Principi di progettazione di Desktop virtuale Azure
Le linee guida sui carichi di lavoro di Desktop virtuale Azure si basa su Azure Well-Architected Framework e sui cinque pilastri dell'eccellenza dell'architettura. La tabella seguente elenca ogni pilastro e un riepilogo degli obiettivi.
| pilastro Well-Architected Framework | Riepilogo |
|---|---|
| Affidabilità | Un ambiente desktop virtuale richiede un elevato livello di affidabilità del servizio per garantire un'esperienza utente coerente e ininterrotta. È essenziale stabilire un'infrastruttura affidabile che consenta l'accesso affidabile e prestazioni ottimali dell'ambiente desktop virtuale. Valutare le distribuzioni di desktop virtuali, in particolare quelle integrate con i servizi nativi di Azure. In particolare, valutare i servizi di calcolo, rete e archiviazione nativi usati dalla distribuzione. Valutare anche i prodotti di terze parti e le soluzioni partner usate con Desktop virtuale Azure. Questi componenti influiscono sull'affidabilità, perché fanno parte della progettazione della zona di destinazione. Questo approccio consente di garantire un'esperienza utente semplice e affidabile. |
| Sicurezza | Il pilastro della sicurezza è incentrato sull'implementazione di strategie per proteggere il carico di lavoro dalle minacce e dalle vulnerabilità. La sicurezza include anche considerazioni per il rischio Insider e la protezione dalla perdita dei dati. All'interno di Desktop virtuale Azure, è fondamentale valutare gli argomenti di sicurezza end-to-end. Questi argomenti spaziano dalla gestione delle identità e degli accessi (IAM), dai sistemi operativi, dalle applicazioni, dalla rete e dalle piattaforme di Azure ai dati. È consigliabile esaminare o sviluppare strategie per incorporare un'ampia gamma di livelli di sicurezza nell'ambiente Di Azure. Queste strategie devono coprire i desktop e le applicazioni presentate in Desktop virtuale Azure. |
| Ottimizzazione dei costi | Quando si ottimizza l'ambiente desktop virtuale per i costi, si soddisfano le aspettative di prestazioni impostate in base ai requisiti aziendali. È anche possibile ridurre il costo totale di proprietà riducendo al minimo l'overspending. È possibile ridurre il costo totale di proprietà sfruttando la potenza dell'infrastruttura hyperscale di Desktop virtuale Azure. L'ottimizzazione dei costi per Desktop virtuale Azure prevede diversi passaggi. Gli esempi includono la scelta delle macchine virtuali di dimensioni appropriate, l'uso di istanze riservate o piani di risparmio, la configurazione di piani di scalabilità e l'uso di Gestione costi Microsoft per monitorare e ottimizzare la spesa. È importante valutare continuamente le distribuzioni di Desktop virtuale Azure per tenere traccia dell'utilizzo e identificare le opportunità di ottimizzazione dei carichi di lavoro. |
| Efficienza delle prestazioni | Efficienza delle prestazioni è incentrata sulla capacità dell'ambiente di soddisfare o superare i requisiti aziendali impostati per desktop virtuale e applicazioni. Nell'ambiente Desktop virtuale Azure è possibile soddisfare le prestazioni necessarie con l'efficienza ideale assicurandosi di selezionare famiglie e tipi di calcolo ottimali. Se si usano i profili FSLogix, è anche necessario selezionare l'archiviazione ottimale. In generale, è fondamentale valutare e testare una serie di configurazioni di macchine virtuali per comprendere in che modo gli utenti e i carichi di lavoro usano le risorse di Azure che costituiscono gli host di sessione all'interno di Desktop virtuale Azure. Dopo la distribuzione, è consigliabile monitorare continuamente l'utilizzo delle risorse di produzione per assicurarsi di soddisfare o superare le prestazioni di destinazione desiderate. |
| Eccellenza operativa | Applicare i principi di DevOps all'interno del team del carico di lavoro di Desktop virtuale Azure. Incoraggiare l'adozione di una mentalità DevOps, lo sviluppo di standard e l'approccio di esecuzione durante l'evoluzione. Con Desktop virtuale Azure è possibile definire procedure di configurazione per la distribuzione, la gestione e la gestione dei carichi di lavoro con facilità. Queste procedure possono comportare l'uso di modelli di azure Resource Manager, Bicep, Terraform e altre forme di infrastruttura come codice (IaC). Per personalizzare gli host di sessione, è possibile automatizzare la compilazione delle immagini usando strumenti come la funzionalità del modello di immagine personalizzata con Azure DevOps. Queste strategie DevOps e altri consentono all'organizzazione di stabilire, gestire e gestire in modo efficiente gli ambienti desktop virtuale Azure. |
Importante
Questo articolo fa parte della serie di carichi di lavoro di Desktop virtuale Azure Well-Architected Framework di Azure . Se non si ha familiarità con questa serie, è consigliabile iniziare con Che cos'è un carico di lavoro di Desktop virtuale Azure?.
