次の方法で共有


Azure Virtual Desktop ワークロードの運用手順に関する考慮事項

この記事では、Azure Virtual Desktop ワークロードの運用手順設計領域について説明します。 organizationの Azure Virtual Desktop 環境を実行するときは、適切な運用管理の結果を確立する必要があります。 テクノロジ ソリューションを管理し、プラットフォームをサポートし、スムーズなアップグレードを確保し、プラットフォームの回復性を提供する方法を計画する必要があります。

重要

この記事は、 Azure Well-Architected Framework Azure Virtual Desktop ワークロード シリーズの一部です。 このシリーズに慣れていない場合 は、「Azure Virtual Desktop ワークロードとは」から開始することをお勧めします。

共同責任

影響: オペレーショナル エクセレンス、パフォーマンス効率、セキュリティ

Microsoft が提供する他のサービスと同様に、Microsoft が管理する Azure Virtual Desktop コンポーネントと、お客様が管理するコンポーネントがあります。 次の図は、顧客と Microsoft の間でさまざまな責任領域がどのように共有されるかを示しています。

Azure Virtual Desktop のコンポーネントを示す図。色付きのボックスは、Microsoft が管理する領域と顧客が管理する領域を示します。

Microsoft によって管理されるコンポーネント

Microsoft は、次の Azure Virtual Desktop サービスを Azure の一部として管理します。

  • Web アクセス。 Azure Virtual Desktop 内で Web アクセス サービスを使用する場合は、ローカル PC と同様に、HTML5 互換の Web ブラウザーを使用して仮想デスクトップとリモート アプリにアクセスできます。 このアクセスは、どこからでも、どのデバイスでも使用できます。 Microsoft Entra ID の多要素認証を使用して、Web アクセスをセキュリティで保護できます。
  • ゲートウェイ。 リモート接続ゲートウェイ サービスは、Azure Virtual Desktop クライアントを実行できるインターネットに接続されている任意のデバイスから、リモート ユーザーを Azure Virtual Desktop アプリとデスクトップに接続します。 クライアントはゲートウェイに接続し、仮想マシン (VM) から同じゲートウェイへの接続を調整します。
  • 接続ブローカー。 接続ブローカー サービスは、仮想デスクトップとリモート アプリへのユーザー接続を管理します。 接続ブローカーは、負荷分散と既存のセッションへの再接続を提供します。
  • [診断]。 リモート デスクトップ 診断は、Azure Virtual Desktop デプロイの各ユーザーまたは管理者のアクションを成功または失敗としてマークするイベント ベースのアグリゲーターです。 管理者はイベント集計に対してクエリを実行して、エラーが発生しているコンポーネントを特定できます。
  • 機能拡張コンポーネント。 Azure Virtual Desktop には、いくつかの拡張機能コンポーネントが含まれています。 Azure Virtual Desktop は、Windows PowerShellまたは提供されている REST API を使用して管理できます。これにより、サードパーティのツールからのサポートも有効になります。

顧客が管理するコンポーネント

ユーザーは、Azure Virtual Desktop ソリューションの次のコンポーネントを管理します。

  • Azure Virtual Network。 Virtual Networkでは、VM などの Azure リソースは、互いにプライベートに通信したり、インターネットと通信したりできます。 Azure Virtual Desktop ホスト プールを Active Directory ドメインに接続する場合、組織のポリシーに基づいて、イントラネットまたはインターネットから仮想デスクトップと仮想アプリにアクセスするためのネットワーク トポロジを定義できます。 仮想プライベート ネットワーク (VPN) を使用して、Azure Virtual Desktop をオンプレミス ネットワークに接続できます。 または、Azure ExpressRoute を使用して、プライベート接続を介してオンプレミス ネットワークを Azure クラウドに拡張することもできます。
  • Microsoft Entra ID。 Azure Virtual Desktop では、ID とアクセス管理にMicrosoft Entra ID が使用されます。 Microsoft Entra ID 統合は、条件付きアクセス、多要素認証、インテリジェント セキュリティ グラフなどの ID セキュリティ機能Microsoft Entra適用されます。 また、ドメインに参加している VM でのアプリの互換性を維持するのにも役立ちます。
  • 必要に応じて、Active Directory Domain Services (AD DS)。 Azure Virtual Desktop VM は、AD DS またはMicrosoft Entra Domain Servicesにドメインに参加している必要があります。 2 つのサービス間でユーザーを関連付けるには、AD DS が Microsoft Entra ID と同期している必要があります。 Microsoft Entra Connect を使用して、AD DS を Microsoft Entra ID に関連付けることができます。
  • Azure Virtual Desktop セッション ホスト。 セッション ホストは、ユーザーが自分のデスクトップとアプリケーションに接続する VM です。 複数のバージョンの Windows がサポートされており、アプリケーションとカスタマイズを使用してイメージを作成できます。 GPU 対応 VM を含め、VM サイズを選択できます。 各セッション ホストにある Azure Virtual Desktop ホスト エージェントにより、Azure Virtual Desktop のワークスペースまたはテナントの一部として VM が登録されます。 各ホスト プールには 1 つ以上のアプリ グループがあります。これは、ユーザーがアクセスできるリモート アプリケーションまたはデスクトップ セッションのコレクションです。 サポートされている Windows のバージョンを確認するには、「オペレーティング システムとライセンス」を参照してください。
  • Azure Virtual Desktop ワークスペース。 Azure Virtual Desktop ワークスペース (テナント) は、ホスト プール リソースを管理および発行するための管理コンストラクトです。
Recommendations
  • 責任の共有モデルに基づくお客様の責任に注意してください。
  • organizationがお客様の責任に該当するコンポーネントを積極的に管理していることを確認します。 たとえば、ネットワーク トポロジ、セッション ホスト、ワークスペースなどがあります。

