Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Сеть — это базовый элемент рабочих нагрузок Виртуального рабочего стола Azure (AVD), влияющий на производительность, безопасность и взаимодействие с пользователем. В этой статье содержатся руководящие принципы и рекомендации, ориентированные на соответствие Azure Well-Architected Framework касательно сетевых технологий.
Оптимизация трафика
Виртуальный рабочий стол Azure (AVD) требует подключения к сети с низкой задержкой в режиме реального времени, чтобы обеспечить простой пользовательский интерфейс. Высокая задержка или джиттер может привести к лагу, разрыву экрана или медленной реакции на ввод. Оптимизация сети помогает обеспечить эффективное использование пропускной способности, сократить затраты и повысить производительность, особенно в средах с ограниченными пропускной способностью.
Необходимо проверить, что задержка и пропускная способность соответствуют требованиям в средах разработки, тестирования и проверки концепции. Всегда учитывайте фактический пользовательский интерфейс, включая сетевые условия, устройства конечных пользователей и конфигурацию узла сеанса.
Замечание
Задержка — это только один аспект удаленного подключения. Пропускная способность сети и рабочая нагрузка пользователей также влияют на взаимодействие с конечным пользователем. Чтобы оценить требования к пропускной способности, ознакомьтесь с требованиями к пропускной способности протокола удаленного рабочего стола (RDP).
Recommendations
| Recommendation | Преимущества |
|---|---|
| Развертывание узлов сеансов в регионе Azure, ближайшем к конечным пользователям | Уменьшение задержки и повышение скорости реагирования |
| Внедрение RDP Shortpath | Обеспечивает прямые подключения UDP для снижения задержки и повышения производительности |
| Для VPN-подключений типа "точка — сеть" (P2S) используйте разделенный туннель на основе протокола UDP. | Повышает производительность и уменьшает ненужный трафик через VPN |
| В управляемых сетях реализуйте политики качества обслуживания (QoS) для трафика RDP, который учитывает задержки сети. | Отдаёт приоритет критическому трафику AVD и минимизирует задержки. |
| Проверка задержки сети между узлами сеансов и локальной средой | Идентифицирует и устраняет узкие места подключения |
| Рассмотрите возможность использования SKU виртуальных машин с поддержкой функций ускоренного сетевого взаимодействия. | Повышение пропускной способности и уменьшение задержки в сети |
| Используйте таблицу маршрутов, чтобы разрешить трафику Виртуального рабочего стола Azure обойти все правила принудительного туннелирования, которые используются для маршрутизации трафика в брандмауэр или сетевое виртуальное устройство (NVA). В противном случае принудительное туннелирование может повлиять на производительность и надежность подключения клиентов. Рассмотрите возможность использования тегов службы. | Обеспечивает оптимальное подключение и снижает риск узких мест |
|
Включить мониторинг подключений Network Watcher в Azure. Используйте монитор подключения во время тестирования, который может генерировать искусственный трафик. |
Вы можете собирать метрики, указывающие на потерю и задержку в сетях. Кроме того, можно отследить весь путь трафика, важный для обнаружения узких мест сети. |
Сетевая безопасность
Безопасность сети необходима для защиты рабочих нагрузок Виртуального рабочего стола Azure (AVD) от угроз и обеспечения соответствия требованиям. Поскольку облачные среды становятся более сложными, традиционные сетевые элементы управления на основе подхода доверенной интрасети больше не достаточно. Для современной безопасности требуются многоуровневые элементы управления и непрерывный мониторинг.
Общие сведения о защите ресурсов путем размещения элементов управления сетевым трафиком см. в рекомендациях по сети и подключению.
Замечание
Убедитесь, что узлы сеансов и устройства конечных пользователей могут получить доступ ко всем необходимым URL-адресам для виртуального рабочего стола Azure для обеспечения подключения и функциональных возможностей служб.
