Horizon Cloud on IBM Cloud 19.1 배포 - VMware Horizon Cloud ... · 소개 1 VMware Horizon® Cloud Service™는 VMware의 클라우드 서비스 제품군으로, 가상 데스크톱

Horizon Cloud on IBMCloud 19.1 배포

VMware Horizon Cloud Service on IBM Cloud 19.1VMware Horizon Cloud Service

다음 VMware 웹 사이트에서 최신 기술 문서를 확인할 수 있습니다.

https://docs.vmware.com/kr/

본 문서에 대한 의견이 있으시면 다음 주소로 피드백을 보내주십시오.

[email protected]

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

VMware 코리아서울시 강남구영동대로 517아셈타워 13층(우) 06164전화:+82 2 3016 6500팩스: +82 2 3016 6501www.vmware.com/kr

Copyright © 2019 VMware, Inc. All rights reserved. 저작권 및 상표 정보

Horizon Cloud on IBM Cloud 19.1 배포

VMware, Inc. 2

https://docs.vmware.com/kr/

mailto:[email protected]

http://pubs.vmware.com/copyright-trademark.html

목차

1 소개 5

2 VMware Horizon Cloud Service on IBM Cloud 정보 6VMware Horizon Cloud Service 제품군이란? 6

서비스 설명 8

시스템 아키텍처 8

영역 이해 9

Horizon Cloud Service 환경 관리 9

데스크톱 및 RDSH 서버 이미지 관리 10

Horizon Cloud Service 데스크톱 및 애플리케이션에 연결 10

회사 또는 엔터프라이즈 리소스에 연결 10

3 전략적 네트워크 옵션 선택 12시작하기 전에: 의사 결정 및 책임 12

사용자의 결정 13

사용자의 책임 13

방화벽 및 포트에 대한 사전 요구 사항 15

로컬 연결 16

원격 연결 17

끝점 운영 체제 방화벽 포트 17

대역폭 고려 사항 18

VPN 및 Direct Connect 19

VPN 이해 20

사이트 간 IPsec VPN을 통한 트래픽 전송 20

IPsec VPN 매개 변수 21

VPN 연결 옵션 22

Direct Connect 이해 28

Direct Connect 옵션에 대한 소유권 영역 28

전용 연결 또는 MPLS Direct Connect VPN을 통한 트래픽 전송 29

Network Exchange를 통한 트래픽 전송 30

동일한 데이터 센터에 기존 랙 연결 30

Direct Connect 연결 옵션 30

Direct Connect 설정 36

네트워크 라우팅 36

분할 DNS 36

샘플 테넌트 네트워크 아키텍처 37

추가 고려 사항 39

통합된 Active Directory와 격리된 Active Directory 중에서 선택 39

VMware, Inc. 3

서브넷 고려 사항 39

Horizon Cloud Service 사용자 포털 및 관리 콘솔 포털 URL 선택 41

4 Active Directory 요구 사항 충족 43기존 Active Directory 또는 격리된 Active Directory 중에서 선택 43

Active Directory에 대한 서비스 계정 생성 44

Active Directory용 그룹 생성 44

Active Directory에 대한 고유한 Horizon Cloud Service OU 생성 44

DHCP 범위 및 옵션 코드 74 설정 또는 수동으로 DaaS 에이전트 구성 45

5 최적화된 이미지 생성 46데스크톱 이미지 최적화 46

필요한 이미지 수 결정 46

기존 또는 인스턴트 클론 이미지 사용 47

RDSH 서버용 이미지 생성 47

전용, 부동 및 세션 데스크톱 이해 48

3D 그래픽 옵션 선택 48

자동 바이러스 백신 업데이트 단계별 수행 49

6 원격 애플리케이션 관리 50

7 이미지 관리 전략 51프로파일 관리 51

리디렉션할 대상 결정 52

리디렉션 방법 결정 52

리디렉션할 위치 결정 52

패치 관리 53

자동 업데이트 기능 해제 53

하위 집합 풀의 패치 및 업데이트 테스트 54

백업 전략 54


VMware, Inc. 4

소개 1VMware Horizon® Cloud Service™는 VMware의 클라우드 서비스 제품군으로, 가상 데스크톱 및

애플리케이션을 지원되는 모든 디바이스의 최종 사용자에게 제공할 수 있습니다. Horizon Cloud

Service는 VMware에서 호스팅된 IBM 클라우드 인프라로 사용하거나 고유한 온 프레미스 인프라에

호스팅하여 사용할 수 있습니다. 두 시나리오에서 인프라 관리는 Horizon Cloud Service 애플리케이

션에서 수행됩니다.

이 문서에 대한 정보

이 문서에서는 VMware Horizon Cloud Service on IBM Cloud를 중점적으로 설명합니다. 배포 중

에 발생할 수 있는 가장 일반적인 문제를 설명하고 자체 구현에서 이러한 문제를 피하는 방법에 대한

팁을 제공합니다. 여기에서 설명하는 일반적인 고려 사항은 각기 다른 고유한 환경에서도 Horizon

Cloud Service on IBM Cloud를 가장 효과적으로 배포하는 데 도움이 될 수 있습니다.

대상

이 문서는 IT 의사 결정권자, 설계자, 관리자 및 Horizon Cloud Service on IBM Cloud 배포에 대해

배우려고 하거나 이러한 배포 작업을 진행 중인 사용자를 위해 작성되었습니다. Active Directory,

SQL 및 Microsoft Management Console과 같은 Windows 데이터 센터 기술에 익숙해져야 합니

다. 또한 클라우드 컴퓨팅, S2S(사이트 간) VPN 및 MPLS(다중 프로토콜 레이블 전환) 네트워크에

도 익숙해져야 합니다.

VMware, Inc. 5

VMware Horizon Cloud Serviceon IBM Cloud 정보 2이 섹션에서는 Horizon Cloud Service on IBM Cloud에 대한 개요를 제공합니다.

본 장은 다음 항목을 포함합니다.

n VMware Horizon Cloud Service 제품군이란?

n 서비스 설명

n 시스템 아키텍처

VMware Horizon Cloud Service 제품군이란?

Horizon Cloud Service는 온 프레미스 인프라 또는 VMware의 완전 관리형 인프라를 포함하는 여러

배포 옵션에서 확장할 수 있는 특정 용도의 클라우드 플랫폼을 사용하여 가상 데스크톱 및 애플리케이

션을 제공합니다. 이 서비스는 클라우드 확장 아키텍처를 지원하여 가상화된 Windows 데스크톱 및

애플리케이션을 여러 디바이스에 전달함으로써 설정 및 확장을 간소화합니다.

VMware, Inc. 6

그림 2-1. VMware Horizon Cloud Service 제품군

Horizon Cloud Service on IBM Cloud

Horizon Cloud Service on IBM Cloud는 보안 및 제어에 대한 엔터프라이즈 요구 사항을 유지 관리

하면서 Windows 데스크톱 및 애플리케이션을 클라우드 서비스로 간편하게 전달할 수 있도록 지원합

니다. 최종 사용자는 전체 업무 공간을 활용하므로 거의 모든 위치에 있는 다양한 디바이스 유형에서

액세스할 수 있습니다. 또한 Horizon Cloud Service on IBM Cloud는 비즈니스의 필요 및 요구에

따라 커지거나 작아질 수 있는 유연한 요청 시 데스크톱 및 애플리케이션 전달 플랫폼도 제공합니다.


VMware, Inc. 7

Horizon Cloud Service with On-Premises Infrastructure

이 문서에서 다루지 않는 VMware Horizon Cloud Service with on-premises infrastructure는 클

라우드의 경제적 이점을 하이퍼 통합 인프라의 단순성과 결합합니다. 이 서비스를 사용하면 클라우드에

서 온 프레미스 가상 데스크톱 및 애플리케이션을 전달 및 관리하기 위한 중앙 집중식 솔루션이 제공됩

니다.

