이 체크리스트는 1세대 Horizon Cloud on Microsoft Azure 배포에 필요한 요소를 사용자에게 알리기 위해 제공됩니다. 이 체크리스트에 따르면 포드 배포자를 성공적으로 실행하고 1일차 작업을 완료할 수 있습니다.

주의: 이 정보는 1세대 제어부의 1세대 테넌트 환경에 액세스할 수 있는 경우에만 적용됩니다. KB-92424에 설명된 대로 1세대 제어부는 EOA(사용 종료)에 도달했습니다. 자세한 내용은 해당 문서를 참조하십시오.

2022년 8월부터 Horizon Cloud Service - next-gen이 일반 공급되며 자체 가이드인 "Horizon Control Plane next-gen 사용" 이 제공됩니다.

차세대 또는 1세대 환경을 사용하고 있다는 사실은 환경에 로그인하고 Horizon Universal Console 레이블을 표시한 후 브라우저의 URL 필드에 표시되는 패턴을 통해 알 수 있습니다. 차세대 환경의 경우 콘솔의 URL 주소에 /hcsadmin/과 같은 부분이 포함됩니다. 1세대 콘솔의 URL에 다른 섹션(/horizonadmin/)이 있습니다.

체크리스트 대상

이 체크리스트는 주로 서비스 업데이트(2023년 11월 2일) 이전에 테넌트 환경에 Horizon Cloud on Microsoft Azure 배포가 없었던 Horizon Cloud 고객 계정을 위한 것입니다. 이러한 테넌트를 정리된 환경 또는 그린필드 환경이라고 지칭할 수 있습니다.

여기에 설명된 집합은 주로 운영 배포를 위한 것입니다. 평가판 및 대부분의 개념 증명 배포는 일반적으로 간소화된 개념 증명 배포에서 보여주는 것과 같이 하위 집합으로 처리될 수 있습니다.

새 포드 배포 마법사를 실행하기 전에 아래에 나열된 일부 섹션을 수행해야 합니다.

일부 항목은 배포가 완료되고 실행될 때까지 지연될 수 있습니다.

일부 항목은 Horizon Cloud on Microsoft Azure 배포에 선택한 사항과 관련이 있기 때문에 선택 사항으로 나열됩니다.

예를 들어 Unified Access Gateway 구성을 선택하지 않고 [새 포드] 마법사를 실행하고 나중에 게이트웨이 구성을 추가할 수 있습니다. 이 경우 나중에 Unified Access Gateway 요구 사항을 충족할 필요가 없습니다.

새 포드 마법사를 실행하기 전에 다음을 수행합니다. 포드가 배포된 후 수행할 수 있습니다.
  • 제어부 테넌트 계정
  • Microsoft Azure 구독 항목
  • 네트워킹
  • 포트 및 프로토콜
  • 선택적 Unified Access Gateway 항목
  • Active Directory
  • 선택적 Unified Access Gateway(배포 후 추가됨)
  • Universal Broker
  • DNS 레코드
  • 골든 이미지, 데스크톱, 팜 용량
  • Microsoft Windows 운영 체제 라이센스

몇 가지 주요 고려 사항

평가판 또는 개념 증명 Horizon Cloud on Microsoft Azure 배포를 수행하는 경우 배포에 사용할 Microsoft Azure 구독의 소유자이거나 구독을 소유하는 조직을 대신하여 개념 증명을 수행할 수 있습니다.

구독 소유자는 포드 구독에 적용되는 Microsoft Azure 정책이 포드 구성 요소의 생성을 차단, 거부 또는 제한하지 않는지 확인해야 합니다.

이러한 사항을 확인하는 이유는 포드 배포 프로세스 중에 포드 배포자는 API 호출을 사용하여 [새 포드] 마법사에 지정된 구독 내에서 리소스를 생성하기 때문입니다. 해당 구독에 포드 구성 요소의 생성을 차단, 거부 또는 제한하는 Microsoft Azure 정책이 적용된 경우 배포가 실패하고 VMware 지원 서비스에 지원을 요청해야 합니다.

한 가지 예로, 포드 배포자는 포드 구독에 적용되는 어떤 Microsoft Azure 정책도 Azure 스토리지 계정의 구성 요소 생성을 차단, 거부 또는 제한하지 않도록 요구합니다.

새 포드 마법사를 실행하기 전에 구독 소유자에게 Microsoft Azure 정책 기본 제공 정책 정의가 포드 구성 요소의 생성을 차단, 거부 또는 제한하지 않는지 확인합니다.

Horizon Cloud 제어부 요구 사항

Horizon Cloud 제어부에 로그인하도록 VMware에서 구성된 VMware Customer Connect 계정.

이 계정과 Horizon Cloud 테넌트 계정 간 관계에 대한 개요를 보려면 Horizon 서비스 배포 및 포드 온보딩 페이지를 참조하십시오.

Microsoft Azure 구독 요구 사항

지원되는 Microsoft Azure 환경(Azure 상업용, Azure 중국 또는 Azure Government)의 유효한 Microsoft Azure 구독. 자체 구독을 사용하여 별도의 VNet에 외부 Unified Access Gateway를 배포하는 경우 동일한 Microsoft Azure 환경에 유효한 추가 Microsoft Azure 구독을 획득합니다.
참고: Horizon Cloud는 대다수의 Microsoft Azure 지역을 지원합니다. 현재 지원되지 않는 Microsoft Azure 지역 목록은 VMware 기술 자료 문서, Horizon Cloud Service on Microsoft Azure가 있는 Microsoft Azure 지역(77121)을 참조하십시오.
해당 Microsoft Azure 구독의 유효한 Microsoft Azure 관리 권한으로, Microsoft Azure Portal을 사용하고 포드 배포 준비 단계를 수행하는 데 필요합니다.
포드 구독에 생성된 Horizon Cloud 앱 등록 및 클라이언트 암호 키. 1세대 테넌트 - 포드 구독에서 Horizon Cloud 앱 등록 생성 항목을 참조하십시오.

사용자 또는 조직에서 이 기능을 사용하여 외부 게이트웨이 구성을 포드의 구독과는 별개인 구독에 배포하는 경우 해당 게이트웨이 구독에는 Horizon Cloud 앱 등록 및 클라이언트 비밀 키도 필요합니다.

