이 페이지에서는 첫 번째 포드 마이그레이션을 시작하기 전에 필요에 따라 평가, 준비 및 업데이트해야 하는 영역을 설명합니다.

소개

이러한 평가 및 준비 단계의 대부분은 새로운 차세대 환경에 로그인하고 마이그레이션 UI를 보기 전에 언제든지 수행할 수 있습니다.

이러한 평가 및 준비 단계 중 일부에는 1세대 포드가 배포된 Microsoft Azure 구독 환경 및 네트워크가 포함됩니다. 이러한 경우 해당 환경을 처리하는 IT 팀의 지원이 필요할 수 있습니다.

기억할 사항: 이 문서를 작성할 때 1세대 포드를 마이그레이션할 수 있는 적격성이 1세대 테넌트에 대한 점진적 롤아웃입니다. 자격이 있는 경우 Horizon Migration Communications에서 직접 통신을 받게 됩니다.

용어

차세대 서비스에는 새로운 개념과 용어가 있습니다. 차세대 서비스에서 배포를 "pod" 라는 용어 대신 Horizon Edge라고 합니다.

셀프 서비스 마이그레이션은 Microsoft Azure Horizon Edge를 1세대 포드 마이그레이션에 사용되는 동일한 Microsoft Azure 구독에 배포하고 동일한 구독 정보, VNet 및 서브넷을 사용하도록 설계되었습니다.

각 포드가 마이그레이션될 때 프로세스는 기본적으로 해당 포드에서 다음 항목을 재사용합니다.

  • Microsoft Azure 구독 ID, 디렉토리 ID, 서비스 주체 애플리케이션 ID 및 암호 키
  • VNet
  • 관리 서브넷, 테넌트 서브넷, DMZ 서브넷
  • 1세대 테넌트에 등록된 도메인 정보 및 도메인 바인딩 및 도메인 가입 서비스 계정(도메인 바인딩 및 도메인 가입 사용자, 보조 도메인 바인딩 및 도메인 가입 사용자)을 Active Directory.

    첫 번째 포드의 마이그레이션이 스케줄링되면 시스템은 1세대 테넌트의 등록된 모든 Active Directory 도메인 정보 및 서비스 계정 정보를 복사하고 next-gen 환경에 동일한 를 등록합니다.

1세대 포드의 일부 항목은 재사용되지 않습니다. 그 중 몇 가지의 경우 새 추가 리소스를 설정해야 합니다.

따라서 다음 영역을 평가하고 차세대 요구 사항을 수용하기 위해 필요에 따라 준비해야 합니다.

참고: 몇 가지 특별한 특성이 있는 포드의 경우 마이그레이션 프로세스를 수행하려면 1세대 포드와 다른 새 VNet 및 관리 서브넷을 사용해야 할 수 있습니다. 이 특수 사례는 이 페이지의 섹션에 설명되어 있습니다.

사전 요구 사항 표

이 표 다음 섹션에서는 이러한 각 사전 요구 사항에 대한 세부 정보를 제공합니다. 이 표는 편리한 개요로 포함되어 있습니다.

차세대 Unified Access Gateway.에 대한 새 FQDN 및 인증서 가져오기
1세대 포드 및 에이전트 버전을 평가하고 필요에 따라 업데이트합니다.
포드의 VNet 또는 연결된 네트워크에 AKS 제한 IP 주소가 포함되어 있는지 확인합니다.
배포 유형을 결정하고 요구 사항을 충족합니다.
포드의 Microsoft Azure 구독에 리소스 그룹 태그에 대한 정책이 있는지 확인합니다. [예]인 경우 마이그레이션 요구 사항을 처리하는 방법을 계획합니다.
네트워킹 - 네트워크 트래픽에 대한 기존 설정을 평가하고 필요에 따라 업데이트합니다.
포드의 연결된 애플리케이션 암호 키가 여전히 유효한지 확인합니다.
VNet - 데스크톱에 대한 내부 액세스에 사용하는 현재 라우팅을 평가합니다.
Microsoft Azure vCPU 제품군 할당량을 평가하고 필요에 따라 늘입니다.
Unified Access Gateway 로드 밸런서에 대한 공용 IP가 있는 경우 이 로드 밸런서에 대한 공용 IP가 있는 경우의 지침을 따르십시오.
Unified Access Gateway 로드 밸런서에 대한 개인 IP가 있는 경우 이 로드 밸런서에 대한 개인 IP가 있는 경우의 지침을 따르십시오.
새로운 차세대 환경에 로그인하고 차세대 Horizon Universal Console을 보는 기능을 평가합니다.
ID 제공자를 결정하고 AD 사용자 및 그룹을 동기화합니다.
Active Directory 기본 제공 사용자 또는 기본 제공 그룹의 사용을 평가하고 필요에 따라 업데이트합니다.
App Volumes 애플리케이션 할당의 사용을 평가합니다.
특수 사례 - 1세대 포드의 애플리케이션 등록이 사용자 지정 역할을 사용하는 경우 1세대 포드의 애플리케이션 등록이 사용자 지정 역할을 사용하는 경우의 지침에 따라 차세대 배포에 필요한 사용 권한을 업데이트합니다.

차세대 Unified Access Gateway에 대한 새 FQDN 및 인증서 가져오기

참고: 차세대 Unified Access Gateway 배포를 위한 FQDN은 마이그레이션할 1세대 배포에 이미 사용 중인 FQDN과 달라야 합니다. 드문 경우이긴 하지만 마이그레이션 후 문제가 발생할 경우 1세대 배포로 롤백하도록 지원하려면 1세대 배포의 게이트웨이 FQDN 및 해당 SSL 인증서가 1세대 배포에 맞게 구성된 대로 유지되어야 합니다. 마이그레이션을 완료한 후에만 원할 경우 차세대 게이트웨이 배포의 FQDN 및 SSL 인증서를 업데이트할 수 있습니다.