Horizon Cloud Service 관리 콘솔

Horizon Cloud Service 관리 콘솔은 사용하기 쉬운 단일 웹 기반 콘솔을 통해 데스크톱 및

RDSH(원격 데스크톱 세션 호스트)에 대한 전체 수명 주기 관리를 제공합니다. 조직은 중앙 집중식

Horizon Cloud Service 관리 콘솔을 통해 기본 및 원격 애플리케이션뿐만 아니라 데스크톱 모델 및

사용 권한을 안전하게 프로비저닝하고 관리할 수 있습니다. 또한 관리 콘솔은 다양한 사용자, 운영 및

용량 관리 작업에 대한 사용량 및 활동 보고서를 제공합니다.

서비스 모델

Horizon Cloud Service 패키지는 성능 요구 사항을 충족하도록 구성할 수 있는 표준 크기로 제공됩

니다. 엔터프라이즈에 맞게 필요에 따라 데스크톱 예약 용량을 혼합하고 일치할 수 있습니다.

서비스 설명

"서비스 설명: VMware Horizon Cloud Service on IBM Cloud" 문서에서는 구성 요소, 정의 및 서

비스 기능에 대해 자세히 설명합니다. 여기에는 Horizon Cloud Service on IBM Cloud 플랫폼에 포

함된 라이센싱, 관리 및 사용자 포털, 서비스 제품 및 기능에 대한 정보가 포함됩니다. Horizon Cloud

Service에 대한 자세한 내용을 보려면 이 문서를 검토하십시오.

시스템 아키텍처

이 항목에서는 Horizon Cloud Service on IBM Cloud 시스템의 개요를 제공합니다.

Horizon Cloud Service on IBM Cloud는 다음과 같은 주요 구성 요소로 구성되어 있습니다.

구성 요소 설명

이미지(이미지 템플릿이라고도 함) 데스크톱 또는 애플리케이션 할당을 생성하기 위해 Horizon Cloud Service

인프라에서 사용할 수 있는 데스크톱 또는 RDSH 서버 이미지입니다. VM(가

상 시스템)이 복제되는 기본 이미지로 사용됩니다.

VMware Horizon Client™ 데스크톱, 씬 클라이언트, 모바일 디바이스 또는 태블릿에 설치되어 Horizon

Cloud Service 호스팅 데스크톱 및 애플리케이션에 쉽게 연결할 수 있도록

지원하는 소프트웨어 기반 클라이언트입니다.

Horizon Cloud Service 테넌트 장치 데스크톱 및 애플리케이션 브로커링, 프로비저닝 및 사용 권한 서비스를 제공

하는 강화된 Linux 장치입니다. 최종 사용자 및 관리 포털을 호스팅합니다.

Horizon Cloud Service 호스팅 가상 데스크

톱

Horizon Cloud Service에 호스팅되는 가상화되고 최적화된 데스크톱입니다.

가상 데스크톱은 단일 연결을 지원하며 최종 사용자에게 완전한 기능의 데스크

톱을 제공합니다. Horizon Cloud Service 에이전트는 Horizon Client의 연

결을 지원하기 위해 가상 데스크톱에 설치됩니다.


VMware, Inc. 8

구성 요소 설명

Horizon Cloud Service 호스팅 RDSH Microsoft 원격 데스크톱 서비스 및 VMware Horizon 기술을 사용하여

Horizon Cloud Service에서 애플리케이션 및 전체 공유 데스크톱을 제공하

기 위한 서버 기반 모델입니다. 각 가상 데스크톱에 대한 단일 연결에 비해,

RDSH 서버는 여러 다른 사용자의 여러 데스크톱 및 애플리케이션 세션을 지

원할 수 있습니다. Horizon Cloud Service 에이전트는 Horizon Client의 연

결을 지원하기 위해 RDSH 서버에 설치됩니다.

데스크톱 및 서비스 서브넷 데스크톱, 애플리케이션 및 관리 연결을 허용하기 위해 할당하는 고유한 IP 서

브넷입니다. 데스크톱 영역은 가상 데스크톱 및 RDSH 서버에 데스크톱 서브

넷을 사용합니다. 서비스 영역은 테넌트 장치 및 기타 유틸리티 서비스에 서비

스 서브넷을 사용합니다.

Horizon Cloud Service 사용자 포털 HTML5를 사용하여 사용자에게 Horizon Cloud Service 데스크톱 및 애플리

케이션에 대한 클라이언트리스 액세스를 제공하는 웹 기반 포털입니다.

Horizon Cloud Service 관리 콘솔 IT 관리자가 Horizon Cloud Service 데스크톱 및 애플리케이션, 리소스 사용

권한 및 이미지를 프로비저닝하고 관리하는 데 사용되는 웹 기반 포털입니다.

Edge Gateway NAT, DHCP, VPN 및 로드 밸런서와 함께 보안 영역 및 가상화된 네트워크를

격리하기 위한 네트워크 Edge 보안 및 게이트웨이 서비스를 제공하는 게이트

웨이입니다.

VMware Unified Access Gateway Horizon Cloud Service 환경에 대한 보안 원격 액세스를 허용하고 보안 영

역(외부 Horizon Cloud Service 액세스의 경우) 및 서비스 영역(내부

Horizon Cloud Service 액세스의 경우)에 속하는 강화된 Linux 장치입니다.

추가 용어 및 개념은 온라인 "VMware 기술 발행물 용어집" 을 참조하십시오.

영역 이해

Horizon Cloud Service on IBM Cloud에서는 기능에 따라 서로 다른 리소스를 분리하는 영역을 설

정합니다. Horizon Cloud Service에는 세 개의 영역이 있습니다. 각 영역은 Horizon Cloud

Service 배포마다 고유하며 공유되지 않습니다.

영역 설명

보안 영역 외부 Unified Access Gateway 장치가 상주하는 DMZ입니다. Horizon Cloud Service 테넌트

환경에 대한 보안 원격 액세스를 지원합니다.

서비스 영역 테넌트 장치, 유틸리티 서버 및 내부 Unified Access Gateway 장치를 포함하여 Horizon

Cloud Service가 호스팅되는 위치.

데스크톱 영역 데스크톱 및 RDSH 서버를 호스팅하는 영역입니다.

Horizon Cloud Service 환경 관리

Horizon Cloud Service에서 다양한 관리 작업을 수행할 수 있습니다.

n Horizon Cloud Service 관리 콘솔을 통해 데스크톱, RDSH 데스크톱 및 애플리케이션을 프로비

저닝할 수 있습니다.

n 2단계 인증 및 Active Directory에 대한 설정을 구성하고, 데스크톱과 애플리케이션 사용 권한을

관리하고, 인스턴트와 기존 클론 이미지를 배포 및 업데이트하고, 시스템과 데스크톱 상태를 모니

터링 및 관찰하고, 웹 인터페이스를 통해 사용량과 관리 작업 보고서를 확보할 수 있습니다.


VMware, Inc. 9

자세한 내용은 Horizon Cloud Service on IBM Cloud 관리 가이드를 참조하십시오.

데스크톱 및 RDSH 서버 이미지 관리

최상의 사용자 환경을 보장하려면 데스크톱 및 RDSH 이미지를 적절히 최적화하고 구성해야 합니다.

Horizon Cloud Service를 사용하여 고유한 이미지 또는 VMware Horizon Cloud Service 팀에서

제공하는 이미지를 사용할 수 있습니다.

n 이 이미지가 테넌트 플랫폼에 업로드됩니다.

n 애플리케이션 설치를 완료하고, 이미지를 조정 및 최적화하고, 업데이트하는 등의 작업을 할 수 있

습니다.

n 이미지가 준비되면 이미지 템플릿으로 변환됩니다.

n Horizon Cloud Service에서 데스크톱 및 애플리케이션 할당을 위해 이 이미지 템플릿을 사용할

수 있습니다.

이미지를 업데이트해야 할 경우 기존 이미지 템플릿을 업데이트하거나 새 이미지를 업로드할 수 있습니

다. 배포된 데스크톱 및 RDSH 서버를 업데이트하려면 새 이미지를 데스크톱 또는 원격 애플리케이션

할당에 연결합니다. 자세한 내용은 장 7 이미지 관리 전략을 참조하십시오.

