windows 10 enterprise for virtual desktops что это
Windows 10 Корпоративная с поддержкой нескольких сеансов: часто задаваемые вопросы
В этой статье содержатся ответы на часто задаваемые вопросы и рекомендации по Windows 10 Корпоративная с многосеансовой поддержкой.
Что такое Windows 10 Корпоративная с многосеансовой поддержкой?
Windows 10 Корпоративная с многосеансовой поддержкой, ранее известная как Windows 10 Корпоративная для виртуальных рабочих столов (EVD), представляет собой новый узел сеансов удаленных рабочих столов, обеспечивающих использование нескольких параллельных интерактивных сеансов. Ранее это можно было делать только в Windows Server. Эта возможность дает пользователям привычный опыт работы с Windows 10, а также преимущества работы с несколькими сеансами и использования существующих лицензий на пользователя Windows, а не клиентских лицензий RDS. Дополнительные сведения о лицензиях и ценах см. на странице Цены на Виртуальный рабочий стол Azure.
Сколько пользователей могут одновременно иметь интерактивные сеансы в Windows 10 Корпоративная с многосеансовой поддержкой?
Количество интерактивных сеансов, которые могут быть активными одновременно, зависит от аппаратных ресурсов системы (виртуальные процессоры, память, диск и виртуальный графический процессор), того, как пользователи используют свои приложения при входе в сеанс и насколько высока рабочая нагрузка системы. Мы рекомендуем проверить производительность системы, чтобы понять, сколько пользователей могут одновременно работать в Windows 10 Корпоративная с многосеансовой поддержкой. Дополнительные сведения см. в разделе Цены на Виртуальный рабочий стол Azure.
Почему приложение сообщает о Windows 10 Корпоративная с многосеансовой поддержкой как о серверной операционной системе?
Windows 10 Корпоративная с многосеансовой поддержкой — это виртуальный выпуск Windows 10 Корпоративная. Одно из отличий заключается в том, что эта операционная система (ОС) выдает ProductType со значением 3 — то же самое значение, что и Windows Server. Это свойство обеспечивает совместимость операционной системы с существующими средствами управления для сеансов удаленных рабочих столов, приложениями с поддержкой многосеансовой поддержки, а также оптимизацией производительности низкоуровневых систем для сред узлов сеансов удаленных рабочих столов. Некоторые установщики приложений могут блокировать установку в многосеансовой системе Windows 10, если ProductType имеет значение Client. Если приложение не устанавливается, обратитесь к поставщику приложения за обновленной версией.
Можно ли использовать Windows 10 Корпоративная с многосеансовой поддержкой локально?
Windows 10 Корпоративная с многосеансовой поддержкой не может выполняться в локальных рабочих средах, так как она оптимизирована для службы Виртуальный рабочий стол Azure в Azure. Это соглашение о лицензировании для запуска Windows 10 Корпоративная с многосеансовой поддержкой за пределами Azure в производственных целях. Windows 10 Корпоративная с многосеансовой поддержкой не будет активирована для локальных служб управления ключами (KMS).
Можно ли обновить виртуальную машину Windows 10 до Windows 10 Корпоративная с многосеансовой поддержкой?
Нет. Сейчас невозможно обновить существующую виртуальную машину, работающую под управлением Windows 10 Профессиональная или Корпоративная, до Windows 10 Корпоративная с многосеансовой поддержкой. Кроме того, если вы развернули виртуальную машину Windows 10 Корпоративная с многосеансовой поддержкой, а затем обновляете ключ продукта в другом выпуске, то вы не сможете снова переключиться на виртуальную машину в Windows 10 Корпоративная с многосеансовой поддержкой, и потребуется повторное развертывание виртуальной машины. Смена номера SKU виртуальной машины Виртуального рабочего стола Azure на другой выпуск не поддерживается.
Как настроить образ Windows 10 Корпоративная с многосеансовой поддержкой для моей организации?
Вы можете запустить в Azure виртуальную машину с Windows 10 Корпоративная с многосеансовой поддержкой и настроить ее, установив бизнес-приложения, Sysprep/Generalize, а затем создав образ с помощью портала Azure.