스케줄링 마법사 UI를 사용하려면 마법사에서 이 FQDN을 지정하고 해당 FQDN을 기준으로 하는 SSL 인증서를 제공해야 합니다.

차세대 환경의 경우 SSL 인증서는 PEM 또는 PFX 형식일 수 있습니다.

인증서에 설정된 일반 이름 또는 FQDN은 스케줄링 마법사에 입력하려는 FQDN과 일치해야 합니다. 마법사는 인증서의 데이터가 마법사에 입력한 FQDN과 일치하는지 확인합니다.

1세대 포드 및 에이전트 버전 평가 및 필요에 따라 업데이트

포드를 마이그레이션하려면 포드 및 에이전트 버전이 다음 조건을 충족해야 합니다.

  • Horizon Cloud 포드는 포드 매니페스트 4136.0 이상을 실행 중이어야 합니다. 이전 매니페스트를 실행하는 경우 포드 업그레이드를 위한 서비스 요청을 시작합니다.
  • 포드의 전용 VDI 데스크톱은 마이그레이션 프로세스가 지원하는 에이전트 버전을 실행해야 하며 이는 버전 23.1.0.22973254 이상에 Horizon Agents Installer. 전용 VDI 데스크톱이 23.1.0.22973254 이전 버전의 에이전트를 실행 중인 경우 마이그레이션 전에 에이전트를 버전 23.1.0.22973254 이상으로 업데이트합니다.
  • 부동 VDI 데스크톱 및 이미지는 해당 에이전트 버전이 Horizon Cloud on Microsoft Azure 버전 2210의 VMware 상호 운용성 매트릭스를 준수하는 한, 22.3.x 이전 버전의 에이전트를 포함할 수 있습니다.

포드의 VNet 또는 연결된 네트워크에 AKS 제한 IP 주소가 포함되어 있는지 확인

중요: 결정 결과에는 마이그레이션에 사용하도록 선택한 Horizon Edge Gateway 배포 유형에 대한 지침이 표시됩니다. 유형은 다음에 나오는 Edge 게이트웨이 배포 유형 결정 섹션에 설명되어 있습니다.

VNet이 연결된 1세대 포드의 관리 서브넷 또는 VNet 또는 네트워크(예: ExpressRoute를 통해 연결된 온-프레미스 네트워크)에 여기에 나열된 AKS 제한 범위의 IP 주소가 포함되어 있는지 확인합니다.

  • 169.254.0.0/16
  • 172.30.0.0./16
  • 172.31.0.0/16
  • 192.0.2.0/24

그렇다면 해당 포드를 마이그레이션하려면 다음으로 단일 VM 배포 유형으로 요구 사항을 충족할 수 있는지 또는 AKS 배포 유형만 충족할 수 있는 요구 사항이 있는지 평가해야 합니다.

  • 단일 VM 배포 유형을 사용하여 해당 포드를 마이그레이션하거나
  • 요구 사항에 따라 AKS 배포 유형을 사용하도록 지정하는 경우 포드 구독 내에서 해당 VNet에 최소 CIDR /26의 새 VNet 및 관리 서브넷을 설정하고 새 VNet을 포드의 기존 VNet과 피어링해야 합니다. 최소 /26 CIDR은 AKS 배포 유형에 대한 강력한 권장 사항입니다.

    새 VNet의 어떤 항목도 제한된 범위의 IP 주소를 포함하거나 사용하지 않는지 확인합니다. 새 VNet 및 관리 서브넷을 사용하면 HA에 제공하는 AKS 배포 유형을 사용할 수 있습니다.

자세한 지침은 Edge 게이트웨이 배포 유형 결정에 대한 다음 섹션을 참조하십시오.

이러한 특정 범위가 AKS로 제한된 범위인 이유는 Microsoft가 AKS 유형의 Horizon Edge Gateway 배포에 사용되는 AKS(Azure Kubernetes Service) 클러스터와 관련하여 이 규칙을 적용하기 때문입니다.

이러한 제한된 IP가 포드의 관리 서브넷 또는 VNet에 포함되어 있거나 VNet에 연결된 온-프레미스 네트워크에 포함된 경우 AKS 유형을 사용하는 마이그레이션 프로세스에서 포드의 기존 VNet을 다시 사용할 수 없습니다.

배포 유형을 결정하고 요구 사항 충족

1세대 포드를 차세대 환경으로 마이그레이션할 때 시스템은 Horizon Edge Gateway라고 하는 항목을 포드의 Microsoft Azure 구독에 배포합니다.

배포는 단일 가상 시스템(단일 VM) 유형 또는 AKS(Azure Kubernetes Service) 유형의 두 가지 유형으로 제공됩니다.

시스템에서는 각 포드의 마이그레이션에 사용할 유형을 지정할 수 있습니다.

따라서 다음 표에 따라 필요한 품질을 기반으로 사용할 유형을 결정해야 합니다.

Edge 게이트웨이 배포 주요 품질 세부 정보
단일 VM
  • 최대 5K(5000) 세션을 지원합니다.
  • MICROSOFT Azure 구독과 관련된 사전 요구 사항이 AKS 유형보다 적음
  • AKS 요구 사항을 쉽게 충족할 수 없는 포드의 마이그레이션을 수용합니다.
  • 나중에 배포된 를 사용할 수 없는 경우 결과 동작은 다음과 입니다.
    • 최종 사용자는 SSO(Single Sign-On) 없이 로그인해야 합니다.
    • VM을 사용할 수 없는 기간 동안 데스크톱에 대한 모니터링 데이터가 기록되지 않습니다.

단일 VM 유형은 AKS 유형을 통해 1세대 포드를 마이그레이션할 때 보다 간단하게 사용할 수 있습니다.

