이 검사 목록은 Horizon Cloud에서 Microsoft Azure로 포드를 배포하기 위해 Microsoft Azure 구독 및 네트워크를 준비하는 과정을 안내합니다. 아래 설명에 따라 이러한 요구 사항을 충족하면 새로운 포드 배포를 완료하고 포드를 배포한 후 완료해야 하는 주요 작업을 성공적으로 완료할 수 있습니다.

이 체크리스트는 주로 2021년 3월 서비스 릴리스 날짜 이전에 클라우드 연결 환경에서 테넌트 환경으로 배포된 포드가 없는 Horizon Cloud 고객 계정을 위한 것입니다. 이러한 환경을 완전히 새로운 환경 또는 그린필드 환경이라고도 할 수 있습니다. 클라우드부 바이너리 및 새 포드 매니페스트 버전이 2021년 3월 분기별 서비스 릴리스 날짜에 클라우드부에 푸시된 후에 발생하는 새로운 포드 배포는 새 포드 매니페스트 버전을 사용하여 배포됩니다. 성공적인 포드 배포에 대한 요구 사항은 기본적으로 포드 매니페스트 버전에 따라 결정됩니다. 운영 클라우드부에 있는 클라우드부 바이너리는 성공적인 배포에 대한 요구 사항도 확인할 수 있습니다.

아래에 설명된 일부 요구 사항은 포드 배포 자체에 필요합니다. 포드 배포 후에는 운영 테넌트 환경을 가져오고, 최종 사용자에게 포드 프로비저닝된 데스크톱 및 애플리케이션을 제공하기 위해 수행되는 주요 작업을 위한 몇 가지 요구 사항이 필요합니다.

포드 배포 자체에 대한 요구 사항
포드 배포 후 운영 환경에 대한 요구 사항
중요: 포드 배포 마법사를 실행하고 포드 배포를 시작하기 전에 아래 요구 사항 외에, 다음 핵심 사항을 알고 있어야 합니다.
  • 2020년 7월 서비스 릴리스부터 완전히 새로운 환경에서는 하나 이상의 게이트웨이 구성을 사용하여 배포하려면 새 포드가 필요합니다. 고객 계정이 2020년 7월 릴리스 이전에 생성되었지만 첫 번째 포드를 아직 배포하지 않은 경우, 첫 번째 포드를 배포하려면 포드 배포 시 하나 이상의 게이트웨이 구성을 구성해야 합니다.
  • 포드를 성공적으로 배포하려면 사용자 또는 IT 팀이 Microsoft Azure 환경에서 설정한 Microsoft Azure 정책 중 어느 것도 포드 구성 요소의 생성을 차단, 거부 또는 제한하지 않아야 합니다. 또한 Microsoft Azure 정책 기본 제공 정책 정의가 포드 구성 요소의 생성을 차단, 거부 또는 제한하지 않는지 확인해야 합니다. 예를 들어, 사용자와 IT 팀은 Azure Storage 계정에서 구성 요소의 생성을 차단, 거부 또는 제한하는 Microsoft Azure 정책이 없음을 확인해야 합니다. Azure 정책에 대한 자세한 내용은 Azure 정책 설명서를 참조하십시오.
  • Azure Storage 계정은 포드 배포자가 Azure StorageV1StorageV2 계정 유형을 사용하도록 허용해야 합니다. Microsoft Azure 정책이 Azure StorageV1StorageV2 계정 유형을 요구하는 컨텐츠의 생성을 제한하거나 거부하지 않는지 확인합니다.
  • 포드 및 게이트웨이 배포 프로세스의 일부로, 배포 마법사에서 사용자 지정 리소스 태그를 지정하지 않는 한, Horizon Cloud는 배포 프로세스를 오케스트레이션하는 임시 Jumpbox에 대해 생성된 초기 리소스 그룹을 포함하여 Microsoft Azure 구독에 태그가 없는 RG(리소스 그룹)를 생성합니다. 2020년 10월 8일, 배포 마법사에는 배포자 생성 리소스 그룹에 적용하려는 사용자 지정 리소스 태그를 지정할 수 있는 기능이 있습니다. 사용자 지정 리소스 태그를 지정하지 않으며 Microsoft Azure 구독에 특정 유형의 리소스 태그 요구 사항이 있는 경우, 포드를 해당 구독에 배포하려고 하면 포드 배포가 실패하고 포드를 업데이트하거나 포드에 게이트웨이 구성을 추가할 때 이 작업이 실패합니다. 배포 마법사의 사용자 지정 리소스 태그 기능을 사용하지 않으려는 경우 Microsoft Azure 정책에 따라 대상 구독에 태그가 지정되지 않은 포드 리소스 그룹을 생성할 수 있도록 허용되는지 확인해야 합니다. 배포자가 생성하는 RG 목록은 관리 가이드의 Microsoft Azure에 배포된 포드에 대해 생성되는 리소스 그룹 항목을 참조하십시오.
  • 이러한 포드를 배포할 때 모든 클라우드 연결 포드에는 동일한 Active Directory 도메인 집합이 표시되어야 합니다.