Horizon Cloud Service 데스크톱 및 애플리케이션에 연결

Horizon Cloud Service 사용자는 모바일, 태블릿, 씬 또는 기존 Mac이나 PC 컴퓨팅 디바이스뿐만

아니라 웹 브라우저에서 데스크톱 및 애플리케이션에 연결할 수 있습니다.

사용자는 Horizon Client를 시작하고 Unified Access Gateway를 통해 데스크톱 또는 애플리케이션

에 안전하게 연결합니다. Unified Access Gateway에 대한 사용자 연결은 Horizon Cloud Service

로의 회사 연결 또는 Horizon Cloud Service에서 호스팅된 인터넷 연결을 통해 설정될 수 있습니다.

단일 또는 2단계 인증을 완료하면 인증된 애플리케이션 및 데스크톱 목록이 표시됩니다. 리소스를 클

릭하고, Blast Extreme 또는 PCoIP 디스플레이 프로토콜을 사용하여 연결합니다.

Horizon Client가 없는 디바이스를 사용하거나, 애플리케이션 및 데스크톱에 빠르게 액세스해야 하는

경우에는 웹 브라우저를 사용하여 동일한 내부 또는 인터넷 연결 방법을 통해 Horizon Cloud

Service 사용자 포털에 연결할 수 있습니다. 안전하게 로그인한 후에는 VMware HTML5 기반 클라이

언트를 사용하여 데스크톱 및 애플리케이션을 실행할 수 있는 옵션이 제공됩니다.

회사 또는 엔터프라이즈 리소스에 연결

Horizon Cloud Service on IBM Cloud는 기존 데이터 센터 또는 네트워크를 통해 회사 또는 엔터프

라이즈 애플리케이션과 데이터에 연결하는 몇 가지 방법을 제공합니다.

설치 프로세스 동안 VPN, 전용 연결, MPLS 또는 Network Exchange를 포함하여 서로 다른 연결

유형 및 속도 중에서 선택할 수 있습니다. 또한 회사 네트워크에서 Horizon Cloud Service 환경을 완

전히 격리할 수도 있습니다. 사용자가 가상 데스크톱 또는 RDSH 데스크톱이나 애플리케이션에서 회

사 리소스를 요청하면 네트워크 트래픽이 Horizon Cloud Service 데이터 센터와 회사 데이터 센터

간의 미리 구성된 연결을 통과합니다.


VMware, Inc. 10

사용자 프로파일 또는 개인 설정과 같은 일부 리소스는 Horizon Cloud Service 테넌트에서 호스팅되

어 더 유용하게 제공됩니다. 서비스 영역에 있는 유틸리티 서버는 Horizon Cloud Service 인프라를

지원하는 서비스에 리소스를 제공하는 Windows 기반 서버입니다. 사용자 프로파일 및 개인 설정 데

이터 외에도, Active Directory, VMware User Environment Manager™, DHCP, DNS 및 파일 서

비스를 제공하도록 유틸리티 서버를 구성할 수도 있습니다. 일부 서비스에는 추가 스토리지를 구매해야

할 수 있습니다.

아래 다이어그램에서는 최종 사용자, 환경 및 Horizon Cloud Service 간에 네트워크 연결을 사용하

는 일반적인 Horizon Cloud Service on IBM Cloud 배포를 보여 줍니다. 최종 사용자가 인터넷을

통해 또는 회사 네트워크에 있을 때만 클라우드 호스팅된 가상 데스크톱에 액세스할 수 있는지 여부를

선택할 수 있습니다.

그림 2-2. 일반적인 Horizon Cloud Service on IBM Cloud 배포 모델


VMware, Inc. 11

전략적 네트워크 옵션 선택 3이 섹션에서는 Horizon Cloud Service on IBM Cloud에서 사용할 수 있는 네트워크 연결 옵션을 집

중적으로 설명하고 네트워킹 아키텍처 및 요구 사항에 대한 개요를 제공합니다. 여기에는 Horizon

Cloud Service on IBM Cloud를 구현하는 동안 네트워킹, 보안 및 기타 인프라 관련자로부터 승인을

획득하는 데 필요한 정보가 포함되어 있습니다.

n 예제에서는 가상의 MYCOMPANY를 사용합니다.

n 일부 섹션은 사용자 배포에 적용되지 않을 수도 있습니다. 선택적 섹션은 명확하게 표시됩니다. 주

문 세부 사항에 대해 질문이 있는 경우 Horizon Cloud 설정 웹 양식을 참조하거나 VMware 또는

VMware 부가가치 리셀러에 문의하십시오.


n 시작하기 전에: 의사 결정 및 책임

n 방화벽 및 포트에 대한 사전 요구 사항

n 대역폭 고려 사항

n VPN 및 Direct Connect

n VPN 이해

n Direct Connect 이해

n 분할 DNS

n 샘플 테넌트 네트워크 아키텍처

n 추가 고려 사항

시작하기 전에: 의사 결정 및 책임

성공적이면서 편리한 배포는 Horizon Cloud Service에 참여하는 팀 간의 양호한 의사소통에 따라 좌

우됩니다. 즉, 개시 전, 도중 및 이후에 잘 통합된 방식으로 함께 작업해야 합니다.

배포에 가장 적합한 구성 옵션을 결정할 때 유의해야 할 몇 가지 고려 사항이 있습니다. 여러 이해 관계

자 및 실무 전문가와 협력하여 최상의 옵션을 찾을 수 있습니다.

VMware, Inc. 12

사용자의 결정

Horizon Cloud Service 배포를 계획할 때 다음 질문에 답변할 수 있도록 준비합니다.

n 기존 디렉토리, 파일, 애플리케이션 및 인쇄 서비스를 사용하기 위해 클라우드 호스팅 데스크톱 및

호스팅 애플리케이션을 내 환경에 통합하려고 하십니까?

n 그렇다면 내 사용자의 인터넷 바인딩 데스크톱 트래픽을 어떤 경로로 전송하려고 하십니까?

• VMware 데이터 센터를 통해

• 조직의 네트워크를 통해

n 그렇다면 해당 리소스에 액세스하기 위해 얼마나 많은 트래픽이 가상 데스크톱/호스팅 애플리

케이션과 조직의 네트워크 간 연결을 통과해야 합니까?

• IPsec VPN은 충분하십니까?

• 또는 MPLS와 같은 전용 연결이 필요하십니까?

• 연결에 수동 또는 자동 페일오버가 필요하십니까?

n 필요하지 않은 경우 사용 사례를 지원하기 위해 어떤 인프라가 필요하며 어디에 배치하셔야 합

니까?

• 디렉토리, 파일 및 애플리케이션 서비스가 필요하십니까?

• 필요한 모든 것을 Horizon Cloud Service 테넌트에 배치하실 수 있습니까?

• 또는 IaaS 테넌트가 필요하십니까?

n 직원들이 조직의 네트워크 외부에 있는 해당 데스크톱에 액세스할 수 있도록 하시겠습니까?

n 그렇다면 사용자 지정 URL을 사용하시겠습니까 아니면 VMware에서 제공한 URL을 사용하시

겠습니까?

• desktop.mycompany.com을 사용하시겠습니까?

• 또는 mycompany.horizon.vmware.com을 사용하시겠습니까?

참고 데스크톱 서브넷 및 IP 주소에 대한 질문은 서브넷 고려 사항의 내용을 참조하십시오.

사용자의 책임

사용자에게 부여되는 책임 및 사용자의 팀과 VMware 팀 간에 공유되는 책임을 이해하는 것이 중요합

니다. Horizon Cloud Service on IBM Cloud의 배포 작업은 아래 표에 나와 있는 것처럼 몇 가지

기본 책임 영역으로 구분할 수 있습니다.


