超低成本VDI云解决方案: Azure WVD + Windows 10 Multi-Session + FSLogix

        VDI的未来是云。目前本地部署的虚拟桌面基础架构（VDI）方案市场增长乏力，越来越多的企业基础设施和运营（I&O）部门在考虑替换方案，其中最主要的诟病原因是本地部署的VDI没有像之前期望的那样为企业省钱。随着云计算的快速发展，基于云的虚拟桌面基础结构 (VDI) 可以让员工从任何位置安全地工作，云桌面提供了本地 VDI 可能无法提供的低成本和可伸缩性。

 

        微软云Azure在2018年9月发布了Windows 虚拟桌面（WVD）服务，它是唯一提供多用户Windows 10体验的云VDI服务，并针对Office 365 ProPlus进行了优化。无论您使用哪种设备类型（Windows、Mac、iOS、Android 或具有 HTML5 Web 客户端的任何其它设备），均可在自带设备 (BYOD) 或瘦客户端上使用 Windows 虚拟桌面连接到企业IT环境进行办公。Azure WVD本身是一项免费的全托管VDI服务，无额外许可证成本，您只需为使用的虚拟机、存储、网络等基础设施服务付费，而且还可以利用虚拟机预留实例、定时开关机、调整虚拟机大小等成本优化方式降低基础结构和 IT 管理开销。会话主机运行的操作系统使用企业现有或新购的 Microsoft 365 或 Windows许可证。具体请参阅https://azure.microsoft.com/zh-cn/pricing/details/virtual-desktop/

　　

下面为您分享Azure唯一提供的更省钱的云VDI方案。

 

·       什么是Windows 10 Enterprise multi-Session

Windows 10 Enterprise multi-Session是专用于远程桌面会话主机的操作系统版本，针对Azure WVD进行了优化。它允许会话主机（Session Host）支持多个并发用户，这个功能以前只有 Windows Server才能支持。Windows 10 Enterprise multi-Session为用户提供了一个熟悉和完全一致的Windows 10 体验，并可以通过支持多会话来获得成本获益。它可以使用已有按用户Windows 授权，而无需RDS客户端访问许可证（Cal）。

Windows 10 Enterprise multi-Session不支持本地部署。

 

 

·       什么是FSLogix

　　

　　FSLogix是全球最优秀的漫游用户配置文件解决方案。2018 年11月微软收购FSLogix，并在 2019 年 3 月将FSLogix软件免费。Azure WVD 强烈建议采用FSLogix配置文件容器作为用户的配置文件管理方案。

 

·       什么漫游用户配置文件（Roaming User Profiles）

　  用户配置是Windows中的个人配置信息，包含桌面配置、网络连接、应用程序设置等。默认情况下，Windows为用户创建本地用户配置文件（Local Profile），与操作系统紧密集成。远程用户配置文件（Remote User Profile）在一定条件下可以更改操作系统，例如用户使用池化会话主机环境，会话主机池是非持久化环境。用户可以连接使用池中的任意一台主机，登录的时候远程配置文件修改该主机操作系统的个性化配置，用户在任意一台主机都可以实现一直的体验，也就是所谓“漫游用户配置文件”。

 

实现漫游用户配置文件有多种方案，例如RUP、UPD、ESR、FSLogix等，相较于其它技术，FSLogix提供高性能、低成本远程用户配置文件解决方案。2019年8月Azure Files推出基于Azure Active Directory Domain Service (AADDS) 授权功能后，FSLogix采用Azure Files作为用户配置文件容器存储是WVD的优势方案，它不仅可以降低成本还大幅降低了管理工作量。

 

2020年4月春季更新之后，WVD内容对象全面基于Azure Resource Manager管理，配置管理层次更少，创建配置步骤更简单。官网文档标明Windows Virtual Desktop (classic)的内容针对上一版本，使用最新版本WVD的用户可以忽略这这部分。

 

下面我们来创建配置本方案所说的WVD服务，需要的组件服务如下：

 

·       Azure WVD

·       Azure Active Directory

·       Azure Active Directory Domain Service (AADDS)

·       Azure Files

·       Windows 10 Multi-Session

·       FSLogix

·       Windows Server 2016

·       Group Policy Management Console (GPMC)

 

具体创建步骤会引用相关的官网文档链接，这里只针对注意事项进行解释。

 

1. 创建AADDS

 

此过程需要1小时左右，具体步骤请参看：

https://docs.microsoft.com/zh-cn/azure/active-directory-domain-services/tutorial-configure-networking

https://docs.microsoft.com/zh-cn/azure/active-directory-domain-services/tutorial-create-instance-advanced

