Identificar os componentes a serem protegidos
As implantações da Área de Trabalho Virtual do Azure consistem em vários componentes. Ao configurar a continuidade dos negócios e recuperação de desastre (BCDR) para a Área de Trabalho Virtual do Azure, é importante considerar cada componente individualmente.
Serviços da Área de Trabalho Virtual do Azure
O Azure Virtual Desktop é uma solução de infraestrutura de ambiente de trabalho virtual (VDI) de cloud flexível. Este serviço:
- Fornece troca e orquestração de áreas de trabalho virtuais como serviço gerenciado.
- Habilita o gerenciamento de máquinas virtuais (VMs) implantadas em sua assinatura do Azure.
- Fornece uma experiência de área de trabalho virtual e aplicativos remotos para qualquer dispositivo.
- Inclui suporte para ferramentas existentes, como o Microsoft Intune.
A Microsoft gerencia os serviços da Área de Trabalho Virtual do Azure descritos na tabela a seguir:
| Serviço | Descrição |
|---|---|
| Gateway | Esse serviço conecta clientes remotos a um gateway e estabelece uma conexão de uma VM de volta para o mesmo gateway. |
| Agente de Conexão | O serviço fornece balanceamento de carga e reconexão às áreas de trabalho virtuais e aos aplicativos remotos nas sessões de usuários existentes. |
| Diagnóstico | Este serviço regista eventos de ações na implementação do Azure Virtual Desktop como um êxito ou uma falha. Pode utilizar estas informações para resolver erros. |
| Componentes de extensibilidade | Estes componentes permitem o suporte para gerir o Azure Virtual Desktop a partir do PowerShell, apIs REST e integração com ferramentas de terceiros. |
| Acesso Web | Este serviço permite-lhe aceder aos seus recursos do Azure Virtual Desktop de forma segura a partir de um browser sem o processo de instalação demorado. |
Os serviços de infraestrutura principal da Área de Trabalho Virtual do Azure são totalmente gerenciados pela Microsoft. Se houver uma interrupção regional, não será necessário tomar nenhuma medida adicional para manter o serviço funcionando. Qualquer falha não planeada inicia a ativação pós-falha do componente para várias localizações. Isso ajuda a garantir que o ambiente do locatário e os hosts permaneçam acessíveis.
Microsoft Entra ID
Irá utilizar o Microsoft Entra ID para gestão de identidades e acessos no Azure Virtual Desktop. Isso inclui acesso a sessões remotas, elementos de administração e configuração do usuário. O Azure Virtual Desktop utiliza o Microsoft Entra ID para autenticar qualquer operação que interaja com serviços em execução no Azure. Isso inclui aplicativos e sites que os usuários usam para determinar os recursos disponíveis.
AD DS
As VMs do Azure Virtual Desktop têm de associar um domínio a um serviço dos Serviços de Domínio do Active Directory (AD DS) e o serviço tem de estar sincronizado com o ID do Microsoft Entra para associar utilizadores entre os dois serviços. Pode utilizar o Microsoft Entra Connect para integrar o AD DS com o Microsoft Entra ID. Implante a Área de Trabalho Virtual do Azure com identidades de uma organização somente na nuvem ou em um ambiente com identidades híbridas.
No entanto, para dar suporte à Área de Trabalho Virtual do Azure, sua infraestrutura deve atender a requisitos específicos. Você deve ter:
- Uma organização do Microsoft Entra.
- Um controlador de domínio sincronizado com o Microsoft Entra ID. Você pode implantar os controladores de domínio na rede local ou como VMs em execução em uma rede virtual do Azure. A implantação de controladores de domínio em uma rede local requer conectividade com uma rede virtual do Azure com VPN site a site ou Azure ExpressRoute. Você também pode usar AD DS, em que a Microsoft pode gerenciar seus controladores de domínio em vez de implantá-los em VMs do Azure.