VMware, Inc. 13

단계 책임 영역

프로젝트 개시 VMware를 사용한 SME:

n 회의(내 잠재 고객 및 VMware의 잠재 고객)

n 팀에 데스크톱 관리자, 데스크톱 엔지니어링, 보안 및 네트워크 SME 포함

n 프로비저닝 요구 사항 검토 및 논의

n Horizon Cloud 설정 웹 양식을 사용하여 정보 수집

n VMware 제공 템플릿을 통해 성공 기준 설정

n 다음 단계 계획

용량 주문 VMware:

n 데이터 센터 인프라에서 테넌트 용량 주문

n Horizon Cloud Service on IBM Cloud에 대한 용량 구성

네트워크 설정 VMware:

n VPN 및 Direct Connect 구성 및 액세스 설정

n DHCP, DNS, VPN 및 Direct Connect 구성

SME:

n DHCP, Active Directory 및 DNS 구성

n SSL 인증서 제공

n VPN 및 Direct Connect 정보 제공

테넌트 설정 VMware:

n Horizon Cloud Service on IBM Cloud 설정

n 스토리지 구성

n Unified Access Gateway 설정

n 테넌트 장치 설치

n 표준 데스크톱 용량 설정

네트워크 상호 연

결

VMware:

n SSL 인증서 설치

VMware를 사용한 SME:

n 연결 테스트 및 검증

VMware:

n Horizon Cloud Service 관리 콘솔 URL 제공

n 스타터 이미지 템플릿 제공

SME:

n Active Directory 등록

n 사후 테스트(선택 사항) 및 애플리케이션 설치

최종 설정 및 테

스트

SME:

n VMware에서 제공한 스타터 이미지 템플릿에 애플리케이션 설치

VMware:

n 스타터 이미지 템플릿을 가져와서 테넌트로 이동


VMware, Inc. 14

단계 책임 영역

SME:

n 이미지 생성

n 할당 생성

n 테스트 데스크톱 할당 및 검증

VMware:

n 기술 자료 전송 실시

n 지원 설정

완료 VMware를 사용한 SME:

n 설치가 완료되었음에 동의

n VMware에서 고급 온보딩 서비스 제공(선택 사항)

n 모든 성공 기준을 충족했는지 확인

사용자의 책임

프로토콜에 대해 필요한 모든 내부 및 외부 네트워크 트래픽 포트가 사용하도록 설정되어 있는지 확인

합니다(방화벽 및 포트에 대한 사전 요구 사항 참조). 또한 해당 구성에서 배포하도록 선택한 경우,

IPsec VPN 터널의 조직 측 작업에 관한 책임도 사용자에게 있습니다. 전용 연결, MPLS 또는

Network Exchange를 배포하는 경우에는 선호하는 통신사 또는 원격 통신 제공자를 사용하여

VMware 데이터 센터에 대한 연결을 설정해야 합니다.

VMware의 책임

사용자가 선택한 네트워크 연결 옵션에 따라, VMware는 성공적인 연결에 필요한 정보를 제공합니다.

n IPsec VPN – VMware는 IPsec 터널을 설정하는 데 필요한 정보를 제공하며 VPN IPsec 터널

구성의 VMware 측 작업을 담당합니다.

n 전용 연결, MPLS, Network Exchange 또는 기존 랙 - VMware는 네트워크 서비스 제공자와 사

용자의 네트워킹 장비 및 VMware 데이터 센터의 Horizon Cloud Service 테넌트 간 상호 연결

을 구성합니다. VMware에서 Cross Connect 옵션 또는 Network Exchange를 사용하는

Direct Connect 옵션을 구매해야 합니다. 모든 연결 유형에 대해 VMware는 사용자와 함께 작업

하면서 성공적인 연결에 필요한 네트워크 테스트를 수행합니다.

n Island 테넌트 – VMware와 인프라 간 통합 없이 Island 테넌트를 배포하는 경우 VMware는

Active Directory, DNS 및 DHCP 서버로 사용할 유틸리티 서버를 제공합니다. 클라우드 호스팅

데스크톱이 제대로 작동하려면 테넌트에 Active Directory 도메인 컨트롤러 및 지원 서비스를 배

포해야 합니다.

방화벽 및 포트에 대한 사전 요구 사항

이 섹션에는 Horizon Cloud Service 환경에 성공적으로 연결하는 데 사용할 포트를 나열합니다. 열

린 방화벽 포트에는 끝점 디바이스, 테넌트 장치 및 VMware Unified Access Gateway™를 들어오

고 나가는 모든 원격 연결이 포함됩니다.

Active Directory 설계에 따라 추가 포트가 필요할 수도 있습니다. Horizon Cloud Service 담당자에

게 문의하여 이 정보가 사용자 환경에 적합한지 확인하십시오.


VMware, Inc. 15

로컬 연결

Horizon Cloud Service에 성공적으로 연결하려면 IPsec VPN, 전용 연결, MPLS, Network

Exchange 또는 기존 랙에서 아래 표에 나열된 포트를 허용하십시오.

소스 대상 사용 중인 포트 설명

Horizon Cloud Service Active Directory 인프라 TCP/389

UDP/389

보안 인증을 위해 LDAP 또는

LDAP SASL GSSAPI를 사용

하여 Horizon Client

VMware Horizon Cloud

Service 사용자 포털 및


Service 관리 콘솔에서 사용

자를 인증합니다. 구성된 사용

자 그룹 및 해당 멤버는 성능

향상을 위해 테넌트 인프라에

캐시됩니다.

Horizon Cloud Service Active Directory 인프라 TCP/3268 Active Directory 글로벌 카탈

로그 조회 및 검색

Horizon Cloud Service Active Directory 인프라 TCP/88

UDP/88

Kerberos 인증에 사용

Horizon Cloud Service DNS TCP/53

UDP/53

DNS에 사용

Horizon Cloud Service DHCP 또는 DHCP 릴레이

서버

UDP/67

UDP/68

DHCP 및 DHCP 릴레이에 사

용

Horizon Cloud Service RSA 인증 관리자 UDP/5500 테넌트가 SecurID를 사용하는

경우 RSA 인증 관리자와 통신

합니다. 인증 관리자는 테넌트

장치의 다른 데이터 센터에 위

치할 수 있습니다. 페일오버에

사용되는 고가용성 인증 관리

자를 원격으로 찾을 수도 있습

니다.

Horizon Cloud Service RADIUS 서버 UDP/1812

UDP/1813

테넌트가 RADIUS를 사용하는

경우 RADIUS 기반 인증 기능

과 통신합니다.

사이트 및 끝점 디바이스 Horizon Cloud Service TCP/8443

UDP/8443

Blast Extreme에 사용


UDP/443

Blast Extreme에 사용


UDP/4172

PCoIP에 사용


VMware, Inc. 16



TCP/443




Service 관리 콘솔에 액세스

합니다. 기본 Horizon Client

는 처음으로 Horizon Cloud

Service 리소스에 연결할 때

도 사용됩니다. 원격 액세스를

사용하도록 설정한 경우 사용

자 포털을 공개적으로 사용할

수 있어야 합니다. 포트 80은

포트 443으로 리디렉션됩니

다.

사이트 및 끝점 디바이스 Horizon Cloud Service TCP/443 관리 콘솔 내 포털 액세스에 사

용

원격 연결

공용(인터넷) 위치에서 가상 데스크톱 또는 애플리케이션에 성공적으로 연결하려면 아래 표에 나열된

포트를 허용하십시오.


사이트 및 끝점 디바이스 Horizon Cloud Service TCP/8443 UDP/8443 Blast Extreme에 사용

사이트 및 끝점 디바이스 Horizon Cloud Service TCP/443 UDP/443 Blast Extreme에 사용

사이트 및 끝점 디바이스 Horizon Cloud Service TCP/4172 UDP/4172 PCoIP에 사용

사이트 및 끝점 디바이스 Horizon Cloud Service TCP/80, TCP/443 VMware Horizon Cloud



Service 관리 콘솔에 액세스

합니다. 기본 Horizon Client

는 처음으로 Horizon Cloud

Service 리소스에 연결할 때

도 사용됩니다. 원격 액세스를

사용하도록 설정한 경우 사용

자 포털을 공개적으로 사용할

수 있어야 합니다. 포트 80은

포트 443으로 리디렉션됩니

다.

