전체 소개

Horizon Cloud Service - next-gen에서 Edge 배포자는 Edge의 설계 및 아키텍처에 따라, 적절한 배포자 생성 NSG를 적절한 NIC에 연결합니다. 이러한 NSG는 특정 관리 장치의 각 NIC가 NIC의 연결된 서브넷을 통해 표준 서비스 및 Edge 작업에 대해 수신되어야 하는 트래픽을 수신할 수 있도록 하고 해당 장치에서 수신하지 않아야 하는 모든 트래픽을 차단하도록 NIC 수준에서 사용됩니다. 각 NSG에는 각 NIC에 대해 허용되는 트래픽을 정의하는 보안 규칙 집합이 포함되어 있습니다.

여기에 설명된 배포자 생성 NSG는 Horizon Universal Console을 사용하여 생성할 때 Edge에서 프로비저닝된 기본 VM, 팜 및 VDI 데스크톱에 사용되는 것과는 별개입니다.

Microsoft Azure 설명서에 설명된 대로, NSG(네트워크 보안 그룹)의 용도는 보안 규칙을 사용하여 Microsoft Azure 환경에 있는 리소스에 대한 네트워크 트래픽을 필터링합니다. 각 규칙에는 NSG가 연결된 리소스에 대해 허용되는 트래픽을 결정하는 소스, 대상, 포트, 프로토콜 등과 같은 속성 집합이 있습니다. Horizon Cloud Service - next-gen에서 자동으로 생성하고 제어 Edge VM의 NIC에 연결하는 NSG에는 Horizon Cloud Service - next-gen이 Edge의 서비스 관리, 예정된 Edge 작업의 적절한 실행 및 Edge 수명 주기의 관리에 필요하다고 결정한 특정 규칙이 포함되어 있습니다. 일반적으로 이러한 NSG에 정의된 각 규칙은 최종 사용자에게 가상 데스크톱을 제공하는 VDI 사용 사례와 같이 Horizon Cloud Service - next-gen 구독에 대한 서비스의 표준 비즈니스 목적 이행에 속하는 Edge 작업의 포트 트래픽을 제공하기 위한 것입니다. 관련 정보는 Horizon 8 Edge 배포를 위한 포트 및 프로토콜 요구 사항 항목을 참조하십시오.

아래 섹션에는 Horizon Cloud Service - next-gen이 해당 배포자 생성 NSG에서 정의하는 NSG 규칙이 나열되어 있습니다.

배포자 생성 NSG에 대한 일반 정보

이 목록은 배포자가 Edge 관련 VM의 특정 NIC와 연결하는 모든 배포자 생성 NSG에 적용됩니다.

• 이러한 자동으로 생성된 NSG는 제어된 소프트웨어 장치의 보안을 위한 것입니다. 구독에 새 소프트웨어가 추가되고 추가 규칙이 필요한 경우 해당 새 규칙이 이러한 NSG에 추가됩니다.
• Microsoft Azure Portal의 Unified Access Gateway에 대해 NSG 이름은 패턴 vmw-hcs-UUID를 포함합니다. 여기서 UUID는 자체 VNet에 배포된 외부 게이트웨이 구성에 대한 NSG를 제외하고 Edge 식별자입니다. 예외 경우에서 게이트웨이의 관련 NSG 이름은 패턴 vmw-hcs-ID를 포함합니다. 여기서 ID는 해당 외부 게이트웨이의 배포 ID입니다.
  참고: 외부 게이트웨이 구성이 해당 구독에 미리 생성한 기존 리소스 그룹에 배포하는 옵션을 사용하여 별도의 구독에 배포되는 시나리오의 경우, 게이트웨이 커넥터의 VM 관리 NIC에 있는 NSG는 vmw-hcs-UUID 패턴 대신, 리소스 그룹 이름에 기반한 패턴에 따라 이름이 지정됩니다. 예를 들어, 해당 리소스 그룹의 이름을 hcsgateways로 지정한 경우 해당 리소스 그룹에서 Horizon Cloud Service - next-gen는 hcsgateways-mgmt-nsg라는 NSG를 생성하고 해당 NSG를 게이트웨이 커넥터 VM의 관리 NIC에 연결합니다.

