Integrace úlohy služby Azure Virtual Desktop s cílovými zónami Azure
Migrace desktopů koncových uživatelů do cloudu je běžným scénářem při migraci do cloudu. Umožňuje zvýšit produktivitu zaměstnanců, zrychlit migraci různých úloh a podpořit tak uživatelské prostředí organizace. Každá organizace spravuje úlohy a provozuje své cloudové prostředí jedinečně. Běžné cloudové provozní modely jsou decentralizované, centralizované, podnikové a distribuované.
Nejdůležitějším rozdílem mezi různými modely je úroveň vlastnictví. V decentralizovaném modelu mají vlastníci úloh autonomii bez centrálního dohledu IT na zásady správného řízení. Spravují například vlastní síťové požadavky, monitorování a požadavky na identitu. Na druhém konci spektra je centralizovaný model, kde vlastníci úloh dodržují požadavky zásad správného řízení, které nastavují centrální IT týmy.
Podrobný popis modelů najdete v tématu Kontrola a porovnání běžných cloudových provozních modelů.
Jako vlastník úlohy byste měli rozumět provoznímu modelu, který vaše organizace používá. Tato volba ovlivňuje technická rozhodnutí, za která zodpovídáte, a technické požadavky, které vynucujete pro centrální týmy.
Pokud chcete využívat funkce a možnosti služby Azure Virtual Desktop na maximum, měli byste využít osvědčené postupy, které platí pro organizace. Tato platforma poskytuje přizpůsobivost a flexibilitu, což pomáhá vašemu prostředí služby Azure Virtual Desktop přizpůsobit budoucí růst.
Důležité
Tento článek je součástí řady úloh azure Well-Architected Framework služby Azure Virtual Desktop . Pokud tuto řadu neznáte, doporučujeme začít na co je úloha Služby Azure Virtual Desktop?.
Cílové zóny Azure
Cílová zóna Azure je konceptuální architektura, která znázorňuje celkové cloudové nároky organizace. Má několik předplatných, každé s jedinečným účelem. Centrální týmy vlastní některá předplatná, například cílové zóny platformy Azure.
Pokud se chcete seznámit s konceptem cílových zón Azure, přečtěte si téma Co je cílová zóna Azure?.
Důležité
Azure Virtual Desktop má specifické aspekty a požadavky, zejména ty, které souvisejí s integracemi se službami Azure. Akcelerátor cílových zón služby Azure Virtual Desktop a pokyny k architektuře Azure Well-Architected pro službu Azure Virtual Desktop mají za cíl tato nezbytná přizpůsobení zdůraznit. Tyto prostředky také zahrnují Cloud Adoption Framework perspektivy pro holistický přístup k připravenosti na cloud.
Stáhněte si soubor aplikace Visio s touto architekturou.
Cílové zóny platformy
Azure Virtual Desktop potřebuje komunikovat s několika externími službami. Centrální týmy můžou některé z těchto služeb vlastnit jako součást cílových zón platformy. Mezi příklady těchto služeb patří služby identit, síťové připojení a služby zabezpečení. Interakce s těmito externími službami je základním problémem. Aby úloha Služby Azure Virtual Desktop byla plně funkční, musí tým platformy a tým úloh sdílet stejné nastavení odpovědnosti.
Ukázku cílových zón platformy, které potřebujete ke spuštění úlohy služby Azure Virtual Desktop, najdete v tématu Věnovaném cílové zóně Azure pro Microsoft Azure Virtual Desktop. Tento článek popisuje solidní základ platformy, který urychluje migraci z místního prostředí do privátního cloudu služby Azure Virtual Desktop.
Cílové zóny aplikací
Existuje samostatné předplatné, označované také jako cílová zóna aplikace Azure, které je určené pro vlastníky úloh. Tato cílová zóna aplikace je místo, kam nasazujete úlohu služby Azure Virtual Desktop. Má přístup k cílovým zónům platformy, které poskytují základní infrastrukturu, kterou potřebujete ke spouštění úloh. Mezi příklady patří sítě, správa přístupu identit, zásady a infrastruktura monitorování.
Pokyny k cílovým zónám aplikací se vztahují na úlohy služby Azure Virtual Desktop. Další informace najdete v tématu Cílové zóny platformy a cílové zóny aplikace. Tyto doprovodné materiály obsahují doporučení pro efektivní řízení a správu úloh.