 

•     　　建议提前创建好资源组、虚拟网络和2个子网，一个专用于AADDS，另外一个部署WVD主机池，不要将二者放置于相同的子网。创建好AADDS之后，将虚拟网络DNS修改为自定义，添加2个AADDS的IP。
•  创建启用AADDS需要Azure AD全局管理员（Global Administrator）权限客户的测试和生产账号管理员都具备AAD全局管理员权限。笔者公司员工Azure账号没有AAD全局管理员权限，在订阅中无法创建AADDS，因此笔者使用MSDN附送的测试账号进行了搭建。
• 　   不能创建前缀长度超过 15 个字符的托管域。笔者Built-in域名为yongboyanghotmail@onmicrosoft.com，域前缀超过15个字符，因此采用了可路由的自定义域名。在AAD中创建自定义域请参看https://docs.microsoft.com/zh-cn/azure/active-directory/fundamentals/add-custom-domain，过程中需要在域注册机构管理网站创建TXT记录来验证。
• 
• AADDS 与AAD同步选择全部（All），后面Azure Files基于AADDS授权要求同步范围为: All
• 在AAD中创建几个用户，然后启用AADDS这些用户。对于Cloud-only AAD用户，通过https://myapps.microsoft.com 重置密码之后才会同步到AADDS，后面通过AADDS登录授权也才能成功。
• 创建按过程自动创建AAD DC Administrators组，将一个用户添加至该组作为管理员。创建一个组，用于用户的批量授权。

 

2. 创建Azure File Share并启用AADDS身份验证

 

创建一台Windows Server 2016用于管理AADDS，将其部署在之前创建的虚拟网络。使用域管理员登录Windows Server 2016，将其加入AADDS域，此时您可以验证域管理员可以登录。

https://docs.microsoft.com/zh-cn/azure/active-directory-domain-services/join-windows-vm

 

创建Azure File Share:

https://docs.microsoft.com/zh-cn/azure/storage/files/storage-how-to-use-files-portal

 

为Azure File Share启用AADDS身份验证，使用AADDS管理员登录Windows Server 2016为用户组分配访问权限：https://docs.microsoft.com/zh-cn/azure/virtual-desktop/create-profile-container-adds 忽略“创建配置文件容器”之后的内容，此步骤将在第3步使用组策略（Group Policy）配置。

 

3. 配置组策略：安装FSLogix，创建配置文件容器

使用AADDS管理员登录Windows Server 2016，安装Group Policy Management Console (GPMC)，通过GPMC采用“Central Store for Policies”, 通过域策略进行部署和配置。详细请参看：

https://docs.microsoft.com/zh-cn/fslogix/use-group-policy-templates-ht#central-store

配置好组策略之后，WVD主机池中创建的虚拟机将自动部署FSLogix配置文件容器。

 

4. 创建主机池和管理应用组

创建主机池比较直接简单，具体步骤请参看：

https://docs.microsoft.com/zh-cn/azure/virtual-desktop/create-host-pools-azure-marketplace

https://docs.microsoft.com/zh-cn/azure/virtual-desktop/manage-app-groups

 

• 主机池的位置是指用于存储服务元数据的地理位置，目前WVD支持美国几个区域，后续会增加其它国家区域。虚拟网络所在区域是主机池中的虚拟机的部署区域，我们需要根据用户就近访问原则选择此区域。

 

• 虚拟机镜像选择Windows 10 Enterprise multi-session 版本，或基于此制作的自定义镜像。

 

• 主机池类型选择 Pooled.

 

 5. 使用客户端连接WVD

请参考：https://docs.microsoft.com/zh-cn/azure/virtual-desktop/connect-web

这里使用Web客户端登录验证，打开浏览器访问：https://rdweb.wvd.microsoft.com/arm/webclient/index.html

登录过程中会看到FSLogix服务相关信息。

 

6. 验证FSLogix配置文件

 

登录到虚拟桌面之后，检查C:\Users目录下发现 [user] 以及 local_[user]两个目录，表明FSLogix已经正常工作。

 

 

从Azure File Share目录也可以看到登录用户的配置文件

 

　　至此，创建配置完毕。

　　采用 Azure WVD、Windows 10 Enterprise multi-Session、FSLogix、Azure Files、AADDS等服务构建的VDI云解决方案，用户可以获得本地使用虚拟桌面的用户体验，以及无以伦比的超低拥有成本。