環境の管理

影響: オペレーショナル エクセレンス、信頼性

Azure Virtual Desktop 環境を管理するには、次の領域に重点を置きます。

  • ビジネスアラインメント。 サービス レベル アグリーメント (SLA) を満たすために、特定の障害ドメインでの障害からそれらを保護するために、可用性ゾーンにセッション ホストをデプロイします。
  • 操作ベースライン。 操作ベースラインを確立します。 詳細については、「 Azure サーバー管理サービスの概要」を参照してください。
  • プラットフォーム操作。 ツール、ダッシュボード、アラートなどの監視手法を使用して、運用チームがインシデントを効果的に監視して対応し、信頼性の高いプラットフォームを維持できるようにします。 詳細については、「 Azure Virtual Desktop ワークロードの監視に関する考慮事項」を参照してください。
Recommendations
  • 可用性ゾーンにセッション ホストをデプロイします。
  • 操作ベースラインを確立します。
  • 監視ツール、ダッシュボード、アラートを使用します。

新しい開発の認識

影響: オペレーショナル エクセレンス

最新の更新プログラム、機能、機能の改善、バグ修正を最新の状態に保つ必要があります。 毎月の更新プログラムについては、「 Azure Virtual Desktop の新機能」を参照してください。

Recommendations
  • 最新の Azure Virtual Desktop の更新プログラム、機能、機能の改善、バグ修正に注意してください。
  • Azure Virtual Desktop の新機能 」などのリソースを月単位で確認します。

制限しきい値を監視する

影響: オペレーショナル エクセレンス

Azure Virtual Desktop プラットフォームが拡大するにつれて、到達に近い制限に注意する必要があります。 プラットフォームを正常に管理し、顧客に対するサービスの中断を予防するには、使用するコンポーネントの制限を慎重に監視する必要があります。

FSLogix

FSLogix の制限事項は、ユーザー プロファイル仮想ハード ディスク (VHD) ファイルと VHD 拡張 (VHDX) ファイルを格納するために使用するストレージ ファブリックによって異なります。

次の表は、FSLogix プロファイルがさまざまなシナリオで各 Azure Virtual Desktop ユーザーをサポートするために必要な 1 秒あたりの入出力操作の数 (IOPS) の例を示しています。 ユーザー データ、アプリケーション、および各プロファイルのアクティビティの量は、必要な量に影響します。

リソース ユーザーあたりの IOPS 要件 ユーザーの数 必要な IOPS の数
安定状態の IOPS 10 100 1,000
サインインとサインアウト IOPS 50 100 5,000

ホスト プール

ホスト プールのスケーリングには、次の要因が影響を与える可能性があります。

  • Azure テンプレートでは、作成できるオブジェクトの数が制限され、各 VM によって特定の数のオブジェクトが作成されます。 その結果、テンプレートを実行するたびに作成できる VM の数に制限があります。 詳細については、「Azure portalで作成されたホスト プールのスケール制限はありますか?」を参照してください。
  • vCPU の場合、リージョンごと、サブスクリプションごと、サブスクリプションの種類ごとに作成できる数に制限があります。 Enterprise Agreementサブスクリプションには、既定で 350 vCPU の制限があります。 テンプレート実行ごとに作成できる VM の数を決定するには、vCPU の制限を VM ごとに持っている vCPU の数で割ります。

サービスの制限

VM、記憶域スペース、ネットワークなど、Azure Virtual Desktop で使用されるすべてのリソースには、制限と制限が適用されます。 たとえば、セッション ホスト オブジェクトのサービス制限は 10,000 です。 これらの制限を超える場合は、サービスの可用性に影響を与える可能性があります。