Affidabilità
L'affidabilità è un pilastro fondamentale in un ambiente Desktop virtuale Azure. Le interruzioni possono materializzare in locale e nel cloud. Di conseguenza, è necessario prestare attenzione meticolosa ai componenti desktop virtuali, inclusi i servizi di Azure e l'infrastruttura locale. Valutare i dati utente (profili), le applicazioni e i requisiti di disponibilità di calcolo del carico di lavoro per determinare la strategia per la continuità aziendale e il ripristino di emergenza. Prendere in considerazione i diversi livelli di disponibilità che si ottengono in Desktop virtuale Azure con diverse opzioni di distribuzione, ad esempio pool di host attivo-attivo o attivo-passivo. Valutare anche le considerazioni sulla progettazione del ripristino di emergenza per garantire failover uniformi durante le interruzioni.
- La resilienza si riferisce al ripristino da errori e alla gestione delle funzionalità.
- La disponibilità garantisce un tempo di attività ininterrotto. La disponibilità elevata riduce al minimo i tempi di inattività delle applicazioni durante le attività di manutenzione critiche. Migliora anche il ripristino da eventi imprevisti come arresti anomali delle macchine virtuali, aggiornamenti back-end, tempi di inattività estesi e attacchi ransomware.
Per ottenere l'affidabilità è necessario un approccio completo che si estende su architettura, procedure operative, automazione, monitoraggio, test regolari e convalida.
- Definire i contratti di servizio. La definizione di contratti di servizio ben definiti è fondamentale per promuovere l'affidabilità. Questi contratti specificano aspettative precise per la disponibilità e le prestazioni delle sessioni e dei profili utente. In questo modo, essi consentono di definire un punto di riferimento chiaro che è possibile usare per valutare l'efficacia operativa del sistema.
- Sviluppare strategie di ridimensionamento efficaci. Con il ridimensionamento verticale, si opta per uno SKU di macchina virtuale allineato alle esigenze delle risorse delle sessioni utente. È anche possibile tenere conto di aspetti come i requisiti di CPU e memoria. Con il ridimensionamento orizzontale, si aggiungono istanze di macchine virtuali aggiuntive per soddisfare le richieste di escalation, garantendo al tempo di mantenere la stabilità del sistema.
- Progettare per la disponibilità elevata. Questo processo comporta l'integrazione di meccanismi di ridondanza e failover che consentono di garantire operazioni senza interruzioni. La disponibilità elevata riduce al minimo le potenziali interruzioni e garantisce agli utenti un'esperienza senza problemi anche durante gli eventi imprevisti.
- Implementare la tolleranza di errore. L'inclusione dell'archiviazione a tolleranza di errore svolge un ruolo fondamentale per salvaguardare l'integrità e la disponibilità dei profili mobili e dei dati utente. Questa strategia offre un livello di protezione contro la perdita di dati, assicurandosi che i dati utente essenziali rimangano intatti e accessibili durante gli errori.
- Informazioni sulle funzionalità di backup e ripristino. Procedure di backup affidabili consentono di garantire la continuità operativa in caso di avversità.
Sicurezza
In un modello di responsabilità condivisa:
- Le organizzazioni sono principalmente responsabili della gestione e del funzionamento dei carichi di lavoro di Desktop virtuale Azure.
- Microsoft gestisce il piano di controllo che supporta un carico di lavoro di Desktop virtuale Azure.
