Microsoft Azure의 Horizon Cloud 포드에서 RDSH 팜 또는 VDI 데스크톱 할당을 생성하는 경우 디스크 암호화를 사용하도록 설정할지 여부를 결정할 수 있습니다. 팜 또는 VDI 데스크톱 할당에 디스크 암호화를 사용하도록 설정하면 해당 팜 또는 VDI 데스크톱 할당에 있는 모든 VM(가상 시스템)에 대한 모든 디스크가 암호화됩니다. 팜 또는 VDI 데스크톱 할당을 생성할 때 디스크 암호화를 지정하며, 팜 또는 할당이 생성된 후에는 암호화 상태를 변경할 수 없습니다.
팜 및 VDI 데스크톱 할당을 생성하는 워크플로에는 디스크 암호화를 사용하도록 설정하기 위한 토글이 포함됩니다. 이러한 워크플로의 세부 정보에 대해서는 다음을 참조하십시오.
- 1세대 Horizon Cloud 포드 - 팜 생성 및 관리
- Microsoft Azure에서 단일 포드로 프로비저닝된 전용 VDI 데스크톱 할당 생성
- Microsoft Azure에서 단일 포드로 프로비저닝된 플로팅 VDI 데스크톱 할당 생성
- 이 릴리스에서는 연결된 데이터 디스크가 있는 이미지 VM을 사용하는 플로팅 VDI 할당에 대한 디스크 암호화를 지원하지 않습니다.
디스크 암호화가 성능에 미치는 영향
디스크 암호화 기능은 Microsoft Azure 클라우드의 ADE(Azure Disk Encryption) 기능에 의해 제공됩니다. ADE는 Microsoft Windows의 BitLocker 기능을 사용하여 Microsoft Azure에 있는 VM의 OS 및 데이터 디스크에 대해 암호화를 제공합니다. 일반적으로 BitLocker는 단일 숫자 성능 오버헤드를 발생시키므로 암호화된 VM은 성능에 상당한 영향을 미칠 수 있습니다. VM 암호화의 단점은 데이터, 네트워크 또는 계산 리소스 사용량을 늘려 추가적인 라이센스 또는 구독 비용을 발생시킬 수 있다는 것입니다. VM은 단순히 디스크에서 데이터를 읽고 암호화되지 않은 디스크로 데이터를 쓰지 않고, 반드시 암호를 해독하여 데이터를 읽은 다음 해당 데이터를 암호화하여 암호화된 디스크에 다시 써야 합니다. 이 프로세스에서 Azure의 Key Vault로부터 키를 읽어오며 그로 인해 네트워크 사용량이 증가하며, 암호화를 수행하는 데 CPU 주기가 사용됩니다. Microsoft 설명서에서 Azure 디스크 암호화 FAQ 및 BitLocker 배포 및 관리 FAQ를 참조하십시오.
암호화 Key Vault
포드의 암호화된 팜 및 VDI 데스크톱 할당에 사용되는 Key Vault는 포드 관리자 VM이 포함된 동일한 Microsoft Azure 리소스 그룹에서 생성됩니다. 모든 포드의 암호화된 팜 및 데스크톱 할당에 단일 Key Vault가 사용됩니다. 시스템에서는 첫 번째 암호화된 VM이 연결된 팜 또는 VDI 데스크톱 할당 생성의 결과로 생성될 때 이 암호화 Key Vault를 생성합니다. 첫 번째 암호화된 VM이 생성될 때까지 포드의 리소스 그룹에서 이 Key Vault는 표시되지 않습니다.
시스템에서 UUID 형식의 식별자인 포드 ID를 사용하여 Key Vault 이름을 생성합니다. Microsoft Azure의 이름 지정 규칙을 준수하기 위해 시스템에서는 다음을 수행하여 Key Vault 이름을 설정합니다.
- 포드의 ID를 가져옵니다.
- 맨 앞에 문자
kv를 추가합니다. - 영숫자가 아닌 모든 문자를 제거합니다.
- 최대 길이를 24자로 유지하도록 문자를 자릅니다.
