Integración de una carga de trabajo de Azure Virtual Desktop con zonas de aterrizaje de Azure
La migración de los escritorios de los usuarios finales de una organización a la nube es un escenario común en las migraciones a la nube. Esto ayuda a mejorar la productividad de los empleados y a acelerar la migración de varias cargas de trabajo para dar soporte a la experiencia del usuario de la organización. Cada organización administra las cargas de trabajo y opera su entorno en la nube de forma única. Los modelos operativos comunes en la nube son descentralizados, centralizados, empresariales y distribuidos.
La diferencia más importante entre los distintos modelos es el nivel de propiedad. En el modelo descentralizado, los propietarios de cargas de trabajo tienen autonomía sin ninguna supervisión de TI central para la gobernanza. Por ejemplo, administran sus propios requisitos de red, supervisión e identidad. En el otro extremo del espectro se encuentra el modelo centralizado, donde los propietarios de cargas de trabajo cumplen los requisitos de gobernanza establecidos por los equipos de TI centrales.
Para obtener una explicación detallada de los modelos, consulte Revisión y comparación de modelos operativos comunes en la nube.
Como propietario de la carga de trabajo, debe comprender el modelo operativo que usa su organización. Esta elección influye en las decisiones técnicas que es responsable de los requisitos técnicos y de los requisitos técnicos que exige para los equipos centrales.
Para aprovechar las características y funcionalidades de Azure Virtual Desktop, debe aprovechar los procedimientos recomendados que se aplican a las organizaciones. La plataforma proporciona capacidad de adaptación y flexibilidad, lo que ayuda a su entorno de Azure Virtual Desktop a adaptarse al crecimiento futuro.
Importante
Este artículo forma parte de la serie de cargas de trabajo de Azure Well-Architected Framework de Azure Virtual Desktop . Si no está familiarizado con esta serie, se recomienda empezar con ¿Qué es una carga de trabajo de Azure Virtual Desktop?.
Zonas de aterrizaje de Azure
Una zona de aterrizaje de Azure es una arquitectura conceptual que representa la superficie general de la nube para una organización. Tiene varias suscripciones, cada una con un propósito único. Los equipos centrales poseen algunas de las suscripciones, como las zonas de aterrizaje de la plataforma Azure.
Para familiarizarse con el concepto de zonas de aterrizaje de Azure, consulte ¿Qué es una zona de aterrizaje de Azure?.
Importante
Azure Virtual Desktop tiene consideraciones y requisitos específicos, especialmente los relacionados con las integraciones con los servicios de Azure. El acelerador de zonas de aterrizaje de Azure Virtual Desktop y la guía de Azure Well-Architected Framework para Azure Virtual Desktop tienen como objetivo resaltar estas personalizaciones necesarias. Estos recursos también incorporan perspectivas de Cloud Adoption Framework para un enfoque holístico de la preparación de la nube.
Descargue un archivo Visio de esta arquitectura.
Zonas de aterrizaje de la plataforma
Azure Virtual Desktop debe interactuar con varios servicios externos. Los equipos centrales pueden poseer algunos de estos servicios como parte de las zonas de aterrizaje de la plataforma. Algunos ejemplos de estos servicios son los servicios de identidad, la conectividad de red y los servicios de seguridad. La interacción con estos servicios externos es una preocupación fundamental. Para que sea totalmente funcional, una carga de trabajo de Azure Virtual Desktop necesita el equipo de plataforma y el equipo de carga de trabajo para compartir la misma mentalidad de responsabilidad.
Para ver una demostración de las zonas de aterrizaje de la plataforma que necesita para que se ejecute una carga de trabajo de Azure Virtual Desktop, consulte Revisión de la zona de aterrizaje de Azure para Microsoft Azure Virtual Desktop. En este artículo se describe una base sólida de la plataforma que acelera la migración desde un entorno local a una nube privada de Azure Virtual Desktop.
Zonas de aterrizaje de aplicaciones
Hay una suscripción independiente, que también se conoce como zona de aterrizaje de la aplicación de Azure, que está pensada para los propietarios de cargas de trabajo. Esta zona de aterrizaje de la aplicación es donde se implementa la carga de trabajo de Azure Virtual Desktop. Tiene acceso a zonas de aterrizaje de plataforma que proporcionan la infraestructura básica que necesita para ejecutar la carga de trabajo. Entre los ejemplos se incluyen las redes, la administración del acceso a identidades, la directiva y la infraestructura de supervisión.
Las instrucciones sobre las zonas de aterrizaje de aplicaciones se aplican a las cargas de trabajo de Azure Virtual Desktop. Para obtener más información, consulte Zonas de aterrizaje de plataforma frente a zonas de aterrizaje de aplicaciones. En esta guía se incluyen recomendaciones para controlar y administrar la carga de trabajo de forma eficaz.
