Integrare un carico di lavoro di Desktop virtuale Azure con le zone di destinazione di Azure
Il trasferimento dei desktop degli utenti finali di un'organizzazione nel cloud costituisce uno scenario comune nelle migrazioni al cloud. Questa operazione consente di migliorare la produttività dei dipendenti e accelerare la migrazione di diversi carichi di lavoro per supportare l'esperienza utente dell'organizzazione. Ogni organizzazione gestisce i carichi di lavoro e gestisce il proprio ambiente cloud in modo univoco. I modelli operativi cloud comuni sono decentralizzati, centralizzati, aziendali e distribuiti.
La differenza più importante tra i vari modelli è il livello di proprietà. Nel modello decentralizzato, i proprietari del carico di lavoro hanno autonomia senza alcuna supervisione IT centrale per la governance. Ad esempio, gestiscono i propri requisiti di rete, monitoraggio e identità. All'altra estremità dello spettro è il modello centralizzato, in cui i proprietari del carico di lavoro rispettano i requisiti di governance impostati dai team IT centrali.
Per una descrizione dettagliata dei modelli, vedere Esaminare e confrontare i modelli operativi cloud comuni.
In qualità di proprietario del carico di lavoro, è necessario comprendere il modello operativo usato dall'organizzazione. Questa scelta influisce sulle decisioni tecniche responsabili e sui requisiti tecnici applicati per i team centrali.
Per sfruttare al meglio le funzionalità e le funzionalità di Desktop virtuale Azure, è consigliabile sfruttare le procedure consigliate applicabili alle organizzazioni. La piattaforma offre flessibilità e flessibilità, che consente all'ambiente Desktop virtuale Azure di supportare la crescita futura.
Importante
Questo articolo fa parte della serie di carichi di lavoro di Desktop virtuale Azure Well-Architected Framework di Azure . Se non si ha familiarità con questa serie, è consigliabile iniziare con Che cos'è un carico di lavoro di Desktop virtuale Azure?.
Zone di destinazione di Azure
Una zona di destinazione di Azure è un'architettura concettuale che illustra il footprint complessivo del cloud per un'organizzazione. Ha più sottoscrizioni, ognuna con uno scopo univoco. I team centrali possiedono alcune delle sottoscrizioni, ad esempio le zone di destinazione della piattaforma Azure.
Per acquisire familiarità con il concetto di zone di destinazione di Azure, vedere Che cos'è una zona di destinazione di Azure?.
Importante
Desktop virtuale Azure presenta considerazioni e requisiti specifici, in particolare quelli correlati alle integrazioni con i servizi di Azure. L'acceleratore di zona di destinazione di Desktop virtuale Azure e le linee guida di Azure Well-Architected Framework per Desktop virtuale Azure puntano a evidenziare queste personalizzazioni necessarie. Queste risorse incorporano anche Cloud Adoption Framework prospettive per un approccio olistico alla conformità al cloud.
Scaricare un file di Visio di questa architettura.
Zone di destinazione della piattaforma
Desktop virtuale Azure deve interagire con più servizi esterni. I team centrali potrebbero possedere alcuni di questi servizi come parte delle zone di destinazione della piattaforma. Esempi di questi servizi includono servizi di gestione delle identità, connettività di rete e servizi di sicurezza. L'interazione con questi servizi esterni è un problema fondamentale. Per essere completamente funzionante, un carico di lavoro di Desktop virtuale Azure richiede al team della piattaforma e al team del carico di lavoro di condividere la stessa mentalità responsabile.
Per una dimostrazione delle zone di destinazione della piattaforma necessarie per l'esecuzione di un carico di lavoro di Desktop virtuale Azure, vedere Analisi della zona di destinazione di Azure per Desktop virtuale Microsoft Azure. Questo articolo descrive una solida base della piattaforma che accelera la migrazione da un ambiente locale a un cloud privato di Desktop virtuale Azure.
Zone di destinazione dell'applicazione
Esiste una sottoscrizione separata, nota anche come zona di destinazione dell'applicazione Azure, destinata ai proprietari del carico di lavoro. Questa zona di destinazione dell'applicazione è la posizione in cui si distribuisce il carico di lavoro di Desktop virtuale Azure. Ha accesso alle zone di destinazione della piattaforma che forniscono l'infrastruttura di base che è necessario eseguire il carico di lavoro. Gli esempi includono rete, gestione dell'accesso alle identità, criteri e infrastruttura di monitoraggio.
Indicazioni sulle zone di destinazione delle applicazioni si applicano ai carichi di lavoro di Desktop virtuale Azure. Per altre informazioni, vedere Zone di destinazione della piattaforma e zone di destinazione dell'applicazione. Queste indicazioni includono raccomandazioni per la governance e la gestione efficiente del carico di lavoro.
