Azure 文件是虚拟桌面环境的建议文件存储解决方案。 Azure 文件非常适合 Azure 虚拟桌面 (AVD),因为它提供完全托管且可缩放的 SMB 文件共享,与 FSLogix 无缝集成,用于用户配置文件存储或 应用附加 ,以存储磁盘映像以便动态应用程序交付。 它可降低基础结构开销、提供高可用性、支持企业级安全性,并提供一致的性能,以实现跨虚拟桌面会话的流畅用户体验。
适用于
| 管理模型 | 计费模式 | 媒体层 | 冗余 | 中小型企业 (SMB) | 网络文件系统(NFS) |
|---|---|---|---|---|---|
| Microsoft.Storage | 预配版本 v1 | SSD(高级) | 本地 (LRS) |
|
|
| Microsoft.Storage | 预配版本 v1 | SSD(高级) | 区域 (ZRS) |
|
|
| Microsoft.Storage | 即用即付 | HDD(标准) | 本地 (LRS) |
|
|
| Microsoft.Storage | 即用即付 | HDD(标准) | 区域 (ZRS) |
|
|
| Microsoft.Storage | 即用即付 | HDD(标准) | 异地 (GRS) |
|
|
| Microsoft.Storage | 即用即付 | HDD(标准) | GeoZone (GZRS) |
|
|
可用性和灾难恢复
在为虚拟桌面工作负荷选择 Azure 区域 之前,应注意其区域符合性和数据驻留要求。
请确保使用与 Azure 虚拟桌面主机池位于同一 Azure 区域和资源组中的存储帐户。
区域选择的另一个重要考虑因素是延迟。 通常最好将所有必要的虚拟桌面资源(包括用户配置文件)集中到 Azure 虚拟桌面主机池所在的同一 Azure 区域和订阅中。 如果在远离用户的区域中部署文件共享,则可能会增加延迟并降低性能。 它还会增加区域之间的数据传输成本。
Azure 文件存储提供 HDD(标准)和 SSD(高级)文件共享。 请记住,SSD Azure 文件共享不提供异地冗余。 有关可用于 Azure 文件存储的不同冗余选项的详细信息,请参阅 Azure 文件冗余 。
注释
Azure 文件存储支持在部分 Azure 区域中的 SSD 文件共享。 请参阅 对 SSD 文件共享的 Azure 文件冗余支持。
性能、规模和成本
Azure 文件存储提供不同的计费模型,包括预配和即用即付。 请参阅了解 Azure 文件存储计费。
虽然 Azure 文件可以支持来自单个文件共享的数千个并发虚拟桌面用户,但根据所使用的文件共享的大小和类型正确测试工作负荷至关重要。 你的需求将因用户数量和用户档案大小而异。
适用于 Azure 虚拟桌面的 Azure 文件存储大小调整指南
在大规模 VDI 环境中,数以万计的用户可能需要同时访问同一文件,尤其是在应用程序启动和会话设置期间。 在这种情况下,可能会遇到句柄不足的问题,尤其是在使用单个 Azure 文件共享时。 本部分介绍各种类型的磁盘映像如何使用句柄,并根据所使用的方法提供大小调整指南。
Azure 文件存储同时支持 FSLogix 和非 FSLogix 配置文件存储场景。 本指南根据并发虚拟桌面用户数、每个用户的预期 IOPS 和存储类型(HDD 或 SSD)提供建议的文件共享配置。 通常,与非 FSLogix 相比,FSLogix 可实现更高效的句柄使用。
小窍门
Azure 文件存储目前每个文件和目录有 2,000 个并发句柄限制,本文将考虑到该限制。
FSLogix 配置文件容器
如果将 FSLogix 与 Azure 虚拟桌面一起使用,则用户配置文件容器是虚拟硬盘 (VHD) 或 Hyper-V 虚拟硬盘 (VHDX) 文件,并且它们装载在用户上下文中,而不是系统上下文中。 每个用户将打开一个根目录句柄,该句柄应该指向文件共享。 假设你拥有文件共享 (\\storageaccount.file.core.chinacloudapi.cn\sharename) + 配置文件目录 (%sid%_%username%) + 配置文件容器 (profile_%username.vhd(x)),Azure 文件存储最多可支持 10,000 个用户。
如果达到根目录 10,000 个并发句柄的限制,或者用户发现性能不佳,请尝试使用额外的 Azure 文件共享并在共享之间分发容器。
例如,如果有 2,400 个并发用户,则根目录上需要 2,400 个句柄(每个用户一个句柄),这低于 10,000 个打开句柄的限制。 对于 FSLogix 用户来说,几乎不可能达到打开文件和目录句柄的限制。 如果每个用户只有一个 FSLogix 配置文件容器,则只需使用两个文件/目录句柄:一个用于配置文件目录,另一个用于配置文件容器文件。 如果用户各有两个容器(配置文件和 ODFC),则需要为 ODFC 文件多提供一个句柄。
下表列出了根据这些条件下的并发用户数,针对我们的 FSLogix 配置文件容器 的一般建议。
- 每个用户都有 1-2 个容器(配置文件 + 可选 Office 容器)
- 句柄:每个用户约 2-3 个(根目录、配置文件和可能的 ODFC 容器)
