超低成本VDI雲解決方案: Azure WVD + Windows 10 Multi-Session + FSLogix

        VDI的未來是雲。目前本地部署的虛擬桌面基礎架構（VDI）方案市場增長乏力，越來越多的企業基礎設施和運營（I&O）部門在考慮替換方案，其中最主要的詬病原因是本地部署的VDI沒有像之前期望的那樣為企業省錢。隨着雲計算的快速發展，基於雲的虛擬桌面基礎結構 (VDI) 可以讓員工從任何位置安全地工作，雲桌面提供了本地 VDI 可能無法提供的低成本和可伸縮性。

 

        微軟雲Azure在2018年9月發布了Windows 虛擬桌面（WVD）服務，它是唯一提供多用戶Windows 10體驗的雲VDI服務，並針對Office 365 ProPlus進行了優化。無論您使用哪種設備類型（Windows、Mac、iOS、Android 或具有 HTML5 Web 客戶端的任何其它設備），均可在自帶設備 (BYOD) 或瘦客戶端上使用 Windows 虛擬桌面連接到企業IT環境進行辦公。Azure WVD本身是一項免費的全托管VDI服務，無額外許可證成本，您只需為使用的虛擬機、存儲、網絡等基礎設施服務付費，而且還可以利用虛擬機預留實例、定時開關機、調整虛擬機大小等成本優化方式降低基礎結構和 IT 管理開銷。會話主機運行的操作系統使用企業現有或新購的 Microsoft 365 或 Windows許可證。具體請參閱https://azure.microsoft.com/zh-cn/pricing/details/virtual-desktop/

　　

下面為您分享Azure唯一提供的更省錢的雲VDI方案。

 

·       什么是Windows 10 Enterprise multi-Session

Windows 10 Enterprise multi-Session是專用於遠程桌面會話主機的操作系統版本，針對Azure WVD進行了優化。它允許會話主機（Session Host）支持多個並發用戶，這個功能以前只有 Windows Server才能支持。Windows 10 Enterprise multi-Session為用戶提供了一個熟悉和完全一致的Windows 10 體驗，並可以通過支持多會話來獲得成本獲益。它可以使用已有按用戶Windows 授權，而無需RDS客戶端訪問許可證（Cal）。

Windows 10 Enterprise multi-Session不支持本地部署。

 

 

·       什么是FSLogix

　　

　　FSLogix是全球最優秀的漫游用戶配置文件解決方案。2018 年11月微軟收購FSLogix，並在 2019 年 3 月將FSLogix軟件免費。Azure WVD 強烈建議采用FSLogix配置文件容器作為用戶的配置文件管理方案。

 

·       什么漫游用戶配置文件（Roaming User Profiles）

　  用戶配置是Windows中的個人配置信息，包含桌面配置、網絡連接、應用程序設置等。默認情況下，Windows為用戶創建本地用戶配置文件（Local Profile），與操作系統緊密集成。遠程用戶配置文件（Remote User Profile）在一定條件下可以更改操作系統，例如用戶使用池化會話主機環境，會話主機池是非持久化環境。用戶可以連接使用池中的任意一台主機，登錄的時候遠程配置文件修改該主機操作系統的個性化配置，用戶在任意一台主機都可以實現一直的體驗，也就是所謂“漫游用戶配置文件”。

 

實現漫游用戶配置文件有多種方案，例如RUP、UPD、ESR、FSLogix等，相較於其它技術，FSLogix提供高性能、低成本遠程用戶配置文件解決方案。2019年8月Azure Files推出基於Azure Active Directory Domain Service (AADDS) 授權功能后，FSLogix采用Azure Files作為用戶配置文件容器存儲是WVD的優勢方案，它不僅可以降低成本還大幅降低了管理工作量。

 

2020年4月春季更新之后，WVD內容對象全面基於Azure Resource Manager管理，配置管理層次更少，創建配置步驟更簡單。官網文檔標明Windows Virtual Desktop (classic)的內容針對上一版本，使用最新版本WVD的用戶可以忽略這這部分。

 

下面我們來創建配置本方案所說的WVD服務，需要的組件服務如下：

 

·       Azure WVD

·       Azure Active Directory

·       Azure Active Directory Domain Service (AADDS)

·       Azure Files

·       Windows 10 Multi-Session

·       FSLogix

·       Windows Server 2016

·       Group Policy Management Console (GPMC)

 

具體創建步驟會引用相關的官網文檔鏈接，這里只針對注意事項進行解釋。

 

1. 創建AADDS

 

此過程需要1小時左右，具體步驟請參看：

https://docs.microsoft.com/zh-cn/azure/active-directory-domain-services/tutorial-configure-networking

https://docs.microsoft.com/zh-cn/azure/active-directory-domain-services/tutorial-create-instance-advanced

