운영 시스템의 경우 Horizon Cloud 포드 관리자 VM에서 SSL 인증서를 구성하는 주요 사용 사례는 Workspace ONE Access를 포드와 통합하는 것입니다. 이 경우 이미 Unified Access Gateway 구성이 있는 포드에도 포드 관리자 VM의 SSL 인증서가 있어야 Workspace ONE Access Connector와의 신뢰할 수 있는 연결을 지원할 수 있습니다.

Microsoft Azure의 Horizon Cloud 포드와 Workspace ONE Access를 통합하는 작업의 주요 부분은 Workspace ONE Access에서 설정한 Horizon Cloud 가상 애플리케이션 수집을 동기화하여 포드 프로비저닝된 데스크톱 및 원격 애플리케이션을 사용하도록 Workspace ONE Access Connector를 구성하는 것입니다. Workspace ONE Access Connector는 해당 동기화를 수행하기 위해 포드 관리자 VM과 통신해야 합니다. 따라서 포드는 Workspace ONE Access Connector에서 신뢰할 수 있도록 유효한 SSL 인증서를 제공해야 합니다. 이러한 통합에 대한 자세한 내용은 Microsoft Azure의 Horizon Cloud 포드를 Workspace ONE Access에 통합을 참조하십시오.

포드 세부 정보 페이지의 포드 관리자 로드 밸런서 IP 주소 필드와 SSL 인증서 요구 사항 간 관계

포드 관리자 VM에서 구성할 수 있는 신뢰할 수 있는 유효한 SSL 인증서를 생성하는 데 필요한 주요 정보는 포드 관리자 로드 밸런서 IP 레이블 옆의 포드 세부 정보 페이지에 표시되는 숫자 IP 주소입니다. 다음 스크린샷은 포드 관리자 로드 밸런서 IP 레이블이 배포된 포드 세부 정보 페이지에 표시되는 위치를 보여 줍니다.


포드 세부 정보 페이지의 포드 관리자 로드 밸런서 IP 레이블 위치

신뢰할 수 있는 SSL 인증서는 DNS 서버에서 해당 필드에 표시되는 IP 주소에 매핑되는 FQDN(정규화된 도메인 이름)을 기준으로 해야 합니다. 이 매핑은 해당 FQDN을 사용하도록 구성된 최종 사용자 클라이언트가 해당 포드에 대해 신뢰할 수 있는 연결을 수행하도록 하는 데 필요합니다.

이제 해당 숫자 IP 주소는 어떤 항목에 연결되어 있습니까? 포드 테넌트 서브넷의 개인 IP 주소입니다. IP 주소가 연결된 포드 리소스는 포드에 매니페스트 버전 1600 이상이 있는지 또는 1600 이전의 매니페스트 버전이 있는지에 따라 달라집니다.

매니페스트 버전 1600 이상 포드

매니페스트가 1600 이상인 포드의 경우, 레이블 포드 관리자 로드 밸런서 IP에 표시되는 숫자 테넌트 IP 주소는 포드 Azure Load Balancer 리소스의 숫자 개인 IP 주소입니다. 매니페스트가 1600 이상인 포드 아키텍처에는 포드 테넌트 서브넷의 개인 IP 주소가 있는 포드 Azure Load Balancer가 포함되어 있습니다. 이 포드 Azure Load Balancer는 포드 관리자 VM에 대한 SSL 통신 지점입니다. 설명된 대로 해당 포드에 대해 고가용성 기능을 사용하도록 설정하면 해당 Azure Load Balancer 뒤에 2개의 관리자 VM이 있습니다. 이 경우 관리 콘솔에서 인증서 업로드를 클릭하여 SSL 인증서 파일을 업로드하면 Horizon Cloud가 활성 관리자 VM에서 구성을 수행한 다음, 인증서 구성을 다른 관리자 VM에 복사합니다. 포드에 고가용성 기능을 사용하도록 설정하지 않으면 해당 Azure Load Balancer 뒤에 단일 관리자 VM이 있습니다. 콘솔에서 인증서 업로드를 클릭하면 Horizon Cloud는 해당 관리자 VM에서 인증서를 구성합니다.

다음 스크린샷은 포드 Azure Load Balancer의 개인 IP 주소가 이전 예제 콘솔의 포드 세부 정보 페이지에 있는 해당 포드 관리자 로드 밸런서 IP 레이블 옆에 표시되는 것과 동일한 IP 주소인지를 보여 줍니다.


구독에 있는 포드 Azure Load Balancer와 할당된 개인 IP 주소를 보여 주는 스크린샷

매니페스트 버전이 1600 이전인 포드

매니페스트 버전이 1600 이전인 포드에서 레이블 포드 관리자 로드 밸런서 IP에 표시된 숫자 테넌트 IP 주소는 포드 관리자 VM의 테넌트 NIC에 연결된 포드 테넌트 서브넷의 숫자 개인 IP 주소입니다. 이전 매니페스트 버전의 포드 아키텍처에는 단일 포드 관리자 VM이 있습니다. 테넌트 서브넷의 관리자 VM 개인 IP 주소는 해당 관리자 VM에 대한 SSL 통신 지점입니다. 콘솔에서 인증서 업로드를 클릭하면 Horizon Cloud는 해당 관리자 VM에서 인증서를 구성합니다.