구독에서 Horizon Cloud 앱 등록을 생성하면 표준 Microsoft Azure 동작을 통해 서비스 주체가 자동으로 생성됩니다.

이 서비스 주체에게 Horizon Cloud가 포드 구독에서 API 호출을 수행하도록 허용하는 역할을 할당합니다.

일반적으로 Contributor 역할은 포드의 구독 수준에서 할당됩니다.

또는 이 역할은 포드 구독 수준에서 할당된 사용자 지정 역할일 수 있습니다.

별도의 구독에서 기존 리소스 그룹에 외부 게이트웨이 구성을 배포하는 경우 해당 게이트웨이 구독의 서비스 주체에 사용자 지정 역할 또는 Contributor 역할을 할당할 수 있습니다.

사용자 또는 조직에서 Horizon Cloud 앱 등록에 사용자 지정 역할을 사용하도록 하려면 사용자 지정 역할이 있어야 하는 작업을 설명하는 조직에서 사용자 지정 역할을 사용하려는 경우 페이지를 참조하십시오.

참고: 역할은 Horizon Cloud 앱 등록의 서비스 주체에 직접 할당되어야 합니다. 이 서비스 주체에 대한 역할의 그룹 기반 할당 사용은 지원되지 않습니다.
각 Microsoft Azure 구독에 등록된 필수 리소스 제공자 리소스 제공자 등록을 참조하십시오.
배포 마법사에서 지정할 구독에 식별된 구독 ID, 디렉토리 ID, 앱 ID 및 키.
구독은 Azure StorageV2 계정 유형의 사용을 허용해야 합니다. 구독의 Microsoft Azure 정책이 Azure StorageV2 계정 유형을 요구하는 컨텐츠의 생성을 제한하거나 거부하지 않는지 확인합니다.
포드 배포 마법사에서 사용자 지정 리소스 태그를 지정하지 않는 한, 구독은 태그가 없는 리소스 그룹의 생성을 허용해야 합니다. 포드 배포 프로세스는 마법사에서 사용자 지정 리소스 태그를 지정하지 않는 한, 포드 구독에 태그 없이 리소스 그룹을 생성합니다.

배포 마법사의 사용자 지정 리소스 태그 기능을 사용하지 않으려는 경우 Microsoft Azure 정책에 따라 대상 구독에 태그가 지정되지 않은 포드 리소스 그룹을 생성할 수 있도록 허용되는지 확인해야 합니다. 마법사에서 사용자 지정 리소스 태그를 지정하지 않으며 Microsoft Azure 구독에 특정 유형의 리소스 태그 요구 사항이 있는 경우, 포드를 해당 구독에 배포하려고 하면 포드 배포가 실패하고 포드를 업데이트하거나 포드에 게이트웨이 구성을 추가할 때 이 작업이 실패합니다. 배포자 생성 리소스 그룹의 이름은 포드 배포자가 생성하는 리소스 그룹을 참조하십시오.

선택 사항입니다. 조직에서 포드 구독과는 별도의 VNet 및 구독에서 외부 Unified Access Gateway에 대해 조직에서 명명한 미리 생성된 특정 리소스 그룹을 사용하도록 지정할 수 있고, 조직에는 조직에서 명명한 미리 생성된 특정 리소스 그룹을 사용해야 하며, 이 기능을 사용하여 외부 Unified Access Gateway를 고유한 명명된 리소스 그룹에 배포할 수 있습니다. 해당 기능을 사용하지 않으면 포드 배포자는 자체 이름 지정 규칙을 사용하여 리소스 그룹을 자동으로 생성합니다.

이 기능을 사용하려면 포드 배포자를 실행하기 전에 해당 구독에 해당 리소스 그룹을 생성해야 합니다. 또한 포드 배포자가 Unified Access Gateway 구성을 해당 리소스 그룹에 배포하고, 구성을 관리하고, 표준 포드 업데이트 프로세스에서 Unified Access Gateway 소프트웨어를 업데이트하려면 필요한 사용 권한이 있는지 확인해야 합니다. 사용자 지정 역할에 포함하는 데 필요한 사용 권한에 대한 자세한 내용은 조직에서 사용자 지정 역할을 사용하려는 경우를 참조하십시오.

Microsoft Azure 용량 요구 사항

다음 표가 Microsoft Azure 용량을 나타내는 경우 수동 설치가 필요하지 않습니다. 명시된 용량을 구독에서 사용할 수 있는 한, 포드 배포자는 설명된 VM을 자동으로 인스턴스화합니다.

VM 제품군을 포함하는 용량의 경우 Microsoft Azure Portal에서는 "할당량" 이라는 용어도 사용합니다.

해당 구독에 배포할 코어 Horizon Cloud 포드 아티팩트에 대한 Microsoft Azure 용량. (선택적 Unified Access Gateway 구성과 예상 데스크톱 및 애플리케이션 워크로드에 필요한 용량은 이 목록에서 제외됩니다.)
포드
  • 포드 관리자 - Standard_D4_v3 2개(해당 지역에 Standard_D4_v3가 없는 경우 Standard_D3_v2 2개)
  • Microsoft Azure Database for PostgreSQL 서비스 - 5세대, 메모리 최적화, vCore 2개, 10GB 스토리지
  • 포드를 사용할 준비가 되면 Microsoft Azure 클라우드의 용량은 가져온 VM, 골든 이미지, 가상 데스크톱, RDSH 팜 및 해당 포드에서 생성한 App Volumes 애플리케이션 캡처 VM을 수용해야 합니다. 아래의 Horizon Cloud 기본 이미지, 데스크톱 및 팜 섹션을 참조하십시오.
  • 지원 요청을 열고 VMware 지원에서 해당 요청을 서비스하는 방법이 지원 관련 Jumpbox VM을 일시적으로 배포하는 것이라고 결정하면 해당 시점에 Standard_F2 모델 VM의 배포를 수용할 수 있는 용량이 있어야 합니다.
선택 사항입니다. 포드에 Unified Access Gateway를 사용하도록 지정할 때 필요한 용량입니다.
참고: A4_v2 VM 모델은 포드에 활성된 세션이 1,000개를 초과하지 않는 것을 알고 있는 PoC(개념 증명), 파일럿 또는 소규모 환경에만 적당합니다.
포드의 동일한 VNet에 있는 외부 Unified Access Gateway
Standard_A4_v2 2개 또는 Standard_F8s_v2 2개
자체 VNet의 외부 Unified Access Gateway
  • 외부 게이트웨이 커넥터 - Standard_A1_v2 1개
  • 외부 Unified Access Gateway - Standard_A4_v2 2개 또는 Standard_F8s_v2 2개
내부 Unified Access Gateway
Standard_A4_v2 2개 또는 Standard_F8s_v2 2개

구독 지역이 Standard_F8s_v2 VM 크기를 제공하지 않는 경우 포드 배포자 마법사는 [게이트웨이 지정] 마법사 단계의 선택기에 해당 옵션을 표시하지 않습니다.

