Compartir a través de

Consideraciones de supervisión para cargas de trabajo de Azure Virtual Desktop

  • Artículo

En este artículo se describe el área de diseño de supervisión de una carga de trabajo de Azure Virtual Desktop. Antes de empezar a usar Azure Monitor para Azure Virtual Desktop, debe seguir estos pasos:

  • Configure al menos un área de trabajo de Log Analytics. Use un área de trabajo de Log Analytics designada para los hosts de sesión de Azure Virtual Desktop para ayudar a garantizar que los contadores de rendimiento y los eventos se recopilan solo de los hosts de sesión de la implementación de Azure Virtual Desktop.
  • Habilite la recopilación de datos para los siguientes elementos del área de trabajo de Log Analytics:
    • Diagnósticos del entorno de Azure Virtual Desktop
    • Contadores de rendimiento recomendados de los hosts de sesión de Azure Virtual Desktop
    • Registros de eventos de Windows recomendados desde los hosts de sesión de Azure Virtual Desktop

En las secciones siguientes se proporcionan consideraciones para supervisar el entorno de Azure Virtual Desktop y mantenerlo en buen estado.

Importante

Este artículo forma parte de la serie de cargas de trabajo de Azure Well-Architected Framework de Azure Virtual Desktop . Si no está familiarizado con esta serie, se recomienda empezar con ¿Qué es una carga de trabajo de Azure Virtual Desktop?.

Supervisión del estado y la disponibilidad

Impacto: Excelencia operativa, confiabilidad

Azure ofrece varios servicios, como Azure Service Health y Azure Resource Health que le mantienen informado sobre el estado de los recursos en la nube.

Service Health

Debe usar Service Health para proporcionar una vista del estado de los servicios y regiones de Azure que use. Service Health es el mejor lugar para buscar notificaciones sobre eventos que afectan al servicio, como interrupciones y actividades de mantenimiento planeado. Service Health también proporciona otros avisos de mantenimiento sobre los impactos en el entorno de Azure Virtual Desktop y la suscripción relacionada. El enfoque más proactivo es configurar alertas de Service Health. Puede recibir estas alertas a través de sus canales de comunicación preferidos. Las alertas le notifican cuando los problemas del servicio, el mantenimiento planeado u otros cambios pueden afectar a los recursos de Azure Virtual Desktop. Para más información, consulte Configuración de alertas de servicio.

Estado de los recursos

Resource Health le ayuda a diagnosticar y obtener soporte técnico para problemas de servicio que afectan a los recursos de Azure. En Resource Health se notifica información sobre el estado actual y pasado de los recursos. Asegúrese de configurar alertas proactivas para notificarle los estados de mantenimiento de los recursos no deseados. Puede supervisar los siguientes tipos de recursos para el estado de mantenimiento de los recursos:

  • Soluciones de Azure Storage para FSLogix y Conexión de aplicaciones de Azure Virtual Desktop
  • Hosts de sesión o máquinas virtuales (VM)
Recomendaciones
  • Use Service Health para mantenerse informado sobre el estado de los servicios y regiones de Azure que use.
  • Configure alertas de Service Health para mantenerse al tanto de los problemas del servicio, el mantenimiento planeado u otros cambios que puedan afectar a los recursos de Azure Virtual Desktop.
  • Use Resource Health para supervisar las máquinas virtuales y las soluciones de almacenamiento.
  • Configure alertas de Resource Health.

Supervisión de rendimiento

Impacto: Eficiencia del rendimiento, Excelencia operativa

Para obtener visibilidad y supervisar el rendimiento, debe supervisar los componentes críticos del entorno de Azure Virtual Desktop.

Recomendaciones para la configuración

Para ayudar a garantizar que recupere los indicadores clave de rendimiento y los registros necesarios de las entidades de Azure Virtual Desktop, configure los siguientes datos de diagnóstico que se enviarán a Log Analytics:

  • Registros del grupo de hosts de Azure Virtual Desktop
  • Diagnósticos del área de trabajo de Azure Virtual Desktop
  • Diagnósticos del grupo de aplicaciones de Azure Virtual Desktop
  • Diagnósticos de almacenamiento
  • Datos sobre los hosts de sesión de un agente de supervisión o un agente de Log Analytics
  • Datos de registro de eventos y rendimiento recopilados según las reglas de recopilación de datos del agente de Log Analytics o monitor
  • Datos de Azure VM Insights

Opciones de configuración

Hay varias opciones disponibles para configurar las opciones de diagnóstico:

  • Un libro de configuración de Azure Virtual Desktop Insights. Azure Virtual Desktop Insights es un panel basado en libros de supervisión que le ayuda a comprender el entorno de Azure Virtual Desktop. Azure Virtual Desktop Insights proporciona un libro de configuración que puede usar para:

    • Configure el diagnóstico del área de trabajo y del grupo de hosts.
    • Habilite los agentes de supervisión en los hosts de sesión.
    • Configure los contadores de rendimiento y los registros de eventos recomendados para supervisar el entorno de Azure Virtual Desktop.