Ukázku cílové zóny aplikace pro úlohy služby Azure Virtual Desktop najdete v referenční architektuře standardních hodnot v tématu Příklady architektur pro Službu Azure Virtual Desktop.
Integrace oblasti návrhu
Tato část zvýrazňuje pevné základy, které platforma poskytuje. Diskuse se také zabývá oblastmi sdílené odpovědnosti mezi týmem platformy a týmem úloh.
Odpovědnost za platformu
Tým platformy Azure Virtual Desktop zajišťuje, aby byla infrastruktura připravená k sestavení týmů úloh. Mezi běžné úlohy patří:
- Správa kapacity nastavením kvót předplatného a oblastí, které jsou dostatečné pro nasazení.
- Zabezpečení a optimalizace připojení k místním systémům, Azure a internetu Tato úloha zahrnuje směrování, nastavení položek brány firewall a správu centralizovaných síťových zařízení.
- Správa integrací Azure, jako jsou integrace se službami Azure Storage, Azure Monitor, Log Analytics, Microsoft Entra ID a Azure Key Vault.
Sdílená odpovědnost
Tým úloh a tým platformy mají různé zodpovědnosti. Oba týmy ale často úzce spolupracují, aby zajistily dostupnost a obnovitelnost úloh. Týmy koordinují úsilí o celkový úspěch úloh, které běží ve službě Azure Virtual Desktop. Pro úspěšné nasazení služby Azure Virtual Desktop je nezbytná efektivní spolupráce mezi platformou a aplikačními týmy.
Oblasti návrhu cílové zóny platformy a aplikací jsou úzce provázané.
- Popis změn prostředků platformy potřebných pro úlohu najdete v tématu Věnovaném cílové zóně Azure služby Azure Virtual Desktop.
- Popis technické specifikace úlohy najdete v tématu Jaké jsou klíčové oblasti návrhu?.
Oblast návrhu – podniková registrace
Tým cloudové platformy musí rozumět stávající podnikové registraci nebo Microsoft Entra rozhodování o tenantovi.
Oblast návrhu – správa identit a přístupu (IAM)
Identita je důležitá pro funkce služby Azure Virtual Desktop, protože uživatelé musí být ověřeni, aby mohli službu používat. Tým platformy zodpovídá za návrh řešení identit, které může zahrnovat Microsoft Entra ID, Microsoft Entra Doménové služby nebo Active Directory Domain Services (AD DS). Tým platformy také zajišťuje, aby prostředí Azure Virtual Desktopu udržovalo přehled o službách identit.
Odpovědnosti týmu platformy | Odpovědnosti týmu úloh |
---|---|
– Návrh služeb identit pro Microsoft Entra ID, Doménové služby, AD DS a Microsoft Entra Connect – Použití řízení přístupu na základě role (RBAC) k implementaci oddělení povinností – Konfigurace zásad podmíněného přístupu Microsoft Entra – Správa organizačních jednotek a zásad skupiny služby Active Directory |
– Použití přiřazení RBAC k řízení přístupu k relacím a infrastruktuře služby Azure Virtual Desktop pro účely správy |
Oblast návrhu – Sítě a připojení
Klíčovým síťovým konceptem je připojení služeb platformy. Tým platformy zodpovídá za zajištění správného připojení prostředí Služby Azure Virtual Desktop k:
- Služby identit pro ověřování.
- Dns (Domain Name System) pro správný překlad.
- Další úlohy v hybridním prostředí
Mezi povinnosti týmu platformy patří:
- Konfigurace privátních koncových bodů a zón privátního DNS
- Zajištění toho, aby byly vyřešeny požadavky na šířku pásma, latenci a kvalitu služby.
- Implementace zásad zabezpečení sítě
- Zajištění přístupu k požadovaným internetovým koncovým bodům
- Plánování provozní kontinuity a zotavení po havárii
Oblast návrhu – organizace prostředků
Odpovědnost týmu platformy zahrnuje strukturování skupin pro správu a skupin prostředků, aby se zjednodušila správa přístupu. Tato odpovědnost zahrnuje definování standardů pro pojmenování a označování. Tým úloh zajišťuje dodržování těchto standardů.
