Princípios de design da Área de Trabalho Virtual do Azure
As diretrizes sobre cargas de trabalho da Área de Trabalho Virtual do Azure baseiam-se no Azure Well-Architected Framework e seus cinco pilares de excelência arquitetônica. A tabela a seguir lista cada pilar e um resumo de suas metas.
| pilar Well-Architected Framework | Resumo |
|---|---|
| Confiabilidade | Um ambiente de área de trabalho virtual exige um alto nível de confiabilidade de serviço para ajudar a garantir uma experiência de usuário consistente e ininterrupta. É essencial estabelecer uma infraestrutura robusta que permita acesso confiável e desempenho ideal do ambiente de área de trabalho virtual. Avalie as implantações de área de trabalho virtual, especialmente aquelas que se integram aos serviços nativos do Azure. Especificamente, avalie os serviços nativos de computação, rede e armazenamento que sua implantação usa. Avalie também produtos de terceiros e soluções de parceiros que você usa com a Área de Trabalho Virtual do Azure. Esses componentes afetam a confiabilidade, pois fazem parte do design da zona de destino. Essa abordagem ajuda a garantir uma experiência de usuário perfeita e confiável. |
| Segurança | O pilar de segurança se concentra na implementação de estratégias para proteger sua carga de trabalho contra ameaças e vulnerabilidades. A segurança também inclui considerações para proteção contra risco interno e perda de dados. Na Área de Trabalho Virtual do Azure, é fundamental avaliar seus tópicos de segurança de ponta a ponta. Esses tópicos variam de IAM (gerenciamento de identidade e acesso), sistemas operacionais, aplicativos, rede e plataformas do Azure a dados. Recomendamos que você revise ou desenvolva estratégias para incorporar uma variedade de camadas de segurança em seu acervo do Azure. Essas estratégias devem abranger suas áreas de trabalho e os aplicativos apresentados na Área de Trabalho Virtual do Azure. |
| Otimização de custos | Ao otimizar seu ambiente de área de trabalho virtual para custo, você atende às expectativas de desempenho definidas pelos requisitos de negócios. Você também reduz o TCO (custo total de propriedade) minimizando o excesso de gastos. Você pode reduzir o TCO aproveitando o poder da infraestrutura de hiperescala da Área de Trabalho Virtual do Azure. A otimização dos custos para a Área de Trabalho Virtual do Azure envolve várias etapas. Exemplos incluem escolher as VMs (máquinas virtuais) de tamanho certo, usar instâncias reservadas ou planos de economia, configurar planos de dimensionamento e usar o Gerenciamento de Custos da Microsoft para monitorar e otimizar os gastos. É importante avaliar continuamente suas implantações da Área de Trabalho Virtual do Azure para acompanhar seu uso e identificar oportunidades para otimizar suas cargas de trabalho. |
| Eficiência de desempenho | A Eficiência de Desempenho se concentra na capacidade do seu ambiente de atender ou exceder os requisitos de negócios definidos para sua área de trabalho virtual e aplicativos. No ambiente da Área de Trabalho Virtual do Azure, você pode atender ao desempenho necessário com eficiência ideal, garantindo que você selecione famílias de computação ideais e tamanhos e tipos de disco. Se você usar perfis FSLogix, também precisará selecionar o armazenamento ideal. Em geral, é fundamental avaliar e testar uma série de configurações de VM para entender como seus usuários e cargas de trabalho usam os recursos do Azure que compõem os hosts de sessão na Área de Trabalho Virtual do Azure. Após a implantação, recomendamos que você monitore continuamente o consumo de seus recursos de produção para garantir que você atenda ou exceda o desempenho de destino desejado. |
| Excelência operacional | Aplique os princípios do DevOps em sua equipe de carga de trabalho da área de trabalho da área de trabalho virtual do Azure. Incentive a adoção de uma mentalidade de DevOps, o desenvolvimento de padrões e a abordagem de execução durante a evolução. Com a Área de Trabalho Virtual do Azure, você pode estabelecer procedimentos definidos para implantar, gerenciar e manter suas cargas de trabalho com facilidade. Esses procedimentos podem envolver o uso de modelos de Resource Manager do Azure, Bicep, Terraform e outras formas de IaC (infraestrutura como código). Para personalizar hosts de sessão, você pode automatizar o build de imagem usando ferramentas como o recurso de modelo de imagem personalizada com o Azure DevOps. Essas estratégias de DevOps e outras ajudam sua organização a estabelecer, manter e gerenciar seus ambientes de Área de Trabalho Virtual do Azure com eficiência. |
Importante
Este artigo faz parte da série de cargas de trabalho da Área de Trabalho virtual do Azure Well-Architected Framework . Se você não estiver familiarizado com essa série, recomendamos que você comece com O que é uma carga de trabalho da Área de Trabalho Virtual do Azure?.
