Horizon Cloud 포드의 게이트웨이 구성에서 RADIUS 2단계 인증 설정을 구성한 후에는 특정 게이트웨이 관련 IP 주소의 클라이언트 요청을 허용하도록 RADIUS 서버의 구성을 지정해야 합니다. 게이트웨이의 Unified Access Gateway 인스턴스는 특정 IP 주소에서 RADIUS 서버와의 통신을 시도합니다. 네트워크 관리자는 RADIUS 서버의 네트워크에서 포드의 Azure VNet(Virtual Network) 및 서브넷이 표시되는지 확인합니다. 네트워크의 표시 여부 및 포드 게이트웨이 유형(외부 또는 내부)을 조합해서 RADIUS 서버 구성에서 허용된 클라이언트로 구성해야 하는 특정 게이트웨이 관련 IP 주소를 결정합니다.

중요:

RADIUS 2단계 인증 시스템에 적합한 설명서를 따라, 이 클라이언트 정보를 구성해야 하는 RADIUS 시스템에서 사용되는 특정 구성 파일의 구문을 확인하십시오. 예를 들어, FreeRADIUS 클라이언트 구성에 대한 FreeRADIUS wiki에 설명된 것처럼, /etc/raddb/clients.conf 파일에는 RADIUS 클라이언트의 정의가 다음과 같이 포함됩니다.

client NAME {
  ipaddr = IPADDRESS
  secret = SECRET
}

이 항목에서는 RADIUS 서버에서 포드의 게이트웨이 간 통신을 사용하도록 설정하고 각 포드 업데이트 후에 해당 통신이 복원되도록 하기 위해 사용해야 하는 Horizon Cloud 포드의 정보를 설명합니다. 시도되는 클라이언트 시스템의 연결을 수락하려면 RADIUS 서버가 해당 클라이언트 시스템의 IPO를 허용 클라이언트로 등록해야 합니다. 여기서 RADIUS 2단계 인증 설정으로 구성된 Horizon Cloud 포드 게이트웨이의 경우 해당 클라이언트 시스템은 해당 게이트웨이의 Unified Access Gateway 인스턴스입니다. 일반적으로 네트워크 관리자는 RADIUS 서버가 VNet 및 배포된 포드에 연결된 서브넷에 대해 갖는 네트워크 액세스 권한을 결정합니다. RADIUS 서버에 연결할 때 Unified Access Gateway 인스턴스가 사용하는 특정 소스 IP는 다음에 따라 좌우됩니다.

