Freigeben über

Überlegungen zu Netzwerk und Konnektivität für Azure Virtual Desktop-Workloads

  • Artikel

In diesem Artikel wird der Entwurfsbereich für Netzwerk und Konnektivität einer Azure Virtual Desktop-Workload erläutert. Es ist wichtig, Azure-Netzwerkfunktionen für Ihre Azure Virtual Desktop-Zielzone zu entwerfen und zu implementieren. Als Grundlage verwendet dieser Artikel mehrere Azure Well-Architected Framework-Zielzonenarchitekturprinzipien und -empfehlungen. Anhand dieser Anleitung erfahren Sie in diesem Artikel, wie Sie Netzwerktopologie und Konnektivität im großen Stil verwalten.

Wichtig

Dieser Artikel ist Teil der Azure Well-Architected Framework Azure Virtual Desktop-Workloadreihe . Wenn Sie mit dieser Reihe nicht vertraut sind, empfehlen wir Ihnen, mit Was ist eine Azure Virtual Desktop-Workload zu beginnen.

Clientlatenz

Auswirkung: Leistungseffizienz

Die Latenz zwischen Endbenutzern und Sitzungshosts ist ein wichtiger Aspekt, der sich auf die Benutzeroberfläche von Azure Virtual Desktop auswirkt. Sie können das Azure Virtual Desktop Experience Estimator-Tool verwenden, um die Verbindungsdauer für Roundtrips (RTTs) zu schätzen. Insbesondere schätzt dieses Tool RTTs von Benutzerstandorten über den Azure Virtual Desktop-Dienst in jede Azure-Region, in der Sie virtuelle Computer (VMs) bereitstellen.

So bewerten Sie die Qualität Ihrer Endbenutzererfahrung:

  • Testen Sie End-to-End-Latenzen in Entwicklungs-, Test- und Proof-of-Concept-Umgebungen. Bei diesem Test sollte die tatsächliche Erfahrung Ihrer Benutzer berücksichtigt werden. Dabei sollten Faktoren wie Netzwerkbedingungen, Endbenutzergeräte und die Konfiguration der bereitgestellten VMs berücksichtigt werden.
  • Beachten Sie, dass Latenz nur ein Aspekt der Konnektivität mit Remoteprotokollen ist. Bandbreite und Benutzerworkload wirken sich auch auf Ihre Endbenutzerfreundlichkeit aus.
Empfehlungen
  • Verwenden Sie Azure Virtual Desktop Experience Estimator , um geschätzte Latenzwerte zu erfassen.
  • Testen Sie Wartezeiten von Ihren virtuellen Azure-Netzwerken auf Ihre lokalen Systeme.
  • Verwenden Sie einen geteilten Tunnel, der auf UDP (User Datagram Protocol) basiert, für Clients, die eine P2S-VPN-Verbindung (Point-to-Site) verwenden.
  • Verwenden Sie Shortpath (Remote Desktop Protocol, RDP) mit einem verwalteten Netzwerk für Lokale Clients, die ein VPN oder Azure ExpressRoute verwenden.

Lokale Konnektivität (Hybridnetzwerk)

Auswirkung: Leistungseffizienz, operative Exzellenz

Einige Organisationen verwenden Hybridmodelle, die lokale und Cloudressourcen enthalten. In vielen Hybridfällen müssen Endbenutzerworkflows, die in Azure Virtual Desktop ausgeführt werden, lokale Ressourcen wie freigegebene Dienste oder Plattformdienste, Daten oder Anwendungen erreichen.

Wenn Sie Hybridnetzwerke implementieren, lesen Sie die bewährten Methoden und Empfehlungen im Artikel Cloud Adoption Framework Netzwerktopologie und Konnektivität.

Es ist wichtig, sich an das Azure Virtual Desktop-Skalierungsmodell auszurichten, das unter Integrieren einer Azure Virtual Desktop-Workload in Azure-Zielzonen beschrieben wird. So folgen Sie diesem Modell:

