포드 배포 마법사를 실행하기 전에 환경이 다음 전제 조건을 충족하는지 확인합니다. 포드 배포 마법사에서 요청된 값을 제공하고 마법사를 진행하려면 다음 항목이 필요합니다.

중요: 포드 배포 마법사를 실행하고 포드 배포를 시작하기 전에 아래 요구 사항 외에, 다음 핵심 사항을 알고 있어야 합니다.
  • 2020년 7월 서비스 릴리스부터 완전히 새로운 환경에서는 하나 이상의 게이트웨이 구성을 사용하여 배포하려면 새 포드가 필요합니다. 고객 계정이 2020년 7월 릴리스 이전에 생성되었지만 첫 번째 포드를 아직 배포하지 않은 경우, 첫 번째 포드를 배포하려면 포드 배포 시 하나 이상의 게이트웨이 구성을 구성해야 합니다.
  • 포드를 성공적으로 배포하려면 사용자 또는 IT 팀이 Microsoft Azure 환경에서 설정한 Microsoft Azure 정책 중 어느 것도 포드 구성 요소의 생성을 차단, 거부 또는 제한하지 않아야 합니다. 또한 Microsoft Azure 정책 기본 제공 정책 정의가 포드 구성 요소의 생성을 차단, 거부 또는 제한하지 않는지 확인해야 합니다. 예를 들어, 사용자와 IT 팀은 Azure Storage 계정에서 구성 요소의 생성을 차단, 거부 또는 제한하는 Microsoft Azure 정책이 없음을 확인해야 합니다. Azure 정책에 대한 자세한 내용은 Azure 정책 설명서를 참조하십시오.
  • Azure Storage 계정은 포드 배포자가 Azure StorageV1StorageV2 계정 유형을 사용하도록 허용해야 합니다. Microsoft Azure 정책이 Azure StorageV1StorageV2 계정 유형을 요구하는 컨텐츠의 생성을 제한하거나 거부하지 않는지 확인합니다.
  • 포드 및 게이트웨이 배포 프로세스의 일부로, 배포 마법사에서 사용자 지정 리소스 태그를 지정하지 않는 한, Horizon Cloud는 배포 프로세스를 오케스트레이션하는 임시 Jumpbox에 대해 생성된 초기 리소스 그룹을 포함하여 Microsoft Azure 구독에 태그가 없는 RG(리소스 그룹)를 생성합니다. 2020년 10월 8일, 배포 마법사에는 배포자 생성 리소스 그룹에 적용하려는 사용자 지정 리소스 태그를 지정할 수 있는 기능이 있습니다. 사용자 지정 리소스 태그를 지정하지 않으며 Microsoft Azure 구독에 특정 유형의 리소스 태그 요구 사항이 있는 경우, 포드를 해당 구독에 배포하려고 하면 포드 배포가 실패하고 포드를 업데이트하거나 포드에 게이트웨이 구성을 추가할 때 이 작업이 실패합니다. 배포 마법사의 사용자 지정 리소스 태그 기능을 사용하지 않으려는 경우 Microsoft Azure 정책에 따라 대상 구독에 태그가 지정되지 않은 포드 리소스 그룹을 생성할 수 있도록 허용되는지 확인해야 합니다. 배포자가 생성하는 RG 목록은 관리 가이드의 Microsoft Azure에 배포된 포드에 대해 생성되는 리소스 그룹 항목을 참조하십시오.
  • 이러한 포드를 배포할 때 모든 클라우드 연결 포드에는 동일한 Active Directory 도메인 집합이 표시되어야 합니다.

