如何足不出户走出疫情困局

（本文阅读时间：8分钟）

对现代化企业而言，IT 设施犹如人体四肢；强壮而灵活的 IT 架构，犹如身手敏捷的武林高手。疫情所带来人员流动限制，犹如企业四肢被缚，使其业务发展举步维艰。作为企业四肢的信息系统，能够被缚的关键原因之一，是因为大多数企业在为用户（企业员工）提供桌面办公环境时，使用了以下两种方案：

▍本地提供：为用户直接提供具备一定本地运算和存储能力的计算机设备，用户在该设备上配置办公环并完成日常工作。

▍数据中心提供：企业数据中心部署 VDI（虚拟桌面基础架构）解决方案并为用户提供虚拟桌面，用户使用客户端设备通过安全的网络连接登录到虚拟桌面，完成日常工作。

上述两种方案有着共同的限制条件：设备。如果人员流动或办公环境突然受限，那么使用方案1的用户因为无法接触到设备而无法办公，业务也因此受影响；如果此时选择让所有用户都使用方案2，则会引发数据中心资源不足问题，业务同样受到影响；而如果对数据中心进行资源扩充，则会出现投资大，建设周期长，维护难度高以及无法保证 SLA 的问题。

而如果让用户随身携带企业分配的桌面设备，则又会面临信息安全问题。因此上述两种方案，都不是时下最合适的选择。

那有没有一种方案，解决它们的缺点，帮助企业渡过难关？我们不妨先分析一下上述两个方案：

尽管方案1有着用户体验好，接受度高，易推广，不完全依赖网络等优点，可也有着软硬件紧耦合问题和安全性问题这样的缺点。

由于采用集中式托管，远程连接的使用方式，因此方案1的缺点在方案2中都得到了解决。而方案2的缺点则主要集中在：建设周期长，投资大，扩展收缩能力差，运维难度大，SLA 无法保障等问题上。解决了这些问题，也就解决了当前的困局。

近些年，公有云以稳定的 SLA，高质量的服务，丰富的产品线，灵活的扩展性和能够与业务高度贴合的成本控制能力，赢得了大量企业的青睐。如果将方案2部署在公有云，那么该方案的所有问题都将不复存在。

AVD (Azure Virtual Desktop)  是一项由微软提供，运行在 Azure 公有云上的云原生虚拟桌面解决方案。该方案在完整保留了传统 VDI 所有优点的同时，充分发挥公有云的优势，打破自建数据中心容量不足限制，利用移动互联网时代品类丰富随处可见的终端设备，将移动办公所带来的强大生产力赋予每一个需要它的企业。

一般情况下，企业在进行新方案部署评估时，会考虑如何最小化用户习惯变更，以及如何使用现有资产两个问题。前者可以降低新方案的推广和运维成本，后者能减少重复开支。除此之外，为保证实际可用性，还需要考虑新方案的软硬件兼容性问题。在 AVD 解决方案中：

▍对于正在使用 Citrix 和 VMware VDI 方案的企业，可以直接将后端资源池扩展到 Azure。这意味 AVD 将作为企业现有 VDI 设施的一部分运行。企业无需为此重新配置现有 VDI 客户端，而用户也无须改变使用习惯。（Citrix 和 VMware 许可相关问题需咨询对应厂商。）

▍对已经拥有 Microsoft 365，Windows 10 或 RDS 许可的企业，在许可类型符合要求的情况下，可以直接将其使用在 AVD 上而无需重新采购许可。

▍为保证广泛的设备兼容性，针对主流平台（Windows，IOS，Android，MacOS）微软提供了专用客户端。而对于无法安装专用客户端的设备，则可以通过 Microsoft Edge, Google Chrome, Apple Safari, 或 Mozilla Firefox 浏览器接入。

对于没有 VDI 基础结构或对 VDI 架构不了解的企业，可以通过部署向导，只需提供一些必需的基础信息，即可完成整个 AVD 部署，而无需为复杂的架构设计和组件初始化过程担忧。

AVD 支持多种虚拟桌面提供方式以满足不同场景和需求：

▍个人桌面：为具体用户分配的专用虚拟桌面，使用期间独享所拥有的硬件资源（内存、CPU、存储等）且整个虚拟桌面只有指定用户可以登录使用。使用过程中产生的桌面配置变更和用户数据都将被持久化保存在该虚拟桌面中。适用于性能要求较高的单会话用户或对稳健性有一定要求的应用程序。此方式与传统桌面提供方式基本无异，有完整桌面的使用体验。

▍池化桌面：用户配置和数据与虚拟桌面分离，虚拟桌面本身在多个用户之间共享使用。当用户连接到 AVD 时，服务器会在已有桌面环境中为其创建一个临时会话，或为其临时分配一个完整桌面，用户使用过程中产生的数据会被自动保存在管理员指定位置，当用户登录注销时，为该用户所分配的会话或桌面会被立刻注销或释放以供其他用户使用。此方式能够使资源利用率达到最大，成本最优。

