처음에 Horizon Cloud 포드를 게이트웨이가 없거나 한 가지 유형의 게이트웨이만 있는 Microsoft Azure에 배포한 경우 나중에 [포드 편집] 워크플로를 사용하여 해당 포드에 게이트웨이 구성을 추가할 수 있습니다. 포드의 세부 정보 페이지에서 해당 워크플로를 시작합니다.

팁: 콘솔은 동적입니다. 따라서 해당 워크플로와 포드의 현재 구성 및 전체 환경의 구성에 따라 타당하며 적절한 토글 및 필드만 사용자 인터페이스에서 사용할 수 있습니다.

Microsoft Azure의 Horizon Cloud 포드 소개에 설명된 대로 포드에는 외부 게이트웨이 구성이나 내부 구성 또는 둘 다가 있을 수 있습니다. 포드에 아직 없는 유형을 추가하려면 이 워크플로를 사용할 수 있습니다. 포드를 편집하여 게이트웨이 구성을 추가하면서 동시에, 해당 게이트웨이에 대해 2단계 인증 설정을 지정할 수도 있습니다.

중요: 다음 단계를 사용하여 포드를 수정할 때는 다음 사항에 유의하십시오.
  • 외부 게이트웨이 구성이 원래 설정된 후에는 외부 게이트웨이 로드 밸런서의 IP 설정을 변경할 수 없다는 점을 유의하십시오. 외부 게이트웨이 구성을 추가하는 경우 게이트웨이 로드 밸런서에 대해 공용 IP 주소가 아닌 개인 IP 주소를 사용할 수 있는 옵션이 제공됩니다. 기본값은 공용 IP를 사용하는 것입니다.
  • 포드 구성이 완료될 때까지 시스템에서 포드 구성을 변경하는 동안 다음 제한 사항이 적용됩니다.
    • 포드에 대해 관리 작업을 수행할 수 없습니다.
    • 포드에서 제공하는 데스크톱 또는 원격 애플리케이션에 대해 연결된 세션이 없거나, 연결을 시도하는 최종 사용자는 연결할 수 없습니다.
    • 포드에서 제공하는 연결된 세션이 있는 최종 사용자의 경우 해당 활성 세션의 연결이 해제됩니다. 데이터는 손실되지 않습니다. 구성 변경이 완료된 후에 해당 사용자가 다시 연결할 수 있습니다.

사전 요구 사항

참고: 포드가 고가용성을 사용하도록 설정되어 있고 포드 관리자 VM 중 하나가 오프라인 상태인 경우 시스템은 포드에 게이트웨이를 추가하지 못하게 합니다. 이 메시지는 저장 후 종료를 클릭하면 나타납니다. 게이트웨이를 추가하려면 먼저 Microsoft Azure Portal을 사용하여 오프라인 포드 관리자 VM을 온라인으로 전환해야 합니다.

Microsoft Azure의 기존 포드에 게이트웨이 구성을 추가하는 경우 포드 편집 마법사에서 필드를 완료하려면 Unified Access Gateway 구성에 대한 사전 요구 사항에 설명된 대로 정보를 제공해야 합니다. 또한 게이트웨이를 추가하면서 동시에 2단계 인증 설정도 지정하는 경우 2단계 인증 구성을 사용하여 배포할 때의 전제 조건에 설명된 정보를 제공해야 합니다. 외부 게이트웨이 구성을 추가하며 자체 구독을 사용하려는 경우 구독 정보도 필요하고 해당 게이트웨이에 사용할 VNet이 VNet 요구 사항을 충족하는지 확인해야 합니다. 이러한 VNet 요구 사항에 대해서는 Microsoft Azure에서 필수 가상 네트워크 구성을 참조하십시오.

중요: 인증서 체인에 있는 모든 인증서는 시간 프레임이 유효해야 합니다. Unified Access Gateway VM에서는 모든 중간 인증서를 비롯하여 체인에 있는 모든 인증서의 시간 프레임이 유효해야 합니다. 체인에 만료된 인증서가 있으면 나중에 인증서가 Unified Access Gateway 구성에 업로드될 때 예기치 않은 오류가 발생할 수 있습니다.

