Partilhar via

Princípios de design do Azure Virtual Desktop

  • Artigo

As orientações sobre as cargas de trabalho do Azure Virtual Desktop baseiam-se no Azure Well-Architected Framework e nos seus cinco pilares de excelência arquitetónica. A tabela seguinte lista cada pilar e um resumo dos seus objetivos.

pilar Well-Architected Framework Resumo
Fiabilidade Um ambiente de trabalho virtual exige um elevado nível de fiabilidade do serviço para ajudar a garantir uma experiência de utilizador consistente e ininterrupta. É essencial estabelecer uma infraestrutura robusta que permita um acesso fiável e um desempenho ideal do ambiente de trabalho virtual. Avalie as implementações de ambiente de trabalho virtual, especialmente as que se integram nos serviços nativos do Azure. Especificamente, avalie os serviços nativos de computação, rede e armazenamento que a sua implementação utiliza. Avalie também produtos de terceiros e soluções de parceiros que utiliza com o Azure Virtual Desktop. Estes componentes afetam a fiabilidade, uma vez que fazem parte da estrutura da zona de destino. Esta abordagem ajuda a garantir uma experiência de utilizador totalmente integrada e fiável.
Segurança O pilar de segurança centra-se na implementação de estratégias para salvaguardar a carga de trabalho contra ameaças e vulnerabilidades. A segurança também inclui considerações sobre o risco interno e a proteção contra perda de dados. No Azure Virtual Desktop, é fundamental avaliar os tópicos de segurança ponto a ponto. Estes tópicos vão desde a gestão de identidades e acessos (IAM), sistemas operativos, aplicações, redes e plataformas do Azure até dados. Recomendamos vivamente que reveja ou desenvolva estratégias para incorporar uma variedade de camadas de segurança no seu património do Azure. Estas estratégias devem abranger os ambientes de trabalho e as aplicações apresentadas no Azure Virtual Desktop.
Otimização de Custos Quando otimiza o ambiente de trabalho virtual para custos, cumpre as expectativas de desempenho definidas pelos requisitos empresariais. Também reduz o custo total de propriedade (TCO) ao minimizar os gastos excessivos. Pode reduzir o TCO ao tirar partido da potência da infraestrutura de hiperescala do Azure Virtual Desktop. A otimização dos custos do Azure Virtual Desktop envolve vários passos. Os exemplos incluem escolher as máquinas virtuais (VMs) de tamanho certo, utilizar instâncias reservadas ou planos de poupança, configurar planos de dimensionamento e utilizar o Microsoft Cost Management para monitorizar e otimizar os gastos. É importante avaliar continuamente as implementações do Azure Virtual Desktop para controlar a sua utilização e identificar oportunidades para otimizar as suas cargas de trabalho.
Eficiência de Desempenho A Eficiência de Desempenho centra-se na capacidade do seu ambiente cumprir ou exceder os requisitos empresariais definidos para o seu ambiente de trabalho virtual e aplicações. No seu ambiente de Ambiente de Trabalho Virtual do Azure, pode satisfazer o desempenho necessário com a eficiência ideal, garantindo que seleciona famílias de computação ideais, tamanhos e tipos de discos. Se utilizar perfis FSLogix, também terá de selecionar o armazenamento ideal. Em geral, é fundamental avaliar e testar uma série de configurações de VM para compreender como os seus utilizadores e cargas de trabalho utilizam os recursos do Azure que compõem os anfitriões de sessão no Azure Virtual Desktop. Após a implementação, recomendamos que monitorize continuamente o consumo dos seus recursos de produção para garantir que cumpre ou excede o desempenho de destino pretendido.
Excelência Operacional Aplique os princípios do DevOps na sua equipa de carga de trabalho de ambiente de trabalho virtual do Azure. Incentive a adoção de uma mentalidade de DevOps, o desenvolvimento de padrões e a abordagem de execução durante a evolução. Com o Azure Virtual Desktop, pode estabelecer procedimentos definidos para implementar, gerir e manter as cargas de trabalho com facilidade. Estes procedimentos podem envolver a utilização de modelos do Azure Resource Manager, Bicep, Terraform e outras formas de infraestrutura como código (IaC). Para personalizar anfitriões de sessões, pode automatizar a compilação de imagens com ferramentas como a funcionalidade de modelo de imagem personalizada com o Azure DevOps. Estas estratégias de DevOps e outras ajudam a sua organização a estabelecer, manter e gerir os seus ambientes do Azure Virtual Desktop de forma eficiente.