Для начала создайте в Azure виртуальную машину с Windows 10 Корпоративная с многосеансовой поддержкой. Вместо запуска виртуальной машины в Azure можно загрузить VHD напрямую. После этого можно использовать загруженный виртуальный жесткий диск для создания новой виртуальной машины 1-го поколения на компьютере с Windows 10 с включенным Hyper-V.
Настройте образ в нужных целях, установив бизнес-приложения и Sysprep в образе. Завершив настройку, отправьте в Azure образ, содержащий виртуальный жесткий диск. После этого получите Виртуальный рабочий стол Azure из Azure Marketplace и используйте его для развертывания нового пула узлов с настроенным образом.
Как управлять Windows 10 Корпоративная с многосеансовой поддержкой после развертывания?
Можно использовать любое поддерживаемое средство настройки, но рекомендуется Configuration Manager версии 1906, так как он поддерживает Windows 10 Корпоративная с многосеансовой поддержкой. В настоящее время мы работаем над поддержкой Microsoft Intune.
Можно ли присоединить Windows 10 Корпоративная с многосеансовой поддержкой через Azure Active Directory (AD)?
В настоящее время Windows 10 Корпоративная с многосеансовой поддержкой поддерживается для гибридного подключения к Azure AD. После присоединения Windows 10 Корпоративная с многосеансовой поддержкой к домену используйте существующий объект групповой политики, чтобы включить регистрацию Azure AD. Дополнительные сведения см. в разделе Как планировать гибридную реализацию присоединения к Azure Active Directory
Где можно найти образ Windows 10 Корпоративная с многосеансовой поддержкой?
Windows 10 Корпоративная с многосеансовой поддержкой находится в коллекции Azure. Чтобы ее найти, перейдите на портал Azure и выполните поиск выпуска Windows 10 Корпоративная для виртуальных рабочих столов. Чтобы получить образ, интегрированный с приложениями Microsoft 365 для предприятия, перейдите на портал Azure и выполните поиск Приложения Microsoft Windows 10 + Microsoft 365 для предприятия.
Какой образ Windows 10 Корпоративная с многосеансовой поддержкой следует использовать?
Коллекция Azure включает разные выпуски, в том числе Windows 10 Корпоративная версий 1903 и 1909 с поддержкой нескольких сеансов. Для повышения производительности и надежности рекомендуется использовать последнюю версию.
Какие поддерживаются версии Windows 10 Корпоративная с многосеансовой поддержкой?
Поддерживается Windows 10 Корпоративная с поддержкой нескольких сеансов версий 1909 и выше, которые доступны в коллекции Azure. Эти выпуски соответствуют той же политике жизненного цикла поддержки, что и Windows 10 Корпоративная, а это означает, что мартовский выпуск поддерживается в течение 18 месяцев, а сентябрьский выпуск — в течение 30 месяцев.
Какое решение по управлению профилем следует использовать в Windows 10 Корпоративная с многосеансовой поддержкой?
Рекомендуется использовать контейнеры профилей FSLogix при настройке Windows 10 Корпоративная в несохраняемых средах или в других случаях, требующих централизованного хранения профиля. FSLogix гарантирует доступность и актуальность профиля пользователя для каждого сеанса пользователя. Также рекомендуется использовать контейнер профиля FSLogix для хранения профиля пользователя в любой общей папке SMB с соответствующими разрешениями, но при необходимости можно хранить профили пользователей в хранилище BLOB-объектов Azure. Пользователи Виртуального рабочего стола Azure могут использовать FSLogix без дополнительных затрат. FSLogix предварительно установлен во всех образах Windows 10 Корпоративная с многосеансовой поддержкой, но ИТ-администратор по-прежнему несет ответственность за настройку контейнера профиля FSLogix.
Дополнительные сведения о настройке контейнера профиля FSLogix см. в статье Настройка контейнера профиля FSLogix.
