Compartilhar via

Considerações sobre o procedimento operacional para cargas de trabalho da Área de Trabalho Virtual do Azure

  • Artigo

Este artigo discute a área de design do procedimento operacional de uma carga de trabalho da Área de Trabalho Virtual do Azure. Ao executar o ambiente da Área de Trabalho Virtual do Azure da sua organização, você precisa estabelecer resultados de gerenciamento de operações adequados. Você precisa ter um plano de como gerenciar soluções de tecnologia, dar suporte à plataforma, garantir atualizações suaves e fornecer resiliência da plataforma.

Importante

Este artigo faz parte da série de cargas de trabalho da Área de Trabalho virtual do Azure Well-Architected Framework . Se você não estiver familiarizado com essa série, recomendamos que você comece com O que é uma carga de trabalho da Área de Trabalho Virtual do Azure?.

Responsabilidades compartilhadas

Impacto: Excelência Operacional, Eficiência de Desempenho, Segurança

Assim como acontece com outros serviços oferecidos pela Microsoft, há componentes da Área de Trabalho Virtual do Azure que a Microsoft gerencia e componentes que o cliente gerencia. O diagrama a seguir ilustra como várias áreas de responsabilidade são compartilhadas entre o cliente e a Microsoft.

Diagrama que lista componentes da Área de Trabalho Virtual do Azure. Caixas coloridas indicam quais áreas a Microsoft gerencia e quais áreas os clientes gerenciam.

Componentes que a Microsoft gerencia

A Microsoft gerencia os seguintes serviços de Área de Trabalho Virtual do Azure como parte do Azure:

  • Acesso à Web. Ao usar o serviço de acesso à Web na Área de Trabalho Virtual do Azure, você pode acessar áreas de trabalho virtuais e aplicativos remotos por meio de um navegador da Web compatível com HTML5, assim como faria com um computador local. Esse acesso está disponível em qualquer lugar e em qualquer dispositivo. Você pode ajudar a proteger o acesso à Web usando a autenticação multifator em Microsoft Entra ID.
  • Gateway. O serviço de gateway de conexão remota conecta usuários remotos a aplicativos e áreas de trabalho da Área de Trabalho Virtual do Azure de qualquer dispositivo conectado à Internet que possa executar um cliente da Área de Trabalho Virtual do Azure. O cliente se conecta a um gateway, que orquestra uma conexão de uma VM (máquina virtual) de volta para o mesmo gateway.
  • Agente de conexão. O serviço do agente de conexões gerencia as conexões do usuário com áreas de trabalho virtuais e aplicativos remotos. O agente de conexão fornece balanceamento de carga e reconexão a sessões existentes.
  • Diagnósticos. A área de trabalho remota diagnóstico é um agregador baseado em evento que marca cada ação de usuário ou administrador na implantação da Área de Trabalho Virtual do Azure como um êxito ou falha. Os administradores podem consultar a agregação de eventos para identificar componentes com falha.
  • Componentes de extensibilidade. A Área de Trabalho Virtual do Azure inclui vários componentes de extensibilidade. Você pode gerenciar a Área de Trabalho Virtual do Azure usando Windows PowerShell ou as APIs REST fornecidas, que também habilitam o suporte de ferramentas de terceiros.

Componentes que o cliente gerencia

Você gerencia os seguintes componentes das soluções da Área de Trabalho Virtual do Azure:

  • Rede Virtual do Azure. Em Rede Virtual, recursos do Azure, como VMs, podem se comunicar de forma privada entre si e com a Internet. Ao conectar pools de host da Área de Trabalho Virtual do Azure a um domínio do Active Directory, você pode definir uma topologia de rede para acessar áreas de trabalho virtuais e aplicativos virtuais da intranet ou da Internet, com base na política organizacional. Você pode conectar a Área de Trabalho Virtual do Azure a uma rede local usando uma VPN (rede virtual privada). Ou você pode usar o Azure ExpressRoute para estender a rede local para a nuvem do Azure por meio de uma conexão privada.
  • Microsoft Entra ID. A Área de Trabalho Virtual do Azure usa Microsoft Entra ID para gerenciamento de identidade e acesso. Microsoft Entra integração de ID aplica Microsoft Entra recursos de segurança de ID, como Acesso Condicional, autenticação multifator e grafo de segurança inteligente. Ele também ajuda a manter a compatibilidade do aplicativo em VMs ingressadas no domínio.
  • Opcionalmente, Active Directory Domain Services (AD DS). As VMs da Área de Trabalho Virtual do Azure devem ser ingressadas no domínio no AD DS ou Microsoft Entra Domain Services. O AD DS deve estar sincronizado com Microsoft Entra ID para associar usuários entre os dois serviços. Você pode usar Microsoft Entra Connect para associar o AD DS à ID de Microsoft Entra.
  • Hosts de sessão da Área de Trabalho Virtual do Azure. Hosts de sessão são VMs às quais os usuários se conectam para suas áreas de trabalho e aplicativos. Há suporte para várias versões do Windows e você pode criar imagens com seus aplicativos e personalizações. Você pode escolher tamanhos de VM, incluindo VMs habilitadas para GPU. Cada host da sessão tem um agente de host de Área de Trabalho Virtual do Azure, que registra a VM como parte do seu locatário ou workspace de Área de Trabalho Virtual do Azure. Cada pool de hosts pode ter um ou mais grupos de aplicativos, que são coleções de aplicativos remotos ou sessões de área de trabalho que você pode acessar. Para ver quais versões do Windows têm suporte, consulte Sistemas operacionais e licenças.
  • Workspaces da Área de Trabalho Virtual do Azure. O workspace da Área de Trabalho Virtual do Azure, ou locatário, é um constructo de gerenciamento para gerenciar e publicar recursos do pool de hosts.
Recomendações
  • Esteja ciente de suas responsabilidades no modelo de responsabilidade compartilhada.
  • Verifique se sua organização gerencia ativamente os componentes que se enquadram na responsabilidade do cliente. Os exemplos incluem sua topologia de rede, seus hosts de sessão e seu workspace.

Gerenciar o ambiente

Impacto: Excelência Operacional, Confiabilidade

Para gerenciar seu ambiente da Área de Trabalho Virtual do Azure, concentre-se nas seguintes áreas:

Recomendações
  • Implante os hosts de sessão em uma zona de disponibilidade.
  • Estabeleça uma linha de base de operações.
  • Use ferramentas de monitoramento, dashboards e alertas.

Reconhecimento de novos desenvolvimentos

Impacto: Excelência Operacional

É importante manter-se atualizado com as atualizações, recursos, aprimoramentos de recursos e correções de bugs mais recentes. Para atualizações mensais, consulte Novidades na Área de Trabalho Virtual do Azure?.

Recomendações

Monitorar limites de limite

Impacto: Excelência Operacional

À medida que a plataforma da Área de Trabalho Virtual do Azure cresce, você precisa estar atento a quais limites você está próximo de atingir. O gerenciamento bem-sucedido da plataforma e a prevenção proativa de interrupções de serviço para seus clientes exigem que você monitore cuidadosamente os limites dos componentes que você usa.

FSLogix

As limitações do FSLogix dependem da malha de armazenamento que você usa para armazenar arquivos VHD (disco rígido virtual) e VHD estendidos (VHDX) de perfil de usuário.

A tabela a seguir fornece exemplos de quantas operações de entrada/saída por segundo (IOPS) um perfil FSLogix requer para dar suporte a cada usuário da Área de Trabalho Virtual do Azure em vários cenários. Dados do usuário, aplicativos e a quantidade de atividade em cada perfil influenciam a quantidade necessária.

Recurso Requisito de IOPS por usuário Número de usuários Número de IOPS necessários
IOPS de estado estável 10 100 1,000
IOPS de entrada e saída 50 100 5\.000

Pools de hosts

Os seguintes fatores podem afetar o dimensionamento do pool de hosts:

  • O modelo do Azure limita o número de objetos que você pode criar e cada VM cria um determinado número de objetos. Como resultado, há um limite para o número de VMs que você pode criar sempre que executar o modelo. Para obter mais informações, consulte Há um limite de escala para pools de hosts criados no portal do Azure?.
  • Para vCPUs, há um limite no número que você pode criar por região, por assinatura e tipo de assinatura. Enterprise Agreement assinaturas têm um limite de 350 vCPUs por padrão. Para determinar o número de VMs que você pode criar por execução de modelo, divida o limite de vCPU pelo número de vCPUs que você tem por VM.

Limites de serviço

Todos os recursos usados na Área de Trabalho Virtual do Azure, como VMs, espaço de armazenamento e rede, estão sujeitos a restrições e limitações. Por exemplo, há um limite de serviço de 10.000 em objetos de host de sessão. Cruzar esses limites pode afetar a disponibilidade do serviço.

A infraestrutura da Área de Trabalho Virtual do Azure usa os seguintes componentes. Para obter os limites de serviço correspondentes, confira Limites de serviço da Área de Trabalho Virtual do Azure.