이 옵션을 사용하면 더 간단하게 선택할 수 있는 이유는 단일 VM 유형에 AKS 유형에 필요한 것보다 포드 Azure 구독의 새 요구 사항이 적기 때문입니다. 따라서 AKS 유형의 요구 사항을 쉽게 충족할 수 없는 1세대 포드 배포를 수용합니다.

단순성 외에도 배포된 VM을 사용할 수 없게 되면 단일 VM 유형이 AKS 유형과 다른 동작을 하게 됩니다. 사용할 수 없는 경우:

  • 최종 사용자는 SSO 로그인 환경 없이 로그인 흐름을 볼 수 있습니다. 예를 들어 데스크톱을 보기 전에 Active Directory 자격 증명을 사용하여 로그인해야 합니다.
  • Edge 게이트웨이 VM으로 전송되는 데스크톱의 모니터링 데이터는 VM을 사용할 수 없는 기간 동안 기록되지 않습니다.
AKS
  • 5K(5000개) 이상의 세션을 지원합니다.
  • Azure Kubernetes 서비스에는 충족해야 하는 Microsoft 관련 요구 사항이 있습니다.
  • AKS 요구 사항을 충족할 수 있는 포드 마이그레이션을 수용합니다.
  • SSO 로그인 환경 및 모니터링 데이터 수집은 이러한 기능을 고가용성으로 전달할 수 있도록 하는 복제된 서비스를 통해 처리됩니다.

AKS는 Microsoft Azure 데이터 센터의 엔터프라이즈 클라우드 네이티브 애플리케이션에 대한 Microsoft Azure 표준입니다.

AKS 유형은 SSO 로그인 환경 및 모니터링 데이터 수집을 지원하는 복제된 서비스를 제공하는 클러스터링된 아키텍처의 Edge 게이트웨이를 제공합니다.

다음 의사 결정 테이블에 대한 두 가지 질문:
  1. 5K보다 많은 세션이 필요하거나 장애 발생 시 전체 페일오버 기능이 있는 서비스를 통해 SSO 로그인 환경 및 모니터링 데이터 수집을 지원해야 합니까?
  2. 포드의 관리 서브넷, 포드 VNet 또는 온-프레미스 네트워크에 연결된 해당 VNet에 알려진 시스템에서 사용하는 AKS 제한 IP 범위가 있습니까?
답변 사용 방법 이행을 위한 사전 요구 사항
  1. 아니요
첫 번째 질문에 대한 답변이 [예]인 경우 AKS 유형이 필요합니다.

5K보다 큰 세션이 필요하고 SSO 로그인 환경 및 모니터링 데이터 수집에 대한 요구 사항을 충족해야 하는 경우 이를 위해 AKS 유형이 필요합니다.

AKS 유형 필수 조건
첫 번째 질문에 대한 답변이 [예]인 경우 AKS 유형이 필요합니다.

이 경우 AKS 유형이 5K보다 큰 세션을 제공하고 SSO 로그인 환경 및 모니터링 데이터 수집에 대한 요구 사항을 충족해야 하지만 포드의 VNet은 AKS 유형의 IP 주소 제한에 맞지 않습니다.

AKS 유형의 요구 사항을 지원하려면 다음을 수행해야 합니다.

  1. 제한된 IP 주소가 포함되지 않은 포드 구독의 해당 VNet에서 다른 VNet 및 관리 서브넷을 설정합니다.
  2. 새 VNet 및 관리 서브넷이 AKS Edge 게이트웨이의 요구 사항을 충족하는지 확인합니다.
  3. 새 VNet을 포드의 기존 VNet과 피어링합니다.

그런 다음, 마이그레이션 마법사를 실행할 때 새 VNet 및 관리 서브넷과 Azure Kubernetes Service 옵션을 선택합니다.

AKS 유형 필수 조건
  1. 아니요
  2. 아니요
첫 번째 질문에 대한 아니요는 단일 VM 유형이 요구 사항을 충족한다는 것을 의미합니다.

동시에 포드의 VNet이 AKS 유형의 IP 제한을 충족하기 때문에 마이그레이션을 위해 AKS 유형으로 이동하도록 결정할 수도 있습니다.

단일 VM 유형은 페이지 1세대 Horizon Cloud 포드 마이그레이션을 위한 필수 조건 및 모든 하위 섹션에 자세히 설명된 것 외에 특정 요구 사항이 없습니다.
  1. 아니요
첫 번째 질문에 대한 아니요는 단일 VM 유형이 요구 사항을 충족한다는 것을 의미합니다. 다음 중 하나를 선택할 수 있습니다.
  • 가장 간단한 옵션은 단일 VM 유형을 사용하는 것입니다.
  • 보다 복잡한 옵션은 다음을 통해 AKS 제한 IP를 해결하는 것입니다.
    1. 제한된 IP 주소가 포함되지 않은 포드 구독의 해당 VNet에서 다른 VNet 및 관리 서브넷 설정
    2. 새 VNet 및 관리 서브넷이 AKS Edge 게이트웨이의 요구 사항을 충족하는지 확인
    3. 새 VNet을 포드의 기존 VNet과 피어링

    원할 경우 위의 항목을 충족하여 AKS 유형을 대신 사용할 수도 있습니다.

단일 VM 유형은 페이지 1세대 Horizon Cloud 포드 마이그레이션을 위한 필수 조건 및 모든 하위 섹션에 자세히 설명된 것 외에 특정 요구 사항이 없습니다.

포드의 Microsoft Azure 구독에 리소스 그룹 태그에 대한 정책이 있는지 확인

이 문서를 작성할 때 Horizon Edge에 대한 배포 프로세스를 수행하려면 Microsoft Azure 구독에서 태그가 없는 리소스 그룹을 생성할 수 있어야 합니다.

마이그레이션 유지 보수 기간의 요일 및 시간을 스케줄링한 직후에 시스템은 Horizon Edge Gateway 및 Unified Access Gateway 인스턴스에 대한 리소스 그룹을 생성합니다.

