1세대 포드 배포 마법사를 실행하기 전에 환경이 다음 사전 요구 사항을 충족하는지 확인합니다. 포드 배포 마법사에서 요청된 값을 제공하고 마법사를 진행하려면 다음 항목이 필요합니다.

중요: 이 정보는 1세대 제어부의 1세대 테넌트 환경에 액세스할 수 있는 경우에만 적용됩니다. KB-92424에 설명된 대로 1세대 제어부는 EOA(사용 종료)에 도달했습니다. 자세한 내용은 해당 문서를 참조하십시오.
중요: 포드 배포 마법사를 실행하고 포드 배포를 시작하기 전에 아래 요구 사항 외에, 다음 핵심 사항을 알고 있어야 합니다.
  • 포드를 성공적으로 배포하려면 사용자 또는 IT 팀이 Microsoft Azure 환경에서 설정한 Microsoft Azure 정책 중 어느 것도 포드 구성 요소의 생성을 차단, 거부 또는 제한하지 않아야 합니다. 또한 Microsoft Azure 정책 기본 제공 정책 정의가 포드 구성 요소의 생성을 차단, 거부 또는 제한하지 않는지 확인해야 합니다. 허용해야 하는 두 가지 예시 항목으로서, 사용자와 IT 팀은 어떤 Microsoft Azure Policy도 Azure Storage 계정의 구성 요소 생성을 차단, 거부 또는 제한하지 않도록 하고 Microsoft Azure Policy가 Microsoft.MarketplaceOrdering/*resourceType을 허용하는지 확인해야 합니다. 포드 배포 프로세스가 진행되려면 VMware vmware-inc publisherID의 Azure Marketplace 제공을 수락해야 합니다. Azure 정책에 대한 자세한 내용은 Azure 정책 설명서를 참조하십시오. 서비스가 Microsoft.MarketplaceOrdering/* 리소스 유형을 사용하는 방법에 대한 내용은 IT 또는 보안 조직에 Azure Marketplace 제공 또는 마켓플레이스 주문 사용에 대한 제한이 있는 경우를 참조하십시오.
  • 포드 배포자를 사용하려면 Azure 스토리지 계정은 배포자가 구독의 포드 리소스 그룹에서 Azure StorageV2 계정 유형을 생성할 수 있도록 허용해야 합니다. 이 스토리지 계정은 포드의 App Volumes 기능에 사용합니다. 포드 배포 프로세스 동안 Microsoft Azure 정책이 Azure StorageV2 계정 유형을 요구하는 컨텐츠의 생성을 제한하거나 거부하지 않는지 확인합니다.
  • 이러한 포드를 배포할 때 모든 클라우드 연결 포드에는 동일한 Active Directory 도메인 집합이 표시되어야 합니다.

