обновления режим очистки сбрасывается.
Обновление узла сеанса занимает около 20 минут. Число узлов сеансов, указанных в размере пакета, будет обновляться параллельно перед переходом к следующему пакету. Вы должны учитывать общее время завершения в запланированное время.
Мониторинг хода выполнения обновления
После начала обновления можно проверить его ход выполнения. Выберите соответствующую вкладку для вашего сценария и выполните действия.
Вот как отслеживать ход выполнения обновления с помощью портал Azure.
В обзоре виртуального рабочего стола Azure выберите пулы узлов, а затем выберите пул узлов, для которых вы запланировали обновление.
Выберите узлы сеансов.
Синий баннер предоставляет состояние обновления. Он отображает только точку во времени, поэтому необходимо выбрать "Обновить ", чтобы проверить последний ход выполнения.
Если вы выбрали немедленное запуск обновления, сообщение будет отображаться, что обновление запланировано во время его начала, но это сообщение обновляется после обновления. Во время обновления во время обновления отображается количество узлов сеансов, удаленных из пула узлов во время обновления.
Совет
Вы также можете просмотреть действие обновления с помощью журнала действий Azure Monitor.
Приостановка, возобновление, отмена или повторная попытка обновления
Вы можете приостановить, возобновить или отменить обновление, которое выполняется. Если вы приостанавливаете или отменяете обновление, текущее действие завершается до приостановки остальной части обновления. Например, если выполняется обновление пакета узлов сеансов, обновление до этих узлов сеансов завершается первым. Синий баннер, показывающий состояние изменения обновления, чтобы показать, насколько далеко обновление получилось при приостановке. После приостановки обновления его можно возобновить только с момента приостановки.
Если вы не возобновляете обновление в течение двух недель, обновление будет отменено. После отмены обновления его невозможно возобновить.
Внимание
При отмене части обновления между узлами сеансов в пуле узлов будут отличаться, например другая версия операционной системы, или присоединенная к другому домену Active Directory. Это может обеспечить несогласованный интерфейс для пользователей, поэтому вам потребуется запланировать другое обновление как можно скорее, чтобы убедиться, что на всех узлах сеансов есть четность.
Ниже показано, как приостановить, возобновить, отменить или повторить обновление с помощью портал Azure.
В обзоре виртуального рабочего стола Azure выберите пулы узлов, а затем выберите пул узлов, для которых вы запланировали обновление.
Выберите узлы сеансов, а затем выберите "Управление обновлением узла сеанса".
Выберите "Пауза", "Возобновить", "Отмена" или "Повторить" в зависимости от текущего состояния обновления.
Выберите "Обновить" , чтобы обновить сообщение о состоянии в синем баннере. Для отображения правильного состояния может потребоваться примерно 20 секунд.
Следующие шаги
Узнайте, как использовать обновление узла сеанса диагностика.
Найдите руководство по устранению неполадок с обновлением узла сеанса.