Oblast návrhu – správa
Odpovědnosti týmu platformy | Odpovědnosti týmu úloh |
---|---|
- Plánování a vypracování strategie monitorování – Použití Azure Policy k vynucení dodržování předpisů na podnikové úrovni - Vývoj strategie řízení nákladů |
– Konfigurace nasazení služby Azure Virtual Desktop pro monitorování – Správa přístupu uživatelů – Monitorování služby Azure Virtual Desktop a spolupráce s týmem platformy na monitorování potřeb - Nastavení rozpočtů a upozornění - Správa uživatelského prostředí a podpory - Zajištění souladu s pokyny pro platformu a monitorování |
Oblast návrhu – Provozní kontinuita a zotavení po havárii
Odpovědnosti týmu platformy | Odpovědnosti týmu úloh |
---|---|
– Návrh strategie provozní kontinuity a zotavení po havárii, včetně stanovení cílů bodu obnovení (RPO) a plánovaní doby obnovení (RTO) – Spolupráce s týmem úloh za účelem zajištění souladu s provozní kontinuitou a zotavením po havárii |
– Konfigurace infrastruktury a komponent služby Azure Virtual Desktop tak, aby byly v souladu se strategií provozní kontinuity a zotavení po havárii – Implementace postupů zotavení po havárii – Školení uživatelů o vhodném použití služby Azure Virtual Desktop |
Oblast návrhu – zabezpečení a zásady správného řízení
Odpovědnosti týmu platformy | Odpovědnosti týmu úloh |
---|---|
- Pochopení toho, co organizace potřebuje k dodržování zákonných požadavků, jako jsou zákon HIPAA (Health Insurance Portability and Accountability Act), standardy NIST (National Institute of Standards and Technology) a standardy PCI (Payment Card Industry), a použití Microsoft Defender for Cloud k uplatňování standardů dodržování předpisů – Zajištění nasazení prostředků roviny správy v geografických oblastech způsobem, který splňuje požadavky na rezidenci dat – Použití Microsoft Entra zásad podmíněného přístupu a vícefaktorového ověřování k lepšímu zabezpečení přístupu uživatelů - Zajištění, aby se ke shromažďování a monitorování dat o aktivitách uživatelů a správců používal nástroj pro správu událostí a informací o zabezpečení (SIEM), jako je Microsoft Sentinel. – Povolení posouzení Threat and Vulnerability Management, například integrací s Defenderem for Cloud nebo řešením pro správu ohrožení zabezpečení třetí strany – Konfigurace brány firewall a použití značek služeb a skupin zabezpečení aplikací k definování pravidel přístupu k síti – Vytvoření vyhrazené organizační jednotky ve službě Active Directory pro hostitele relací služby Azure Virtual Desktop – Použití Azure Policy konfigurací hosta k auditování a posílení zabezpečení hostitelských operačních systémů relací - Povolení šifrování disku – Monitorování síťového provozu a implementace ochrany před distribuovaným odepření služby (DDoS) |
– Použití principu přístupu s nejnižšími oprávněními a Azure RBAC k vytvoření administrativních, provozních a technických rolí – Použití vyhrazených zásad skupiny na organizační jednotky služby Azure Virtual Desktop – Správa oprav a posílení zabezpečení hostitelů relací – Monitorování a správa aktivit uživatelů |
Oblast návrhu – Aspekty automatizace platformy a DevOps
Odpovědnosti týmu platformy | Odpovědnosti týmu úloh |
---|---|
– Vývoj strategií infrastruktury jako kódu (IaC) a DevOps | - Vytváření obrázků – Údržba kanálu buildu image – Aktualizují se fondy hostitelů. - Instalace aplikací – Správa nasazení jazyka |
Oblast návrhu – provozní postupy
Provozní postupy pomáhají zajistit zabezpečení aplikací, které běží ve službě Azure Virtual Desktop. Provozní postupy pomáhají také v oblasti řízení přístupu.
Odpovědnosti týmu platformy | Odpovědnosti týmu úloh |
---|---|
Řízení přístupu k platformě definováním uživatelských rolí a oprávnění v prostředí Azure Virtual Desktop | – Analýza výkonu a latence nasazení služby Azure Virtual Desktop pro získání přehledů o možných oblastech zlepšení - Aktualizace operačního systému, aplikací a FSLogix - Správa klíčů - Správa FSLogix a analýza dat za účelem určení, kdy provést úpravy |
Další kroky
Pomocí nástroje pro posouzení vyhodnoťte své volby návrhu.