프로시저

  1. 콘솔에서 설정 > 용량으로 이동한 후 포드 이름을 클릭하여 세부 정보 페이지를 엽니다.
  2. 포드 세부 정보 페이지에서 편집을 클릭합니다.
  3. 구독 단계에서 외부 게이트웨이 구성을 추가하고 포드와는 별개인 구독을 사용하려면 외부 게이트웨이에 대해 다른 구독 사용을 설정하고 구독 정보를 입력합니다.
  4. 게이트웨이 설정 단계에 도달할 때까지 다음을 클릭합니다.
    이 단계에는 외부 게이트웨이 구성에 대한 섹션과 내부 게이트웨이 구성에 대한 섹션이 제공됩니다. 사용자 인터페이스에는 포드의 현재 구성과 기존의 게이트웨이 설정이 반영됩니다.
  5. 외부 게이트웨이를 추가하려면 외부 UAG를 사용하시겠습니까? 토글을 켜고 외부 UAG 섹션의 필드를 완료합니다.
    옵션 설명
    외부 게이트웨이 사용 여부 포드에 외부 게이트웨이 구성이 있는지 여부를 제어합니다. 외부 구성을 사용하면 회사 네트워크 외부에 있는 사용자가 데스크톱 및 애플리케이션에 액세스할 수 있습니다. 포드에는 이 액세스를 제공하기 위한 Microsoft Azure Load Balancer 리소스와 Unified Access Gateway 인스턴스가 포함되어 있습니다.
    참고: 기본값인 사용 설정으로 그대로 두는 것이 좋습니다.

    이 토글이 해제되면 클라이언트는 포드와 통합된 Workspace ONE Access를 통해 또는 포드 관리자의 로드 밸런서에 직접 연결하거나, 내부 게이트웨이 구성을 통해 연결해야 합니다. 포드와 통합된 Workspace ONE Access를 통해 또는 직접 연결하는 클라이언트의 경우 몇 가지 배포 후 단계가 필요합니다. 이 경우 포드가 배포된 후 Horizon Cloud 포드 관리자 VM의 SSL 인증서 구성의 단계를 따릅니다.

    FQDN 최종 사용자가 서비스에 액세스하는 데 사용하는 필수 FQDN(정규화된 도메인 이름)(예: ourOrg.example.com)을 입력하십시오. 해당 도메인 이름을 소유하고 있어야 하며 해당 FQDN이 유효한지 확인할 수 있는 PEM 형식의 인증서가 있어야 합니다.
    중요: 이 FQDN에는 밑줄이 포함될 수 없습니다. 이 릴리스에서는 FQDN에 밑줄이 포함되어 있는 경우 Unified Access Gateway 인스턴스에 대한 연결이 실패합니다.
    DNS 주소 필요에 따라 Unified Access Gateway에서 이름 확인에 사용할 수 있는 추가 DNS 서버에 대한 주소를 쉼표로 구분하여 입력하십시오. 온 프레미스 RADIUS 서버에서 2단계 인증을 사용하도록 이 외부 Unified Access Gateway 구성을 지정할 때 온 프레미스 RADIUS 서버 이름을 확인할 수 있는 DNS 서버의 주소를 지정합니다.

    포드 배포 전제 조건에서 설명한 대로 DNS 서버를 구독에서 내부적으로 설정하고 외부 이름 확인을 제공하도록 구성해야 합니다. Unified Access Gateway 인스턴스는 기본적으로 해당 DNS 서버를 사용합니다. 이 필드에 주소를 지정하면 배포된 Unified Access Gateway 인스턴스에서는 구독의 가상 네트워크에 구성된 전제 조건 DNS 서버와 함께 이러한 주소를 사용합니다.

    경로 필요에 따라 배포된 Unified Access Gateway 인스턴스가 최종 사용자 액세스에 대한 네트워크 라우팅을 확인하는 데 사용하게 하려는 추가 게이트웨이에 대한 사용자 지정 경로를 지정합니다. 지정된 경로는 Unified Access Gateway에서 2단계 인증을 위해 RADIUS 서버 등에 대한 네트워크 라우팅을 확인할 수 있도록 사용됩니다.