따라서 포드 구독에 태그 없는 리소스 그룹의 생성을 차단하는 Microsoft Azure 정책이 있거나 구독에 어떤 유형의 리소스 태그 요구 사항이 있는 경우 해당 스케줄링 단계 직후에 마이그레이션 프로세스가 실패합니다.

구독에 이러한 정책이 있는 경우 마이그레이션 스케줄링 마법사를 완료하기 직전에 Azure 정책을 해제하고 Horizon Edge Gateway 및 Unified Access Gateway 인스턴스가 구독에 배포될 때까지 정책을 해제하도록 계획하여 이 요구 사항을 관리할 수 있습니다. Horizon Edge 게이트웨이 및 Unified Access Gateway 인스턴스가 성공적으로 배포된 경우 리소스 그룹을 생성할 때 태그를 요구하는 Azure 정책을 마이그레이션 작업에 영향을 주지 않고 다시 사용하도록 설정할 수 있습니다.

네트워킹 - 네트워크 트래픽에 대한 기존 설정을 평가하고 필요에 따라 업데이트

현재 방화벽 설정이 차세대 Horizon Edge에 필요한 끝점과 포트 및 프로토콜에 대한 연결을 허용하는지 여부를 평가합니다.

차세대 서비스에 필요한 끝점 URL 및 포트는 네트워크 팀이 1세대 포드에 대해 이미 허용한 것과 다를 수 있습니다.

필요한 끝점, 포트 및 프로토콜 목록은 가이드 "Horizon Cloud Service - next-gen 사용" 의 다음 페이지를 참조하고 1세대 포드 환경에서 수행할 변경 사항을 결정합니다.

포드의 연결된 애플리케이션 암호 키가 여전히 유효한지 확인

포드 배포를 위해 Azure Portal에 로그인하고 포드에서 사용하는 애플리케이션 키가 만료되지 않았는지 확인합니다.

Azure Portal은 [애플리케이션 등록] 영역에서 클라이언트 암호 키라는 용어를 사용합니다. 포드와 연결된 애플리케이션 등록을 찾습니다.

VNet - 데스크톱에 대한 내부 액세스용 라우팅 평가

1세대 포드에 대한 라우팅 및 데스크톱에 대한 내부 액세스에 따라 차세대 Horizon Edge의 데스크톱에 대한 내부 액세스가 계속 작동하려면 해당 라우팅을 조정해야 할 수 있습니다.

Microsoft Azure vCPU 제품군 할당량 평가 및 필요에 따라 증가

1세대 포드의 Microsoft Azure 구독에 있는 현재 vCPU 제품군 할당량에 따라 마이그레이션 프로세스를 지원하기 위해 특정 vCPU 제품군에 대한 할당량을 늘려야 할 수 있습니다.

마이그레이션 프로세스는 최소 하나의 Horizon Edge 게이트웨이와 2개의 Unified Access Gateway 인스턴스로 구성된 Horizon Edge를 배포합니다.

Microsoft Azure에 배포된 Horizon Edge에는 단일 VM 배포 유형 또는 AKS 배포 유형의 Horizon Edge 게이트웨이가 있습니다.

Edge Gateway 배포 유형 결정에 설명된 대로 포드 마이그레이션에 사용할 유형을 결정합니다.

용도 추가 vCPU/할당량 요구 사항
Unified Access Gateway 인스턴스 두 개의 (2) Standard_F8s_v2 수용하기 위한 추가 할당량
Horizon Edge 게이트웨이 - 이 유형을 선택하는 경우 단일 VM 배포 유형 다음 VM SKU 크기 중 1개의 VM을 수용하기 위한 추가 할당량:
  • Standard_D4s_v3 - vCPU 4개
  • Standard_D4s_v4 - vCPU 4개
  • Standard_D4s_v5 - vCPU 4개
Horizon Edge 게이트웨이 - AKS 배포 유형(이 유형을 선택하는 경우)

다음 VM SKU 크기 중 5개에 대한 추가 할당량:

  • Standard_D2s_v3 - vCPU 2개
  • Standard_D2ds_v5 - vCPU 2개
  • Standard_D2a_v4 - vCPU 2개

포드 구독에 위에 나열된 VM SKU 크기 중 하나 이상 중 5개를 수용할 수 있는 용량이 있는 경우 AKS(4노드 Edge 게이트웨이)의 마이그레이션 요구 사항이 충족되고 AKS의 향후 업그레이드에 대한 1노드 요구 사항도 충족됩니다.

이러한 VM SKU 요구 사항의 배경은 AKS(Edge Gateway) 배포가 AKS(Azure Kubernetes Service) 클러스터를 사용하므로 용량에 대해 나열된 다음 VM 크기 중 하나의 4개의 VM 노드가 필요합니다.

그런 다음 업그레이드 프로세스 중에 1개의 추가 노드가 필요하고 사용됩니다.

이렇게 하면 총 5개의 VM SKU가 필요합니다.

이미지
  • 각 이미지가 복제되고 차세대로 마이그레이션됩니다. 따라서 제품군의 이미지당 vCPU 양이 두 배 이상 있어야 합니다.

    예를 들어 vCPU 코어가 2개인 Standard_DS2_v2 이미지를 마이그레이션하려면 마이그레이션 중에 2개의 추가 vCPU 코어가 필요합니다. 따라서 Azure 구독에는 해당 지역에 Standard DSv2 제품군의 vCPU 코어가 4개 이상 있어야 합니다.

    그러나 이미지가 20개씩 일괄 마이그레이션되므로 이 초과 할당량은 이미지당 vCPU 코어 수의 20배를 초과할 필요가 없습니다. 즉, 이미지 vCPU의 20배 할당량이 아니라 기존 할당량과 이미지 vCPU의 20배에 달하는 초과 할당량이 필요합니다.

