通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure 虚拟桌面设计原则

有关 Azure 虚拟桌面工作负载的指导基于 Azure Well-Architected Framework 及其体系结构卓越五大支柱构建。 下表列出了每个支柱及其目标的摘要。

良好架构框架支柱 概要
Reliability 虚拟桌面环境需要高级别的服务可靠性,以帮助确保一致且不间断的用户体验。 建立可靠的基础结构至关重要,该基础结构可实现虚拟桌面环境的可靠访问和最佳性能。 评估虚拟桌面部署,尤其是与 Azure 本机服务集成的部署。 具体而言,评估部署使用的本机计算、网络和存储服务。 此外,评估与 Azure 虚拟桌面一起使用的第三方产品和合作伙伴解决方案。 这些组件会影响可靠性,因为它们是登陆区域设计的一部分。 此方法有助于确保无缝可靠的用户体验。
安全性 安全支柱侧重于实施策略,以保护工作负荷免受威胁和漏洞的影响。 安全性还包括内部风险和数据丢失保护的注意事项。 在 Azure 虚拟桌面中,评估端到端安全主题至关重要。 这些主题包括标识和访问管理(IAM)、作系统、应用程序、网络和 Azure 平台到数据。 强烈建议查看或制定策略,以在 Azure 资产中整合一系列安全层。 这些策略应涵盖桌面和 Azure 虚拟桌面下显示的应用程序。
成本优化 当您针对成本优化虚拟桌面环境时,便能满足由业务需求设定的性能期望。 还可以通过将超支降到最低来降低总拥有成本(TCO)。 可以利用 Azure 虚拟桌面超大规模基础结构的强大功能来减少 TCO。 优化 Azure 虚拟桌面的成本涉及几个步骤。 示例包括选择适当的虚拟机(VM)、使用预留实例或节省计划、设置缩放计划,以及使用Microsoft成本管理来监视和优化支出。 请务必持续评估 Azure 虚拟桌面部署,以跟踪使用情况并识别优化工作负荷的机会。
性能效率 性能效率侧重于环境满足或超过为虚拟桌面和应用程序设置的业务要求的能力。 在 Azure 虚拟桌面环境中,可以通过确保选择最佳计算系列和磁盘大小和类型,从而达到所需的性能,从而获得理想的效率。 如果使用 FSLogix 配置文件,则还需要选择最佳存储。 一般情况下,评估和测试一系列 VM 配置至关重要,以便了解用户和工作负荷如何使用构成 Azure 虚拟桌面中的会话主机的 Azure 资源。 部署后,建议持续监视生产资源的消耗,以确保满足或超过所需的目标性能。
卓越运营 在 Azure 虚拟桌面工作负荷团队中应用 DevOps 的原则。 鼓励采用 DevOps 思维模式、制定标准和在不断发展时执行的方法。 使用 Azure 虚拟桌面,可以轻松建立部署、管理和维护工作负荷的设置过程。 这些过程可以涉及使用 Azure 资源管理器模板、Bicep、Terraform 和其他形式的基础结构即代码(IaC)。 若要自定义会话主机,可以使用 Azure DevOps 中的自定义映像模板功能等工具自动生成映像。 这些 DevOps 策略和其他策略可帮助组织高效建立、维护和管理 Azure 虚拟桌面环境。

重要

本文是 Azure Well-Architected Framework Azure 虚拟桌面工作负荷 系列的一部分。 如果不熟悉此系列,建议从什么是 Azure 虚拟桌面工作负荷开始?

