通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure 虚拟桌面设计原则

  • 项目

有关 Azure 虚拟桌面工作负载的指南基于 Azure Well-Architected 框架及其卓越体系结构的五大支柱。 下表列出了每个支柱及其目标的摘要。

Well-Architected 框架支柱 摘要
可靠性 虚拟桌面环境需要高级别的服务可靠性,以帮助确保一致且不间断的用户体验。 必须建立可靠的基础结构,以实现虚拟桌面环境的可靠访问和最佳性能。 评估虚拟桌面部署,尤其是那些与 Azure 本机服务集成的部署。 具体而言,评估部署使用的本机计算、网络和存储服务。 此外,评估用于 Azure 虚拟桌面的第三方产品和合作伙伴解决方案。 这些组件会影响可靠性,因为它们是登陆区域设计的一部分。 此方法有助于确保无缝且可靠的用户体验。
安全性 安全支柱侧重于实施策略,以保护工作负载免受威胁和漏洞的影响。 安全性还包括内部风险和数据丢失防护的注意事项。 在 Azure 虚拟桌面中,评估端到端安全主题至关重要。 这些主题的范围从标识和访问管理 (IAM) 、操作系统、应用程序、网络和 Azure 平台到数据。 强烈建议查看或制定策略,以在整个 Azure 资产中整合一系列安全层。 这些策略应涵盖 Azure 虚拟桌面下显示的桌面和应用程序。
成本优化 在针对成本优化虚拟桌面环境时,可满足业务要求设置的性能预期。 还可以通过尽量减少超支来降低总拥有成本 (TCO) 。 可以利用 Azure 虚拟桌面超大规模基础结构的强大功能来降低 TCO。 优化 Azure 虚拟桌面的成本涉及几个步骤。 示例包括选择适当大小的虚拟机 (VM) 、使用预留实例或节省计划、设置缩放计划以及使用 Microsoft 成本管理来监视和优化支出。 必须持续评估 Azure 虚拟桌面部署,以跟踪使用情况并确定优化工作负载的机会。
性能效率 性能效率侧重于环境满足或超过为虚拟桌面和应用程序设置的业务要求的能力。 在 Azure 虚拟桌面环境中,可以通过确保选择最佳的计算系列和磁盘大小和类型,以理想的效率满足所需的性能。 如果使用 FSLogix 配置文件,则还需要选择最佳存储。 通常,评估和测试一系列 VM 配置至关重要,以了解用户和工作负载如何使用构成 Azure 虚拟桌面中的会话主机的 Azure 资源。 部署后,建议持续监视生产资源的消耗情况,以确保达到或超过所需的目标性能。
卓越运营 在 Azure 虚拟桌面工作负载团队中应用 DevOps 原则。 鼓励采用 DevOps 思维模式,制定标准,并在不断发展的同时执行方法。 使用 Azure 虚拟桌面,可以建立用于轻松部署、管理和维护工作负载的设置过程。 这些过程可能涉及使用 Azure 资源管理器模板、Bicep、Terraform 和其他形式的基础结构作为代码 (IaC) 。 若要自定义会话主机,可以使用 Azure DevOps 中的自定义映像模板功能等工具自动生成映像。 这些 DevOps 策略和其他策略可帮助组织有效地建立、维护和管理 Azure 虚拟桌面环境。

重要

本文是 Azure Well-Architected Framework Azure 虚拟桌面工作负载 系列的一部分。 如果不熟悉本系列,建议从 什么是 Azure 虚拟桌面工作负载?开始。

可靠性

可靠性是 Azure 虚拟桌面环境中的基础支柱。 中断可能会在本地和云中具体化。 因此,需要一丝不苟地关注虚拟桌面组件,其中包括 Azure 服务和本地基础结构。 评估工作负载的用户数据 (配置文件) 、应用程序和计算可用性要求,以确定业务连续性和灾难恢复的策略。 考虑使用不同部署选项(例如主动-主动-主动或主动-被动主机池)在 Azure 虚拟桌面中实现的不同可用性级别。 此外,请评估灾难恢复设计注意事项,以帮助确保在中断期间顺利进行故障转移。