Horizon Cloud 제어부 요구 사항

Horizon Cloud 제어부에 로그인하기 위한 활성 My VMware 계정

Microsoft Azure 구독 요구 사항

지원되는 Microsoft Azure 환경(Azure 상업용, Azure 중국 또는 Azure Government)의 유효한 Microsoft Azure 구독. 자체 구독을 사용하여 별도의 VNet에 외부 Unified Access Gateway를 배포하는 경우 동일한 Microsoft Azure 환경에 유효한 추가 Microsoft Azure 구독이 필요합니다.
참고: Horizon Cloud는 대다수의 Microsoft Azure 지역을 지원합니다. 현재 지원되지 않는 Microsoft Azure 지역 목록은 VMware 기술 자료 문서, Horizon Cloud Service on Microsoft Azure가 있는 Microsoft Azure 지역(77121)을 참조하십시오.
해당 Microsoft Azure 구독의 유효한 Microsoft Azure 관리 권한. 자세한 내용은 Microsoft 설명서의 Azure Portal에서 역할 기반 액세스 제어 시작을 참조하십시오.
예상 데스크톱 및 애플리케이션 워크로드 외에 Horizon Cloud 인프라에 사용할 수 있는 최소 Microsoft Azure 용량. 이 용량을 사용할 수 있게 되면 Horizon Cloud는 이러한 VM을 자동으로 배포하며 수동 설치는 필요하지 않습니다.
  • Jumpbox(임시)라고도 하는 포드 배포 엔진 - Standard_F2 1개
  • 고가용성을 사용하도록 설정한 포드/포드 관리자 - Standard_D4_v3 2개(해당 지역에 Standard_D4_v3가 없는 경우 Standard_D3_v2 2개)
  • 고가용성을 사용하도록 설정하지 않은 포드/포드 관리자 - Standard_D4_v3 1개(해당 지역에 Standard_D4_v3이 없는 경우 Standard_D3_v2 2개)
  • Microsoft Azure Database for PostgreSQL 서비스 - 5세대, 메모리 최적화, vCore 2개, 10GB 스토리지
  • 외부 Unified Access Gateway(내부 게이트웨이를 지정하지 않는 경우 선택 사항) - Standard_A4_v2 2개 또는 Standard_F8s_v2 2개
  • 내부 Unified Access Gateway(외부 게이트웨이를 지정하지 않는 경우 선택 사항) - Standard_A4_v2 2개 또는 Standard_F8s_v2 2개
참고:
  • 2020년 7월 서비스 릴리스부터 완전히 새로운 환경에서는 하나 이상의 게이트웨이 구성을 사용하여 배포하려면 새 포드가 필요합니다. 고객 계정이 2020년 7월 릴리스 이전에 생성되었지만 첫 번째 포드를 아직 배포하지 않은 경우, 첫 번째 포드를 배포하려면 포드 배포 시 하나 이상의 게이트웨이 구성을 구성해야 합니다. 따라서 사용 가능한 최소 Microsoft Azure 용량은 이전 목록에 설명된 대로 게이트웨이 구성 중 하나에 대한 VM을 수용해야 합니다.
  • 구독 지역이 Standard_F8s_v2 VM 크기를 제공하지 않는 경우 포드 배포자 마법사는 [게이트웨이 지정] 마법사 단계의 선택기에 해당 옵션을 표시하지 않습니다.
  • 포드 배포가 완료된 후 Microsoft Azure 클라우드의 용량이 가져온 VM, 해당 포드에서 생성한 골든 이미지, 가상 데스크톱 및 RDSH 팜을 수용해야 합니다. 계정이 App Volumes 기능을 사용하도록 설정되어 있고 콘솔의 애플리케이션 캡처 워크플로를 사용하는 경우 용량은 해당 캡처 프로세스에 사용되는 시스템 생성 데스크톱 할당의 VM도 수용해야 합니다. 아래의 Horizon Cloud 기본 이미지, 데스크톱 및 팜 섹션을 참조하십시오.
  • 테넌트 계정이 Horizon 인프라 모니터링 기능을 사용하도록 설정되어 있고 포드를 배포한 후에 포드에서 해당 기능을 사용하도록 설정하려는 경우 Horizon Edge 가상 장치 배포 시점에도 사용자 용량으로 충분해야 합니다. 아래의 Horizon 인프라 모니터링 요구 사항 섹션을 참조하십시오.

외부 Unified Access Gateway는 포드와 동일한 구독을 사용하거나 다른 구독을 사용하여 고유한 Microsoft Azure VNet(Virtual Network)에 선택적으로 배포할 수 있습니다. 외부 Unified Access Gateway를 자체 VNet에 배포하는 경우 외부 Unified Access Gateway가 배포되는 구독에 다음 용량이 필요합니다.

  • 게이트웨이 Jumpbox(임시)라고도 하는 외부 Unified Access Gateway 배포 엔진 - Standard_F2 1개
  • 외부 게이트웨이 커넥터 - Standard_A1_v2 1개
  • 외부 Unified Access Gateway - Standard_A4_v2 2개 또는 Standard_F8s_v2 2개
각 구독에 대해 생성되는 서비스 주체 및 인증 키. 자세한 내용은 포털을 사용하여 리소스에 액세스할 수 있는 Azure Active Directory 애플리케이션 및 서비스 주체를 생성을 참조하십시오. 애플리케이션 등록을 생성하여 Horizon Cloud 포드 배포자에 필요한 서비스 주체 생성 항목도 참조하십시오.
각 서비스 주체에는 Horizon Cloud가 구독에서 수행해야 하는 작업을 허용하는 적절한 역할이 할당되어야 합니다. 이 역할은 구독 수준에서 허용되는 필수 작업이 있는 참가자 역할 또는 사용자 지정 역할 중 하나일 수 있습니다. 별도 구독의 기존 리소스 그룹에 외부 게이트웨이 구성을 배포하는 경우 해당 구독의 서비스 주체에 대해 보다 세분화된 사용 권한을 설정할 수 있습니다. 필요한 역할 작업에 대한 추가 세부 정보는 Microsoft Azure 구독에서 Horizon Cloud에 필요한 작업의 내용을 참조하십시오.
중요: 역할은 Horizon Cloud에 사용되는 서비스 주체에게 직접 할당해야 합니다. 역할이 그룹에 할당되고 서비스 주체가 해당 그룹의 멤버인 서비스 주체에 대해 역할의 그룹 기반 할당을 사용하는 것은 지원되지 않습니다.
각 Microsoft Azure 구독에 등록된 필수 리소스 제공자 애플리케이션 등록을 생성하여 Horizon Cloud Pod 배포자에 필요한 서비스 주체 생성에서 8 b단계를 참조하십시오.
식별된 Microsoft Azure 구독 ID, 디렉토리 ID, 애플리케이션 ID 및 키
자체 구독을 사용하여 별도의 VNet에 외부 Unified Access Gateway를 배포하며 조직에서 사용자가 제어하고 포드 배포자에서 생성하지 않은 리소스 그룹을 사용해야 하는 경우 이 기능을 사용하여 외부 Unified Access Gateway를 고유한 명명된 리소스 그룹에 배포합니다. 이 기능을 사용하려면 포드 배포자를 실행하기 전에 해당 구독에 해당 리소스 그룹을 생성해야 합니다. 또한 포드 배포자가 Unified Access Gateway 구성을 해당 리소스 그룹에 배포하고, 구성을 관리하고, 표준 포드 업데이트 프로세스에서 Unified Access Gateway 소프트웨어를 업데이트하려면 필요한 사용 권한이 있는지 확인해야 합니다. 필요한 권한에 대한 자세한 내용은 Microsoft Azure 구독에서 Horizon Cloud에 필요한 작업을 참조하십시오.