  Horizon Edge 게이트웨이의 경우 NSG에는 이름 지정 패턴 aks-agentpool-ID-nsg가 있습니다. 여기서 ID는 Microsoft Azure에서 추가한 난수이고 NSG는 이름 지정 패턴이 vmw-hcs-UUID-edge-aks-node인 리소스 그룹의 일부입니다. 여기서 UUID는 Edge 식별자입니다.

  관리 콘솔의 [용량] 페이지에서 Edge의 세부 정보로 이동하여 이러한 식별자를 찾을 수 있습니다.

  참고: Edge의 외부 Unified Access Gateway가 사용자 지정 리소스 그룹을 사용하도록 선택하면 게이트웨이 커넥터 VM의 배포자 생성 NSG 이름에 vmw-hcs-ID 패턴 대신, 해당 사용자 지정 리소스 그룹의 이름이 포함됩니다. 예를 들어, Edge의 외부 게이트웨이에 대해 ourhcspodgateway라는 사용자 지정 리소스 그룹을 사용하도록 지정하면 배포자가 생성한 후 게이트웨이 VM의 NIC와 연결하는 NSG 이름이 ourhcspodgateway-mgmt-nsg로 지정됩니다.
• NSG는 연결된 VM 및 NIC와 동일한 리소스 그룹에 있습니다. 예를 들어, 외부 게이트웨이가 Edge의 VNet에 배포되며 배포자 생성 리소스 그룹을 사용하는 경우 외부 Unified Access Gateway VM의 NIC와 연결된 NSG는 이름이 vmw-hcs-UUID-uag인 리소스 그룹에 있습니다.
• Horizon Cloud는 새 규칙을 추가하거나 서비스의 유지 관리를 위해 적절하게 이러한 규칙을 수정할 수 있습니다.
• Edge 업데이트 중에 NSG 및 규칙이 유지됩니다. 이러한 항목은 삭제되지 않습니다.
• Horizon Cloud Service - next-gen 규칙은 우선 순위 1000에서 시작하고 우선 순위는 일반적으로 100씩 증가합니다. Horizon Cloud Service - next-gen 규칙은 우선 순위 3000에서의 규칙으로 종료됩니다.
• 소스 IP 주소 168.63.129.16에 대한 AllowAzureInBound 규칙은 Microsoft Azure 설명서 항목 IP 주소 168.63.129.16에 설명된 대로 Microsoft Azure 플랫폼에서 수신하는 통신을 수락하는 NSG를 지원합니다. 모든 Edge 관련 VM은 Microsoft Azure의 VM입니다. 해당 Microsoft Azure 설명서 항목에 설명된 대로 해당 IP 주소 168.63.129.16은 Microsoft Azure 클라우드 플랫폼이 클라우드의 모든 VM에 대해 수행하는 다양한 VM 관리 작업을 용이하게 합니다. 예를 들어, 이 IP 주소는 VM 내에 있는 VM 에이전트가 손쉽게 Microsoft Azure 플랫폼과 통신하여 VM이 준비 상태임을 알릴 수 있도록 합니다.
• Microsoft Azure는 NSG 생성 시 각 NSG에 몇 가지 기본 규칙을 자동으로 생성합니다. 생성되는 모든 NSG에서 Microsoft Azure는 우선 순위 65000 이상에서 일부 인바운드 및 아웃바운드 규칙을 생성합니다. 이러한 Microsoft Azure 기본 규칙은 Microsoft Azure에서 자동으로 생성되므로 이 설명서 항목에 설명되어 있지 않습니다. 이러한 기본 규칙에 대한 자세한 내용은 Microsoft Azure 설명서 항목 기본 보안 규칙을 참조하십시오.
• 이러한 NSG에 정의된 각 규칙은 최종 사용자에게 가상 데스크톱을 제공하는 VDI 사용 사례와 같이 Horizon Cloud Service - next-gen 구독에 대한 서비스의 표준 비즈니스 목적 이행에 속하는 Edge 작업의 포트 트래픽을 제공하기 위한 것입니다. 관련 정보는 Horizon 8 Edge 배포를 위한 포트 및 프로토콜 요구 사항 항목을 참조하십시오.
• Edge를 편집하여 팜 및 VDI 데스크톱 할당에 사용할 추가 테넌트 서브넷을 지정하는 경우 Edge 게이트웨이 VM 및 Unified Access Gateway VM의 NIC에 있는 테넌트 서브넷 관련 NSG의 규칙이 해당 추가 테넌트 서브넷을 포함하도록 업데이트됩니다.