모든 배포에 대한 전제 조건

  • 1세대 테넌트 - Microsoft Azure에 1세대 Horizon Cloud 포드 배포 준비에 설명된 대로 모든 준비 작업이 완료되었는지 확인합니다.
  • 1세대 테넌트 - Horizon Cloud 포드 배포 마법사에 대한 구독 관련 정보에 설명된 대로 구독 정보가 있는지 확인합니다.
  • Microsoft Azure 구독과 1세대 Horizon Cloud - Microsoft Azure에서 필수 가상 네트워크 구성에 설명된 것처럼 포드를 배포하는 지역에 기존 가상 네트워크가 있는지 확인합니다.
    중요: 모든 Microsoft Azure 지역이 GPU 지원 가상 시스템을 지원하는 것은 아닙니다. GPU 지원 데스크톱 또는 원격 애플리케이션에 대한 포드를 사용하려는 경우, 사용하기 원하고 이 Horizon Cloud 릴리스에서 지원되는 해당 NV 시리즈, NVv4 시리즈 및 NCv2 시리즈 VM 유형이 해당 포드에 대해 선택한 Microsoft Azure 지역에서 제공되는지 확인합니다. 자세한 내용은 https://azure.microsoft.com/ko-kr/regions/services/의 Microsoft 설명서를 참조하십시오.
  • VNet이 외부 주소를 확인할 수 있는 DNS를 가리키도록 구성되었는지 확인합니다. 포드 배포자가 포드 소프트웨어를 Microsoft Azure 환경에 안전하게 다운로드하려면 Horizon Cloud 제어부의 외부 주소에 연결할 수 있어야 합니다.
  • 1세대 테넌트 - Horizon Cloud on Microsoft Azure 배포 - 호스트 이름 확인 요구 사항, DNS 이름1세대 테넌트 - Horizon Cloud 포드 - 포트 및 프로토콜 요구 사항에 설명된 대로 포드 배포자의 DNS, 포트 및 프로토콜 요구 사항이 충족되었는지 확인합니다.
  • 아웃바운드 인터넷 액세스를 위해 프록시를 사용해야 하는 경우 프록시 구성에 대한 네트워킹 정보와 필요한 인증 자격 증명(있는 경우)이 있는지 확인합니다. 포드 배포 프로세스에는 아웃바운드 인터넷 액세스가 필요합니다.
    중요: Microsoft Azure에서 포드를 배포한 후 포드에서 프록시 설정을 편집하거나 업데이트하는 것은 현재 지원되지 않습니다. 또한 프록시 설정 없이 배포된 포드에 프록시 구성을 추가하는 것은 현재 지원되지 않습니다.
  • 포드 관리자 인스턴스와 Unified Access Gateway 인스턴스가 시간 동기화에 사용할 하나 이상의 NTP 서버에 대한 정보가 있는지 확인합니다. NTP 서버는 공용 NTP 서버 또는 이 목적을 위해 설정한 자체 NTP 서버일 수 있습니다. 지정한 NTP 서버는 포드 관리자 인스턴스 및 Unified Access Gateway 인스턴스를 배포할 가상 네트워크에서 연결할 수 있어야 합니다. 숫자 IP 주소 대신, 해당 도메인 이름을 사용하여 NTP 서버를 사용하려는 경우, 가상 네트워크 대해 구성된 DNS가 NTP 서버 이름을 확인할 수 있는지도 확인합니다.
    참고: 포드 관리자 인스턴스, Unified Access Gateway 인스턴스 및 Active Directory 서버에 대해 동일한 NTP 서버를 사용하는 것이 가장 좋습니다. 이러한 인스턴스가 서로 다른 NTP 서버를 사용하는 경우 시간 불일치가 발생할 수 있습니다. 이러한 시간 불일치로 인해 나중에 게이트웨이에서 데스크톱 및 애플리케이션에 대한 최종 사용자 세션을 인증하려고 할 때 실패할 수 있습니다.