Importante

Este artigo faz parte da série de cargas de trabalho do Azure Well-Architected Framework do Azure Virtual Desktop . Se não estiver familiarizado com esta série, recomendamos que comece com O que é uma carga de trabalho do Azure Virtual Desktop?.

Fiabilidade

A fiabilidade é um pilar fundamental num ambiente do Azure Virtual Desktop. As interrupções podem materializar-se no local e na cloud. Como resultado, tem de prestar atenção meticulosa aos seus componentes de ambiente de trabalho virtual, que incluem os serviços do Azure e a sua infraestrutura no local. Avalie os dados de utilizador (perfis), as aplicações e os requisitos de disponibilidade de computação da carga de trabalho para determinar a sua estratégia de continuidade de negócio e recuperação após desastre. Tenha em conta os diferentes níveis de disponibilidade que obtém no Azure Virtual Desktop com diferentes opções de implementação, tais como conjuntos de anfitriões ativos-ativos ou ativos-passivos. Avalie também as considerações de conceção da recuperação após desastre para ajudar a garantir ativações pós-falha suaves durante as interrupções.

  • Resiliência refere-se à recuperação de falhas e à manutenção da funcionalidade.
  • A disponibilidade garante um tempo de atividade ininterrupto. A elevada disponibilidade minimiza o período de indisponibilidade da aplicação durante atividades de manutenção críticas. Também melhora a recuperação de incidentes como falhas de VM, atualizações de back-end, tempos de inatividade prolongados e ataques de ransomware.

A obtenção de fiabilidade requer uma abordagem abrangente que abrange a arquitetura, os procedimentos operacionais, a automatização, a monitorização, os testes regulares e a validação.

  • Definir contratos de nível de serviço (SLAs). Estabelecer SLAs bem definidos é fundamental para fomentar a fiabilidade. Estes contratos especificam expectativas precisas para a disponibilidade e o desempenho das sessões e perfis dos utilizadores. Ao fazê-lo, estabelecem uma referência clara que pode utilizar para avaliar a eficácia operacional do seu sistema.
  • Desenvolver estratégias de dimensionamento eficazes. Com o dimensionamento vertical, opta por um SKU de VM que se alinha com as necessidades de recursos das sessões de utilizador. Também tem em conta aspetos como a CPU e os requisitos de memória. Com o dimensionamento horizontal, adiciona instâncias de VM adicionais para acomodar as exigências crescentes, ao mesmo tempo que sustenta a estabilidade do sistema.
  • Estruturar para elevada disponibilidade. Este processo implica a integração de mecanismos de redundância e ativação pós-falha que ajudam a garantir operações ininterruptas. A elevada disponibilidade minimiza potenciais interrupções e garante aos utilizadores uma experiência totalmente integrada mesmo durante eventos inesperados.
  • Implementar tolerância a falhas. A inclusão do armazenamento tolerante a falhas desempenha um papel fundamental na salvaguarda da integridade e disponibilidade dos perfis de roaming e dos dados dos utilizadores. Esta estratégia oferece uma camada de proteção contra a perda de dados, ajudando a garantir que os dados essenciais dos utilizadores permanecem intactos e acessíveis durante as falhas.
  • Compreender as capacidades de cópia de segurança e restauro. As práticas robustas de cópia de segurança ajudam a garantir que mantém a continuidade operacional face às adversidades.

Segurança

Num modelo de responsabilidade partilhada:

  • As organizações são as principais responsáveis pela gestão e funcionamento de cargas de trabalho do Azure Virtual Desktop.
  • A Microsoft gere o plano de controlo que suporta uma carga de trabalho do Azure Virtual Desktop.

