이 문서에서는 단일 포드 브로커링을 사용하는 방식에서 Universal Broker로의 테넌트 전환을 스케줄링하고 완료하기 전에 Horizon Cloud 테넌트 환경의 요구 사항을 충족해야 한다고 설명합니다. 또한 Universal Broker에 대한 새 연결 FQDN을 지원하기 위한 계획 및 준비 단계도 안내합니다.

전환 프로세스와 전환 후에 Universal Broker에서 브로커링하는 다중 클라우드 할당의 지속되는 작업을 지원하려면 테넌트 환경이 다음 요구 사항을 충족하는지 확인합니다.

경고: 테넌트의 포드 그룹에 Universal Broker를 이미 사용하는 Horizon 포드와 단일 포드 브로커링을 사용하는 Horizon Cloud 포드가 혼합되어 있다면, 이미 구성된 Universal Broker 설정의 2단계 인증 설정을 Horizon Cloud 포드와 일치시키기 위하여 특별 사항을 고려해야 합니다.
  • Horizon Cloud 포드가 최소 포드 매니페스트에 대한 조건과 테넌트 환경에서 RSA SecurID 옵션을 사용하도록 설정하기 위한 조건을 충족하지 않는 한, 해당 포드는 RADIUS 인증만 지원합니다. 자세한 내용은 Universal Broker 환경에서 2단계 인증을 구현할 때의 모범 사례를 참조하십시오.
  • Horizon Cloud 포드가 외부 게이트웨이에 RSA SecurID를 구성하기 위한 조건을 충족하지 않는 경우 그룹의 모든 포드(Horizon 포드 및 Horizon Cloud 포드)에서 2단계 인증을 사용하려고 하면 각 포드에 RADIUS 2단계 인증이 구성된 외부 Unified Access Gateway가 있어야 합니다.

Horizon Cloud 포드에 대한 요구 사항

Microsoft Azure의 Horizon Cloud 포드가 다음 요구 사항을 충족하는지 확인합니다.

  • Horizon Cloud 포드가 테넌트에 한 개 이상 있습니다. Horizon Cloud 포드가 Microsoft Azure에서 실행되는 포드 관리자 기술을 기준으로 합니다.
  • 전체 테넌트의 Horizon Cloud 포드가 포드 매니페스트 2298.0 이상에서 실행되고 있습니다. 특정 사용 사례에는 다음과 같은 추가 요구 사항이 적용됩니다.
    • Horizon Cloud 테넌트와 Workspace ONE Access 사이에 기존 통합이 있는 경우 모든 포드가 매니페스트 2474.0 이상에서 실행되어야 합니다. 브로커 전환을 완료한 후 Universal Broker가 있는 Horizon Cloud 환경 - 테넌트를 Workspace ONE Access 및 Intelligent Hub 서비스와 통합에 설명된 것처럼 Universal Broker를 사용할 수 있게 통합을 업데이트해야 합니다.
    • 브로커 전환 후 작업 취소 기능 또는 삭제 보호 기능을 사용하려면 모든 Horizon Cloud 포드가 매니페스트 2474.0 이상에서 실행되고 있어야 합니다. 이러한 기능은 포드가 매니페스트 2474.0 이전 버전에서 실행되는 경우 지원되지 않습니다.
    중요: 모든 Horizon Cloud 포드가 온라인이며 정상적인 준비 완료 상태여야 합니다. Universal Broker 서비스는 해당 포드와 통신하고 포드에 대한 몇 가지 구성 단계를 수행하여 전환 프로세스를 완료해야 합니다. 해당 포드가 오프라인 상태이거나 사용할 수 없는 경우 전환을 스케줄링할 수 없습니다. 전환을 스케줄링하지만 나중에 전환이 진행되는 동안 포드가 오프라인 상태로 전환되거나 사용할 수 없게 되는 경우 Universal Broker 설치는 실패합니다.
  • 전환과 동시에 실행되되도록 스케줄링되는 포드 업그레이드는 없습니다.
  • 포드의 위치는 포드 구성 마법사의 메뉴 옵션에서 유효한 위치를 선택하여 구성합니다. 포드 위치를 텍스트 필드에 수동으로 입력하여 구성한 경우 전환이 실패합니다.
    참고: 수동으로 입력한 위치와 관련된 이 문제는 2019년 3월(서비스 릴리스 1.9) 이전에 처음 배포된 포드에서 발생할 가능성이 높습니다. 2019년 3월 릴리스부터는 메뉴에 따라 시스템의 세계 도시 이름 데이터베이스에 있는 값에서 위치가 선택됩니다.