사이트 및 끝점 디바이스 Horizon Cloud Service TCP/443 관리 콘솔 내 포털 액세스에 사

용

끝점 운영 체제 방화벽 포트

끝점 기반 방화벽 솔루션이 있는 경우 성공적인 연결을 위해 아래 표에 나열된 포트가 가상 데스크톱

또는 RDSH(원격 데스크톱 세션 호스트) 서버에서 열려 있는지 확인합니다.


VMware, Inc. 17


Horizon Cloud Service 데스크톱 또는 RDSH 서버 TCP/22443 UDP/22443 Blast Extreme에 사용

Horizon Cloud Service 데스크톱 또는 RDSH 서버 TCP/32111 USB에 사용

Horizon Cloud Service 데스크톱 또는 RDSH 서버 TCP/9427 CDR(클라이언트 드라이버 리

디렉션) 및 MMR(멀티미디어

리디렉션)에 사용

Horizon Cloud Service 데스크톱 또는 RDSH 서버 TCP/4172 UDP/4172 PCoIP에 사용

대역폭 고려 사항

적절한 사용자 환경을 제공하는 데 발생하는 문제점에는 지연 시간, 프로토콜 선택, 거리, 대역폭 및 연

결 중단이 포함됩니다.

네트워킹 솔루션을 선택할 때는 다음 요소를 고려하십시오.

항목 설명

조직의 요구 사항 모든 조직의 요구 사항은 서로 다릅니다. 예상되는 계산 작업 및 워크로드 유형,

그래픽 강도, 사용자 위치, 사용된 주변 기기 및 각 사용자 유형에 따른 평균 대역

폭 사용량 등의 요구 사항을 평가합니다.

대역폭 사용량 선택한 프로토콜, 모니터 해상도 및 구성, 워크로드의 멀티미디어 컨텐츠 양을 비

롯한 다양한 요소가 네트워크 대역폭에 영향을 미칠 수 있습니다. 여러 애플리케

이션의 동시 스트리밍도 급격한 사용량을 초래할 수 있습니다. 미치는 영향이 매

우 다양하므로 여러 조직이 시험 프로젝트 과정에서 대역폭 사용량을 모니터링합

니다.

연결을 통과하는 트래픽 조직의 애플리케이션, 파일 서버 및 인증에 액세스하는 데 필요한 트래픽 양을 고

려합니다.

CPU 및 RAM 포화도 Horizon Cloud Service에 연결하는 데 사용되는 물리적 네트워크 디바이스를

검사하여 현재 CPU 및 RAM 포화도와 사용 가능한 처리량을 파악합니다. 오래된

디바이스는 고속, 암호화 및 여러 터널을 동시에 유지 관리하지 못할 수 있습니다.

대역폭 Horizon Cloud Service를 배포하고 Horizon Cloud Service 제공 인터넷 연결

을 활용하는 경우 배포된 데스크톱 수 및 모델을 기준으로 최대 대역폭이라는 특

정 크기의 네트워크 대역폭이 보장됩니다. Horizon Cloud Service에서 인터넷

에 대한 연결의 일부로 할당된 대역폭입니다. 자세한 내용은 "서비스 설명:

VMware Horizon Cloud Service on IBM Cloud" 를 참조하십시오.

네트워크 및 애플리케이션 평가 성공적인 Horizon Cloud Service 배포를 보장하려면 철저한 네트워크 및 애플

리케이션 평가로 지연 시간 및 패킷 손실 요구 사항을 충족하면서 필요한 대역폭

을 지원할 구성을 결정합니다. 네트워크 정체에도 불구하고 충분한 최소 대역폭을

사용할 수 있도록 종단 간 네트워크의 모든 활성 애플리케이션 트래픽을 포함합니

다.

PCoIP 및 Blast Extreme에서 최적화 컨트

롤 사용 가능

VMware의 PCoIP 또는 Blast Extreme 디스플레이 프로토콜을 사용할 경우 대

역폭 사용에 영향을 미치는 여러 요소를 조정할 수 있습니다. 자세한 내용은

VMware Horizon 설명서의 "PCoIP 일반 설정"과 "VMware Blast 정책 설정"

섹션을 참조하십시오.


VMware, Inc. 18

VPN 및 Direct Connect

Horizon Cloud Service를 배포하기 전에 구현할 네트워크 연결의 유형을 결정합니다.

네트워크 연결은 Horizon Cloud Service 데스크톱 및 RDSH 서버에 데이터 센터 및 네트워크의 애

플리케이션 및 데이터에 대한 액세스 권한을 제공합니다. 또한 네트워크 내부 및 외부의 사용자에게

Horizon Cloud Service 데스크톱 및 애플리케이션 리소스에 연결하기 위한 경로를 제공합니다. 적절

한 기술을 보유하고 있는 관리 및 네트워킹 담당자를 고용하여 다음과 같은 고려 사항을 해결하고 환경

에 Horizon Cloud Service를 효율적으로 통합하도록 하는 것이 중요합니다.

아래 그림에서는 IPsec VPN 및 Direct Connect(전용 연결, MPLS, Network Exchange 또는 랙)

를 사용하는 네트워크 액세스 옵션을 보여 줍니다.

그림 3-1. Horizon Cloud Service on IBM Cloud 배포에 대한 액세스 전략

인터넷에서 Horizon Cloud Service에 액세스

Horizon Cloud Service는 조직의 인프라를 먼저 통과하지 않고 인터넷을 통해 Horizon Cloud

Service on IBM Cloud 데스크톱 및 RDSH 애플리케이션에 직접 액세스하도록 지원합니다. 이 유형

의 연결은 홈 또는 다른 원격 위치에서 작업하는 사용자에게 특히 유용합니다. RSA SecurID 또는

RADIUS 규격 2단계 인증 솔루션을 사용하여 연결을 보호할 수 있습니다. 인터넷 기반 연결은 표준

Horizon Cloud Service 제품의 일부입니다.


VMware, Inc. 19

이상적인 네트워크 연결 유형 선택

두 개의 기본 연결 옵션 중에서 선택할 경우 Horizon Cloud Service 팀에 문의하십시오. 선택 사항은

데스크톱 및 RDSH 서버 수, 네트워크 연결을 통해 발생하는 트래픽 유형을 포함하여 환경 내의 다양

한 변수에 따라 달라집니다.

n IPsec VPN – 더 작은 구현에서는 최대 대역폭이 1GB일 때 VPN이 사용되는 경향이 있지만 다

양한 시나리오에서 IPsec VPN을 사용할 수 있습니다.

n 전용 연결, MPLS 또는 Network Exchange – 전용 연결, MPLS Direct Connect 또는

Network Exchange는 일반적으로 데스크톱 및 RDSH 서버 수가 많거나 사용량이 많을 때(예:

여러 사용자가 동시에 플랫폼에 액세스하거나, 여러 애플리케이션에 액세스하거나, 대규모 파일을

전송하는 경우) 권장됩니다.

참고 문제 해결의 용이성은 이러한 두 옵션 간에 다릅니다. IPsec VPN은 공용 인터넷을 통해 실행되

기 때문에 관련 문제를 해결하는 것이 어려울 수 있습니다. 전용 연결, MPLS Direct Connect 또는

Network Exchange 관련 문제를 해결할 때 모든 과정에 관한 책임은 사용자에게 있으며, 제공자에게

문제 해결을 요청할 수 있습니다.

VPN 이해

Horizon Cloud Service에 대한 네트워크 연결을 설정할 때 VPN, 라우터 하드웨어 및 IPsec 구성을

고려합니다.

사이트 간 IPsec VPN을 통한 트래픽 전송

사이트 간 IPsec VPN은 공용 인터넷을 통해 분리된 네트워크를 서로 연결합니다. 예를 들어 지점 네

트워크는 사이트 간 VPN을 통해 본사 네트워크에 연결할 수 있습니다. 네트워크의 각 사이트에는 라우

터, 방화벽, VPN 집중 장치 또는 보안 장치와 같은 VPN 게이트웨이가 장착되어 있습니다.