Какая лицензия необходима для доступа к Windows 10 Корпоративная с многосеансовой поддержкой?
Полный список применимых лицензий см. на странице Цены на Виртуальный рабочий стол Azure.
Почему приложения исчезают после выхода из системы?
Это происходит потому, что вы используете Windows 10 Корпоративная с многосеансовой поддержкой одновременно с решением для управления профилями, например FSLogix. Вашим администратором или решением для работы с профилями выполнена настройка для удаления профилей пользователей при выходе пользователя из системы. Такая конфигурация означает, что, когда ваша система удаляет профиль пользователя после выхода из системы, она также удаляет все приложения, установленные во время сеанса. Если вы хотите, чтобы установленные приложения сохранялись, необходимо попросить администратора подготовить эти приложения для всех пользователей в среде Виртуального рабочего стола Azure.
Как добиться того, чтобы приложения не исчезали при выходе из системы?
Большинство виртуализированных сред настраиваются по умолчанию таким образом, чтобы пользователи не могли устанавливать приложения в свои профили. Если вы хотите, чтобы приложение не исчезало после выхода пользователя из Виртуального рабочего стола Azure, необходимо подготовить это приложение для всех профилей пользователей в вашей среде. Дополнительные сведения о подготовке приложений см. по следующим ссылкам:
Как убедиться, что пользователи не загружают и не устанавливают приложения из Microsoft Store?
Можно отключить приложение Магазина приложений Microsoft Store, чтобы пользователи не загружали приложения, кроме тех, которые уже подготовлены для них.
Чтобы отключить приложение Магазина приложений
Может ли Windows 10 или Windows 11 Enterprise (несколько сеансов) получать обновлений компонентов с помощью Windows Server Update Services (WSUS)?
В настоящее время WSUS не может предоставлять обновления компонентов для Windows 10 или Windows 11 Enterprise (несколько сеансов).
Дальнейшие действия
Дополнительные сведения о Виртуальном рабочем столе Azure и Windows 10 Корпоративная с многосеансовой поддержкой:
Windows 10 Enterprise multi-session FAQ
This article answers frequently asked questions and explains best practices for Windows 10 Enterprise multi-session.
What is Windows 10 Enterprise multi-session?
Windows 10 Enterprise multi-session, formerly known as Windows 10 Enterprise for Virtual Desktops (EVD), is a new Remote Desktop Session Host that allows multiple concurrent interactive sessions. Previously, only Windows Server could do this. This capability gives users a familiar Windows 10 experience while IT can benefit from the cost advantages of multi-session and use existing per-user Windows licensing instead of RDS Client Access Licenses (CALs). For more information about licenses and pricing, see Azure Virtual Desktop pricing.
How many users can simultaneously have an interactive session on Windows 10 Enterprise multi-session?
How many interactive sessions that can be active at the same time relies on your system’s hardware resources (vCPU, memory, disk, and vGPU), how your users use their apps while signed in to a session, and how heavy your system’s workload is. We suggest you validate your system’s performance to understand how many users you can have on Windows 10 Enterprise multi-session. To learn more, see Azure Virtual Desktop pricing.
Why does my application report Windows 10 Enterprise multi-session as a Server operating system?
Windows 10 Enterprise multi-session is a virtual edition of Windows 10 Enterprise. One of the differences is that this operating system (OS) reports the ProductType as having a value of 3, the same value as Windows Server. This property keeps the OS compatible with existing RDSH management tooling, RDSH multi-session-aware applications, and mostly low-level system performance optimizations for RDSH environments. Some application installers can block installation on Windows 10 multi-session depending on whether they detect the ProductType is set to Client. If your app won’t install, contact your application vendor for an updated version.
Can I run Windows 10 Enterprise multi-session on-premises?
Windows 10 Enterprise multi-session can’t run in on-premises production environments because it’s optimized for the Azure Virtual Desktop service for Azure. It’s against the licensing agreement to run Windows 10 Enterprise multi-session outside of Azure for production purposes. Windows 10 Enterprise multi-session won’t activate against on-premises Key Management Services (KMS).