네트워크 요구 사항

필요한 서브넷을 포함하기 위해 해당 주소 공간을 사용하여 대상 Microsoft Azure 지역에서 생성한 Microsoft Azure Vnet(Virtual Network). 1세대 Horizon Cloud - Microsoft Azure에서 필수 가상 네트워크 구성 항목을 참조하십시오.

외부 Unified Access Gateway를 포드의 VNet과는 별개인 고유한 VNet에 배포하는 경우, 필요한 서브넷을 포함하기 위한 해당 주소 공간이 있는 포드 VNet과 동일한 Microsoft Azure 지역에 해당 Unified Access Gateway VNet을 생성하고 두 VNet을 피어링합니다.

서브넷용으로 예약되었으며, CIDR 형식으로 이루어진 포드 VNet의 겹치지 않는 3개의 주소 범위.
  • 관리 서브넷 — 최소 /27
  • VM 서브넷 - 기본(테넌트) — 데스크톱 및 RDS 서버 수 기준, 최소 /27, /24-/22 권장
  • DMZ 서브넷 — 포드 VNet에 Unified Access Gateway가 배포된 경우 최소 /28(선택 사항)
서브넷은 VNet에서 수동으로 생성하거나 배포 동안 Horizon Cloud에서 생성할 수 있습니다. 수동으로 생성된 서브넷을 사용하는 경우 다른 리소스는 연결할 수 없습니다.
팁: 포드를 배포한 후 포드를 편집하여 팜 및 데스크톱 할당의 VM에 사용할 테넌트 서브넷을 추가할 수 있습니다. 추가 테넌트 서브넷은 포드를 배포한 동일한 VNet 또는 피어링된 VNet에 있을 수 있습니다. 자세한 내용은 다중 테넌트 서브넷 사용 개요를 참조하십시오.
외부 Unified Access Gateway를 포드의 VNet과는 별개인 고유한 VNet에 배포하는 경우 서브넷용으로 예약되었으며, CIDR 형식으로 이루어진 Unified Access Gateway VNet의 겹치지 않는 3개의 주소 범위
  • 관리 서브넷 — 최소 /27
  • 백엔드 서브넷 — 데스크톱 및 RDS 서버 수 기준, 최소 /27, /24-/22 권장
  • DMZ(프런트엔드) 서브넷 - 최소 /28
서브넷은 VNet에서 수동으로 생성하거나 배포 동안 Horizon Cloud에서 생성할 수 있습니다. 수동으로 생성된 서브넷을 사용하는 경우 다른 리소스는 연결할 수 없습니다. 이 사용 사례의 경우 일반적으로 서브넷이 수동으로 생성됩니다. 이 사용 사례에서 백엔드 서브넷의 용도는 앞의 표 행에 설명된 VM 서브넷(기본)의 용도와 비슷합니다.
NTP 서버 또는 Horizon Cloud 포드 및 Unified Access Gateway 인스턴스에서 사용 가능하고 액세스할 수 있는 서버
내부 시스템 이름과 외부 이름을 모두 확인할 수 있는 유효한 DNS 서버를 가리키는 VNet(가상 네트워크) DNS 서버를 구성합니다.
포드 및 게이트웨이 배포에 사용하는 VNet의 아웃바운드 인터넷 액세스는 특정 포트 및 프로토콜을 사용하여 특정 DNS 이름을 확인하고 연결해야 합니다. 배포 및 진행 중인 작업에 이러한 과정이 필요합니다. DNS 이름 및 포트 목록은 DNS 요구 사항포트 및 프로토콜 요구 사항을 참조하십시오.
선택 사항입니다. Horizon Cloud 환경의 배포 및 진행 중인 작업 중 사용되는 VNet의 아웃바운드 인터넷 액세스에 필요한 프록시 서버 정보
선택 사항입니다. VNet과 온-프레미스 회사 네트워크 간의 네트워킹을 원할 때 Microsoft Azure VPN/ExpressRoute가 구성되어야 합니다.

포트 및 프로토콜 요구 사항

Horizon Cloud 환경의 포드 온보딩 및 진행 중인 작업에는 특정 포트 및 프로토콜이 필요합니다. 포트 및 프로토콜을 참조하십시오.

Unified Access Gateway 요구 사항

Unified Access Gateway 구성을 선택하지 않고 [새 포드] 마법사를 실행하고 나중에 게이트웨이 구성을 추가할 수 있습니다. 이 경우 나중에 Unified Access Gateway 요구 사항을 충족할 필요가 없습니다. 정의에 따라 외부 Unified Access Gateway는 외부 네트워크의 클라이언트가 가상 데스크톱 및 애플리케이션을 실행할 수 있도록 하고 내부 Unified Access Gateway는 내부 네트워크의 클라이언트가 신뢰할 수 있는 HTML Access(Blast) 연결을 유지하도록 합니다. 인터넷에서 최종 사용자 연결을 지원하고 가상 데스크톱 및 애플리케이션을 실행하려면 포드에 외부 Unified Access Gateway가 구성되어 있어야 합니다.

새 포드 마법사에서 Unified Access Gateway 옵션을 선택하는 경우 마법사는 아래의 특정 항목을 지정합니다.

