Tutorial 2-1: Pianifica l'architettura per i carichi di lavoro di Desktop virtuale Azure e AKS in Azure Enclave

Questa esercitazione illustra come pianificare l'architettura dell'enclave Azure per la distribuzione di carichi di lavoro Desktop virtuale Azure e Servizio Azure Kubernetes (AKS). La pianificazione corretta garantisce sicurezza ottimale, isolamento della rete e organizzazione delle risorse.

In questa esercitazione apprenderai a:

  • Pianificare la topologia dell'enclave per l'isolamento del carico di lavoro
  • Calcolare i requisiti di dimensionamento delle subnet per Desktop virtuale Azure e Azure Kubernetes Service
  • Identificare gli endpoint di rete e la connettività necessari
  • Progettare connessioni enclave per la comunicazione tra enclave
  • Organizzare i gruppi di risorse del carico di lavoro in modo efficace

Prerequisiti

Questa esercitazione presuppone la comprensione dei concetti di queste esercitazioni:

Panoramica dell'architettura

Il diagramma seguente mostra i tutorial sull'architettura dal 2-1 al 2-4. L'architettura comprende un hub di comunità con firewall, enclave separate per i carichi di lavoro di Desktop virtuale Azure e AKS, nonché gli endpoint e le connessioni necessari.

Diagramma che illustra l'architettura completa per i carichi di lavoro di Desktop virtuale Azure e AKS in Azure Enclave.

Decisioni chiave per la pianificazione

Topologia dell'enclave

È necessario decidere se distribuire Desktop virtuale Azure e servizio Azure Kubernetes in enclave separati o in un enclave condiviso.

Option Vantaggi Considerations
Enclavi separati • Isolamento massimo tra i tipi di carico di lavoro
• Criteri di rete indipendenti
• Più facile gestire i diversi requisiti di conformità
• Cancellare i limiti di sicurezza
• Connessioni enclave più complesse
• Altre risorse dell'enclave
• Potenziale di servizi condivisi duplicati
Un'enclave • Rete semplificata
• Servizi comuni condivisi
• Sono necessarie meno connessioni all'enclave
• Riduzione del sovraccarico di gestione
• Minore isolamento tra carichi di lavoro
• Criteri di rete condivisi
Ibrido con l'enclave di Servizi condivisi • Isolare i carichi di lavoro durante la condivisione di risorse comuni
• Servizi centralizzati come Key Vault, Domain Name System (DNS)
• Migliore di entrambi gli approcci
• La più complessa da configurare inizialmente
• Richiede un'attenta pianificazione delle connessioni dell'enclave

Raccomandazione: per gli ambienti di produzione con requisiti di sicurezza rigorosi, usare enclave separati per Desktop virtuale Azure e servizio Azure Kubernetes e un terzo enclave per servizi condivisi e risorse comuni. Questa serie di tutorial guida attraverso l'approccio a enclave separate.

Dimensionamento della subnet per Desktop virtuale Azure

Desktop virtuale Azure richiede almeno due subnet nell'enclave:

Sottorete Purpose Dimensioni consigliate Calcolo
Subnet di gestione Pool di host, area di lavoro, gruppi di applicazioni, endpoint privati /26 (64 indirizzi IP) Cinque indirizzi IP Azure riservati + risorse di gestione + crescita
Subnet degli host di sessione Macchine virtuali (VM) host di sessione di Desktop virtuale Azure Dipende dal numero di macchine virtuali (Number of VMs + 5 reserved) + 20% growth

Calcolo di esempio per la subnet degli host di sessione:

  • 50 host di sessione previsti
  • Formula: (50 + 5) × 1.2 = 66 IPs needed
  • Consigliato: /26 (64 indirizzi IP) o /25 (128 indirizzi IP) per supportare la crescita

Importante

Non è possibile ridimensionare una subnet dopo la distribuzione delle risorse. Pianificare la crescita.

Dimensionamento della subnet per AKS

AKS richiede almeno tre subnet nell'enclave:

Sottorete Purpose Dimensioni consigliate Calcolo
Subnet del nodo Nodi di lavoro AKS Dipende dal numero di pod (max nodes + 1) + ((max nodes + 1) × max pods per node)
API Server Subnet Endpoint del server API privato /28 (16 IP) Subnet piccola per il server API
Subnet dell'endpoint privato Endpoint privati per i servizi AKS /26 (64 IP) Endpoint privati per vari servizi di AKS

Calcolo di esempio per La subnet del nodo (30 pod per nodo, 3 nodi max):

  • Formula: (3 + 1) + ((3 + 1) × 30) = 4 + 120 = 124 IPs needed
  • Consigliato: /25 (almeno 128 IP)

Importante

Pianificare le operazioni di aggiornamento che richiedono un nodo aggiuntivo.