Reliability

可靠性是 Azure 虚拟桌面环境中的基础支柱。 中断可能发生在本地环境和云环境中。 因此,需要仔细关注虚拟桌面组件,其中包括 Azure 服务和本地基础结构。 评估工作负荷的用户数据(配置文件)、应用程序和计算可用性要求,以确定业务连续性和灾难恢复策略。 请考虑在 Azure 虚拟桌面中通过不同部署选项(例如双活或主动-被动主机池)所实现的不同可用性级别。 此外,评估灾难恢复设计考虑因素,以帮助确保在中断期间顺利故障转移。

  • 复原 是指从故障恢复和维护功能。
  • 可用性确保不间断的正常运行时间。 高可用性可最大程度地减少关键维护活动期间的应用程序停机时间。 它还增强了 VM 崩溃、后端更新、延长停机时间和勒索软件攻击等事件的恢复。

实现可靠性需要一种涵盖体系结构、作过程、自动化、监视、定期测试和验证的综合方法。

  • 定义服务级别协议(SLA)。 建立定义完善的 SLA 是促进可靠性的核心。 这些协议规定了用户会话和配置文件的可用性和性能的具体预期。 通过这样做,他们奠定了一个明确的基准,你可以使用该基准来评估系统的运行效率。
  • 制定有效的缩放策略。 通过垂直缩放,可以选择符合用户会话的资源需求的 VM SKU。 还可以考虑 CPU 和内存要求等方面。 通过水平缩放,可以添加额外的 VM 实例来满足不断升级的需求,同时保持系统稳定性。
  • 高可用性设计。 此过程需要集成冗余和故障转移机制,以帮助确保不间断的作。 高可用性可最大程度地减少潜在的中断,并保证用户即使在意外事件期间也能无缝体验。
  • 实现容错。 包含容错存储对保护漫游配置文件和用户数据的完整性和可用性起着关键作用。 此策略通过帮助确保基本用户数据在故障期间保持不变且可访问,从而提供防止数据丢失的一层保护。
  • 了解备份和还原功能。 可靠的备份做法有助于确保面对逆境保持运营连续性。

安全性

在共享责任模式中:

  • 组织主要负责管理和操作 Azure 虚拟桌面负载。
  • Microsoft管理支持 Azure 虚拟桌面工作负荷的控制平面。

我们强烈建议定期评估服务和技术,以帮助确保安全状况适应不断变化的威胁环境。 与供应商协作实施适当的安全措施时,必须明确了解共同责任模型。

可以使用多种方法来帮助保护虚拟桌面环境:

  • 网络隔离。 使用子网和网络安全组等网络隔离技术来强化 Azure 本机服务之间的交互。 这种隔离可增强整体安全性。
  • 修补程序管理。 定期应用修补程序和更新,以加强防御可能被利用的漏洞。
  • 环境审计。 定期审计您的环境可提供对潜在安全漏洞的深入了解。 这种做法有助于尽早识别和纠正漏洞。
  • 安全信息和事件管理(SIEM)。 使用 SIEM 解决方案,例如 Microsoft Sentinel。 此工具提供对安全事件的实时监视,这有助于及时响应潜在威胁。
  • 数据加密。 为静态数据和传输中的数据实现加密机制。 这种做法有助于确保数据保密性和完整性,即使在未经授权的访问尝试期间也是如此。
  • 标识和访问管理
    • 多重身份验证:通过强制实施多重身份验证来加强身份验证过程。 这种做法有助于阻止未经授权的访问尝试。
    • 与 Microsoft Entra ID 集成:将标识和访问管理委托给 Microsoft Entra ID,以便简化访问控制。
    • 最小特权原则:通过应用最小特权原则来最大程度地减少滥用的可能性。 使用此原则可以根据专注于足够访问(JEA)和实时访问(JIT)方法的角色限制对资源的访问。
    • 基于角色的访问控制(RBAC):通过使用 Azure RBAC 分配基于预定义角色的权限来提升受控访问。

成本优化

Azure 虚拟桌面是远程桌面服务(RDS)经济高效的现代化。 某些组件会从基础结构中删除,并作为本机服务提供给所有 Azure 区域。 Azure 虚拟桌面通过提供 Windows 10 或 Windows 11 企业版多会话远程桌面来减少 Windows Server 和 RDS 客户端访问许可证(CAL)的要求。 在这些桌面中,支持使用现有的每用户 Microsoft 365 许可证。 此支持有利于仅支持在现代操作系统上的应用程序的工作负载。