Can I upgrade a Windows 10 VM to Windows 10 Enterprise multi-session?
No. It’s not currently possible to upgrade an existing virtual machine (VM) that’s running Windows 10 Professional or Enterprise to Windows 10 Enterprise multi-session. Also, if you deploy a Windows 10 Enterprise multi-session VM and then update the product key to another edition, you won’t be able to switch the VM back to Windows 10 Enterprise multi-session and will need to redeploy the VM. Changing your Azure Virtual Desktop VM SKU to another edition is not supported.
How do I customize the Windows 10 Enterprise multi-session image for my organization?
You can start a VM in Azure with Windows 10 Windows 10 Enterprise multi-session and customize it by installing LOB applications, sysprep/generalize, and then create an image using the Azure portal.
To get started, create a VM in Azure with Windows 10 Enterprise multi-session. Instead of starting the VM in Azure, you can download the VHD directly. After that, you’ll be able to use the VHD you downloaded to create a new Generation 1 VM on a Windows 10 PC with Hyper-V enabled.
Customize the image to your needs by installing LOB applications and sysprep the image. When you’re done customizing, upload the image to Azure with the VHD inside. After that, get Azure Virtual Desktop from the Azure Marketplace and use it to deploy a new host pool with the customized image.
How do I manage Windows 10 Enterprise multi-session after deployment?
You can use any supported configuration tool, but we recommend Configuration Manager version 1906 because it supports Windows 10 Enterprise multi-session. We’re currently working on Microsoft Intune support.
Can Windows 10 Enterprise multi-session be Azure Active Directory (AD)-joined?
Windows 10 Enterprise multi-session is currently supported to be hybrid Azure AD-joined. After Windows 10 Enterprise multi-session is domain-joined, use the existing Group Policy Object to enable Azure AD registration. For more information, see Plan your hybrid Azure Active Directory join implementation.
Where can I find the Windows 10 Enterprise multi-session image?
Windows 10 Enterprise multi-session is in the Azure gallery. To find it, navigate to the Azure portal and search for the Windows 10 Enterprise for Virtual Desktops release. For an image integrated with Microsoft 365 Apps for enterprise, go to the Azure portal and search for Microsoft Windows 10 + Microsoft 365 Apps for enterprise.
Which Windows 10 Enterprise multi-session image should I use?
The Azure gallery has several releases, including Windows 10 Enterprise multi-session, version 1909, and Windows 10 Enterprise multi-session, version 1903. We recommend using the latest version for improved performance and reliability.
Which Windows 10 Enterprise multi-session versions are supported?
Windows 10 Enterprise multi-session, versions 1909 and later are supported and are available in the Azure gallery. These releases follow the same support lifecycle policy as Windows 10 Enterprise, which means the March release is supported for 18 months and the September release for 30 months.
Which profile management solution should I use for Windows 10 Enterprise multi-session?
We recommend you use FSLogix profile containers when you configure Windows 10 Enterprise in non-persistent environments or other scenarios that need a centrally stored profile. FSLogix ensures the user profile is available and up-to-date for every user session. We also recommend you use your FSLogix profile container to store a user profile in any SMB share with appropriate permissions, but you can store user profiles in Azure page blob storage if necessary. Azure Virtual Desktop users can use FSLogix at no additional cost. FSLogix comes pre-installed on all Windows 10 Enterprise multi-session images, but the IT admin is still responsible for configuring the FSLogix profile container.
For more information about how to configure an FSLogix profile container, see Configure the FSLogix profile container.
Which license do I need to access Windows 10 Enterprise multi-session?
For a full list of applicable licenses, see Azure Virtual Desktop pricing.
Why do my apps disappear after I sign out?
This happens because you’re using Windows 10 Enterprise multi-session with a profile management solution like FSLogix. Your admin or profile solution configured your system to delete user profiles when users sign out. This configuration means that when your system deletes your user profile after you sign out, it also removes any apps you installed during your session. If you want to keep the apps you installed, you’ll need to ask your admin to provision these apps for all users in your Azure Virtual Desktop environment.