Unified Access Gateway 로드 밸런서에 대한 공용 IP가 있는 경우

1세대 포드가 외부 Unified Access Gateway 구성의 로드 밸런서에 공용 IP를 사용하는 경우 시스템은 차세대 Horizon Edge를 실행하여 Horizon Edge의 Unified Access Gateway 구성에 공용 IP를 사용합니다.

이 경우 포드 구독에 추가 공용 IP가 필요합니다. 따라서 마이그레이션을 스케줄링하기 전에 구독에 이 추가 공용 IP를 제공할 용량이 있는지 확인합니다.

Unified Access Gateway 로드 밸런서에 대한 개인 IP가 있는 경우

1세대 외부 Unified Access Gateway 배포의 로드 밸런서가 개인 IP를 사용하는 경우 차세대 배포의 로드 밸런서로 라우팅하려는 공용 IP 주소를 획득합니다.

마이그레이션할 1세대 외부 게이트웨이 구성이 해당 로드 밸런서에 대해 개인 IP를 사용하고 공용 IP가 해당 개인 IP로 라우팅되는 경우 마이그레이션 스케줄링을 시작할 때 시스템에서 이 구성을 감지합니다.

이 시나리오는 외부 게이트웨이 구성의 Unified Access Gateway 장치에 대한 액세스를 허용하기 전에 인터넷 기반 트래픽을 제어하기 위해 외부 게이트웨이 구성의 Azure Load Balancer 앞에 방화벽 또는 NAT가 구성된 경우 1세대 배포에서 사용되었습니다.

시스템은 스캔 프로세스 중에 마이그레이션 준비 상태를 확인하면 1세대 구성을 감지합니다.

시스템에서 해당 구성을 감지하면 마이그레이션 스케줄링 마법사 UI에 수동 공용 IP 필드가 표시됩니다. 해당 필드에 차세대 Unified Access Gateway 배포에 사용하려는 공용 IP 주소를 입력합니다.

참고: 이 공용 IP는 롤백이 필요한 경우 1세대 배포 상태로의 롤백을 지원하기 위해 마이그레이션할 포드의 게이트웨이에 이미 사용 중인 공용 IP와 달라야 합니다.

따라서 이 구성이 있는 경우 새 공용 IP 주소를 획득하여 1세대 포드의 외부 게이트웨이에 사용되는 주소와는 다른 주소를 사용합니다.

새로운 차세대 환경에 로그인하고 차세대 Horizon Universal Console을 확인하는 기능 평가

console.cloud.vmware.com에 로그인한 후 서비스 UI에 Workspace ONE Cloud 레이블이 지정된 카드가 표시되는지 확인합니다. 다음 스크린샷은 예입니다.

  1. 먼저 서비스 UI에 Workspace ONE Cloud 레이블이 지정된 카드가 표시되는지 확인합니다. 다음 스크린샷은 예입니다.
    console.cloud.vmware.com의 서비스 UI에 있는 Workspace ONE Cloud 카드 스크린샷
  2. 해당 카드가 표시되면 해당 서비스 시작 링크를 클릭한 다음, Horizon Cloud 레이블이 지정된 카드가 표시되는지 확인합니다. 이 스크린샷은 Workspace ONE 서비스 내의 해당 카드를 보여 줍니다. 특정 카드 집합이 다를 수 있습니다.
    녹색 화살표로 가리킨 Horizon Cloud 카드 스크린샷

    해당 Horizon Cloud 카드를 클릭하면 차세대 Horizon Universal Console이 열립니다.

    • 이전에 차세대 환경에 온보딩한 경우 [마이그레이션] 화면을 사용할 수 있는 차세대 Horizon Universal Console이 표시됩니다.
    • 차세대 환경에 대한 온보딩을 이전에 완료하지 않은 경우 시스템은 클라우드 지역 선택 섹션에 설명된 대로 지역 선택 UI를 표시하며, 여기에 설명된 단계를 수행하여 온보딩을 완료하고 사용 가능한 [마이그레이션] 화면이 있는 콘솔을 볼 수 있습니다.

위 단계를 수행해도 차세대 Horizon Universal Console이 표시되지 않고 이미 VMware Horizon 마이그레이션 팀에 참여하고 있는 경우 함께 작업 중인 해당 팀의 담당자에게 문의하십시오. VMware Horizon 마이그레이션 팀에 아직 참여하지 않은 경우 VMware 글로벌 지원 서비스에 문의하고 Horizon Cloud 마이그레이션 지원을 요청하십시오.

다음 스크린샷은 위의 2단계 끝에서 차세대 콘솔의 탐색 측면 상단이 어떻게 보이는지 보여 줍니다. 기본 영역에는 이 스크린샷에 표시된 시작 컨텐츠가 표시될 수도 있고 표시되지 않을 수도 있습니다. 기본 영역에 마이그레이션 화면이 자동으로 표시될 수 있습니다. 이 유형의 탐색을 보면 차세대 콘솔에 있는 것입니다.


차세대 콘솔에 대한 탐색 영역 위쪽의 스크린샷

ID 제공자를 결정하고 이 제공자에 AD 사용자 및 그룹 동기화

차세대 환경에서 이 서비스는 외부 ID 제공자와 Active Directory 도메인을 모두 사용해야 합니다.

배경

1세대 테넌트에서, 등록된 Active Directory 도메인은 데스크톱 및 게시된 애플리케이션에 대한 최종 사용자 액세스를 인증하기 위해 시스템 ID 및 사용자 ID 모두에 사용되었습니다.

차세대 환경에서는 외부 ID 제공자를 서비스로 가져와서 사용자 ID 부분을 충족합니다.

외부 ID 제공자를 사용하면 타사 솔루션과 통합하여 다단계 인증과 같은 기능을 제공할 수 있습니다.

1세대 포드를 차세대 Horizon Edge로 마이그레이션할 때 마이그레이션 후의 Horizon Edge는 1세대 환경과 마찬가지로 시스템 ID에 Active Directory 도메인을 사용합니다. 마이그레이션된 가상 데스크톱과 게시된(원격) 애플리케이션을 제공하는 해당 가상 시스템이 Active Directory 도메인에 가입됩니다.