    온 프레미스 RADIUS 서버에서 2단계 인증을 사용하도록 이 포드를 구성할 때 Unified Access Gateway 인스턴스가 RADIUS 서버에 연결하는 데 사용할 수 있는 올바른 경로를 입력해야 합니다. 예를 들어, 10.10.60.20을 IP 주소로 사용하는 온 프레미스 RADIUS 서버가 있는 경우 10.10.60.0/24 및 기본 경로 게이트웨이 주소를 사용자 지정 경로로 입력합니다. 이 환경에 사용하려는 Express Route 또는 VPN 구성에서 기본 경로 게이트웨이 주소를 가져옵니다.

    ipv4-network-address/bits ipv4-gateway-address 형태의 사용자 지정 경로를 쉼표로 구분된 목록(예: 192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2)으로 지정합니다.

    VM 모델 Unified Access Gateway 인스턴스에 사용할 모델을 선택합니다. 이 포드에 지정한 Microsoft Azure 구독이 선택한 모델의 두 VM에 필요한 용량을 제공할 수 있는지 확인해야 합니다.
    인증서 클라이언트가 Microsoft Azure에서 실행되는 Unified Access Gateway 인스턴스 연결을 신뢰할 수 있도록 허용하기 위해 Unified Access Gateway에서 사용할 PEM 형식의 인증서를 업로드하십시오. 인증서는 사용자가 입력한 FQDN에 기반하고 신뢰할 수 있는 CA의 서명을 받아야 합니다. PEM 파일에 전체 인증서 체인과 개인 키, 즉 SSL 인증서 중간 인증서, 루트 CA 인증서, 개인 키가 포함되어야 합니다.

    이 게이트웨이의 Microsoft Load Balancer에 대한 설정을 지정합니다.

    옵션 설명
    공용 IP를 사용하도록 설정하시겠습니까? 이 게이트웨이의 로드 밸런싱 유형을 개인으로 구성할지 또는 공용으로 구성할지를 제어합니다. 이 옵션을 켜면 배포된 Microsoft Azure Load Balancer 리소스가 공용 IP 주소로 구성됩니다. 이 옵션을 끄면 Microsoft Azure Load Balancer 리소스가 개인 IP 주소로 구성됩니다.
    중요: 이 릴리스에서는 나중에 외부 게이트웨이 로드 밸런싱 유형을 공용에서 개인으로 또는 개인에서 공용으로 변경할 수 없습니다. 이 변경 작업을 수행하는 유일한 방법은 배포된 포드에서 게이트웨이 구성을 완전히 삭제한 후 해당 포드를 편집하여 반대 설정으로 다시 추가하는 것입니다.

    이 토글을 사용하지 않도록 설정하면 Horizon FQDN의 공용 IP 필드가 나타납니다.

    Horizon FQDN의 공용 IP 공용 IP를 사용하여 배포된 Microsoft Azure Load Balancer를 구성하지 않기로 선택한 경우에는 DNS에서 매핑하는 IP 주소를 최종 사용자의 Horizon Client가 게이트웨이에 대한 PCoIP 연결에 사용하는 FQDN으로 지정해야 합니다. 배포자는 Unified Access Gateway 구성 설정에서 이 IP 주소를 구성합니다.

    외부 게이트웨이의 네트워킹 설정을 지정합니다.

    옵션 설명
    다른 가상 네트워크 사용 이 토글은 외부 게이트웨이를 포드의 VNet과는 별개인 자체 VNet에 배포할지 여부를 제어합니다.

    다음 행에서는 여러 다른 사례를 설명합니다.