    Puede recopilar otros indicadores clave de rendimiento mediante la configuración del agente del área de trabajo de Log Analytics.

  • Azure Policy. Puede usar Azure Policy para garantizar que los agentes de supervisión estén instalados en las máquinas virtuales. Azure Policy admite monitores y agentes de supervisión de Microsoft.

  • Configuración y plantillas de implementación. Puede usar el Azure Portal o una solución de implementación declarativa, como plantillas de Azure Resource Manager (plantillas de ARM), BICEP o Terraform para implementar Azure Virtual Desktop. Asegúrese de que la configuración de diagnóstico se implementa como parte de la configuración de implementación de Azure Virtual Desktop. Si implementa Azure Virtual Desktop mediante el Azure Portal, asegúrese de que la configuración de diagnóstico esté habilitada. Para los modelos de implementación declarativos, asegúrese de que los grupos host, las áreas de trabajo o los grupos de aplicaciones se implementan con la configuración de diagnóstico habilitada. Asegúrese también de que las máquinas virtuales se implementan con el agente de supervisión de Microsoft o las extensiones del agente de supervisión.

Datos de rendimiento del host de sesión

Los contadores de rendimiento registran cómo se usan los recursos del sistema. La ingesta de datos de los contadores de rendimiento depende del tamaño y del uso del entorno. Es importante comprender que cada contador de rendimiento envía datos con una frecuencia específica. En el libro de configuración de Azure Virtual Desktop Insights, puede ajustar la frecuencia de muestreo predeterminada por minuto. También puede editar esta tasa en la configuración. El factor de multiplicación que se aplica a esta tasa depende del contador.

En la lista siguiente se muestran las categorías de métricas de rendimiento y los contadores de rendimiento que puede configurar en cada categoría:

  • Disco lógico
    • Free Space
    • Avg. Disk Queue Length
    • Avg. Disk sec/Transfer
    • Current Disk Queue Length
  • Memoria
    • % Committed Bytes in Use
    • Available Mbytes
    • Page Faults/sec
    • Pages/sec
  • Disco físico
    • Avg. Disk Queue Length
    • Avg. Disk sec/Read
    • Avg. Disk sec/Transfer
    • Avg. Disk sec/Write
  • Información del procesador
    • % Processor Time
    • RemoteFX network
    • Current TCP RTT
    • Current UDP Bandwidth
    • Terminal Services
    • Active Sessions
    • Inactive Sessions
    • Total Sessions
  • Retraso de entrada del usuario por proceso
    • Max Input Delay
  • Retraso de entrada del usuario por sesión
    • Max Input Delay

Puede usar tablas de diagnóstico en Log Analytics para consultar y analizar la información de red de las conexiones de Azure Virtual Desktop. Los WVDConnectionNetworkData datos incluyen un identificador de correlación que se asigna a una conexión específica de Azure Virtual Desktop. Para cada sesión, puede ver datos de rendimiento críticos, como el tiempo estimado de ida y vuelta en milisegundos y el ancho de banda disponible estimado en KBps.

Los registros de eventos de Windows son orígenes de datos que los agentes de Log Analytics recopilan en máquinas virtuales Windows. Puede recopilar eventos de los registros estándar, como los registros del sistema y de la aplicación. También puede recopilar eventos de registros personalizados creados por las aplicaciones que necesita supervisar. De forma predeterminada, los registros de los siguientes tipos de eventos de Windows se recopilan para Azure Virtual Desktop en Monitor:

  • Application
  • Microsoft-Windows-TerminalServices-RemoteConnectionManager/Admin
  • Microsoft-Windows-TerminalServices-LocalSessionManager/Operational
  • System
  • Microsoft-FSLogix-Apps/Operational
  • Microsoft-FSLogix-Apps/Admin

Se desencadena un evento de Windows cada vez que se cumplen los términos del evento en el entorno. Las máquinas en estados correctos envían menos eventos que los equipos en estados incorrectos.