Per una dimostrazione di una zona di destinazione dell'applicazione per un carico di lavoro di Desktop virtuale Azure, vedere l'architettura di riferimento di base in Architetture di esempio per Desktop virtuale Azure.
Integrazione dell'area di progettazione
In questa sezione viene evidenziata la solida base fornita dalla piattaforma. La discussione riguarda anche le aree di responsabilità condivisa tra il team della piattaforma e il team del carico di lavoro.
Responsabilità della piattaforma
Il team della piattaforma Desktop virtuale Azure garantisce che l'infrastruttura sia pronta per la compilazione dei team del carico di lavoro. Alcune attività comuni includono:
- Gestione della capacità impostando le quote di sottoscrizione e di area sufficienti per la distribuzione.
- Protezione e ottimizzazione della connettività a sistemi locali, Azure e Internet. Questa attività include il routing, la configurazione delle voci del firewall e la gestione di appliance di rete centralizzate.
- Gestione delle integrazioni di Azure, ad esempio le integrazioni con Archiviazione di Azure, Monitoraggio di Azure, Log Analytics, Microsoft Entra ID e Azure Key Vault.
Responsabilità condivise
Il team del carico di lavoro e il team della piattaforma hanno responsabilità distinte. Ma entrambi i team spesso collaborano a stretto contatto per garantire la disponibilità e la recuperabilità del carico di lavoro. I team coordinano le attività per il successo complessivo dei carichi di lavoro eseguiti in Desktop virtuale Azure. Una collaborazione efficace tra la piattaforma e i team delle applicazioni è fondamentale per la corretta distribuzione di Desktop virtuale Azure.
Le aree di progettazione della piattaforma e delle zone di destinazione dell'applicazione sono strettamente associate.
- Per una descrizione delle modifiche apportate alle risorse della piattaforma necessarie per un carico di lavoro, vedere Revisione della zona di destinazione di Desktop virtuale Azure di Azure.
- Per una descrizione della specifica tecnica di un carico di lavoro, vedere Quali sono le aree di progettazione chiave?.
Area di progettazione - Registrazione aziendale
Il team della piattaforma cloud deve comprendere la registrazione aziendale esistente o Microsoft Entra decisioni del tenant.
Area di progettazione : gestione delle identità e degli accessi (IAM)
L'identità è fondamentale per la funzionalità Desktop virtuale Azure, perché gli utenti devono essere autenticati per usare il servizio. Il team della piattaforma è responsabile della progettazione di una soluzione di gestione delle identità, che potrebbe comportare Microsoft Entra ID, Microsoft Entra Domain Services o Active Directory Domain Services (AD DS). Il team della piattaforma garantisce anche che l'ambiente Desktop virtuale Azure mantenga una linea di vista per i servizi di gestione delle identità.
| Responsabilità del team della piattaforma | Responsabilità del team del carico di lavoro |
|---|---|
| - Progettazione di servizi di gestione delle identità per Microsoft Entra ID, Domain Services, Active Directory Domain Services e Microsoft Entra Connect - Uso del controllo degli accessi in base al ruolo per implementare la separazione dei compiti - Configurazione dei criteri di accesso condizionale Microsoft Entra - Gestione delle unità organizzative e dei criteri di gruppo di Active Directory |
- Uso delle assegnazioni di controllo degli accessi in base al ruolo per controllare l'accesso alle sessioni e all'infrastruttura di Desktop virtuale Azure a scopo di gestione |
Area di progettazione - Rete e connettività
La connettività dei servizi della piattaforma è un concetto chiave di rete. Il team della piattaforma è responsabile di garantire che l'ambiente Desktop virtuale Azure disponga di una connettività appropriata a:
- Servizi di identità per l'autenticazione.
- Dns (Domain Name System) per la risoluzione corretta.
- Altri carichi di lavoro in un ambiente ibrido.
Le responsabilità del team della piattaforma includono:
- Configurazione di endpoint privati e zone DNS private.
- Assicurarsi che vengano affrontate le considerazioni su larghezza di banda, latenza e qualità del servizio.
- Implementazione dei criteri di sicurezza di rete.
- Garantire l'accesso agli endpoint Internet necessari.
- Pianificazione della continuità aziendale e del ripristino di emergenza.
Area di progettazione : organizzazione delle risorse
Le responsabilità del team della piattaforma includono la strutturazione di gruppi di gestione e gruppi di risorse per semplificare la gestione degli accessi. Questa responsabilità include la definizione di standard di denominazione e assegnazione di tag. Il team del carico di lavoro garantisce la conformità a questi standard.