참고: 차세대 환경에 대해 선택하는 ID 제공자는 1세대 포드의 Active Directory 도메인(1세대 테넌트에 등록된 도메인)에 연결되어야 합니다.

사용할 ID 제공자 결정

차세대 서비스에 등록하기로 결정한 ID 제공자는 Horizon Cloud Service - next-gen의 요구 사항을 충족해야 합니다.

이 문서를 작성할 당시 다음이 적용됩니다.

  • 차세대 환경에서는 ID 제공자를 하나만 사용할 수 있습니다.
  • 지원되는 유형은 다음과 같습니다.
    • Microsoft Entra ID
    • Workspace ONE Access(클라우드 또는 온-프레미스)

추가 배경 정보를 보려면 Horizon Cloud Service next-gen 설명서에서 ID 제공자 설정을 참조하십시오.

필수 조건 - Microsoft Entra ID

차세대 Horizon Universal Console의 마법사를 실행하여 Microsoft Entra ID를 사용하도록 차세대 설정을 구성합니다.

팁: Microsoft Entra ID를 ID 제공자로 구성하는 모습을 보여 주는 동영상은 이 Tech Zone 동영상 Horizon Cloud on Microsoft Azure 포드 마이그레이션 스케줄링이 시작되고 3분 이내에 진행됩니다.

마법사를 완료하려면 다음 항목이 필요합니다.

필수 항목 세부 정보
글로벌 관리자 권한이 있는 사용자 Microsoft Entra ID의 이 사용자는 다음을 수행해야 합니다.
  • 요청된 사용 권한 승인
  • 전체 조직에 대한 동의 제공

마법사 UI의 일부로 Microsoft Entra ID에 로그인하고 사용 권한을 승인하고 차세대 서비스가 Microsoft Entra ID의 사용자 정보에 액세스할 수 있도록 동의하기 위해 해당 사용자에게 제공하는 링크를 생성합니다.

Microsoft Entra ID의 글로벌 관리자인 경우 마법사에서 Microsoft Entra ID에 로그인하고 사용 권한을 승인하고 동의하라는 메시지를 표시합니다. 화면의 지침을 따릅니다.

테넌트 하위 도메인 마법사는 테넌트 하위 도메인 레이블이 지정된 필드에 문자열을 입력하도록 요청합니다. 영문자[a-Z] 또는 숫자[0-9]로 시작하고 끝나야 하며, 영문자, 숫자 및 대시[-]만 포함할 수 있습니다.

이 문자열은 여러분 본인과 팀이 사용하기 위해 구성하는 고유한 문자열입니다. 대부분의 사람들은 회사 또는 조직 이름이나 회사 도메인과 관련된 문자열을 입력합니다.

그러나 나중에 최종 사용자가 마이그레이션된 차세대 환경을 사용하여 데스크톱 및 애플리케이션에 로그인하면 사용자 회사 도메인 필드에 이 문자열을 입력합니다. 이 필드는 최종 사용자 로그인 흐름의 일부로 표시됩니다.

팁: 최종 사용자 로그인 흐름과 테넌트 하위 도메인 문자열이 사용되는 동영상은 관리자 및 최종 사용자 로그인 흐름을 비교하는 이 Tech Zone 동영상의 3분 30초에 시작합니다.

필수 조건 - Workspace ONE Access 클라우드 또는 온-프레미스

차세대 Horizon Universal Console의 마법사를 실행하여 Workspace ONE Access를 사용하도록 차세대 설정을 구성합니다.

팁: Workspace ONE Access를 ID 제공자로 구성하는 동영상은 Tech Zone 연습: Workspace ONE Access를 Horizon Cloud에 대한 사용자 ID 제공자로 연결의 동영상을 참조하십시오.

마법사를 완료하려면 다음 항목이 필요합니다.

필수 항목 세부 정보
관리자 권한이 있는 사용자 Workspace ONE Access의 이 사용자는 다음을 수행해야 합니다.
  • 요청된 사용 권한 승인
  • 전체 조직에 대한 동의 제공
테넌트 하위 도메인 마법사는 테넌트 하위 도메인 레이블이 지정된 필드에 문자열을 입력하도록 요청합니다. 영문자[a-Z] 또는 숫자[0-9]로 시작하고 끝나야 하며, 영문자, 숫자 및 대시[-]만 포함할 수 있습니다.

이 문자열은 여러분 본인과 팀이 사용하기 위해 구성하는 고유한 문자열입니다. 대부분의 사람들은 회사 또는 조직 이름이나 회사 도메인과 관련된 문자열을 입력합니다.

그러나 나중에 최종 사용자가 마이그레이션된 차세대 환경을 사용하여 데스크톱 및 애플리케이션에 로그인하면 사용자 회사 도메인 필드에 이 문자열을 입력합니다. 이 필드는 최종 사용자 로그인 흐름의 일부로 표시됩니다.

팁: 최종 사용자 로그인 흐름과 테넌트 하위 도메인 문자열이 사용되는 동영상은 관리자 및 최종 사용자 로그인 흐름을 비교하는 이 Tech Zone 동영상의 3분 30초에 시작합니다.
Workspace ONE Access 테넌트 FQDN 마법사에서 Workspace ONE Access 테넌트 FQDN을 입력합니다. 이 FQDN은 일반적으로 yourcompany.workspaceoneaccess.com 형식입니다. 이 FQDN은 Workspace ONE Access 콘솔에서 가져올 수 있습니다.
Workspace ONE Access 테넌트 클라이언트 ID 및 클라이언트 암호(Workspace ONE Access 온-프레미스를 사용하는 경우) Workspace ONE Access 온 프레미스를 사용하는 경우 마법사는 차세대 환경과 통합하기 위해 구성한 OAuth 클라이언트 ID 및 OAuth 클라이언트 암호를 요청합니다.