Azure Virtual Desktop インフラストラクチャでは、次のコンポーネントが使用されます。 対応するサービスの制限については、「 Azure Virtual Desktop サービスの制限」を参照してください。

  • アプリケーション グループ
  • ホスト プール
  • RemoteApp
  • ロール割り当て
  • セッション ホスト
  • ワークスペース

VM トークンの有効期限

Azure Virtual Desktop では、VM はホスト プールに登録され、トークンが割り当てられます。 Azure Virtual Desktop エージェントは、VM がアクティブなときに VM のトークンを定期的に更新します。 登録トークンは 90 日間有効です。

トークンの有効期限が切れないように、Azure Virtual Desktop チームは自動化を使用して各 VM を定期的に有効にする必要があります。 たとえば、自動ソリューションでは、各 VM を 90 日ごとに 20 分間有効にできます。 その後、各 VM のトークンは、有効期限が切れるか無効になる前に更新されます。 エージェントとサイド バイ サイド スタック コンポーネントも更新されます。

90 日以上オフになっている VM では、登録の問題が発生します。 VM をもう一度使用するには、「 Azure Virtual Desktop エージェントに関する一般的な問題のトラブルシューティング」の手順に従います。 これらの手順では、ホスト プールから VM を削除し、エージェントを再インストールして、VM をホスト プールに再登録する方法について説明します。

Recommendations
  • コンポーネントのリソース使用状況を監視します。
  • 次のシステム制限に注意してください。
    • 承認。
    • Azure オブジェクト。
    • 作成できる vCPU の数。
  • 各ユーザーをサポートするために FSLogix プロファイルに必要な IOPS の数を理解します。
  • 自動化を使用して、VM トークンの有効期限が切れないようにします。

ホスト プールのゴールデン イメージの更新

影響: オペレーショナル エクセレンス、信頼性

次のいずれかの方法を使用して、ホスト プール VM を更新できます。

  • 2 つ目のホスト プールをデプロイします。 準備ができたら、そのプールにユーザーを割り当てます。 この方法では、初期ホスト プールをロールバックに使用できるようにするオプションが提供されます。 新しいホスト プールが期待どおりに実行されていることを確認した後で、元のホスト プールを削除できます。
  • 元の VM をホスト プールのドレイン モードに設定します。 次に、新しいゴールデン イメージから同じホスト プールに新しい VM をデプロイします。 このアプローチは危険です。 1 つのホスト プール内の VM の数を 2 倍にすると、リソース制約または API 調整の制限に達する可能性があります。
Recommendations
  • 初期ホスト プールをロールバックに使用できるようにする場合は、VM を更新するときに 2 つ目のホスト プールをデプロイします。
  • ホスト プールあたりの VM 数を 2 倍にできる場合は、新しいゴールデン イメージからホスト プールに新しい VM をデプロイして VM を更新します。

イメージの管理

影響: オペレーショナル エクセレンス、セキュリティ

Azure VM Image Builder を使用して、ゴールデン イメージのビルド、更新、システム準備、配布プロセスを自動化できます。 サポートされている基本イメージと共にAzure Marketplaceを使用すると、最新の更新プログラムを確実に入手できます。

VM を更新するためのゴールデン イメージ ビルド プロセスの一環として、スクリプトを使用して、使用するアプリケーションをインストールできます。 PowerShell は、推奨されるスクリプト作成方法です。 アプリケーションまたはデータをロールバックできる必要がある場合は、バージョン管理システムとリポジトリを使用してスクリプトとインストーラーを管理します。 Azure Key Vault は、自動デプロイ プロセスの一環として必要なシークレットを格納するための推奨されるアプローチです。

Recommendations
  • VM Image Builder を使用して、ゴールデン イメージを更新するプロセスを自動化します。
  • Azure Marketplaceから最新バージョンのイメージを取得します。
  • PowerShell スクリプトを使用してアプリケーションをインストールします。
  • バージョン管理システムを使用してデプロイ スクリプトを管理します。
  • Key Vaultを使用して、自動デプロイ プロセスで使用されるシークレットを格納します。

サポートされているバージョンを最新の状態に保つ

影響: オペレーショナル エクセレンス

バージョン コンプライアンスは、任意の種類のプラットフォームを実行する場合に重要です。 次のリソースは、Azure Virtual Desktop コンポーネントに関する最新の情報を提供します。

Recommendations
  • Azure Virtual Desktop コンポーネントの開発に関するリリース ノートやその他の記事を定期的に確認します。
  • 利用可能になったときに更新プログラムをインストールします。

次の手順

運用手順を確認したので、信頼性のために Azure Virtual Desktop コンポーネントを設計する方法を参照してください。

評価ツールを使用して、設計の選択を評価します。