  • 배포자가 필요한 서브넷을 자동으로 생성하지 않도록 하려면 필요한 서브넷이 미리 생성되었는지와 VNet에 존재하는지 확인합니다. 필요한 서브넷을 미리 생성하는 단계는 1세대 테넌트 - 포드 배포 전에 Microsoft Azure에서 VNet에 Horizon Cloud 포드의 필수 서브넷을 생성합니다.1세대 테넌트 - Microsoft Azure의 Horizon Cloud 포드에 대해 기존 서브넷을 사용하는 경우를 참조하십시오.
    경고: 포드 배포를 위해 VNet에서 수동으로 미리 만드는 서브넷은 비어 있어야 합니다. 해당 서브넷에서 IP 주소를 사용하는 항목이 이미 있는 기존 서브넷은 재사용하지 마십시오. 서브넷에서 IP 주소를 이미 사용 중인 경우 포드 배포 실패 및 기타 다운스트림 IP 충돌 문제 등이 발생할 가능성이 높습니다. 이러한 서브넷에 리소스를 두거나 IP 주소를 사용하지 마십시오. 이 주의 메시지에는 Horizon Cloud에서 배포된 포드가 포함되어 있습니다. 이미 배포된 포드가 있는 서브넷을 다시 사용하지 마십시오.
  • 배포자가 필수 서브넷을 생성하도록 하려면 관리 서브넷, 데스크톱 서브넷 및 DMZ 서브넷에 대해 마법사에 입력하려는 주소 범위를 알고 있는지 확인합니다. 외부 Unified Access Gateway 구성을 원할 경우 DMZ 서브넷이 필요합니다. 또한 해당 범위가 중첩되지 않는지 확인합니다. CIDR 표기법(클래스 없는 도메인 간 라우팅 표기법)을 사용하여 주소 범위를 입력합니다. 입력한 서브넷 범위가 겹치면 마법사에서 오류를 표시합니다. 관리 서브넷 범위의 경우 최소 /27의 CIDR이 필요합니다. DMZ 서브넷 범위의 경우 /28 이상의 CIDR이 필요합니다. 관리 및 DMZ 서브넷 범위를 같은 위치에 배치하려는 경우 DMZ 서브넷을 IP가 지정된 관리 서브넷 범위를 비슷하게 지정할 수 있습니다. 예를 들어 관리 서브넷이 192.168.8.0/27인 경우 일치하는 DMZ 서브넷은 192.168.8.32/27입니다.
    중요: 접두사와 비트 마스크를 결합할 때 접두사가 IP 주소 범위의 시작 IP 주소가 되도록 마법사의 필드에 입력하는 CIDR이 정의되어야 합니다. Microsoft Azure의 경우 CIDR 접두사가 범위의 시작이어야 합니다. 예를 들어, 올바른 CIDR 192.168.182.48/28의 IP 범위는 192.168.182.48에서 192.168.182.63까지이고, 접두사는 시작 IP 주소(192.168.182.48)와 같습니다. 그러나, 잘못된 CIDR 192.168.182.60/28의 IP 범위는 192.168.182.48부터 192.168.182.63인데, 시작 IP 주소가 192.168.182.60의 접두사와 동일하지 않습니다. CIDR이 시작 IP 주소가 CIDR 접두사와 일치하는 IP 주소 범위로 정의되었음을 확인하십시오.
  • 배포자가 필수 서브넷을 생성하도록 하려면 해당 주소 범위의 서브넷이 VNet에 아직 없는지 확인합니다. 이 시나리오에서는 배포자 자체가 마법사에서 제공하는 주소 범위를 사용하여 자동으로 서브넷을 생성합니다. 마법사가 해당 범위를 사용하는 서브넷이 이미 있음을 감지하면 마법사에서 겹치는 주소에 대한 오류를 표시하고 더 이상 진행되지 않습니다. VNet이 피어링되면 마법사에 입력하려는 CIDR 주소 공간이 VNet의 주소 공간에 이미 포함되어 있는지 확인합니다.