How do I make sure apps don’t disappear when users sign out?
Most virtualized environments are configured by default to prevent users from installing additional apps to their profiles. If you want to make sure an app doesn’t disappear when your user signs out of Azure Virtual Desktop, you have to provision that app for all user profiles in your environment. For more information about provisioning apps, check out these resources:
How do I make sure users don’t download and install apps from the Microsoft Store?
You can disable the Microsoft Store app to make sure users don’t download extra apps beyond the apps you’ve already provisioned for them.
To disable the Store app:
Can Windows 10 or 11 Enterprise multi-session receive feature updates through Windows Server Update Services (WSUS)?
Currently, WSUS can’t provide feature updates to Windows 10 or 11 Enterprise multi-session.
Next steps
To learn more about Azure Virtual Desktop and Windows 10 Enterprise multi-session:
Как быстро перевести компанию в онлайн с виртуализацией — Windows Virtual Desktop
Все переходим на «удалёнку»! Это стало главной задачей примерно 2 месяца назад, когда мир изменился. Компаниям, которые мы обслуживаем как архитекторы облачных решений, в дополнение к настройке VPN к своей инфраструктуре понадобились удалённые рабочие столы. Удалённые рабочие столы для компаний нельзя назвать новой потребностью, которая ранее не была закрыта в компаниях вообще – у многих были и есть крупные локальные фермы VDI и терминальные сервера. Из-за массовости и скорости необходимого перехода на первый план у заказчиков, в разной степени, появились следующие проблемы:
В этой статье мы расскажем о том, как планировать архитектуру при развёртывании Windows Virtual Desktop. Также обратим ваше внимание на несколько партнёрских решений, которые смогут качественно дополнить внедряемое.
Предоставление сервиса удалённых рабочих мест (VDI) и терминальных серверов в масштабах компании, даже небольшой, требует существенного объёма работы от администраторов. Большая часть времени уходит на настройку и интеграцию множества компонентов, из которых состоит эти сервис. Microsoft предлагает посмотреть на эту задачу по новому с Windows Virtual Desktop (WVD). WVD это облачный сервис по виртуализации десктопов и приложения на базе Microsoft Azure. Главные преимущества WVD включают:
WVD Fall 2019 Release (GA) и Spring 2020 Update (Preview)
30 апреля в WVD стал доступен новый функционал, который сгруппирован под названием Spring 2020 Update. Этот функционал сейчас доступен в Public Preview и на него не распространяется SLA. На GA функционал, предоставляемый в рамках предыдущей версии — Fall 2019 Update, предоставляется с SLA 99.9%. ВМ, на базе которых предоставляются пулы для пользовательских сессий, покрываются своим SLA 99.95%. Функционал, связанный с Spring 2020 Update, планируется к переводу в GA в течение 2020 года. Так же будут подготовлены инструменты миграции экземпляров, построенных на базе Fall 2019 release, в новую версию.
При развёртывании сервиса и работе с документацией необходимо обращать внимание на релиз, к которому применяется данная инструкция. Он чаще всего будет выглядеть так:
Оценка стоимости
| Тип | Описание | Доступность |
| Windows 10 и Windows 7 | Соответствующая лицензия Windows или Microsoft 365 позволяет использовать рабочие столы и приложения Windows 10 Корпоративная и Windows 7 Корпоративная без дополнительной платы. | Вы можете использовать Windows 10 и Windows 7 с Виртуальным рабочим столом Windows только при наличии одной из следующих лицензий «на пользователя»: * Microsoft 365 E3/E5; * Microsoft 365 A3/A5/Student Use Benefits; * Microsoft 365 F3; * Microsoft 365 бизнес премиум * Windows 10 Корпоративная E3/E5; * Windows 10 для образовательных учреждений A3/A5; * Windows 10 VDA на каждого пользователя. |
| Windows Server | При наличии соответствующей клиентской лицензии служб удаленных рабочих столов вы можете использовать рабочие столы и приложения служб удаленных рабочих столов Windows Server без дополнительной платы. | Вы можете использовать рабочие столы и приложения Windows Server 2012 R2 и более поздних версий только при наличии соответствующей клиентской лицензии служб удаленных рабочих столов «на пользователя» или «на устройство» с действующей программой Software Assurance (SA). |
На странице Windows Desktop Pricing в разделе Personal Desktop и Multi-session Desktop example scenarios приведены ссылки на расчёты в калькуляторе, которые компонуют необходимые дополнительные ресурсы, такие как облачное хранилище для контейнеров профилей, сетевой трафик и т.д. с точки зрения стоимости преимущества использования WVD максимально проявляет себя при использовании Windows 10 Enterprise multisession в сценарии использования совместного пула. При интеграции с локальным ЦОД в расчёт стоит дополнительно включать стоимость Azure VPN Gateway и исходящего трафика.
