Рекомендации по работе с сетями и подключением для рабочих нагрузок Виртуального рабочего стола Azure

В этой статье рассматривается область проектирования сети и подключения рабочей нагрузки Виртуального рабочего стола Azure. Крайне важно спроектировать и реализовать сетевые возможности Azure для целевой зоны Виртуального рабочего стола Azure. В качестве основы в этой статье используется несколько принципов архитектуры целевой зоны azure Well-Architected Framework корпоративного масштаба и рекомендаций. Основываясь на этом руководстве, в этой статье показано, как управлять топологией сети и подключением в большом масштабе.

Важно!

Эта статья входит в серию рабочих нагрузок Виртуального рабочего стола Azure Well-Architected Framework . Если вы не знакомы с этой серией, рекомендуем начать с статьи Что такое рабочая нагрузка Виртуального рабочего стола Azure?

Задержка клиента

Влияние: эффективность производительности

Задержка между конечными пользователями и узлами сеансов является ключевым аспектом, влияющим на взаимодействие с пользователем Виртуального рабочего стола Azure. Вы можете использовать средство оценки возможностей Виртуального рабочего стола Azure , чтобы оценить время кругового пути подключения (RTT). В частности, это средство оценивает rtt из расположений пользователей через службу "Виртуальный рабочий стол Azure" для каждого региона Azure, в котором развертываются виртуальные машины.

Чтобы оценить качество взаимодействия с конечными пользователями, выполните следующие действия.

• Сквозные задержки тестирования в средах разработки, тестирования и подтверждения концепции. Этот тест должен учитывать фактический опыт пользователей. Следует учитывать такие факторы, как сетевые условия, устройства конечных пользователей и конфигурация развернутых виртуальных машин.
• Помните, что задержка — это только один из аспектов подключения с помощью удаленных протоколов. Пропускная способность и рабочая нагрузка пользователей также влияют на взаимодействие с конечными пользователями.

Рекомендации

• Используйте оценщик возможностей Виртуального рабочего стола Azure для сбора предполагаемых значений задержки.
• Проверьте задержки между виртуальными сетями Azure и локальными системами.
• Используйте разделенный туннель, основанный на протоколе UDP, для клиентов, использующих VPN-подключение типа "точка — сеть" (P2S).
• Используйте протокол удаленного рабочего стола (RDP) Shortpath с управляемой сетью для локальных клиентов, использующих VPN или Azure ExpressRoute.

Локальное подключение (гибридная сеть)

Влияние: эффективность производительности, эффективность работы

В некоторых организациях используются гибридные модели, включающие локальные и облачные ресурсы. Во многих гибридных случаях рабочим процессам конечных пользователей, выполняемым на Виртуальном рабочем столе Azure, требуется доступ к локальным ресурсам, таким как общие службы или службы платформы, данные или приложения.

При реализации гибридных сетей ознакомьтесь с рекомендациями и рекомендациями в статье Cloud Adoption Framework Топология сети и подключение.

Важно соответствовать модели масштабирования Виртуального рабочего стола Azure, описанной в статье Интеграция рабочей нагрузки Виртуального рабочего стола Azure с целевыми зонами Azure. Чтобы следовать этой модели, сделайте следующее:

• Оцените требования к задержке и пропускной способности рабочих процессов Виртуального рабочего стола Azure, которые подключаются к локальным системам. Эти сведения имеют решающее значение при проектировании архитектуры гибридной сети.
• Убедитесь, что между подсетями Виртуального рабочего стола Azure и локальными сетями нет перекрывающихся IP-адресов. Рекомендуется назначить задачу IP-адресации архитекторам сети, которые являются владельцами вашей подписки на подключение.
• Предоставьте каждой целевой зоне Виртуального рабочего стола Azure собственную виртуальную сеть и конфигурацию подсети.
• Правильное размер подсети, учитывая потенциальный рост при определении необходимого объема пространства IP-адресов.
• Используйте нотацию интеллектуальной бесклассовой междоменной маршрутизации (CIDR), чтобы избежать использования пространства IP-адресов.

Рекомендации

• Ознакомьтесь с рекомендациями по подключению виртуальных сетей Azure к локальным системам.
• Проверьте задержки между виртуальными сетями Azure и локальными системами.
• Убедитесь, что в целевой зоне Виртуального рабочего стола Azure не используются перекрывающиеся IP-адреса.
• Предоставьте каждой целевой зоне Виртуального рабочего стола Azure собственную виртуальную сеть и конфигурацию подсети.
• Учитывайте потенциальный рост при размере подсетей Виртуального рабочего стола Azure.