Recomendamos vivamente que avalie regularmente os seus serviços e tecnologias para ajudar a garantir que a sua postura de segurança se adapta às paisagens de ameaças em evolução. Quando colabora com fornecedores para implementar medidas de segurança adequadas, é essencial estabelecer uma compreensão clara do modelo de responsabilidade partilhada.

Pode utilizar vários métodos para ajudar a proteger o ambiente de trabalho virtual:

  • Isolamento de rede. Utilize técnicas de isolamento de rede, como sub-redes e grupos de segurança de rede para fortalecer as interações entre os serviços nativos do Azure. Esta compartimentação melhora a segurança geral.
  • Gestão de patches. Aplique regularmente patches e atualizações para reforçar a defesa contra vulnerabilidades que podem ser exploradas.
  • Auditorias ambientais. As auditorias regulares do seu ambiente fornecem informações sobre potenciais lacunas de segurança. Esta prática facilita a identificação precoce e a retificação de vulnerabilidades.
  • Informações de segurança e gestão de eventos (SIEM). Utilize uma solução SIEM como o Microsoft Sentinel. Esta ferramenta oferece monitorização em tempo real de eventos de segurança, o que o ajuda a responder rapidamente a potenciais ameaças.
  • Encriptação de dados. Implementar mecanismos de encriptação para dados inativos e dados em trânsito. Esta prática ajuda a garantir a confidencialidade e integridade dos dados, mesmo durante tentativas de acesso não autorizado.
  • Gestão de identidades e acessos.
    • Autenticação multifator: fortaleça o processo de verificação de identidade ao impor a autenticação multifator. Esta prática ajuda a dissuadir as tentativas de acesso não autorizado.
    • Integração com Microsoft Entra ID: delegar a sua gestão de identidades e acessos para Microsoft Entra ID para controlo de acesso simplificado.
    • Princípio do menor privilégio: minimize o potencial de utilização indevida ao aplicar o princípio do menor privilégio. Utilize este princípio para restringir o acesso a recursos de acordo com funções que se focam em métodos de acesso just-in-time (JEA) e acesso just-in-time (JIT).
    • Controlo de acesso baseado em funções (RBAC): promova o acesso controlado através do RBAC do Azure para atribuir permissões baseadas em funções predefinidas.

Otimização de Custos

O Azure Virtual Desktop é uma modernização económica dos Serviços de Ambiente de Trabalho Remoto (RDS). Determinados componentes são removidos da sua infraestrutura e fornecidos como serviços nativos para todas as regiões do Azure. O Azure Virtual Desktop reduz os requisitos para licenças de acesso de cliente (CALs) do Windows Server e RDS ao oferecer Windows 10 ou Windows 11 Enterprise ambientes de trabalho remotos de várias sessões. Nestes ambientes de trabalho, é suportada a utilização do licenciamento existente por utilizador do Microsoft 365. Isto suporta cargas de trabalho que só têm aplicações suportadas em sistemas operativos modernos.

Algumas das principais considerações e métodos para otimizar os custos do Azure Virtual Desktop incluem:

  • Utilizar VMs económicas. Escolher o tamanho certo da VM ajuda a garantir que não paga mais recursos do que o necessário. Determine que série de VM melhor se adequa ao consumo de recursos de VM da carga de trabalho. Encontre um equilíbrio adequado entre o desempenho e a relação custo-eficácia.

  • Instâncias reservadas ou planos de poupança. O Azure oferece instâncias reservadas e planos de poupança. Quando utiliza estes planos, poupa dinheiro ao comprometer-se com um período de um ou três anos para as suas VMs. Esta estratégia fornece preços previsíveis e pode ajudá-lo a reduzir os custos ao longo do tempo.

    O Cost Management trabalha com o Assistente do Azure para identificar oportunidades de poupança para instâncias reservadas e planos de poupança. Certifique-se de que otimiza as cargas de trabalho do Azure Virtual Desktop antes de se comprometer com instâncias reservadas ou planos de poupança. Tenha também em atenção como as instâncias reservadas e os planos de poupança diferem em relação ao âmbito e ao consumo partilhado de planos e instâncias.