Архитектура Microsoft Windows Virtual Desktop
Понимание архитектуры WVD позволит вам принять правильные решения при планировании и развёртывания сервиса, а также выстроить корректные ожидания от его производительности.
Для обсуждения, давайте разобьём архитектуру на блоки:
Клиенты
Конечный пользователь может подключаться к сервису как с использованием тонкого клиента через веб браузер, так и через толстый клиент на Windows, Mac, iOS, Android (все клиенты здесь). После авторизации пользователь видит иконки для подключения к удалённым десктопам или приложениям RemoteApp. Доступ к удалённым десктопам происходит по протоколу RDP поверх HTTPS. Дополнительным преимуществом использования толстого клиента на Windows является то, что опубликованные приложения синхронизируются в меню Старт.
Доступ происходит к единой публичной отказоустойчивой (SLA 99.5%) точке сервиса по адресу https://rdweb.wvd.microsoft.com/. Кастомизировать URL возможно с использованием сервиса Azure Front Door как описано здесь.
При логине в сервис используется учётная запись в Azure Active Directory (aka Azure AD), который вам необходимо иметь или создать. В облачной Azure AD необходимо создать учётные записи для пользователей или настроить синхронизацию УЗ через Azure AD Connect из вашей локальной сети. Для повышения безопасности доступа при аутентификации пользователя можно настроить использование Azure MFA, а так же создать другие дополнительные политики аутентификации с использованием Conditional Access (как описано здесь)
Для усиления безопасности функции клиента можно ограничить через кастомные настройки RDP, такие как отключение работы буфера обмена (clipboard), проброса локальных дисков внутрь удалённой сессии и т.д. Настройка производится как описано здесь, полный список свойств, которые можно использовать, можно посмотреть здесь.
Windows Virtual Desktop
Это управляемая Microsoft-ом часть сервиса Windows Virtual Desktop, отвечающая за авторизацию пользователей, безопасный доступ к пулам десктопов, логгирование событий сервиса. Подключение к ВМ происходит с использованием подхода «reverse connect» – авторизации/аутентификации подключения по WebSocket по 443-порту с инициацией со стороны ВМ. Таким образом из Интернет не предоставляется прямой доступ к ВМ и нет открытых в Интернет портов. Процесс открытия сессии выглядит следующим образом:
Облачная часть
При создании экземпляра сервиса WVD, в Azure AD создаётся конфигурационная запись WVD tenant (тенанта). В Azure SQL DB управляемой части сервиса хранятся т.н. метаданные, относящиеся к ресурсам этого тенанта: соответствие десктопов и приложений пользователям, конфигурация пулов, список опубликованных приложений и так далее. В Fall 2019 Release эти данные хранятся в ЦОДах в США (см здесь). По мере развития сервиса Spring 2020 Release появится возможность хранить метаданные в других регионах, в том числе в West Europe.
Сессионные ВМ, на базе которых предоставляются десктопы и приложения, а так же профили пользователей хранятся в регионе Azure (ЦОДе), который вы выберите при развёртывании этих компонентов. Для максимальной производительности все компоненты сервиса стоит располагать в едином регионе.
