Architecture et résilience du service Azure Virtual Desktop

Azure Virtual Desktop est conçu pour fournir un service résilient, fiable et sécurisé aux organisations et aux utilisateurs. L'architecture Azure Virtual Desktop comprend de nombreux composants qui constituent le service reliant les utilisateurs à leurs bureaux et applications. La plupart des composants sont gérés par Microsoft, mais certains sont gérés par le client ou par le partenaire.

Microsoft fournit les composants de l'infrastructure de bureau virtuel (VDI) pour les fonctionnalités de base comme service. Ces composants sont les suivants :

  • Service web : fournit le site web côté utilisateur et le point de terminaison, et renvoie les informations de connexion à l'appareil de l'utilisateur.
  • Service de répartiteur : coordonne les connexions entrantes.
  • Service de passerelle : un service websocket qui assure la connectivité du protocole du bureau à distance (RDP) entre l'appareil d'un utilisateur, quel que soit l'endroit d'où il se connecte, et les hôtes de la session qui lui fournissent ses bureaux et applications.
  • Répertoire de ressources : fournit des informations pour indiquer au service web laquelle des multiples bases de données géographiques héberge les informations de connexion requises pour chaque utilisateur.
  • Base de données géographique : contient les fichiers de connexion (.rdp) et les icônes pour chaque ressource fournie à un utilisateur.

En outre, Azure Virtual Desktop utilise d'autres services Azure globaux, comme Azure Traffic Manager et Azure Front Door, pour diriger les utilisateurs vers les points d'entrée Azure Virtual Desktop les plus proches.

Vous êtes responsable de la création et de la gestion des hôtes de la session, y compris des personnalisations de l'image du système d'exploitation et des applications, de la connectivité du réseau virtuel, de la résilience, de la sauvegarde et de la récupération de ces hôtes de la session. Vous fournissez et gérez également les identités des utilisateurs et contrôlez l'accès au service. Vous pouvez utiliser d'autres services Azure pour répondre à vos exigences, notamment :

  • les zones de disponibilité Azure pour distribuer vos hôtes de session entre des emplacements de centre de données physiquement distincts au sein d'une région Azure, chacun avec une alimentation, un refroidissement et une mise en réseau indépendants.
  • la sauvegarde Azure pour sauvegarder et restaurer les hôtes de votre session.
  • Azure Site Recovery pour répliquer les hôtes de la session dans une autre région Azure.
  • Azure Advisor pour vous aider à optimiser vos ressources Azure.

Ce diagramme de haut niveau illustre les composants et les responsabilités :

Diagramme indiquant qui gère les composants d’Azure Virtual Desktop.

Connexions utilisateur

Lorsqu'un utilisateur souhaite accéder à ses bureaux et applications dans Azure Virtual Desktop, plusieurs composants contribuent à la réussite de la connexion. Il existe deux séquences distinctes :

  1. Détection de flux. Le flux est la liste des bureaux et applications disponibles pour l'utilisateur.
  2. Une connexion utilisant le protocole RDP (Remote Desktop Protocol) pour un hôte de session.

Détection de flux

Lors de la détection de flux, les bureaux et applications disponibles pour l'utilisateur sont renseignés dans l'application sur son appareil local. Le flux contient toutes les informations nécessaires à la connexion.

Le processus de détection de flux est le suivant :

  1. L'utilisateur peut se trouver n'importe où dans le monde. Azure Traffic Manager dirige l'appareil de l'utilisateur vers l'instance la plus proche du service web Azure Virtual Desktop via la méthode de routage géographique du trafic, qui utilise l'adresse IP source de l'appareil de l'utilisateur.

  2. Le service web se connecte au service de répartiteur Azure Virtual Desktop dans la même région Azure pour récupérer les fichiers RDP et les icônes d'application pour le flux de l'utilisateur. Le service de répartiteur se connecte à la base de données géographique et au répertoire de ressources Azure Virtual Desktop dans la même région afin de récupérer les informations.

  3. Le service de répartiteur renvoie les fichiers RDP et les icônes d'application au service web, qui renvoie à son tour les informations à l'appareil de l'utilisateur.

    Trouvez ci-dessous un diagramme de haut niveau illustrant le processus de détection de flux dans une seule région Azure :

    Diagramme illustrant le processus de détection de flux dans une seule région Azure.

    La base de données géographique ne contient que les informations requises pour les bureaux et applications des pools d'hôtes situés dans les mêmes régions Azure que celles couvertes par la géographie. Si l'utilisateur se voit attribuer des bureaux et applications d'un pool d'hôtes couvert par une autre région géographique, le répertoire des ressources indique au service web de se connecter au service de répartiteur et à la base de données géographique dans la bonne région Azure.

    Trouvez ci-dessous un diagramme de haut niveau illustrant le processus de détection de flux pour un pool d'hôtes dans une région Azure couverte par une autre géographie :

    Diagramme illustrant le processus de détection de flux pour un pool d’hôtes dans une région Azure couverte par une autre géographie.

Connexion RDP

Lorsqu'un utilisateur se connecte à un bureau ou à une application à partir de son flux, la connexion RDP est établie comme suit :

  1. Toutes les sessions à distance commencent par une connexion à Azure Front Door, qui constitue le point d'entrée global d'Azure Virtual Desktop. Azure Front Door détermine le service de passerelle Azure Virtual Desktop présentant le temps de latence le plus faible pour l'appareil de l'utilisateur et dirige la connexion vers ce service.