    참고: 마법사의 첫 번째 단계에서 외부 게이트웨이에 대해 다른 구독을 사용하도록 지정한 경우 이 토글은 기본적으로 사용하도록 설정됩니다. 해당 상황에서 게이트웨이에 대한 VNet을 선택해야 합니다.
    다른 가상 네트워크 사용 - 사용 안 함 이 토글을 사용하지 않도록 설정하면 외부 게이트웨이가 포드의 VNet에 배포됩니다. 이 경우 DMZ 서브넷을 지정해야 합니다.
    • DMZ 서브넷 - 포드 설정 마법사 단계에서 기존 서브넷 사용을 사용하도록 설정한 경우 DMZ 서브넷가상 네트워크에 대해 선택한 VNet에서 사용할 수 있는 서브넷이 표시됩니다. 포드의 DMZ 서브넷에 대해 사용하려는 기존 서브넷을 선택합니다.
      중요: 다른 리소스가 연결되지 않은 빈 서브넷을 선택합니다. 서브넷이 비어 있지 않으면 배포 프로세스 또는 포드 작업 동안 예기치 않은 결과가 발생할 수 있습니다.
    • DMZ 서브넷(CIDR) - 이전 마법사 단계에서 기존 서브넷 사용을 사용하지 않도록 설정한 경우 게이트웨이의 Microsoft Azure 공용 Load Balancer에 Unified Access Gateway 인스턴스를 연결하도록 구성할 DMZ(예외 구역) 네트워크에 대한 서브넷(CIDR 표기법)을 입력합니다.
    다른 가상 네트워크 사용 - 사용 이 토글을 사용하도록 설정하면 외부 게이트웨이가 자체 VNet에 배포됩니다. 이 경우 사용할 VNet을 선택한 다음, 3개의 필수 서브넷을 지정해야 합니다. 기존 서브넷 사용 토글을 사용하도록 설정하여 지정된 VNet에 대해 미리 생성한 서브넷 중에서 선택합니다. 그렇지 않은 경우에는 CIDR 표기법으로 서브넷을 지정합니다.
    중요: 다른 리소스가 연결되지 않은 빈 서브넷을 선택합니다. 서브넷이 비어 있지 않으면 배포 프로세스 또는 포드 작업 동안 예기치 않은 결과가 발생할 수 있습니다.

    이 경우 게이트웨이의 VNet 및 포드의 VNet이 피어링됩니다. 가장 좋은 방법은 서브넷을 미리 생성하고 여기에서 CIDR 항목을 사용하지 않는 것입니다. 자체 VNet 또는 포드의 VNet이나 구독과는 별도의 구독을 사용하여 외부 Unified Access Gateway 구성으로 배포할 때의 사전 요구 사항 항목을 참조하십시오.

    • 관리 서브넷 - 게이트웨이의 관리 서브넷에 사용할 서브넷을 지정합니다. 최소 /27의 CIDR이 필요합니다. 이 서브넷에는 서비스 끝점으로 구성된 Microsoft .SQL 서비스가 있어야 합니다.
    • 백엔드 서브넷 - 게이트웨이의 백엔드 서브넷에 사용할 서브넷을 지정합니다. 최소 /27의 CIDR이 필요합니다.
    • 프런트엔드 서브넷 - Unified Access Gateway 인스턴스를 게이트웨이의 Microsoft Azure 공용 Load Balancer에 연결하도록 구성할 프런트엔드 서브넷의 서브넷을 지정합니다.
  6. (선택 사항) 배포 섹션에서 해당 토글을 사용하여 경우에 따라 배포자가 외부 게이트웨이 구성에 대한 리소스를 배포할 기존 리소스 그룹을 선택합니다.
    이 토글은 마법사의 첫 번째 단계에서 외부 게이트웨이에 대해 다른 구독을 사용하도록 지정한 경우에 표시됩니다. 이 토글을 사용하도록 설정하면 리소스 그룹을 검색하고 선택할 수 있는 필드가 나타납니다.
  7. 내부 게이트웨이를 추가하려면 내부 UAG를 사용하시겠습니까? 토글을 켜고 내부 UAG 섹션의 필드를 완료합니다.
    옵션 설명
    내부 게이트웨이 사용 여부 포드에 내부 게이트웨이 구성이 있는지 여부를 제어합니다. 내부 구성은 회사 네트워크 내부에 있는 사용자가 HTML Access(Blast) 연결을 통해 데스크톱 및 애플리케이션에 안심하고 액세스할 수 있도록 합니다. 포드에는 이 액세스를 제공하기 위한 Azure Load Balancer 리소스와 Unified Access Gateway 인스턴스가 포함되어 있습니다. 기본적으로 이 게이트웨이의 로드 밸런싱 유형은 개인입니다. 로드 밸런서는 개인 IP 주소로 구성됩니다.
    FQDN 최종 사용자가 서비스에 액세스하는 데 사용하는 필수 FQDN(정규화된 도메인 이름)(예: ourOrg.example.com)을 입력하십시오. 해당 도메인 이름을 소유하고 있어야 하며 해당 FQDN이 유효한지 확인할 수 있는 PEM 형식의 인증서가 있어야 합니다.