Свой ближайший ЦОД вы сможете выбрать с использованием инструмента Windows Virtual Desktop Experience Estimator, который измерит задержку (RTT – round trip time) от вашего рабочего места до ЦОДа и обратно. По опыту работы для большинства пользователей из России ближайшим является регион West Europe.
Конечные пользователи и их техническая поддержка смогут в процессе работы мониторить производительность удалённого подключения с использованием Connection Experience Indicator for RDS & WVD.
Необходимым условием развёртывания экземпляра сервиса является присоединение виртуальных машин пула к AD DS. AD может быть как облачной на базе Azure AD (AAD DS), так и на базе локального AD. При настройке WVD для большинства сценариев подходит использование Azure AD DS, он достаточно быстро и просто настраивается. AAD DS также поддерживает работу с групповыми политиками.
Если вам необходима интеграция с локальным AD, тогда необходимо настроить VPN из Azure в локальную инфраструктуру. Об этом подробнее расскажем в разделе «локальная часть». Для развёртывания AAD DS в виртуальной сети в Azure необходимо создать выделенную подсеть. При развёртывании AAD DS будет необходимо указать УЗ, которую можно будет использовать для введения ВМ в домен. Для данной УЗ будет необходимо произвести процедуру сброса пароля для синхронизации хэша пароля в формате, который использует сервис по процессу, описанному здесь. После развёртывания AAD DS, необходимо в настройках сервиса указать его как источник DNS записей для вашей виртуальной сети.
При создании пула сессионных ВМ вы можете воспользоваться предложенным размером ВМ – D4s_v3 (4 vCPU, 16GB памяти) или указать более подходящий вам. Критичным может оказаться выбор размера ВМ в пуле. Одним из подходов к определению размера ВМ является разделение пользователей по типам: Light, Medium, Heavy и Power, которым будут соответствовать конфигурации как описано здесь.
Это подход может помочь при бюджетной оценке решения и первом подходе, но реальность внесёт свои коррективы. Для эмпирической оценки мощностей необходимых для обеспечения работы ваших пользователей можно использовать бесплатную версию SysTrack Windows Virtual Desktop Assessment.
Ресурсы в пулах представляются в двух вариантах – pooled и dedicated – совместные и выделенные ВМ. При использовании «совместного» пула несколько пользователей могут подключаться на одну ВМ в формате терминального сервера, в «выделенном» — ВМ закрепляется за конкретным пользователем. При начале работы с WVD можно начинать рассмотрение с ВМ серии:
Рекомендуемым типом диска для ВМ в пулах WVD является SSD диск типа «Premium». Диск для данного типа в стандартных образах ОС имеет размер 128GB (P10) и соответствующей этому размеру производительность – 500 IOPS (кратковременная пиковая до 3.5K IOPS), 100 MiB/sec. Производительность локального диска можно поднять, увеличив его размер до 2TB (P40).
По умолчанию профили пользователей размещаются на локальных дисках виртуальных машин в пуле. Ограничение такого подхода, является как сравнительно небольшая максимальная производительность локальных дисков, так и доступность профиля при выходе ВМ из строя при сбое или апгрейде. Вторым вариантом является размещение профиля на сетевом диске. Существует несколько технологий удалённого хранения профиля пользователей — Roaming user profiles (RUP), User profile disks (UPD), Enterprise state roaming (ESR). Каждый из этих подходов имеет свои ограничения при обеспечении работы подробно описанные здесь.
В 2018 году Microsoft приобрёл технологию FSLogix, которая решает многие вызовы при работе с профилями. При подключении к удалённому десктопу или запуске удалённого приложения, через сервис WVD, FSLogix динамически подключается к сетевому ресурсу и с него подключает контейнер c профилем пользователя. FSLogix так же интегрируется с облачным решением Azure Files (SLA 99.9%) и AD – как облачным так и локальным. Ввиду высокой скорости работы и соотношения цена/функционал связка FSLogix/Azure Files/Azure AD является отличным вариантом для использования совместно с WVD.