원격 네트워크에서 Horizon Cloud Service로 IPsec VPN 연결을 설정하는 것은 IPsec VPN 터널을

설정할 때보다 비교적 간단하고 짧은 시간이 소요되므로 가장 일반적인 시나리오입니다. IPsec VPN

을 사용하는 경우 Edge Gateway의 제한 때문에 최대 대역폭은 약 1Gbps입니다.

사이트 간 IPsec VPN 터널에는 Horizon Cloud Service 인스턴스와 조직 사이트 사이의 논리적 및

암호화된 지점 간 연결이 포함됩니다. 이러한 연결은 비즈니스 애플리케이션, Active Directory, DNS

및 DHCP 서버와 같은 조직의 데이터 센터 서비스에 대한 보안 액세스를 제공합니다. 또한 조직의 네

트워크에서 시작되는 프로토콜 트래픽에 대한 보안 액세스를 제공합니다.

원격 네트워크에서 Horizon Cloud Service로 IPsec VPN 연결을 설정할 때는 다음 사항에 유의하십

시오.


VMware, Inc. 20

항목 설명

지연 시간 급증 IPsec VPN 터널은 공용 인터넷을 통해 구축되고, 지연 시간을 늘릴 수 있는 공용 인터넷

연결의 일반적인 정체 또는 기타 네트워크 관련 문제에 노출됩니다. 공용 인터넷으로 인한

지연 시간 급증은 엔터프라이즈 및 VMware에서 제어할 수 없는 영역입니다.

설정 IPsec VPN을 설정할 때는 성능상의 이유로 라우터 하드웨어를 사용하여 VPN을 관리하

는 것이 좋습니다. Windows 서버를 사용하여 VPN을 설정하는 것은 권장되지 않습니다.

Edge Gateway가 트래픽을 라우팅할 IPsec 터널을 결정할 수 없기 때문에 여러 VPN

연결이 지원되지만 소스 및 대상 목록은 동일하지 않아야 합니다.

이중화 이중화를 위해 2개의 IPsec VPN을 통합할 수 있지만 VPN을 결합하는 것은 지원되지 않

습니다. 첫 번째 VPN은 활성으로 설정되고 보조 VPN은 사용하지 않도록 설정됩니다.

Horizon Cloud Service는 VPN에 대한 자동화된 페일오버를 제공하지 않습니다. 오류

가 발생하는 경우 VPN을 수동으로 페일오버해야 합니다.

Horizon Cloud 설정 웹 양식 VPN 설정 중에는 라우터 벤더, 라우터 모델 및 끝점 IP 주소를 포함하는 정보를 Horizon

Cloud 설정 웹 양식에 제공합니다. VMware는 IPsec VPN 터널을 설정하는 데 사용되

는 Horizon Cloud Service 테넌트의 끝점 IP 주소를 제공합니다. 이 IP 주소는 Horizon

Cloud Service 배포 중에 제공됩니다.

서브넷 VPN 연결 전체에서 허용되는 서브넷(일반적으로, 보호되는 네트워크 목록이나 소스 및

대상 목록이라고 함)을 제공해야 합니다. 이 목록은 VPN을 통과하여 네트워크에서 가상

데스크톱 및 RDSH로 호스팅되는 애플리케이션에 액세스할 수 있는 내부 네트워크와

VPN을 통해 네트워크 내의 다른 서비스에 액세스할 수 있는 가상 데스크톱 및 RDSH 호

스팅 애플리케이션을 정의합니다.

네트워크 라우팅 Horizon Cloud Service에 대한 VPN 기반 연결의 경우 VPN 피어링 프로세스 중에 정

적 라우팅이 구성됩니다. 다른 네트워킹 라우팅 요구 사항이 생기는 경우 VMware 지원

티켓을 열어 네트워크가 추가되도록 합니다.

IPsec VPN 매개 변수

Horizon Cloud 설정 웹 양식은 네트워크와 VMware 데이터 센터 사이에서 사이트 간 VPN을 설정하

도록 선택하는 경우 필수 및 선택적 IPsec VPN 프로토콜 및 매개 변수를 나열합니다.

IPsec VPN의 경우, Horizon Cloud Service는 추가 보안 옵션 및 기능을 제공하는 가상 장치인

Edge Gateway를 사용합니다. Edge Gateway에서는 1단계에 대해서는 기본 모드, 2단계에 대해서

는 빠른 모드를 지원합니다. 이러한 용어에 대한 설명은 네트워킹 엔지니어에게 문의하거나 "VMware

NSX 관리 가이드" 를 참조하십시오.

아래 표에는 각 단계에서 사용할 프로토콜 및 매개 변수가 나와 있습니다. Horizon Cloud Service에

서와 같이 네트워크의 각 단계에 대해 동일한 프로토콜 및 매개 변수를 설정해야 합니다. 예를 들어

ISAKMP 매개 변수는 1단계에 사용되고, IKE 매개 변수는 2단계에 사용되며, Oakley 프로토콜은

MODP 그룹 2와 인증에 사용됩니다. 매개 변수는 모두 필수입니다. Edge Gateway로 업그레이드할

때 키 재입력을 위한 2단계 PFS(Perfect Forward Secrecy)는 선택 사항입니다.

프로토콜 및 매개 변수 1단계 2단계

해시(SHA 또는 MD5) SHA1 SHA1

인증 모드 기본 고속

암호화 AES, AES256, Triple DES, AES-

GCM

AES, AES256, Triple DES, AES-

GCM


VMware, Inc. 21

프로토콜 및 매개 변수 1단계 2단계

Diffie-Hellman 그룹(2, 5, 14, 15 또

는 16)

2 2

캡슐화(AH 또는 ESP) 해당 없음 ESP

수명 28800 3600

Perfect Forward Secrecy 해당 없음 True. 공유 암호 요구 사항: 사용자가 고

유한 공유 암호를 제공하거나, Horizon

Cloud Service에서 양쪽 모두 사용할 무

작위 공유 암호를 생성할 수 있습니다.

n 32 ~ 128자 사이

n 대문자 1자 이상

n 소문자 1자 이상

n 숫자 1개 이상

n 특수 문자 없음

참고 지정된 터널이 데이터를 암호화하는 데 사용하는 수명을 정의하는 SA(보안 연결) 수명 타이머와

같은 일부 IPsec VPN 매개 변수는 Edge Gateway에서 변경할 수 없습니다. 테넌트 장비의 이러한

매개 변수가 Edge Gateway의 매개 변수와 일치하도록 변경해야 합니다. 배포 프로세스에는 두 단계

가 포함되며 1단계와 2단계 모두 SA 수명 타이머를 포함합니다. SA 타이머가 만료되면 양쪽 모두에

대해 인증을 다시 협상합니다. 하지만 Edge Gateway에서는 트래픽을 다시 인증하지 않고 수명 타이

머만 다시 인증합니다. 따라서 테넌트 측의 타이머가 Horizon Cloud Service 측의 타이머와 일치하

도록 설정되지 않으면 VPN 터널에서 문제가 발생할 수 있습니다.

VPN 연결 옵션

VPN을 사용하여 엔터프라이즈에서 Horizon Cloud Service에 연결할 때 선택할 수 있는 몇 가지 연

결 옵션이 있습니다.

Island 테넌트라고 하는 한 가지 옵션은 전용 VPN 또는 엔터프라이즈에 대한 영구 연결을 사용하지

않습니다. 다른 두 옵션은 VPN 연결을 활용하는 방법에 따라, 게스트 내부 인터넷 및 사용자 트래픽

흐름에 사용할 수 있는 서로 다른 라우팅 구성을 강조 표시합니다. 이 프로세스의 핵심 고려 사항은

Horizon Cloud Service에서 제공하는 인터넷 연결과 고유한 네트워크 중에서 인터넷 트래픽이

Horizon Cloud Service 데스크톱 및 애플리케이션에서 라우팅되는 방법을 선택하는 것입니다.

연결 옵션 1: Island 테넌트(VPN 없음)

Horizon Cloud Service 배포를 위한 가장 빠르고 쉬운 옵션은 Island 테넌트를 설정하는 것입니다.