  2. Le service de passerelle se connecte au service de répartiteur dans la même région Azure. Le service de passerelle permet aux hôtes de la session de se trouver dans n'importe quelle région et d'être toujours accessibles aux utilisateurs.

  3. Le service de répartiteur prend le relais et coordonne la connexion entre l'appareil de l'utilisateur et l'hôte de la session. Le service de répartiteur demande à l'agent Azure Virtual Desktop exécuté sur l'hôte de la session de se connecter au même service de passerelle que celui par lequel l'appareil de l'utilisateur s'est connecté.

  4. À cette étape, l'un des deux types de connexion est établi, en fonction de la configuration et des protocoles réseau disponibles :

    1. Transport par connexion inverse : une fois le client et l'hôte de la session connectés au service de passerelle, ce dernier commence à relayer le trafic RDP à l'aide du protocole TCP entre le client et l'hôte de la session. Le transport par connexion inverse est le type de connexion par défaut.

    2. RDP Shortpath : un transport direct basé sur le protocole UDP (User Datagram Protocol) est créé entre l'appareil de l'utilisateur et l'hôte de la session, sans passer par le service de passerelle.

Trouvez ci-dessous un diagramme de haut niveau illustrant le processus de connexion RDP :

Diagramme illustrant le processus de connexion RDP.

Conseil

Pour en savoir plus sur la connectivité réseau, reportez-vous à Compréhension de la connectivité réseau Azure Virtual Desktop et à Shortpath RDP pour Azure Virtual Desktop.

Résilience de service

Azure Virtual Desktop est conçu pour résister aux défaillances et fournir un service fiable aux utilisateurs. Le service est conçu pour résister aux défaillances des différents composants et pour pouvoir rapidement récupérer de ces défaillances.

Les composants Azure Virtual Desktop gérés par Microsoft sont actuellement répartis dans une quarantaine de régions Azure afin d'être plus proches des utilisateurs et de fournir un service résilient. La résilience a été mise en œuvre à l'échelle mondiale, géographique et au sein d'une région Azure de la manière suivante :

  • Azure Traffic Manager dirige le trafic pour le service web et Azure Front Door dirige le trafic pour le service de passerelle. En cas de défaillance entraînant l'indisponibilité du service web ou du service de passerelle à partir d'une région Azure, ou en cas de défaillance de l'ensemble d'une région, le trafic est redirigé vers l'instance disponible la plus proche dans la région la plus proche. La redirection du trafic permet aux utilisateurs de continuer à établir de nouvelles connexions.

  • La base de données géographique utilise les fonctionnalités de basculement et de réplication des données Azure SQL Database au sein de chaque zone géographique. En cas de défaillance de la base de données, celle-ci bascule sur la réplica secondaire et le fonctionnement normal reprend. Il est impossible d'établir de nouvelles connexions pendant une courte période, jusqu'à ce que le basculement soit terminé. Cependant, ce basculement n'affecte pas les connexions existantes.

  • Le répertoire de ressources, le service de répartiteur, le service web et le service de passerelle sont tous disponibles dans chacune des régions Azure où se trouvent les composants gérés par Microsoft pour Azure Virtual Desktop. Chaque composant possède plusieurs instances afin d'éviter tout point de défaillance unique. Chaque région Azure dispose d'au moins six instances ou clusters distincts et séparés de chaque composant, qui fonctionnent de manière indépendante pour résister aux défaillances des instances.

    Par exemple, une région dispose de suffisamment d'instances du service de passerelle pour répondre à la demande, mais également d'une capacité suffisante pour pallier les défaillances de ces instances. En cas de défaillance d'une instance du service de passerelle, toutes les connexions RDP basées sur TCP qui sont relayées par cette instance particulière du service de passerelle sont annulées. Lorsque ces utilisateurs déconnectés se reconnectent, les instances restantes traitent les demandes et reconnectent chaque utilisateur à sa session. Toutes les autres sessions gérées par d'autres instances du service de passerelle ne sont pas affectées.

Trouvez ci-dessous un diagramme de haut niveau illustrant comment les composants gérés par Microsoft sont interconnectés :

Diagramme illustrant la façon dont les composants gérés par Microsoft sont interconnectés.

Les autres services Azure sur lesquels repose Azure Virtual Desktop sont eux-mêmes conçus pour être résilients et fiables. Pour en savoir plus, reportez-vous à Azure Traffic Manager et à Azure Front Door.

Portée globale

Azure Virtual Desktop est un service qui peut aider les organisations à s'adapter aux exigences de leurs employés, en particulier ceux en télétravail. Il s'agit d'un moyen sûr, fiable et flexible de fournir des bureaux et applications pratiquement n'importe où. Azure Virtual Desktop est conçu pour être résilient. En effet, ce service utilise les fonctionnalités et services Azure qui aident à garantir un service hautement disponible pour vos charges de travail.

Voici une carte illustrant la portée mondiale d'Azure Virtual Desktop :

Carte illustrant la portée mondiale d’Azure Virtual Desktop.

Pour en savoir plus sur les emplacements où Azure Virtual Desktop a stocké les données relatives aux objets de service, reportez-vous à Emplacements des données pour Azure Virtual Desktop.