超低成本VDI云解决方案: Azure WVD + Windows 10 Multi-Session + FSLogix

VDI的未来是云。目前本地部署的虚拟桌面基础架构（VDI）方案市场增长乏力，越来越多的企业基础设施和运营（I&O）部门在考虑替换方案，其中最主要的诟病原因是本地部署的VDI没有像之前期望的那样为企业省钱。随着云计算的快速发展，基于云的虚拟桌面基础结构 (VDI) 可以让员工从任何位置安全地工作，云桌面提供了本地 VDI 可能无法提供的低成本和可伸缩性。

微软云Azure在2018年9月发布了Windows 虚拟桌面（WVD）服务，它是唯一提供多用户Windows 10体验的云VDI服务，并针对Office 365 ProPlus进行了优化。无论您使用哪种设备类型（Windows、Mac、iOS、Android 或具有 HTML5 Web 客户端的任何其它设备），均可在自带设备 (BYOD) 或瘦客户端上使用 Windows 虚拟桌面连接到企业IT环境进行办公。Azure WVD本身是一项免费的全托管VDI服务，无额外许可证成本，您只需为使用的虚拟机、存储、网络等基础设施服务付费，而且还可以利用虚拟机预留实例、定时开关机、调整虚拟机大小等成本优化方式降低基础结构和 IT 管理开销。会话主机运行的操作系统使用企业现有或新购的 Microsoft 365 或 Windows许可证。具体请参阅https://azure.microsoft.com/zh-cn/pricing/details/virtual-desktop/

下面为您分享Azure唯一提供的更省钱的云VDI方案。

· 什么是Windows 10 Enterprise multi-Session

Windows 10 Enterprise multi-Session是专用于远程桌面会话主机的操作系统版本，针对Azure WVD进行了优化。它允许会话主机（Session Host）支持多个并发用户，这个功能以前只有 Windows Server才能支持。Windows 10 Enterprise multi-Session为用户提供了一个熟悉和完全一致的Windows 10 体验，并可以通过支持多会话来获得成本获益。它可以使用已有按用户Windows 授权，而无需RDS客户端访问许可证（Cal）。

Windows 10 Enterprise multi-Session不支持本地部署。

· 什么是FSLogix

　　FSLogix是全球最优秀的漫游用户配置文件解决方案。2018 年11月微软收购FSLogix，并在 2019 年 3 月将FSLogix软件免费。Azure WVD 强烈建议采用FSLogix配置文件容器作为用户的配置文件管理方案。

· 什么漫游用户配置文件（Roaming User Profiles）

　用户配置是Windows中的个人配置信息，包含桌面配置、网络连接、应用程序设置等。默认情况下，Windows为用户创建本地用户配置文件（Local Profile），与操作系统紧密集成。远程用户配置文件（Remote User Profile）在一定条件下可以更改操作系统，例如用户使用池化会话主机环境，会话主机池是非持久化环境。用户可以连接使用池中的任意一台主机，登录的时候远程配置文件修改该主机操作系统的个性化配置，用户在任意一台主机都可以实现一直的体验，也就是所谓“漫游用户配置文件”。

实现漫游用户配置文件有多种方案，例如RUP、UPD、ESR、FSLogix等，相较于其它技术，FSLogix提供高性能、低成本远程用户配置文件解决方案。2019年8月Azure Files推出基于Azure Active Directory Domain Service (AADDS) 授权功能后，FSLogix采用Azure Files作为用户配置文件容器存储是WVD的优势方案，它不仅可以降低成本还大幅降低了管理工作量。

2020年4月春季更新之后，WVD内容对象全面基于Azure Resource Manager管理，配置管理层次更少，创建配置步骤更简单。官网文档标明Windows Virtual Desktop (classic)的内容针对上一版本，使用最新版本WVD的用户可以忽略这这部分。

下面我们来创建配置本方案所说的WVD服务，需要的组件服务如下：

· Azure WVD

· Azure Active Directory

· Azure Active Directory Domain Service (AADDS)

· Azure Files

· Windows 10 Multi-Session

· FSLogix

· Windows Server 2016

· Group Policy Management Console (GPMC)

具体创建步骤会引用相关的官网文档链接，这里只针对注意事项进行解释。

1. 创建AADDS

此过程需要1小时左右，具体步骤请参看：

https://docs.microsoft.com/zh-cn/azure/active-directory-domain-services/tutorial-configure-networking

https://docs.microsoft.com/zh-cn/azure/active-directory-domain-services/tutorial-create-instance-advanced

　　建议提前创建好资源组、虚拟网络和2个子网，一个专用于AADDS，另外一个部署WVD主机池，不要将二者放置于相同的子网。创建好AADDS之后，将虚拟网络DNS修改为自定义，添加2个AADDS的IP。
创建启用AADDS需要Azure AD全局管理员（Global Administrator）权限客户的测试和生产账号管理员都具备AAD全局管理员权限。笔者公司员工Azure账号没有AAD全局管理员权限，在订阅中无法创建AADDS，因此笔者使用MSDN附送的测试账号进行了搭建。
　不能创建前缀长度超过 15 个字符的托管域。笔者Built-in域名为yongboyanghotmail@onmicrosoft.com，域前缀超过15个字符，因此采用了可路由的自定义域名。在AAD中创建自定义域请参看https://docs.microsoft.com/zh-cn/azure/active-directory/fundamentals/add-custom-domain，过程中需要在域注册机构管理网站创建TXT记录来验证。
AADDS 与AAD同步选择全部（All），后面Azure Files基于AADDS授权要求同步范围为: All
在AAD中创建几个用户，然后启用AADDS这些用户。对于Cloud-only AAD用户，通过https://myapps.microsoft.com 重置密码之后才会同步到AADDS，后面通过AADDS登录授权也才能成功。
创建按过程自动创建AAD DC Administrators组，将一个用户添加至该组作为管理员。创建一个组，用于用户的批量授权。

2. 创建Azure File Share并启用AADDS身份验证

创建一台Windows Server 2016用于管理AADDS，将其部署在之前创建的虚拟网络。使用域管理员登录Windows Server 2016，将其加入AADDS域，此时您可以验证域管理员可以登录。

https://docs.microsoft.com/zh-cn/azure/active-directory-domain-services/join-windows-vm

创建Azure File Share:

https://docs.microsoft.com/zh-cn/azure/storage/files/storage-how-to-use-files-portal

为Azure File Share启用AADDS身份验证，使用AADDS管理员登录Windows Server 2016为用户组分配访问权限：https://docs.microsoft.com/zh-cn/azure/virtual-desktop/create-profile-container-adds 忽略“创建配置文件容器”之后的内容，此步骤将在第3步使用组策略（Group Policy）配置。

3. 配置组策略：安装FSLogix，创建配置文件容器

使用AADDS管理员登录Windows Server 2016，安装Group Policy Management Console (GPMC)，通过GPMC采用“Central Store for Policies”, 通过域策略进行部署和配置。详细请参看：

https://docs.microsoft.com/zh-cn/fslogix/use-group-policy-templates-ht#central-store

配置好组策略之后，WVD主机池中创建的虚拟机将自动部署FSLogix配置文件容器。

4. 创建主机池和管理应用组

创建主机池比较直接简单，具体步骤请参看：

https://docs.microsoft.com/zh-cn/azure/virtual-desktop/create-host-pools-azure-marketplace

https://docs.microsoft.com/zh-cn/azure/virtual-desktop/manage-app-groups