  • Bewerten Sie die Latenz- und Bandbreitenanforderungen von Azure Virtual Desktop-Workflows, die eine Verbindung mit lokalen Systemen herstellen. Diese Informationen sind entscheidend, wenn Sie Ihre Hybridnetzwerkarchitektur entwerfen.
  • Stellen Sie sicher, dass es keine überlappenden IP-Adressen zwischen Ihren Azure Virtual Desktop-Subnetzen und Ihren lokalen Netzwerken gibt. Es wird empfohlen, die Aufgabe der IP-Adressierung den Netzwerkarchitekten zuzuweisen, die die Besitzer Ihres Konnektivitätsabonnements sind.
  • Geben Sie jeder Azure Virtual Desktop-Zielzone eine eigene virtuelle Netzwerk- und Subnetzkonfiguration.
  • Vergrößern Sie Subnetze entsprechend, indem Sie das potenzielle Wachstum berücksichtigen, wenn Sie die menge des benötigten IP-Adressraums ermitteln.
  • Verwenden Sie die CIDR-Notation (Classless Inter Domain Routing), um zu vermeiden, dass IP-Adressraum leer wird.
Empfehlungen
  • Lesen Sie bewährte Methoden für die Verbindung virtueller Azure-Netzwerke mit lokalen Systemen.
  • Testen Sie Wartezeiten von Ihren virtuellen Azure-Netzwerken auf Ihre lokalen Systeme.
  • Stellen Sie sicher, dass in Ihrer Azure Virtual Desktop-Zielzone keine überlappenden IP-Adressen verwendet werden.
  • Geben Sie jeder Azure Virtual Desktop-Zielzone eine eigene virtuelle Netzwerk- und Subnetzkonfiguration.
  • Berücksichtigen Sie potenzielles Wachstum, wenn Sie die Größe von Azure Virtual Desktop-Subnetzen berücksichtigen.

Konnektivität mit mehreren Regionen

Auswirkung: Leistungseffizienz, Kostenoptimierung

Damit Ihre Azure Virtual Desktop-Bereitstellung mit mehreren Regionen ihren Endbenutzern die bestmögliche Benutzeroberfläche bietet, muss Ihr Entwurf die folgenden Faktoren berücksichtigen:

  • Plattformdienste, z. B. Identität, Namensauflösung, Hybridkonnektivität und Speicherdienste. Die Konnektivität von Azure Virtual Desktop-Sitzungshosts mit diesen Diensten ist der Schlüssel für die Funktion des Diensts. Daher zielt der ideale Entwurf darauf ab, die Latenz von Azure Virtual Desktop-Zielzonensubnetzen auf diese Dienste zu verringern. Sie können dieses Ziel erreichen, indem Sie Dienste in jede Region replizieren oder über die Verbindung mit der geringstmöglichen Latenz verfügbar machen.
  • Latenz des Endbenutzers. Wenn Sie Standorte auswählen, die für eine Azure Virtual Desktop-Bereitstellung mit mehreren Regionen verwendet werden sollen, ist es wichtig, die Wartezeit zu berücksichtigen, die Benutzer beim Herstellen einer Verbindung mit dem Dienst haben. Es wird empfohlen, Latenzdaten ihrer Endbenutzerpopulation mithilfe des Azure Virtual Desktop Experience Estimators zu sammeln, wenn Sie Azure-Regionen auswählen, in denen Ihre Sitzungshosts bereitgestellt werden sollen.

Berücksichtigen Sie dabei außerdem Folgendes:

  • Regionsübergreifende Anwendungsabhängigkeiten.
  • Vm-SKU-Verfügbarkeit.
  • Netzwerkkosten, die mit ausgehendem Internet, regionsübergreifendem Datenverkehr und Hybriddatenverkehr (lokal) verbunden sind, den Ihre Anwendung oder Workloadabhängigkeiten erfordern.
  • Die zusätzliche Last, die das FSLogix-Cloudcachefeature auf das Netzwerk legt. Dieser Faktor ist nur relevant, wenn Sie dieses Feature verwenden, um Benutzerprofildaten zwischen verschiedenen Regionen zu replizieren. Berücksichtigen Sie auch die Kosten des erhöhten Netzwerkdatenverkehrs und des erhöhten Speichers, den dieses Feature verwendet.

Verwenden Sie nach Möglichkeit VM-SKUs, die beschleunigtes Netzwerk bieten. In Workloads, die eine hohe Bandbreite verwenden, kann ein beschleunigter Netzwerkbetrieb die CPU-Auslastung und Latenz verringern.

Die verfügbare Bandbreite Ihres Netzwerks wirkt sich erheblich auf die Qualität Ihrer Remotesitzungen aus. Daher empfiehlt es sich, die Anforderungen an die Netzwerkbandbreite für Benutzer zu bewerten, um sicherzustellen, dass genügend Bandbreite für lokale Abhängigkeiten verfügbar ist.

Empfehlungen
  • Replizieren Sie Plattform und gemeinsame Dienste in jede Region, wann immer Ihre internen Richtlinien dies zulassen.
  • Verwenden Sie nach Möglichkeit VM-SKUs, die beschleunigtes Netzwerk bieten.
  • Schließen Sie Schätzungen der Endbenutzerwartezeit in Ihren Regionsauswahlprozess ein.
  • Berücksichtigen Sie Workloadtypen, wenn Sie den Bandbreitenbedarf schätzen, und überwachen Sie reale Benutzerverbindungen.

