疫情下的Modern Workplace之体验Microsoft Azure Windows Virtual Desktop服务
目录
1.2 Azure Windows Virtual Desktop介绍 2
3.2 Windows Server Active Directory DC 7
3.3 启用Microsoft Azure Windows Virtual Desktop服务 17
-
Azure WVD PoC概述
-
PoC测试说明
本文全文系@365vCloud个人所有,全文内容仅限于学习与测试Microsoft Azure Windows Virtual Desktop服务。不涉及云计算厂商Microsoft以及其他任何公司,并且不涉及任何商业信息,如若在企业生产环境进行PoC测试造成任何影像企业业务系统、数据顺坏、丢失等行为,本文以及撰写本文所属者概不负责。
本文在进行测试Microsoft Azure Windows Virtual Desktop服务时,面向读者为初次体验与使用Microsoft Azure Windows Virtual Desktop的企业用户,方便用户快速掌握部署技巧以及功能性验证,体验Microsoft Azure以及Azure Windows Virtual Desktop优势所在。全文不涉及Microsoft Azure Windows Virtual Desktop性能测试与用户数据测试。
-
Azure Windows Virtual Desktop介绍
2020年一场突如其来的新型冠状肺炎打扰了全球人的生活,医用口罩、医用防护服、健康码、量体温等瞬间占领日常生活话题。企业中,远程会议、远程办公、移动办公成了职场人员的工作语言。今天我们不谈Microsoft Teams、腾讯会议、华为Welink等这样的远程会议产品,我们讨论的是发布不到一年的Microsoft Azure Windows Virtual Desktop服务(以下简称Azure WVD),这一服务在疫情下瞬间获得了全球用户的喜爱。
传统上,微软的VDI解决方案一直是Microsoft Remote Desktop Service,用户如果需要使用虚拟桌面或者虚拟应用,IT管理员需要自己购买软硬件设备遵循如下架构进行自己部署、自己运维等相关DIY操作。
云计算时代,企业用户讲究的是快速、便利、按需服务以及注重OpEx(运营支出)。Azure WVD顺应而生,与传统的远程桌面服务 (RDS) 或虚拟桌面基础结构 (VDI) 环境相比,Azure WVD更易于部署和管理。无需预配和管理服务器和服务器角色,如网关、连接代理、诊断、负载平衡和许可。通过 Azure WVD,可以使用 Windows 10 企业版多会话,这是唯一一个基于 Windows 客户端的操作系统,可在单个虚拟机 (VM) 上启用多个并发用户。与基于 Windows Server 的操作系统相比,Windows 虚拟桌面还通过更广泛的应用程序支持提供了更加一致的体验。
除了将远程会话的数据与用户设备分开之外,Azure WVD还通过对会话主机 VM 使用更安全的连接类型(而不是通过端口 3389 的远程桌面协议)来提高安全性。通过集成 FSLogix 配置文件,可以将用户配置文件作为容器存储在单独的虚拟磁盘上。当用户登录时,他们的虚拟磁盘会实时动态地附加到任何Azure WVD VM,因此附加虚拟磁盘中的本地文件就好像是从本地 C:\ 驱动器运行的。
Azure Windows Virtual Desktop远程连接几乎不限制终端设备,有权限的用户使用自己熟悉的工具即可接入自己的远程工作空间
-
Azure WVD PoC环境准备
- 一个Azure Active Directory
- 一个与Azure Active Directory同步的Windows Server Active Directory。 可以通过以下方式之一对其进行配置:
- Azure AD Connect(适用于混合组织)
- Azure AD Connect 云预配(预览版)
- Azure AD 域服务(适用于混合或云组织)
- Azure AD Connect(适用于混合组织)
- 一个包含虚拟网络的Azure 订阅,该虚拟网络包含或已连接到 Windows Server Active Directory
- 一个自定义域名,且绑定到Azure Active Directory
本PoC实验环境部署Windows Server Active Directory DC(服务器”BJ-DC-01″,域名称migration.net.cn),然后使用Azure AD Connect 云预配(预览版)功能将本地Windows Server Active Directory用户同步至Azure Active Directory。
-
Azure WVD PoC部署
-
Azure环境准备
使用有效账户登录Azure登录,选择新建资源,选择资源组然后对其命名
创建完成后,继续创建虚拟网络并将其添加到该资源组下
-
Windows Server Active Directory DC
点击创建资源,选择虚拟机,选择您需要的Windows Server机器,点击创建,根据提示键入相关参数,需要注意的是,生产环境下建议将Azure VM部署到可用性集或者可用性区域中以便获得更高SLA支持。
在Azure VM中启用Windows Server Domain Service需要将服务器IP地址进行固定
备注:企业生产环境,建议使用 Azure Bastion 来连接虚拟机,而不是分配公网IP地址
