Integrar uma carga de trabalho do Azure Virtual Desktop com zonas de destino do Azure
A migração de ambientes de trabalho de utilizador final de uma organização para a cloud é um cenário comum nas migrações para a cloud. Essa migração ajuda a melhorar a produtividade dos colaboradores e a acelerar a migração de várias cargas de trabalho para apoiar a experiência de utilizador da organização. Cada organização gere cargas de trabalho e opera o respetivo ambiente na cloud de forma exclusiva. Os modelos operacionais comuns da cloud são descentralizados, centralizados, empresariais e distribuídos.
A diferença mais importante entre os vários modelos é o nível de propriedade. No modelo descentralizado, os proprietários de cargas de trabalho têm autonomia sem qualquer supervisão de TI central para a governação. Por exemplo, gerem os seus próprios requisitos de rede, monitorização e identidade. Na outra extremidade do espectro encontra-se o modelo centralizado, onde os proprietários das cargas de trabalho cumprem os requisitos de governação definidos pelas equipas de TI centrais.
Para uma discussão detalhada sobre os modelos, veja Rever e comparar modelos operacionais comuns na cloud.
Como proprietário da carga de trabalho, deve compreender o modelo operacional que a sua organização utiliza. Essa escolha influencia as decisões técnicas pelas quais é responsável e os requisitos técnicos que impõe às suas equipas centrais.
Para tirar o máximo partido das funcionalidades e capacidades do Azure Virtual Desktop, deve tirar partido das melhores práticas aplicáveis às organizações. A plataforma fornece adaptabilidade e flexibilidade, o que ajuda o ambiente do Azure Virtual Desktop a acomodar o crescimento futuro.
Importante
Este artigo faz parte da série de cargas de trabalho do Azure Well-Architected Framework do Azure Virtual Desktop . Se não estiver familiarizado com esta série, recomendamos que comece com O que é uma carga de trabalho do Azure Virtual Desktop?.
Zonas de destino do Azure
Uma zona de destino do Azure é uma arquitetura conceptual que ilustra a pegada geral da cloud para uma organização. Tem várias subscrições, cada uma com um objetivo exclusivo. As equipas centrais possuem algumas das subscrições, como as zonas de destino da plataforma do Azure.
Para se familiarizar com o conceito de zonas de destino do Azure, veja O que é uma zona de destino do Azure?.
Importante
O Azure Virtual Desktop tem considerações e requisitos específicos, especialmente os que estão relacionados com integrações com os serviços do Azure. O acelerador de zonas de destino do Azure Virtual Desktop e as orientações do Azure Well-Architected Framework para o Azure Virtual Desktop visam realçar estas personalizações necessárias. Estes recursos também incorporam perspetivas Cloud Adoption Framework para uma abordagem holística da preparação para a cloud.
Transfira um ficheiro do Visio desta arquitetura.
Zonas de destino da plataforma
O Azure Virtual Desktop precisa de interagir com vários serviços externos. As equipas centrais podem ser proprietárias de alguns destes serviços como parte das zonas de destino da plataforma. Exemplos destes serviços incluem serviços de identidade, conectividade de rede e serviços de segurança. A interação com estes serviços externos é uma preocupação fundamental. Para ser totalmente funcional, uma carga de trabalho do Azure Virtual Desktop precisa da equipa da plataforma e da equipa de carga de trabalho para partilhar a mesma mentalidade de responsabilidade.
Para obter uma demonstração das zonas de destino da plataforma de que precisa para executar uma carga de trabalho do Azure Virtual Desktop, veja Revisão da zona de destino do Azure para o Microsoft Azure Virtual Desktop. Este artigo descreve uma base de plataforma sólida que acelera a migração de um ambiente no local para uma cloud privada do Azure Virtual Desktop.
Zonas de destino da aplicação
Existe uma subscrição separada, que também é conhecida como uma zona de destino de aplicações do Azure, que se destina aos proprietários de cargas de trabalho. Esta zona de destino da aplicação é onde implementa a carga de trabalho do Azure Virtual Desktop. Tem acesso às zonas de destino da plataforma que fornecem a infraestrutura básica de que precisa para executar a carga de trabalho. Os exemplos incluem redes, gestão de acesso a identidades, política e infraestrutura de monitorização.
As orientações sobre as zonas de destino de aplicações aplicam-se às cargas de trabalho do Azure Virtual Desktop. Para obter mais informações, veja Zonas de destino da plataforma vs. zonas de destino de aplicações. Esta documentação de orientação inclui recomendações para governar e gerir eficazmente a carga de trabalho.