Unified Access Gateway 구성에 대한 FQDN입니다.
FQDN과 일치하는 PEM 형식의 Unified Access Gateway용 인증서
참고: 이 용도로 제공하는 인증서가 특정 DNS 이름을 참조하는 CRL(인증서 해지 목록) 또는 OCSP(온라인 인증서 상태 프로토콜) 설정을 사용하는 경우 해당 DNS 이름에 대한 VNet의 아웃바운드 인터넷 액세스를 확인하고 연결할 수 있어야 합니다. Unified Access Gateway 게이트웨이 구성에서 제공된 인증서를 구성하는 동안 Unified Access Gateway 소프트웨어는 해당 DNS 이름에 연결하여 인증서의 해지 상태를 확인합니다. 해당 DNS 이름에 연결할 수 없는 경우에는 연결 단계 동안 포드 배포가 실패합니다. 이러한 이름은 인증서를 가져오는 데 사용한 CA에 따라 크게 달라지며 VMware에서 제어되지 않습니다.
최종 사용자가 2단계 인증을 사용하는 경우를 제외한 선택 사항입니다. 이 경우 Horizon Cloud on Microsoft Azure 배포에서 사용하도록 지원되는 인증 시스템 유형 중 하나를 사용하여 2단계 인증에 대해 Unified Access Gateway를 구성해야 합니다.

구성에는 다음이 포함되어야 합니다.

  • 해당 인증 서버의 이름을 확인하기 위한 Unified Access Gateway의 DNS 주소
  • 해당 인증 서버의 네트워크 라우팅을 확인하는 Unified Access Gateway의 경로
참고: 포드를 배포한 후 Universal Broker 설정에서 2단계 인증을 구성한 경우 내부 최종 사용자가 2단계 인증을 건너뛰도록 하려면 일부 추가 구성이 필요합니다. 포드에 내부 Unified Access Gateway 구성이 있는 경우 해당 구성은 이러한 내부 최종 사용자를 위해 가상 데스크톱 및 애플리케이션으로 연결 요청을 라우팅합니다. 포드가 배포되고 Universal Broker가 구성된 후 Universal Broker가 내부 최종 사용자에 대한 2단계 인증 단계를 건너뛰도록 하려면 내부 최종 사용자 트래픽에 해당하는 송신 NAT 주소의 범위를 입력합니다. 이러한 범위를 사용하면 Universal Broker가 2단계 인증을 건너뛰기 위해 외부 최종 사용자와는 구분되는 내부 최종 사용자의 클라이언트 트래픽을 식별할 수 있습니다. 자세한 내용은 설명서 항목 Universal Broker에 대한 내부 네트워크 범위 정의를 참조하십시오.

포드 배포 워크플로

포드 배포 마법사를 시작하기 전에 앞의 항목이 필요합니다. 앞의 항목이 있는지 확인한 후 1세대 테넌트 - Horizon Cloud on Microsoft Azure 배포 - 개략적인 순서의 포드 배포 4단계까지 진행하여 포드를 배포합니다.

그런 다음, 포드가 성공적으로 배포되면 다음 섹션에 설명된 항목이 있는지 확인하여 해당 상위 수준 워크플로에서 나머지 주요 단계를 완료할 수 있습니다.

Active Directory 요구 사항

콘솔의 Active Directory 등록 워크플로는 다음 항목을 요구합니다. 해당 워크플로를 완전히 이해하려면 Horizon Cloud 환경에서 첫 번째 Active Directory 도메인 등록 수행을 참조하십시오.

지원되는 다음 Active Directory 구성 중 하나:
  • VPN/Express 경로를 통해 연결된 온 프레미스 Active Directory 서버
  • Microsoft Azure에 있는 Active Directory 서버
  • Microsoft Azure Active Directory Domain Services
지원되는 Microsoft Windows AD DS(Active Directory Domain Services) 도메인 기능 수준:
  • Microsoft Windows Server 2008 R2
  • Microsoft Windows Server 2012 R2
  • Microsoft Windows Server 2016
이러한 포드를 배포할 때 동일한 Horizon Cloud 고객 계정의 모든 클라우드 연결 포드에는 동일한 Active Directory 도메인 집합이 표시되어야 합니다. 이 요구 사항은 첫 번째 포드 후 Microsoft Azure에 배포하는 추가 포드뿐만 아니라, Horizon Cloud Connector를 사용하여 동일한 고객 계정에 클라우드로 연결된 Horizon 포드에도 적용됩니다.
도메인 바인딩 계정
sAMAccountName 특성이 있는 Active Directory 도메인 바인딩 계정(읽기 권한이 있는 표준 사용자). sAMAccountName 특성은 20자 이하여야 하며 "/ \ [ ] : ; | = , + * ? < > 문자를 포함할 수 없습니다.

계정에는 다음과 같은 사용 권한이 있어야 합니다.

  • 컨텐츠 나열
  • 모든 속성 읽기
  • 사용 권한 읽기
  • tokenGroupsGlobalAndUniversal 읽기(모든 속성 읽기에 내포)

또한 Horizon Cloud 환경에 로그인하기 위한 지속적인 액세스를 보장하도록 계정 암호를 만료되지 않음으로 설정해야 합니다.

  • VMware Horizon 온 프레미스 제공에 익숙한 경우 위 사용 권한은 Horizon 온 프레미스 제공의 보조 자격 증명 계정에 필요한 것과 동일한 사용 권한 집합입니다.
  • 일반적으로 도메인 바인딩 계정에는 Microsoft Active Directory 배포에서 인증된 사용자에게 일반적으로 부여되는 즉시 사용 가능한 기본 읽기 액세스 관련 사용 권한이 부여되어야 합니다. 그러나 조직의 AD 관리자가 일반 사용자에 대해 읽기 액세스 관련 사용 권한을 잠그도록 선택한 경우에는 해당 AD 관리자가 Horizon Cloud에 사용할 도메인 바인딩 계정에 대해 인증된 사용자 표준 기본값을 보존하도록 요청해야 합니다.

참조: Horizon Cloud 작업에 필요한 서비스 계정

보조 도메인 바인딩 계정
기본 도메인 바인딩 계정과 분리되어야 합니다. UI는 두 필드 모두에서 동일한 계정을 다시 사용하지 못하게 합니다.

sAMAccountName 특성이 있는 Active Directory 도메인 바인딩 계정(읽기 권한이 있는 표준 사용자). sAMAccountName 특성은 20자 이하여야 하며 "/ \ [ ] : ; | = , + * ? < > 문자를 포함할 수 없습니다.