모든 배포에 대한 전제 조건

  • Microsoft Azure로 Horizon Cloud 포드 배포 준비에 설명된 대로 모든 준비 작업이 완료되었는지 확인합니다.
  • Horizon Cloud 포드 배포 마법사에 대한 구독 관련 정보에 설명된 대로 구독 정보가 있는지 확인합니다.
  • Microsoft Azure 구독과 Microsoft Azure에서 필수 가상 네트워크 구성에 설명된 것처럼 포드를 배포하는 지역에 기존 가상 네트워크가 있는지 확인합니다.
    중요: 모든 Microsoft Azure 지역이 GPU 지원 가상 시스템을 지원하는 것은 아닙니다. GPU 지원 데스크톱 또는 원격 애플리케이션에 대한 포드를 사용하려는 경우, 사용하기 원하고 이 Horizon Cloud 릴리스에서 지원되는 해당 NV 시리즈 VM 유형이 해당 포드에 대해 선택한 Microsoft Azure 지역에서 제공되는지 확인합니다. 자세한 내용은 https://azure.microsoft.com/ko-kr/regions/services/의 Microsoft 설명서를 참조하십시오.
  • VNet이 외부 주소를 확인할 수 있는 DNS를 가리키도록 구성되었는지 확인합니다. 포드 배포자가 포드 소프트웨어를 Microsoft Azure 환경에 안전하게 다운로드하려면 Horizon Cloud 제어부의 외부 주소에 연결할 수 있어야 합니다.
  • Microsoft의 Horizon Cloud 포드 및 관련 서비스 기능에 대한 DNS 요구 사항2019년 9월 및 이후 릴리스의 매니페스트 수준에서 Horizon Cloud 포드에 대한 포트 및 프로토콜 요구 사항에 설명된 대로 포드 배포자의 DNS, 포트 및 프로토콜 요구 사항이 충족되었는지 확인합니다.
  • 아웃바운드 인터넷 액세스를 위해 프록시를 사용해야 하는 경우 프록시 구성에 대한 네트워킹 정보와 필요한 인증 자격 증명(있는 경우)이 있는지 확인합니다. 포드 배포 프로세스에는 아웃바운드 인터넷 액세스가 필요합니다.
  • 포드가 시간 동기화에 사용할 하나 이상의 NTP 서버에 대한 정보가 있는지 확인합니다. NTP 서버는 공용 NTP 서버 또는 이 목적을 위해 설정한 자체 NTP 서버일 수 있습니다. 지정한 NTP 서버는 구성한 가상 네트워크에서 연결할 수 있어야 합니다. 숫자 IP 주소 대신, 해당 도메인 이름을 사용하여 NTP 서버를 사용하려는 경우, 가상 네트워크 대해 구성된 DNS가 NTP 서버 이름을 확인할 수 있는지도 확인합니다.
  • 배포자가 필요한 서브넷을 자동으로 생성하지 않도록 하려면 필요한 서브넷이 미리 생성되었는지와 VNet에 존재하는지 확인합니다. 필요한 서브넷을 미리 생성하는 단계는 포드 배포 전에 Microsoft Azure에서 VNet에 Horizon Cloud 포드의 필수 서브넷을 생성합니다.Microsoft Azure의 Horizon Cloud 포드에 대해 기존 서브넷을 사용하는 경우를 참조하십시오.