Para obter uma demonstração de uma zona de destino de aplicação para uma carga de trabalho do Azure Virtual Desktop, veja a arquitetura de referência de linha de base em Arquiteturas de exemplo para o Azure Virtual Desktop.
Integração de áreas de design
Esta secção destaca a base sólida que a plataforma fornece. O debate aborda também as áreas de responsabilidade partilhada entre a equipa da plataforma e a equipa de carga de trabalho.
Responsabilidades da plataforma
A equipa da plataforma do Azure Virtual Desktop garante que a infraestrutura está pronta para a compilação das equipas de carga de trabalho. Algumas tarefas comuns incluem:
- Gerir a capacidade ao definir a subscrição e as quotas regionais que são suficientes para implementação.
- Proteger e otimizar a conectividade a sistemas no local, ao Azure e à Internet. Esta tarefa inclui encaminhamento, configuração de entradas de firewall e gestão de aplicações de rede centralizadas.
- Gerir integrações do Azure, como integrações com o Armazenamento do Azure, o Azure Monitor, o Log Analytics, o Microsoft Entra ID e o Azure Key Vault.
Responsabilidade partilhada
A equipa de carga de trabalho e a equipa da plataforma têm responsabilidades distintas. Mas ambas as equipas trabalham frequentemente em estreita colaboração para garantir a disponibilidade e a capacidade de recuperação da carga de trabalho. As equipas coordenam os esforços para o sucesso geral das cargas de trabalho executadas no Azure Virtual Desktop. A colaboração eficaz entre a plataforma e as equipas de aplicações é fundamental para a implementação com êxito do Azure Virtual Desktop.
As áreas de design das zonas de destino da plataforma e da aplicação estão bem acopladas.
- Para obter uma descrição das alterações nos recursos da plataforma necessárias para uma carga de trabalho, veja Revisão da zona de destino do Azure virtual desktop do Azure.
- Para obter uma descrição da especificação técnica de uma carga de trabalho, veja Quais são as principais áreas de estrutura?.
Área de design – Inscrição empresarial
A equipa da plataforma cloud tem de compreender a inscrição empresarial existente ou Microsoft Entra decisões de inquilino.
Área de design – Gestão de identidades e acessos (IAM)
A identidade é fundamental para a funcionalidade do Azure Virtual Desktop, uma vez que os utilizadores têm de ser autenticados para poderem utilizar o serviço. A equipa da plataforma é responsável pela conceção de uma solução de identidade, que pode envolver Microsoft Entra ID, Microsoft Entra Domain Services ou Active Directory Domain Services (AD DS). A equipa da plataforma também garante que o ambiente do Azure Virtual Desktop mantém uma linha de visão para os serviços de identidade.
| Responsabilidades da equipa da plataforma | Responsabilidades da equipa de carga de trabalho |
|---|---|
| - Conceber serviços de identidade para Microsoft Entra ID, Domain Services, AD DS e Microsoft Entra Connect - Utilizar o controlo de acesso baseado em funções (RBAC) para implementar a separação de deveres - Configurar políticas de Acesso Condicional Microsoft Entra - Gerir unidades organizacionais do Active Directory e políticas de grupo |
- Utilizar atribuições RBAC para controlar o acesso a sessões e infraestruturas do Azure Virtual Desktop para fins de gestão |
Área de conceção – Rede e conectividade
A conectividade dos serviços de plataforma é um conceito chave de rede. A equipa da plataforma é responsável por garantir que o ambiente do Azure Virtual Desktop tem uma conectividade adequada a:
- Serviços de identidade para autenticação.
- O Sistema de Nomes de Domínio (DNS) para uma resolução adequada.
- Outras cargas de trabalho num ambiente híbrido.
As responsabilidades da equipa da plataforma incluem:
- Configurar pontos finais privados e zonas DNS privadas.
- Garantir que as considerações de largura de banda, latência e qualidade do serviço são abordadas.
- Implementar políticas de segurança de rede.
- Garantir o acesso aos pontos finais da Internet necessários.
- Planear a continuidade do negócio e a recuperação após desastre.
Área de design – Organização de recursos
As responsabilidades da equipa da plataforma incluem a estruturação de grupos de gestão e grupos de recursos para simplificar a gestão de acessos. Esta responsabilidade inclui a definição de padrões de nomenclatura e identificação. A equipa de carga de trabalho garante a conformidade com estas normas.