Confiabilidade
A confiabilidade é um pilar fundamental em um ambiente da Área de Trabalho Virtual do Azure. As interrupções podem se materializar localmente e na nuvem. Como resultado, você precisa prestar atenção meticulosa aos componentes da área de trabalho virtual, que incluem serviços do Azure e sua infraestrutura local. Avalie os dados de usuário (perfis), aplicativos e requisitos de disponibilidade de computação da carga de trabalho para determinar sua estratégia de continuidade dos negócios e recuperação de desastres. Leve em conta os diferentes níveis de disponibilidade obtidos na Área de Trabalho Virtual do Azure com diferentes opções de implantação, como pools de host ativo-ativo ou ativo-passivo. Avalie também suas considerações de design de recuperação de desastre para ajudar a garantir failovers suaves durante interrupções.
- Resiliência refere-se à recuperação de falhas e à manutenção da funcionalidade.
- A disponibilidade garante o tempo de atividade ininterrupto. A alta disponibilidade minimiza o tempo de inatividade do aplicativo durante atividades críticas de manutenção. Ele também aprimora a recuperação de incidentes como falhas de VM, atualizações de back-end, tempos de inatividade estendidos e ataques de ransomware.
Alcançar a confiabilidade requer uma abordagem abrangente que abrange arquitetura, procedimentos operacionais, automação, monitoramento, testes regulares e validação.
- Definir SLAs (contratos de nível de serviço). Estabelecer SLAs bem definidos é central para promover a confiabilidade. Esses contratos especificam expectativas precisas para a disponibilidade e o desempenho de sessões e perfis de usuário. Ao fazer isso, eles estabelecem um parâmetro de comparação claro que você pode usar para avaliar a eficácia operacional do seu sistema.
- Desenvolva estratégias de dimensionamento eficazes. Com o dimensionamento vertical, você opta por uma SKU de VM que se alinha às necessidades de recursos das sessões do usuário. Você também considera aspectos como requisitos de CPU e memória. Com o dimensionamento horizontal, você adiciona instâncias de VM extras para acomodar demandas crescentes, mantendo a estabilidade do sistema.
- Design para alta disponibilidade. Esse processo envolve a integração de mecanismos de redundância e failover que ajudam a garantir operações ininterruptas. A alta disponibilidade minimiza possíveis interrupções e garante aos usuários uma experiência perfeita mesmo durante eventos inesperados.
- Implementar tolerância a falhas. A inclusão do armazenamento tolerante a falhas desempenha um papel crítico na proteção da integridade e da disponibilidade de perfis móveis e dados do usuário. Essa estratégia oferece uma camada de proteção contra perda de dados, ajudando a garantir que os dados essenciais do usuário permaneçam intactos e acessíveis durante falhas.
- Entenda os recursos de backup e restauração. Práticas de backup robustas ajudam a garantir que você mantenha a continuidade operacional diante das adversidades.
Segurança
Em um modelo de responsabilidade compartilhada:
- As organizações são as responsáveis principalmente pelo gerenciamento e operação de cargas de trabalho da Área de Trabalho Virtual do Azure.