Netzwerksicherheit

Auswirkungen: Sicherheit, Kostenoptimierung, Operational Excellence

In der Tradition war die Netzwerksicherheit der Dreh- und Angelpunkt der Unternehmenssicherheitsbemühungen. Cloud Computing hat jedoch die Anforderung erhöht, dass Netzwerkperimeter poröser sein müssen, und viele Angreifer haben die Kunst der Angriffe auf Identitätssystemelemente gemeistert. Die folgenden Punkte bieten einen Überblick über die Mindestanforderungen an die Firewall für die Bereitstellung von Azure Virtual Desktop. Dieser Abschnitt enthält auch Empfehlungen zum Herstellen einer Verbindung mit einer Firewall und zum Erreichen der Apps, die diesen Dienst benötigen.

  • Herkömmliche Netzwerksteuerungen, die auf einem vertrauenswürdigen Intranetansatz basieren, bieten keine effektiven Sicherheitsgarantien für Cloudanwendungen.
  • Die Integration von Protokollen von Netzwerkgeräten und rohem Netzwerkdatenverkehr bietet Einblick in potenzielle Sicherheitsbedrohungen.
  • Die meisten Organisationen fügen ihren Netzwerken im Laufe der Zeit mehr Ressourcen hinzu als ursprünglich geplant. Daher müssen IP-Adress- und Subnetzschemas umgestaltet werden, um die zusätzlichen Ressourcen aufzunehmen. Dieser Prozess ist arbeitsintensiv. Es gibt einen begrenzten Sicherheitswert, wenn Sie eine große Anzahl kleiner Subnetze erstellen und dann versuchen, Netzwerkzugriffssteuerungen, z. B. Sicherheitsgruppen, jedem von ihnen zuzuordnen.

Allgemeine Informationen zum Schutz von Ressourcen durch Platzieren von Steuerelementen für Netzwerkdatenverkehr finden Sie unter Empfehlungen für Netzwerk und Konnektivität.

Empfehlungen
  • Verstehen der Konfigurationen, die erforderlich sind, um Azure Firewall in Ihrer Bereitstellung zu verwenden. Weitere Informationen finden Sie unter Verwenden von Azure Firewall zum Schutz von Azure Virtual Desktop-Bereitstellungen.
  • Erstellen Sie Netzwerksicherheitsgruppen und Anwendungssicherheitsgruppen, um Ihren Azure Virtual Desktop-Datenverkehr zu segmentieren. Diese Vorgehensweise hilft Ihnen, Ihre Subnetze zu isolieren, indem sie deren Datenverkehrsflüsse steuert.
  • Verwenden Sie Diensttags anstelle bestimmter IP-Adressen für Azure-Dienste. Da sich Adressen ändern, minimiert dieser Ansatz die Komplexität der häufigen Aktualisierung von Netzwerksicherheitsregeln.
  • Machen Sie sich mit den erforderlichen URLs für Azure Virtual Desktop vertraut.
  • Verwenden Sie eine Routingtabelle, damit Azure Virtual Desktop-Datenverkehr alle Regeln für erzwungenes Tunneling umgehen kann, die Sie zum Weiterleiten von Datenverkehr an eine Firewall oder eine Netzwerk-Anwendung (NVA) verwenden. Andernfalls kann sich erzwungenes Tunneling auf die Leistung und Zuverlässigkeit der Konnektivität Ihrer Clients auswirken.
  • Verwenden Sie private Endpunkte, um PaaS-Lösungen (Platform-as-a-Service) wie Azure Files und Azure Key Vault zu schützen. Berücksichtigen Sie jedoch die Kosten für die Verwendung privater Endpunkte.
  • Passen Sie die Konfigurationsoptionen für Azure Private Link an. Wenn Sie diesen Dienst mit Azure Virtual Desktop verwenden, können Sie die öffentlichen Endpunkte für Komponenten der Azure Virtual Desktop-Steuerungsebene deaktivieren und private Endpunkte verwenden, um die Verwendung öffentlicher IP-Adressen zu vermeiden.
  • Implementieren Sie strenge Firewallrichtlinien, wenn Sie Active Directory Domain Services (AD DS) verwenden. Basieren Sie diese Richtlinien auf dem Datenverkehr, der in Ihrer Domäne erforderlich ist.
  • Erwägen Sie, Azure Firewall- oder NVA-Webfilterung zu verwenden, um den Zugriff Ihrer Endbenutzer auf das Internet über Azure Virtual Desktop-Sitzungshosts zu schützen.