계정에는 다음과 같은 사용 권한이 있어야 합니다.

  • 컨텐츠 나열
  • 모든 속성 읽기
  • 사용 권한 읽기
  • tokenGroupsGlobalAndUniversal 읽기(모든 속성 읽기에 내포)

또한 Horizon Cloud 환경에 로그인하기 위한 지속적인 액세스를 보장하도록 계정 암호를 만료되지 않음으로 설정해야 합니다.

  • VMware Horizon 온 프레미스 제공에 익숙한 경우 위 사용 권한은 Horizon 온 프레미스 제공의 보조 자격 증명 계정에 필요한 것과 동일한 사용 권한 집합입니다.
  • 일반적으로 도메인 바인딩 계정에는 Microsoft Active Directory 배포에서 인증된 사용자에게 일반적으로 부여되는 즉시 사용 가능한 기본 읽기 액세스 관련 사용 권한이 부여되어야 합니다. 그러나 조직의 AD 관리자가 일반 사용자에 대해 읽기 액세스 관련 사용 권한을 잠그도록 선택한 경우에는 해당 AD 관리자가 Horizon Cloud에 사용할 도메인 바인딩 계정에 대해 인증된 사용자 표준 기본값을 보존하도록 요청해야 합니다.

참조: Horizon Cloud 작업에 필요한 서비스 계정

도메인 가입 계정
시스템에서 Sysprep 작업을 수행하고 가상 컴퓨터를 도메인에 가입시키는 데 사용할 수 있는 Active Directory 도메인 가입 계정입니다. 일반적으로 이 명시적 용도로 생성하는 새 계정입니다. ( 도메인 가입 사용자 계정)

계정에 sAMAccountName 특성이 있어야 합니다. sAMAccountName 특성은 20자 이하여야 하며 "/ \ [ ] : ; | = , + * ? < > 문자를 포함할 수 없습니다.

계정의 사용자 이름에 공백을 사용하는 것은 현재 지원되지 않습니다.

또한 Horizon Cloud에서 Sysprep 작업을 수행하고 가상 컴퓨터를 도메인에 가입시키도록 계속 지원하려면 계정 암호를 만료되지 않음으로 설정해야 합니다.

이 계정에는 컴퓨터 OU 또는 콘솔의 도메인 가입 UI에 입력할 OU에 적용되는 다음과 같은 Active Directory 권한이 필요합니다.

  • 모든 속성 읽기 - 이 개체만 해당
  • 컴퓨터 개체 생성 - 이 개체 및 모든 하위 개체
  • 컴퓨터 개체 삭제 - 이 개체 및 모든 하위 개체
  • 모든 속성 쓰기 - 하위 컴퓨터 개체
  • 암호 재설정 - 하위 컴퓨터 개체

팜 및 VDI 데스크톱 할당에 사용하려는 대상 OU(조직 구성 단위)와 관련하여 이 계정에는 해당 대상 OU(조직 구성 단위)의 모든 하위 개체에 대한 [모든 속성 쓰기]라는 Active Directory 사용 권한도 필요합니다.

자세한 내용은 Horizon Cloud 작업에 필요한 서비스 계정을 참조하십시오.

Microsoft Active Directory에서 새 OU를 생성할 때 시스템은 새로 생성된 OU 및 모든 하위 개체에 대한 모든 하위 개체 삭제 사용 권한에 Deny를 적용하는 Prevent Accidental Deletion 특성을 자동으로 설정할 수 있습니다. 따라서 도메인 가입 계정에 컴퓨터 개체 삭제 사용 권한을 명시적으로 할당한 경우, 새로 생성된 OU에서 Active Directory가 명시적으로 할당된 컴퓨터 개체 삭제 사용 권한에 재정의를 적용했을 수 있습니다. 실수로 인한 삭제 방지 플래그를 지우면 Active Directory가 모든 하위 개체 삭제 사용 권한에 적용한 Deny를 자동으로 지우지 않을 수 있으므로 새로 추가된 OU의 경우에는 Horizon Cloud 콘솔에서 도메인 가입 계정을 사용하기 전에 OU 및 모든 하위 OU에서 모든 하위 개체 삭제를 위한 Deny 사용 권한 집합을 확인하고 수동으로 지워야 할 수 있습니다.

선택적 보조 도메인 가입 계정
시스템에서 Sysprep 작업을 수행하고 가상 컴퓨터를 도메인에 가입시키는 데 사용할 수 있는 Active Directory 도메인 가입 계정입니다. 일반적으로 이 명시적 용도로 생성하는 새 계정입니다. ( 도메인 가입 사용자 계정)

계정에 sAMAccountName 특성이 있어야 합니다. sAMAccountName 특성은 20자 이하여야 하며 "/ \ [ ] : ; | = , + * ? < > 문자를 포함할 수 없습니다.

계정의 사용자 이름에 공백을 사용하는 것은 현재 지원되지 않습니다.

또한 Horizon Cloud에서 Sysprep 작업을 수행하고 가상 컴퓨터를 도메인에 가입시키도록 계속 지원하려면 계정 암호를 만료되지 않음으로 설정해야 합니다.

이 계정에는 컴퓨터 OU 또는 콘솔의 도메인 가입 UI에 입력할 OU에 적용되는 다음과 같은 Active Directory 권한이 필요합니다.

  • 모든 속성 읽기 - 이 개체만 해당
  • 컴퓨터 개체 생성 - 이 개체 및 모든 하위 개체
  • 컴퓨터 개체 삭제 - 이 개체 및 모든 하위 개체
  • 모든 속성 쓰기 - 하위 컴퓨터 개체
  • 암호 재설정 - 하위 컴퓨터 개체

팜 및 VDI 데스크톱 할당에 사용하려는 대상 OU(조직 구성 단위)와 관련하여 이 계정에는 해당 대상 OU(조직 구성 단위)의 모든 하위 개체에 대한 [모든 속성 쓰기]라는 Active Directory 사용 권한도 필요합니다.

자세한 내용은 Horizon Cloud 작업에 필요한 서비스 계정을 참조하십시오.