È consigliabile valutare regolarmente i servizi e le tecnologie per garantire che il comportamento di sicurezza si adatti ai paesaggi delle minacce in evoluzione. Quando si collabora con i fornitori per implementare misure di sicurezza appropriate, è essenziale stabilire una chiara comprensione del modello di responsabilità condivisa.
È possibile usare diversi metodi per proteggere l'ambiente desktop virtuale:
- Isolamento della rete. Usare tecniche di isolamento della rete, ad esempio subnet e gruppi di sicurezza di rete, per rafforzare le interazioni tra i servizi nativi di Azure. Questa compartimentazione migliora la sicurezza complessiva.
- Gestione delle patch. Applicare regolarmente patch e aggiornamenti per rafforzare la difesa dalle vulnerabilità che possono essere sfruttate.
- Controlli ambientali. I controlli regolari dell'ambiente forniscono informazioni dettagliate sui potenziali gap di sicurezza. Questa pratica facilita l'identificazione precoce e la correzione delle vulnerabilità.
- Informazioni di sicurezza e gestione degli eventi (SIEM). Usare una soluzione SIEM come Microsoft Sentinel. Questo strumento offre il monitoraggio in tempo reale degli eventi di sicurezza, che consente di rispondere tempestivamente alle potenziali minacce.
- Crittografia dei dati. Implementare meccanismi di crittografia per i dati inattivi e i dati in transito. Questa procedura consente di garantire la riservatezza e l'integrità dei dati, anche durante i tentativi di accesso non autorizzati.
-
Gestione delle identità e degli accessi.
- Autenticazione a più fattori: rafforzare il processo di verifica dell'identità applicando l'autenticazione a più fattori. Questa procedura consente di scoraggiare i tentativi di accesso non autorizzati.
- Integrazione con Microsoft Entra ID: delegare la gestione delle identità e degli accessi a Microsoft Entra ID per il controllo degli accessi semplificato.
- Principio dei privilegi minimi: ridurre al minimo il rischio di uso improprio applicando il principio dei privilegi minimi. Usare questo principio per limitare l'accesso alle risorse in base ai ruoli che si concentrano sui metodi JEA (Just-Enough Access) e JIT (Just-In-Time Access).
- Controllo degli accessi in base al ruolo: promuovere l'accesso controllato usando il controllo degli accessi in base al ruolo di Azure per assegnare autorizzazioni basate su ruoli predefiniti.
Ottimizzazione dei costi
Desktop virtuale Azure è una modernizzazione conveniente di Servizi Desktop remoto. Alcuni componenti vengono rimossi dall'infrastruttura e forniti come servizi nativi a tutte le aree di Azure. Desktop virtuale Azure riduce i requisiti per le licenze CAL (Client Access License) di Windows Server e Servizi Desktop remoto offrendo Windows 10 o Windows 11 Enterprise desktop remoti multisessione. In questi desktop è supportato l'uso delle licenze microsoft 365 esistenti per utente. Questo supporto offre vantaggi ai carichi di lavoro che dispongono solo di applicazioni supportate nei sistemi operativi moderni.
Alcune considerazioni e metodi chiave per l'ottimizzazione dei costi di Desktop virtuale Azure includono:
Uso di macchine virtuali convenienti. La scelta della macchina virtuale di dimensioni appropriate consente di assicurarsi di non pagare più risorse di quanto necessario. Determinare la serie di macchine virtuali più adatta al consumo delle risorse della macchina virtuale del carico di lavoro. Trovare un equilibrio appropriato tra prestazioni ed efficacia dei costi.
Istanze riservate o piani di risparmio. Azure offre istanze riservate e piani di risparmio. Quando si usano questi piani, è possibile risparmiare impegnandosi a un periodo di un anno o tre anni per le macchine virtuali. Questa strategia fornisce prezzi prevedibili e consente di ridurre i costi nel tempo.
Gestione costi collabora con Azure Advisor per identificare le opportunità di risparmio per le istanze riservate e i piani di risparmio. Assicurarsi di ottimizzare i carichi di lavoro di Desktop virtuale Azure prima di eseguire il commit in istanze riservate o piani di risparmio. Tenere inoltre presente come le istanze riservate e i piani di risparmio differiscono in relazione all'ambito e al consumo condiviso di piani e istanze.
