Integrar uma carga de trabalho da Área de Trabalho Virtual do Azure às zonas de destino do Azure
A migração de áreas de trabalho do usuário final de uma organização para a nuvem é um cenário comum em migrações na nuvem. Isso ajuda a melhorar a produtividade dos funcionários e a acelerar a migração de várias cargas de trabalho para dar suporte à experiência do usuário da organização. Cada organização gerencia cargas de trabalho e opera seu ambiente de nuvem exclusivamente. Os modelos operacionais de nuvem comuns são descentralizados, centralizados, empresariais e distribuídos.
A diferença mais importante entre os vários modelos é o nível de propriedade. No modelo descentralizado, os proprietários de carga de trabalho têm autonomia sem qualquer supervisão central de TI para governança. Por exemplo, eles gerenciam seus próprios requisitos de rede, monitoramento e identidade. Na outra extremidade do espectro está o modelo centralizado, em que os proprietários da carga de trabalho seguem os requisitos de governança definidos pelas equipes de TI centrais.
Para obter uma discussão detalhada sobre os modelos, consulte Examinar e comparar modelos operacionais comuns de nuvem.
Como proprietário de uma carga de trabalho, você deve entender o modelo operacional que sua organização usa. Essa escolha influencia as decisões técnicas pelas quais você é responsável e os requisitos técnicos que você impõe para suas equipes centrais.
Para aproveitar ao máximo os recursos e recursos da Área de Trabalho Virtual do Azure, você deve aproveitar as práticas recomendadas que se aplicam às organizações. A plataforma fornece adaptabilidade e flexibilidade, o que ajuda seu ambiente da Área de Trabalho Virtual do Azure a acomodar o crescimento futuro.
Importante
Este artigo faz parte da série de cargas de trabalho da Área de Trabalho virtual do Azure Well-Architected Framework . Se você não estiver familiarizado com essa série, recomendamos que você comece com O que é uma carga de trabalho da Área de Trabalho Virtual do Azure?.
Zonas de destino do Azure
Uma zona de destino do Azure é uma arquitetura conceitual que ilustra o volume de nuvem geral de uma organização. Ele tem várias assinaturas, cada uma com uma finalidade exclusiva. As equipes centrais possuem algumas das assinaturas, como zonas de destino da plataforma do Azure.
Para se familiarizar com o conceito de zonas de destino do Azure, consulte O que é uma zona de destino do Azure?.
Importante
A Área de Trabalho Virtual do Azure tem considerações e requisitos específicos, especialmente os relacionados a integrações com os serviços do Azure. O acelerador de zona de destino da Área de Trabalho Virtual do Azure e as diretrizes do Azure Well-Architected Framework para Área de Trabalho Virtual do Azure visam realçar essas personalizações necessárias. Esses recursos também incorporam perspectivas Cloud Adoption Framework para uma abordagem holística para a preparação da nuvem.
Baixe um Arquivo Visio dessa arquitetura.
Zonas de destino da plataforma
A Área de Trabalho Virtual do Azure precisa interagir com vários serviços externos. As equipes centrais podem ter alguns desses serviços como parte das zonas de destino da plataforma. Exemplos desses serviços incluem serviços de identidade, conectividade de rede e serviços de segurança. A interação com esses serviços externos é uma preocupação fundamental. Para ser totalmente funcional, uma carga de trabalho da Área de Trabalho Virtual do Azure precisa da equipe de plataforma e da equipe de carga de trabalho para compartilhar a mesma mentalidade de responsabilidade.
Para obter uma demonstração das zonas de destino da plataforma necessárias para a execução de uma carga de trabalho da Área de Trabalho Virtual do Azure, confira Revisão da zona de destino do Azure para a Área de Trabalho Virtual do Microsoft Azure. Este artigo descreve uma base de plataforma sólida que acelera a migração de um ambiente local para uma nuvem privada da Área de Trabalho Virtual do Azure.
Zonas de destino de aplicativos
Há uma assinatura separada, que também é conhecida como uma zona de destino de aplicativo do Azure, destinada aos proprietários da carga de trabalho. Essa zona de destino do aplicativo é onde você implanta sua carga de trabalho da Área de Trabalho Virtual do Azure. Ele tem acesso a zonas de destino de plataforma que fornecem a infraestrutura básica que você precisa para executar sua carga de trabalho. Exemplos incluem rede, gerenciamento de acesso de identidade, política e infraestrutura de monitoramento.
As diretrizes sobre as zonas de destino do aplicativo se aplicam às cargas de trabalho da Área de Trabalho Virtual do Azure. Para obter mais informações, consulte Zonas de destino da plataforma versus zonas de destino do aplicativo. Essas diretrizes incluem recomendações para controlar e gerenciar com eficiência sua carga de trabalho.