Microsoft Active Directory에서 새 OU를 생성할 때 시스템은 새로 생성된 OU 및 모든 하위 개체에 대한 모든 하위 개체 삭제 사용 권한에 Deny를 적용하는 Prevent Accidental Deletion 특성을 자동으로 설정할 수 있습니다. 따라서 도메인 가입 계정에 컴퓨터 개체 삭제 사용 권한을 명시적으로 할당한 경우, 새로 생성된 OU에서 Active Directory가 명시적으로 할당된 컴퓨터 개체 삭제 사용 권한에 재정의를 적용했을 수 있습니다. 실수로 인한 삭제 방지 플래그를 지우면 Active Directory가 모든 하위 개체 삭제 사용 권한에 적용한 Deny를 자동으로 지우지 않을 수 있으므로 새로 추가된 OU의 경우에는 Horizon Cloud 콘솔에서 도메인 가입 계정을 사용하기 전에 OU 및 모든 하위 OU에서 모든 하위 개체 삭제를 위한 Deny 사용 권한 집합을 확인하고 수동으로 지워야 할 수 있습니다.

Active Directory 그룹

  • Horizon Cloud 관리자 — Horizon Cloud 관리자용 Active Directory 보안 그룹. Horizon Cloud 관리 사용자를 포함합니다. 이 그룹에는 Horizon Cloud에서 슈퍼 관리자 역할이 부여됩니다.
  • Horizon Cloud 사용자 — Horizon Cloud에서 가상 데스크톱과 RDS 세션 기반 데스크톱 및 게시된 애플리케이션에 액세스할 수 있는 사용자의 Active Directory 보안 그룹

Horizon Cloud는 관리자 로그인 및 최종 사용자 권한 모두에 대해 Active Directory 보안 그룹 사용을 지원합니다. 중첩된 그룹은 지원됩니다. 그룹 멤버 자격은 tokenGroups 계산 특성 요청을 통해 평가되고, Horizon Cloud에 중첩 깊이 제한은 없지만 Active Directory에 설정된 항목을 지원합니다.

Active Directory 그룹과 Horizon CloudUniversal BrokerWorkspace ONE Access Cloud의 조합에 따른 추가 고려 사항 또는 제한 사항이 있는지 묻는 메시지가 표시되면 해당 질문에 대한 응답은 아니요입니다.

테넌트 환경에 매니페스트 1600.0 이전의 매니페스트를 실행하는 Microsoft Azure의 Horizon Cloud 포드가 있는 경우 도메인 가입 계정 및 보조 도메인 가입 계정은 Horizon Cloud 관리자 그룹 또는 Horizon Cloud에서 슈퍼 관리자 역할이 부여된 Active Directory 그룹에도 있어야 합니다.

가상 데스크톱 및 RDS 세션 기반 데스크톱 또는 게시된 애플리케이션에 대한 Active Directory OU(조직 구성 단위) 또는 단위(OU).

Microsoft Active Directory에서 새 OU를 생성할 때 시스템은 새로 생성된 OU 및 모든 하위 개체에 대한 모든 하위 개체 삭제 사용 권한에 Deny를 적용하는 Prevent Accidental Deletion 특성을 자동으로 설정할 수 있습니다. 따라서 도메인 가입 계정에 컴퓨터 개체 삭제 사용 권한을 명시적으로 할당한 경우, 새로 생성된 OU에서 Active Directory가 명시적으로 할당된 컴퓨터 개체 삭제 사용 권한에 재정의를 적용했을 수 있습니다. 실수로 인한 삭제 방지 플래그를 지우면 Active Directory가 모든 하위 개체 삭제 사용 권한에 적용한 Deny를 자동으로 지우지 않을 수 있으므로 새로 추가된 OU의 경우에는 Horizon Cloud 콘솔에서 도메인 가입 계정을 사용하기 전에 OU 및 모든 하위 OU에서 모든 하위 개체 삭제를 위한 Deny 사용 권한 집합을 확인하고 수동으로 지워야 할 수 있습니다.

LDAPS용으로 구성된 Active Directory 사용하려는 경우 Horizon Cloud 테넌트에서 LDAPS 지원 기능의 사용을 요청해야 합니다. 자세한 내용은 LDAPS용으로 구성된 Active Directory 환경 사용을 참조하십시오.

Universal Broker 구성

Universal Broker의 경우 다음 표에서 원하는 옵션에 해당하는 항목을 충족하는지 확인합니다. 자세한 내용은 Universal Broker 구성을 참조하십시오.

포드에 사용하는 VNet의 아웃바운드 인터넷 액세스는 특정 포트 및 프로토콜을 사용하여 특정 DNS 이름을 확인하고 연결해야 합니다. 이 과정은 Universal Broker 구성 및 진행 중인 작업에 필요합니다. DNS 이름 및 포트 목록은 1세대 테넌트 - Horizon Cloud on Microsoft Azure 배포 - 호스트 이름 확인 요구 사항, DNS 이름1세대 테넌트 - Horizon Cloud 포드 - 포트 및 프로토콜 요구 사항을 참조하십시오.
제공하려는 최종 사용자 연결 유형에 따라 다음을 수행합니다.
  • 인터넷에서 최종 사용자 연결을 수행하고 가상 데스크톱 및 애플리케이션을 실행하려면 포드에 외부 Unified Access Gateway가 구성되어 있어야 합니다.
  • 모든 최종 사용자 연결이 항상 내부 네트워크에서 제공되는 경우 Universal Broker가 해당 내부 최종 사용자 연결에 2단계 인증을 적용하는 경우를 제외하면 포드에 Unified Access Gateway가 필요하지 않습니다.
선택 사항입니다. Universal Broker에서 2단계 인증을 적용하려면 포드의 외부 Unified Access GatewayHorizon Cloud on Microsoft Azure 배포에서 사용하도록 지원되는 인증 시스템 유형 중 하나를 사용하여 2단계 인증용으로 구성해야 합니다.

Universal Broker는 인증 서버와 통신하는 Unified Access Gateway로 인증 요청을 전달한 다음, 응답을 다시 Universal Broker로 전달합니다.

해당 외부 Unified Access Gateway 구성에는 다음 항목이 필요합니다.

