Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questa esercitazione illustra come pianificare l'architettura dell'enclave Azure per la distribuzione di carichi di lavoro Desktop virtuale Azure e Servizio Azure Kubernetes (AKS). La pianificazione corretta garantisce sicurezza ottimale, isolamento della rete e organizzazione delle risorse.
In questa esercitazione apprenderai a:
- Pianificare la topologia dell'enclave per l'isolamento del carico di lavoro
- Calcolare i requisiti di dimensionamento delle subnet per Desktop virtuale Azure e Azure Kubernetes Service
- Identificare gli endpoint di rete e la connettività necessari
- Progettare connessioni enclave per la comunicazione tra enclave
- Organizzare i gruppi di risorse del carico di lavoro in modo efficace
Prerequisiti
Questa esercitazione presuppone la comprensione dei concetti di queste esercitazioni:
- Tutorial 1-1: Distribuire una community
- Esercitazione 1-2: Creare enclave all'interno di una community
- Esercitazione 1-3: Creare carichi di lavoro all'interno di un enclave
- Esercitazione 1-4: Usare il catalogo dei servizi
- Tutorial 1-5: Creare endpoint e connessioni dell'enclave
- Comprensione di Desktop virtuale Azure
- Informazioni sulle servizio Azure Kubernetes
Panoramica dell'architettura
Il diagramma seguente mostra i tutorial sull'architettura dal 2-1 al 2-4. L'architettura comprende un hub di comunità con firewall, enclave separate per i carichi di lavoro di Desktop virtuale Azure e AKS, nonché gli endpoint e le connessioni necessari.
Decisioni chiave per la pianificazione
Topologia dell'enclave
È necessario decidere se distribuire Desktop virtuale Azure e servizio Azure Kubernetes in enclave separati o in un enclave condiviso.
| Option | Vantaggi | Considerations |
|---|---|---|
| Enclavi separati | • Isolamento massimo tra i tipi di carico di lavoro • Criteri di rete indipendenti • Più facile gestire i diversi requisiti di conformità • Cancellare i limiti di sicurezza |
• Connessioni enclave più complesse • Altre risorse dell'enclave • Potenziale di servizi condivisi duplicati |
| Un'enclave | • Rete semplificata • Servizi comuni condivisi • Sono necessarie meno connessioni all'enclave • Riduzione del sovraccarico di gestione |
• Minore isolamento tra carichi di lavoro • Criteri di rete condivisi |
| Ibrido con l'enclave di Servizi condivisi | • Isolare i carichi di lavoro durante la condivisione di risorse comuni • Servizi centralizzati come Key Vault, Domain Name System (DNS) • Migliore di entrambi gli approcci |
• La più complessa da configurare inizialmente • Richiede un'attenta pianificazione delle connessioni dell'enclave |
Raccomandazione: per gli ambienti di produzione con requisiti di sicurezza rigorosi, usare enclave separati per Desktop virtuale Azure e servizio Azure Kubernetes e un terzo enclave per servizi condivisi e risorse comuni. Questa serie di tutorial guida attraverso l'approccio a enclave separate.
Dimensionamento della subnet per Desktop virtuale Azure
Desktop virtuale Azure richiede almeno due subnet nell'enclave:
| Sottorete | Purpose | Dimensioni consigliate | Calcolo |
|---|---|---|---|
| Subnet di gestione | Pool di host, area di lavoro, gruppi di applicazioni, endpoint privati | /26 (64 indirizzi IP) | Cinque indirizzi IP Azure riservati + risorse di gestione + crescita |
| Subnet degli host di sessione | Macchine virtuali (VM) host di sessione di Desktop virtuale Azure | Dipende dal numero di macchine virtuali | (Number of VMs + 5 reserved) + 20% growth |
Calcolo di esempio per la subnet degli host di sessione:
- 50 host di sessione previsti
- Formula:
(50 + 5) × 1.2 = 66 IPs needed - Consigliato:
/26(64 indirizzi IP) o/25(128 indirizzi IP) per supportare la crescita
Importante
Non è possibile ridimensionare una subnet dopo la distribuzione delle risorse. Pianificare la crescita.
Dimensionamento della subnet per AKS
AKS richiede almeno tre subnet nell'enclave:
| Sottorete | Purpose | Dimensioni consigliate | Calcolo |
|---|---|---|---|
| Subnet del nodo | Nodi di lavoro AKS | Dipende dal numero di pod | (max nodes + 1) + ((max nodes + 1) × max pods per node) |
| API Server Subnet | Endpoint del server API privato | /28 (16 IP) | Subnet piccola per il server API |
| Subnet dell'endpoint privato | Endpoint privati per i servizi AKS | /26 (64 IP) | Endpoint privati per vari servizi di AKS |
Calcolo di esempio per La subnet del nodo (30 pod per nodo, 3 nodi max):
- Formula:
(3 + 1) + ((3 + 1) × 30) = 4 + 120 = 124 IPs needed - Consigliato:
/25(almeno 128 IP)
Importante
Pianificare le operazioni di aggiornamento che richiedono un nodo aggiuntivo.