Para obter uma demonstração de uma zona de destino de aplicativo para uma carga de trabalho da Área de Trabalho Virtual do Azure, consulte a arquitetura de referência de linha de base em Arquiteturas de exemplo para Área de Trabalho Virtual do Azure.
Integração da área de design
Esta seção destaca a base sólida que a plataforma fornece. A discussão também aborda as áreas de responsabilidade compartilhada entre a equipe da plataforma e a equipe de carga de trabalho.
Responsabilidades da plataforma
A equipe de plataforma da Área de Trabalho Virtual do Azure garante que a infraestrutura esteja pronta para a compilação das equipes de carga de trabalho. Algumas tarefas comuns incluem:
- Gerenciando a capacidade definindo assinatura e cotas regionais suficientes para implantação.
- Proteger e otimizar a conectividade com sistemas locais, o Azure e a Internet. Essa tarefa inclui roteamento, configuração de entradas de firewall e gerenciamento de dispositivos de rede centralizados.
- Gerenciando integrações do Azure, como integrações com o Armazenamento do Azure, o Azure Monitor, o Log Analytics, o Microsoft Entra ID e o Azure Key Vault.
Responsabilidades compartilhadas
A equipe de carga de trabalho e a equipe de plataforma têm responsabilidades distintas. Mas ambas as equipes geralmente trabalham em conjunto para garantir a disponibilidade e a capacidade de recuperação da carga de trabalho. As equipes coordenam os esforços para o sucesso geral das cargas de trabalho executadas na Área de Trabalho Virtual do Azure. A colaboração eficaz entre a plataforma e as equipes de aplicativos é vital para implantar com êxito a Área de Trabalho Virtual do Azure.
As áreas de design das zonas de destino da plataforma e do aplicativo são fortemente acopladas.
- Para obter uma descrição das alterações nos recursos da plataforma necessárias para uma carga de trabalho, confira Revisão da zona de destino da Área de Trabalho Virtual do Azure no Azure.
- Para obter uma descrição da especificação técnica de uma carga de trabalho, consulte Quais são as principais áreas de design?.
Área de design – Registro empresarial
A equipe da plataforma de nuvem deve entender o registro empresarial existente ou Microsoft Entra decisões de locatário.
Área de design – IAM (gerenciamento de identidade e acesso)
A identidade é essencial para a funcionalidade da Área de Trabalho Virtual do Azure, pois os usuários devem ser autenticados para usar o serviço. A equipe de plataforma é responsável por criar uma solução de identidade, que pode envolver Microsoft Entra ID, Microsoft Entra Domain Services ou Active Directory Domain Services (AD DS). A equipe de plataforma também garante que o ambiente da Área de Trabalho Virtual do Azure mantenha uma linha de visão para os serviços de identidade.
| Responsabilidades da equipe de plataforma | Responsabilidades da equipe de carga de trabalho |
|---|---|
| – Projetar serviços de identidade para Microsoft Entra ID, Domain Services, AD DS e Microsoft Entra Connect - Usando o RBAC (controle de acesso baseado em função) para implementar a separação de tarefas – Configurando políticas de acesso condicional Microsoft Entra – Gerenciamento de unidades organizacionais e políticas de grupo do Active Directory |
– Usar atribuições rbac para controlar o acesso a sessões e infraestrutura da Área de Trabalho Virtual do Azure para fins de gerenciamento |
Área de design – Rede e conectividade
A conectividade dos serviços de plataforma é um conceito fundamental de rede. A equipe de plataforma é responsável por garantir que o ambiente da Área de Trabalho Virtual do Azure tenha conectividade adequada com:
- Serviços de identidade para autenticação.
- O DNS (Sistema de Nomes de Domínio) para resolução adequada.
- Outras cargas de trabalho em um ambiente híbrido.
As responsabilidades da equipe de plataforma incluem:
- Configurando pontos de extremidade privados e zonas DNS privadas.
- Garantir que as considerações sobre largura de banda, latência e qualidade do serviço sejam abordadas.
- Implementando políticas de segurança de rede.
- Garantindo o acesso aos pontos de extremidade da Internet necessários.
- Planejamento para continuidade dos negócios e recuperação de desastres.
Área de design – Organização de recursos
As responsabilidades da equipe de plataforma incluem estruturar grupos de gerenciamento e grupos de recursos para simplificar o gerenciamento de acesso. Essa responsabilidade inclui definir padrões de nomenclatura e marcação. A equipe de carga de trabalho garante a conformidade com esses padrões.