  • Etiquetas de serviço. Em vez de utilizar endereços IP específicos para serviços do Azure, pode utilizar etiquetas de serviço. Uma vez que os endereços mudam, esta abordagem minimiza a complexidade da atualização frequente das regras de segurança de rede. Ao reduzir o esforço necessário para manter as redes, as etiquetas de serviço ajudam a reduzir os custos globais.

  • Planos de dimensionamento. Com o Azure Virtual Desktop, pode configurar planos de dimensionamento para as suas VMs. Esta estratégia reduz os custos ao ajudar a garantir que o número correto de anfitriões de sessão está em execução quando necessário.

  • Cost Management. Quando utiliza o Cost Management, pode monitorizar e otimizar os gastos do Azure. Pode utilizar esta ferramenta para identificar áreas onde pode reduzir os custos e otimizar a implementação do Azure Virtual Desktop. Especificamente, pode criar orçamentos no Cost Management e pode definir alertas nesses orçamentos. Quando as despesas excedem o orçamento, é acionada uma revisão para investigar por que motivo os custos aumentaram para além do nível definido.

Tenha em atenção que as capacidades do hardware do Azure se expandem com frequência. Como resultado, surgem oportunidades regularmente para cargas de trabalho para otimizar ainda mais os custos, eliminar o desperdício e melhorar os rácios desempenho/custo. As organizações consideram benéfico revisitar e ajustar periodicamente as suas medidas de poupança de custos.

Eficiência de Desempenho

Este pilar centra-se na otimização das cargas de trabalho que executam o ambiente do Azure Virtual Desktop. Esse foco inclui muitos aspetos:

  • Alocar o tamanho, a família e o número adequados de anfitriões de sessão
  • Monitorizar continuamente o desempenho e detetar anomalias com ferramentas como o Azure Monitor, Log Analytics, Application Insights e alertas
  • Configurar um plano de dimensionamento adequado para que tenha um número ideal de anfitriões de sessão disponíveis para os utilizadores

Considerar cada um destes aspetos ajuda-o a criar um ambiente de Ambiente de Trabalho Virtual do Azure que proporciona uma experiência de utilizador consistente e coesa.

Excelência Operacional

No Azure Virtual Desktop, a Excelência Operacional significa garantir a consistência, a repetibilidade e a estabilidade dos seus procedimentos operacionais nas fases de desenvolvimento, implementação e operação.

  • Utilizar IaC para implementação repetível e consistente.
  • Monitorização adequada dos recursos para manter o estado de funcionamento do seu ambiente.
  • Um pipeline de integração contínua/entrega contínua (CI/CD) adequado que o ajuda a alcançar:
    • Recuperação após desastre temporal.
    • Teste de pré-produção.
    • Replicação de recursos.
  • Implementar a governação orientada por políticas do Azure para ajudar a garantir a segurança e a conformidade dentro de propriedades técnicas empresariais.
  • Conceber um esquema de delegação RBAC que implementa o acesso com menos privilégios através de funções incorporadas do Azure Virtual Desktop para simplificar o processo de atribuição e gestão de permissões de acesso.
  • Manter normas de governação e conformidade para o conjunto de anfitriões.
  • Documentação que abrange todos os pontos nesta lista.

Estes passos ajudam as equipas a colaborar de forma eficiente e transparente.

Passos seguintes

Os princípios de design são incorporados em áreas de design técnico específicas. Cada área oferece orientações focadas que o ajudam a aceder rapidamente às informações de que precisa para aumentar a produtividade num período mínimo de tempo. Considere os cabeçalhos como ferramentas de navegação que o orientam na direção certa para redes, infraestrutura central, entrega de aplicações, monitorização, segurança e procedimentos operacionais.

Comece por rever as considerações de conceção para a entrega de aplicações necessárias para suportar uma carga de trabalho.

Disponibilização das aplicações