AD(Active Directory) 사용자 및 그룹을 해당 ID 제공자와 동기화

마이그레이션할 포드를 선택하기 전에 마이그레이션할 포드에서 데스크톱 및 애플리케이션에 대한 권한이 부여된 모든 AD 사용자 및 AD 그룹이 선택한 ID 제공자와 동기화되었는지 확인합니다.

시스템의 사전 유효성 검사 중에 시스템은 1세대 포드의 데스크톱 및 애플리케이션 할당에서 AD 사용자 및 그룹 집합을 가져오고 해당 AD 사용자 및 그룹에 대해 차세대 환경에 등록된 ID 제공자를 확인합니다. 시스템이 등록된 ID 제공자에서 해당 AD 사용자 또는 그룹 중 하나를 찾지 못하면 사전 검증 단계가 실패합니다. UI에서 가져오는 실패 보고서는 누락된 AD 사용자 또는 그룹을 보고합니다.

Active Directory 기본 제공 사용자 또는 기본 제공 그룹의 사용을 평가하고 필요에 따라 업데이트

1세대 Horizon Cloud on Microsoft Azure 배포가 Azure AD(Azure Active Directory)를 사용하도록 구성한 경우 기본 제공되지 않은 그룹 및 사용자로 마이그레이션하고 변경하기 전에 기본 제공 사용자 또는 기본 제공 그룹을 지정한 모든 경우에서 업데이트해야 합니다.

시스템은 1세대 포드를 스캔하여 마이그레이션 기준을 충족하는지 확인한 후, 각 할당에 지정된 사용자 및 그룹에 대한 정보를 수집하고 차세대 환경의 구성된 ID 제공자에서 동등한 구성을 생성하려고 합니다. 차세대 환경에서 Microsoft Azure AD를 ID 제공자로 사용하는 경우 Microsoft Azure AD Connect는 Active Directory 도메인을 Microsoft Azure AD와 동기화합니다.

그러나 Microsoft 설명서에 설명된 대로 Active Directory 그룹을 Azure AD로 동기화하는 작업을 처리하는 Microsoft Azure AD Connect 동기화는 기본 제공 보안 그룹을 해당 디렉토리 동기화에서 제외합니다. 따라서 시스템이 해당 ID 제공자에서 기본 제공 그룹 및 기본 제공 사용자를 사용하는 동일한 1세대 구성을 생성하려고 할 경우 해당 기본 제공이 동기화되지 않으므로 Azure AD에서 동등한 엔티티를 찾을 수 없습니다. 시스템은 기본 제공 사용자 및 기본 제공 그룹이 포함된 포드를 마이그레이션할 수 없다고 보고합니다.

이 시나리오에서는 기본 제공 그룹 및 기본 제공 사용자와 동일한 멤버 자격이 있는 일반 Active Directory 그룹을 생성해야 하며, 데스크톱 또는 원격 애플리케이션을 수신하도록 기본 제공 그룹 및 기본 제공 사용자를 지정한 경우 해당 설정을 업데이트하여 일반 Active Directory 그룹을 사용합니다.

App Volumes 애플리케이션 할당 사용 평가

1세대 테넌트에 App Volumes 애플리케이션 할당이 있는 경우 차세대 환경에 유효한 App Volumes 라이센스 구독이 있는지 확인합니다.

시스템의 사전 유효성 검사 중에 시스템은 차세대 환경에서 유효한 App Volumes 라이센스 구독이 있는지 확인합니다.

확인할 수 없으면 시스템은 오류로 인해 포드 마이그레이션을 스케줄링할 수 없습니다.

차세대 콘솔에서 Horizon Universal Console을 사용하여 Horizon 라이센스 추적에 설명된 단계를 사용하여 차세대 환경에서 라이센스가 있는지 확인할 수 있습니다.

특수 사례 - 1세대 포드의 앱 등록이 사용자 지정 역할을 사용하는 경우

1세대 포드가 구독의 Horizon Cloud 애플리케이션 등록에 사용자 지정 역할을 사용하도록 구성된 경우 마이그레이션 사전 요구 사항은 차세대 환경에 필요한 사용 권한으로 해당 사용자 지정 역할을 업데이트하는 것입니다.

사용자 지정 역할의 사용은 비정형입니다. 대부분의 1세대 포드 배포는 Horizon Cloud 서비스 주체의 앱 등록에 대해 기여자 역할을 사용하고 있습니다.

1세대 포드가 배포되었을 때 1세대 설명서 페이지 조직이 사용자 지정 역할을 사용하는 것을 선호하는 경우에 설명된 대로 사용자 지정 역할을 사용했을 수 있습니다.

포드가 이 시나리오에 속하는 경우 차세대 환경에서 필요한 API 호출을 하는 데 필요한 사용 권한을 포함하도록 기존 사용자 지정 역할을 업데이트해야 합니다.

1세대 포드 구독에서 Horizon Cloud 애플리케이션 등록의 사용자 지정 역할, 포드에서 사용하는 애플리케이션 등록에서 다음 작업이 허용되는지 확인합니다.

이러한 중 일부는 1세대 포드 배포에 필요한 것과 동일합니다. 이 표에는 차세대 환경에 추가로 필요한 항목이 나와 있습니다.

중요: 사용자 지정 역할에서 이미 허용된 작업을 제거하지 마십시오.

