Dans la continuité des articles précédents sur la Kubernetes Gateway API, nous explorons aujourd’hui un aspect plus opérationnel de ce...
6 mars 2025
Azure Virtual Desktop : tout savoir sur la nouvelle gestion des Host Pools
Actuellement, plusieurs approches permettent de gérer le cycle de vie des « Session hosts » dans un « Host Pool Azure virtual Desktop (AVD) » :
- Avec Microsoft Intune
- Avec la création de nouvelles images
- Avec la combinaison des deux
Avec Microsoft Intune
L’intégration d’Azure Virtual Desktop (AVD) avec Microsoft Intune permet de gérer les machines virtuelles (Session hosts) de manière centralisée, en appliquant des stratégies de sécurité, des mises à jour et des configurations aux VMs. Microsoft Intune permet une gestion centralisée des VMs AVD sans nécessiter une reconstruction régulière des images de VMs. (hosts AVD)
Avec la création de nouvelles images
La gestion des mises à jour des machines AVD avec de nouvelles images permet d’éviter une dette technique (mise à jour des applications) et de garantir des performances stables.Cette approche nécessite la recréation régulièredes images de VMs (Session hosts AVD) pour appliquer les mises à jour et les applications.des outils tel que « Azure Image Builder ou Packer (HashiCorp) » ainsi que des chaînes de déploiement tel que « Azure DevOps/ GitHub / …peuvent être utilisés pour réaliser ces tâches.
Avec cette approche, il est nécessaire de gérer les mises à jour des sessions hosts soit en créant un nouveau « Host pool » avec les nouvelles images ou soit en ajoutant des nouveaux « Session host » à un « Host pool « existant avec les nouvelles images.
Création d’un nouveau « Host pool »
- Création d’une nouvelle image en la stockant dans « Azure Compute Gallery »
- Redéploiement d’un « Host pool » avec la nouvelle image
- Nettoyage de l’Entra ID ou de l’Acive Directory (comptes machine) avec la suppression progressive, =des anciens hôtes mis en drain mode
- Re création d’Application group & « Assignments »
- En ajoutant des nouveaux « Session host » à un « Host pool »:
- Création d’une nouvelle image en la stockant dans « Azure Compute Gallery »
- Génération d’une nouvelle clé au niveau du « Host pool » pour l’ajout des nouveaux Session host
- Déploiement des nouveaux Session host
- Jouer avec le « Drain mode »
- Une fois les nouveaux Session host déployés il est nécessaire de nettoyer l’Entra ID ou de l’Acive Directory (comptes machine)
Avec la combinaison des deux
- Utiliser Intune si l’on veut une gestion continue et éviter de recréer les VMs fréquemment.
Recourir à la création de nouvelles images pour garantir des performances stables et minimiser une dette technique sur le long terme.
Il est possible de combiner les deux approches pour bénéficier des avantages de chacune. Intune peut être utilisé pour les petits changements tandis que de nouvelles peuvent être créer tous les 3-6 mois pour une base propre testée et performante.
C’est souvent cette option qui est recommandée et utilisée pour les environnements de production.
Nouveauté « Host pool management approaches »
Microsoft propose désormais une nouvelle fonctionnalité dans « Azure Virtual Desktop » pour le déploiement des « Host pool » et surtout pour la gestion du cycle de vie des Session host. Il est également possible de profiter de cette nouvelle fonctionnalité pour changer le hardware (Sizing des VM), les types des disques (SSD/Premium) et les custom scripts.
Cette nouvelle fonctionnalité « Host pool management approaches » est actuellement en preview et ne fonctionne uniquement dans un environnement « Domaine Active Directory ou Microsoft Entra Domain Services ». De plus, elle est uniquement supportée qu’en mode « Pooled » pour « Host pool ».
Les prérequis pour déployer cette nouvelle fonctionnalité:
- Active Directory avec Entra Domain Services ou domaine ADDS et des permissions spécifiques sur l’OU (des « Session host) » dans le cas ADDS.
- Uniquement des systèmes d’exploitation Windows 10/11 en Gen 2.
- KeyVault pour stocker les login et mot de passe (compte pour mettre les machines session host dans le domaine ainsi compte admin local session host). Ainsi il faudra autoriser le déploiement de « template ARM » au niveau du KeyVault.
- Valider la stratégie « Domain controller: Allow computer account re-use during domain join » (https://learn.microsoft.com/en-us/azure/virtual-desktop/session-host-update-configure?tabs=portal)
- Pour les environnements ADDS locaux, ajouter les permissions au niveau de l’OU (Session host) (https://learn.microsoft.com/en-us/azure/virtual-desktop/session-host-update-configure?tabs=portal)
- Rôles :
- « Desktop Virtualization Virtual Machine Contributor » pour le principal de service AVD.