  • 인증 서버의 이름을 확인하기 위한 Unified Access Gateway의 DNS 주소
  • 인증 서버에 대한 네트워크 라우팅을 확인하기 위한 Unified Access Gateway의 경로
선택 사항: 최종 사용자가 Universal Broker 서비스에 액세스하는 데 사용할 사용자 지정 FQDN 및 해당 FQDN을 기준으로 하는 인증서 VMware 제공 브로커링 FQDN을 사용하려는 경우 사용자 지정 FQDN이 필요하지 않습니다.

DNS 레코드 요구 사항

포드가 Microsoft Azure 클라우드에 배포되면, 비즈니스 상황 및 활용하려는 기능에 따라, DNS 서버에서 FQDN(정규화된 도메인 이름)을 포드 관련 IP 주소에 매핑하는 레코드를 설정하는 것이 중요합니다. DNS 레코드 매핑에 대한 배경 정보는 Microsoft Cloud Services 설명서 페이지 Azure 클라우드 서비스에 대한 사용자 지정 도메인 이름 구성을 참조하십시오.

참고: 동일한 FQDN을 갖는 외부 및 내부 게이트웨이 구성으로 포드를 배포한 경우 포드 배포 후에, 최종 사용자 클라이언트의 DNS 쿼리 원본 네트워크에 따라 게이트웨이 주소를 외부 게이트웨이 또는 내부 게이트웨이로 확인하도록 분할 DNS(분할 도메인 이름 시스템)를 구성합니다.
사용자 지정 FQDN을 사용하여 테넌트의 Universal Broker를 구성하는 경우
사용자 지정 FQDN을 Universal Broker 구성의 VMware 제공 브로커링 FQDN으로 매핑하는 공용 DNS 레코드를 생성합니다. Universal Broker 구성을 참조하십시오.
포드에 외부 Unified Access Gateway가 있는 경우
외부 게이트웨이 구성의 FQDN과 일치하는 외부 최종 사용자 액세스를 위한 공용 DNS 레코드를 생성합니다. 해당 DNS 레코드는 포드의 외부 Unified Access Gateway 구성에서 Microsoft Azure 외부 로드 밸런서의 FQDN을 가리킵니다.

DNS 레코드 매핑에 대한 배경 정보는 Microsoft 설명서 페이지 Azure 클라우드 서비스의 사용자 지정 도메인 이름 구성을 참조하십시오.

포드에 내부 Unified Access Gateway가 있는 경우
내부 게이트웨이 구성의 FQDN과 일치하는 내부 최종 사용자 액세스를 위한 내부 DNS 레코드를 생성합니다. 해당 DNS 레코드는 포드의 내부 Unified Access Gateway 구성에서 Microsoft Azure 내부 로드 밸런서에 대한 FQDN을 가리킵니다.

Horizon Cloud 골든 이미지, 데스크톱 및 팜

배포된 포드에서 프로비저닝할 골든 이미지, VDI 데스크톱 및 RDS 팜의 유형에 따라, Microsoft Azure 구독에서 다음 요구 사항을 충족해야 합니다.

참고: 계정이 App Volumes 기능을 사용하도록 설정되어 있고 콘솔의 캡처 작업을 사용하여 인벤토리에 App Volumes 애플리케이션을 추가하는 경우 시스템은 해당 캡처 워크플로를 지원하기 위해 두 개의 데스크톱 VM에 대한 데스크톱 할당을 생성합니다. 용량은 캡처 워크플로를 수행하는 동안 해당 데스크톱을 생성할 수 있도록 허용해야 합니다. 환경에 대한 애플리케이션 캡처가 끝나면 해당 데스크톱 할당을 삭제할 수 있습니다.

또한 게스트 운영 체제 Windows 10 및 Windows 11과 관련하여 Microsoft Azure VM 모델 Generation 1 VM, Generation 2 VM 사용에 대한 다음 지원 매트릭스를 참조하십시오.

Azure VM 모델 Windows 10 Windows 11
Generation 1 VM 지원됨 지원되지 않음
Generation 2 VM 지원되지 않음 지원됨
골든 이미지의 기본 — 하나 이상의 지원되는 Microsoft Azure VM 구성입니다.
  • Standard_DS2_v2
  • Standard_NV12s_v3(서비스의 자동화된 [마켓플레이스에서 VM 가져오기] 마법사 또는 수동 가져오기, NVIDIA GRID 그래픽 드라이버용), Standard_NV8as_v4(수동 가져오기 방법 및 AMD 그래픽 드라이버용)
  • Standard_D4s_v3

콘솔의 자동화된 [마켓플레이스에서 VM 가져오기] 마법사를 사용하여 기본 VM을 생성하는 경우 시스템은 기본적으로 위의 VM 크기 중 하나를 자동으로 사용합니다. 시스템의 기본 선택은 내부 설정 및 특정 운영 체제(OS)를 기준으로 합니다.

시스템은 단일 포드 이미지 및 다중 포드 이미지 모두에 표시된 대로 모델을 사용합니다.

[마켓플레이스에서 VM 가져오기] 마법사가 다음을 생성합니다.
  • 비 GPU, 비 Windows 11, Standard_DS2_v2 VM
  • Windows 11을 사용하는 비 GPU, Standard_D4s_v3 VM
  • GPU 지원, Standard_NV12s_v3 VM
VDI 데스크톱 할당의 데스크톱 VM에 대한 데스크톱 모델 선택 - Horizon Cloud 데스크톱 작업과 호환되지 않는 구성을 제외하고 Microsoft Azure 지역에서 사용할 수 있는 모든 Microsoft Azure VM 구성.

VMware 확장 테스트에 따르면 운영 환경에서는 최소 2개의 CPU가 있는 모델을 사용하는 것이 좋습니다.

팜의 RDSH VM에 대한 모델 선택 - Horizon Cloud RDS 팜 작업과 호환되지 않는 구성을 제외하고 Microsoft Azure 지역에서 사용할 수 있는 모든 Microsoft Azure VM 구성.