네트워크 요구 사항

필요한 서브넷을 포함하기 위해 해당하는 주소 공간을 사용하여 원하는 Microsoft Azure 지역에서 생성한 Microsoft Azure VNet(Virtual Network). 자세한 내용은 Azure Virtual Network를 참조하십시오.

외부 Unified Access Gateway를 포드의 VNet과는 별개인 고유한 VNet에 배포하는 경우, 필요한 서브넷을 포함하기 위한 해당 주소 공간이 있는 포드 VNet과 동일한 Microsoft Azure 지역에 해당 Unified Access Gateway VNet을 생성하고 두 VNet을 피어링합니다.

서브넷용으로 예약되었으며, CIDR 형식으로 이루어진 포드 VNet의 겹치지 않는 3개의 주소 범위.
  • 관리 서브넷 — 최소 /27
  • VM 서브넷 - 기본(테넌트) — 데스크톱 및 RDS 서버 수 기준, 최소 /27, /24-/22 권장
  • DMZ 서브넷 — 포드 VNet에 Unified Access Gateway가 배포된 경우 최소 /28(선택 사항)
서브넷은 VNet에서 수동으로 생성하거나 배포 동안 Horizon Cloud에서 생성할 수 있습니다. 수동으로 생성된 서브넷을 사용하는 경우 다른 리소스는 연결할 수 없습니다.
참고: 매니페스트 2298.0 이상에서 새로 배포된 포드의 경우, 포드를 배포한 후 포드를 편집하여 팜 및 데스크톱 할당의 VM에 사용할 추가 테넌트 서브넷을 추가할 수 있습니다. 추가 테넌트 서브넷은 포드를 배포한 동일한 VNet 또는 피어링된 VNet에 있을 수 있습니다. 자세한 내용은 " 관리 가이드" 를 참조하십시오.
외부 Unified Access Gateway를 포드의 VNet과는 별개인 고유한 VNet에 배포하는 경우 서브넷용으로 예약되었으며, CIDR 형식으로 이루어진 Unified Access Gateway VNet의 겹치지 않는 3개의 주소 범위
  • 관리 서브넷 — 최소 /27
  • 백엔드 서브넷 — 데스크톱 및 RDS 서버 수 기준, 최소 /27, /24-/22 권장
  • DMZ(프런트엔드) 서브넷 - 최소 /28
서브넷은 VNet에서 수동으로 생성하거나 배포 동안 Horizon Cloud에서 생성할 수 있습니다. 수동으로 생성된 서브넷을 사용하는 경우 다른 리소스는 연결할 수 없습니다. 이 사용 사례의 경우 일반적으로 서브넷이 수동으로 생성됩니다. 이 사용 사례에서 백엔드 서브넷의 용도는 앞의 표 행에 설명된 VM 서브넷(기본)의 용도와 비슷합니다.
NTP 서버 또는 Horizon Cloud 포드 및 Unified Access Gateway 인스턴스에서 사용 가능하고 액세스할 수 있는 서버
내부 시스템 이름과 외부 이름을 모두 확인할 수 있는 유효한 DNS 서버를 가리키는 VNet(가상 네트워크) DNS 서버를 구성합니다.
포드 및 게이트웨이 배포에 사용하는 VNet의 아웃바운드 인터넷 액세스는 특정 포트 및 프로토콜을 사용하여 특정 DNS 이름을 확인하고 연결해야 합니다. 배포 및 진행 중인 작업에 이러한 과정이 필요합니다. DNS 이름 및 포트 목록은 Microsoft의 Horizon Cloud 포드 및 관련 서비스 기능에 대한 DNS 요구 사항2019년 9월 및 이후 릴리스의 매니페스트 수준에서 Horizon Cloud 포드에 대한 포트 및 프로토콜 요구 사항을 참조하십시오.
Horizon Cloud 환경의 배포 및 진행 중인 작업 동안 사용되는 VNet의 아웃바운드 인터넷 액세스에 필요한 경우 프록시 서버 정보(선택 사항)
Microsoft Azure VPN/Express 경로가 구성됨(선택 사항)
외부 사용자 액세스, 내부 사용자 액세스 또는 둘 다를 위한 FQDN(Unified Access Gateway를 사용하여 포드를 배포할 때 필요).
참고: 2020년 12월 15일 클라우드부 새로 고침부터 포드 외부 게이트웨이와 내부 게이트웨이 구성에 대해 FQDN을 다르게 할 수 있습니다. 2020년 12월 15일 이전에는 시스템에서 매니페스트 2298 이상의 포드에 대해 동일한 FQDN을 유지했습니다. 이제 포드 게이트웨이에서 다른 FQDN을 사용할지 동일한 FQDN을 사용할지 선택할 수 있습니다. 두 게이트웨이에서 동일한 FQDN을 사용하려는 경우 포드 배포 후에, 최종 사용자 클라이언트의 DNS 쿼리 원본 네트워크에 따라 게이트웨이 주소를 외부 게이트웨이 또는 내부 게이트웨이로 확인하도록 분할 DNS(분할 도메인 이름 시스템)를 구성합니다. 그런 후 최종 사용자 클라이언트에서 사용된 것과 동일한 FQDN은 클라이언트가 인터넷에 있을 때 외부 게이트웨이로 라우팅하고, 클라이언트가 내부 네트워크에 있을 때 내부 게이트웨이로 라우팅할 수 있습니다.
FQDN과 일치하는 PEM 형식의 Unified Access Gateway 인증 또는 인증서(Unified Access Gateway에 포드를 배포할 때 필요).
참고: 이 용도로 제공하는 인증서가 특정 DNS 이름을 참조하는 CRL(인증서 해지 목록) 또는 OCSP(온라인 인증서 상태 프로토콜) 설정을 사용하는 경우 해당 DNS 이름에 대한 VNet의 아웃바운드 인터넷 액세스를 확인하고 연결할 수 있어야 합니다. Unified Access Gateway 게이트웨이 구성에서 제공된 인증서를 구성하는 동안 Unified Access Gateway 소프트웨어는 해당 DNS 이름에 연결하여 인증서의 해지 상태를 확인합니다. 해당 DNS 이름에 연결할 수 없는 경우에는 연결 단계 동안 포드 배포가 실패합니다. 이러한 이름은 인증서를 가져오는 데 사용한 CA에 따라 크게 달라지며 VMware에서 제어되지 않습니다.
온 프레미스 RADIUS 인증 서버에 대한 2단계 인증(선택 사항)
  • 인증 서버의 이름을 확인하기 위한 Unified Access Gateway의 DNS 주소
  • 인증 서버에 대한 네트워크 라우팅을 확인하기 위한 Unified Access Gateway의 경로
참고: 포드를 배포한 후 Universal Broker를 사용하여 데스크톱을 최종 사용자에게 브로커링하도록 환경을 설정하려는 경우 내부 네트워크에서 최종 사용자에 대한 2단계 인증을 건너뛰려면 일부 추가 구성이 필요합니다. 포드의 내부 Unified Access Gateway 인스턴스는 이러한 내부 최종 사용자를 위한 가상 데스크톱 및 애플리케이션으로 연결 요청을 라우팅합니다. 포드에 내부 게이트웨이 구성을 사용하고, Universal Broker를 사용하도록 환경을 설정할 계획이며, 외부 최종 사용자에는 2단계 인증을 사용하되 내부 최종 사용자에는 2단계 인증을 건너뛰려면, 포드를 배포한 후 2단계 인증을 건너뛸 내부 최종 사용자를 외부 최종 사용자와 구분하는 데 사용할 Universal Broker의 IP 범위를 입력할 수 있습니다. 자세한 내용은 Horizon Cloud 테넌트 환경에서 브로커링 방법 및 최종 사용자 할당 설정 설명서 항목 및 해당 하위 항목을 참조하십시오.