Подключение между несколькими регионами

Влияние: эффективность производительности, оптимизация затрат

Чтобы развертывание Виртуального рабочего стола Azure с поддержкой нескольких регионов было максимально возможным для конечных пользователей, при проектировании необходимо учитывать следующие факторы:

• Службы платформы, такие как удостоверения, разрешение имен, гибридное подключение и службы хранилища. Подключение узлов сеансов Виртуального рабочего стола Azure к этим службам является ключевым фактором, чтобы служба была функциональной. В результате идеальная конструкция направлена на снижение задержки между подсетями целевой зоны Виртуального рабочего стола Azure в этих службах. Эту задачу можно достичь, реплицируя службы в каждый регион или делая их доступными через подключение с минимальной возможной задержкой.
• Задержка конечных пользователей. При выборе расположений для развертывания Виртуального рабочего стола Azure с несколькими регионами важно учитывать задержки, с которыми сталкиваются пользователи при подключении к службе. При выборе регионов Azure для развертывания узлов сеансов рекомендуется собирать данные о задержке для пользователей с помощью оценщика возможностей Виртуального рабочего стола Azure .

Также учитывайте следующие факторы:

• Зависимости приложений в разных регионах.
• Доступность номера SKU виртуальной машины.
• Сетевые затраты, связанные с исходящим интернет-трафиком, трафиком между регионами и гибридным (локальным) трафиком, которые требуются приложениям или зависимостям рабочей нагрузки.
• Дополнительная нагрузка, которую функция облачного кэша FSLogix возлагает на сеть. Этот фактор имеет значение только в том случае, если вы используете эту функцию для репликации данных профиля пользователя между разными регионами. Также учитывайте затраты на увеличение сетевого трафика и хранилища, которые использует эта функция.

По возможности используйте номера SKU виртуальных машин, которые обеспечивают ускорение сети. В рабочих нагрузках с высокой пропускной способностью ускорение сети может снизить загрузку ЦП и задержку.

Доступная пропускная способность сети существенно влияет на качество удаленных сеансов. В результате рекомендуется оценить требования к пропускной способности сети для пользователей, чтобы обеспечить достаточную пропускную способность для локальных зависимостей.

Рекомендации

• Реплицируйте платформу и общие службы в каждом регионе, когда это разрешено внутренними политиками.
• Используйте номера SKU виртуальных машин, которые обеспечивают ускорение сети, если это возможно.
• Включите оценки задержки конечных пользователей в процесс выбора региона.
• Учитывайте типы рабочих нагрузок при оценке требований к пропускной способности и отслеживайте подключения реальных пользователей.

Безопасность сети

Влияние: безопасность, оптимизация затрат, эффективность работы

Традиционно сетевая безопасность была опорой корпоративных усилий по обеспечению безопасности. Но облачные вычисления увеличили требования к более пористым периметрам сети, и многие злоумышленники освоили искусство атак на элементы системы удостоверений. Ниже приведен обзор минимальных требований к брандмауэру для развертывания Виртуального рабочего стола Azure. В этом разделе также приводятся рекомендации по подключению к брандмауэру и подключению к приложениям, которым требуется эта служба.

• Традиционные элементы управления сетью, основанные на подходе к доверенной интрасети, не обеспечивают гарантии безопасности для облачных приложений.
• Интеграция журналов с сетевых устройств и необработанного сетевого трафика обеспечивает видимость потенциальных угроз безопасности.
• Большинство организаций в итоге добавляют к своим сетям больше ресурсов, чем изначально планировалось. В результате схемы IP-адресов и подсетей необходимо выполнить рефакторинг для размещения дополнительных ресурсов. Этот процесс является трудоемким. Создание большого количества небольших подсетей с последующей попыткой сопоставить элементы управления доступом к сети, такие как группы безопасности, с каждой из них имеется ограниченное значение безопасности.

Общие сведения о защите ресурсов путем размещения элементов управления сетевым трафиком см. в статье Рекомендации по сети и подключению.

Рекомендации

• Изучите конфигурации, необходимые для использования Брандмауэр Azure в развертывании. Дополнительные сведения см. в статье Использование Брандмауэра Azure для защиты развертываний Виртуального рабочего стола Azure.
• Создайте группы безопасности сети и группы безопасности приложений для сегментирования трафика Виртуального рабочего стола Azure. Этот способ помогает изолировать подсети, управляя потоками трафика.
• Используйте теги служб вместо конкретных IP-адресов для служб Azure. Так как адреса меняются, такой подход минимизирует сложность частого обновления правил безопасности сети.
• Ознакомьтесь с необходимыми URL-адресами для Виртуального рабочего стола Azure.
• Используйте таблицу маршрутизации, чтобы разрешить трафику Виртуального рабочего стола Azure обходить все правила принудительного туннелирования, используемые для маршрутизации трафика в брандмауэр или виртуальный сетевой (модуль) (NVA). В противном случае принудительное туннелирование может повлиять на производительность и надежность подключения клиентов.
• Используйте частные конечные точки для защиты решений "платформа как услуга" (PaaS), таких как Файлы Azure и Azure Key Vault. Но учитывайте затраты на использование частных конечных точек.
• Настройте параметры конфигурации для Приватный канал Azure. При использовании этой службы с Виртуальным рабочим столом Azure можно отключить общедоступные конечные точки для компонентов уровня управления Виртуального рабочего стола Azure и использовать частные конечные точки, чтобы избежать использования общедоступных IP-адресов.
• Реализуйте строгие политики брандмауэра при использовании доменные службы Active Directory (AD DS). Эти политики будут основываться на трафике, который требуется в домене.
• Рассмотрите возможность использования веб-фильтрации Брандмауэр Azure или NVA, чтобы защитить доступ пользователей к Интернету с узлов сеансов Виртуального рабочего стола Azure.