    외부 게이트웨이에 대해 FQDN을 지정한 경우 여기에 동일한 FQDN을 입력해야 합니다.

    중요: 이 FQDN에는 밑줄이 포함될 수 없습니다. 이 릴리스에서는 FQDN에 밑줄이 포함되어 있는 경우 Unified Access Gateway 인스턴스에 대한 연결이 실패합니다.
    DNS 주소 필요에 따라 Unified Access Gateway에서 이름 확인에 사용할 수 있는 추가 DNS 서버에 대한 주소를 쉼표로 구분하여 입력하십시오. 온 프레미스 RADIUS 서버에서 2단계 인증을 사용하도록 이 내부 게이트웨이 구성을 지정할 때 온 프레미스 RADIUS 서버 이름을 확인할 수 있는 DNS 서버의 주소를 지정합니다.

    포드 배포 전제 조건에서 설명한 대로 DNS 서버를 구독에서 내부적으로 설정하고 이름 확인을 제공하도록 구성해야 합니다. Unified Access Gateway 인스턴스는 기본적으로 해당 DNS 서버를 사용합니다. 이 필드에 주소를 지정하면 배포된 Unified Access Gateway 인스턴스에서는 구독의 가상 네트워크에 구성된 전제 조건 DNS 서버와 함께 이러한 주소를 사용합니다.

    경로 필요에 따라 배포된 Unified Access Gateway 인스턴스가 최종 사용자 액세스에 대한 네트워크 라우팅을 확인하는 데 사용하게 하려는 추가 게이트웨이에 대한 사용자 지정 경로를 지정합니다. 지정된 경로는 Unified Access Gateway에서 2단계 인증을 위해 RADIUS 서버 등에 대한 네트워크 라우팅을 확인할 수 있도록 사용됩니다.

    온 프레미스 RADIUS 서버에서 2단계 인증을 사용하도록 이 포드를 구성할 때 Unified Access Gateway 인스턴스가 RADIUS 서버에 연결하는 데 사용할 수 있는 올바른 경로를 입력해야 합니다. 예를 들어, 10.10.60.20을 IP 주소로 사용하는 온 프레미스 RADIUS 서버가 있는 경우 10.10.60.0/24 및 기본 경로 게이트웨이 주소를 사용자 지정 경로로 입력합니다. 이 환경에 사용하려는 Express Route 또는 VPN 구성에서 기본 경로 게이트웨이 주소를 가져옵니다.

    ipv4-network-address/bits ipv4-gateway-address 형태의 사용자 지정 경로를 쉼표로 구분된 목록(예: 192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2)으로 지정합니다.

    VM 모델 Unified Access Gateway 인스턴스에 사용할 모델을 선택합니다. 이 포드에 지정한 Microsoft Azure 구독이 선택한 모델의 두 VM에 필요한 용량을 제공할 수 있는지 확인해야 합니다.
    인증서 클라이언트가 Microsoft Azure에서 실행되는 Unified Access Gateway 인스턴스 연결을 신뢰할 수 있도록 허용하기 위해 Unified Access Gateway에서 사용할 PEM 형식의 인증서를 업로드하십시오. 인증서는 사용자가 입력한 FQDN에 기반하고 신뢰할 수 있는 CA의 서명을 받아야 합니다. PEM 파일에 전체 인증서 체인과 개인 키, 즉 SSL 인증서 중간 인증서, 루트 CA 인증서, 개인 키가 포함되어야 합니다.
  8. 추가하려는 게이트웨이에 대한 섹션에서 RADIUS 2단계 인증을 사용하도록 최종 사용자의 데스크톱을 선택적으로 구성하려는 경우 Horizon Cloud 포드의 게이트웨이에서 2단계 인증 사용의 단계를 따르십시오.
  9. 저장 후 종료를 클릭합니다.
    워크플로 시작을 확인하도록 요청하는 확인 메시지가 표시됩니다.
  10. 를 클릭하여 워크플로를 시작합니다.