Tag del servizio. Anziché usare indirizzi IP specifici per i servizi di Azure, è possibile usare i tag del servizio. Poiché gli indirizzi cambiano, questo approccio riduce al minimo la complessità dell'aggiornamento frequente delle regole di sicurezza di rete. Riducendo il lavoro necessario per la gestione delle reti, i tag di servizio consentono di ridurre i costi complessivi.
Piani di ridimensionamento. Con Desktop virtuale Azure è possibile configurare piani di scalabilità per le macchine virtuali. Questa strategia riduce i costi assicurandosi che il numero corretto di host di sessione sia in esecuzione quando necessario.
Gestione costi. Quando si usa Gestione costi, è possibile monitorare e ottimizzare la spesa di Azure. È possibile usare questo strumento per identificare le aree in cui è possibile ridurre i costi e ottimizzare la distribuzione di Desktop virtuale Azure. In particolare, è possibile creare budget in Gestione costi ed è possibile impostare avvisi per tali budget. Quando la spesa supera il budget, viene attivata una revisione per esaminare il motivo per cui i costi sono aumentati oltre il livello impostato.
Tenere presente che le funzionalità dell'hardware di Azure si espandono frequentemente. Di conseguenza, le opportunità vengono regolarmente offerte ai carichi di lavoro per ottimizzare ulteriormente i costi, eliminare gli sprechi e migliorare i rapporti tra prestazioni e costi. Le organizzazioni trovano vantaggioso rivedere e modificare periodicamente le misure di risparmio dei costi.
Efficienza delle prestazioni
Questo pilastro è incentrato sull'ottimizzazione dei carichi di lavoro che eseguono l'ambiente Desktop virtuale Azure. Tale attenzione include molti aspetti:
- Allocazione delle dimensioni, della famiglia e del numero appropriati di host di sessione
- Monitoraggio continuo delle prestazioni e rilevamento delle anomalie tramite strumenti come Monitoraggio di Azure, Log Analytics, Application Insights e avvisi
- Configurazione di un piano di ridimensionamento appropriato in modo da avere un numero ideale di host di sessione disponibili per gli utenti
Considerando ognuno di questi aspetti, è possibile creare un ambiente Desktop virtuale Azure che offre un'esperienza utente coerente e coerente.
Eccellenza operativa
In Desktop virtuale Azure, l'eccellenza operativa garantisce coerenza, ripetibilità e stabilità delle procedure operative nelle fasi di sviluppo, distribuzione e funzionamento.
- Uso di IaC per la distribuzione ripetibile e coerente.
- Monitoraggio appropriato delle risorse per mantenere l'integrità dell'ambiente.
- Una pipeline di integrazione continua/recapito continuo (CI/CD) adeguata che consente di ottenere:
- Ripristino di emergenza tempestivo.
- Test di preproduzione.
- Replica delle risorse.
- Implementazione della governance guidata dai criteri di Azure per garantire la sicurezza e la conformità all'interno delle aree tecniche aziendali.
- Progettazione di uno schema di delega controllo degli accessi in base al ruolo che implementa l'accesso con privilegi minimi usando ruoli predefiniti di Desktop virtuale Azure per semplificare il processo di assegnazione e gestione delle autorizzazioni di accesso.
- Gestione degli standard di governance e conformità per il pool di host.
- Documentazione che copre tutti i punti di questo elenco.
Questi passaggi consentono ai team di collaborare in modo efficiente e trasparente.
Passaggi successivi
I principi di progettazione sono incorporati in aree di progettazione tecniche specifiche. Ogni area offre indicazioni mirate che consentono di accedere rapidamente alle informazioni necessarie per migliorare la produttività in un periodo di tempo minimo. Considerare le intestazioni come strumenti di spostamento che consentono di orientarsi nella giusta direzione per la rete, l'infrastruttura di base, il recapito delle applicazioni, il monitoraggio, la sicurezza e le procedure operative.
Per iniziare, esaminare le considerazioni sulla progettazione per il recapito delle applicazioni necessarie per supportare un carico di lavoro.