포트 및 프로토콜 요구 사항

Horizon Cloud 환경의 포드 온보딩 및 진행 중인 작업에는 특정 포트 및 프로토콜이 필요합니다. 2019년 9월 및 이후 릴리스의 매니페스트 수준에서 Horizon Cloud 포드에 대한 포트 및 프로토콜 요구 사항 항목을 참조하십시오.

포드 배포 워크플로

포드 배포 마법사를 시작하기 전에 앞의 항목이 필요합니다. 앞의 항목이 있는지 확인한 후 Microsoft Azure의 Horizon 포드를 Horizon Cloud 테넌트 환경에 첫 번째 포드로 추가하기 위한 개략적인 워크플로의 포드 배포 4단계까지 진행하여 포드를 배포합니다.

그런 다음, 포드가 성공적으로 배포되면 다음 섹션에 설명된 항목이 있는지 확인하여 해당 상위 수준 워크플로에서 나머지 주요 단계를 완료할 수 있습니다.

Active Directory 요구 사항

Active Directory 등록 워크플로를 수행하려면 다음 항목이 필요합니다. 해당 워크플로를 이해하려면 Horizon Cloud 환경에서 첫 번째 Active Directory 도메인 등록 수행을 참조하십시오.

지원되는 다음 Active Directory 구성 중 하나:
  • VPN/Express 경로를 통해 연결된 온 프레미스 Active Directory 서버
  • Microsoft Azure에 있는 Active Directory 서버
  • Microsoft Azure Active Directory Domain Services
지원되는 Microsoft Windows AD DS(Active Directory Domain Services) 도메인 기능 수준:
  • Microsoft Windows Server 2008 R2
  • Microsoft Windows Server 2012 R2
  • Microsoft Windows Server 2016
이러한 포드를 배포할 때 동일한 Horizon Cloud 고객 계정의 모든 클라우드 연결 포드에는 동일한 Active Directory 도메인 집합이 표시되어야 합니다. 이 요구 사항은 첫 번째 포드 후 Microsoft Azure에 배포하는 추가 포드뿐만 아니라, Horizon Cloud Connector를 사용하여 동일한 고객 계정에 클라우드로 연결된 Horizon 포드에도 적용됩니다. Horizon Cloud가 있는 VMware Horizon 포드 - 요구 사항 체크리스트 - 2021년 3월 서비스 릴리스부터 포드 연결에 맞게 업데이트됨에서 이러한 Horizon 포드에 대한 체크 리스트를 볼 수 있습니다.
중요: 이 계정에 필요한 주요 특성에 대해서는 Horizon Cloud의 작업에 필요한 서비스 계정을 읽어보십시오.

도메인 바인딩 계정

  • sAMAccountName 특성이 있는 Active Directory 도메인 바인딩 계정(읽기 권한이 있는 표준 사용자). sAMAccountName 특성은 20자 이하여야 하며 "/ \ [ ] : ; | = , + * ? < > 문자를 포함할 수 없습니다.
  • 계정에는 다음과 같은 사용 권한이 있어야 합니다.
    • 컨텐츠 나열
    • 모든 속성 읽기
    • 사용 권한 읽기
    • tokenGroupsGlobalAndUniversal 읽기(모든 속성 읽기에 내포)
    참고:
    • VMware Horizon 온 프레미스 제공에 익숙한 경우 위 사용 권한은 이 Horizon 온 프레미스 설명서 항목에 설명된 것과 같이 해당하는 온 프레미스 제공의 보조 자격 증명 계정에 필요한 것과 동일한 사용 권한 집합입니다.
    • 일반적으로 도메인 바인딩 계정에는 Microsoft Active Directory 배포에서 인증된 사용자에게 일반적으로 부여되는 즉시 사용 가능한 기본 읽기 액세스 관련 사용 권한이 부여되어야 합니다. 그러나 조직의 AD 관리자가 일반 사용자에 대해 읽기 액세스 관련 사용 권한을 잠그도록 선택한 경우에는 해당 AD 관리자가 Horizon Cloud에 사용할 도메인 바인딩 계정에 대해 인증된 사용자 표준 기본값을 보존하도록 요청해야 합니다.

또한 Horizon Cloud 환경에 로그인하기 위한 지속적인 액세스를 보장하도록 계정 암호를 만료되지 않음으로 설정해야 합니다.

추가 세부 정보 및 요구 사항에 대한 자세한 내용은 Horizon Cloud 작업에 필요한 서비스 계정을 참조하십시오.

중요: 이 계정에 필요한 주요 특성에 대해서는 Horizon Cloud의 작업에 필요한 서비스 계정을 읽어보십시오.