- « KeyVault secret user » pour le principal de service AVD.
- « KeyVault administrator » pour l’administrateur sécurité en charge de gérer les secrets.
- Propriétaire ou contributeur sur le groupe de ressources ou la souscription hébergeant les hôtes de sessions.
Déploiement et gestion du cycle de vie « Host pool management approaches »
Avec cette nouvelle fonctionnalité, il est très simple de gérer le déploiement et la gestion du cycle de vie « Host pool management approaches ».
Dans l’assistant pour créer un nouveau Host pool, nous voyons apparaître la nouvelle fonctionnalité en preview :
Nous choisissons l‘image (MarketPlace ou une image dans une Gallery)
Après avoir choisi :
- Le gabarit de la VM,
- Le type de disque,
- La partie réseau avec le subnet qui peut joindre les contrôleurs de domaine ou le domaine Entra Domain Service, nous pouvons
Nous pouvons renseigner les éléments dans le KeyVault : Login & mot de passe (compte admin local des « session host » et le compte AD ayant les droits de mettre session host dans le domaine AD).
À la fin du déploiement, deux nouvelles colonnes apparaissent au niveau du « host pool » :
« Curent Version » et « Target Version » qui correspondent à la version des « session host » au format « timestamp ».
Pour les plus curieux, il n’y a plus qu’une extension au niveau « des session host », la « Microsoft.PowerShell.DSC » (Installation des agents AVD & la jonction au domaine AD). Ne cherchez pas l’extention « JsonADDomainExtension« .
Pour l’ajout de « session host », plus besoin de générer une nouvelle « Registration key », il suffit de cliquer sur « add » et de suivre l’assistant.
Le plus intéressant : la mise à jour des « session host ». Il suffit de lancer l’assistant :
Pour la partie orchestration de la mise à jour des « session host » il faut paramétrer :
- Le lot de « session host » que nous souhaitons mettre à jour en même temps.
- Le nombre de « session host » nous souhaitons garder opérationnel pendant la mise à jour.
Avant d’exécuter une mise à jour des « session host », le service prend un « session host », le test (check l’agent AVD et si le session host est bien resté dans l’AD) et le service lance le processus de mise à jour des autres « session host ».
Ensuite nous pouvons sélectionner la nouvelle image, éventuellement un nouveau gabarit de VM et les éléments dans le KeyVault.
Nous définissons un horaire pour le déclenchement pour la mise à jour des « session host ».
Et pour finir, la notification est envoyée aux utilisateurs, leur indiquant le temps dont ils disposent pour sauvegarder leur travail avant d’être déconnectés du « session host » pour sa mise à jour.
Une fois que le processus de mise à jour est lancé :
- Le service prend un « session host » pour les tests et il positionne le « drain on » dessus (plus de connexion dessus)
- Les utilisateurs connectés sur la « session host » sont notifiés et déconnectés.
- Le « session host » est supprimé dans Azure mais le compte ordinateur dans l’AD n’est pas supprimé.
- De nouvelles ressources Azure en NOM DE LA RESSOURCE-TIMESTAMP (ex: VM1-0-2023-04-15T17-16-07)
- Le nouveau « session host » est joint au domaine à l’aide de l’extension
- Il hérite des propriétés de l’ancien compte machine de l’AD (GPO à activer « ») et rompt la relation de confiance existante avec les VM précédentes.
- Le nouvel « session host » est joint au pool d’hôtes existant, le mode « drain » est désactivé et le « session host » peux accepter des connexions.
- Une fois testé il met à jour les autres « session host » par lots.Le Déclenchement de la mise à jour des « session host » s’effectue.
Le Test du premier « session host » – Drain mode « on » est activé.
Déploiement du nouveau « session host » avec une nouvelle image (ressource avec un TIMESTAMP)
Test terminé avec la nouvelle version du premier « session host »
Orchestration de la mise à jour des autres « session host »
Pour examiner ce sujet un peu plus en profondeur :
About
No description, website, or topics provided.
Resources
Stars
Watchers
Forks
No releases published
No packages published
Footer
Vous avez envie de rejoindre Cellenza ?
Vous souhaitez rejoindre un cabinet de conseil engagé dans la RSE, reconnu pour son très haut niveau d’expertise ? Retrouvez tous nos postes ouverts sur notre site Carrière et n’hésitez pas à contacter notre équipe Recrutement !