  • Grupo de aplicativos
  • Pool de host
  • RemoteApp
  • Atribuição de função
  • Host da sessão
  • Workspace

Expirações de token de VM

Na Área de Trabalho Virtual do Azure, as VMs são registradas em um pool de hosts e recebem um token. O agente da Área de Trabalho Virtual do Azure atualiza regularmente o token de uma VM quando a VM está ativa. Os tokens de registro são válidos por 90 dias.

Para impedir que os tokens expirem, a equipe da Área de Trabalho Virtual do Azure deve usar a automação para ativar regularmente cada VM. Por exemplo, uma solução automatizada pode ativar cada VM por 20 minutos a cada 90 dias. Em seguida, o token de cada VM é atualizado antes de expirar ou se tornar inválido. O agente e os componentes de pilha lado a lado também são atualizados.

As VMs que foram desativadas por mais de 90 dias apresentam problemas de registro. Para usar uma VM novamente, siga as etapas em Solucionar problemas comuns do agente da Área de Trabalho Virtual do Azure. Estas instruções explicam como remover a VM do pool de hosts, reinstalar o agente e registrar a VM novamente com o pool de host.

Recomendações
  • Monitore o uso de recursos de seus componentes.
  • Esteja ciente dos limites do sistema em:
    • .
    • Objetos do Azure.
    • O número de vCPUs que você pode criar.
  • Entenda quantos IOPS um perfil FSLogix requer para dar suporte a cada usuário.
  • Use a automação para impedir que os tokens de VM expirem.

Atualizações de imagem dourada do pool de host

Impacto: Excelência Operacional, Confiabilidade

Você pode atualizar suas VMs do pool de host usando uma das seguintes abordagens:

  • Implantar um segundo pool de hosts. Quando estiver pronto, atribua usuários a esse pool. Essa abordagem oferece a opção de ter o pool de host inicial disponível para uma reversão. Você pode remover o pool de host original depois de receber a confirmação de que o novo pool de hosts está funcionando conforme o esperado.
  • Defina suas VMs originais para o modo esvaziar no pool de host. Em seguida, implante novas VMs de uma nova imagem dourada nesse mesmo pool de hosts. Essa abordagem é mais arriscada. Você pode atingir restrições de recursos ou limites de limitação de API ao dobrar o número de VMs em um único pool de host.
Recomendações
  • Implante um segundo pool de host ao atualizar suas VMs se preferir ter seu pool de host inicial disponível para uma reversão.
  • Atualize suas VMs implantando novas VMs de uma nova imagem dourada em seus pools de host se você puder dobrar o número de VMs por pool de host.

Gerenciamento de imagens

Impacto: Excelência Operacional, Segurança

Você pode usar o Construtor de Imagens de VM do Azure para automatizar os processos de build, atualização, preparação do sistema e distribuição para imagens douradas. Você pode usar Azure Marketplace com imagens base com suporte para ajudar a garantir que você tenha as atualizações mais recentes.

Como parte do processo de compilação de imagem dourada para atualizar VMs, você pode usar um script para instalar os aplicativos usados. O PowerShell é a abordagem de script recomendada. Se você precisar reverter aplicativos ou dados, use um sistema de controle de versão e um repositório para gerenciar scripts e instaladores. O Azure Key Vault é uma abordagem recomendada para armazenar todos os segredos necessários como parte de um processo de implantação automatizado.

Recomendações
  • Use o Construtor de Imagens de VM para automatizar o processo de atualização de imagens douradas.
  • Recupere as versões mais recentes das imagens do Azure Marketplace.
  • Use scripts do PowerShell para instalar aplicativos.
  • Use um sistema de controle de versão para gerenciar scripts de implantação.
  • Use Key Vault para armazenar segredos usados pelos processos de implantação automatizados.

Mantenha-se atualizado com as versões com suporte

Impacto: Excelência Operacional

A conformidade de versão é importante quando você executa qualquer tipo de plataforma. Os recursos a seguir fornecem informações atualizadas sobre os componentes da Área de Trabalho Virtual do Azure:

Recomendações
  • Examine regularmente as notas sobre a versão e outros artigos sobre desenvolvimentos em componentes da Área de Trabalho Virtual do Azure.
  • Instale as atualizações quando elas estiverem disponíveis.

Próximas etapas

Agora que você examinou os procedimentos operacionais, veja como projetar componentes da Área de Trabalho Virtual do Azure para obter confiabilidade.

Continuidade de negócios

Use a ferramenta de avaliação para avaliar suas opções de design.

Avaliação