Arquitetura e resiliência do serviço de Área de Trabalho Virtual do Azure
O Ambiente de Trabalho Virtual do Azure foi concebido para fornecer um serviço resiliente, fiável e seguro para organizações e utilizadores. A arquitetura da Área de Trabalho Virtual do Azure compreende muitos componentes que compõem o serviço que conecta os usuários a suas áreas de trabalho e aplicativos. A maioria dos componentes é gerenciada pela Microsoft, mas alguns são gerenciados pelo cliente ou pelo parceiro.
A Microsoft fornece os componentes de infraestrutura de área de trabalho virtual (VDI) para a funcionalidade principal como um serviço. Esses componentes incluem:
- Serviço Web: o site e o ponto de extremidade voltados para o usuário e retorna as informações de conexão para o dispositivo do usuário.
- Serviço de broker: orquestra conexões de entrada.
- Serviço de gateway: um serviço de websocket que fornece a conectividade RDP (Remote Desktop Protocol) a partir do dispositivo de um utilizador onde quer que esteja a ligar-se aos anfitriões de sessão que fornecem os seus ambientes de trabalho e aplicações.
- Diretório de recursos: fornece informações para instruir o serviço Web qual dos vários bancos de dados geográficos hospeda as informações de conexão necessárias para cada usuário.
- Banco de dados geográfico: contém os arquivos de conexão (
.rdp
) e ícones para cada recurso que um usuário foi provisionado.
Além disso, a Área de Trabalho Virtual do Azure usa outros serviços globais do Azure, como o Gerenciador de Tráfego do Azure e a Porta da Frente do Azure para direcionar os usuários aos pontos de entrada da Área de Trabalho Virtual do Azure mais próximos.
Você é responsável por criar e gerenciar hosts de sessão, incluindo quaisquer personalizações de imagem do sistema operacional e aplicativos, conectividade de rede virtual, resiliência e backup e recuperação desses hosts de sessão. Você também fornece e gerencia identidades de usuário e controla o acesso ao serviço. Você pode usar outros serviços do Azure para ajudá-lo a atender às suas necessidades, como:
- Zonas de disponibilidade do Azure para distribuir seus hosts de sessão em locais de datacenter fisicamente separados dentro de uma região do Azure, cada um com energia, resfriamento e rede independentes.
- Backup do Azure para fazer backup e restaurar seus hosts de sessão.
- Azure Site Recovery para replicar seus hosts de sessão para outra região do Azure.
- Azure Advisor para ajudá-lo a otimizar seus recursos do Azure.
Este diagrama de alto nível mostra os componentes e responsabilidades:
Ligações de utilizador
Quando um usuário deseja acessar suas áreas de trabalho e aplicativos na Área de Trabalho Virtual do Azure, vários componentes estão envolvidos para tornar essa conexão bem-sucedida. Existem duas sequências separadas:
- Descoberta de feeds. O feed é a lista de desktops e aplicativos que estão disponíveis para o usuário.
- Uma ligação através do Protocolo de Ambiente de Trabalho Remoto a um anfitrião de sessão.
Descoberta de feed
Durante a descoberta do feed, as áreas de trabalho e os aplicativos disponíveis para o usuário são preenchidos no aplicativo em seu dispositivo local. O feed contém todas as informações necessárias para se conectar.
O processo de descoberta de feed é o seguinte:
O usuário pode estar localizado em qualquer lugar do mundo. O Gerenciador de Tráfego do Azure roteia o dispositivo do usuário para a instância mais próxima do serviço Web da Área de Trabalho Virtual do Azure com base no método de roteamento de tráfego geográfico, que usa o endereço IP de origem do dispositivo do usuário.
O serviço Web se conecta ao serviço de agente de Área de Trabalho Virtual do Azure na mesma região do Azure para recuperar os arquivos RDP e ícones de aplicativo para o feed do usuário. O serviço de agente se conecta ao banco de dados geográfico da Área de Trabalho Virtual do Azure e ao diretório de recursos na mesma região para recuperar as informações.
O serviço de agente retorna os arquivos RDP e ícones de aplicativo para o serviço Web, que retorna as informações para o dispositivo do usuário.
Aqui está um diagrama de alto nível mostrando o processo de descoberta de feed em uma única região do Azure:
O banco de dados geográfico contém apenas as informações necessárias para desktops e aplicativos de pools de hosts nas mesmas regiões do Azure cobertas pela geografia. Se o usuário for atribuído a áreas de trabalho ou aplicativos de um pool de hosts coberto por uma geografia diferente, o diretório de recursos informará ao serviço Web para se conectar ao serviço de agente e ao banco de dados geográfico na região correta do Azure.
Aqui está um diagrama de alto nível mostrando o processo de descoberta de feed para um pool de hosts em uma região do Azure coberta por uma geografia diferente:
Conexão RDP
Quando um usuário se conecta a uma área de trabalho ou aplicativo a partir de seu feed, a conexão RDP é estabelecida da seguinte maneira:
Todas as sessões remotas começam com uma conexão com o Azure Front Door, que fornece o ponto de entrada global para a Área de Trabalho Virtual do Azure. O Azure Front Door determina o serviço de gateway da Área de Trabalho Virtual do Azure com a menor latência para o dispositivo do usuário e direciona a conexão para ele
O serviço de gateway se conecta ao serviço de agente na mesma região do Azure. O serviço de gateway permite que os hosts de sessão estejam em qualquer região e ainda estejam acessíveis aos usuários.