보조 도메인 바인딩 계정 — 위와 동일한 계정을 사용할 수 없음

  • sAMAccountName 특성이 있는 Active Directory 도메인 바인딩 계정(읽기 권한이 있는 표준 사용자). sAMAccountName 특성은 20자 이하여야 하며 "/ \ [ ] : ; | = , + * ? < > 문자를 포함할 수 없습니다.
  • 계정에는 다음과 같은 사용 권한이 있어야 합니다.
    • 컨텐츠 나열
    • 모든 속성 읽기
    • 사용 권한 읽기
    • tokenGroupsGlobalAndUniversal 읽기(모든 속성 읽기에 내포)
    참고:
    • VMware Horizon 온 프레미스 제공에 익숙한 경우 위 사용 권한은 이 Horizon 온 프레미스 설명서 항목에 설명된 것과 같이 해당하는 온 프레미스 제공의 보조 자격 증명 계정에 필요한 것과 동일한 사용 권한 집합입니다.
    • 일반적으로 도메인 바인딩 계정에는 Microsoft Active Directory 배포에서 인증된 사용자에게 일반적으로 부여되는 즉시 사용 가능한 기본 읽기 액세스 관련 사용 권한이 부여되어야 합니다. 그러나 조직의 AD 관리자가 일반 사용자에 대해 읽기 액세스 관련 사용 권한을 잠그도록 선택한 경우에는 해당 AD 관리자가 Horizon Cloud에 사용할 도메인 바인딩 계정에 대해 인증된 사용자 표준 기본값을 보존하도록 요청해야 합니다.

또한 Horizon Cloud 환경에 로그인하기 위한 지속적인 액세스를 보장하도록 계정 암호를 만료되지 않음으로 설정해야 합니다.

중요: 이 계정에 필요한 주요 특성에 대해서는 Horizon Cloud의 작업에 필요한 서비스 계정을 읽어보십시오.

도메인 가입 계정

  • 시스템에서 Sysprep 작업을 수행하고 컴퓨터를 도메인에 가입시키기 위해 사용할 수 있는 Active Directory 도메인 가입 계정입니다. 일반적으로 새 계정(도메인 가입 사용자 계정)입니다.
  • 계정에 sAMAccountName 특성이 있어야 합니다. sAMAccountName 특성은 20자 이하여야 하며 "/ \ [ ] : ; | = , + * ? < > 문자를 포함할 수 없습니다.
  • 계정 암호를 만료되지 않음으로 설정합니다.
  • 이 계정에는 모든 속성 읽기, 암호 재설정, 컴퓨터 개체 생성, 컴퓨터 개체 삭제 및 모든 속성 쓰기 등의 Active Directory 사용 권한이 필요합니다.
    참고: 포드 매니페스트 2474.0에서 도메인 가입 계정에 필요한 사용 권한이 2474 이전 매니페스트에 사용되는 이전 설정에서 줄어들었으며 이제 하위 컴퓨터 개체에 대한 모든 속성 쓰기를 포함합니다. 이전 매니페스트를 실행하는 포드에는 여전히 이전 사용 권한 집합이 필요합니다. 자세한 내용은 Horizon Cloud 작업에 필요한 서비스 계정을 참조하십시오.
  • 이 계정에는 팜 및 VDI 데스크톱 할당에 사용할 대상 OU(조직 구성 단위)의 모든 하위 개체에 대한 모든 속성 쓰기라는 Active Directory 사용 권한도 필요합니다.
  • 추가 세부 정보 및 요구 사항에 대한 자세한 내용은 Horizon Cloud 작업에 필요한 서비스 계정을 참조하십시오.
참고:
  • 계정의 사용자 이름에 공백을 사용하는 것은 현재 지원되지 않습니다. 이름에 공백이 포함되어 있으면 해당 계정을 사용하는 시스템 작업에서 예기치 않은 결과가 발생합니다.
  • Microsoft Active Directory에서 새 OU를 생성할 때 시스템은 새로 생성된 OU 및 모든 하위 개체에 대한 모든 하위 개체 삭제 사용 권한에 Deny를 적용하는 Prevent Accidental Deletion 특성을 자동으로 설정할 수 있습니다. 따라서 도메인 가입 계정에 컴퓨터 개체 삭제 사용 권한을 명시적으로 할당한 경우, 새로 생성된 OU에서 Active Directory가 명시적으로 할당된 컴퓨터 개체 삭제 사용 권한에 재정의를 적용했을 수 있습니다. 실수로 인한 삭제 방지 플래그를 지우면 Active Directory가 모든 하위 개체 삭제 사용 권한에 적용한 Deny를 자동으로 지우지 않을 수 있으므로 새로 추가된 OU의 경우에는 Horizon Cloud 콘솔에서 도메인 가입 계정을 사용하기 전에 OU 및 모든 하위 OU에서 모든 하위 개체 삭제를 위한 Deny 사용 권한 집합을 확인하고 수동으로 지워야 할 수 있습니다.
  • 매니페스트 1600.0 이전에는 이 계정에 시스템의 슈퍼 관리자 권한이 필요했습니다. 테넌트 환경에 매니페스트 1600.0보다 오래된 매니페스트를 실행하는 Microsoft Azure의 Horizon Cloud 포드가 있는 경우 도메인 가입 계정은 설명된 Horizon Cloud 관리자 그룹에 있어야 합니다. 시스템에서는 Microsoft Azure에 있는 모든 테넌트의 Horizon Cloud 포드에서 이 도메인 가입 계정을 사용합니다. 테넌트에 1600.0보다 오래된 매니페스트의 기존 포드가 있는 경우 도메인 가입 계정이 이 요구 사항을 충족해야 합니다. 자세한 내용은 Horizon Cloud 작업에 필요한 서비스 계정을 참조하십시오.
중요: 이 계정에 필요한 주요 특성에 대해서는 Horizon Cloud의 작업에 필요한 서비스 계정을 읽어보십시오.

