Определение защищаемых компонентов
Развертывания виртуального рабочего стола Azure состоят из нескольких компонентов. При настройке непрерывности бизнес-процессов и аварийного восстановления (BCDR) для виртуального рабочего стола Azure важно учитывать каждый компонент по отдельности.
Службы виртуальных рабочих столов Azure
Виртуальный рабочий стол Azure — это гибкое облачное решение инфраструктуры виртуальных рабочих столов (VDI). Эта служба:
- Обеспечивает посредничество и оркестрацию виртуальных рабочих столов в качестве управляемой службы.
- Делает возможным управление виртуальными машинами (ВМ), развернутыми в рамках подписки Azure.
- Предоставляет виртуальный рабочий стол и удаленные приложения на любом устройстве.
- Включает поддержку существующих средств, таких как Microsoft Intune.
Корпорация Майкрософт управляет службами виртуальных рабочих столов Azure, указанными в таблице ниже.
| Служба | Описание |
|---|---|
| Шлюз | Эта служба подключает удаленные клиенты к шлюзу, а затем устанавливает подключение от ВМ к тому же шлюзу. |
| Посредник подключений | Эта служба обеспечивает балансировку нагрузки и повторное подключение к виртуальным рабочим столам и удаленным приложениям в существующих пользовательских сеансах. |
| Диагностика | Эта служба регистрирует события действий при развертывании Виртуального рабочего стола Azure как успешные или неудачные. Эти сведения можно использовать для устранения ошибок. |
| Компоненты расширяемости | Эти компоненты обеспечивают поддержку управления Виртуальным рабочим столом Azure из PowerShell, REST API и интеграцию со сторонними средствами. |
| Веб-доступ | Эта служба позволяет безопасно получить доступ к ресурсам Виртуального рабочего стола Azure из веб-браузера без длительной установки. |
Службами основной инфраструктуры виртуальных рабочих столов Azure полностью управляет корпорация Майкрософт. Если произойдет региональный сбой, вам не нужно предпринимать никаких дополнительных действий, чтобы эта служба продолжала работать. Любой незапланированный сбой инициирует отработку отказа компонента в несколько расположений. Это гарантирует, что среда клиента и узлы останутся доступными.
Microsoft Entra ID
Вы будете использовать Идентификатор Microsoft Entra для управления удостоверениями и доступом в Виртуальном рабочем столе Azure. Сюда относится доступ к удаленным сеансам, административным элементам и настройке пользователей. Виртуальный рабочий стол Azure использует идентификатор Microsoft Entra для проверки подлинности любой операции, которая взаимодействует со службами, работающими в Azure. К ним относятся приложения и веб-сайты, которые пользователи используют для определения доступных ресурсов.
Доменные службы Active Directory
Виртуальные машины Виртуального рабочего стола Azure должны присоединяться к домену к службе доменных служб Active Directory (AD DS), а служба должна быть синхронизирована с идентификатором Microsoft Entra, чтобы связать пользователей между двумя службами. Вы можете использовать Microsoft Entra Connect для интеграции AD DS с Microsoft Entra ID. Виртуальный рабочий стол Azure можно развернуть с удостоверениями из облачной организации или в среде с гибридными удостоверениями.
Однако ваша инфраструктура должна соответствовать определенным требованиям для поддержки виртуального рабочего стола Azure. Необходимые требования.
- Организация Microsoft Entra.
- Контроллер домена, синхронизированный с идентификатором Microsoft Entra. Контроллеры домена можно развернуть в локальной сети или как виртуальные машины, работающие в виртуальной сети Azure. Развертывание контроллеров домена в локальной сети требует подключения к виртуальной сети Azure с помощью VPN типа "сеть-сеть" или Azure ExpressRoute. Вы также можете использовать доменные службы Active Directory, где корпорация Майкрософт может управлять вашими контроллерами домена вместо их развертывания на виртуальных машинах Azure.
- Подписка Azure, содержащая виртуальную сеть, которая имеет или подключена к AD DS или доменным службам Microsoft Entra.
Обеспечение доступности контроллера домена Active Directory является критически важным в случае сбоя основного региона. Без доступного контроллера домена Active Directory пользователи не смогут войти в свои экземпляры виртуальных рабочих столов Azure и удаленных приложений RemoteApp.
Виртуальная сеть
Виртуальная сеть — это критически важный компонент, в котором Azure настраивает как виртуальные машины виртуальных рабочих столов Azure, так и ваши экземпляры AD DS. Во время сбоя важно, чтобы сетевое подключение для виртуального рабочего стола Azure функционировало должным образом. Для гибридного развертывания виртуального рабочего стола Azure необходимо использовать виртуальную частную сеть (VPN) типа "сеть-сеть" или Azure ExpressRoute для подключения виртуальной сети к локальной сети. Это требует тщательного планирования сетевого подключения в дополнительном регионе и подключения к локальной сети.
Узлы сеансов
Виртуальный рабочий стол Azure предоставляет доступ к узлам сеансов, на которых работают удаленные рабочие столы или удаленные приложения. Каждый узел сеанса имеет агент узла виртуального рабочего стола Azure, который регистрирует виртуальную машину, как часть рабочей области или клиента виртуального рабочего стола Azure. Узлы сеансов должны взаимодействовать с доменными службами Microsoft Entra или AD DS. Так как виртуальные машины могут быть недоступны или операционная система может быть повреждена, их необходимо включить в план BCDR для виртуального рабочего стола Azure.
изображения;
При настройке узлов сеансов для групп приложений можно выбрать нужный образ. Вы можете выбрать образы операционной системы, предоставляемые корпорацией Майкрософт в образах Azure Marketplace, например:
- Windows 11 или Windows 10 Корпоративная для нескольких сеансов с приложениями Microsoft 365 или без нее.
- Windows Server 2022 или 2019.
- Собственные пользовательские образы, хранящиеся в коллекции вычислений Azure.
Образы напрямую не влияют на возможность подключения пользователя к виртуальной машине узла сеансов. Однако они критически важны при настройке новой емкости узла сеанса. Таким образом, при создании узлов необходимо создать их резервную копию и убедиться, что они доступны. Необходимо убедиться, что образ доступен в дополнительном регионе.
Совет
Хотя коллекция вычислений Azure обеспечивает глобальную репликацию, она не является глобальным ресурсом. Для сценариев аварийного восстановления рекомендуется иметь по крайней мере две коллекции в разных регионах.
FSLogix
FSLogix предназначен для перемещения профилей в средах удаленных вычислений. Оно сохраняет полный профиль пользователя в одном контейнере в общей папке протокола SMB (например, файлы Azure или Azure NetApp Files). При входе Azure динамически подключает этот контейнер к вычислительной среде с помощью поддерживаемого в собственном коде виртуального жесткого диска (VHD) и виртуального жесткого диска Hyper-V (VHDX).
Профили FSLogix критически важны для сред виртуального рабочего стола Azure. Они должны быть доступны всякий раз, когда пользователю необходимо подключиться к рабочему столу или удаленному приложению RemoteApp и работать в нем. Поэтому профили FSLogix должны быть реплицированы и доступны в нескольких регионах.
Подключение приложений MSIX
Подключение приложений MSIX сохраняет файлы приложений в виде образов MSIX (VHD/VHDX/CIM) отдельно от операционной системы. При открытии подключения приложений MSIX доступ к файлам приложений осуществляется с виртуального жесткого диска. Так же, как и при работе с профилями FSLogix, следует рассмотреть возможность репликации подключения приложений MSIX в другом регионе.