Area di progettazione - Gestione
| Responsabilità del team della piattaforma | Responsabilità del team del carico di lavoro |
|---|---|
| - Pianificazione e sviluppo di una strategia di monitoraggio - Uso di Criteri di Azure per applicare la conformità su scala aziendale - Sviluppo di una strategia di gestione dei costi |
- Configurazione della distribuzione di Desktop virtuale Azure per il monitoraggio - Gestione dell'accesso utente - Monitoraggio di Desktop virtuale Azure e collaborazione con il team della piattaforma sulle esigenze di monitoraggio - Impostazione di budget e avvisi - Gestione dell'esperienza utente e del supporto - Garantire la conformità alle linee guida per la piattaforma e il monitoraggio |
Area di progettazione : continuità aziendale e ripristino di emergenza
| Responsabilità del team della piattaforma | Responsabilità del team del carico di lavoro |
|---|---|
| - Progettazione di una strategia di continuità aziendale e ripristino di emergenza, inclusa la definizione degli obiettivi del punto di ripristino (RPO) e gli obiettivi del tempo di ripristino (RTO) - Coordinamento con il team del carico di lavoro per garantire la continuità aziendale e l'allineamento del ripristino di emergenza |
- Configurazione dell'infrastruttura e dei componenti di Desktop virtuale Azure per allinearsi alla strategia di continuità aziendale e ripristino di emergenza - Implementazione di procedure di ripristino di emergenza - Formazione degli utenti sull'uso appropriato di Desktop virtuale Azure |
Area di progettazione - Sicurezza e governance
| Responsabilità del team della piattaforma | Responsabilità del team del carico di lavoro |
|---|---|
| - Informazioni su ciò che l'organizzazione deve rispettare i requisiti normativi come gli standard HIPAA (Health Insurance Portability and Accountability Act), National Institute of Standards and Technology (NIST) e gli standard PCI (Payment Card Industry) e l'uso di Microsoft Defender for Cloud per applicare gli standard di conformità - Garantire che le risorse del piano di gestione vengano distribuite in aree geografiche in modo da soddisfare i requisiti di residenza dei dati - Uso di Microsoft Entra criteri di accesso condizionale e autenticazione a più fattori per proteggere l'accesso degli utenti - Garantire che venga usato uno strumento siem (Security Information and Event Management) come Microsoft Sentinel per raccogliere e monitorare i dati delle attività di utenti e amministratori - Abilitazione delle valutazioni gestione di minacce e vulnerabilità, ad esempio, tramite l'integrazione con Defender for Cloud o una soluzione di gestione delle vulnerabilità di terze parti - Configurazione di un firewall e uso di tag di servizio e gruppi di sicurezza delle applicazioni per definire le regole di accesso alla rete - Creazione di un'unità organizzativa dedicata in Active Directory per gli host di sessione di Desktop virtuale Azure - Uso di Criteri di Azure configurazioni guest per controllare e rafforzare i sistemi operativi host sessione - Abilitazione della crittografia del disco - Monitoraggio del traffico di rete e implementazione della protezione DDoS (Distributed Denial of Service) |
- Uso del principio di accesso con privilegi minimi e del controllo degli accessi in base al ruolo di Azure per stabilire ruoli amministrativi, operativi e di progettazione - Applicazione di criteri di gruppo dedicati alle unità organizzative di Desktop virtuale Azure - Gestione delle patch e della protezione avanzata degli host di sessione - Monitoraggio e gestione delle attività degli utenti |
Area di progettazione: considerazioni sull'automazione della piattaforma e su DevOps
| Responsabilità del team della piattaforma | Responsabilità del team del carico di lavoro |
|---|---|
| - Sviluppo di un'infrastruttura come codice (IaC) e strategie DevOps | - Creazione di immagini - Gestione di una pipeline di compilazione di immagini - Aggiornamento dei pool di host - Installazione di applicazioni - Gestione delle distribuzioni del linguaggio |
Area di progettazione - Procedure operative
Le procedure operative consentono di garantire la sicurezza delle applicazioni eseguite in Desktop virtuale Azure. Le procedure operative aiutano anche nell'ambito del controllo degli accessi.
| Responsabilità del team della piattaforma | Responsabilità del team del carico di lavoro |
|---|---|
| Controllo dell'accesso alla piattaforma definendo ruoli utente e autorizzazioni nell'ambiente Desktop virtuale Azure | - Analisi delle prestazioni e della latenza delle distribuzioni di Desktop virtuale Azure per ottenere informazioni dettagliate sulle possibili aree di miglioramento - Aggiornamento del sistema operativo, delle applicazioni e di FSLogix - Gestione delle chiavi - Gestione di FSLogix e analisi dei dati per determinare quando apportare modifiche |
Passaggi successivi
Usare lo strumento di valutazione per valutare le scelte di progettazione.