보조 도메인 가입 계정(선택 사항, 위와 동일한 계정을 사용할 수 없음)

  • 시스템에서 Sysprep 작업을 수행하고 컴퓨터를 도메인에 가입시키기 위해 사용할 수 있는 Active Directory 도메인 가입 계정입니다. 일반적으로 새 계정(도메인 가입 사용자 계정)입니다.
  • 계정에 sAMAccountName 특성이 있어야 합니다. sAMAccountName 특성은 20자 이하여야 하며 "/ \ [ ] : ; | = , + * ? < > 문자를 포함할 수 없습니다.
  • 계정 암호를 만료되지 않음으로 설정합니다.
  • 이 계정에는 모든 속성 읽기, 암호 재설정, 컴퓨터 개체 생성, 컴퓨터 개체 삭제 및 모든 속성 쓰기 등의 Active Directory 사용 권한이 필요합니다.
    참고: 포드 매니페스트 2474.0에서 도메인 가입 계정에 필요한 사용 권한이 2474 이전 매니페스트에 사용되는 이전 설정에서 줄어들었으며 이제 하위 컴퓨터 개체에 대한 모든 속성 쓰기를 포함합니다. 이전 매니페스트를 실행하는 포드에는 여전히 이전 사용 권한 집합이 필요합니다. 자세한 내용은 Horizon Cloud 작업에 필요한 서비스 계정을 참조하십시오.
  • 이 계정에는 팜 및 VDI 가상 데스크톱에 사용할 대상 OU(조직 구성 단위)의 모든 하위 개체에 대한 모든 속성 쓰기라는 Active Directory 사용 권한도 필요합니다.
  • 추가 세부 정보 및 요구 사항에 대한 자세한 내용은 Horizon Cloud 작업에 필요한 서비스 계정을 참조하십시오.
참고:
  • 계정의 사용자 이름에 공백을 사용하는 것은 현재 지원되지 않습니다. 이름에 공백이 포함되어 있으면 해당 계정을 사용하는 시스템 작업에서 예기치 않은 결과가 발생합니다.
  • Microsoft Active Directory에서 새 OU를 생성할 때 시스템은 새로 생성된 OU 및 모든 하위 개체에 대한 모든 하위 개체 삭제 사용 권한에 Deny를 적용하는 Prevent Accidental Deletion 특성을 자동으로 설정할 수 있습니다. 따라서 도메인 가입 계정에 컴퓨터 개체 삭제 사용 권한을 명시적으로 할당한 경우, 새로 생성된 OU에서 Active Directory가 명시적으로 할당된 컴퓨터 개체 삭제 사용 권한에 재정의를 적용했을 수 있습니다. 실수로 인한 삭제 방지 플래그를 지우면 Active Directory가 모든 하위 개체 삭제 사용 권한에 적용한 Deny를 자동으로 지우지 않을 수 있으므로 새로 추가된 OU의 경우에는 Horizon Cloud 콘솔에서 도메인 가입 계정을 사용하기 전에 OU 및 모든 하위 OU에서 모든 하위 개체 삭제를 위한 Deny 사용 권한 집합을 확인하고 수동으로 지워야 할 수 있습니다.
  • 매니페스트 1600.0 이전에는 이 계정에 시스템의 슈퍼 관리자 권한이 필요했습니다. 테넌트 환경에 매니페스트 1600.0보다 오래된 매니페스트를 실행하는 Microsoft Azure의 Horizon Cloud 포드가 있는 경우 도메인 가입 계정은 설명된 Horizon Cloud 관리자 그룹에 있어야 합니다. 시스템에서는 Microsoft Azure에 있는 모든 테넌트의 Horizon Cloud 포드에서 이 도메인 가입 계정을 사용합니다. 테넌트에 1600.0보다 오래된 매니페스트의 기존 포드가 있는 경우 도메인 가입 계정이 이 요구 사항을 충족해야 합니다. 자세한 내용은 Horizon Cloud 작업에 필요한 서비스 계정을 참조하십시오.
Active Directory 그룹
  • Horizon Cloud 관리자 — Horizon Cloud 관리자용 Active Directory 보안 그룹. Horizon Cloud 관리 사용자를 포함합니다. 이 그룹에는 Horizon Cloud에서 슈퍼 관리자 역할이 부여됩니다.
  • Horizon Cloud 사용자 — Horizon Cloud에서 가상 데스크톱과 RDS 세션 기반 데스크톱 및 게시된 애플리케이션에 액세스할 수 있는 사용자의 Active Directory 보안 그룹
참고: 테넌트 환경에 매니페스트 1600.0 이전의 매니페스트를 실행하는 Microsoft Azure의 Horizon Cloud 포드가 있는 경우 도메인 가입 계정 및 보조 도메인 가입 계정은 Horizon Cloud 관리자 그룹 또는 Horizon Cloud에서 슈퍼 관리자 역할이 부여된 Active Directory 그룹에도 있어야 합니다.
가상 데스크톱 및 RDS 세션 기반 데스크톱 또는 게시된 애플리케이션에 대한 Active Directory OU(조직 구성 단위) 또는 단위(OU).
참고: Microsoft Active Directory에서 새 OU를 생성할 때 시스템은 새로 생성된 OU 및 모든 하위 개체에 대한 모든 하위 개체 삭제 사용 권한에 Deny를 적용하는 Prevent Accidental Deletion 특성을 자동으로 설정할 수 있습니다. 따라서 도메인 가입 계정에 컴퓨터 개체 삭제 사용 권한을 명시적으로 할당한 경우, 새로 생성된 OU에서 Active Directory가 명시적으로 할당된 컴퓨터 개체 삭제 사용 권한에 재정의를 적용했을 수 있습니다. 실수로 인한 삭제 방지 플래그를 지우면 Active Directory가 모든 하위 개체 삭제 사용 권한에 적용한 Deny를 자동으로 지우지 않을 수 있으므로 새로 추가된 OU의 경우에는 Horizon Cloud 콘솔에서 도메인 가입 계정을 사용하기 전에 OU 및 모든 하위 OU에서 모든 하위 개체 삭제를 위한 Deny 사용 권한 집합을 확인하고 수동으로 지워야 할 수 있습니다.

Universal Broker 요구 사항

2020년 7월 릴리스부터 Horizon Cloud 테넌트 환경이 해당 날짜부터 시작해서 완전히 새로운 계정을 사용하고 첫 번째 포드를 Microsoft Azure에 성공적으로 배포한 경우 환경에 대한 브로커링 방법으로 Universal Broker를 사용하도록 선택할 수 있습니다. 환경에 대한 Universal Broker를 구성하도록 선택하면 다음 항목이 필요합니다. Universal Broker 구성을 참조하십시오.

