Considerações de rede e conectividade para cargas de trabalho da Área de Trabalho Virtual do Azure

Este artigo discute a área de design de rede e conectividade de uma carga de trabalho da Área de Trabalho Virtual do Azure. É essencial projetar e implementar recursos de rede do Azure para sua zona de destino da Área de Trabalho Virtual do Azure. Como base, este artigo usa vários princípios e recomendações de arquitetura de zona de destino de escala empresarial do Azure Well-Architected Framework. Ao criar essas diretrizes, este artigo mostra como gerenciar a topologia de rede e a conectividade em escala.

Importante

Este artigo faz parte da série de cargas de trabalho da Área de Trabalho virtual do Azure Well-Architected Framework . Se você não estiver familiarizado com essa série, recomendamos que você comece com O que é uma carga de trabalho da Área de Trabalho Virtual do Azure?.

Latência do cliente

Impacto: Eficiência de desempenho

A latência entre usuários finais e hosts de sessão é um aspecto fundamental que afeta a experiência do usuário da Área de Trabalho Virtual do Azure. Você pode usar a ferramenta Avaliador de Experiência da Área de Trabalho Virtual do Azure para ajudar a estimar os RTTs (tempos de ida e volta da conexão). Especificamente, essa ferramenta estima RTTs de locais de usuário por meio do serviço da Área de Trabalho Virtual do Azure para cada região do Azure na qual você implanta VMs (máquinas virtuais).

Para avaliar a qualidade da experiência do usuário final:

• Teste latências de ponta a ponta em ambientes de desenvolvimento, teste e prova de conceito. Esse teste deve levar em conta a experiência real dos usuários. Ele deve considerar fatores como condições de rede, dispositivos de usuário final e a configuração das VMs implantadas.
• Tenha em mente que a latência é apenas um aspecto da conectividade com protocolos remotos. A largura de banda e a carga de trabalho do usuário também afetam sua experiência de usuário final.

Recomendações

• Use o Avaliador de Experiência da Área de Trabalho Virtual do Azure para coletar valores estimados de latência.
• Teste latências de suas redes virtuais do Azure para seus sistemas locais.
• Use um túnel dividido baseado no UDP (User Datagram Protocol) para clientes que usam uma conexão VPN ponto a site (P2S).
• Use o Shortpath rdp (Protocolo de Área de Trabalho Remota) com uma rede gerenciada para clientes locais que usam uma VPN ou o Azure ExpressRoute.

Conectividade local (rede híbrida)

Impacto: eficiência de desempenho, excelência operacional

Algumas organizações usam modelos híbridos que incluem recursos locais e de nuvem. Em muitos casos híbridos, os fluxos de trabalho do usuário final executados na Área de Trabalho Virtual do Azure precisam acessar recursos locais, como serviços compartilhados ou de plataforma, dados ou aplicativos.

Ao implementar a rede híbrida, examine as melhores práticas e recomendações no artigo topologia e conectividade de rede Cloud Adoption Framework.

É importante alinhar-se ao modelo de dimensionamento da Área de Trabalho Virtual do Azure descrito em Integrar uma carga de trabalho da Área de Trabalho Virtual do Azure às zonas de destino do Azure. Para seguir este modelo:

• Avalie os requisitos de latência e largura de banda dos fluxos de trabalho da Área de Trabalho Virtual do Azure que se conectam a sistemas locais. Essas informações são cruciais quando você projeta sua arquitetura de rede híbrida.
• Verifique se não há endereços IP sobrepostos entre suas sub-redes da Área de Trabalho Virtual do Azure e suas redes locais. Recomendamos que você atribua a tarefa de endereçamento IP aos arquitetos de rede que são os proprietários de sua assinatura de conectividade.
• Forneça a cada zona de destino da Área de Trabalho Virtual do Azure sua própria rede virtual e configuração de sub-rede.
• Dimensione as sub-redes adequadamente considerando o crescimento potencial quando você determina a quantidade de espaço de endereço IP necessário.
• Use a notação CIDR (roteamento entre domínios) sem classe ip inteligente para evitar o perda de espaço de endereço IP.

Recomendações

• Examine as práticas recomendadas para conectar redes virtuais do Azure a sistemas locais.
• Teste latências de suas redes virtuais do Azure para seus sistemas locais.
• Verifique se nenhum endereço IP sobreposto é usado na zona de destino da Área de Trabalho Virtual do Azure.
• Forneça a cada zona de destino da Área de Trabalho Virtual do Azure sua própria rede virtual e configuração de sub-rede.
• Considere o crescimento potencial ao dimensionar as sub-redes da Área de Trabalho Virtual do Azure.

