次の方法で共有

Azure Virtual Desktop ワークロードのネットワークと接続に関する考慮事項

  • [アーティクル]

この記事では、Azure Virtual Desktop ワークロードのネットワークと接続の設計領域について説明します。 Azure Virtual Desktop ランディング ゾーンの Azure ネットワーク機能を設計して実装することが重要です。 この記事では、基礎として、Azure Well-Architected Framework エンタープライズ規模のランディング ゾーンアーキテクチャの原則と推奨事項をいくつか使用します。 このガイダンスに基づいて、この記事では、ネットワーク トポロジと接続を大規模に管理する方法について説明します。

重要

この記事は、 Azure Well-Architected Framework Azure Virtual Desktop ワークロード シリーズの一部です。 このシリーズに慣れていない場合 は、「Azure Virtual Desktop ワークロードとは」から開始することをお勧めします。

クライアントの待機時間

影響: パフォーマンス効率

エンド ユーザーとセッション ホスト間の待機時間は、Azure Virtual Desktop ユーザー エクスペリエンスに影響を与える重要な側面です。 Azure Virtual Desktop Experience Estimator ツールを使用すると、接続ラウンドトリップ時間 (RTT) の見積もりに役立ちます。 具体的には、このツールは、Azure Virtual Desktop サービスを介してユーザーの場所から、仮想マシン (VM) をデプロイする各 Azure リージョンまでの RTT を推定します。

エンド ユーザー エクスペリエンスの品質を評価するには:

  • 開発、テスト、概念実証の各環境でエンドツーエンドの待機時間をテストします。 このテストでは、ユーザーの実際のエクスペリエンスを考慮する必要があります。 ネットワーク条件、エンドユーザー デバイス、デプロイされた VM の構成などの要因を考慮する必要があります。
  • 待機時間は、リモート プロトコルとの接続の 1 つの側面に過ぎない点に注意してください。 帯域幅とユーザー ワークロードは、エンド ユーザー エクスペリエンスにも影響します。
Recommendations
  • Azure Virtual Desktop Experience Estimator を使用して、推定待機時間の値を収集します。
  • Azure 仮想ネットワークからオンプレミス システムへの待機時間をテストします。
  • ポイント対サイト (P2S) VPN 接続を使用するクライアントには、ユーザー データグラム プロトコル (UDP) に基づく分割トンネルを使用します。
  • VPN または Azure ExpressRoute を使用するオンサイト クライアントには、マネージド ネットワークでリモート デスクトップ プロトコル (RDP) Shortpath を使用します。

オンプレミス接続 (ハイブリッド ネットワーク)

影響: パフォーマンス効率、オペレーショナル エクセレンス

一部の組織では、オンプレミスとクラウドのリソースを含むハイブリッド モデルを使用しています。 多くのハイブリッドケースでは、Azure Virtual Desktop で実行されるエンド ユーザー ワークフローは、共有サービスやプラットフォーム サービス、データ、アプリケーションなどのオンプレミス リソースに到達する必要があります。

ハイブリッド ネットワークを実装する場合は、「ネットワーク トポロジと接続のクラウド導入フレームワークに関する記事」のベスト プラクティスと推奨事項を確認してください。

「Azure Virtual Desktop ワークロードと Azure ランディング ゾーンの統合」で説明されている Azure Virtual Desktop スケーリング モデルに合わせることが重要です。 このモデルに従う方法:

  • オンプレミス システムに接続する Azure Virtual Desktop ワークフローの待機時間と帯域幅の要件を評価します。 この情報は、ハイブリッド ネットワーク アーキテクチャを設計するときに重要です。
  • Azure Virtual Desktop サブネットとオンプレミス ネットワークの間に重複する IP アドレスがないことを確認します。 接続サブスクリプションの所有者であるネットワーク アーキテクトに IP アドレス指定のタスクを割り当てることをお勧めします。
  • すべての Azure Virtual Desktop ランディング ゾーンに、独自の仮想ネットワークとサブネット構成を付与します。
  • 必要な IP アドレス空間の量を決定するときに、潜在的な増加を考慮してサブネットのサイズを適切に設定します。
  • IP アドレス空間の無駄を回避するには、スマート IP クラスレス ドメイン間ルーティング (CIDR) 表記を使用します。
Recommendations
  • Azure 仮想ネットワークをオンプレミス システムに接続するためのベスト プラクティスを確認します。
  • Azure 仮想ネットワークからオンプレミス システムへの待機時間をテストします。
  • Azure Virtual Desktop ランディング ゾーンで重複する IP アドレスが使用されていないことを確認します。
  • すべての Azure Virtual Desktop ランディング ゾーンに、独自の仮想ネットワークとサブネット構成を付与します。
  • Azure Virtual Desktop サブネットのサイズを変更する場合は、潜在的な増加を検討してください。

マルチリージョン接続

影響: パフォーマンス効率、コストの最適化

Azure Virtual Desktop マルチリージョン デプロイでエンド ユーザーに最高のエクスペリエンスを提供するには、設計で次の要素を考慮する必要があります。