修改之前创建的虚拟网络DNS设置,自定义为上述Windows Server DC的IP地址
使用有效账户登录到服务器”BJ-DC-01″,安装Domain Service,并提升为域控制器
新建domain user以便后续的WVD用户登录测试
使用Azure AD Connect或者Azure AD云预配服务,进行目录同步。本实验环境使用Azure AD云预配服务
Azure AD Connect 云预配是一个新的 Microsoft 代理,旨在满足和实现在 Azure AD 中同步用户、组与联系人的混合标识目标。 它可以与 Azure AD Connect 同步一起使用,并提供以下优势:
- 支持从多林离线 Active Directory 林环境同步到 Azure AD 租户:常见的场景包括企业并购和收购,其中,被收购公司的 AD 林独立于父公司的 AD 林,并且这些公司在过去拥有多个 AD 林。
- 使用轻型预配代理简化安装:代理充当 AD 与 Azure AD 之间的桥梁,所有同步配置托管在云中。
- 可以使用多个预配代理来简化高可用性部署,这对于依赖于在 AD 与 Azure AD 之间实现密码哈希同步的组织而言尤其重要。
使用Azure AD全局管理员凭据登录到 Azure 门户。在左侧选择 ” Azure Active Directory”,单击 ” Azure AD Connect”,然后选择 “管理预配(预览版)”
单击 “下载代理”,然后拷贝到Windows Server DC服务器中,运行 Azure AD Connect 设置代理
此操作完成后,将启动配置向导。使用 Azure AD 全局管理员帐户登录。在”连接 Active Directory”屏幕上单击”添加目录”,然后使用 Active Directory 域管理员帐户登录。
在”配置完成”屏幕上,单击”确认”。此操作将注册并重启代理,操作完成后,会显示一条通知:”已成功验证代理配置”。可以单击”退出”。
在左侧选择”Azure Active Directory”,单击”Azure AD Connect”,然后在中心位置选择”管理预配(预览版)”,在”Azure AD 预配(预览版)”页面,单击”查看所有代理”已验证状态是否正常。
在”Azure AD 预配(预览版)”页面,单击”新建配置”
等待配置完成,并确定状态为”正常”
在Azure门户中选择”Azure Active Directory”,在”管理”下,选择”用户” 。验证租户中是否显示了新用户
-
启用Microsoft Azure Windows Virtual Desktop服务
Azure Windows Virtual Desktop服务中有以下几个概念需要理解,以便更够更好的使用Azure WVD。
- 主机池是在运行 Windows 虚拟桌面代理时注册为 Windows 虚拟桌面作为会话主机的 Azure 虚拟机的集合。 主机池中的所有会话主机虚拟机都应源自同一映像,以实现一致的用户体验。Azure WVD支持两种类型的主机
- 个人,其中每个会话主机分配给单个用户。
- 池,其中的会话主机可以接受来自主机池内某个应用组的任何授权用户的连接。
- 个人,其中每个会话主机分配给单个用户。
管理员可以在主机池上设置附加属性以更改其负载平衡行为、每个会话主机可以使用的会话数,以及用户在登录到其 Windows 虚拟桌面会话时可以执行的操作。可以通过应用组控制发布给用户的资源。
- 应用组是在主机池中的会话主机上安装的应用程序的逻辑分组。可以是以下两种类型之一:
- RemoteApp,用户可在其中访问单独选择并发布到应用组的 RemoteApps
- 桌面,用户在其中访问完整桌面
- RemoteApp,用户可在其中访问单独选择并发布到应用组的 RemoteApps
默认情况下,当你创建主机池时,将自动创建一个桌面应用组(名为 “桌面应用程序组”)。 你可以随时删除此应用组。 但是,如果存在桌面应用组,则无法在主机池中创建另一个桌面应用组。 若要发布 RemoteApps,必须创建 RemoteApp 应用组。 可以创建多个 RemoteApp 应用组来适应不同的辅助角色。 不同的 RemoteApp 应用组还可以包含重叠的 RemoteApps。
- 工作区是 Windows 虚拟桌面中的应用程序组的逻辑分组。 每个 Windows 虚拟桌面应用程序组必须与一个工作区关联,用户才能查看向其发布的远程应用和桌面。
- 最终用户。将用户分配到其应用组后,他们可以使用任何 Windows 虚拟桌面客户端连接到 Windows 虚拟桌面部署。
-
部署Host Pool
在Azure门户中选择所有服务,找到”Windows Virtual Desktop”,点击创建”Host Pool”
“基本信息”页面,选择订阅、资源组、区域,以及主机池的名称,该名称在 Windows 虚拟桌面租户中必须唯一。
选择”桌面类型”。如果选择”个人”,则连接到此主机池的每个用户将永久分配到某个虚拟机。最大会话数、并选择主机池负载均衡模式。
在Azure WVD中,支持两种负载平衡方法。每个方法都确定在连接到主机池中的资源时,哪些会话主机将承载用户会话。
- 广度优先负载平衡允许您在主机池中的会话主机之间均匀分布用户会话。
通过广度优先的负载平衡方法,您可以分发用户连接以便针对此方案进行优化。 此方法非常适用于想要为连接到其共用虚拟桌面环境的用户提供最佳体验的组织。
广度优先方法首先查询允许新连接的会话主机。然后,方法选择会话数最少的会话主机。 如果存在关联,则该方法将选择查询中的第一个会话主机。
- 深度优先负载平衡使你能够在主机池中使用用户会话对会话主机进行饱和。第一个会话达到其会话限制阈值后,负载均衡器会将与主机池中的下一个会话主机的任何新用户连接定向到该主机,直到它达到其限制等
