Identificación de los componentes que se van a proteger
Las implementaciones de Azure Virtual Desktop constan de varios componentes. Al configurar la continuidad empresarial y la recuperación ante desastres (BCDR) para Azure Virtual Desktop, es importante tener en cuenta cada componente individualmente.
Servicios de Azure Virtual Desktop
Azure Virtual Desktop es una solución de infraestructura de escritorio virtual (VDI) en la nube flexible. Este servicio:
- Proporciona la intermediación y la orquestación de escritorios virtuales como un servicio administrado.
- Habilita la administración de máquinas virtuales (VM) implementadas en su suscripción de Azure.
- Ofrece una experiencia de escritorio virtual y aplicaciones remotas a cualquier dispositivo.
- Incluye compatibilidad con herramientas existentes, como Microsoft Intune.
Microsoft administra los servicios de Azure Virtual Desktop que se describen en la tabla siguiente:
| Servicio | Descripción |
|---|---|
| Puerta de enlace | Este servicio conecta clientes remotos a una puerta de enlace y después establece una conexión desde una VM de regreso a la misma puerta de enlace. |
| Agente de conexión | Este servicio proporciona equilibrio de carga y reconexión a escritorios virtuales y aplicaciones remotas en sesiones de usuario existentes. |
| Diagnóstico | Este servicio registra eventos de acciones en la implementación de Azure Virtual Desktop como un error o un éxito. Puede usar esta información para solucionar errores. |
| Componentes de extensibilidad | Estos componentes permiten la administración de Azure Virtual Desktop desde PowerShell, las API REST y la integración con herramientas de terceros. |
| Acceso web | Este servicio le permite acceder a los recursos de Azure Virtual Desktop de forma segura desde un explorador web sin el largo proceso de instalación. |
Microsoft administra totalmente los servicios de infraestructura principales de Azure Virtual Desktop. Si se produce una interrupción regional, no es necesario realizar ningún paso adicional para mantener este servicio en funcionamiento. Cualquier error no planeado inicia la conmutación por error de componentes en varias ubicaciones. Esto ayuda a garantizar que tanto el entorno del espacio empresarial como los hosts permanezcan accesibles.
Microsoft Entra ID
Usará Microsoft Entra ID para la administración de identidades y acceso en Azure Virtual Desktop. Esto incluye acceso a sesiones remotas, elementos de administración y configuración de usuarios. Azure Virtual Desktop usa Microsoft Entra ID para autenticar cualquier operación que interactúe con los servicios que se ejecutan en Azure. Esto incluye las aplicaciones y los sitios web que los usuarios usan para determinar los recursos disponibles.
AD DS
Las máquinas virtuales de Azure Virtual Desktop deben unirse a un dominio a un servicio de Active Directory Domain Services (AD DS) y el servicio debe estar sincronizado con el identificador de Microsoft Entra para asociar usuarios entre los dos servicios. Puede usar Microsoft Entra Connect para integrar AD DS con Microsoft Entra ID. Puede implementar Azure Virtual Desktop con identidades de una organización solo en la nube o en un entorno con identidades híbridas.
Sin embargo, la infraestructura debe cumplir requisitos específicos para admitir Azure Virtual Desktop. Debe tener:
- Una organización de Microsoft Entra.
- Controlador de dominio que se sincroniza con el identificador de Microsoft Entra. Puede implementar los controladores de dominio en la red local o como máquinas virtuales que se ejecutan en una red virtual de Azure. La implementación de controladores de dominio en una red local requiere conectividad a una red virtual de Azure mediante VPN de sitio a sitio o Azure ExpressRoute. También puede usar AD DS, donde Microsoft puede administrar los controladores de dominio en lugar de implementarlos en máquinas virtuales de Azure.
- Una suscripción de Azure que contiene una red virtual que tiene o está conectada a AD DS o Microsoft Entra Domain Services.
Mantener disponibilidad del controlador de dominio de Active Directory es fundamental si se produce una interrupción de la región primaria. Sin un controlador de dominio de Active Directory accesible, los usuarios no podrán iniciar sesión en sus instancias de Azure Virtual Desktop y RemoteApp.
Red virtual
Una red virtual es un componente crítico en el que Azure establece tanto las máquinas virtuales de Azure Virtual Desktop como la instancia de AD DS. Durante una interrupción, es importante que la conectividad de red para Azure Virtual Desktop funcione correctamente. Para una implementación híbrida de Azure Virtual Desktop, debe usar una red privada virtual (VPN) de sitio a sitio o Azure ExpressRoute para conectar la red virtual con una red local. Esto requiere un planeamiento cuidadoso de la conectividad de red en la región secundaria y la conectividad con la red local.
Hosts de sesión
Azure Virtual Desktop proporciona acceso a los hosts de sesión que ejecutan los escritorios remotos o las aplicaciones remotas. Cada host de sesión tiene un agente de host de Azure Virtual Desktop, que registra la máquina virtual como parte del espacio empresarial o área de trabajo de Azure Virtual Desktop. Los hosts de sesión deben comunicarse con Microsoft Entra Domain Services o AD DS. Dado que las máquinas virtuales pueden dejar de estar disponibles o el sistema operativo puede estar dañado, debe incluirlas en el plan BCDR de Azure Virtual Desktop.
Imágenes
Al configurar los hosts de sesión con los grupos de aplicaciones, tiene la opción de elegir imágenes. Puede elegir imágenes de sistema operativo proporcionadas por Microsoft en imágenes de Azure Marketplace, como:
- Windows 11 o Windows 10 Enterprise para sesiones múltiples, con o sin aplicaciones de Microsoft 365.
- Windows Server 2022 o 2019.
- Sus propias imágenes personalizadas almacenadas en una galería de Proceso de Azure.
Las imágenes no afectan directamente a la capacidad de un usuario para conectarse a una máquina virtual de host de sesión. Sin embargo, son muy importantes al configurar la nueva capacidad del host de sesión. Por lo tanto, al crear hosts, debe hacer una copia de seguridad de ellos y asegurarse de que estén disponibles. Debe asegurarse de que la imagen está disponible en la región secundaria.
Sugerencia
Aunque una Galería de Proceso de Azure proporciona replicación global, no es un recurso global. En escenarios de recuperación ante desastres, el procedimiento recomendado es tener al menos dos galerías, en regiones diferentes.
FSLogix
FSLogix está diseñado para recorrer perfiles en entornos de computación remota. Almacena un perfil de usuario completo en un único contenedor en un recurso compartido de archivos de protocolo de Bloque de mensajes del servidor (SMB) (por ejemplo, Azure Files o Azure NetApp Files). Al iniciar sesión, Azure asocia dinámicamente este contenedor al entorno informático mediante disco duro virtual (VHD) y disco duro virtual (VHDX) compatibles de forma nativa.
Los perfiles de FSLogix son fundamentales para los entornos de Azure Virtual Desktop. Deben estar disponibles siempre que un usuario necesite conectarse y trabajar en un escritorio o instancia de RemoteApp. Por lo tanto, los perfiles de FSLogix deben replicarse y estar disponibles en varias regiones.
Conexión de aplicaciones MSIX
La conexión de aplicaciones MSIX almacena los archivos de aplicación como imágenes MSIX (VHD/VHDX/CIM), independientes del sistema operativo. Al abrir la conexión de aplicaciones MSIX, se accede a los archivos de la aplicación desde un VHD. Al igual que con los perfiles de FSLogix, debe considerar la posibilidad de replicar la conexión de aplicaciones MSIX en otra región.