  • ID、名前解決、ハイブリッド接続、ストレージ サービスなどのプラットフォーム サービス。 Azure Virtual Desktop セッション ホストからこれらのサービスへの接続は、サービスを機能させるために重要です。 その結果、理想的な設計は、Azure Virtual Desktop ランディング ゾーン サブネットからこれらのサービスへの待機時間を短縮することを目的としています。 この目標を達成するには、各リージョンにサービスをレプリケートするか、可能な限り短い待機時間で接続を介してサービスを使用できるようにします。
  • エンド ユーザーの待機時間。 Azure Virtual Desktop マルチリージョンデプロイに使用する場所を選択する場合は、ユーザーがサービスに接続するときに発生する待機時間を考慮することが重要です。 セッション ホストをデプロイする Azure リージョンを選択するときに 、Azure Virtual Desktop Experience Estimator を使用して、エンド ユーザーの母集団から待機時間データを収集することをお勧めします。

また、次の要因についても検討してください。

  • リージョン間のアプリケーションの依存関係。
  • VM SKU の可用性。
  • アプリケーションまたはワークロードの依存関係に必要なインターネットエグレス、リージョン間トラフィック、ハイブリッド (オンプレミス) トラフィックに関連付けられているネットワーク コスト。
  • FSLogix クラウド キャッシュ機能がネットワークに配置する追加の負荷。 この要素は、この機能を使用して異なるリージョン間でユーザー プロファイル データをレプリケートする場合にのみ関連します。 また、この機能で使用されるネットワーク トラフィックとストレージの増加のコストも考慮してください。

可能であれば、高速ネットワークを提供する VM SKU を使用します。 高帯域幅を使用するワークロードでは、高速ネットワークによって CPU 使用率と待機時間が低下する可能性があります。

ネットワークの使用可能な帯域幅は、リモート セッションの品質に大きく影響します。 その結果、ユーザーのネットワーク帯域幅要件を評価して、オンプレミスの依存関係に十分な帯域幅が使用できることを確認することをお勧めします。

Recommendations
  • 内部ポリシーで許可されている場合は常に、プラットフォームと共有サービスを各リージョンにレプリケートします。
  • 可能であれば、高速ネットワークを提供する VM SKU を使用します。
  • リージョンの選択プロセスにエンド ユーザーの待機時間の見積もりを含めます。
  • 帯域幅の要件を見積もるときにワークロードの種類を考慮し、実際のユーザー接続を監視します。

ネットワークのセキュリティ

影響: セキュリティ、コストの最適化、オペレーショナル エクセレンス

従来、ネットワーク セキュリティはエンタープライズ セキュリティの取り組みの要でした。 しかし、クラウド コンピューティングにより、ネットワーク境界の多孔質化の要件が高まり、多くの攻撃者が ID システム要素に対する攻撃の技術を習得しています。 次のポイントでは、Azure Virtual Desktop をデプロイするためのファイアウォールの最小要件の概要を示します。 このセクションでは、ファイアウォールに接続し、このサービスを必要とするアプリに到達するための推奨事項も示します。

  • 信頼されたイントラネットアプローチに基づく従来のネットワーク制御では、クラウド アプリケーションのセキュリティ保証が効果的に提供されません。
  • ネットワーク デバイスと生のネットワーク トラフィックからのログを統合すると、潜在的なセキュリティの脅威を可視化できます。
  • ほとんどの組織では、当初の計画よりも多くのリソースを最終的にネットワークに追加することになります。 その結果、余分なリソースに対応するために、IP アドレスとサブネット スキームをリファクタリングする必要があります。 このプロセスは労力を要します。 多数の小さなサブネットを作成し、セキュリティ グループなどのネットワーク アクセス制御を各サブネットにマップしようとすると、セキュリティ値が制限されます。

ネットワーク トラフィックに制御を配置して資産を保護する方法の一般的な情報については、「 ネットワークと接続に関する推奨事項」を参照してください。

Recommendations
  • デプロイでAzure Firewallを使用するために必要な構成について説明します。 詳細については、「Azure Firewall を使用して Azure Virtual Desktop のデプロイを保護する」を参照してください。
  • ネットワーク セキュリティ グループとアプリケーション セキュリティ グループを作成して、Azure Virtual Desktop トラフィックをセグメント化します。 この方法は、サブネットのトラフィック フローを制御してサブネットを分離するのに役立ちます。
  • Azure サービス の特定の IP アドレスではなく、サービス タグを使用します。 アドレスは変更されるため、この方法により、頻繁に更新されるネットワーク セキュリティ規則の複雑さが最小限に抑えられます。
  • Azure Virtual Desktop に必要な URL について理解します。
  • ルート テーブルを使用して、Azure Virtual Desktop トラフィックがファイアウォールまたはネットワーク仮想アプライアンス (NVA) にトラフィックをルーティングするために使用する強制トンネリング規則をバイパスできるようにします。 そうしないと、強制トンネリングがクライアントの接続のパフォーマンスと信頼性に影響を与える可能性があります。
  • プライベート エンドポイントを使用して、Azure Filesや Azure Key Vaultなどのサービスとしてのプラットフォーム (PaaS) ソリューションを保護します。 ただし、プライベート エンドポイントを使用するコストを検討してください。
  • Azure Private Linkの構成オプションを調整します。 Azure Virtual Desktop でこのサービスを使用する場合は、Azure Virtual Desktop コントロール プレーン コンポーネントのパブリック エンドポイントを無効にし、プライベート エンドポイントを使用してパブリック IP アドレスの使用を回避できます。
  • Active Directory Domain Services (AD DS) を使用する場合は、厳格なファイアウォール ポリシーを実装します。 これらのポリシーは、ドメイン全体で必要なトラフィックに基づいて行います。
  • azure Virtual Desktop セッション ホストからエンド ユーザーのインターネットへのアクセスを保護するために、Azure Firewallまたは NVA Web フィルターを使用することを検討してください。