Unified Access Gateway 구성에 대한 사전 요구 사항

포드에 Unified Access Gateway 구성을 사용하려면 다음을 제공해야 합니다.

  • 최종 사용자가 서비스에 액세스하는 데 사용하는 FQDN(정규화된 도메인 이름) 외부 및 내부 게이트웨이 구성 모두에 대해 동일한 FQDN을 사용하려는 경우 포드를 배포한 후에는 수신 최종 사용자 클라이언트 트래픽을 적절한 게이트웨이 로드 밸런서로 라우팅하도록 구성해야 합니다. 목표는 인터넷에서의 클라이언트 트래픽이 외부 게이트웨이의 Microsoft Azure 퍼블릭 Load Balancer로 라우팅되고 인트라넷의 클라이언트 트래픽이 내부 게이트웨이의 Azure 내부 Load Balancer로 라우팅되도록 라우팅을 설정하는 것입니다. 이 시나리오에서 두 게이트웨이의 FQDN이 동일한 경우 최종 사용자 클라이언트의 DNS 쿼리 원본 네트워크에 따라 게이트웨이 주소를 외부 게이트웨이 또는 내부 게이트웨이로 확인하도록 분할 DNS(분할 도메인 이름 시스템)를 구성합니다. 그런 후 최종 사용자 클라이언트에서 사용된 것과 동일한 FQDN은 클라이언트가 인터넷에 있을 때 외부 게이트웨이로 라우팅하고, 클라이언트가 내부 네트워크에 있을 때 내부 게이트웨이로 라우팅할 수 있습니다.
    중요: 이 FQDN에는 밑줄이 포함될 수 없습니다. 이 릴리스에서는 FQDN에 밑줄이 포함되어 있는 경우 Unified Access Gateway 인스턴스에 대한 연결이 실패합니다.
  • 해당 FQDN을 기준으로 하는 서명된 SSL 인증서(PEM 형식). Unified Access Gateway 기능을 사용하려면 Unified Access Gateway 제품 설명서에 설명된 대로 클라이언트 연결용 SSL이 필요합니다. 이 인증서는 신뢰할 수 있는 CA(인증 기관)에서 서명해야 합니다. 단일 PEM 파일에는 개인 키가 있는 전체 인증서 체인이 포함되어야 합니다. 예를 들어 단일 PEM 파일에는 SSL 서버 인증서, 필요한 모든 중간 CA 인증서, 루트 CA 인증서 및 개인 키가 포함되어야 합니다. OpenSSL은 PEM 파일을 생성하는 데 사용할 수 있는 도구입니다.
    중요: 인증서 체인에 있는 모든 인증서는 시간 프레임이 유효해야 합니다. Unified Access Gateway VM에서는 모든 중간 인증서를 비롯하여 체인에 있는 모든 인증서의 시간 프레임이 유효해야 합니다. 체인에 만료된 인증서가 있으면 나중에 인증서가 Unified Access Gateway 구성에 업로드될 때 예기치 않은 오류가 발생할 수 있습니다.
  • 외부 Unified Access Gateway 구성으로 배포하는 경우 DMZ(예외 구역) 서브넷을 지정해야 합니다. 다음 두 가지 방법 중 하나로 이 DMZ 서브넷을 제공할 수 있습니다.
    • VNet에서 DMZ 서브넷을 미리 생성. 이 방법을 사용하는 경우 관리 및 데스크톱 테넌트 서브넷도 미리 생성해야 합니다. 1세대 테넌트 - 포드 배포 전에 Microsoft Azure에서 VNet에 Horizon Cloud 포드의 필수 서브넷을 생성합니다.의 단계를 참조하십시오.
    • 배포자가 배포 중에 DMZ 서브넷을 자동으로 생성하도록 지시. 이 방법을 사용하는 경우 DMZ 서브넷에 대한 마법사에 입력하려는 주소 범위를 알고 있어야 하며, 이 범위가 관리 및 데스크톱 테넌트 서브넷에 대한 범위와 중복되지 않는지 확인해야 합니다. CIDR 표기법(클래스 없는 도메인 간 라우팅 표기법)을 사용하여 주소 범위를 입력합니다. 입력한 서브넷 범위가 겹치면 마법사에서 오류를 표시합니다. DMZ 서브넷 범위의 경우 /28 이상의 CIDR이 필요합니다. 관리 및 DMZ 서브넷 범위를 같은 위치에 배치하려는 경우 DMZ 서브넷을 IP가 지정된 관리 서브넷 범위를 동일하게 지정할 수 있습니다. 예를 들어 관리 서브넷이 192.168.8.0/27인 경우 일치하는 DMZ 서브넷은 192.168.8.32/27입니다. 또한 모든 배포에 대한 전제 조건에서 시작 IP 주소가 접두사로 포함되도록 접두사와 비트 마스크 조합으로 IP 주소 범위를 지정하는 방법에 대한 중요 참고 사항을 참조하십시오.
  • 외부 Unified Access Gateway 구성을 사용하여 배포하며 로드 밸런서 구성의 공용 IP 주소를 차단하려면 DNS 설정에서 매핑한 IP 주소를 최종 사용자가 해당 Horizon Client에서 PCoIP 연결에 사용할 FQDN으로 지정해야 합니다.

Unified Access Gateway에 필요한 PEM 파일 고려 사항에 대한 자세한 내용은 1세대 테넌트 - 인증서 파일을 1세대 Horizon Cloud 포드 배포에 필요한 PEM 형식으로 변환을 참조하십시오.