    포드의 구성된 위치로 인해 전환이 실패하는 이 시나리오가 발생할 가능성을 줄이려면 콘솔의 [용량] 페이지로 이동하여 각 Horizon Cloud 포드에 대한 [위치] 열의 값을 검토합니다. [위치] 열의 값이 수동으로 입력한 이름인 것 같으면 포드에서 편집 작업을 사용하고 포드 세부 정보 단계로 이동한 후 위치 필드를 클릭하여 해당 값을 시스템의 도시 이름 값 중 하나로 설정합니다.

  • 전환 워크플로 중에 테넌트에 포드 그룹 내 Horizon 포드의 Universal Broker 설정이 아직 없는 경우 콘솔에서 Universal Broker 설정을 묻는 메시지를 표시합니다. Universal Broker 설정에서 2단계 인증 설정을 구성하려는 경우 각 포드에 외부 Unified Access Gateway 인스턴스가 있어야 하며 해당 인스턴스는 적절한 2단계 인증 유형으로 구성되어야 합니다. (배경 정보는 Universal Broker 환경에서 2단계 인증을 구현할 때의 모범 사례를 참조하십시오.)

    요구 사항은 Horizon Cloud 포드가 외부 게이트웨이에 RSA SecurID 유형을 구성하기 위한 조건을 충족하는지 여부에 따라 달라집니다.

    • Horizon Cloud 포드가 테넌트 환경에서 최소 포드 매니페스트에 대한 조건 및 RSA SecurID 옵션을 사용하도록 설정하기 위한 조건을 충족하는 경우 모든 포드에서 모든 외부 Unified Access Gateway 인스턴스가 동일한 인증 서비스를 사용하도록 구성합니다. 여기에는 [관리됨] 상태에 있는 모든 테넌트 Horizon 포드가 포함됩니다. 결과적으로 일치하는 인증 유형(모두 RADIUS를 사용하거나 모두 RSA SecurID 사용)이 사용됩니다.
    • Horizon Cloud 포드가 외부 게이트웨이에 RSA SecurID를 구성하기 위한 조건을 충족하지 않을 때 그룹의 모든 포드(Horizon 포드 및 Horizon Cloud 포드)에 2단계 인증을 사용하려는 경우 동일한 RADIUS 인증 서비스를 사용하도록 모든 포드의 모든 외부 Unified Access Gateway 인스턴스를 구성해야 합니다. 여기에는 [관리됨] 상태에 있는 모든 테넌트 Horizon 포드가 포함됩니다.
참고: 포드에 내부 Unified Access Gateway 인스턴스만 포함된 경우 Universal Broker는 [브로커] 페이지의 네트워크 범위 탭에 정의된 네트워킹 정책을 재지정하고 모든 사용자를 해당 IP 주소와 관계없이 해당 Unified Access Gateway 인스턴스로 라우팅합니다.

Universal Broker를 지원하기 위한 DNS, 포트 및 프로토콜 요구 사항

다음 요구 사항을 확인합니다.

Universal Broker를 지원하기 위한 FQDN 요구 사항

단일 포드 브로커링을 사용할 경우 최종 사용자는 각 포드의 FQDN(정규화된 도메인 이름)에 개별적으로 연결하여 해당 포드의 할당에 액세스합니다.

Universal Broker로 전환한 후 사용자는 Universal Broker 클라우드 서비스의 단일 FQDN에 연결하여 환경의 모든 사이트에 있는 모든 포드에서 모든 할당에 액세스할 수 있습니다. Universal Broker는 각 사용자 요청을 이행할 수 있는 가장 적절한 포드의 개별 FQDN으로 라우팅합니다.