결과

시스템이 게이트웨이에 대한 요소 배포를 완료할 때까지 해당 구성 유형에 대한 포드 요약 페이지 섹션에 보류 중 상태가 표시됩니다. 또한 시스템이 게이트웨이 배포 작업을 완료할 때까지 추가적인 포드 편집 워크플로 관련 작업을 수행할 수 없습니다.

워크플로가 완료되면 상태가 준비로 표시되고 로드 밸런서 FQDN이 페이지에 표시됩니다.

참고: Microsoft Azure China에서 포드에 대해 이 워크플로를 실행할 때 프로세스를 완료하는 데 1시간 넘게 소요될 수 있습니다. 프로세스는 지리적 네트워크 문제로 인해 클라우드 제어부에서 바이너리를 다운로드할 때 다운로드 속도가 느려질 수 있습니다.

다음에 수행할 작업

중요: 최종 사용자가 새로 추가된 게이트웨이를 사용하려면 먼저 다음 작업을 완료해야 합니다.
  • 새로 추가된 게이트웨이 구성의 경우 구성의 배포된 로드 밸런서를 배포 마법사에서 입력한 FQDN에 매핑하기 위해 DNS 서버에 CNAME 레코드가 있는지 확인합니다. 자세한 내용은 DNS 서버에서 매핑할 포드의 게이트웨이 로드 밸런서 정보 가져오기의 내용을 참조하십시오.
  • 추가된 게이트웨이에 대해 RADIUS 2단계 인증을 지정한 경우 다음 작업을 수행해야 합니다.
    • RADIUS 설정을 사용하여 외부 게이트웨이를 구성했으며 포드에서 사용되는 것과 동일한 VNet 또는 외부 게이트웨이를 고유한 VNet에 배포한 경우에는 피어링된 VNet 토폴로지 내에서 RADIUS 서버에 연결할 수 없는 경우, 해당 RADIUS 서버가 외부 게이트웨이 로드 밸런서의 IP 주소에서의 클라이언트 연결을 허용하는지 확인하고 허용하도록 구성합니다. 외부 게이트웨이 구성에서 Unified Access Gateway 인스턴스는 해당 로드 밸런서 주소를 사용하여 RADIUS 서버에 연결하려고 합니다. 이 연결을 허용하려면 해당 외부 게이트웨이의 리소스 그룹에 있는 로드 밸런서 리소스의 IP 주소가 RADIUS 서버 구성에서 클라이언트로 지정되어 있는지 확인합니다.
    • 내부 게이트웨이 또는 외부 게이트웨이를 구성했으며 포드에서 사용되는 것과 동일한 VNet 내에서 RADIUS 서버에 연결할 수 있는 경우, RADIUS 서버가 RADIUS 서버와 통신해야 하는 Microsoft Azure의 게이트웨이 리소스 그룹에 생성된 적절한 NIC에서의 연결을 허용하도록 구성합니다. 네트워크 관리자는 RADIUS 서버의 네트워크에서 포드의 Azure Virtual Network 및 서브넷이 표시되는지 확인합니다. RADIUS 서버는 네트워크 관리자가 RADIUS 서버에 대한 네트워크 가시성을 제공한 서브넷에 해당하는 게이트웨이 NIC IP 주소에서의 클라이언트 연결을 허용해야 합니다. Microsoft Azure에 있는 게이트웨이의 리소스 그룹에는 해당 서브넷에 해당하는 4개의 NIC가 있습니다. 이 중 2개의 두 Unified Access Gateway 인스턴스에 대해 현재 활성 상태이고, 나머지 2개는 유휴 상태였다가 포드가 업데이트를 거친 후에 활성화됩니다. 포드 작업이 진행 중인 동안과 각 포드를 업데이트한 후에 게이트웨이와 RADIUS 서버 간 연결을 지원하려면 해당 NIC 4개의 IP 주소가 RADIUS 서버 구성에서 클라이언트로 지정되어 있는지 확인합니다.

    이러한 IP 주소를 가져오는 방법에 대한 내용은 필요한 Horizon Cloud 포드 게이트웨이 정보로 RADIUS 시스템 업데이트를 참조하십시오.