  • 게이트웨이 구성이 내부 또는 외부인지
  • 네트워크 관리자가 포드 VNet 내부에서 액세스할 수 있도록 RADIUS 서버를 구성했는지 또는 RADIUS 서버가 VNet 외부에 있는지
  • RADIUS 서버를 포드의 VNet 내에서 액세스할 수 있으며, 해당 VNet의 포드 서브넷에서 네트워크 관리자가 RADIUS 서버에 대한 액세스 권한을 구성한 경우
내부 게이트웨이 구성
내부 게이트웨이 구성용으로 배포된 Unified Access Gateway 인스턴스는 해당 NIC의 개인 IP 주소를 사용하여 해당 RADIUS 서버에 연결합니다. RADIUS 서버는 NIC의 개인 IP 주소에 해당하는 소스 IP 주소에서 들어오는 요청을 볼 수 있습니다. 네트워크 관리자가 RADIUS 서버에 포드 관리에서 액세스할 수 있는지 또는 테넌트 서브넷의 IP 주소 범위에서 액세스할 수 있는지를 구성했습니다. Microsoft Azure에 있는 내부 게이트웨이의 리소스 그룹에는 해당 서브넷에 해당하는 4개의 NIC가 있습니다. 이 중 2개의 두 Unified Access Gateway 인스턴스에 대해 현재 활성 상태이고, 나머지 2개는 유휴 상태였다가 포드가 업데이트를 거친 후에 활성화됩니다. 포드 작업을 진행하는 동안과 각 포드를 업데이트한 후에 게이트웨이와 RADIUS 서버 간의 통신 연결을 지원하려면 RADIUS 서버에 표시되는 서브넷에 해당하는 Microsoft Azure 내부 게이트웨이 리소스 그룹의 4개 NIC IP 주소에서의 클라이언트 연결을 허용하도록 RADIUS 서버를 구성해야 합니다. 클라이언트로 포드 게이트웨이 NIC의 IP 주소를 요청에 대한 허용 항목으로 추가하는 방법 항목을 참조하십시오.
VNet 내에서 액세스할 수 있는 외부 게이트웨이 구성 및 RADIUS 서버
네트워크 관리자가 포드와 동일한 VNet에서 RADIUS 서버에 액세스할 수 있도록 구성한 경우 Unified Access Gateway 인스턴스는 해당 NIC의 개인 IP 주소를 사용하여 해당 RADIUS 서버에 연결합니다. RADIUS 서버는 NIC의 개인 IP 주소에 해당하는 소스 IP 주소에서 들어오는 요청을 볼 수 있습니다. 네트워크 관리자가 RADIUS 서버에 포드 관리, 테넌트 또는 DMZ 서브넷의 IP 주소 범위 중에서 어떤 방식으로 액세스할 수 있는지를 구성했습니다. Microsoft Azure에 있는 외부 게이트웨이의 리소스 그룹에는 해당 서브넷에 해당하는 4개의 NIC가 있습니다. 이 중 2개의 두 Unified Access Gateway 인스턴스에 대해 현재 활성 상태이고, 나머지 2개는 유휴 상태였다가 포드가 업데이트를 거친 후에 활성화됩니다. 포드 작업을 진행하는 동안과 각 포드를 업데이트한 후에 게이트웨이와 RADIUS 서버 간의 통신 연결을 지원하려면 RADIUS 서버에 표시되는 서브넷에 해당하는 Microsoft Azure 외부 게이트웨이 리소스 그룹의 4개 NIC IP 주소에서의 클라이언트 연결을 허용하도록 RADIUS 서버를 구성해야 합니다. 클라이언트로 포드 게이트웨이 NIC의 IP 주소를 요청에 대한 허용 항목으로 추가하는 방법 항목을 참조하십시오.
포드의 VNet 외부에서 액세스할 수 있는 외부 게이트웨이 구성 및 RADIUS 서버
네트워크 관리자가 포드의 VNet 외부에서 RADIUS 서버를 구성한 경우 외부 게이트웨이 구성의 Unified Access Gateway 인스턴스는 해당 RADIUS 서버에 연결하기 위해 외부 게이트웨이의 Azure Load Balancer 리소스의 IP 주소를 사용합니다. 외부 게이트웨이의 로드 밸런서 리소스 IP 주소에서 클라이언트 연결을 허용하도록 RADIUS 서버를 구성해야 합니다. 포드 외부 게이트웨이의 로드 밸런서 IP 주소를 요청에 대해 허용 클라이언트로 추가하는 방법 항목을 참조하십시오.

클라이언트로 포드 게이트웨이 NIC의 IP 주소를 요청에 대한 허용 항목으로 추가하는 방법

포드가 배포되면 포드 배포자가 Microsoft Azure 구독에서 게이트웨이 리소스 그룹에 NIC 집합을 생성합니다. 다음 스크린샷에는 내부 게이트웨이 유형 및 외부 게이트웨이 유형에 대한 NIC의 예가 나와 있습니다. 이 스크린샷에서는 포드 ID가 모자이크 처리되어 있지만 배포자가 해당 이름에 -management, -tenant-dmz를 사용해서 NIC 이름을 지정하는 패턴을 확인할 수 있습니다. 포드 리소스 그룹의 이름은 Microsoft Azure에 배포된 포드에 대해 생성된 리소스 그룹을 참조하십시오.


포드 배포자가 내부 게이트웨이 구성에 대해 생성하는 NIC 및 VM의 스크린샷.


포드 배포자가 외부 게이트웨이 구성에 대해 생성하는 NIC 및 VM의 스크린샷.

네트워크에서 RADIUS 서버가 표시되는 서브넷에 해당하는 RADIUS 2단계 인증을 사용하도록 설정한 게이트웨이 구성에 대해 NIC의 IP 주소를 가져와야 하고 해당 IP 주소를 RADIUS 서버 구성에서 허용 클라이언트로 지정해야 합니다.

중요: 업데이트 후 RADIUS 서버와 포드 간의 연결이 중단되는 것을 방지하려면 RADIUS 설정으로 구성한 각 게이트웨이에 대해 아래에 설명된 4개 NIC의 IP 주소가 RADIUS 서버의 구성에서 허용 클라이언트로 지정되어 있어야 합니다. 진행 중인 포드 작업 중에는 NIC 중 절반만 활성화되지만 포드가 업데이트될 때 전환됩니다. 포드 업데이트 후에 NIC의 다른 절반은 활성화되고 업데이트 전 NIC는 다음번 포드 업데이트 때까지 유휴 상태를 유지했다가 업데이트 후에 다시 전환됩니다. 활성 및 유휴 상태와 관계없이 모든 NIC IP 주소를 RADIUS 서버 구성에 추가하지는 않은 경우 RADIUS 서버는 포드 업데이트 후의 현재 활성 상태인 NIC 집합의 연결 요청을 거부하며, 해당 게이트웨이를 사용하는 최종 사용자의 로그인 프로세스는 중단됩니다.