이 요구 사항은 VM이 Horizon Cloud와 함께 사용될 때 Microsoft Windows 10 Enterprise 다중 세션 또는 Windows 11 Enterprise 다중 세션을 실행하는 VM에도 적용됩니다. Microsoft Azure Virtual Desktop 설명서의 Microsoft Windows Enterprise 다중 세션 FAQ에 설명된 대로 Microsoft Windows Enterprise 다중 세션은 이전에 Microsoft Windows Server 운영 체제에서만 제공할 수 있는 여러 동시 대화형 세션을 허용하는 RDSH(원격 데스크톱 세션 호스트) 유형입니다. RDS 서버에 적용되는 Horizon Cloud 워크플로는 Microsoft Windows Enterprise 다중 세션에 적용될 수 있습니다.

VMware 확장 테스트에 따르면 운영 환경에서는 최소 2개의 CPU가 있는 모델을 사용하는 것이 좋습니다.

IMS(이미지 관리 서비스) 요구 사항

2021년 7월 릴리스부터 Horizon Cloud 포드가 모두 매니페스트 2632 이상을 실행하고 테넌트에서 Universal Broker를 사용하도록 구성한 경우 해당 포드에서 Horizon 이미지 관리 서비스 기능을 사용할 수 있습니다. 서비스에서 제공하는 다중 포드 이미지 기능을 사용하려면 추가 요구 사항이 있습니다. 해당 기능을 사용하기 위한 시스템 요구 사항에 대한 자세한 내용은 Horizon 이미지 관리 서비스 시스템 요구 사항의 Microsoft Azure 섹션을 참조하십시오. 다중 포드 이미지를 사용할 때의 포드 구독 및 해당 구독의 Horizon Cloud 앱 등록과 해당 서비스 주체에 대한 추가 요구 사항에 대한 개요는 다음 표에 설명되어 있습니다.

다중 포드 이미지의 참여 포드에서 사용하는 구독은 단일 Microsoft AAD(Azure Active Directory) 테넌트 내에 있어야 합니다.
다중 포드 이미지의 참여 포드에서 사용하는 Horizon Cloud 앱 등록의 서비스 주체는 다음 요구 사항 중 하나를 충족해야 합니다.
  • 모든 참여 포드 및 구독에서 동일한 서비스 주체가 사용되어야 합니다.
  • 각 서비스 주체는 참여 포드에서 사용하는 모든 Microsoft Azure 구독에 대한 읽기 액세스 권한이 있어야 합니다.

포드가 서로 다른 구독에 있을 가능성이 높기 때문에 읽기 액세스를 위해서는 각 참여 포드의 구독에서 다른 참여 포드 구독을 확인할 수 있어야 합니다. 이러한 가시성은 서비스가 다중 포드 이미지를 생성하기 위해 Azure Shared Image Gallery의 기능을 사용하기 위해 필요합니다.

참여 포드의 서비스 주체가 사용하는 모든 사용자 지정 역할에는 Azure Shared Image Gallery의 사용과 관련된 다음 사용 권한이 있어야 합니다.
  • Microsoft.Compute/galleries/read
  • Microsoft.Compute/galleries/write
  • Microsoft.Compute/galleries/delete
  • Microsoft.Compute/galleries/images/*
  • Microsoft.Compute/galleries/images/versions/*

Microsoft Windows 운영 체제에 대한 라이센싱

항목은 가져온 VM, 골든 이미지, RDSH 지원 팜 VM 및 가상 데스크톱 VM의 Microsoft Windows 운영 체제와 관련이 있습니다. Horizon Cloud에서 지원하는 Microsoft Windows 운영 체제 목록은 VMware 기술 자료 문서 78170VMware 기술 자료 문서 70965를 참조하십시오.

Horizon CloudHorizon Cloud 워크플로를 사용하는 과정에서 사용하는 Microsoft Windows 운영 체제를 사용하는 데 필요한 게스트 운영 체제 라이센싱을 제공하지 않습니다. 고객은 Horizon Cloud 테넌트 환경에서 사용하도록 선택한 Windows 기반 데스크톱 VM 및 RDSH VM을 생성하고, 워크플로를 수행하고, 운영할 수 있도록 권한을 부여하는 유효한 적격 Microsoft 라이센스가 있어야 합니다. 필요한 라이센스는 의도한 용도에 따라 다릅니다.

팁: Windows 11 Enterprise 다중 세션, Windows 10 Enterprise 다중 세션 및 Windows 7 Enterprise용 Microsoft Azure Virtual Desktop 라이센싱에 대한 내용은 Azure Virtual Desktop 가격 책정 Microsoft Azure 설명서 항목을 참조하십시오.
다음 유형 중 하나 이상에 대한 라이센싱: Microsoft Windows 7 Enterprise, Microsoft Windows 10, Microsoft Windows 11(단일 세션, VDI 클라이언트 유형)
Microsoft Windows 10 Enterprise 다중 세션 또는 Microsoft Windows 11 Enterprise 다중 세션에 대한 라이센싱
다음 유형 중 하나 이상에 대한 라이센싱: Microsoft Windows Server 2012 R2, Microsoft Server 2016, Microsoft Server 2019
Microsoft Windows RDS 라이센싱 서버 — 고가용성을 위해 중복 라이센싱 서버 권장
Microsoft RDS 사용자, 디바이스 CAL 또는 둘 모두

참조 아키텍처

참조에 대해서는 아래의 아키텍처 다이어그램을 사용하십시오.

그림 1. 포드에 외부 및 내부 게이트웨이 구성이 모두 있고, 외부 게이트웨이를 포드와 동일한 VNet으로 배포하고, 외부 게이트웨이 VM의 3개 NIC, 내부 게이트웨이 VM의 2개 NIC, 외부 게이트웨이의 로드 밸런서용으로 공용 IP를 설정한 포드의 Horizon Cloud Pod 아키텍처 그림

두 가지 유형의 Unified Access Gateway 구성을 모두 포함하고, 포드와 동일한 VNet에 외부 게이트웨이가 상주하는 포드에 대한 포드 리소스 그룹, VM 및 서브넷을 보려 주는 아키텍처 그림

그림 2. 포드의 VNet과는 별개이며 3개의 NICS가 있는 자체 VNet 및 포드 배포자가 생성한 리소스 그룹에 외부 게이트웨이를 배포할 때 외부 게이트웨이의 아키텍처 요소 그림

포드의 VNet과는 별개인 자체 VNet 및 포드 배포자가 생성한 리소스 그룹에 외부 게이트웨이를 배포할 때 외부 게이트웨이의 아키텍처 요소 그림