포드에 사용하는 VNet의 아웃바운드 인터넷 액세스는 특정 포트 및 프로토콜을 사용하여 특정 DNS 이름을 확인하고 연결해야 합니다. 이 과정은 Universal Broker 구성 및 진행 중인 작업에 필요합니다. DNS 이름 및 포트 목록은 Microsoft의 Horizon Cloud 포드 및 관련 서비스 기능에 대한 DNS 요구 사항2019년 9월 및 이후 릴리스의 매니페스트 수준에서 Horizon Cloud 포드에 대한 포트 및 프로토콜 요구 사항을 참조하십시오.
선택 사항: Universal Broker가 포드에 대해 2단계 인증을 사용하도록 하려면 RADIUS 인증 서버에 대한 2단계 인증을 위해 포드 게이트웨이를 구성합니다.
  • 인증 서버의 이름을 확인하기 위한 Unified Access Gateway의 DNS 주소
  • 인증 서버에 대한 네트워크 라우팅을 확인하기 위한 Unified Access Gateway의 경로
선택 사항: 최종 사용자가 Universal Broker 서비스에 액세스하는 데 사용할 사용자 지정 FQDN 및 해당 FQDN을 기준으로 하는 인증서(선택 사항)

DNS 레코드 요구 사항

포드가 Microsoft Azure 클라우드에 배포되면, 비즈니스 상황 및 활용하려는 기능에 따라, DNS 서버에서 FQDN(정규화된 도메인 이름)을 포드 관련 IP 주소에 매핑하는 레코드를 설정하는 것이 중요합니다.

참고: 동일한 FQDN을 갖는 외부 및 내부 게이트웨이 구성으로 포드를 배포한 경우 포드 배포 후에, 최종 사용자 클라이언트의 DNS 쿼리 원본 네트워크에 따라 게이트웨이 주소를 외부 게이트웨이 또는 내부 게이트웨이로 확인하도록 분할 DNS(분할 도메인 이름 시스템)를 구성합니다.
사용자 지정 FQDN을 사용하여 Universal Broker를 구성한 경우 사용자 지정 FQDN을 Universal Broker 구성의 VMware 제공 브로커링 FQDN에 매핑하는 공용 DNS 레코드를 생성합니다. Universal Broker 구성을 참조하십시오.
외부 게이트웨이 구성에서 FQDN과 일치하는 포드의 외부 최종 사용자 액세스를 위해 생성된 공용 DNS 레코드로, 외부 Unified Access Gateway 구성에서 Microsoft Azure 외부 로드 밸런서를 가리킴(배포된 포드에 해당 구성이 있을 때 필요). 자세한 내용은 Azure 클라우드 서비스에 대한 사용자 지정 도메인 이름 구성을 참조하십시오.
내부 게이트웨이 구성에서 FQDN과 일치하는 포드의 내부 최종 사용자 액세스를 위해 생성된 내부 DNS 레코드로, 내부 Unified Access Gateway 구성에서 Microsoft Azure 내부 로드 밸런서를 가리킴(배포된 포드에 해당 구성이 있을 때 필요).
배포에 대해 단일 포드 브로커링을 선택하려고 하며 VMware Workspace ONE Access에 배포를 통합할 예정인 경우에 생성된 내부 DNS 레코드. 이 시나리오에서 이 내부 DNS 레코드는 포드에 대한 VMware Workspace ONE Access 연결을 지원합니다. 여기서 VMware Workspace ONE Access Connector는 포드에서 사용자 할당에 대한 정보를 동기화합니다. 이 내부 DNS 레코드는 포드 자체에 업로드하려는 인증서의 FQDN과 일치하고 포드 관리자의 Microsoft Azure 내부 로드 밸런서를 가리킵니다. 단일 포드 브로커링에 대해 구성된 환경의 포드에서 VMware Workspace ONE Access를 사용하려는 경우에 필요합니다.
참고: 이 내부 DNS 레코드 및 포드 자체와 일치하고 포드에 업로드되는 인증서는 내부 Unified Access Gateway 구성에 연결하도록 지시하는 대신, 내부 최종 사용자에게 포드에 직접 연결하도록 지시하는 이례적인 드문 경우에도 사용됩니다. 이러한 직접 연결은 일반적이지 않은 사용 사례입니다. 일반적으로는 내부 Unified Access Gateway가 대신 사용됩니다.
포드에 VMware Workspace ONE Access를 연결하기 위해 생성된 내부 DNS 레코드와 일치하는 인증서 체인(CA 인증서, SSL 인증서, SSL 키 파일). 자세한 내용은 직접 연결을 위해 Horizon Cloud 포드에 SSL 인증서 업로드를 참조하십시오. (내부 최종 사용자가 포드에 직접 연결하도록 하는 이례적인 사용 사례에서도 필요합니다. 직접 연결은 드문 예외적인 사용 방식입니다. 일반적으로는 내부 Unified Access Gateway가 대신 사용됩니다.)

Horizon Cloud 골든 이미지, 데스크톱 및 팜

배포된 포드에서 프로비저닝할 골든 이미지, VDI 데스크톱 및 RDS 팜의 유형에 따라, Microsoft Azure 구독에서 다음 요구 사항을 충족해야 합니다.

참고: 계정이 App Volumes 기능을 사용하도록 설정되어 있고 콘솔의 캡처 작업을 사용하여 인벤토리에 App Volumes 애플리케이션을 추가하는 경우 시스템은 해당 캡처 워크플로를 지원하기 위해 두 개의 데스크톱 VM에 대한 데스크톱 할당을 생성합니다. 용량은 캡처 워크플로를 수행하는 동안 해당 데스크톱을 생성할 수 있도록 허용해야 합니다. 환경에 대한 애플리케이션 캡처가 끝나면 해당 데스크톱 할당을 삭제할 수 있습니다.
골든 이미지의 기본 — 지원되는 Microsoft Azure VM 구성 중 하나입니다.
  • Standard_D3_v2, Standard_D4_v3
  • Standard_D2_v2, Standard_D2_v3
  • Standard_NV6
참고: 자동화된 [마켓플레이스에서 VM 가져오기] 마법사를 사용하여 기본 VM을 생성하는 경우 시스템은 기본적으로 위의 VM 크기 중 하나를 자동으로 사용합니다. 시스템의 기본 선택 사항은 포드 Microsoft Azure 지역에서 사용할 수 있는 크기 확인을 포함하는 내부 알고리즘을 기준으로 합니다. 마법사를 사용하여 GPU 지원 VM을 생성하는 경우 Standard_NV6 크기 VM이 기본적으로 생성됩니다. 마법사를 사용하여 서버 OS 기반 VM을 생성하는 경우 Standard_D2_v2 또는 Standard_D2_v3의 VM이 생성됩니다. 클라이언트 OS 기반 VM 또는 Windows 10 다중 세션 VM을 생성하는 경우 Standard_D3_v2 또는 Standard_D4_v3의 VM이 생성됩니다.
VDI 데스크톱 할당의 데스크톱 VM에 대한 데스크톱 모델 선택 - Horizon Cloud 데스크톱 작업과 호환되지 않는 경우를 제외하고 Microsoft Azure 지역에서 사용할 수 있는 모든 Microsoft Azure VM 구성.