단일 포드 브로커에서 Universal Broker로의 전환 스케줄링 및 완료에 설명된 것처럼 Universal Broker 구성 설정에서 Universal Broker FQDN을 지정합니다. 올바른 하위 도메인을 표준 VMware 도메인에 접두사로 지정하여 FQDN을 생성하거나 완전히 사용자 지정한 FQDN을 구성할 수 있습니다.

참고: 사용자 지정 FQDN을 구성하도록 선택한 경우 이 FQDN이 회사 또는 조직을 나타내야 한다는 사실에 유의하십시오. 사용자 자신이 사용자 지정 FQDN에 지정된 도메인 이름의 소유자이고, 해당 도메인을 검증하는 인증서를 제공할 수 있고, 사용자 지정 FQDN을 사용하기 위한 적절한 권한이 있어야 합니다. Universal Broker에 대한 사용자 지정 FQDN은 포드 내에 있는 모든 Unified Access Gateway 인스턴스의 FQDN과 다르며 고유해야 합니다.

브로커 전환 계획 및 준비

브로커 전환 중에는 네트워킹 및 할당 워크플로의 핵심 사항이 변경되므로 새 워크플로에 맞게 환경 및 사용자를 준비하는 데 필요한 작업을 수행해야 합니다. 전환 사용 사례에 따른 적절한 준비 및 변경 관리 단계에 대해서는 다음 계획 가이드를 참조하십시오.

전환 사용 사례 계획 및 준비 단계
환경이 단일 포드로 구성되어 있으며 해당 포드의 기존 FQDN을 Universal Broker FQDN으로 사용하려고 합니다.
  1. 전환 스케줄링 프로세스의 구성 단계 동안 포드의 기존 FQDN을 Universal Broker 서비스에 대한 사용자 지정 FQDN으로 지정합니다.
  2. 최종 사용자의 할당 워크로드를 최소한만 중단하게 되는 날짜와 시간 동안 전환을 스케줄링합니다.
  3. 예정된 전환을 최종 사용자에게 알리고 준비하도록 합니다. 전환 시간이 다가오면 작업을 저장하고 활성 연결 세션에서 로그아웃하도록 미리 알립니다.
  4. 전환 직전에 새 IP 주소와 FQDN을 포드에 할당합니다.
  5. 전환이 완료되면 최종 사용자에게 현재 Universal Broker FQDN에 해당하는 포드의 이전 FQDN을 사용하여 연결 세션을 재개할 수 있음을 알립니다.
환경이 여러 포드로 구성되어 있으며 새 FQDN을 Universal Broker FQDN으로 구성하려고 합니다.
  1. 전환 프로세스 전, 도중 및 이후에 따라야 하는 필수 절차를 포함하도록 실행서를 업데이트합니다.
  2. 전환 스케줄링 프로세스의 구성 단계 동안 Universal Broker 서비스에 대한 새 FQDN을 구성합니다.
  3. 최종 사용자의 할당 워크로드를 최소한만 중단하게 되는 날짜와 시간 동안 전환을 스케줄링합니다. 포드 배포의 규모에 따라 사용자를 교육하고 클라이언트 소프트웨어를 재구성할 수 있는 적절한 시간을 허용합니다.
  4. 예정된 전환을 최종 사용자에게 알리고 준비하도록 합니다. 전환 시간이 다가오면 작업을 저장하고 활성 연결 세션에서 로그아웃하도록 미리 알립니다.
  5. 전환 도중 또는 직후에 사용자의 클라이언트 시스템에 있는 Horizon Client를 개별 포드의 FQDN 대신 새 Universal Broker FQDN에 연결하도록 다시 구성합니다.
  6. 최종 사용자에게 이제 새 브로커 연결 FQDN을 사용해야 하며, 결과적으로 환경의 모든 포드에 대한 범용 액세스 권한을 얻을 수 있다는 사실을 알려줍니다.