Requisiti di rete
Endpoint Desktop virtuale Azure obbligatori
Desktop virtuale Azure richiede la connettività agli endpoint seguenti tramite endpoint della community:
| Purpose | Nome endpoint | Ports | Protocol |
|---|---|---|---|
| piano di controllo Desktop virtuale Azure | *.wvd.microsoft.com*.prod.warm.ingest.monitor.core.windows.net |
443 | HTTPS |
| Authentication | login.microsoftonline.comlogin.windows.net |
443 | HTTPS |
| Gestore Risorse di Azure | management.azure.com |
443 | HTTPS |
| Aggiornamenti dell'agente | mrsglobalstb2prod.blob.core.windows.netgcs.prod.monitoring.core.windows.net |
443 | HTTPS |
| Configurazione utente ospite | *.guestconfiguration.azure.com |
443 | HTTPS |
| Windows Update | *.prod.do.dsp.mp.microsoft.comwww.msftconnecttest.com |
443/80 | HTTPS/HTTP |
Riferimento: URL richiesti di Desktop virtuale Azure
Endpoint AKS obbligatori
AKS richiede la connettività verso i seguenti endpoint tramite endpoint pubblici:
| Purpose | Nome endpoint | Ports | Protocol |
|---|---|---|---|
| Registro dei Contenitori | mcr.microsoft.com*.data.mcr.microsoft.com |
443 | HTTPS |
| Gestione dei cluster | *.hcp.<region>.azmk8s.io |
443 | HTTPS |
| Gestore Risorse di Azure | management.azure.com |
443 | HTTPS |
| Authentication | login.microsoftonline.com |
443 | HTTPS |
| Repository di pacchetti | packages.microsoft.comacs-mirror.azureedge.net |
443 | HTTPS |
Riferimento: Regole di rete in uscita richieste per AKS
Comunicazione tra enclave
Se si usano enclavi separati, sono necessari endpoint e connessioni per gli enclavi:
| origine | Destination | Purpose | Ports |
|---|---|---|---|
| Desktop virtuale Azure Enclave | Enclave di Servizi condivisi | Key Vault, DNS, monitoraggio | 443, 53 |
| Enclave AKS | Enclave di Servizi condivisi | Key Vault, DNS, monitoraggio | 443, 53 |
| Desktop virtuale Azure Enclave | Enclave AKS | Facoltativo: comunicazione diretta | Dipende dai requisiti |
Organizzazione delle risorse
Gruppi di risorse del carico di lavoro
Ogni carico di lavoro deve avere uno o più gruppi di risorse. Si consideri questa organizzazione:
Gruppi di risorse del carico di lavoro di Desktop virtuale Azure:
-
rg-avd-controlplane- Pool di host, aree di lavoro, gruppi di applicazioni -
rg-avd-sessionhosts- Macchine virtuali host di sessione e risorse correlate -
rg-avd-storage- Account di archiviazione FSLogix -
rg-avd-shared- Risorse condivise come Key Vault, identità gestite
Gruppi di risorse dei carichi di lavoro di AKS:
-
rg-aks-cluster- Gruppo di risorse utente del cluster AKS -
rg-aks-nodes- Gruppo di risorse gestito di AKS (creato automaticamente) -
rg-aks-shared- Risorse condivise come Key Vault, identità gestite
Gruppi di risorse del carico di lavoro dei servizi condivisi (se si utilizza l'enclave di servizi condivisi):
-
rg-shared-security- Key Vault, identità gestite, set di crittografia del disco -
rg-shared-network- Zone DNS private -
rg-shared-monitoring- aree di lavoro Log Analytics
Pianificazione delle dipendenze comuni
Sia Desktop virtuale Azure che il servizio Azure Kubernetes richiedono queste dipendenze comuni:
| Risorsa | Purpose | Condivisi o per carico di lavoro |
|---|---|---|
| Identità gestita assegnata dall'utente | Accesso Key Vault per le chiavi di crittografia | Può essere condiviso o per carico di lavoro |
| Archivio di chiavi | Archiviare chiavi di crittografia, segreti, certificati | Consigliato: condiviso |
| Chiave gestita del cliente (CMK) | Crittografare dischi e dati | Può essere condiviso o per carico di lavoro |
| Set di crittografia dei dischi | Applicare CMK ai dischi gestiti | Per carico di lavoro |
| Zone DNS privato | Risoluzione DNS dell'endpoint privato | Condiviso tra le enclave |
| Area di lavoro Log Analytics | Registrazione e monitoraggio centralizzati | Condiviso tra enclave |
Raccomandazione: ridurre le risorse duplicate distribuendo dipendenze comuni in un'enclave o un carico di lavoro di servizi condivisi.
Considerazioni relative alla sicurezza
Isolamento della rete
- Usare subnet separate per tipi di risorse diversi
- Applicare regole del gruppo di sicurezza di rete (NSG) alle subnet
- Usare endpoint privati per i servizi PaaS Azure
- Ridurre al minimo gli endpoint della comunità a quelli necessari per le proprie esigenze
Encryption
- Abilita le chiavi gestite dal cliente (CMK) per tutti i dati archiviati
- Usare i set di crittografia dei dischi per i dischi delle macchine virtuali
- Abilitare la crittografia a livello di host per i nodi AKS
- Archiviare tutte le chiavi in Azure Key Vault e assegnare le autorizzazioni di accesso con privilegi minimi
Controllo di accesso
- Usare le assegnazioni di ruolo di Azure per l'accesso alle risorse
- Implementare l'accesso JIT (Just-In-Time) per le operazioni amministrative
- Usare le identità gestite anziché le entità servizio, ove possibile
- Applicare il principio dei privilegi minimi a tutte le assegnazioni di ruolo
Monitoraggio
- Abilitare le impostazioni di diagnostica in tutte le risorse
- Configurare Desktop virtuale Azure Insights per il monitoraggio degli host di sessione
- Configurare Container Insights per il monitoraggio di AKS
- Inviare tutti i log a un'area di lavoro Log Analytics centralizzata
Passaggi successivi
Dopo aver pianificato l'architettura, l'esercitazione successiva illustra la creazione dell'ambiente enclave Azure per i carichi di lavoro.