通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

为 Azure 虚拟桌面部署企业级 Azure 登陆区域

本指南介绍如何在企业规模部署 Azure 虚拟桌面。 本文介绍如何使用 Azure 虚拟桌面的应用程序登陆区域加速器缩短部署时间,并应用企业治理、安全性、网络和自动化模式。 遵循本指南,通过可预测的作标准化部署、强制实施合规性控制,以及跨区域缩放 AVD。

你将完成的工作:

  • 设置企业级治理和安全控制
  • 使用内置最佳做法部署 Azure 虚拟桌面加速器
  • 为全局用户配置多区域扩展(可选)
  • 实现自动化部署管道

企业规模的 Azure 登陆区域新增功能?企业级 Azure 登陆区域概述 开始,在继续 Azure 虚拟桌面部署之前,先了解基本概念。

企业规模的 Azure 虚拟桌面登陆区域体系结构,其中显示了通过 ExpressRoute 和 VPN 建立网络、存储、计算、管理服务和本地连接。

在企业规模的 Azure 登陆区域中下载 Azure 虚拟桌面部署的此多区域体系结构的 Visio 文件

建立可缩放且合规的企业规模 Azure 登陆区域

企业规模的 Azure 登陆区域可确保跨 Azure 环境保持一致的治理、安全性和运营就绪性。 在部署 Azure 虚拟桌面之前完成此基础,以确保满足安全性和符合性要求。

企业规模的 Azure 登陆区域入门

  1. 部署企业规模的 Azure 登陆区域。 此部署包括支持可缩放工作负荷的标识、网络、管理和安全配置。 使用 分步部署指南 配置环境。

  2. 查看实现指南,以符合企业规模的 Azure 登陆区域体系结构。 此步骤可确保部署遵循模块化、可伸缩性和合规性的最佳做法。 请参阅 企业规模实现最佳做法

为 Azure 虚拟桌面部署应用程序登陆区域加速器

适用于 Azure 虚拟桌面的应用程序登陆区域加速器提供基础结构即代码模板,这些模板实现了企业规模最佳做法,减少了部署时间和确保环境之间的一致性。

将 Azure 虚拟桌面部署到应用程序登陆区域

  1. 使用应用程序登陆区域加速器部署基线 Azure 虚拟桌面资源。 该加速器包括适用于虚拟网络、存储和虚拟机的经过验证的 Bicep 和 ARM 模板。 在 GitHub 上访问 Azure 虚拟桌面加速器 ,并在开始之前查看 部署先决条件

  2. 自定义加速器以满足组织要求。 修改环境变量和部署参数,以反映标识、网络和合规性需求。 这种灵活性支持多种企业方案,同时维护安全标准。

  3. 与用于自动部署的 CI/CD 管道集成。 使用 PowerShell 或 Azure CLI 自动执行 Azure 虚拟桌面部署。 浏览 加速器的 Bicep 自动化示例 ,或通过 Azure 门户进行部署,以便进行初始测试和验证。

  4. 部署自定义映像以标准化虚拟机配置。 使用所需的软件、安全配置和组织策略创建一致的虚拟机映像。 将这些映像存储在 Azure 计算库中 ,以减少部署时间,并确保所有会话主机的符合性。

跨区域扩展 Azure 虚拟桌面

在全球增长或需要更多容量? 区域扩展提供可伸缩性、提高分布式用户的性能并支持业务连续性。 选择符合需求的扩展方案:

方案 1:扩展超出容量限制 - 当主要区域达到资源限制时添加区域 方案 2:改进用户邻近度 - 部署更靠近用户以提高性能和本地连接性

由于容量限制而扩展

次要区域可帮助组织在主要区域达到容量限制时缩放 Azure 虚拟桌面。

  1. 部署具有不重叠 IP 地址空间的新虚拟网络。 此配置可防止路由冲突,并确保区域之间的干净对等互连。 使用不与主要区域中的现有虚拟网络重叠的 CIDR 块。

  2. 使用启用了网关传输全局 VNet 对等互连将新区域连接到主要区域。 网关传输允许新区域通过 VPN 或 ExpressRoute 访问共享的本地资源。 此设置支持集中式连接,并避免复制网络基础结构。