다음 스크린샷에서는 해당 포드에 암호화된 팜이 있을 때 포드 관리자 VM의 리소스 그룹 항목을 보여 줍니다. 이 스크린샷은 포드 배포 중에 생성되는 포드 자체에 대한 Key Vault와 첫 번째 암호화된 VM이 디스크 암호화 지원 팜 또는 VDI 데스크톱 할당 생성의 결과로 생성될 때 생성되는 Key Vault를 보여 줍니다. 이 스크린샷에서 다음을 알 수 있습니다.
- 포드 ID는 포드 관리자 VM 이름에서
e1c80e74-7f6f-434f-bd79-c1e3772f6c5a입니다. - 암호화 Key Vault의 이름은 해당 UUID를 가져온 후 맨 앞에
kv를 추가하고, 하이픈을 제거한 후 이름을 24자로 잘라서 생성된kve1c80e747f6f434fbd79c1입니다.
암호화된 VM 생성 및 삭제
암호화 암호는 암호화된 각 VM에 사용됩니다. VM 인스턴스가 암호화된 팜 또는 VDI 데스크톱 할당에서 생성될 때 Key Vault에 암호가 생성됩니다. VM 인스턴스가 암호화된 팜 또는 VDI 데스크톱 할당에서 삭제되면 Key Vault에서 암호가 제거됩니다.
Horizon Cloud 관리 콘솔을 사용하여 암호화된 팜 또는 VDI 데스크톱 할당을 삭제하면 Key Vault에서 관련 암호가 삭제됩니다. 포드 자체를 삭제하면 암호화된 VM에 대한 Key Vault도 삭제됩니다.
또한 이미지 VM에 데이터 디스크가 있는 경우 해당 이미지 VM을 기준으로 하는 암호화된 팜 VM 또는 데스크톱 VM을 생성하기 위한 추가 시간이 필요합니다. 일반적으로 Windows Server 운영 체제를 실행하는 데이터 디스크가 있는 VM의 디스크 암호화 시간은 데이터 디스크가 있는 Windows 10 또는 Windows 11 VM보다 더 짧습니다. 더 큰 테라바이트 크기의 데이터 디스크가 있는 Windows 10 또는 11 운영 체제의 경우 가장 긴 시간이 필요합니다.
많은 수의 암호화된 VM이 있는 팜 및 VDI 데스크톱 할당에 대한 전원 관리를 스케줄링할 경우
암호화된 VM에서 전원을 켜고 최종 사용자 연결을 수락하도록 VM 준비를 완료하는 데 소요되는 시간은 암호화되지 않은 VM의 경우보다 더 오래 걸립니다. A1 크기와 같이 VM에 작은 수의 코어가 있을 경우 약 12분 정도가 걸릴 수 있습니다. 코어의 수가 더 많은 경우 이 시간은 약 6분으로 단축됩니다.
- 오전 8시 12분까지 125개 VM 준비 완료
- 오전 8시 24분까지 250개 VM 준비 완료
- 오전 8시 36분까지 375개 VM 준비 완료
결과적으로, VDI 데스크톱 할당에 작은 A1 크기의 암호화된 VM이 2,000개 있는 경우 이러한 모든 VM의 전원을 켜고 최종 사용자 연결 준비를 완료하는 데 대략 3시간 30분이 소요됩니다. 오전 8시에 암호화된 해당 A1 크기 데스크톱의 100%가 준비되도록 하는 것이 목표라면 전원 관리 스케줄을 오전 4시 30분에 시작하도록 설정하는 것을 고려해 볼 수 있습니다.
더 큰 크기의 VM을 사용하는 경우 준비하는 데 걸리는 시간이 절반 정도 됩니다. 따라서 A4와 같은 더 큰 크기의 암호화된 VM 2,000개에 대한 암호화된 VDI 데스크톱 할당의 경우 사용자 연결을 수락하도록 VM 100%를 준비하는 데 3시간 30분 대신, 75분이 걸립니다.
마찬가지로, 더 적은 데스크톱이 포함된 암호화된 VDI 데스크톱 할당은 큰 2,000개 풀 크기보다 더 빠르게 준비됩니다. 작은 A1 크기의 500개 암호화된 데스크톱으로 구성된 풀의 경우 100% 준비를 완료하는 데 약 48분이 걸립니다. 500개 VM을 일괄 처리당 125개로 나누면 4개 배치가 되고, 일괄 처리당 12분을 곱하면 48분이 됩니다.
