你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本文概述了 Azure 虚拟桌面的 Azure 登陆区域体系结构中的设计区域。 它面向架构师和技术决策者。 使用本指南快速了解虚拟桌面登陆区域参考实现。
登陆区域的概念
Azure 登陆区是遵循八个设计领域中的关键设计原则的环境。 这些设计原则适用于所有应用程序组合,并支持大规模的应用程序迁移、现代化和创新。 Azure 登陆区域使用订阅来隔离和缩放应用程序资源和平台资源。
Azure 登陆区域为云工作负载(如虚拟桌面)提供了必要的基础。 它定义了治理、安全性、网络、标识和作等基本组件。 若要大规模托管和管理服务,需要所有这些组件。
登陆区域类型
Azure 登陆区域有 两个类别:
平台登陆区域 提供共享的基础服务,例如网络、标识管理和资源治理。 平台登陆区域构成了支持应用程序工作负荷的核心基础结构。
应用程序登陆区域 托管特定应用程序、工作负载或服务。 它们提供运行应用程序所需的环境。 策略和管理组在应用程序登陆区域中强制实施治理。
参考体系结构
虚拟桌面参考体系结构是一种经过验证的体系结构,用于在应用程序登陆区域中运行虚拟桌面。 从此架构开始部署虚拟桌面。
虚拟桌面的登陆区域体系结构是适用于 Azure 的云采用框架中的虚拟桌面方案文章系列的一部分。 本系列介绍登陆区域的兼容性要求、设计原则和部署指南。
设计虚拟桌面以从应用程序登陆区域运行时,请遵循此结构化体系结构来确保可伸缩性、安全性和卓越运营性。 此体系结构提供了强大的基础,用于大规模部署虚拟桌面,同时保持集中式治理、安全性和性能。
此参考体系结构的优点
可伸缩性: 支持大规模部署,以便可以根据需求快速缩放资源
安全: 使用 Azure 基于角色的访问控制(Azure RBAC)和网络安全等安全措施来保护环境免受威胁
运营效率: 包括自动化和监视工具,以减少作负担并提高系统性能
下载此体系结构的 Visio 文件 。
设计领域
图中的字母“A”到“I”表示虚拟桌面登陆区域的设计区域。 此图显示了资源组织的层次结构。
| 图例 | 设计领域 | 目标 |
|---|---|---|
| 一个 | Active Directory 租户和 Azure 计费 | 提前设置租户、注册和计费配置。 |
| B | 标识和访问管理 | 通过 Microsoft Entra ID、条件访问和 Azure RBAC 建立对虚拟桌面的安全访问。 标识和访问管理是公有云中的主要安全边界。 它充当安全且完全合规的体系结构的基础。 |
| C | 资源组织 | 设计订阅和管理组层次结构,以支持大规模治理、运营管理和采用模式。 |
| D、G、H | 管理和监视 | 创建一个基线,确保运营可见性、合规性以及保护和恢复工作负载的能力。 |
| E | 网络拓扑和连接 | 将可靠且可缩放的网络体系结构设计为云环境的基础元素。 |
| F | Security | 直接在虚拟桌面工作负载中应用安全控制。 |
| G、F | 业务连续性和灾难恢复 | 为虚拟桌面及其支持服务创建业务连续性和灾难恢复策略,以确保复原和恢复。 此区域未在关系图中显式标记,但在 G 和 F 部分内表示。 |
| I | 平台自动化和 DevOps | 启用基础结构即代码和持续集成和持续交付(CI/CD)管道,以管理平台级资源、管理组策略、角色定义和订阅预配。 |
小窍门
查看虚拟桌面设计区域,确保与虚拟桌面最佳做法保持一致。
虚拟桌面 Azure 登陆区域设计区域:这些区域定义了在企业规模环境中设置虚拟桌面部署所需的基本元素。 他们专注于准备网络配置、标识管理、安全性和治理等资源。 此登陆区域有助于为虚拟桌面工作负载创建可缩放的安全环境。
虚拟桌面设计领域:这些区域表示设计和作虚拟桌面工作负载的体系结构原则和最佳做法。 它们涵盖应用程序交付、基础结构设计、安全性和成本优化等方面。 每个区域都与 Azure 最佳做法保持一致,以确保实现最佳且经济高效的虚拟桌面。
设计原理
与其他登陆区域一样,虚拟桌面登陆区域遵循核心 Azure 登陆区域设计原则 ,并与常见 设计区域保持一致。
此体系结构使用以下关键原则:
订阅民主化:团队在受控框架中管理自己的资源。
策略驱动的治理: 集中式策略和控制强制实施合规性和治理。
应用程序为中心的服务模型: 该体系结构支持围绕应用程序构建的组织。
单一控制和管理平面: 集中式资源管理保持监督和控制。
参考实现
虚拟桌面应用程序登陆区域参考实现遵循云采用框架和 Azure Well-Architected 框架中概述的参考体系结构和设计原则。 此解决方案提供步骤,为可扩展的虚拟桌面部署准备着陆区订阅,并在这些着陆区订阅中部署虚拟桌面。