 

•     　　建議提前創建好資源組、虛擬網絡和2個子網，一個專用於AADDS，另外一個部署WVD主機池，不要將二者放置於相同的子網。創建好AADDS之后，將虛擬網絡DNS修改為自定義，添加2個AADDS的IP。
•  創建啟用AADDS需要Azure AD全局管理員（Global Administrator）權限客戶的測試和生產賬號管理員都具備AAD全局管理員權限。筆者公司員工Azure賬號沒有AAD全局管理員權限，在訂閱中無法創建AADDS，因此筆者使用MSDN附送的測試賬號進行了搭建。
• 　   不能創建前綴長度超過 15 個字符的托管域。筆者Built-in域名為yongboyanghotmail@onmicrosoft.com，域前綴超過15個字符，因此采用了可路由的自定義域名。在AAD中創建自定義域請參看https://docs.microsoft.com/zh-cn/azure/active-directory/fundamentals/add-custom-domain，過程中需要在域注冊機構管理網站創建TXT記錄來驗證。
• 
• AADDS 與AAD同步選擇全部（All），后面Azure Files基於AADDS授權要求同步范圍為: All
• 在AAD中創建幾個用戶，然后啟用AADDS這些用戶。對於Cloud-only AAD用戶，通過https://myapps.microsoft.com 重置密碼之后才會同步到AADDS，后面通過AADDS登錄授權也才能成功。
• 創建按過程自動創建AAD DC Administrators組，將一個用戶添加至該組作為管理員。創建一個組，用於用戶的批量授權。

 

2. 創建Azure File Share並啟用AADDS身份驗證

 

創建一台Windows Server 2016用於管理AADDS，將其部署在之前創建的虛擬網絡。使用域管理員登錄Windows Server 2016，將其加入AADDS域，此時您可以驗證域管理員可以登錄。

https://docs.microsoft.com/zh-cn/azure/active-directory-domain-services/join-windows-vm

 

創建Azure File Share:

https://docs.microsoft.com/zh-cn/azure/storage/files/storage-how-to-use-files-portal

 

為Azure File Share啟用AADDS身份驗證，使用AADDS管理員登錄Windows Server 2016為用戶組分配訪問權限：https://docs.microsoft.com/zh-cn/azure/virtual-desktop/create-profile-container-adds 忽略“創建配置文件容器”之后的內容，此步驟將在第3步使用組策略（Group Policy）配置。

 

3. 配置組策略：安裝FSLogix，創建配置文件容器

使用AADDS管理員登錄Windows Server 2016，安裝Group Policy Management Console (GPMC)，通過GPMC采用“Central Store for Policies”, 通過域策略進行部署和配置。詳細請參看：

https://docs.microsoft.com/zh-cn/fslogix/use-group-policy-templates-ht#central-store

配置好組策略之后，WVD主機池中創建的虛擬機將自動部署FSLogix配置文件容器。

 

4. 創建主機池和管理應用組

創建主機池比較直接簡單，具體步驟請參看：

https://docs.microsoft.com/zh-cn/azure/virtual-desktop/create-host-pools-azure-marketplace

https://docs.microsoft.com/zh-cn/azure/virtual-desktop/manage-app-groups

 

• 主機池的位置是指用於存儲服務元數據的地理位置，目前WVD支持美國幾個區域，后續會增加其它國家區域。虛擬網絡所在區域是主機池中的虛擬機的部署區域，我們需要根據用戶就近訪問原則選擇此區域。

 

• 虛擬機鏡像選擇Windows 10 Enterprise multi-session 版本，或基於此制作的自定義鏡像。

 

• 主機池類型選擇 Pooled.

 

 5. 使用客戶端連接WVD

請參考：https://docs.microsoft.com/zh-cn/azure/virtual-desktop/connect-web

這里使用Web客戶端登錄驗證，打開瀏覽器訪問：https://rdweb.wvd.microsoft.com/arm/webclient/index.html

登錄過程中會看到FSLogix服務相關信息。

 

6. 驗證FSLogix配置文件

 

登錄到虛擬桌面之后，檢查C:\Users目錄下發現 [user] 以及 local_[user]兩個目錄，表明FSLogix已經正常工作。

 

 

從Azure File Share目錄也可以看到登錄用戶的配置文件

 

　　至此，創建配置完畢。

　　采用 Azure WVD、Windows 10 Enterprise multi-Session、FSLogix、Azure Files、AADDS等服務構建的VDI雲解決方案，用戶可以獲得本地使用虛擬桌面的用戶體驗，以及無以倫比的超低擁有成本。