포드 관리자 VM에서 SSL 인증서를 구성하는 방법

관리 콘솔을 사용하여 포드 관리자 VM에서 SSL 인증서를 구성합니다. 자세한 단계는 Horizon Cloud 포드 관리자 VM의 SSL 인증서 구성을 참조하십시오. 이러한 단계를 실행하기 전 사전 요구 사항에 대해서는 Horizon Cloud 관리 콘솔의 인증서 업로드 워크플로를 실행하여 Horizon Cloud 포드 관리자 VM에서 SSL 인증서를 구성하기 위한 전제 조건을 참조하십시오.

포드 관리자 VM에 구성된 SSL 인증서가 필요한 예외적 시나리오

이러한 시나리오는 개념 증명에 적합할 수 있지만 운영 환경에서는 사용하지 않는 것이 좋습니다. 운영 체제의 경우 포드 프로비저닝된 리소스에 대한 최종 사용자 연결을 지원하는 내부 및 외부 게이트웨이 구성의 Horizon Cloud 기능을 활용해야 합니다. VPN을 통한 회사 네트워크 내부의 최종 사용자 연결의 경우 포드에 내부 Unified Access Gateway 구성이 있어야 합니다. 인터넷을 통한 최종 사용자 연결의 경우 포드에 외부 Unified Access Gateway 구성이 있어야 합니다. 포드에 이러한 구성을 추가하는 단계는 배포된 Horizon Cloud 포드에 게이트웨이 구성 추가를 참조하십시오.

표 1. 포드 관리자 VM에 구성된 SSL 인증서가 필요한 예외적 시나리오
시나리오 설명
외부 게이트웨이 구성만 사용하고 내부 Unified Access Gateway 구성없이 배포된 포드 이 시나리오에서 인터넷을 사용하는 최종 사용자가 배포된 외부 게이트웨이 구성을 통해 포드 프로비저닝된 리소스에 도달하는 동안 회사 네트워크 내부의 사용자가 포드 프로비저닝된 리소스에 도달하기 위해 사용하는 병렬 내부 게이트웨이 구성은 없습니다. 내부 Unified Access Gateway 구성이 없으면 해당 내부 사용자는 포드에 직접 연결하도록 클라이언트 연결을 가리키는 것입니다. 포드에 직접 연결한다는 것은 클라이언트에서 포드 세부 정보 페이지에서 포드 관리자 로드 밸런서 IP 레이블 옆에 표시되는 IP 주소 또는 DNS의 표시된 IP 주소에 매핑하는 FQDN을 가리키도록 하는 것을 의미합니다.
게이트웨이 구성없이 배포된 포드(Unified Access Gateway VM 없음)

이 시나리오에서 포드 프로비저닝된 리소스에 대한 모든 최종 사용자 연결은 운영 체제별 Horizon Clients 중 하나를 사용하여 포드에 직접 연결해야 합니다. 포드에 직접 연결한다는 것은 클라이언트에서 포드 세부 정보 페이지의 포드 관리자 로드 밸런서 IP 레이블 옆에 표시되는 IP 주소 또는 DNS의 표시된 IP 주소에 매핑하는 FQDN을 가리키도록 하는 것을 의미합니다.

주의: 운영 체제별 Horizon Clients 중 하나를 사용하는 경우와 달리, 브라우저에서 포드에 직접 가리키면 해당 브라우저 연결은 콘솔에서 인증서 업로드 작업을 사용하여 포드 관리자 VM에서 SSL 인증서를 구성한 경우에도 신뢰할 수 없는 연결로 작동합니다. 포드의 FQDN을 브라우저에 직접 입력하면 HTML Access(Blast) 연결 유형을 사용하여 브라우저가 연결되고, HTML Access(Blast)의 작동 방식 때문에 브라우저는 포드에 직접 연결할 때 신뢰할 수 없는 일반 인증서 오류를 표시합니다. 신뢰할 수 없는 인증서 오류가 표시되지 않도록 하려면 해당 브라우저 연결이 회사 네트워크 외부에 있는 최종 사용자의 외부 게이트웨이 구성과 회사 네트워크 내부에 있는 최종 사용자의 내부 게이트웨이 구성 중에서 적절한 게이트웨이 구성을 통과하도록 포드에 구성된 게이트웨이가 필요합니다. 인터넷에 FQDN을 노출하지 않으려면 내부 게이트웨이 구성을 사용합니다. 내부 게이트웨이 구성은 회사 네트워크의 내부에 있는 최종 사용자가 해당 연결로 가리킬 수 있는 Microsoft 내부 로드 밸런서를 사용합니다. 배포된 Horizon Cloud 포드에 게이트웨이 구성 추가 항목을 참조하십시오.