虚拟桌面登陆区域实现为组织提供了一个企业就绪的虚拟桌面部署,该部署符合可伸缩性、安全性和治理方面的最佳做法。
体系结构
此体系结构基于多个专用于特定用途的订阅:
虚拟桌面订阅: 此订阅或多个订阅(具体取决于环境规模)部署特定于单个工作负荷的虚拟桌面资源,而不是跨工作负荷共享。 这些资源包括虚拟机、存储帐户、密钥保管库和专用终结点。 此订阅被视为应用程序登陆区域的一部分。
虚拟桌面共享服务订阅: 此订阅托管跨多个虚拟桌面工作负荷共享的所有服务。 它包括 Azure 自动化帐户、数据收集规则、Log Analytics 工作区和 Azure 计算库等资源。 此订阅被视为应用程序登陆区域的一部分。
平台订阅: 这些基础订阅在整个环境中提供共享服务。 它们支持并连接到应用程序登陆区域订阅。
管理订阅: 此订阅是 Azure 登陆区域平台结构的一部分,通常托管共享管理资源。 这些资源包括监视解决方案、更新管理工具和治理工具。 在此体系结构中,管理订阅不是虚拟桌面工作负荷的活动依赖项。 工作负荷团队必须在指定的工作负荷订阅中实现自己的自动化、监视和管理功能。
连接订阅: 此订阅包含与网络相关的组件,例如虚拟网络、网络安全组(NSG)、Azure 防火墙和 Azure ExpressRoute 或 VPN 网关。 在此体系结构中,此订阅为虚拟桌面应用程序登陆区域提供安全且可缩放的网络基础结构。 此功能可实现隔离的流量流、组织工作负荷之间的分段以及对跨界资源的安全访问。
标识订阅: 此订阅处理支持已加入域的虚拟桌面会话主机所需的标识和访问管理服务。 在此体系结构中,此订阅为虚拟桌面应用程序登陆区域提供域服务。 这些服务包括 Microsoft Entra 域服务或 Azure 中托管的自托管 Active Directory 域控制器。 这些服务使会话主机能够加入域并安全地对用户进行身份验证,强制实施组策略,并支持某些应用程序所需的旧式身份验证方案。
下载此体系结构的 Visio 文件 。
此参考实现的优点
可伸缩性: 它可高效地进行缩放以满足组织的需求。
安全: 它使用企业级安全性、合规性和治理控制来保护环境。
更快的部署: 它使用预定义的模板、配置和最佳做法加速部署。
最佳做法符合性: 它遵循体系结构中的最佳做法。
存储库概述
虚拟桌面登陆区域参考实现 支持多个部署方案,具体取决于你的要求。 每个部署方案都支持绿地和棕色地带部署,并提供多个基础结构即代码(IaC)模板选项:
- Azure 门户用户界面
- Azure CLI 或 Azure PowerShell Bicep 模板
- Terraform 模板
该实现根据以下建议使用资源命名自动化:
在继续部署方案之前,请熟悉实现的 Azure 资源 命名、标记和组织。
下载映像的 Visio 文件 。
部署步骤
若要执行部署,请执行以下步骤:
查看部署先决条件。 此步骤可帮助你为部署准备环境。
如果还没有平台登陆区域,请部署平台登陆区域。 此步骤设置基础组件。
部署虚拟桌面参考实现。 平台着陆区到位后,部署参考架构的虚拟桌面着陆区参考实现。
若要开始,请选择最符合要求的以下部署方案。
基线部署部署建立虚拟桌面基线所需的虚拟桌面资源和依赖服务。
此部署方案包括以下各项:
虚拟桌面 资源,包括工作区、缩放计划、主机池、应用程序组、会话主机虚拟机,以及(可选)专用终结点
与标识服务集成的 Azure 文件存储共享
用于机密、密钥和证书管理的 Azure Key Vault
(可选)一个新的包含基线网络安全组、应用安全组和路由表的 Azure 虚拟网络
(可选)Azure 存储帐户和 Key Vault 专用终结点和专用域名系统(DNS)区域
准备好进行部署时,请执行以下步骤:
有关先决条件、规划信息和部署组件的详细信息,请遵循 基线部署指南 。
(可选)查看 “自定义映像生成部署 ”选项卡,为虚拟桌面主机会话生成更新后的映像。
执行 基线部署步骤。 如果在上一步中创建了自定义 Azure 计算库映像,请在 “会话主机 ”页上,选择 “计算库 ”作为 OS 选择源。 然后选择正确的 图像。
后续步骤
若要基于本设计指南中的概念,请浏览以下Microsoft Learn 资源:
为 Azure 虚拟桌面部署企业级 Azure 登陆区域:了解如何部署与云采用框架一致的虚拟桌面登陆区域。
虚拟桌面的网络拓扑和连接:探索推荐的网络设计,包括中心辐射型拓扑、混合连接、RDP 短路径以及虚拟桌面的安全最佳做法。
虚拟桌面的安全、治理和符合性:了解如何实现安全控制、Azure RBAC、监视和治理,以确保虚拟桌面环境的安全性和合规性。