- A Microsoft gerencia o plano de controle que dá suporte a uma carga de trabalho da Área de Trabalho Virtual do Azure.
Recomendamos que você avalie regularmente seus serviços e tecnologias para ajudar a garantir que sua postura de segurança se adapte aos cenários de ameaças em evolução. Quando você colabora com fornecedores para implementar medidas de segurança adequadas, é essencial estabelecer uma compreensão clara do modelo de responsabilidade compartilhada.
Você pode usar vários métodos para ajudar a proteger seu ambiente de área de trabalho virtual:
- Isolamento de rede. Use técnicas de isolamento de rede, como sub-redes e grupos de segurança de rede, para fortalecer as interações entre os serviços nativos do Azure. Essa compartimentalização aumenta a segurança geral.
- Gerenciamento de patch. Aplique regularmente patches e atualizações para reforçar a defesa contra vulnerabilidades que podem ser exploradas.
- Auditorias ambientais. Auditorias regulares do seu ambiente fornecem insights sobre possíveis lacunas de segurança. Essa prática facilita a identificação precoce e a retificação de vulnerabilidades.
- SIEM (gerenciamento de eventos e informações de segurança). Use uma solução SIEM como o Microsoft Sentinel. Essa ferramenta oferece monitoramento em tempo real de eventos de segurança, o que ajuda você a responder prontamente a possíveis ameaças.
- Criptografia de dados. Implementar mecanismos de criptografia para dados inativos e dados em trânsito. Essa prática ajuda a garantir a confidencialidade e a integridade dos dados, mesmo durante tentativas de acesso não autorizadas.
-
Gerenciamento de identidade e acesso.
- Autenticação multifator: fortaleça o processo de verificação de identidade impondo a autenticação multifator. Essa prática ajuda a impedir tentativas de acesso não autorizadas.
- Integração com Microsoft Entra ID: delegar sua identidade e gerenciamento de acesso para Microsoft Entra ID para controle de acesso simplificado.
- Princípio de privilégios mínimos: minimize o potencial de uso indevido aplicando o princípio de privilégios mínimos. Use esse princípio para restringir o acesso a recursos de acordo com funções que se concentram em métodos JEA (acesso just-enough) e JIT (acesso just-in-time).
- RBAC (controle de acesso baseado em função): promova o acesso controlado usando o RBAC do Azure para atribuir permissões baseadas em funções predefinidas.
Otimização de custos
A Área de Trabalho Virtual do Azure é uma modernização econômica dos Serviços de Área de Trabalho Remota (RDS). Determinados componentes são removidos da infraestrutura e fornecidos como serviços nativos para todas as regiões do Azure. A Área de Trabalho Virtual do Azure reduz os requisitos para CALs (licenças de acesso de cliente) do Windows Server e RDS oferecendo Windows 10 ou Windows 11 Enterprise áreas de trabalho remotas de várias sessões. Nessas áreas de trabalho, há suporte para o uso do licenciamento existente por usuário do Microsoft 365. Isso dá suporte a cargas de trabalho que só têm aplicativos com suporte em sistemas operacionais modernos.
Algumas considerações e métodos importantes para otimizar os custos da Área de Trabalho Virtual do Azure incluem:
Usando VMs econômicas. Escolher a VM de tamanho certo ajuda a garantir que você não pague por mais recursos do que precisa. Determine qual série de VMs melhor se ajusta ao consumo de recursos de VM da sua carga de trabalho. Encontre um equilíbrio apropriado entre desempenho e custo-benefício.
Instâncias reservadas ou planos de economia. O Azure oferece instâncias reservadas e planos de economia. Ao usar esses planos, você economiza dinheiro comprometendo-se com um período de um ou três anos para suas VMs. Essa estratégia fornece preços previsíveis e pode ajudá-lo a reduzir os custos ao longo do tempo.