Частные конечные точки (Приватный канал)

Влияние: безопасность

По умолчанию подключения к ресурсам Виртуального рабочего стола Azure устанавливаются через общедоступную конечную точку. В некоторых сценариях трафик должен использовать частные подключения. В этих сценариях можно использовать Приватный канал для частного подключения к ресурсам удаленного виртуального рабочего стола Azure. Дополнительные сведения см. в статье Приватный канал Azure с Виртуальным рабочим столом Azure. При создании частной конечной точки трафик между виртуальной сетью и службой остается в сети Майкрософт. Ваша служба не доступна в общедоступном Интернете.

Частные конечные точки Виртуального рабочего стола Azure можно использовать для поддержки следующих сценариев:

• Ваши клиенты или конечные пользователи, а также виртуальные машины узла сеансов используют частные маршруты.
• Ваши клиенты или конечные пользователи используют общедоступные маршруты, а виртуальные машины узла сеансов используют частные маршруты.

Узлы сеансов Виртуального рабочего стола Azure имеют те же требования к разрешению имен, что и любые другие рабочие нагрузки инфраструктуры как услуги (IaaS). В результате узлам сеансов требуется подключение к службам разрешения имен, настроенным для разрешения IP-адресов частных конечных точек. Следовательно, при использовании частных конечных точек необходимо настроить определенные параметры DNS. Дополнительные сведения см. в статье Настройка DNS частной конечной точки Azure.

Приватный канал также доступны для других служб Azure, работающих в сочетании с Виртуальным рабочим столом Azure, таких как Файлы Azure и Key Vault. Мы также рекомендуем реализовать частные конечные точки для этих служб, чтобы обеспечить конфиденциальность трафика.

Рекомендации

• Узнайте, как Приватный канал работает с Виртуальным рабочим столом Azure. Дополнительные сведения см. в статье Приватный канал Azure с Виртуальным рабочим столом Azure.
• Изучите конфигурации DNS, необходимые для частных конечных точек Azure. Дополнительные сведения см. в статье Конфигурация DNS частной конечной точки Azure.

Короткий путь RDP

Влияние: эффективность производительности, оптимизация затрат

RDP Shortpath — это функция Виртуального рабочего стола Azure, доступная для управляемых и неуправляемых сетей.

• Для управляемых сетей RDP Shortpath устанавливает прямое подключение между клиентом удаленного рабочего стола и узлом сеансов. Транспорт основан на UDP. Удалив дополнительные точки ретрансляции, RDP Shortpath сокращает время кругового пути, что улучшает взаимодействие с приложениями, чувствительными к задержке, и методами ввода. Для поддержки RDP Shortpath клиенту Виртуального рабочего стола Azure требуется прямая видимость узла сеансов. Клиенту также необходимо установить клиент Windows Desktop и запустить Windows 11 или Windows 10.
• Для неуправляемых сетей возможны два типа подключения:
  • Устанавливается прямое подключение между клиентом и узлом сеансов. Для установки подключения используются простой обход под преобразованием сетевых адресов (STUN) и интерактивным подключением (ICE). Эта конфигурация повышает надежность транспорта для Виртуального рабочего стола Azure. Дополнительные сведения см. в разделе Принцип работы RDP Shortpath.
  • Устанавливается непрямое UDP-подключение. Он преодолевает ограничения преобразования сетевых адресов (NAT) с помощью протокола Обход с использованием NAT ретранслятора (TURN) с ретранслятором между клиентом и узлом сеансов.

При транспорте, основанном на протоколе TCP, исходящий трафик от виртуальной машины к клиенту RDP проходит через шлюз Виртуального рабочего стола Azure. При использовании RDP Shortpath исходящий трафик передается непосредственно между узлом сеансов и клиентом RDP через Интернет. Эта конфигурация помогает устранить прыжок, а также улучшить задержку и взаимодействие с конечным пользователем.

Рекомендации

• Используйте RDP Shortpath для улучшения задержки и взаимодействия с конечными пользователями.
• Помните о доступности моделей подключения RDP Shortpath.
• Помните о расходах RDP Shortpath.

Дальнейшие действия

Теперь, когда вы изучили сеть и подключение в Виртуальном рабочем столе Azure, изучите рекомендации по мониторингу инфраструктуры и рабочей нагрузки.

Мониторинг

Используйте средство оценки для оценки вариантов разработки.

Оценка