아래 다이어그램에 나와 있는 것처럼 모든 프로토콜 및 게스트 내부 트래픽이 Horizon Cloud

Service 게이트웨이를 통해 Horizon Cloud Service 테넌트로 이동합니다. 고객 네트워크와

Horizon Cloud Service 테넌트 간에는 연결이 없습니다. 모든 데스크톱 사용자, 게시된 애플리케이

션 및 RDSH 서버는 인터넷을 통해 연결됩니다. 가능한 Island 테넌트 사용 사례에 대한 자세한 내용

은 통합된 Active Directory와 격리된 Active Directory 중에서 선택의 내용을 참조하십시오.


VMware, Inc. 22

그림 3-2. 격리된 Island 테넌트 배포 모델


VMware, Inc. 23

연결 옵션 2: Horizon Cloud Service 인터넷 연결을 사용하는 VPN

Horizon Cloud Service 배포를 위한 가장 일반적인 연결 방법은 조직의 네트워크와 Horizon Cloud

Service 테넌트 사이에 VPN을 구성하는 것입니다. 이 방법은 지점 환경과 거의 비슷합니다.

이 옵션에서 데스크톱 애플리케이션, 인증, DHCP 및 DNS와 같은 모든 게스트 내부 트래픽은 VPN을

통과해서 조직의 네트워크로 이동하지만, 사용자의 데스크톱 인터넷 바인딩 트래픽은 Horizon Cloud

Service 게이트웨이를 통해 라우팅됩니다. 또한 외부 사용자는 인터넷을 통해 Horizon Cloud

Service 데스크톱 및 RDSH 서버로 연결되지만, 모든 사용자가 인터넷을 통해 연결하도록 허용하거

나, 로컬 사용자만 VPN을 통해 연결하도록 허용하는 옵션도 있습니다.

아래 다이어그램에 나와 있는 것처럼 데스크톱 및 RDSH 서버에 연결하는 외부 사용자의 프로토콜 트

래픽도 Horizon Cloud Service 게이트웨이를 통해 Unified Access Gateway로 전달됩니다.

Unified Access Gateway는 Horizon Cloud Service 환경에 대한 연결에서 보안 프록시 역할을 하

며, 보안 영역 간의 Horizon Cloud Service 트래픽을 프록시합니다. 조직의 네트워크에서 연결하는

사용자에 대한 프로토콜 트래픽은 인터넷을 통해 연결하거나 VPN을 통과해서 데스크톱 및 RDSH 서

버에 도달하도록 구성할 수 있습니다. 또한 내부 사용자는 신뢰할 수 있는 내부 영역에 위치한 Unified

Access Gateway를 통해 연결됩니다.


VMware, Inc. 24

그림 3-3. 인터넷 트래픽이 있는 VPN


VMware, Inc. 25

연결 옵션 3: 조직의 게이트웨이를 통과하는 인터넷 바인딩 트래픽이 있는 VPN

이 옵션은 모든 사용자의 인터넷 바인딩 및 게스트 내부 트래픽을 VPN을 통해 조직의 네트워크로 라우

팅합니다. 모든 사용자가 인터넷, VPN 또는 이 둘의 조합을 통해 Horizon Cloud Service에 연결할

수 있도록 허용하는 기능을 유지 관리할 수 있습니다.

데스크톱 애플리케이션, 인증, DHCP 및 DNS와 같은 모든 게스트 내부 트래픽과 인터넷 바인딩 데스

크톱 트래픽은 VPN을 통과하고 조직의 게이트웨이를 통과합니다. 그러면 인터넷 바인딩 트래픽에 사

용자가 설정한 웹 필터링이 적용될 수 있습니다. 데스크톱 및 RDSH 서버에 연결하는 외부 사용자의

프로토콜 트래픽은 Horizon Cloud Service 게이트웨이를 통과하므로 인터넷을 통해 액세스할 수 있

습니다.

아래 그림에 표시된 것처럼 이 옵션을 사용하면 VPN을 통한 트래픽이 늘어나지만, 사용자 및 데스크톱

활동을 모두 보고 제어할 수 있다는 비즈니스 이점이 제공됩니다. 이 구성은 가장 높은 수준의 보안 및

규정 준수를 보장하기 위해 추가 옵션을 제공합니다.

참고 Direct Connect 구성으로 전환할 경우에는 이 구성이 직접적으로 작동하지 않습니다. 사용 가

능한 VPN 대역폭을 초과해서 확장해야 할 경우 Horizon Cloud Service 담당자에게 문의하여 옵션

및 고려 사항을 완전히 이해하십시오.


VMware, Inc. 26

그림 3-4. 데스크톱 인터넷이 조직의 게이트웨이를 통과하는 VPN


VMware, Inc. 27

Direct Connect 이해

Direct Connect를 사용하면 동일한 데이터 센터에 있는 전용 연결, MPLS, Network Exchange 또

는 고유한 네트워킹 장비를 통해 Horizon Cloud Service 테넌트와의 종단 간 전용 연결을 설정할 수

있습니다.

Horizon Cloud Service는 비즈니스 애플리케이션, Active Directory, DNS 및 DHCP 서버와 같은

데이터 센터 및 서비스를 Horizon Cloud Service로 확장할 때 1GB 또는 10GB 포트를 제공합니다.

Direct Connect를 사용하면 네트워크 서비스 제공자를 통해 계약하여 사용자의 데이터 센터에서

VMware 데이터 센터로의 연결을 완전히 제어할 수 있습니다. 지원되는 Direct Connect 옵션은 아래

표에 나와 있습니다.

옵션 설명

Cross Connect가 있는 Direct Connect - 1GB

또는 10GB

Cross Connect가 있는 Direct Connect는 동일한 데이터 센터에 있는

전용 연결, MPLS 또는 자체 네트워킹 장비와 함께 사용됩니다.

Network Exchange가 있는 Direct Connect -

1GB 또는 10GB

Network Exchange가 있는 Direct Connect는 네트워크 또는 클라우

드 교환(예: Equinix Cloud Exchange)에 연결할 때 사용됩니다.

Direct Connect 옵션에 대한 소유권 영역

아래 다이어그램에 나와 있는 것처럼 Direct Connect 옵션에 대한 일반 Horizon Cloud Service on

IBM Cloud 배포에서는 소유권 영역이 구분됩니다.

Meet Me Room은 외부 연결이 데이터 센터에 들어오는 경계 지점(예: 외부 전용 연결, MPLS 회선

또는 Horizon Cloud Service 네트워크에 연결되는 Network Exchange)을 나타냅니다.


VMware, Inc. 28

그림 3-5. 소유권 영역

전용 연결 또는 MPLS Direct Connect VPN을 통한 트래픽 전송

전용 연결 또는 MPLS는 한 네트워크 노드에서 다음 노드로 데이터가 이동할 때 원격 통신 네트워크에

서 트래픽을 라우팅합니다. MPLS Direct Connect VPN 터널을 구축하는 것은 사이트 간 IPsec

VPN 연결을 만드는 것보다 비용이 더 많이 들지만 몇 가지 이점이 있습니다.

MPLS Direct Connect 회로는 인터넷을 통해 라우팅되는 연결과 달리, 다른 사용자와 공유되지 않으

므로 공용 인터넷에서 발생할 수 있는 중단이 발생하지 않습니다. Direct Connect 제공자는 커밋된

대역폭과 서비스 수준 계약을 제공합니다. 서비스 비용은 사용자가 선택한 옵션과 필요한 전용 대역폭

의 양에 따라 다릅니다.


VMware, Inc. 29

Network Exchange를 통한 트래픽 전송

클라우드 교환이라고도 하는 Network Exchange는 사용자의 기본 네트워크 서비스 제공자를 사용하

는 개인 네트워크를 처리량이 많고 대기 시간이 낮은 보안 연결을 사용하는 클라우드 서비스 제공자

(예: Horizon Cloud Service)에 연결하는 서비스입니다.