优化 Azure 虚拟桌面成本的一些关键注意事项和方法包括:

  • 使用经济高效的 VM。 选择正确大小的虚拟机有助于确保您不会为超过所需的资源付费。 确定哪个 VM 系列最适合工作负荷的 VM 资源消耗。 在性能和成本效益之间找到适当的平衡。

  • 预留实例或储蓄计划。 Azure 提供预留实例和节省计划。 使用这些计划时,可以通过为 VM 承诺一年或三年期限来节省资金。 此策略提供可预测的定价,有助于随时间推移降低成本。

    成本管理与 Azure 顾问合作,以确定预留实例和节省计划中的节省机会。 在提交预留实例或节省计划之前,请确保优化 Azure 虚拟桌面工作负载。 此外,请注意预留实例和节省计划在适用范围以及计划和实例的共享使用方面有何不同。

  • 服务标记。 可以使用 服务标记,而不是使用 Azure 服务的特定 IP 地址。 由于地址发生更改,此方法可最大程度地减少频繁更新网络安全规则的复杂性。 通过减少维护网络所需的工作量,服务标记有助于降低整体成本。

  • 扩展计划。 使用 Azure 虚拟桌面,可以为 VM 设置缩放计划。 此策略有助于确保在需要时运行正确的会话主机数,从而降低成本。

  • 成本管理。 使用成本管理时,可以监视和优化 Azure 支出。 可以使用此工具确定可以降低成本和优化 Azure 虚拟桌面部署的区域。 具体而言,可以在成本管理中创建预算,并且可以针对这些预算设置警报。 当支出超出预算时,会触发评审来调查成本超出设定级别的原因。

请记住,Azure 硬件的功能会频繁扩展。 因此,工作负荷经常出现机会,以进一步优化成本、消除浪费并提高性能与成本比率。 组织发现定期重新访问和调整其节省成本的措施是有益的。

性能效率

此支柱侧重于优化运行 Azure 虚拟桌面环境的工作负荷。 该焦点包括许多方面:

  • 分配适当的大小、系列和会话主机数
  • 使用 Azure Monitor、Log Analytics、Application Insights 和警报等工具持续监视性能和检测异常
  • 配置适当的缩放计划,以便拥有可供用户使用的理想会话主机数

考虑上述每个方面有助于构建一个 Azure 虚拟桌面环境,该环境提供一致的、连贯的用户体验。

卓越运营

在 Azure 虚拟桌面中,卓越运营意味着确保在开发、部署和作阶段中确保作过程的一致性、可重复性和稳定性。

  • 使用 IaC 进行可重复、一致的部署。
  • 正确监视资源以维护环境的运行状况。
  • 一个适当的持续集成/持续交付(CI/CD)管道,可帮助你实现:
    • 及时灾难恢复。
    • 预生产测试。
    • 资源的复制。
  • 实施 Azure 策略驱动的治理,以帮助确保企业技术资产中的安全性和合规性。
  • 使用内置的 Azure 虚拟桌面角色设计实现最低特权访问的 RBAC 委派架构,以简化分配和管理访问权限的过程。
  • 维护主机池的治理和符合性标准。
  • 涵盖此列表中所有要点的文档。

这些步骤可帮助团队以高效透明的方式进行协作。

后续步骤

设计原则纳入特定的技术设计领域。 每个区域都提供了重点指导,可帮助你快速访问在极少时间内提高工作效率所需的信息。 将标题视为导航工具,指导你朝着网络、核心基础结构、应用程序交付、监视、安全性和作过程的正确方向前进。

首先查看支持工作负荷所需的应用程序交付的设计注意事项。

应用程序交付