确定要保护的组件
Azure 虚拟桌面部署由多个组件组成。 在为 Azure 虚拟桌面配置业务连续性和灾难恢复 (BCDR) 时,请务必单独考虑每个组件。
Azure 虚拟桌面服务
Azure 虚拟桌面是一种灵活的云虚拟桌面基础结构, (VDI) 解决方案。 此服务:
- 提供虚拟桌面作为托管服务的中转和业务流程。
- 支持在 Azure 订阅中部署的虚拟机 (VM) 的管理。
- 向任何设备提供虚拟桌面体验和远程应用。
- 包括对现有工具(如 Microsoft Intune)的支持。
Microsoft 管理下表中描述的 Azure 虚拟桌面服务:
| 服务 | 说明 |
|---|---|
| 网关 | 此服务将远程客户端连接到网关,然后建立从 VM 返回到同一网关的连接。 |
| 连接代理 | 此服务在现有用户会话中提供负载平衡和对虚拟桌面和远程应用的重新连接。 |
| 诊断 | 此服务将 Azure 虚拟桌面部署上的操作事件记录为成功或失败。 可以使用此信息来排查错误。 |
| 扩展性组件 | 这些组件支持通过 PowerShell、REST API 管理 Azure 虚拟桌面,并与第三方工具集成。 |
| Web 访问 | 此服务允许你从 Web 浏览器安全地访问 Azure 虚拟桌面资源,而无需漫长的安装过程。 |
Azure 虚拟桌面核心基础结构服务完全由 Microsoft 管理。 如果发生区域性服务中断,则无需采取任何额外步骤来保持此服务的运行。 任何计划外故障都启动组件故障转移到多个位置。 这有助于确保租户环境和主机保持可访问性。
Microsoft Entra ID
你将使用 Microsoft Entra ID 进行 Azure 虚拟桌面中的标识和访问管理。 包括对远程会话、管理元素、用户设置的访问。 Azure 虚拟桌面使用 Microsoft Entra ID 对与 Azure 中运行的服务交互的任何操作进行身份验证。 这包括用户用于确定可用资源的应用和网站。
AD DS
Azure 虚拟桌面 VM 必须域加入 Active Directory 域服务 (AD DS) 服务,并且该服务必须与 Microsoft Entra ID 同步,才能在两个服务之间关联用户。 可以使用 Microsoft Entra Connect 将 AD DS 与 Microsoft Entra ID 集成。 可以使用仅限云的组织或具有混合标识的环境中的标识部署 Azure 虚拟桌面。
但是,基础结构必须满足特定要求才能支持 Azure 虚拟桌面。 必须具有:
- Microsoft Entra 组织。
- 与 Microsoft Entra ID 同步的域控制器。 可以在本地网络中部署域控制器,也可以将域控制器部署为在 Azure 虚拟网络中运行的 VM。 在本地网络中部署域控制器需要使用站点到站点 VPN 或 Azure ExpressRoute 连接到 Azure 虚拟网络。 你还可以使用 AD DS,Microsoft 可以在其中管理域控制器,而不用 Azure VM 中部署它们。
- 包含已或已连接到 AD DS 或 Microsoft Entra 域服务的虚拟网络的 Azure 订阅。
如果出现主要区域中断,维护 Active Directory 域控制器可用性至关重要。 如果没有可访问的 Active Directory 域控制器,用户将无法登录到其 Azure 虚拟桌面和 RemoteApp 实例。
虚拟网络
虚拟网络是 Azure 在其中设置 Azure 虚拟桌面 VM 和 AD DS 实例的关键组件。 在中断期间,Azure 虚拟桌面的网络连接可以正常运行,这一点很重要。 对于 Azure 虚拟桌面混合部署,必须使用站点到站点虚拟专用网络 (VPN) 或 Azure ExpressRoute 将虚拟网络与本地网络连接。 这需要仔细规划次要区域中的网络连接和与本地网络的连接。
会话主机
Azure 虚拟桌面提供对运行远程桌面或远程应用的会话主机的访问权限。 每个会话主机都有一个 Azure 虚拟桌面主机代理,该代理将 VM 注册为 Azure 虚拟桌面工作区或租户的一部分。 会话主机必须与 Microsoft Entra 域服务或 AD DS 通信。 由于 VM 可能不可用或操作系统可能已损坏,因此必须将其包含在 Azure 虚拟桌面的 BCDR 计划中。
图像
通过应用程序组配置会话主机时,可以选择映像。 可以选择 Microsoft 在 Azure 市场映像中提供的操作系统映像,例如:
- 适用于多会话的 Windows 11 或 Windows 10 企业版,无论是否使用 Microsoft 365 应用。
- Windows Server 2022 或 2019。
- 你自己的自定义映像存储在 Azure Compute 库中。
映像不会直接影响用户连接到会话主机 VM 的能力。 但是,在设置新的会话主机容量时,它们非常重要。 因此,创建主机时,必须备份它们并确保它们可用。 需要确保映像在次要区域中可用。
提示
尽管 Azure 计算库提供全局复制,但它不是全局资源。 对于灾难恢复方案,最佳做法是在不同区域中至少有两个库。
FSLogix
FSLogix 旨在漫游远程计算环境中的配置文件。 它将完整的用户配置文件存储在服务器邮件屏蔽 (SMB) 协议文件共享上的单个容器中(例如 Azure 文件存储或 Azure NetApp 文件)。 登录时,Azure 使用本机支持的虚拟硬盘 (VHD) 和 Hyper-V 虚拟硬盘 (VHDX) ,将此容器动态附加到计算环境。
FSLogix 配置文件对 Azure 虚拟桌面环境至关重要。 每当用户需要连接到桌面或 RemoteApp 并工作时,它们必须可用。 因此,FSLogix 配置文件必须复制并在多个区域中可用。
MSIX 应用附加
MSIX 应用附加将应用程序文件存储为独立于操作系统的 MSIX 映像 (VHD/VHDX/CIM)。 打开 MSIX 应用附加时,是从 VHD 访问应用程序文件的。 与 FSLogix 配置文件类似,应考虑复制另一个区域中的 MSIX 应用附加。