Recommendations
| Recommendation | Преимущества |
|---|---|
| Используйте брандмауэр Azure или стороннее сетевое виртуальное устройство (NVA) для защиты и фильтрации на востоке и северо-юге. Если вы не используете брандмауэр Azure или сторонний NVA и имеете северо-южный трафик, рассмотрите доступные методы исходящего доступа . |
Защищает от угроз, управляет потоком трафика и обеспечивает соответствие требованиям |
| Чтобы сегментировать или изолировать подсети и рабочие нагрузки, управляя потоком трафика, реализуйте группы безопасности сети (NSG) | Повышение безопасности путем изоляции рабочих нагрузок и ограничения бокового перемещения |
| Чтобы уменьшить административные издержки при масштабировании сетевого доступа и управлении потоком трафика для узлов сеансов, используйте группы безопасности приложений (ASG) для их группировки и определения политик безопасности в группах безопасности сети. | ASG позволяет повторно использовать политику безопасности в масштабе без необходимости вручную поддерживать явные IP-адреса. |
| По возможности используйте теги служб , а не определенные IP-адреса. | Сокращение административных затрат, упрощение управления правилами и снижение риска неправильной настройки |
| Реализуйте приватный канал для безопасного подключения к удаленному виртуальному рабочему столу Azure и связанным службам в частном порядке. При использовании этой службы с виртуальным рабочим столом Azure можно отключить общедоступные конечные точки для компонентов уровня управления Виртуальным рабочим столом Azure и использовать частные конечные точки, чтобы избежать использования общедоступных IP-адресов. |
Сохраняет трафик в сети Майкрософт, улучшает конфиденциальность и снижает воздействие на общедоступный Интернет. |
| Для виртуальных машин, не защищенных брандмауэром, рассмотрите возможность JIT-доступа , если требуется прямой доступ администратора. | Свести к минимуму окна экспозиции и снизить риск несанкционированного доступа |
| Настройте сетевые правила в группах безопасности сети или NVAs на принципах нулевого доверия и минимально возможного привилегированного доступа. | Сводит к минимуму область атаки и ограничивает боковое перемещение в сети |
Компромиссы
Приватный канал
Включение приватного канала и частных конечных точек повышает безопасность и конфиденциальность, сохраняя трафик в сети Майкрософт и вне общедоступного Интернета. Однако эта конфигурация представляет дополнительные затраты, включая расходы на каждую частную конечную точку. Узлы сеансов также требуют подключения к службам разрешения имен, которые могут определять IP-адреса частной конечной точки, что может привести к увеличению общей нагрузки на управление системой доменных имен (DNS).
Подсказка
Используйте службу "Управление затратами Azure" для отслеживания и оптимизации расходов на сеть, связанных с приватным каналом и другими сетевыми функциями.
Тщательно оцените требования к безопасности и бюджет, чтобы определить, оправдывают ли преимущества приватного канала дополнительные расходы на развертывание виртуального рабочего стола Azure.
Сегментация сети
Эффективная сегментация сети важна для поддержки виртуального рабочего стола Azure (AVD) в масштабе. При проектировании среды AVD уделяйте приоритет гибкости и будущему росту, выделяя виртуальные сети и подсети для каждой целевой области. Этот подход помогает предотвратить конфликты IP-адресов, упростить управление и гарантировать, что сеть может разместить другие ресурсы и развивать рабочие нагрузки с течением времени. Запланировав расширение и изоляцию рабочих нагрузок соответствующим образом, вы будете поддерживать эффективность работы и безопасность по мере роста развертывания AVD.
Замечание
Рефакторинг IP-адресов и схем подсети для удовлетворения роста может быть трудоемким. Избегайте создания большого количества небольших подсетей, если это не необходимо, так как они добавляют управленческое бремя при ограниченной пользе для безопасности. Перекрывающиеся диапазоны IP-адресов являются распространенным недостатком— назначьте управление IP-адресами сетевым архитекторам и регулярно просматривайте их.