    경고: 포드 배포를 위해 VNet에서 수동으로 미리 만드는 서브넷은 비어 있어야 합니다. 해당 서브넷에서 IP 주소를 사용하는 항목이 이미 있는 기존 서브넷은 재사용하지 마십시오. 서브넷에서 IP 주소를 이미 사용 중인 경우 포드 배포 실패 및 기타 다운스트림 IP 충돌 문제 등이 발생할 가능성이 높습니다. 이러한 서브넷에 리소스를 두거나 IP 주소를 사용하지 마십시오. 이 주의 메시지에는 Horizon Cloud에서 배포된 포드가 포함되어 있습니다. 이미 배포된 포드가 있는 서브넷을 다시 사용하지 마십시오.
  • 배포자가 필수 서브넷을 생성하도록 하려면 관리 서브넷, 데스크톱 서브넷 및 DMZ 서브넷에 대해 마법사에 입력하려는 주소 범위를 알고 있는지 확인합니다. 외부 Unified Access Gateway 구성을 원할 경우 DMZ 서브넷이 필요합니다. 또한 해당 범위가 중첩되지 않는지 확인합니다. CIDR 표기법(클래스 없는 도메인 간 라우팅 표기법)을 사용하여 주소 범위를 입력합니다. 입력한 서브넷 범위가 겹치면 마법사에서 오류를 표시합니다. 관리 서브넷 범위의 경우 /27 이상의 CIDR이 필요합니다. DMZ 서브넷 범위의 경우 /28 이상의 CIDR이 필요합니다. 관리 및 DMZ 서브넷 범위를 같은 위치에 배치하려는 경우 DMZ 서브넷을 IP가 지정된 관리 서브넷 범위를 비슷하게 지정할 수 있습니다. 예를 들어 관리 서브넷이 192.168.8.0/27인 경우 일치하는 DMZ 서브넷은 192.168.8.32/27입니다.
    중요: 접두사와 비트 마스크를 결합할 때 접두사가 IP 주소 범위의 시작 IP 주소가 되도록 마법사의 필드에 입력하는 CIDR이 정의되어야 합니다. Microsoft Azure의 경우 CIDR 접두사가 범위의 시작이어야 합니다. 예를 들어, 올바른 CIDR 192.168.182.48/28의 IP 범위는 192.168.182.48에서 192.168.182.63까지이고, 접두사는 시작 IP 주소(192.168.182.48)와 같습니다. 그러나, 잘못된 CIDR 192.168.182.60/28의 IP 범위는 192.168.182.48부터 192.168.182.63인데, 시작 IP 주소가 192.168.182.60의 접두사와 동일하지 않습니다. CIDR이 시작 IP 주소가 CIDR 접두사와 일치하는 IP 주소 범위로 정의되었음을 확인하십시오.
  • 배포자가 필수 서브넷을 생성하도록 하려면 해당 주소 범위의 서브넷이 VNet에 아직 없는지 확인합니다. 이 시나리오에서는 배포자 자체가 마법사에서 제공하는 주소 범위를 사용하여 자동으로 서브넷을 생성합니다. 마법사가 해당 범위를 사용하는 서브넷이 이미 있음을 감지하면 마법사에서 겹치는 주소에 대한 오류를 표시하고 더 이상 진행되지 않습니다. VNet이 피어링되면 마법사에 입력하려는 CIDR 주소 공간이 VNet의 주소 공간에 이미 포함되어 있는지 확인합니다.