Área de design – Gerenciamento
| Responsabilidades da equipe de plataforma | Responsabilidades da equipe de carga de trabalho |
|---|---|
| – Planejando e desenvolvendo uma estratégia de monitoramento – Usar Azure Policy para impor a conformidade de escala empresarial – Desenvolvendo uma estratégia de gerenciamento de custos |
– Configurando a implantação da Área de Trabalho Virtual do Azure para monitoramento – Gerenciando o acesso do usuário – Monitorar a Área de Trabalho Virtual do Azure e colaborar com a equipe de plataforma nas necessidades de monitoramento - Definindo orçamentos e alertas – Gerenciando a experiência e o suporte do usuário – Garantir a conformidade com as diretrizes de plataforma e monitoramento |
Área de design – Continuidade dos negócios e recuperação de desastres
| Responsabilidades da equipe de plataforma | Responsabilidades da equipe de carga de trabalho |
|---|---|
| – Projetar uma estratégia de continuidade dos negócios e recuperação de desastres, incluindo o estabelecimento de metas de RPO (objetivo de ponto de recuperação) e RTO (objetivo de tempo de recuperação) - Coordenando com a equipe de carga de trabalho para garantir a continuidade dos negócios e o alinhamento da recuperação de desastres |
– Configurando a infraestrutura e os componentes da Área de Trabalho Virtual do Azure para se alinhar com a estratégia de continuidade dos negócios e recuperação de desastres – Implementando procedimentos de recuperação de desastre – Treinamento de usuários sobre o uso apropriado da Área de Trabalho Virtual do Azure |
Área de design – Segurança e governança
| Responsabilidades da equipe de plataforma | Responsabilidades da equipe de carga de trabalho |
|---|---|
| - Noções básicas sobre o que a organização precisa para atender aos requisitos regulatórios, como a HIPAA (Health Insurance Portability and Accountability Act), os padrões do NIST (National Institute of Standards and Technology) e os padrões PCI (Payment Card Industry) e o uso de Microsoft Defender for Cloud para aplicar padrões de conformidade – Garantir que os recursos do plano de gerenciamento sejam implantados em geografias de uma maneira que atenda aos requisitos de residência de dados – Usando Microsoft Entra políticas de Acesso Condicional e autenticação multifator para ajudar a proteger o acesso do usuário – Garantir que uma ferramenta de SIEM (gerenciamento de eventos e informações de segurança), como o Microsoft Sentinel, seja usada para coletar e monitorar dados de atividades de usuário e administrador – Habilitar avaliações de Gerenciamento de Ameaças e Vulnerabilidades, por exemplo, integrando-se ao Defender para Nuvem ou a uma solução de gerenciamento de vulnerabilidades de terceiros – Configurar um firewall e usar marcas de serviço e grupos de segurança de aplicativos para definir regras de acesso à rede - Criando uma unidade organizacional dedicada no Active Directory para hosts de sessão da Área de Trabalho Virtual do Azure – Usando Azure Policy configurações de convidado para auditar e proteger sistemas operacionais de host de sessão – Habilitando a criptografia de disco – Monitoramento do tráfego de rede e implementação da proteção contra DDoS (negação de serviço distribuído) |
– Usando o princípio de acesso menos privilegiado e o RBAC do Azure para estabelecer funções administrativas, de operações e de engenharia – Aplicar uma política de grupo dedicada a unidades organizacionais da Área de Trabalho Virtual do Azure – Gerenciando os patches e a proteção de hosts de sessão – Monitoramento e gerenciamento de atividades do usuário |
Área de design – Considerações sobre automação de plataforma e DevOps
| Responsabilidades da equipe de plataforma | Responsabilidades da equipe de carga de trabalho |
|---|---|
| – Desenvolvendo estratégias de IaC (infraestrutura como código) e DevOps | - Criando imagens – Manutenção de um pipeline de build de imagem – Atualizando pools de hosts – Instalação de aplicativos – Gerenciando implantações de linguagem |
Área de design – Procedimentos operacionais
Os procedimentos operacionais ajudam a garantir a segurança dos aplicativos executados na Área de Trabalho Virtual do Azure. Os procedimentos operacionais também ajudam na área de controle de acesso.
| Responsabilidades da equipe de plataforma | Responsabilidades da equipe de carga de trabalho |
|---|---|
| Controlando o acesso à plataforma definindo funções de usuário e permissões no ambiente da Área de Trabalho Virtual do Azure | – Analisando o desempenho e a latência das implantações da Área de Trabalho Virtual do Azure para obter insights sobre possíveis áreas de melhoria – Atualizando o sistema operacional, os aplicativos e o FSLogix – Gerenciamento de chaves – Gerenciamento do FSLogix e análise de dados para determinar quando fazer ajustes |
Próximas etapas
Use a ferramenta de avaliação para avaliar suas opções de design.