Es importante supervisar los registros de eventos de los problemas de conexión que pueden surgir con el agente de Azure Virtual Desktop. Para más información, consulte Solución de problemas comunes del agente de Azure Virtual Desktop.

Umbrales de rendimiento de almacenamiento y supervisión

Debe supervisar la solución de almacenamiento de Azure que se usa para hospedar perfiles de FSLogix o recursos compartidos de App Attach. Es importante supervisar las ubicaciones de almacenamiento de perfiles para ayudar a garantizar que no se superen los umbrales, lo que podría tener un impacto negativo en la experiencia del usuario. Para Storage, debe supervisar la capacidad del recurso compartido de archivos para ayudar a garantizar que las cuotas de recursos compartidos de archivos no alcancen la capacidad máxima. También debe supervisar las transacciones del recurso compartido de archivos para asegurarse de que las transacciones están dentro de los umbrales definidos.

Límites de servicio

Azure Virtual Desktop tiene límites de servicio que debe tener en cuenta durante la fase de diseño de la implementación. Debe tener en cuenta estos límites de servicio también en entornos de producción y debe informar proactivamente sobre estos límites. Los límites son relativamente grandes. Pero en implementaciones más grandes, donde es más fácil alcanzar estos límites, es esencial supervisarlos. Para más información, consulte Limitaciones de Azure Virtual Desktop.

Recomendaciones
  • Configure los datos de diagnóstico que se enviarán a Log Analytics.
  • Seleccione entre varias opciones para configurar las opciones de diagnóstico, como un libro de configuración de Azure Virtual Desktop Insights, Azure Policy, el Azure Portal o una plantilla.
  • Configure los contadores de rendimiento para que tenga un registro de cómo se usan los recursos del sistema.
  • Use tablas de diagnóstico en Log Analytics para consultar y analizar la información de red de las conexiones de Azure Virtual Desktop.
  • Supervise los registros de eventos para detectar problemas de conexión con el agente de Azure Virtual Desktop.
  • Supervise la solución de almacenamiento de Azure que usa para hospedar perfiles de FSLogix o recursos compartidos de Asociación de aplicaciones.
  • Supervise el uso del servicio para asegurarse de que la carga de trabajo no supere los límites.

Supervisión de la seguridad

Impacto: Seguridad

En las secciones siguientes se describen varias medidas de supervisión que puede tomar para mejorar la seguridad en la carga de trabajo.

Microsoft Defender for Cloud y Microsoft Sentinel

Asegúrese de que Microsoft Defender para las características de seguridad mejoradas en la nube estén habilitadas en la suscripción y los hosts de sesión de Azure Virtual Desktop que implemente. Defender for Cloud proporciona una plataforma de protección de cargas de trabajo en la nube y administración de posturas de seguridad en la nube. Puede usar Defender for Cloud para administrar vulnerabilidades y evaluar el cumplimiento de marcos comunes como el sector de tarjetas de pago (PCI) y ISO27001. También puede usar Defender for Cloud para reforzar la posición de seguridad general de su entorno. Defender for Cloud usa el agente de supervisión de Microsoft o el agente de supervisión.

Microsoft Entra ID registros de autenticación y auditoría

Microsoft Entra ID es la solución de autenticación de primera línea para Azure Virtual Desktop, independientemente del método de conexión que use un cliente. Como resultado, es importante recopilar Microsoft Entra ID registros de autenticación y auditoría. Puede recopilar estos registros de las siguientes maneras:

  • En la configuración de diagnóstico, configure los registros de auditoría y los registros de inicio de sesión que se enviarán a Log Analytics, donde se pueden consultar y alertar sobre los datos.
  • Use un conector de Microsoft Sentinel para recopilar datos de Microsoft Entra ID y transmitirlos a Microsoft Sentinel.

Registros de eventos de seguridad

Debe recopilar registros de eventos de seguridad de los hosts de sesión de Azure Virtual Desktop. Es recomendable agregar estos registros a un repositorio centralizado para eventos de seguridad que impliquen a los hosts de Azure Virtual Desktop. Puede usar el repositorio para almacenar y consultar los registros. Puede usar una de las siguientes opciones para recopilar los registros:

  • Use una regla de recopilación de datos del agente de supervisión para recopilar registros de eventos de seguridad. Esta opción no se recomienda.
  • Use un agente de supervisión de Microsoft para recopilar los registros de Microsoft Sentinel o use un conector de agente heredado para recopilar eventos de seguridad.
  • Use un agente de supervisión de Microsoft para recopilar eventos de seguridad para Defender for Cloud.