Unified Access Gateway 구성에 대한 사전 요구 사항

포드에 Unified Access Gateway 구성을 사용하려면 다음을 제공해야 합니다.

  • 최종 사용자가 서비스에 액세스하는 데 사용하는 FQDN(정규화된 도메인 이름) 외부 및 내부 게이트웨이 구성 모두에 대해 동일한 FQDN을 사용하려는 경우 포드를 배포한 후에는 수신 최종 사용자 클라이언트 트래픽을 적절한 게이트웨이 로드 밸런서로 라우팅하도록 구성해야 합니다. 목표는 인터넷에서의 클라이언트 트래픽이 외부 게이트웨이의 Microsoft Azure 퍼블릭 Load Balancer로 라우팅되고 인트라넷의 클라이언트 트래픽이 내부 게이트웨이의 Azure 내부 Load Balancer로 라우팅되도록 라우팅을 설정하는 것입니다. 이 시나리오에서 두 게이트웨이의 FQDN이 동일한 경우 최종 사용자 클라이언트의 DNS 쿼리 원본 네트워크에 따라 게이트웨이 주소를 외부 게이트웨이 또는 내부 게이트웨이로 확인하도록 분할 DNS(분할 도메인 이름 시스템)를 구성합니다. 그런 후 최종 사용자 클라이언트에서 사용된 것과 동일한 FQDN은 클라이언트가 인터넷에 있을 때 외부 게이트웨이로 라우팅하고, 클라이언트가 내부 네트워크에 있을 때 내부 게이트웨이로 라우팅할 수 있습니다.
    중요: 이 FQDN에는 밑줄이 포함될 수 없습니다. 이 릴리스에서는 FQDN에 밑줄이 포함되어 있는 경우 Unified Access Gateway 인스턴스에 대한 연결이 실패합니다.
  • 해당 FQDN을 기준으로 하는 서명된 SSL 인증서(PEM 형식). Unified Access Gateway 기능을 사용하려면 Unified Access Gateway 제품 설명서에 설명된 대로 클라이언트 연결용 SSL이 필요합니다. 이 인증서는 신뢰할 수 있는 CA(인증 기관)에서 서명해야 합니다. 단일 PEM 파일에는 개인 키가 있는 전체 인증서 체인이 포함되어야 합니다. 예를 들어 단일 PEM 파일에는 SSL 서버 인증서, 필요한 모든 중간 CA 인증서, 루트 CA 인증서 및 개인 키가 포함되어야 합니다. OpenSSL은 PEM 파일을 생성하는 데 사용할 수 있는 도구입니다.
    중요: 인증서 체인에 있는 모든 인증서는 시간 프레임이 유효해야 합니다. Unified Access Gateway VM에서는 모든 중간 인증서를 비롯하여 체인에 있는 모든 인증서의 시간 프레임이 유효해야 합니다. 체인에 만료된 인증서가 있으면 나중에 인증서가 Unified Access Gateway 구성에 업로드될 때 예기치 않은 오류가 발생할 수 있습니다.
  • 외부 Unified Access Gateway 구성으로 배포하는 경우 DMZ(예외 구역) 서브넷을 지정해야 합니다. 다음 두 가지 방법 중 하나로 이 DMZ 서브넷을 제공할 수 있습니다.
    • VNet에서 DMZ 서브넷을 미리 생성. 이 방법을 사용하는 경우 관리 및 데스크톱 테넌트 서브넷도 미리 생성해야 합니다. 포드 배포 전에 Microsoft Azure에서 VNet에 Horizon Cloud 포드의 필수 서브넷을 생성합니다.의 단계를 참조하십시오.
    • 배포자가 배포 중에 DMZ 서브넷을 자동으로 생성하도록 지시. 이 방법을 사용하는 경우 DMZ 서브넷에 대한 마법사에 입력하려는 주소 범위를 알고 있어야 하며, 이 범위가 관리 및 데스크톱 테넌트 서브넷에 대한 범위와 중복되지 않는지 확인해야 합니다. CIDR 표기법(클래스 없는 도메인 간 라우팅 표기법)을 사용하여 주소 범위를 입력합니다. 입력한 서브넷 범위가 겹치면 마법사에서 오류를 표시합니다. DMZ 서브넷 범위의 경우 /28 이상의 CIDR이 필요합니다. 관리 및 DMZ 서브넷 범위를 같은 위치에 배치하려는 경우 DMZ 서브넷을 IP가 지정된 관리 서브넷 범위를 동일하게 지정할 수 있습니다. 예를 들어 관리 서브넷이 192.168.8.0/27인 경우 일치하는 DMZ 서브넷은 192.168.8.32/27입니다. 또한 모든 배포에 대한 전제 조건에서 시작 IP 주소가 접두사로 포함되도록 접두사와 비트 마스크 조합으로 IP 주소 범위를 지정하는 방법에 대한 중요 참고 사항을 참조하십시오.
  • 외부 Unified Access Gateway 구성을 사용하여 배포하며 구성의 로드 밸런서에 대해 공용 IP 주소를 차단하려면 DNS 설정에서 매핑한 IP 주소를 최종 사용자가 해당 Horizon Client에서 PCoIP 연결에 사용할 FQDN으로 지정해야 합니다.

Unified Access Gateway에 필요한 PEM 파일 고려 사항에 대한 자세한 내용은 인증서 파일을 포드 배포에 필요한 PEM 형식으로 변환을 참조하십시오.

자체 VNet 또는 포드의 VNet이나 구독과는 별도의 구독을 사용하여 외부 Unified Access Gateway 구성으로 배포할 때의 사전 요구 사항

참고: 자체 VNet을 사용하여 외부 게이트웨이를 배포하면 게이트웨이 커넥터 VM이 배포됩니다. Horizon Cloud 포드에 대한 포트 및 프로토콜 요구 사항에서 게이트웨이 커넥터 VM의 포트 및 프로토콜을 설명하는 섹션에는 이 게이트웨이 커넥터 VM에 대한 설명도 포함되어 있습니다. 여기에는 이 게이트웨이 커넥터 VM의 이름에는 vmw-hcs-ID와 같은 부분이 포함되어 있다고 나옵니다. 여기서 ID는 게이트웨이 배포자 ID이고 node 부분입니다.