Para ver una demostración de una zona de aterrizaje de aplicación para una carga de trabajo de Azure Virtual Desktop, consulte la arquitectura de referencia de línea base en Arquitecturas de ejemplo para Azure Virtual Desktop.
Integración del área de diseño
En esta sección se resalta la base sólida que proporciona la plataforma. En la discusión también se tratan las áreas de responsabilidad compartida entre el equipo de la plataforma y el equipo de carga de trabajo.
Responsabilidades de la plataforma
El equipo de la plataforma de Azure Virtual Desktop garantiza que la infraestructura esté lista para que los equipos de carga de trabajo se compilen. Algunas tareas comunes incluyen:
- Administrar la capacidad estableciendo cuotas regionales y de suscripción suficientes para la implementación.
- Protección y optimización de la conectividad a sistemas locales, Azure e Internet. Esta tarea incluye enrutamiento, configuración de entradas de firewall y administración de dispositivos de red centralizados.
- Administración de integraciones de Azure, como integraciones con Azure Storage, Azure Monitor, Log Analytics, Microsoft Entra ID y Azure Key Vault.
Responsabilidades compartidas
El equipo de carga de trabajo y el equipo de la plataforma tienen responsabilidades distintas. Pero ambos equipos suelen trabajar estrechamente para garantizar la disponibilidad de la carga de trabajo y la capacidad de recuperación. Los equipos coordinan los esfuerzos para el éxito general de las cargas de trabajo que se ejecutan en Azure Virtual Desktop. La colaboración eficaz entre la plataforma y los equipos de aplicaciones es fundamental para implementar correctamente Azure Virtual Desktop.
Las áreas de diseño de las zonas de aterrizaje de plataforma y aplicación están estrechamente acopladas.
- Para obtener una descripción de los cambios en los recursos de la plataforma necesarios para una carga de trabajo, consulte Revisión de la zona de aterrizaje de Azure Virtual Desktop.
- Para obtener una descripción de la especificación técnica de una carga de trabajo, consulte ¿Cuáles son las áreas de diseño clave?.
Área de diseño: inscripción empresarial
El equipo de la plataforma en la nube debe comprender la inscripción empresarial existente o Microsoft Entra decisiones de inquilino.
Área de diseño: administración de identidades y acceso (IAM)
La identidad es fundamental para la funcionalidad de Azure Virtual Desktop, ya que los usuarios deben autenticarse para usar el servicio. El equipo de la plataforma es responsable de diseñar una solución de identidad, que podría implicar Microsoft Entra ID, Servicios de dominio de Microsoft Entra o Servicios de dominio de Active Directory (AD DS). El equipo de la plataforma también garantiza que el entorno de Azure Virtual Desktop mantenga una línea de visión a los servicios de identidad.
| Responsabilidades del equipo de plataforma | Responsabilidades del equipo de carga de trabajo |
|---|---|
| - Diseño de servicios de identidad para Microsoft Entra ID, Servicios de dominio, AD DS y Microsoft Entra Connect - Uso del control de acceso basado en rol (RBAC) para implementar la separación de tareas - Configuración de directivas de acceso condicional de Microsoft Entra - Administración de unidades organizativas y directivas de grupo de Active Directory |
- Uso de asignaciones de RBAC para controlar el acceso a las sesiones y la infraestructura de Azure Virtual Desktop con fines de administración |
Área de diseño: redes y conectividad
La conectividad de servicios de plataforma es un concepto clave de red. El equipo de la plataforma es responsable de garantizar que el entorno de Azure Virtual Desktop tenga una conectividad adecuada con:
- Servicios de identidad para la autenticación.
- Sistema de nombres de dominio (DNS) para una resolución adecuada.
- Otras cargas de trabajo en un entorno híbrido.
Las responsabilidades del equipo de plataforma incluyen:
- Configuración de puntos de conexión privados y zonas DNS privadas.
- Asegurarse de que se abordan las consideraciones de ancho de banda, latencia y calidad del servicio.
- Implementación de directivas de seguridad de red.
- Garantizar el acceso a los puntos de conexión de Internet necesarios.
- Planeación de la continuidad empresarial y la recuperación ante desastres.
Área de diseño: organización de recursos
Las responsabilidades del equipo de la plataforma incluyen estructurar grupos de administración y grupos de recursos para simplificar la administración del acceso. Esta responsabilidad incluye definir estándares de nomenclatura y etiquetado. El equipo de carga de trabajo garantiza el cumplimiento de estos estándares.