Requisiti di rete

Endpoint Desktop virtuale Azure obbligatori

Desktop virtuale Azure richiede la connettività agli endpoint seguenti tramite endpoint della community:

Purpose Nome endpoint Ports Protocol
piano di controllo Desktop virtuale Azure *.wvd.microsoft.com
*.prod.warm.ingest.monitor.core.windows.net
443 HTTPS
Authentication login.microsoftonline.com
login.windows.net
443 HTTPS
Gestore Risorse di Azure management.azure.com 443 HTTPS
Aggiornamenti dell'agente mrsglobalstb2prod.blob.core.windows.net
gcs.prod.monitoring.core.windows.net
443 HTTPS
Configurazione utente ospite *.guestconfiguration.azure.com 443 HTTPS
Windows Update *.prod.do.dsp.mp.microsoft.com
www.msftconnecttest.com
443/80 HTTPS/HTTP

Riferimento: URL richiesti di Desktop virtuale Azure

Endpoint AKS obbligatori

AKS richiede la connettività verso i seguenti endpoint tramite endpoint pubblici:

Purpose Nome endpoint Ports Protocol
Registro dei Contenitori mcr.microsoft.com
*.data.mcr.microsoft.com
443 HTTPS
Gestione dei cluster *.hcp.<region>.azmk8s.io 443 HTTPS
Gestore Risorse di Azure management.azure.com 443 HTTPS
Authentication login.microsoftonline.com 443 HTTPS
Repository di pacchetti packages.microsoft.com
acs-mirror.azureedge.net
443 HTTPS

Riferimento: Regole di rete in uscita richieste per AKS

Comunicazione tra enclave

Se si usano enclavi separati, sono necessari endpoint e connessioni per gli enclavi:

origine Destination Purpose Ports
Desktop virtuale Azure Enclave Enclave di Servizi condivisi Key Vault, DNS, monitoraggio 443, 53
Enclave AKS Enclave di Servizi condivisi Key Vault, DNS, monitoraggio 443, 53
Desktop virtuale Azure Enclave Enclave AKS Facoltativo: comunicazione diretta Dipende dai requisiti

Organizzazione delle risorse

Gruppi di risorse del carico di lavoro

Ogni carico di lavoro deve avere uno o più gruppi di risorse. Si consideri questa organizzazione:

Gruppi di risorse del carico di lavoro di Desktop virtuale Azure:

  • rg-avd-controlplane - Pool di host, aree di lavoro, gruppi di applicazioni
  • rg-avd-sessionhosts - Macchine virtuali host di sessione e risorse correlate
  • rg-avd-storage - Account di archiviazione FSLogix
  • rg-avd-shared- Risorse condivise come Key Vault, identità gestite

Gruppi di risorse dei carichi di lavoro di AKS:

  • rg-aks-cluster - Gruppo di risorse utente del cluster AKS
  • rg-aks-nodes - Gruppo di risorse gestito di AKS (creato automaticamente)
  • rg-aks-shared- Risorse condivise come Key Vault, identità gestite

Gruppi di risorse del carico di lavoro dei servizi condivisi (se si utilizza l'enclave di servizi condivisi):

  • rg-shared-security - Key Vault, identità gestite, set di crittografia del disco
  • rg-shared-network - Zone DNS private
  • rg-shared-monitoring - aree di lavoro Log Analytics

Pianificazione delle dipendenze comuni

Sia Desktop virtuale Azure che il servizio Azure Kubernetes richiedono queste dipendenze comuni:

Risorsa Purpose Condivisi o per carico di lavoro
Identità gestita assegnata dall'utente Accesso Key Vault per le chiavi di crittografia Può essere condiviso o per carico di lavoro
Archivio di chiavi Archiviare chiavi di crittografia, segreti, certificati Consigliato: condiviso
Chiave gestita del cliente (CMK) Crittografare dischi e dati Può essere condiviso o per carico di lavoro
Set di crittografia dei dischi Applicare CMK ai dischi gestiti Per carico di lavoro
Zone DNS privato Risoluzione DNS dell'endpoint privato Condiviso tra le enclave
Area di lavoro Log Analytics Registrazione e monitoraggio centralizzati Condiviso tra enclave

Raccomandazione: ridurre le risorse duplicate distribuendo dipendenze comuni in un'enclave o un carico di lavoro di servizi condivisi.

Considerazioni relative alla sicurezza

Isolamento della rete

  • Usare subnet separate per tipi di risorse diversi
  • Applicare regole del gruppo di sicurezza di rete (NSG) alle subnet
  • Usare endpoint privati per i servizi PaaS Azure
  • Ridurre al minimo gli endpoint della comunità a quelli necessari per le proprie esigenze

Encryption

  • Abilita le chiavi gestite dal cliente (CMK) per tutti i dati archiviati
  • Usare i set di crittografia dei dischi per i dischi delle macchine virtuali
  • Abilitare la crittografia a livello di host per i nodi AKS
  • Archiviare tutte le chiavi in Azure Key Vault e assegnare le autorizzazioni di accesso con privilegi minimi

Controllo di accesso

  • Usare le assegnazioni di ruolo di Azure per l'accesso alle risorse
  • Implementare l'accesso JIT (Just-In-Time) per le operazioni amministrative
  • Usare le identità gestite anziché le entità servizio, ove possibile
  • Applicare il principio dei privilegi minimi a tutte le assegnazioni di ruolo

Monitoraggio

  • Abilitare le impostazioni di diagnostica in tutte le risorse
  • Configurare Desktop virtuale Azure Insights per il monitoraggio degli host di sessione
  • Configurare Container Insights per il monitoraggio di AKS
  • Inviare tutti i log a un'area di lavoro Log Analytics centralizzata

Passaggi successivi

Dopo aver pianificato l'architettura, l'esercitazione successiva illustra la creazione dell'ambiente enclave Azure per i carichi di lavoro.