차세대 필수 사용 권한

표 1. 구독 수준에서 사용 권한을 할당할 때 사용자 지정 역할에서 허용해야 하는 Microsoft Azure 리소스 작업
작업
Additional new ones to allow for next-gen
Microsoft.ContainerService/managedClusters/delete
Microsoft.ContainerService/managedClusters/read
Microsoft.ContainerService/managedClusters/write
Microsoft.ContainerService/managedClusters/commandResults/read
Microsoft.ContainerService/managedClusters/runcommand/action
Microsoft.ContainerService/managedClusters/upgradeProfiles/read
Microsoft.ManagedIdentity/userAssignedIdentities/*/assign/action
Microsoft.ManagedIdentity/userAssignedIdentities/*/read
Microsoft.ResourceGraph/*
Microsoft.Resources/subscriptions/read
Microsoft.Network/privateEndpoints/read
Microsoft.Network/privateEndpoints/write
Microsoft.Network/privateEndpoints/delete
Microsoft.Network/locations/availablePrivateEndpointTypes/read
Needed by next-gen which should be already allowed in your first-gen pod's custom role 이러한 중 하나라도 사용자 지정 역할에서 아직 허용되지 않는 경우 이전 작업에 대한 역할을 업데이트할 때 누락된 항목을 포함합니다.
  • Microsoft.Authorization/*/read
  • Microsoft.Compute/*/read
  • Microsoft.Compute/availabilitySets/*
  • Microsoft.Compute/disks/*
  • Microsoft.Compute/galleries/read
  • Microsoft.Compute/galleries/write
  • Microsoft.Compute/galleries/delete
  • Microsoft.Compute/galleries/images/*
  • Microsoft.Compute/galleries/images/versions/*
  • Microsoft.Compute/images/*
  • Microsoft.Compute/locations/*
  • Microsoft.Compute/snapshots/*
  • Microsoft.Compute/virtualMachines/*
  • Microsoft.Compute/virtualMachineScaleSets/*
  • Microsoft.MarketplaceOrdering/offertypes/publishers/offers/plans/agreements/read
  • Microsoft.MarketplaceOrdering/offertypes/publishers/offers/plans/agreements/write
  • Microsoft.Network/loadBalancers/*
  • Microsoft.Network/networkInterfaces/*
  • Microsoft.Network/networkSecurityGroups/*
  • Microsoft.Network/virtualNetworks/read
  • Microsoft.Network/virtualNetworks/write
  • Microsoft.Network/virtualNetworks/checkIpAddressAvailability/read
  • Microsoft.Network/virtualNetworks/subnets/*
  • Microsoft.Network/virtualNetworks/virtualNetworkPeerings/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Resources/subscriptions/resourceGroups/*
  • Microsoft.ResourceHealth/availabilityStatuses/read
  • Microsoft.Storage/*/read
  • Microsoft.Storage/storageAccounts/*

선택적 사용 권한

Microsoft Azure에서 차세대 Horizon Edge를 배포하기 위해 다음 사용 권한이 필수는 아니지만 이러한 선택적 사용 권한에 의존하는 서비스의 기능은 포함하지 않으면 작동하지 않습니다.

표 2. 차세대 기능을 지원하기 위해 구독 수준에서 사용 권한을 할당할 때 사용자 지정 역할에 필요한 Microsoft Azure 리소스 작업
작업 용도
Additional new ones to allow for next-gen
Microsoft.Network/natGateways/join/action
Microsoft.Network/natGateways/read
Microsoft.Network/privateEndpoints/write 
Microsoft.Network/privateEndpoints/read
Microsoft.Network/routeTables/join/action
Microsoft.Network/routeTables/read

마이그레이션에 AKS 배포 유형을 사용하고 AKS 유형 필수 조건의 관리 서브넷에서 NAT 게이트웨이를 사용하도록 선택한 경우 Microsoft.Network/natGateways/join/actionMicrosoft.Network/natGateways/read는 필수 작업입니다. 서비스에는 개인 끝점 리소스를 생성하고 관리 서브넷의 NAT 게이트웨이가 올바르게 구성되어 있는지 검증하기 위해 이러한 사용 권한이 필요합니다.

이러한 전용 끝점 사용 권한은 마이그레이션에 AKS 배포 유형을 사용하는 경우에 필요합니다. 이러한 항목은 Azure Private Link에서 AKS(Horizon Edge)를 마이그레이션하는 경우와 관련이 있습니다.

이러한 경로 테이블 사용 권한은 AKS 배포 유형을 사용하고 AKS 유형 필수 조건의 관리 서브넷에서 경로 테이블을 사용하도록 선택한 경우에 필요합니다. 서비스에는 개인 끝점 리소스를 생성하고 관리 서브넷과 연결된 경로 테이블의 유효성을 검사하여 기본 경로가 올바르게 구성되었는지 확인하기 위해 이러한 사용 권한이 필요합니다.

Needed by next-gen which could be already allowed in your first-gen pod's custom role 이러한 중 하나라도 사용자 지정 역할에서 아직 허용되지 않는 경우 이전 작업에 대한 역할을 업데이트할 때 누락된 항목을 포함합니다.
  • Microsoft.KeyVault/*/read
  • Microsoft.KeyVault/vaults/*
  • Microsoft.KeyVault/vaults/secrets/*
  • Microsoft.Network/publicIPAddresses/*

풀 VM의 디스크 암호화에는 Key Vault 사용 권한이 필요합니다.

공용 IP 주소 사용 권한은 공용 IP 주소가 있는 로드 밸런서 뒤에 Unified Access Gateway 인스턴스가 있는 Horizon Edge 인스턴스를 배포하는 데 필요합니다. 또한 이 사용 권한은 이미지를 배포하고 공용 IP 주소를 추가하는 데 필수입니다.

참고: 이 정보는 편의를 위해 추가되어 마이그레이션 후 차세대 환경을 미리 살펴보기 위해 추가되었습니다. 포드 마이그레이션 전에 사용 권한을 업데이트하는 경우 이 사용 권한을 동시에 포함하는 것이 좋습니다.

이 시나리오는 차세대 환경의 ID 제공자가 Microsoft Entra ID이고 시스템 ID에 사용하려는 경우입니다.

자세한 내용은 차세대 설명서 페이지의 Microsoft Entra ID에 대한 참고를 참조하십시오.