| 并发 FSLogix 用户数 | 建议的文件存储 | 备注 |
|---|---|---|
| 少于 2,000 个用户 | HDD 即用即付文件共享 | 适用于轻型工作负载或低并发场景 |
| 2,000-5,000 个用户 | 1-2 个 SSD 文件共享 | SSD 提高登录性能;每个共享的句柄数远低于 10,000 |
| 5,000-10,000 个用户 | 2-4 SSD 文件共享,均匀分布 | 必须正确分配股份 |
非 FSLogix 配置文件存储
如果不使用 FSLogix,则您可能会在 Windows 中使用漫游用户配置文件或文件夹重定向。
注释
非 FSLogix 配置文件更容易达到每个目录或每文件句柄 2,000 个并发句柄的限制。
下表列出了在下列条件下根据并发用户数量针对非 FSLogix 配置文件存储的一般建议:
- 配置文件数据存储为多个小型文件/文件夹
- 每个用户的元数据 IOPS 较高
- 句柄使用率相对较高(每访问一个文件/文件夹都会消耗一个句柄)
- 配置文件大小约 5 GiB
- 峰值 IOPS:登录期间为 50 IOPS/用户,在稳定状态期间为 20 IOPS/用户
| 并发用户数 | 建议的文件存储 | 备注 |
|---|---|---|
| 少于 400 个用户 | HDD 即用即付文件共享 | 适用于低并发工作负荷,且 IOPS 需求最少 |
| 400-1,000 个用户 | 多个按需付费的 HDD 文件共享 | 可能需要针对登录高峰突发情况进行微调 |
| 1,000-2,000 个用户 | SSD 或多个 HDD 文件共享 | 建议使用 SSD,因为元数据延迟更好 |
应用附加
如果使用 MSIX 应用附加或应用附加来动态附加应用程序,可以使用复合映像文件系统 (CimFS) 或 VHD/VHDX 文件作为磁盘映像。 无论哪种方式,规模限制都是针对每个装载映像的 VM,而不是针对每个用户。 计算规模限制时,用户数量无关紧要。 启动 VM 时,即使没有用户,也会装载磁盘映像。
通过 CimFS 进行应用附加
如果使用 CimFS 进行应用附加,则磁盘映像仅使用磁盘映像文件上的句柄。 它们不使用根目录或包含磁盘映像的目录上的句柄。 但是,由于 CimFS 映像是 .cim 文件和至少两个其他文件的组合,因此对于装载磁盘映像的每个 VM,目录中的三个文件各需要一个句柄。 因此,如果有 100 个 VM,则需要 300 个文件句柄。
如果每个应用的 VM 数量超过 2,000,则文件句柄可能会耗尽。 在这种情况下,请使用额外的 Azure 文件共享。
通过 VHD/VHDX 进行应用附加
如果对 VHD/VHDX 文件使用应用附加,则会将文件装载到系统上下文中,而不是用户上下文,并且它们是共享和只读的。 连接系统可以使用 VHDX 文件上的多个句柄。 若要保持在 Azure 文件存储规模限制范围内,VM 数量乘以应用数量必须小于 10,000,并且每个应用的 VM 数量不能超过 2,000。 因此,约束就是最先达到的数量。
在这种情况下,单个 VHD/VHDX 装载 2,000 个文件可能会达到每个文件/目录的限制。 或者,如果共享包含多个 VHD/VHDX 文件,可能最先达到根目录限制。 例如,100 个 VM 装载 100 个共享 VHDX 文件将达到 10,000 个句柄根目录限制。
再例如,100 个 VM 访问 20 个应用将需要 2,000 个根目录句柄 (100 x 20 = 2,000),这完全在根目录句柄的 10,000 个限制范围内。 对于装载 VHD(X) 映像的每个 VM,还需要一个文件句柄和一个目录/文件夹句柄,因此在这种情况下,200 个句柄(100 个文件句柄 + 100 个目录句柄),这非常低于每个文件/目录的 2,000 个句柄限制。
如果达到根目录的最大并发句柄限制,请使用额外的 Azure 文件共享。
如果您达到了每个文件/目录的最大并发句柄数限制,请使用另一个 Azure 文件共享。
身份验证和授权
必须使用基于标识的身份验证并分配正确的权限和 Azure RBAC 角色,使用户能够安全地访问其配置文件或应用程序。
可以使用以下三个标识源之一对用户访问 Azure 文件共享进行身份验证:
本地 Active Directory 域服务(AD DS):此选项要求虚拟桌面用户与域控制器保持未受阻的网络连接。
Microsoft Entra Kerberos (仅混合标识):此选项需要现有的 AD DS 部署,然后该部署将同步到 Microsoft Entra 租户,以便Microsoft Entra ID 可以对混合标识进行身份验证。 它非常适合虚拟桌面工作负载,因为它不需要用户与域控制器建立不受限制的网络连接。 使用此选项,可以存储可供来自 Microsoft Entra 加入或 Microsoft Entra 混合加入会话主机的混合用户标识访问的配置文件。
Microsoft Entra 域服务:如果没有 AD DS 并且需要对仅限云的标识进行身份验证,请选择此选项。
若要配置存储权限,请参阅 配置 FSLogix 的 SMB 存储权限。