Área de design – Gestão
| Responsabilidades da equipa da plataforma | Responsabilidades da equipa de carga de trabalho |
|---|---|
| - Planear e desenvolver uma estratégia de monitorização - Utilizar Azure Policy para impor a conformidade à escala empresarial - Desenvolver uma estratégia de gestão de custos |
- Configurar a implementação do Azure Virtual Desktop para monitorização - Gerir o acesso do utilizador - Monitorizar o Azure Virtual Desktop e colaborar com a equipa da plataforma nas necessidades de monitorização - Definir orçamentos e alertas - Gerir a experiência e o suporte do utilizador - Garantir a conformidade com as diretrizes de plataforma e monitorização |
Área de conceção – Continuidade do negócio e recuperação após desastre
| Responsabilidades da equipa de plataforma | Responsabilidades da equipa de carga de trabalho |
|---|---|
| - Conceber uma estratégia de continuidade de negócio e recuperação após desastre, incluindo estabelecer objetivos de ponto de recuperação (RPO) e objetivos de tempo de recuperação (RTO) - Coordenar com a equipa de cargas de trabalho para garantir a continuidade do negócio e o alinhamento da recuperação após desastre |
- Configurar a infraestrutura e os componentes do Azure Virtual Desktop para alinhar com a estratégia de continuidade de negócio e recuperação após desastre - Implementar procedimentos de recuperação após desastre - Preparar utilizadores sobre a utilização adequada do Azure Virtual Desktop |
Área de conceção – Segurança e governação
| Responsabilidades da equipa de plataforma | Responsabilidades da equipa de carga de trabalho |
|---|---|
| - Compreender o que a organização precisa para cumprir os requisitos regulamentares, como o Health Insurance Portability and Accountability Act (HIPAA), as normas do National Institute of Standards and Technology (NIST) e as normas PCI (Payment Card Industry) e utilizar Microsoft Defender for Cloud para aplicar normas de conformidade - Garantir que os recursos do plano de gestão são implementados em geografias de uma forma que cumpra os requisitos de residência dos dados - Utilizar Microsoft Entra políticas de Acesso Condicional e autenticação multifator para ajudar a proteger o acesso dos utilizadores - Garantir que uma ferramenta de gestão de informações e eventos de segurança (SIEM), como o Microsoft Sentinel, é utilizada para recolher e monitorizar dados de atividade de utilizadores e administradores - Ativar Gestão de Vulnerabilidades e Ameaças avaliações, por exemplo, através da integração com o Defender para Cloud ou uma solução de gestão de vulnerabilidades de terceiros - Configurar uma firewall e utilizar etiquetas de serviço e grupos de segurança de aplicações para definir regras de acesso à rede - Criar uma unidade organizacional dedicada no Active Directory para anfitriões de sessões do Azure Virtual Desktop - Utilizar Azure Policy configurações de convidado para auditar e proteger sistemas operativos anfitrião de sessões - Ativar a encriptação do disco - Monitorizar o tráfego de rede e implementar a proteção denial-of-service (DDoS) distribuída |
- Utilizar o princípio de acesso com menos privilégios e o RBAC do Azure para estabelecer funções administrativas, de operações e de engenharia - Aplicar uma política de grupo dedicada às unidades organizacionais do Azure Virtual Desktop - Gerir os patches e a proteção dos anfitriões de sessão - Monitorizar e gerir a atividade do utilizador |
Área de design – Considerações sobre a automatização da plataforma e o DevOps
| Responsabilidades da equipa de plataforma | Responsabilidades da equipa de carga de trabalho |
|---|---|
| - Desenvolver a infraestrutura como código (IaC) e estratégias de DevOps | - Criar imagens - Manter um pipeline de compilação de imagens - Atualizar conjuntos de anfitriões - Instalar aplicações - Gerir implementações de idiomas |
Área de design – Procedimentos operacionais
Os procedimentos operacionais ajudam a garantir a segurança das aplicações executadas no Azure Virtual Desktop. Os procedimentos operacionais também ajudam na área do controlo de acesso.
| Responsabilidades da equipa de plataforma | Responsabilidades da equipa de carga de trabalho |
|---|---|
| Controlar o acesso à plataforma ao definir funções de utilizador e permissões no ambiente do Azure Virtual Desktop | - Analisar o desempenho e a latência das implementações do Azure Virtual Desktop para obter informações sobre possíveis áreas de melhoria - Atualizar o sistema operativo, as aplicações e o FSLogix - Gerir chaves - Gerir o FSLogix e analisar dados para determinar quando fazer ajustes |
Passos seguintes
Utilize a ferramenta de avaliação para avaliar as suas escolhas de estrutura.