자체 VNet 또는 포드의 VNet이나 구독과는 별도의 구독을 사용하여 외부 Unified Access Gateway 구성으로 배포할 때의 사전 요구 사항

참고: 자체 VNet을 사용하여 외부 게이트웨이를 배포하면 게이트웨이 커넥터 VM이 배포됩니다. Horizon Cloud 포드에 대한 포트 및 프로토콜 요구 사항에서 게이트웨이 커넥터 VM의 포트 및 프로토콜을 설명하는 섹션에는 이 게이트웨이 커넥터 VM에 대한 설명도 포함되어 있습니다. 여기에는 이 게이트웨이 커넥터 VM의 이름에는 vmw-hcs-ID와 같은 부분이 포함되어 있다고 나옵니다. 여기서 ID는 게이트웨이 배포자 ID이고 node 부분입니다.

Unified Access Gateway 구성으로 배포할 때의 위 사전 요구 사항과 함께, 다음 사전 요구 사항은 자체 VNet 또는 자체 구독에 외부 게이트웨이를 배포하는 사용 사례와 관련이 있습니다. 자체 구독을 사용하는 것은 VNet의 범위가 구독으로 지정되고 별도의 구독에 고유한 VNet이 있어야 하므로 고유한 VNet을 사용하는 특수한 경우입니다.

2단계 인증 구성을 사용하여 배포할 때의 전제 조건

2단계 인증 기능을 사용하거나 온-프레미스 2단계 인증 서버에서 사용하려는 경우, [포드 추가] 마법사의 필수 필드에 제공할 수 있도록 인증 서버 구성에서 다음과 같은 정보를 준비해야 합니다.

사용 중인 유형에 따라 나열된 다음 정보를 가져옵니다.

RADIUS

기본 및 보조 RADIUS 서버 둘 다에 대한 설정을 구성하는 경우 각각에 대한 정보를 가져옵니다.

  • 인증 서버의 IP 주소 또는 DNS 이름
  • 인증 서버의 프로토콜 메시지에서 암호화 및 암호 해독에 사용되는 공유 암호
  • 인증 포트 번호(일반적으로 RADIUS의 경우 1812/UDP)
  • 인증 프로토콜 유형. 인증 유형에는 PAP(Password Authentication Protocol), CHAP(Challenge Handshake Authentication Protocol), MSCHAP1, MSCHAP2(Microsoft Challenge Handshake Authentication Protocol, 버전 1 및 2)가 포함됩니다.
    참고: RADIUS 벤더에서 권장하는 인증 프로토콜을 RADIUS 벤더의 설명서에서 확인하고 지시된 프로토콜 유형을 따르십시오. RADIUS와 함께 2단계 인증을 지원하는 포드의 기능이 Unified Access Gateway 인스턴스에서 제공되며, Unified Access Gateway는 PAP, CHAP, MSCHAP1 및 MSCHAP2를 지원합니다. PAP는 일반적으로 MSCHAP2보다 덜 안전합니다. 또한 PAP는 MSCHAP2보다 더 간단한 프로토콜입니다. 결과적으로, 대부분의 RADIUS 벤더는 좀 더 간단한 PAP 프로토콜과 호환되지만, 일부 RADIUS 벤더의 경우 좀 더 안전한 MSCHAP2와 호환되지 않게 됩니다.
RSA SecurID
참고: RSA SecurID 유형은 매니페스트 3139.x 이상을 실행하는 Horizon Cloud on Microsoft Azure 배포에서 지원됩니다. [포드 추가] 및 [포드 편집] 마법사에서 RSA SecurID 유형을 지정하는 UI 옵션은 2022년 3월 중순부터 마법사에서 선택할 수 있도록 표시됩니다.
  • RSA SecurID Authentication Manager 서버의 액세스 키.
  • RSA SecurID 통신 포트 번호입니다. 일반적으로 RSA SecurID 인증 API에 대한 RSA Authentication Manager 시스템 설정에 설정된 5555입니다.
  • RSA SecurID 인증 관리자 서버의 호스트 이름입니다.
  • 해당 RSA SecurID Authentication Manager 서버의 IP 주소.
  • RSA SecurID Authentication Manager 서버 또는 해당 로드 밸런서 서버에 자체 서명된 인증서가 있는 경우 [포드 추가] 마법사에서 제공할 CA 인증서가 필요합니다. 인증서는 PEM 형식이어야 합니다(파일 유형 .cer 또는 .cert 또는 .pem).