深度优先的负载平衡方法可让你一次为一个会话主机提供饱和,以便针对此方案进行优化。 此方法非常适合需要更精细地控制其为主机池分配的虚拟机数量的注重成本的组织。
深度优先方法首先查询允许新连接的会话主机,而不会超出其最大会话限制。然后,方法选择具有最多会话的会话主机。如果存在关联,则该方法将选择查询中的第一个会话主机。
虚拟机页面,选择对应的VM Size、VM数量(基于池模式)、OSDisk类型以及Image。您也可以自定义上传image,以满足企业个性化需求。
网络和Domain页面,选择对应的虚拟网络以及需要将VM加入的Domain
Workspace页面,选择新建
在”查看并创建”中检查设置信息。如需更改某些设置,请返回并做出更改。准备就绪后,选择”创建”以部署主机池。此过程可能需要30分钟或更长时间才能完成,具体取决于要创建多少个虚拟机。
部署完成后,点击”Manage User Assignments”,以授权用户访问虚拟桌面
查看Azure WVD部署信息与状态
使用Web 客户端进行虚拟桌面连接:https://rdweb.wvd.microsoft.com/arm/webclient/index.html
此时我们的主机池虚拟桌面部署完成,并可以正常使用
-
部署application Group
很多时候用户只需要访问一个或者某个桌面应用或者Microsoft Store应用,因此我们可以使用RemoteApp,而不登陆虚拟桌面。
使用有效账户登录Azure 门户。搜索并选择”Windows 虚拟桌面”。在页面左侧的菜单中选择”应用程序组”,然后选择”+ 添加”。在”基本信息”页面,选择要为其创建应用组的订阅组和资源组。也可以选择创建新的资源组,而不是选择现有的资源组。从”主机池”旁边的下拉菜单中选择要与应用程序组关联的主机池 。
需要注意的是,必须选择与应用程序组关联的主机池。应用组包含从会话主机提供的应用或桌面,会话主机是主机池的一部分。在创建过程中,应用组需要与主机池关联。
在”应用程序组类型”下选择”RemoteApp”,然后为 RemoteApp 键入唯一名称
“分配”用户,以添加用户并访问RemoteApp应用
在Azure WVD服务中,支持两种方式发布RemoteApp应用:从开始菜单添加应用程序和从特定文件路径添加应用程序。
若要将应用组注册到工作区,请转到”注册应用程序组”并选择”是”;如果想在以后注册应用组,请选择”否” 。
配置摘要页面,信息无误后点击创建
使用有效账户登录到Web客户端以查看发布的RemoteApp应用
-
添加session host
前文中可以看到主机池中只部署了一个虚拟桌面,同理到企业生产环境中,随着使用人数的不断增多,企业管理员需要添加额外的虚拟桌面到主机池中。
在Azure门户中,选择”Windows Virtual Desktop”,选择”Host Pool”选择”session host”点击”+add”
设置相关的必要参数
稍等片刻,新的virtual desktop添加完成
如果需要授权额外的用户访问该新添加的虚拟桌面,您可以使用Azure PowerShell进行相关操作
| #将用户分配到个人桌面主机 New-AzRoleAssignment -SignInName <userupn> -RoleDefinitionName “Desktop Virtualization User” -ResourceName <appgroupname> -ResourceGroupName <resourcegroupname> -ResourceType ‘Microsoft.DesktopVirtualization/applicationGroups’ |
| #将主机池配置为需要直接将用户分配到会话主机 Update-AzWvdHostPool -ResourceGroupName <resourcegroupname> -Name <hostpoolname> -PersonalDesktopAssignmentType Direct |
| #将用户分配到特定的会话主机 Update-AzWvdSessionHost -HostPoolName <hostpoolname> -Name <sessionhostname> -ResourceGroupName <resourcegroupname> -AssignedUser <userupn> |
-
总结
可以看到,Azure Windows Virtual Desktop部署就是这么简单,快速部署快速交付,充分体现云原生特性以及按需交付的OpEx。在Azure中,Windows Virtual Desktop不仅仅是VDI交付,它还是一个庞大的生态系统。
- Azure Security和Azure Sentinel可以一体化查看用户虚拟桌面是否存在安全风险,与态势感知
- Azure Backup备份用户文件和文件夹
- Azure Monitor和Log Analytics图形化展现用户使用性能情况,如若高负载可以通过Azure Automation快速添加新的虚拟桌面
- Azure Information Protection保护用户office文档
- 还可以使用第三方的打印服务进行云打印
- 。。。。。。
好消息,Azure
China也即将落地Azure Windows Virtual Desktop服务
【下一篇】Azure Administrator认证学习指南之使用Azure Automation State Configuration-48