  • 复原 是指从故障中恢复和维护功能。
  • 可用性 可确保不间断的运行时间。 高可用性可在关键维护活动期间最大程度地减少应用程序停机时间。 它还增强了 VM 崩溃、后端更新、延长停机时间和勒索软件攻击等事件的恢复。

实现可靠性需要一种涵盖体系结构、操作过程、自动化、监视、定期测试和验证的综合方法。

  • (SLA) 定义服务级别协议 。 建立定义完善的 SLA 是提高可靠性的核心。 这些协议指定了对用户会话和配置文件的可用性和性能的精确预期。 通过这样做,他们设定了一个明确的基准,你可以使用该基准来评估系统的运行效率。
  • 制定有效的缩放策略。 使用垂直缩放时,可以选择符合用户会话的资源需求的 VM SKU。 还要考虑 CPU 和内存要求等方面。 通过水平缩放,可以添加额外的 VM 实例,以满足不断升级的需求,同时保持系统稳定性。
  • 针对高可用性进行设计。 此过程需要集成冗余和故障转移机制,以帮助确保不间断的操作。 高可用性可最大程度地减少潜在中断,并保证用户即使在意外事件期间也能获得无缝体验。
  • 实现容错。 包含容错存储在保护漫游配置文件和用户数据的完整性和可用性方面起着关键作用。 此策略通过帮助确保基本用户数据在故障期间保持不变且可访问,提供一层防止数据丢失。
  • 了解备份和还原功能。 可靠的备份做法有助于确保在遇到逆境时保持操作连续性。

安全性

在共担责任模型中:

  • 组织主要负责管理和操作 Azure 虚拟桌面工作负载。
  • Microsoft 管理支持 Azure 虚拟桌面工作负载的控制平面。

强烈建议定期评估服务和技术,以帮助确保安全状况适应不断变化的威胁环境。 与供应商协作实施适当的安全措施时,必须清楚地了解共担责任模型。

可以使用多种方法来帮助保护虚拟桌面环境:

  • 网络隔离。 使用子网和网络安全组等网络隔离技术加强 Azure 本机服务之间的交互。 这种隔离可增强整体安全性。
  • 修补程序管理。 定期应用修补程序和更新,以增强防御可被利用的漏洞。
  • 环境审核。 定期对环境进行审核,可深入了解潜在的安全漏洞。 这种做法有助于及早识别和纠正漏洞。
  • SIEM) (安全信息和事件管理 。 使用 Microsoft Sentinel 等 SIEM 解决方案。 此工具提供对安全事件的实时监视,有助于及时响应潜在威胁。
  • 数据加密。 为静态数据和传输中的数据实现加密机制。 这种做法有助于确保数据的机密性和完整性,即使在未经授权的访问尝试中也是如此。
  • 标识和访问管理
    • 多重身份验证:通过强制实施多重身份验证来加强身份验证过程。 这种做法有助于阻止未经授权的访问尝试。
    • 与 Microsoft Entra ID 集成:将标识和访问管理委托给Microsoft Entra ID,以简化访问控制。
    • 最小特权原则:通过应用最小特权原则,最大程度地降低滥用的可能性。 使用此原则根据专注于 JEA) 访问和实时访问 (JIT) 方法的角色限制对资源的 (访问。
    • 基于角色的访问控制 (RBAC) :通过使用 Azure RBAC 分配基于预定义角色的权限来提升受控访问。