O Gerenciamento de Custos trabalha com o Assistente do Azure para identificar oportunidades de economia para instâncias reservadas e planos de economia. Otimize suas cargas de trabalho da Área de Trabalho Virtual do Azure antes de se comprometer com instâncias reservadas ou planos de economia. Lembre-se também de como as instâncias reservadas e os planos de economia diferem em relação ao escopo e ao consumo compartilhado de planos e instâncias.
Marcas de serviço. Em vez de usar endereços IP específicos para serviços do Azure, você pode usar marcas de serviço. Como os endereços mudam, essa abordagem minimiza a complexidade da atualização frequente das regras de segurança de rede. Ao reduzir o esforço necessário para manter redes, as marcas de serviço ajudam a reduzir os custos gerais.
Planos de dimensionamento. Com a Área de Trabalho Virtual do Azure, você pode configurar planos de dimensionamento para suas VMs. Essa estratégia reduz os custos, ajudando a garantir que o número correto de hosts de sessão esteja em execução quando necessário.
Gerenciamento de Custos. Ao usar o Gerenciamento de Custos, você pode monitorar e otimizar seus gastos do Azure. Você pode usar essa ferramenta para identificar áreas em que você pode reduzir custos e otimizar sua implantação da Área de Trabalho Virtual do Azure. Especificamente, você pode criar orçamentos no Gerenciamento de Custos e pode definir alertas sobre esses orçamentos. Quando os gastos excedem seu orçamento, uma revisão é disparada para investigar por que os custos aumentaram além do nível definido.
Tenha em mente que os recursos de hardware do Azure se expandem com frequência. Como resultado, surgem oportunidades regularmente para que as cargas de trabalho otimizem ainda mais os custos, eliminem o desperdício e melhorem as taxas de desempenho e custo. As organizações acham benéfico revisitar e ajustar suas medidas de economia de custos periodicamente.
Eficiência de desempenho
Esse pilar se concentra na otimização de cargas de trabalho que executam seu ambiente da Área de Trabalho Virtual do Azure. Esse foco inclui muitos aspectos:
- Alocando o tamanho, a família e o número adequados de hosts de sessão
- Monitorando continuamente o desempenho e detectando anomalias usando ferramentas como Azure Monitor, Log Analytics, Application Insights e alertas
- Configurar um plano de dimensionamento adequado para que você tenha um número ideal de hosts de sessão disponíveis para os usuários
Considerar cada um desses aspectos ajuda você a criar um ambiente de Área de Trabalho Virtual do Azure que oferece uma experiência de usuário consistente e coesa.
Excelência operacional
Na Área de Trabalho Virtual do Azure, excelência operacional significa garantir a consistência, a repetibilidade e a estabilidade dos procedimentos operacionais nas fases de desenvolvimento, implantação e operação.
- Usando IaC para implantação repetível e consistente.
- Monitoramento adequado de recursos para manter a integridade do seu ambiente.
- Um pipeline de CI/CD (integração contínua/entrega contínua) adequado que ajuda você a alcançar:
- Recuperação de desastre oportuna.
- Teste de pré-produção.
- Replicação de recursos.
- Implementar a governança controlada por políticas do Azure para ajudar a garantir a segurança e a conformidade em propriedades técnicas corporativas.
- Criar um esquema de delegação rbac que implementa o acesso de privilégios mínimos usando funções internas da Área de Trabalho Virtual do Azure para simplificar o processo de atribuição e gerenciamento de permissões de acesso.
- Manter padrões de governança e conformidade para o pool de hosts.
- Documentação que abrange todos os pontos desta lista.
Essas etapas ajudam as equipes a colaborar de maneira eficiente e transparente.
Próximas etapas
Os princípios de design são incorporados em áreas de design técnico específicas. Cada área oferece diretrizes focadas que ajudam você a acessar rapidamente as informações necessárias para aumentar a produtividade em um período mínimo de tempo. Considere os títulos como ferramentas de navegação que orientam você na direção certa para rede, infraestrutura principal, entrega de aplicativos, monitoramento, segurança e procedimentos operacionais.
Comece examinando as considerações de design para entrega de aplicativos necessárias para dar suporte a uma carga de trabalho.