O serviço de agente assume e orquestra a conexão entre o dispositivo do usuário e o host da sessão. O serviço de agente instrui o agente da Área de Trabalho Virtual do Azure em execução no host da sessão a se conectar ao mesmo serviço de gateway pelo qual o dispositivo do usuário se conectou.
Neste ponto, um dos dois tipos de conexão é feito, dependendo da configuração e dos protocolos de rede disponíveis:
Transporte de conexão inversa: depois que o cliente e o host da sessão se conectam ao serviço de gateway, ele começa a retransmitir o tráfego RDP usando o protocolo TCP (Transmission Control Protocol) entre o cliente e o host da sessão. Transporte de conexão reversa é o tipo de conexão padrão.
Shortpath RDP: um transporte direto baseado em UDP (User Datagram Protocol) é criado entre o dispositivo do usuário e o host da sessão, ignorando o serviço de gateway.
Aqui está um diagrama de alto nível mostrando o processo de conexão RDP:
Gorjeta
Você pode encontrar informações técnicas mais detalhadas sobre conectividade de rede em Noções básicas sobre conectividade de rede da Área de Trabalho Virtual do Azure e Shortpath RDP para Área de Trabalho Virtual do Azure.
Resiliência do serviço
O Ambiente de Trabalho Virtual do Azure foi concebido para ser resiliente a falhas e fornecer um serviço fiável aos utilizadores. O serviço foi projetado para ser resiliente a falhas de componentes individuais e para ser capaz de se recuperar de falhas rapidamente.
Os componentes gerenciados pela Microsoft da Área de Trabalho Virtual do Azure estão atualmente localizados em cerca de 40 regiões do Azure para estarem mais próximos dos usuários e fornecerem um serviço resiliente. A resiliência foi implementada globalmente, geograficamente e dentro de uma região do Azure das seguintes maneiras:
O Azure Traffic Manager direciona o tráfego para o serviço Web e o Azure Front Door direciona o tráfego para o serviço de gateway. Se houver uma interrupção que faça com que o serviço Web ou o serviço de gateway fique indisponível em uma região do Azure, ou se houver uma interrupção completa da região, o tráfego será redirecionado para a próxima instância disponível mais próxima na região mais próxima. O redirecionamento do tráfego permite que os usuários ainda façam novas conexões.
O banco de dados geográfico usa os recursos de failover e replicação de dados do Banco de Dados SQL do Azure em cada geografia. Se houver uma interrupção do banco de dados, o banco de dados fará failover para a réplica secundária e a operação normal será retomada. Durante o failover, há um curto período de tempo em que as novas conexões falham até que o failover seja concluído, no entanto, esse failover não afeta as conexões existentes.
O diretório de recursos, o serviço de broker, o serviço Web e o serviço de gateway estão disponíveis em cada uma das regiões do Azure onde os componentes gerenciados pela Microsoft para a Área de Trabalho Virtual do Azure estão localizados. Cada componente tem várias instâncias para que não haja um único ponto de falha. Dentro de cada região do Azure, há pelo menos seis instâncias ou clusters distintos e separados de cada componente que opera independentemente para resistir a falhas de instância.
Por exemplo, uma região tem instâncias suficientes do serviço de gateway para atender à demanda, mas também com capacidade suficiente para também acomodar falhas dessas instâncias. Se uma instância do serviço de gateway falhar, todas as conexões RDP baseadas em TCP que estão sendo retransmitidas por essa instância específica do serviço de gateway serão descartadas. Quando esses usuários desconectados se reconectam, as instâncias restantes lidam com solicitações e reconectam cada usuário à sessão existente. Todas as outras sessões tratadas por outras instâncias do serviço de gateway não são afetadas.
Aqui está um diagrama de alto nível mostrando como os componentes gerenciados pela Microsoft estão interconectados:
Os outros serviços do Azure nos quais a Área de Trabalho Virtual do Azure se baseia são projetados para serem resilientes e confiáveis. Para obter mais informações, consulte Azure Traffic Manager e Azure Front Door.
Alcance global
A Área de Trabalho Virtual do Azure é um serviço que pode ajudar as organizações a se adaptarem às demandas de seus trabalhadores, especialmente trabalhando remotamente. Ele fornece uma maneira segura, confiável e flexível de fornecer desktops e aplicativos praticamente em qualquer lugar. A Área de Trabalho Virtual do Azure foi projetada para ser resiliente, usando recursos e serviços do Azure que ajudam a garantir um serviço altamente disponível para suas cargas de trabalho.
Aqui está um mapa que demonstra o alcance global da Área de Trabalho Virtual do Azure:
Conteúdos relacionados
Para saber mais sobre os locais em que a Área de Trabalho Virtual do Azure armazenou dados para objetos de serviço, consulte Locais de dados para a Área de Trabalho Virtual do Azure.