成本优化

Azure 虚拟桌面是远程桌面服务 (RDS) 经济高效的现代化。 某些组件将从基础结构中删除,并作为本机服务提供给所有 Azure 区域。 Azure 虚拟桌面通过提供Windows 10或Windows 11 企业版多会话远程桌面, (CAL) 降低了对 Windows Server 和 RDS 客户端访问许可证的要求。 在这些桌面中,支持使用现有的每用户 Microsoft 365 许可。 这种支持使只有新式操作系统支持的应用程序的工作负载受益。

优化 Azure 虚拟桌面成本的一些主要注意事项和方法包括:

  • 使用经济高效的 VM。 选择适当大小的 VM 有助于确保不会为超出所需资源付费。 确定哪个 VM 系列最适合工作负载对 VM 资源的消耗。 在性能和成本效益之间找到适当的平衡点。

  • 预留实例或节省计划。 Azure 提供预留实例和节省计划。 使用这些计划时,可以通过为 VM 承诺一年或三年期限来节省资金。 此策略提供可预测的定价,可帮助你随时间推移降低成本。

    成本管理与 Azure 顾问合作,确定预留实例和节省计划的节省机会。 在提交预留实例或节省计划之前,请确保优化 Azure 虚拟桌面工作负载。 另请注意预留实例和节省计划在计划和实例的范围界定和共享使用方面有何不同。

  • 服务标记。 可以使用 服务标记,而不是使用 Azure 服务的特定 IP 地址。 由于地址发生更改,此方法可最大程度地降低频繁更新网络安全规则的复杂性。 通过减少维护网络所需的工作量,服务标记有助于降低总体成本。

  • 缩放计划。 使用 Azure 虚拟桌面,可以为 VM 设置缩放计划。 此策略有助于确保在需要时运行正确数量的会话主机,从而降低成本。

  • 成本管理。 使用成本管理时,可以监视和优化 Azure 支出。 可以使用此工具确定可降低成本并优化 Azure 虚拟桌面部署的领域。 具体而言,可以在成本管理中创建预算,并针对这些预算设置警报。 当支出超出预算时,将触发评审,以调查成本超出设定水平的原因。

请记住,Azure 硬件的功能会频繁扩展。 因此,工作负载经常出现进一步优化成本、消除浪费和提高性能与成本比率的机会。 组织发现定期重新访问和调整其节省成本的措施是有益的。

性能效率

此支柱侧重于优化运行 Azure 虚拟桌面环境的工作负载。 该重点包括许多方面:

  • 分配适当的会话主机大小、系列和数量
  • 使用 Azure Monitor、Log Analytics、Application Insights 和警报等工具持续监视性能并检测异常
  • 配置适当的缩放计划,以便有理想数量的会话主机可供用户使用

考虑到上述每个方面,可帮助你构建一个 Azure 虚拟桌面环境,以提供一致、连贯的用户体验。

卓越运营

在 Azure 虚拟桌面中,卓越运营意味着在开发、部署和运营阶段确保操作过程的一致性、可重复性和稳定性。

  • 使用 IaC 进行可重复的一致部署。
  • 正确监视资源以维护环境的运行状况。
  • 适当的持续集成/持续交付 (CI/CD) 管道,可帮助你实现:
    • 及时灾难恢复。
    • 预生产测试。
    • 资源的复制。
  • 实施 Azure 策略驱动的治理,以帮助确保企业技术资产中的安全性和合规性。
  • 设计使用内置 Azure 虚拟桌面角色实现最低特权访问的 RBAC 委派架构,以简化分配和管理访问权限的过程。
  • 维护主机池的治理和合规性标准。
  • 涵盖此列表中所有要点的文档。

这些步骤可帮助团队以高效透明的方式进行协作。

后续步骤

设计原则已纳入特定的技术设计领域。 每个领域都提供重点指导,可帮助你快速访问在最短的时间内提高工作效率所需的信息。 将标题视为导航工具,可指导你在网络、核心基础结构、应用程序交付、监视、安全性和操作过程方面朝着正确的方向前进。

首先查看支持工作负荷所需的应用程序交付的设计注意事项。

应用程序交付