- Uma subscrição do Azure que contém uma rede virtual que tem ou está ligada ao AD DS ou ao Microsoft Entra Domain Services.
Manter a disponibilidade do controlador de domínio do Active Directory é essencial se ocorrer uma interrupção de região primária. Sem um controlador de domínio do Active Directory acessível, os usuários não podem entrar em suas instâncias da Área de Trabalho Virtual do Azure e do RemoteApp.
Rede virtual
Uma rede virtual é um componente crítico no qual o Azure configura as VMs da Área de Trabalho Virtual do Azure e sua instância AD DS. Durante uma interrupção, é importante que a conectividade de rede para a Área de Trabalho Virtual do Azure funcione corretamente. Para uma implantação híbrida da Área de Trabalho Virtual do Azure, use uma rede virtual privada (VPN) site a site ou o Azure ExpressRoute para conectar a rede virtual com uma rede local. Isto requer um planeamento cuidadoso da conectividade de rede na sua região secundária e conectividade à sua rede no local.
Hosts de sessão
A Área de Trabalho Virtual do Azure fornece acesso aos hosts de sessão que executam áreas de trabalho remotas ou aplicativos remotos. Cada host de sessão tem um agente host Área de Trabalho Virtual do Azure, que registra o VM como parte do espaço de trabalho ou do locatário da Área de Trabalho Virtual do Azure. Os anfitriões de sessão têm de comunicar com o Microsoft Entra Domain Services ou com o AD DS. Como as VMs podem ficar indisponíveis ou o sistema operacional pode ser danificado, é necessário incluí-las no plano BCDR da Área de Trabalho Virtual do Azure.
Imagens
Escolha imagens ao configurar hosts de sessão para grupos de aplicativos. Pode escolher imagens do sistema operativo fornecidas pela Microsoft em imagens do Azure Marketplace, tais como:
- Windows 11 ou Windows 10 Enterprise para várias sessões, com ou sem aplicações do Microsoft 365.
- Windows Server 2022 ou 2019.
- As suas próprias imagens personalizadas armazenadas numa Galeria de Computação do Azure.
As imagens não afetam diretamente a capacidade de um utilizador ligar a uma VM de anfitrião de sessões. No entanto, eles são extremamente importantes quando você está configurando a nova capacidade de host de sessão. Portanto, ao criar hosts, você deve fazer backup deles e garantir que eles estejam disponíveis. Tem de se certificar de que a imagem está disponível na região secundária.
Dica
Embora uma Galeria de Computação do Azure forneça replicação global, não é um recurso global. Para cenários de recuperação após desastre, a melhor prática é ter, pelo menos, duas galerias em regiões diferentes.
FSLogix
O FSLogix foi concebido para percorrer perfis em ambientes de computação remotos. Ele armazena um perfil de usuário completo em um único contêiner em um compartilhamento de arquivos de protocolo de Bloco de Mensagens de Servidor (SMB) (por exemplo, Arquivos do Azure ou Azure NetApp Files). No início de sessão, o Azure anexa dinamicamente este contentor ao ambiente de computação através do Disco Rígido Virtual (VHD) suportado nativamente e do Disco Rígido Virtual (VHDX) do Hyper-V.
Os perfis FSLogix são críticos para ambientes da Área de Trabalho Virtual do Azure. Eles devem estar disponíveis sempre que um usuário precisar se conectar e trabalhar em uma área de trabalho ou em um RemoteApp. Portanto, os perfis FSLogix devem ser replicados e estar disponíveis em várias regiões.
anexação de aplicativo MSIX
A anexação de aplicativo MSIX armazena arquivos de aplicativo como imagens MSIX (VHD/VHDX/CIM), separadas do sistema operacional. Ao abrir a anexação de aplicativo MSIX, os arquivos do aplicativo são acessados de um VHD. Assim como você manipularia perfis FSLogix, considere replicar a anexação de aplicativo MSIX em outra região.