Edge 게이트웨이 AKS 배포자 생성 NSG

Edge 게이트웨이 AKS에는 각 가상 시스템 인스턴스가 관리 서브넷에 연결된 하나의 NIC를 포함하는 VM(가상 시스템) 확장 집합이 있습니다. Microsoft Azure는 특정 NSG를 자동으로 생성하고 이 NSG를 VM 확장 집합 인스턴스에 연결된 모든 NIC와 연결합니다.

Edge 게이트웨이 VM 유형의 경우 현재 NSG를 생성하지 않습니다.

Microsoft Azure 환경에서 Edge AKS NSG는 패턴 vmw-hcs-UUID-edge-aks-node에 명명된 Edge의 AKS 노드 리소스 그룹에 상주합니다.

앞서 설명한 대로 Microsoft Azure는 Microsoft Azure 설명서 항목 기본 보안 규칙에 설명된 대로 기본적으로 다음 표에 표시된 규칙을 생성합니다.

외부 Unified Access Gateway VM의 배포자 생성 NSG

외부 Unified Access Gateway 구성에 대한 각 VM에는 3개의 NIC가 있으며, 하나는 관리 서브넷에 연결되고, 다른 하나는 테넌트 서브넷에 연결되고, 나머지 하나는 DMZ 서브넷에 연결됩니다. 배포자는 이러한 세 NIC 각각에 대해 특정 NSG를 생성하고 각 NSG를 해당 NIC에 연결합니다.

• 관리 NIC에는 이름이 vmw-hcs-ID-uag-management-nsg 패턴을 따르는 NSG가 있습니다.
• 테넌트 NIC에는 이름이 vmw-hcs-ID-uag-tenant-nsg 패턴을 따르는 NSG가 있습니다.
• DMZ NIC에는 이름이 vmw-hcs-ID-uag-dmz-nsg 패턴을 따르는 NSG가 있습니다.

Microsoft Azure 환경에서 이러한 NSG는 vmw-hcs-ID-uag 패턴으로 이름이 지정됩니다. 여기서 ID는 외부 게이트웨이가 Edge의 VNet과는 별도로 고유한 VNet에 배포되지 않는 한, 콘솔에서 Edge 세부 정보 페이지에 표시되는 Edge의 ID입니다. 자체 VNet에 배포된 외부 게이트웨이의 경우 ID는 Edge의 세부 정보 페이지에 표시되는 배포 ID 값입니다.

내부 Unified Access Gateway VM의 배포자 생성 NSG

내부 Unified Access Gateway 구성에 대한 각 VM에는 2개의 NIC가 있으며, 하나는 관리 서브넷에 연결되고, 다른 하나는 테넌트 서브넷에 연결됩니다. 배포자는 이러한 두 NIC 각각에 대해 특정 NSG를 생성하고 각 NSG를 해당 NIC에 연결합니다.

• 관리 NIC에는 이름이 vmw-hcs-podUUID-uag-management-nsg 패턴을 따르는 NSG가 있습니다.
• 테넌트 NIC에는 이름이 vmw-hcs-podUUID-uag-tenant-nsg 패턴을 따르는 NSG가 있습니다.

Microsoft Azure 환경에서 이러한 NSG는 패턴 vmw-hcs-podUUID-uag-internal에 명명된 Edge 리소스 그룹에 있습니다.