Auswirkung: Sicherheit

Standardmäßig werden Verbindungen mit Azure Virtual Desktop-Ressourcen über einen öffentlich zugänglichen Endpunkt hergestellt. In einigen Szenarien muss der Datenverkehr private Verbindungen verwenden. Diese Szenarien können Private Link verwenden, um eine private Verbindung mit Azure Virtual Desktop-Remoteressourcen herzustellen. Weitere Informationen finden Sie unter Azure Private Link mit Azure Virtual Desktop. Wenn Sie einen privaten Endpunkt erstellen, verbleibt der Datenverkehr zwischen Ihrem virtuellen Netzwerk und dem Dienst im Microsoft-Netzwerk. Ihr Dienst ist nicht für das öffentliche Internet verfügbar.

Sie können private Azure Virtual Desktop-Endpunkte verwenden, um die folgenden Szenarien zu unterstützen:

  • Ihre Clients oder Endbenutzer und Ihre Sitzungshost-VMs verwenden jeweils private Routen.
  • Ihre Clients oder Endbenutzer verwenden öffentliche Routen, während Ihre Sitzungshost-VMs private Routen verwenden.

Azure Virtual Desktop-Sitzungshosts haben die gleichen Anforderungen an die Namensauflösung wie alle anderen IaaS-Workloads (Infrastructure-as-a-Service). Daher benötigen die Sitzungshosts Konnektivität zum Benennen von Auflösungsdiensten, die zum Auflösen privater Endpunkt-IP-Adressen konfiguriert sind. Wenn Sie private Endpunkte verwenden, müssen Sie daher bestimmte DNS-Einstellungen konfigurieren. Ausführliche Informationen finden Sie unter DNS-Konfiguration des privaten Azure-Endpunkts.

Private Link ist auch für andere Azure-Dienste verfügbar, die in Verbindung mit Azure Virtual Desktop funktionieren, z. B. Azure Files und Key Vault. Es wird empfohlen, auch private Endpunkte für diese Dienste zu implementieren, um den Datenverkehr privat zu halten.

Empfehlungen

RDP Shortpath

Auswirkung: Leistungseffizienz, Kostenoptimierung

RDP Shortpath ist ein Feature von Azure Virtual Desktop, das für verwaltete und nicht verwaltete Netzwerke verfügbar ist.

  • Für verwaltete Netzwerke stellt RDP Shortpath eine direkte Verbindung zwischen einem Remotedesktopclient und einem Sitzungshost her. Der Transport basiert auf UDP. Durch das Entfernen zusätzlicher Relaypunkte reduziert RDP Shortpath die Roundtripzeit, was die Benutzerfreundlichkeit in latenzsensitiven Anwendungen und Eingabemethoden verbessert. Zur Unterstützung von RDP Shortpath benötigt ein Azure Virtual Desktop-Client eine direkte Sichtverbindung zum Sitzungshost. Der Client muss auch den Windows-Desktopclient installieren und Windows 11 oder Windows 10 ausführen.
  • Für nicht verwaltete Netzwerke sind zwei Verbindungstypen möglich:
    • Zwischen dem Client und dem Sitzungshost wird eine direkte Konnektivität hergestellt. Zum Herstellen der Verbindung werden eine einfache Durchquerung unter der Netzwerkadressenübersetzung (Network Address Translation, STUN) und interaktive Konnektivitätseinrichtung (Interactive Connectivity Establishment, ICE) verwendet. Diese Konfiguration verbessert die Transportsicherheit für Azure Virtual Desktop. Weitere Informationen finden Sie unter Funktionsweise von RDP Shortpath.
    • Es wird eine indirekte UDP-Verbindung hergestellt. Es überwindet die Nat-Einschränkungen (Network Address Translation), indem das TURN-Protokoll (Traversal Using Relay NAT) mit einem Relay zwischen dem Client und dem Sitzungshost verwendet wird.

Beim Transport, der auf TCP (Transmission Control Protocol) basiert, fließt der ausgehende Datenverkehr von einer VM zu einem RDP-Client über ein Azure Virtual Desktop-Gateway. Mit RDP Shortpath fließt der ausgehende Datenverkehr direkt zwischen dem Sitzungshost und dem RDP-Client über das Internet. Diese Konfiguration trägt dazu bei, einen Hop zu eliminieren und die Latenz und die Endbenutzerfreundlichkeit zu verbessern.

Empfehlungen
  • Verwenden Sie RDP Shortpath, um die Latenz und Ihre Endbenutzerfreundlichkeit zu verbessern.
  • Beachten Sie die Verfügbarkeit von RDP Shortpath-Verbindungsmodellen.
  • Beachten Sie die RDP-Shortpath-Gebühren.

Nächste Schritte

Nachdem Sie nun das Netzwerk und die Konnektivität in Azure Virtual Desktop untersucht haben, untersuchen Sie bewährte Methoden für die Überwachung Ihrer Infrastruktur und Workload.

Überwachung

Verwenden Sie das Bewertungstool, um Ihre Entwurfsentscheidungen auszuwerten.

Bewertung