  3. 为用户配置文件预配区域存储。 在新区域中部署存储解决方案以存储 FSLogix 配置文件容器。 确保仅将用户分配到一个区域中的桌面,以避免跨存储系统的配置文件碎片。

  4. (可选)在新区域中部署域控制器。 此部署可提高身份验证性能并支持本地标识解析。 如果延迟或可用性令人担忧,请考虑复制 Active Directory 服务。

  5. 在新区域中配置出站 Internet 连接。 使用 网络安全组(NSG)、网络虚拟设备(NVA)或 Azure 防火墙 强制实施安全策略和控制流量流。

  6. 在新区域中部署 Azure 虚拟桌面虚拟机。 使用 Azure 虚拟桌面的应用程序登陆区域加速器部署会话主机和支持基础结构。 验证新区域中是否提供所有依赖项。

  7. 仅将用户分配到一个区域中的桌面。 此单个分配可确保对配置文件数据的一致访问,并避免跨区域多个配置文件实例导致的冲突。

展开以支持区域用户邻近感应

将 Azure 虚拟桌面部署到更靠近用户和本地系统可提高性能并减少延迟。

  1. 部署具有不重叠 IP 地址空间的新虚拟网络。 此配置可确保干净路由,并避免与其他区域或本地现有网络发生 IP 冲突。

  2. 使用 VPN 或 ExpressRoute 与专用对等互连将新区域连接到本地数据中心。 此设置使用户能够访问在附近数据中心托管的区域应用程序和服务。 使用 ExpressRoute 提高可靠性和性能;有关详细信息,请参阅 配置 ExpressRoute 专用对等互连

  3. 为用户配置文件预配区域存储。FSLogix 配置文件容器 存储在会话主机所在的同一区域中,以减少延迟并提高登录性能。 避免跨区域配置文件访问。

  4. (可选)在新区域中部署域控制器。 此设置支持本地身份验证,并减少对跨区域标识服务的依赖关系。

  5. 在新区域中配置出站 Internet 连接。 使用 NSG、NVAAzure 防火墙 强制实施一致的安全策略并管理 Internet 绑定的流量。

  6. 在新区域中部署 Azure 虚拟桌面虚拟机。 使用 Azure 虚拟桌面的应用程序登陆区域加速器部署会话主机和支持基础结构。 验证区域依赖项是否可用。

  7. 仅将用户分配到一个区域中的桌面。 此设置可防止配置文件重复,并确保一致的用户体验。 配置文件特定于区域,不能跨区域共享。

继续 Azure 虚拟桌面之旅

利用这些基本设计准则最大化 Azure 虚拟桌面部署。 每个区域都提供优化实现的具体指导:

核心设计领域:

小窍门

如果你不熟悉企业级模式,请从标识和网络开始。 这些基础领域会影响所有其他设计决策。

Azure 工具和资源

基本部署工具:

类别 Tool 为什么你需要它
🚀 快速入门 Azure 虚拟桌面加速器 部署生产就绪的 AVD(以小时而不是周为单位) - 包括基础结构即代码模板和内置企业级最佳做法
🏗️ 基础 企业规模 Azure 登陆区域指南 建立支持可缩放的 Azure 虚拟桌面部署的治理、安全性和管理功能
⚙️ 自动化 Bicep 和 PowerShell 部署脚本 使用经过验证的基础结构即代码模板和 CI/CD 集成示例自动执行 Azure 虚拟桌面部署

浏览所有 Azure 虚拟桌面资源

后续步骤

准备好保护和管理 Azure 虚拟桌面环境了吗? 从标识和访问管理开始,建立身份验证模式和安全控制。

配置标识和访问管理