Conectividade de várias regiões

Impacto: Eficiência de Desempenho, Otimização de Custos

Para que sua implantação de várias regiões da Área de Trabalho Virtual do Azure ofereça a melhor experiência possível aos usuários finais, seu design precisa levar em consideração os seguintes fatores:

• Serviços de plataforma, como identidade, resolução de nomes, conectividade híbrida e serviços de armazenamento. A conectividade dos hosts de sessão da Área de Trabalho Virtual do Azure com esses serviços é fundamental para que o serviço seja funcional. Como resultado, o design ideal visa reduzir a latência das sub-redes da zona de destino da Área de Trabalho Virtual do Azure para esses serviços. Você pode atingir essa meta replicando serviços para cada região ou disponibilizando-os por meio da conexão com a menor latência possível.
• Latência do usuário final. Quando você seleciona locais a serem usados para uma implantação de várias regiões da Área de Trabalho Virtual do Azure, é importante considerar a latência que os usuários experimentam quando se conectam ao serviço. Recomendamos que você colete dados de latência de sua população de usuários finais usando o Avaliador de Experiência da Área de Trabalho Virtual do Azure ao selecionar regiões do Azure para implantar seus hosts de sessão.

Considere também os seguintes fatores:

• Dependências de aplicativo entre regiões.
• Disponibilidade de SKU de VM.
• Custos de rede associados à saída da Internet, ao tráfego entre regiões e ao tráfego híbrido (local) exigido pelo aplicativo ou às dependências de carga de trabalho.
• A carga extra que o recurso de cache de nuvem FSLogix coloca na rede. Esse fator só será relevante se você usar esse recurso para replicar dados de perfil de usuário entre regiões diferentes. Considere também o custo do aumento do tráfego de rede e do armazenamento que esse recurso usa.

Se possível, use SKUs de VM que oferecem rede acelerada. Em cargas de trabalho que usam alta largura de banda, a rede acelerada pode reduzir a utilização e a latência da CPU.

A largura de banda disponível da rede afeta drasticamente a qualidade das sessões remotas. Como resultado, é uma boa prática avaliar os requisitos de largura de banda de rede para os usuários garantirem que a largura de banda suficiente esteja disponível para dependências locais.

Recomendações

• Replique a plataforma e os serviços compartilhados para cada região sempre que suas políticas internas permitirem.
• Use SKUs de VM que oferecem rede acelerada, se possível.
• Inclua estimativas de latência do usuário final em seu processo de seleção de região.
• Leve em conta os tipos de carga de trabalho ao estimar os requisitos de largura de banda e monitorar conexões de usuário real.

Segurança de rede

Impacto: Segurança, Otimização de Custos, Excelência Operacional

Tradicionalmente, a segurança de rede tem sido o eixo dos esforços de segurança empresarial. Mas a computação em nuvem aumentou a exigência de que os perímetros de rede sejam mais porosos, e muitos invasores dominaram a arte dos ataques aos elementos do sistema de identidade. Os pontos a seguir fornecem uma visão geral dos requisitos mínimos de firewall para implantar a Área de Trabalho Virtual do Azure. Esta seção também fornece recomendações para se conectar a um firewall e alcançar os aplicativos que exigem esse serviço.

• Os controles de rede tradicionais baseados em uma abordagem de intranet confiável não fornecem efetivamente garantias de segurança para aplicativos de nuvem.
• A integração de logs de dispositivos de rede e o tráfego de rede bruto fornece visibilidade sobre possíveis ameaças à segurança.
• A maioria das organizações acaba adicionando mais recursos às suas redes do que planejado inicialmente. Como resultado, os esquemas de endereço IP e sub-rede precisam ser refatorados para acomodar os recursos extras. Esse processo é trabalhoso. Há um valor de segurança limitado na criação de um grande número de sub-redes pequenas e, em seguida, na tentativa de mapear controles de acesso à rede, como grupos de segurança, para cada uma delas.

Para obter informações gerais sobre como proteger ativos colocando controles no tráfego de rede, consulte Recomendações para rede e conectividade.

Recomendações

• Entenda as configurações necessárias para usar Firewall do Azure em sua implantação. Para obter mais informações, confira Usar o Firewall do Azure para proteger implantações da Área de Trabalho Virtual do Azure.
• Crie grupos de segurança de rede e grupos de segurança de aplicativos para segmentar o tráfego da Área de Trabalho Virtual do Azure. Essa prática ajuda você a isolar suas sub-redes controlando seus fluxos de tráfego.
• Use marcas de serviço em vez de endereços IP específicos para serviços do Azure. Como os endereços mudam, essa abordagem minimiza a complexidade da atualização frequente das regras de segurança de rede.
• Familiarize-se com as URLs necessárias para a Área de Trabalho Virtual do Azure.
• Use uma tabela de rotas para permitir que o tráfego da Área de Trabalho Virtual do Azure ignore todas as regras de túnel forçado que você usa para rotear o tráfego para um firewall ou NVA (dispositivo virtual de rede). Caso contrário, o túnel forçado pode afetar o desempenho e a confiabilidade da conectividade de seus clientes.
• Use pontos de extremidade privados para ajudar a proteger soluções de PaaS (plataforma como serviço), como Arquivos do Azure e Key Vault do Azure. Mas considere o custo de usar pontos de extremidade privados.
• Ajuste as opções de configuração para Link Privado do Azure. Ao usar esse serviço com a Área de Trabalho Virtual do Azure, você pode desabilitar os pontos de extremidade públicos para componentes do painel de controle da Área de Trabalho Virtual do Azure e usar pontos de extremidade privados para evitar o uso de endereços IP públicos.
• Implemente políticas de firewall estritas se você usar Active Directory Domain Services (AD DS). Baseie essas políticas no tráfego necessário em seu domínio.
• Considere usar Firewall do Azure ou filtragem da Web NVA para ajudar a proteger o acesso dos usuários finais à Internet de hosts de sessão da Área de Trabalho Virtual do Azure.