公有云有着远超传统数据中心的资源扩展能力，对企业而言这意味着虚拟桌面不会再出现资源不足的问题，具体表现在：

▍多区域部署：到目前为止，Azure China Cloud 共有5个正式发布的区域供用户使用，企业可以选择将 AVD 部署在最符合自身业务情况的区域中。

▍不断增加的区域数量：Azure China Cloud 最初只有2个区域；2018年，微软正式发布两个新增区域，使总区域数量达到4个；2022年3月，微软发布 CN3区域。到目前为止，Azure China Cloud 正式可用的区域数量达到5个。而据悉，其第六个数据中心也在准备发布当中。

▍超大的单区域容量：每个 Azure 区域都有超高的容量设计和储备。相关数据显示，最新发布的 CN3，其整体容量是较早4个区域的4倍以上。

多区域部署以及超大的单区域容量，意味着企业可以在距离用户最近的位置提供桌面环境以确保良好的网络体验；从管理角度，多区域部署则意味着更好的容灾和负载均衡能力。全球范围内，Azure 整体上在60多个区域140多个国家和地区拥有数据中心，这意味着企业可以随时将现有方案扩展到海外为海外机构提供支持。

传统 VDI 方案在建设过程中，企业通常需要周期性采购大量软硬件资产，这些资产除了承载已有需求外，还要为未来可能产生但尚未产生的增长做资源储备。这就产生了两个成本相关问题：

▍ 已经完成采购的资产，无论是否使用，其成本已经产生，而使用成本则随用量增加而增加，因此使得企业整体拥有成本呈持续上升状态。而对于该问题，技术手段所能提供的优化空间非常有限。

▍企业业务通常是线性发展的，而传统模式下的周期性资产采购导致实际上的成本产生是阶梯式的，这就致使：在某个周期内企业所拥有的 IT 资源实际上处于过剩状态，且无法立即将其转换为生产力；而在另一个周期内，企业IT资源处于不足状态，限制了业务发展。

AVD 继承了公有云按需使用、仅为使用付费的业务模式，使企业具备了贴合业务发展构建虚拟桌面的能力：即每增加一个用户，企业增加一分投入，多一份产出，反之亦然；当用户不使用时，企业只需支付数据存储费用。

AVD 将整个后端资源都交由Azure管理，在使用 AVD 后，企业只剩以下几个问题需要关注：

▍用户需要使用哪些应用，以哪种方式提供最为合适？

▍如何调整自动化程序才能使成本和用户体验达到双优？

▍如何调整最大化提升桌面与数据安全性？

在为 AVD 配置启用自动管理后，绝大部分的运维工作都会自动完成，在传统管理任务上的成本近乎于零。

数据安全是企业的生命线，AVD 通过以下几种方案保障信息安全：

▍身份验证：

在与企现有身份验证系统集成基础之上，AVD 增加了 MFA 和条件访问两大功能。MFA 在传统用户名密码验证基础上增加了验证码功能，而条件访问则允许企业通过自定义策略为特定的用户行为指定附加验证条件。

▍终点保护：

Microsoft Defender for Cloud  和 Defender ATP 为分别为 AVD 提供了防病毒和高级安全检测、响应功能。

▍网络连接：

Azure 防火墙是 Azure 云原生的智能网络防火墙安全服务，是一个完全有状态防火墙，能为 AVD 提供最严密流量检查和访问保护。

▍基础结构：

Azure 数据中心是遵循国际安全标准所建设，部署在 Azure 上的应用在基础结构上天然合规。

▍数据：

AVD 工作过程中产生的数据，Azure 会先完成加密后再存储到底层硬件。企业可以根据自身情况，要求 Azure 通过指定公钥加密数据，而将私钥掌握在企业自己手中；同时还可以通过访问策略严格控制用户对数据的访问方式，比如禁止截屏等。

有了 Azure 全方位保护的 AVD，像穿上了防护服的白衣战士，可以在疫情中大胆作为，无所畏惧。

综上所述，AVD 可以帮助企业利用公有云优势，冲破疫情封锁，在业务领域大展宏图。而为了提升部署和使用体验，AVD 还提供以下支持：

▍FSLogix 工具: 帮助企业大规模地将用户配置文件从各种类型转换为基于  FSLogix  的配置文件容器，从而快速完成现有用户配置文件的迁移。

▍与 Microsfot 365全方位的优化集成：包括安全和管理集成、多会话用户体验优化、Microsoft Teams 视听重定向支持等。

▍提供 Windows 7虚拟桌面，带有免费的扩展安全更新（仅单会话模式）。