Для высокой масштабируемости и производительности Azure Files (до 100K IOPS, 5GBps пропускной способности при задержке в 3ms) рекомендуется использовать редакцию Premium. При использовании редакции Premium производительность папки завязана на её размер, и как результат на стоимость. Более подробно о расчёте производительности и цены для редакцию Premium смотрите здесь. Стоит обратить внимание на возможности в Premium редакции накапливать «кредиты» и использовать их для кратковременного ускорения при пиковых нагрузках.
Ввиду необходимости подключения контейнера FSLogix к ВМ с ACL соответствующими пользователю необходимо интегрировать сервис с AD – облачным или локальным. Интеграция Azure Files c Azure AD доступна в GA, тогда как интеграции с локальным AD сейчас находится в Preview. Подключение ВМ к Azure Files так же возможна с применением Private Endpoint, которые предоставляют доступ к сервису с использованием приватной адресации в Azure.
Сценарии и преимущества других вариантов хранения профилей с использованием FSLogix таких как Azure NetApp Files или Storage Spaces Direct описаны здесь. При использовании контейнеров FSLogix необходимо обратить внимание на их размер по умолчанию (30GB) и ознакомиться с возможными инструментами для управления ими.
Для оценки производительности ВМ в пуле, можно воспользоваться встроенным средством Azure Monitor.
При развёртывании WVD необходимо заранее запланировать распределение подсетей внутри виртуальной сети Azure. В зависимости от конфигурации, которую вы развёртываете, вам могут потребоваться:
При необходимости включения в образ дополнительного ПО это можно сделать несколькими способами:
Локальная часть
Интеграция с корпоративными приложениями и ресурсами «локального» ЦОД может осуществляться через site-to-site VPN, построенный на базе Azure VPN Gateway или Network Virtual Appliance (NVA). При развёртывании Azure VPN Gateway необходимо создать отдельную подсеть с зарезервированным названием GatewaySubnet с минимальным размером в /27. NVA развёртываются на базе ВМ, без определённых требований к наименованию подсети. В случае использования NVA, направить трафик на него возможно с помощью User Defined Routes.
NVA может как передавать весь трафик для фильтрации в локальном ЦОД, так и фильтровать его в облаке. При использовании Azure VPN GW установить ограничения трафика на L4 можно с помощью Network Security Group (NSG), которую необходимо применять на подсеть с ВМ, входящими в пул. При фильтрации трафика, стоит принять ко вниманию, что для корректного функционирования WVD пулу ВМ необходим доступ к списку URL. NSG позволяют предоставлять доступ к сервисам на базе Service Tags (коллекции IP адресов, которые относятся к каждому сервису). Фильтровать трафика в Azure на базе URL можно через NVA (в облаке или локальном ЦОДе) или через Azure Firewall. Для минимизации задержек рекомендуется использовать решение для фильтрации, расположенное в Azure.
При развёртывании VPN-решения стоит обратить внимание на его пропускную способность. При использовании NVA производительность определяется лицензией и сетевой картой выбранной вами ВМ. Для развёртывания Azure VPN GW используется SKU соответствующей производительности. Необходимо обратить внимание, что в дополнение к почасовой стоимости Azure VPN GW или ВМ для NVA также оплачивается исходящий из облака трафик.
Пропускная способность, необходимая для работы разных профилей пользователей, доступна здесь. Для расчёта передаваемого объёма траффика для «бюджетной» оценки можно использовать следующие цифры:
Light: 75Kbps
Medium: 150Kbps
Heavy: 500Kbps
Power: 1000Kbps
Для точной оценки объёма используемого трафика его следует замерить на сетевом оборудовании или ПО, таком как бесплатная версия SysTrack Windows Virtual Desktop Assessment
Заключение
Удалённая работа стала реальностью почти для всех нас и вероятно может остаться такой на достаточно длительное время. Microsoft понимает это и делает создание и поддержание инфраструктуры для предоставления удалённых рабочих мест и приложений максимально простым и экономически доступным. Используя WVD для обеспечения удалённой работы вы сможете достигать большего быстрее.