Recommendations
Подсказка
Дополнительные сведения см. в разделе об ограничениях сети Azure.
| Recommendation | Преимущества |
|---|---|
| Размер виртуальных сетей и подсетей в соответствии с стратегией масштабирования. Выберите меньше, более крупные виртуальные сети для удовлетворения прогнозируемого роста без операционного бремени | Обеспечивает эффективное масштабирование сети и избегает ограничений на адресное пространство. |
| Убедитесь, что адресное пространство не перекрывается с другими виртуальными сетями, с которыми необходимо взаимодействовать, и заранее запланируйте адресное пространство. | Предотвращает конфликты и поддерживает гладкую масштабируемую сетевую архитектуру. |
| Регулярно просматривайте и обновляйте сегментацию сети по мере развития рабочих нагрузок | Обеспечивает эффективность работы и безопасность |
| Разделяйте подсети, если это необходимо, по пулам узлов, пользователям и (или) рабочим нагрузкам. | Позволяет осуществить сегрегацию узлов сеансов, которые требуют аналогичного доступа, что уменьшает любые сложные правила NVA или NSG. |
Компромиссы
Большие подсети
Большие подсети обеспечивают достаточное адресное пространство, что позволяет рабочим нагрузкам легко масштабироваться и защищаться от непредвиденных пиков спроса. Однако это может привести к неэффективному использованию IP-адресов и с течением времени потенциального исчерпания IP-адресов. Более крупные подсети также могут увеличить операционные затраты и сложность. С точки зрения операционного превосходства сбалансируйте размер подсети для поддержки роста, минимизируя затраты на отходы и управление.
Подключение к нескольким регионам
Высокий уровень доступности и оптимальный пользовательский интерфейс для виртуального рабочего стола Azure (AVD) часто требуют развертывания ресурсов в нескольких регионах Azure. При разработке среды AVD с несколькими регионами следует учитывать как близость службы платформы, так и задержку конечных пользователей для обеспечения надежного и производительного доступа.
Recommendations
| Recommendation | Преимущества |
|---|---|
| Используйте показатели задержки кругового пути для оценки времени кругового пути между регионами Azure для информирования процесса выбора региона | Обеспечение оптимального взаимодействия с пользователем |
| Учитывайте типы рабочих нагрузок при оценке требований к пропускной способности и отслеживайте подключения реального пользователя. См. требования к пропускной способности протокола удаленного рабочего стола (RDP) | Поддерживает масштабирование и поддерживает производительность |
| По возможности, реплицируйте платформу и общие службы в каждый регион. | Снижает задержку для идентификации, разрешения доменных имен, гибридного подключения и служб хранения данных |
| Свести к минимуму трафик между регионами, если не требуется для обеспечения непрерывности бизнес-процессов или глобальной базы пользователей | Уменьшает ненужные расходы на передачу данных между виртуальными сетями |
| Хосты сеансов должны размещаться в том же регионе, что и пул хостов; не перемешивая. | Дополнительные сведения см. в статье "Непрерывность бизнес-процессов" и аварийное восстановление (BCDR) для виртуального рабочего стола Azure |
Гибридная сеть
Гибридная сеть позволяет организациям поддерживать доступ к локальным ресурсам, таким как общие или платформенные службы, данные или приложения при использовании масштабируемости и гибкости виртуального рабочего стола Azure (AVD). Этот подход необходим для сценариев, когда рабочие нагрузки охватывают как облачные, так и локальные среды, или где нормативные или операционные требования требуют гибридного подключения.
Замечание
Гибридные сети не являются специфическими для Azure Virtual Desktop, чтобы ознакомиться с рекомендациями по этой теме, обратитесь к подключению локальной сети к Azure. Вы также можете ознакомиться с лучшими практиками и рекомендациями в статье Cloud Adoption Framework топология сети и подключение.
Компромиссы
Затраты на гибридное подключение
Гибридная сеть предоставляет дополнительные затраты на каналы ExpressRoute, VPN-шлюзы и передачу данных между Azure и локальными средами. Мониторинг использования с помощью Службы "Управление затратами Azure" для отслеживания и оптимизации расходов на гибридную сеть.
Дальнейшие шаги
Ознакомьтесь с рекомендациями по мониторингу инфраструктуры и рабочих нагрузок. Упреждающий мониторинг помогает выявлять проблемы раньше, оптимизировать производительность и обеспечить безопасность и соответствие требованиям.
Используйте средство оценки для оценки вариантов проектирования.