Unified Access Gateway 구성으로 배포할 때의 위 사전 요구 사항과 함께, 다음 사전 요구 사항은 자체 VNet 또는 자체 구독에 외부 게이트웨이를 배포하는 사용 사례와 관련이 있습니다. 자체 구독을 사용하는 것은 VNet의 범위가 구독으로 지정되고 별도의 구독에 고유한 VNet이 있어야 하므로 고유한 VNet을 사용하는 특수한 경우입니다.

  • 게이트웨이용 VNet은 포드의 VNet에 피어링해야 합니다.
  • 필요한 서브넷이 미리 생성되어 VNet에 있거나, 마법사에서 입력하려는 CIDR 주소 공간이 이미 VNet의 주소 공간에 포함되어 있는지 확인합니다. VNet은 피어링되므로 VNet의 주소 공간에 아직 포함되지 않은 마법사 CIDR 주소 공간에 들어가면 배포자에서 VNet을 자동으로 확장할 수 없습니다. 이러한 경우 배포 프로세스가 실패합니다.
    팁: 가장 좋은 방법은 서브넷을 미리 생성하는 것입니다. 필요한 서브넷을 미리 생성하는 단계는 포드 배포 전에 Microsoft Azure에서 VNet에 Horizon Cloud 포드의 필수 서브넷을 생성합니다.Microsoft Azure의 Horizon Cloud 포드에 대해 기존 서브넷을 사용하는 경우를 참조하십시오.
  • 외부 게이트웨이에 대해 별도의 구독을 사용하는 경우 Horizon Cloud 포드 배포 마법사에 대한 구독 관련 정보에 설명된 대로 구독 정보가 있는지 확인합니다.
  • 외부 게이트웨이에 대해 별도의 구독을 사용하고 있고 배포자에서 리소스 그룹을 자동으로 생성하도록 하는 대신, 사용자가 생성하는 명명된 리소스 그룹에 게이트웨이를 배포하려는 경우 해당 구독에 해당 리소스 그룹을 생성했는지 확인합니다. 마법사에서 이름으로 해당 리소스 그룹을 선택합니다. 또한 Microsoft Azure 구독에서 Horizon Cloud에 필요한 작업에 설명된 대로 배포자가 해당 리소스 그룹에 대해 작업을 수행하는 데 필요한 액세스 권한을 부여했는지 확인합니다.

2단계 인증 구성을 사용하여 배포할 때의 전제 조건

2단계 인증 기능을 사용하거나 온-프레미스 2단계 인증 서버에서 사용하려는 경우, 포드 배포 마법사의 해당 필드에 제공할 수 있도록 인증 서버 구성에서 사용되는 다음과 같은 정보를 준비해야 합니다. 기본 및 보조 서버가 둘 다 있으면 각각에 대한 정보를 가져옵니다.

  • 인증 서버의 IP 주소 또는 DNS 이름
  • 인증 서버의 프로토콜 메시지에서 암호화 및 암호 해독에 사용되는 공유 암호
  • 인증 포트 번호(일반적으로 1812 UDP 포트)
  • 인증 프로토콜 유형. 인증 유형에는 PAP(Password Authentication Protocol), CHAP(Challenge Handshake Authentication Protocol), MSCHAP1, MSCHAP2(Microsoft Challenge Handshake Authentication Protocol, 버전 1 및 2)가 포함됩니다.
    참고: RADIUS 벤더에서 권장하는 인증 프로토콜을 RADIUS 벤더의 설명서에서 확인하고 지시된 프로토콜 유형을 따르십시오. RADIUS와 함께 2단계 인증을 지원하는 포드의 기능이 Unified Access Gateway 인스턴스에서 제공되며, Unified Access Gateway는 PAP, CHAP, MSCHAP1 및 MSCHAP2를 지원합니다. PAP는 일반적으로 MSCHAP2보다 덜 안전합니다. 또한 PAP는 MSCHAP2보다 더 간단한 프로토콜입니다. 결과적으로, 대부분의 RADIUS 벤더는 좀 더 간단한 PAP 프로토콜과 호환되지만, 일부 RADIUS 벤더의 경우 좀 더 안전한 MSCHAP2와 호환되지 않게 됩니다.