影響: セキュリティ

既定では、Azure Virtual Desktop リソースへの接続は、パブリックにアクセス可能なエンドポイントを介して確立されます。 一部のシナリオでは、トラフィックでプライベート接続を使用する必要があります。 これらのシナリオでは、Private Linkを使用して、リモート Azure Virtual Desktop リソースにプライベートに接続できます。 詳細については、「Azure Private Link with Azure Virtual Desktop」を参照してください。 プライベート エンドポイントを作成すると、仮想ネットワークとサービス間のトラフィックは Microsoft ネットワーク上に残ります。 サービスがパブリック インターネットに公開されていません。

Azure Virtual Desktop プライベート エンドポイントを使用して、次のシナリオをサポートできます。

  • クライアント、エンド ユーザー、およびセッション ホスト VM はどちらもプライベート ルートを使用します。
  • クライアントまたはエンド ユーザーはパブリック ルートを使用し、セッション ホスト VM はプライベート ルートを使用します。

Azure Virtual Desktop セッション ホストには、サービスとしての他のインフラストラクチャ (IaaS) ワークロードと同じ名前解決要件があります。 その結果、セッション ホストは、プライベート エンドポイント IP アドレスを解決するように構成された名前解決サービスへの接続を必要とします。 そのため、プライベート エンドポイントを使用する場合は、特定の DNS 設定を構成する必要があります。 詳細については、「 Azure プライベート エンドポイント DNS の構成」を参照してください。

Private Linkは、Azure FilesやKey Vaultなど、Azure Virtual Desktop と連携して動作する他の Azure サービスでも使用できます。 トラフィックをプライベートに保つために、これらのサービスのプライベート エンドポイントも実装することをお勧めします。

Recommendations

RDP Shortpath

影響: パフォーマンス効率、コストの最適化

RDP Shortpath は、マネージド ネットワークとアンマネージド ネットワークで使用できる Azure Virtual Desktop の機能です。

  • マネージド ネットワークの場合、RDP Shortpath はリモート デスクトップ クライアントとセッション ホスト間の直接接続を確立します。 トランスポートは UDP に基づいています。 余分なリレー ポイントを削除することで、RDP Shortpath を使用するとラウンドトリップ時間が短縮され、待機時間の影響を受けやすいアプリケーションや入力方法のユーザー エクスペリエンスが向上します。 RDP Shortpath をサポートするには、Azure Virtual Desktop クライアントがセッション ホストに直接接続する必要があります。 また、クライアントは Windows デスクトップ クライアントをインストールし、Windows 11またはWindows 10を実行する必要があります。
  • アンマネージド ネットワークの場合は、次の 2 つの接続の種類を使用できます。
    • クライアントとセッション ホストの間に直接接続が確立されます。 ネットワーク アドレス変換 (STUN) と対話型接続確立 (ICE) の下の単純なトラバーサルを使用して、接続を確立します。 この構成により、Azure Virtual Desktop のトランスポートの信頼性が向上します。 詳細については、「 RDP Shortpath のしくみ」を参照してください。
    • 間接 UDP 接続が確立されます。 クライアントとセッション ホスト間のリレーで Relay NAT (TURN) プロトコルを使用してトラバーサルを使用することで、ネットワーク アドレス変換 (NAT) の制限を克服します。

伝送制御プロトコル (TCP) に基づくトランスポートでは、VM から RDP クライアントへの送信トラフィックが Azure Virtual Desktop ゲートウェイを経由します。 RDP Shortpath を使用すると、送信トラフィックは、インターネット経由でセッション ホストと RDP クライアントの間を直接流れます。 この構成は、ホップを排除し、待機時間とエンド ユーザー エクスペリエンスを向上させるのに役立ちます。

Recommendations
  • RDP Shortpath を使用して、待機時間とエンド ユーザー エクスペリエンスを向上させます。
  • RDP Shortpath 接続モデルの可用性に注意してください。
  • RDP Shortpath の料金に注意してください。

次の手順

Azure Virtual Desktop でのネットワークと接続を調べたので、インフラストラクチャとワークロードを監視するためのベスト プラクティスを調査します。

Monitoring

評価ツールを使用して、設計の選択を評価します。

評価