Pontos de extremidade privados (Link Privado)

Impacto: Segurança

Por padrão, as conexões com recursos da Área de Trabalho Virtual do Azure são estabelecidas por meio de um ponto de extremidade publicamente acessível. Em alguns cenários, o tráfego precisa usar conexões privadas. Esses cenários podem usar Link Privado para se conectar de forma privada aos recursos remotos da Área de Trabalho Virtual do Azure. Para obter mais informações, confira Link Privado do Azure com a Área de Trabalho Virtual do Azure. Quando você cria um ponto de extremidade privado, o tráfego entre sua rede virtual e o serviço permanece na rede da Microsoft. Seu serviço não é exposto à Internet pública.

Você pode usar pontos de extremidade privados da Área de Trabalho Virtual do Azure para dar suporte aos seguintes cenários:

• Seus clientes ou usuários finais e suas VMs de host de sessão usam rotas privadas.
• Seus clientes ou usuários finais usam rotas públicas enquanto suas VMs de host de sessão usam rotas privadas.

Os hosts de sessão da Área de Trabalho Virtual do Azure têm os mesmos requisitos de resolução de nome que qualquer outra carga de trabalho de IaaS (infraestrutura como serviço). Como resultado, os hosts da sessão exigem conectividade com os serviços de resolução de nomes configurados para resolve endereços IP de ponto de extremidade privado. Consequentemente, ao usar pontos de extremidade privados, você precisa definir configurações de DNS específicas. Para obter informações detalhadas, consulte Configuração de DNS do ponto de extremidade privado do Azure.

Link Privado também está disponível para outros serviços do Azure que funcionam em conjunto com a Área de Trabalho Virtual do Azure, como Arquivos do Azure e Key Vault. Recomendamos que você também implemente pontos de extremidade privados para esses serviços para manter o tráfego privado.

Recomendações

• Entenda como Link Privado funciona com a Área de Trabalho Virtual do Azure. Para obter mais informações, confira Link Privado do Azure com a Área de Trabalho Virtual do Azure.
• Entenda as configurações de DNS necessárias para pontos de extremidade privados do Azure. Para obter mais informações, confira Configuração do DNS do ponto de extremidade privado do Azure.

Shortpath RDP

Impacto: Eficiência de Desempenho, Otimização de Custos

O Shortpath RDP é um recurso da Área de Trabalho Virtual do Azure que está disponível para redes gerenciadas e não gerenciadas.

• Para redes gerenciadas, o Shortpath RDP estabelece uma conexão direta entre um cliente de área de trabalho remota e um host de sessão. O transporte é baseado em UDP. Ao remover pontos de retransmissão extras, o Shortpath RDP reduz o tempo de ida e volta, o que melhora a experiência do usuário em aplicativos sensíveis à latência e métodos de entrada. Para dar suporte ao Shortpath RDP, um cliente da Área de Trabalho Virtual do Azure precisa de uma linha de visão direta para o host da sessão. O cliente também precisa instalar o cliente da Área de Trabalho do Windows e executar Windows 11 ou Windows 10.
• Para redes não gerenciadas, dois tipos de conexão são possíveis:
  • A conectividade direta é estabelecida entre o cliente e o host da sessão. A passagem simples sob a conversão de endereços de rede (STUN) e o ICE (estabelecimento de conectividade interativa) são usadas para estabelecer a conexão. Essa configuração aprimora a confiabilidade do transporte para a Área de Trabalho Virtual do Azure. Para obter mais informações, consulte Como funciona o Shortpath RDP.
  • Uma conexão UDP indireta é estabelecida. Ele supera as limitações de NAT (conversão de endereços de rede) usando o protocolo TURN (Traversal Using Relay NAT) com uma retransmissão entre o cliente e o host da sessão.

Com o transporte baseado no protocolo TCP, o tráfego de saída de uma VM para um cliente RDP flui por meio de um gateway da Área de Trabalho Virtual do Azure. Com o Shortpath RDP, o tráfego de saída flui diretamente entre o host da sessão e o cliente RDP pela Internet. Essa configuração ajuda a eliminar um salto e melhorar a latência e a experiência do usuário final.

Recomendações

• Use o Shortpath RDP para ajudar a melhorar a latência e a experiência do usuário final.
• Esteja ciente da disponibilidade de modelos de conexão shortpath RDP.
• Esteja ciente dos encargos do Shortpath RDP.

Próximas etapas

Agora que você examinou a rede e a conectividade na Área de Trabalho Virtual do Azure, investigue as práticas recomendadas para monitorar sua infraestrutura e carga de trabalho.

Monitoring

Use a ferramenta de avaliação para avaliar suas opções de design.

Avaliação