Mantener el cumplimiento

Las actualizaciones de seguridad mensuales son críticas para el estado general y la seguridad del entorno de Azure Virtual Desktop. Asegúrese de actualizar periódicamente el entorno de Azure Virtual Desktop mediante la instalación de nuevas imágenes o mediante una herramienta de administración de actualizaciones. Es mejor realizar informes de cumplimiento mensuales y supervisar el cumplimiento de actualizaciones generales del entorno. Esta práctica ayuda a garantizar que los administradores y el equipo de seguridad de Azure Virtual Desktop estén al tanto del estado general de cumplimiento de seguridad de su entorno.

Recomendaciones
  • Use Defender for Cloud para administrar vulnerabilidades y evaluar el cumplimiento con marcos comunes.
  • Use Defender for Cloud para reforzar la posición de seguridad general de su entorno.
  • Recopile registros de autenticación y auditoría de Microsoft Entra ID.
  • Almacene los registros de eventos de seguridad de los hosts de sesión de Azure Virtual Desktop en un repositorio.
  • Actualice periódicamente el entorno de Azure Virtual Desktop.
  • Realizar informes de cumplimiento mensuales.

Notificación

Impacto: Excelencia operativa

Hay varias opciones disponibles para los informes de Azure Virtual Desktop:

  • Azure Virtual Desktop Insights. Este panel proporciona muchas de las conclusiones y visualizaciones necesarias que necesita para comprender y supervisar el entorno de Azure Virtual Desktop.
  • Libros y herramientas de informes externos. En algunos escenarios, resulta útil tener un libro y un panel personalizados. Puede crear sus propios informes o libros mediante tablas de Log Analytics y Azure Resource Graph resultados de consulta como orígenes de datos. Resource Graph es un servicio que puede usar para informar sobre objetos de Azure Virtual Desktop, como grupos de hosts, áreas de trabajo, componentes de proceso y soluciones de almacenamiento. Los datos solo se rellenan en soluciones personalizadas si activa diagnósticos para objetos de Azure Virtual Desktop y si usa un agente de supervisión compatible para recopilar datos de registro de eventos y rendimiento. Las siguientes tablas de Log Analytics están disponibles como orígenes de datos:
    • Tablas de Log Analytics de Azure Virtual Desktop
      • WVDAgentHealthStatus
      • WVDCheckpoints
      • WVDConnectionGraphicsDataPreview
      • WVDConnectionNetworkData
      • WVDConnections
      • WVDErrors
      • WVDFeeds
      • WVDHostRegistrations
      • WVDManagement
    • Tabla de contadores de rendimiento
      • Perf
      • InsightMetrics (solo si la característica VM Insights está habilitada)
    • Tablas de eventos
      • Event
Recomendaciones
  • Considere la posibilidad de usar Azure Virtual Desktop Insights para la creación de informes.
  • Use tablas de Log Analytics y Resource Graph resultados de la consulta como orígenes de datos al crear paneles personalizados.

Alertas

Impacto: Eficiencia del rendimiento, Excelencia operativa

Use el marco de alertas monitor o una solución de supervisión equivalente para mantenerse informado sobre el rendimiento y la seguridad de Azure Virtual Desktop. Puede configurar alertas personalizadas para los siguientes tipos de eventos, diagnósticos y recursos de Azure Virtual Desktop:

  • Rendimiento de la máquina virtual
  • Eventos críticos, como eventos de aplicación con identificadores 3702 o 3703 para problemas de estado no disponible en hosts de sesión
  • Service Health
  • Estado de los recursos
  • Datos de diagnóstico de Azure Virtual Desktop
  • Paquetes de asociación de perfiles y aplicaciones
  • Defender for Cloud
Recomendaciones
  • Use alertas para mantenerse informado sobre el rendimiento y la seguridad de Azure Virtual Desktop.
  • Configure alertas para varios eventos, diagnósticos y recursos de Azure Virtual Desktop.

Pasos siguientes

Ahora que ha examinado los procedimientos recomendados de observabilidad en Azure Virtual Desktop, explore mecanismos, herramientas y perímetros que puede usar para proteger aún más las cargas de trabajo de Azure Virtual Desktop.

Administración de seguridad e identidad y acceso (IAM)

Use la herramienta de evaluación para evaluar las opciones de diseño.

Valoración