Área de diseño: administración
| Responsabilidades del equipo de plataforma | Responsabilidades del equipo de carga de trabajo |
|---|---|
| - Planificación y desarrollo de una estrategia de supervisión - Uso de Azure Policy para aplicar el cumplimiento a escala empresarial - Desarrollo de una estrategia de administración de costos |
- Configuración de la implementación de Azure Virtual Desktop para la supervisión - Administración del acceso de usuarios - Supervisión de Azure Virtual Desktop y colaboración con el equipo de plataforma en las necesidades de supervisión - Establecer presupuestos y alertas - Administración de la experiencia y el soporte técnico del usuario - Garantizar el cumplimiento de las directrices de plataforma y supervisión |
Área de diseño: continuidad empresarial y recuperación ante desastres
| Responsabilidades del equipo de plataforma | Responsabilidades del equipo de cargas de trabajo |
|---|---|
| - Diseño de una estrategia de continuidad empresarial y recuperación ante desastres, incluido el establecimiento de objetivos de punto de recuperación (RPO) y objetivos de tiempo de recuperación (RTO) - Coordinación con el equipo de carga de trabajo para garantizar la continuidad empresarial y la alineación de la recuperación ante desastres |
- Configuración de la infraestructura y los componentes de Azure Virtual Desktop para alinearse con la estrategia de continuidad empresarial y recuperación ante desastres - Implementación de procedimientos de recuperación ante desastres - Entrenamiento de usuarios en el uso adecuado de Azure Virtual Desktop |
Área de diseño: seguridad y gobernanza
| Responsabilidades del equipo de plataforma | Responsabilidades del equipo de cargas de trabajo |
|---|---|
| - Comprender lo que la organización necesita cumplir con los requisitos normativos, como la Ley de portabilidad y responsabilidad de seguros de salud (HIPAA), los estándares del Instituto Nacional de Estándares y Tecnología (NIST) y los estándares del sector de tarjetas de pago (PCI) y el uso de Microsoft Defender para la nube para aplicar estándares de cumplimiento - Asegurarse de que los recursos del plano de administración se implementan en zonas geográficas de forma que cumpla los requisitos de residencia de datos. - Uso de Microsoft Entra directivas de acceso condicional y autenticación multifactor para ayudar a proteger el acceso de los usuarios - Asegurarse de que se usa una herramienta de administración de eventos e información de seguridad (SIEM), como Microsoft Sentinel, para recopilar y supervisar los datos de actividad de usuario y administrador. - Habilitación de evaluaciones de Administración de amenazas y vulnerabilidades, por ejemplo, mediante la integración con Defender for Cloud o una solución de administración de vulnerabilidades de terceros - Configuración de un firewall y uso de etiquetas de servicio y grupos de seguridad de aplicaciones para definir reglas de acceso a la red - Creación de una unidad organizativa dedicada en Active Directory para hosts de sesión de Azure Virtual Desktop - Uso de Azure Policy configuraciones de invitado para auditar y proteger los sistemas operativos del host de sesión - Habilitación del cifrado de disco - Supervisión del tráfico de red e implementación de la protección contra denegación de servicio distribuido (DDoS) |
- Uso del principio de acceso con privilegios mínimos y RBAC de Azure para establecer roles administrativos, de operaciones e ingeniería - Aplicación de una directiva de grupo dedicada a las unidades organizativas de Azure Virtual Desktop - Administración de las revisiones y la protección de los hosts de sesión - Supervisión y administración de la actividad del usuario |
Área de diseño: consideraciones sobre la automatización de la plataforma y DevOps
| Responsabilidades del equipo de plataforma | Responsabilidades del equipo de cargas de trabajo |
|---|---|
| - Desarrollo de la infraestructura como código (IaC) y estrategias de DevOps | - Creación de imágenes - Mantenimiento de una canalización de compilación de imágenes - Actualización de grupos de hosts - Instalación de aplicaciones - Administración de implementaciones de idioma |
Área de diseño: procedimientos operativos
Los procedimientos operativos ayudan a garantizar la seguridad de las aplicaciones que se ejecutan en Azure Virtual Desktop. Los procedimientos operativos también ayudan en el ámbito del control de acceso.
| Responsabilidades del equipo de plataforma | Responsabilidades del equipo de cargas de trabajo |
|---|---|
| Control del acceso a la plataforma mediante la definición de roles de usuario y permisos en el entorno de Azure Virtual Desktop | - Análisis del rendimiento y la latencia de las implementaciones de Azure Virtual Desktop para obtener información sobre las posibles áreas de mejora - Actualización del sistema operativo, las aplicaciones y FSLogix - Administración de claves - Administración de FSLogix y análisis de datos para determinar cuándo realizar ajustes |
Pasos siguientes
Use la herramienta de evaluación para evaluar las opciones de diseño.