VMware 확장 테스트에 따르면 운영 환경에서는 최소 2개의 CPU가 있는 모델을 사용하는 것이 좋습니다.

팜의 RDSH VM에 대한 모델 선택 - Horizon Cloud RDS 팜 작업과 호환되지 않는 경우를 제외하고 Microsoft Azure 지역에서 사용할 수 있는 모든 Microsoft Azure VM 구성.

이 요구 사항은 VM이 Horizon Cloud와 함께 사용될 때 Microsoft Windows 10 Enterprise 다중 세션을 실행하는 VM에도 적용됩니다. Microsoft Azure Windows 가상 데스크톱 설명서의 Microsoft Windows 10 Enterprise 다중 세션 FAQ에 설명된 대로 Microsoft Windows 10 Enterprise 다중 세션은 이전에 Microsoft Windows Server 운영 체제에서만 제공할 수 있는 여러 동시 대화형 세션을 허용하는 RDSH(원격 데스크톱 세션 호스트) 유형입니다. RDS 서버에 적용되는 Horizon Cloud 워크플로는 Microsoft Windows 10 Enterprise 다중 세션에 적용될 수 있습니다.

VMware 확장 테스트에 따르면 운영 환경에서는 최소 2개의 CPU가 있는 모델을 사용하는 것이 좋습니다.

Microsoft Windows 운영 체제에 대한 라이센싱

항목은 가져온 VM, 골든 이미지, RDSH 지원 팜 VM 및 가상 데스크톱 VM의 Microsoft Windows 운영 체제와 관련이 있습니다. Horizon Cloud에서 지원하는 Microsoft Windows 운영 체제 목록은 VMware 기술 자료 문서 78170VMware 기술 자료 문서 70965를 참조하십시오.

Horizon CloudHorizon Cloud 워크플로를 사용하는 과정에서 사용하는 Microsoft Windows 운영 체제를 사용하는 데 필요한 게스트 운영 체제 라이센싱을 제공하지 않습니다. 고객은 Horizon Cloud 테넌트 환경에서 사용하도록 선택한 Windows 기반 데스크톱 VM 및 RDSH VM을 생성하고, 워크플로를 수행하고, 운영할 수 있도록 사용 권한을 부여하는 유효한 적격 Microsoft 라이센스가 있어야 합니다. 필요한 라이센스는 의도한 용도에 따라 다릅니다.

팁: Windows 10 Enterprise 다중 세션 및 Windows 7 Enterprise용 Microsoft Windows 가상 데스크톱 라이센싱에 대한 자세한 내용은 Windows 가상 데스크톱 가격 책정 Microsoft Azure 설명서 항목을 참조하십시오.
다음 유형 중 하나 이상에 대한 라이센싱: Microsoft Windows 7 Enterprise, Microsoft Windows 10(클라이언트 유형)
Microsoft Windows 10 Enterprise 다중 세션에 대한 라이센싱
다음 유형 중 하나 이상에 대한 라이센싱: Microsoft Windows Server 2012 R2, Microsoft Server 2016, Microsoft Server 2019
Microsoft Windows RDS 라이센싱 서버 — 고가용성을 위해 중복 라이센싱 서버 권장
Microsoft RDS 사용자, 디바이스 CAL 또는 둘 모두

Horizon 인프라 모니터링 요구 사항

Horizon Cloud 테넌트가 Horizon 인프라 모니터링을 사용하도록 설정된 경우 Horizon Universal Console을 사용하여 선택한 포드에서 해당 기능을 활성화할 수 있습니다. 포드에서 해당 기능을 활성화하도록 선택하면 시스템에서 해당 포드가 상주하는 동일한 Microsoft Azure 구독에 가상 장치를 자동으로 구축하고 인프라 데이터를 수집하도록 해당 장치를 구성합니다. 이 모니터링 기능을 활성화하려면 테넌트를 VMware Cloud Services로 온보딩해야 합니다. Horizon Cloud 테넌트를 VMware Cloud Services로 온보딩Horizon Cloud 환경의 Horizon 인프라 모니터링 및 포드를 참조하십시오.

테넌트를 VMware Cloud Services로 온보딩합니다.
Horizon 인프라 모니터링 기능을 활성화할 각 포드에 대해 포드 Microsoft Azure 구독이 이러한 추가 요구 사항을 충족해야 합니다.
  • Horizon Edge 가상 장치 — 1 x Standard_D4_v3

참조 아키텍처

참조에 대해서는 아래의 아키텍처 다이어그램을 사용하십시오.

그림 1. 고가용성을 사용하도록 설정하고 외부 및 내부 게이트웨이 구성으로 설정하며, 외부 게이트웨이를 포드와 동일한 VNet으로 배포하고, 외부 게이트웨이 VM의 3개 NIC, 내부 게이트웨이 VM의 2개 NIC, 외부 게이트웨이의 로드 밸런서용으로 공용 IP를 설정한 포드의 Horizon Cloud Pod 아키텍처 그림

고가용성을 사용하도록 설정하고, 두 가지 유형의 Unified Access Gateway 구성을 모두 포함하고, 포드와 동일한 VNet에 외부 게이트웨이가 상주하는 포드에 대한 포드 리소스 그룹, VM 및 서브넷을 보려 주는 아키텍처 그림

그림 2. 포드의 VNet과는 별개이며 3개의 NICS가 있는 자체 VNet 및 포드 배포자가 생성한 리소스 그룹에 외부 게이트웨이를 배포할 때 외부 게이트웨이의 아키텍처 요소 그림

포드의 VNet과는 별개인 자체 VNet 및 포드 배포자가 생성한 리소스 그룹에 외부 게이트웨이를 배포할 때 외부 게이트웨이의 아키텍처 요소 그림

리소스

자세한 내용은 다음 리소스를 참조하십시오.