RADIUS 서버 구성에 추가할 게이트웨이의 NIC IP 주소를 가져오려면 다음을 수행합니다.

  1. 네트워크 관리자로부터 포드의 서브넷에 RADIUS 서버(관리, 테넌트 또는 dmz)가 표시되는지에 대한 정보를 획득합니다.
  2. 구독한 Microsoft Azure Portal에 로그인하고 게이트웨이의 리소스 그룹을 찾습니다.
  3. 네트워크 관리자가 RADIUS 서버가 표시된다고 확인한 서브넷에 해당하는 NIC의 경우, 각 NIC를 클릭하고 해당 IP 주소를 복사합니다.
  4. 해당 NIC IP 주소를 RADIUS 서버 클라이언트 구성 파일에 추가하여 해당 NIC가 해당 게이트웨이의 설정에서 구성한 RADIUS 서버에 대해 허용되도록 합니다.

    다음 줄은 네트워크 관리자가 동일한 VNet 내에 포트의 테넌트 서브넷에 액세스할 수 있도록 RADIUS 서버를 구성한 경우, 내부 게이트웨이의 포드 테넌트 서브넷에 IP 주소가 있는 NIC의 클라이언트 구성 줄 일부를 보여 줍니다. 이 포드를 배포할 때 포드의 테넌트 서브넷이 192.168.25.0/22로 구성되었습니다. 포드가 처음 배포되면 NIC1 및 NIC2가 활성화 상태이고 NIC3 및 NIC4가 유휴 상태가 됩니다. 그러나 이 4개의 NIC를 RADIUS 서버 구성에 모두 추가하여 포드 업데이트 후 NIC3 및 NIC4가 활성 상태로 전환되고 NIC1 및 NIC2가 유휴 상태가 되면 RADIUS 서버가 이 게이트웨이의 연결을 계속 수락합니다. 사용하는 RADIUS 서버에 맞게 적절한 구문을 사용해야 합니다.

    client UAGTENANTNIC1 {
      ipaddr = 192.168.25.5
      secret = myradiussecret
    }
    client UAGTENANTNIC2 {
      ipaddr = 192.168.25.6
      secret = myradiussecret
    }
    client UAGTENANTNIC3 {
      ipaddr = 192.168.25.7
      secret = myradiussecret
    }
    client UAGTENANTNIC4 {
      ipaddr = 192.168.25.8
      secret = myradiussecret
    }

포드 외부 게이트웨이의 로드 밸런서 IP 주소를 요청에 대해 허용 클라이언트로 추가하는 방법

RADIUS 서버가 포드의 VNet 외부에 있는 경우 해당 RADIUS 서버를 지정한 외부 게이트웨이에서, 외부 게이트웨이의 Azure Load Balancer 리소스 공용 IP 주소를 해당 RADIUS 서버 구성에 허용 클라이언트로 추가해야 합니다. Microsoft Azure Portal을 사용하고 게이트웨이 리소스 그룹에서 로드 밸런서 리소스를 찾아 해당 로드 밸런서 IP 주소를 획득할 수 있습니다.

  1. 구독한 Microsoft Azure Portal에 로그인하고 게이트웨이의 리소스 그룹을 찾습니다.
  2. 게이트웨이의 리소스 그룹에서 로드 밸런서 리소스를 클릭합니다. 이름 패턴은 vmw-hcs-podID-uag-lb를 따릅니다. 해당 IP 주소가 해당 개요 정보에 나열됩니다.
  3. 게이트웨이의 로드 밸런서 IP 주소를 RADIUS 서버 클라이언트 구성 파일에 추가하여 게이트웨이의 로드 밸런서가 해당 게이트웨이의 설정에서 구성한 RADIUS 서버의 허용 클라이언트가 되도록 합니다. 다음 줄은 예제입니다. 사용하는 RADIUS 서버에 맞게 적절한 구문을 사용해야 합니다.
    client MYPODUAGEXTLBIP {
      ipaddr = 52.191.236.223
      secret = myradiussecret
    }