일반적으로 Network Exchange는 MPLS Direct Connect VPN 터널을 생성하는 것보다 저렴하며,

대부분의 경우 몇 시간 안에 활성화될 수 있으므로 조직 사이트에 Horizon Cloud Service를 연결하

는 데 소요되는 전반적인 시간이 단축됩니다. Horizon Cloud Service는 Equinix Cloud Exchange

를 Network Exchange 옵션으로 제공합니다.

동일한 데이터 센터에 기존 랙 연결

Horizon Cloud Service와 동일한 데이터 센터에 배치된 IT 리소스 및 서비스가 이미 있는 경우 기존

환경을 Horizon Cloud Service 테넌트에 연결할 수 있습니다.

Direct Connect 연결 옵션

구성을 기반으로 조직의 회사 및 사용자 데이터 흐름에 대해 추가 대역폭 및 제어를 제공하는 여러

Direct Connect 연결 옵션 중에서 선택할 수 있습니다.

대역폭 요구 사항 외에도, 핵심 고려 사항은 Horizon Cloud Service에서 제공하는 인터넷 연결과 고

유한 네트워크에 대한 Direct Connect를 통한 연결 중에서 인터넷 트래픽이 Horizon Cloud

Service 데스크톱 및 애플리케이션에서 라우팅되는 방법을 선택하는 것입니다. Horizon Cloud

Service 팀과 협력하여 조직의 요구 사항에 가장 잘 맞는 Direct Connect 옵션을 선택하십시오.

Direct Connect 옵션 1: Horizon Cloud Service 인터넷 연결을 사용하는Direct Connect

이 옵션은 VPN 옵션 2와 유사하게, Horizon Cloud Service 게이트웨이 및 Direct Connect를 사용

하는 게스트 내 트래픽을 사용하도록 인터넷 바인딩 데스크톱 트래픽을 라우팅합니다. 이 옵션은

Direct Connect를 사용하는 게스트 내 애플리케이션 트래픽이 많고 테넌트로 제공되는 VMware 인

터넷 대역폭을 활용하려는 경우에 적합합니다.

그림 7에 표시된 것처럼 데스크톱 애플리케이션, 인증, DHCP 및 DNS와 같은 모든 게스트 내부 트래

픽은 Direct Connect를 통해 조직 네트워크로 이동합니다. 인터넷을 대상으로 하는 데스크톱 및

RDSH 서버 트래픽은 Horizon Cloud Service 게이트웨이로 전송됩니다.

데스크톱 및 RDSH 서버에 연결하는 외부 사용자의 프로토콜 트래픽도 Horizon Cloud Service 게이

트웨이를 통해 Unified Access Gateway로 전달됩니다. Unified Access Gateway는 Horizon

Cloud Service 환경에 대한 연결에서 보안 프록시 역할을 하며, 보안 영역 간의 Horizon Cloud

Service 트래픽을 프록시합니다. 조직의 네트워크에서 연결하는 사용자에 대한 프로토콜 트래픽은 인

터넷을 통해 연결하거나 Direct Connect를 통과해서 데스크톱 및 RDSH 서버에 도달하도록 구성할

수 있습니다. 또한 내부 사용자는 신뢰할 수 있는 내부 영역에 위치한 Unified Access Gateway를

통해 연결됩니다.


VMware, Inc. 30

그림 3-6. Horizon Cloud Service 인터넷 연결을 사용하는 연결


VMware, Inc. 31

Direct Connect 옵션 2: 회사에서 소유한 인터넷 게이트웨이를 통과하는 인터넷을 통한 Direct Connect

이 Direct Connect 라우팅 구성은 모든 게스트 내부 및 인터넷 바인딩 데스크톱 트래픽이 Direct

Connect를 통해 회사 소유 인터넷 게이트웨이를 통과해야 할 뿐만 아니라 사용자가 인터넷을 통해 연

결할 수 있어야 하는 경우에 적합한 옵션입니다. 인터넷을 대상으로 하는 데스크톱 트래픽은 VMware

게이트웨이를 통과하는 데스크톱 트래픽이 없기 때문에 제공된 프록시 에이전트를 사용하거나 그룹 정

책 구성을 통해 관리해야 합니다.

아래 다이어그램에 나와 있는 것처럼 외부 사용자 프로토콜 트래픽은 Horizon Cloud Service 게이트

웨이를 통과해서 데스크톱 및 애플리케이션에 대한 액세스 권한을 제공하지만, 모든 게스트 내부 트래

픽 및 인터넷 바인딩 데스크톱 트래픽은 Direct Connect를 통과해서 조직의 데이터 센터로 이동합니

다. 이 옵션은 사용자 및 데스크톱 활동을 모두 보고 제어할 수 있다는 이점을 제공합니다. 그러나 환경

에 원격으로 연결하는 사용자를 차단하므로 인터넷에서 들어오는 프로토콜 트래픽 라우팅과 관련해서

심각한 문제가 발생할 수 있습니다. 이 옵션을 고려하는 경우 Horizon Cloud Service 담당자에게 문

의하여 고려 사항을 완전히 이해하십시오.


VMware, Inc. 32

그림 3-7. 조직의 인터넷 게이트웨이를 통한 연결


VMware, Inc. 33

Direct Connect 옵션 3: Horizon Cloud Service 게이트웨이를 통한 인터넷 연결 없음

이 옵션에서는 Horizon Cloud Service 데스크톱에 대한 모든 연결이 Direct Connect를 통해 이루

어지고 인터넷 연결은 Horizon Cloud Service 게이트웨이를 통하지 않도록 라우팅이 구성됩니다. 이

옵션은 가장 높은 수준의 보안 및 규정 준수를 보장하기 위해 모든 프로토콜, 사용자 및 데스크톱 활동

을 모두 보고 제어할 수 있다는 이점을 제공합니다. 이 옵션은 모든 사용자가 조직의 네트워크를 통해

Horizon Cloud Service에 연결하도록 요구할 때 적합합니다.

아래 다이어그램에 나와 있는 것처럼 이 옵션은 Horizon Cloud Service 게이트웨이를 사용하지 않도

록 설정하여 사용자가 기술적으로 인터넷을 통해 외부에서 Horizon Cloud Service에 연결할 수 없도

록 합니다. 모든 트래픽-프로토콜, 게스트 내부 및 인터넷 바인딩 데스크톱 트래픽은 Direct Connect

를 통과해서 회사 소유의 인터넷 게이트웨이로 이동합니다. 사용자는 Horizon Cloud Service에 연결

하기 위해 조직의 네트워크에 있거나 조직의 VPN을 통해 원격으로 연결되어야 합니다. 조직의 VPN을

통해 연결된 최종 사용자의 경우 아래 다이어그램의 포트가 조직의 VPN 전체에서 열려 있어야 합니다.

이러한 포트는 Horizon Cloud Service에 대한 내부 연결로 간주됩니다.


VMware, Inc. 34

그림 3-8. Horizon Cloud Service를 통한 인터넷 연결 없음


VMware, Inc. 35

Direct Connect 설정

이 항목에서는 Direct Connect를 설정하는 프로세스를 설명합니다.

Direct Connect를 설정하는 경우 원격 통신 제공자와 협력하여 Horizon Cloud Service 데이터 센

터에 대한 연결을 설정한 다음, NSP 라우터와 Edge Gateway 간에 연결을 설정하여 Horizon

Cloud Service 테넌트에 연결합니다. Horizon Cloud Service 팀은 사용자와 함께 이 연결을 설정

합니다. 연결을 설정하려면 VMware Direct Connect 수집 양식을 완료해야 합니다. 이 양식은 네트

워크 관리자 연락처, 원격 통신 제공자, 연결 유형 및 회로 ID와 같은 기본 정보를 요청합니다.

Direct Connect를 사용하는 경우 통신사 단말기와 Horizon Cloud Service 사이에 사용할 최소 2개

의 주소(/30)가 있는 네트워크 서브넷을 제공하고 Edge Gateway에 대한 연결을 설정해야 합니다.

또한 일반적으로 원격 통신 제공자에서 VMware로 전달되는 LOA-CFA(Letter of Authorization -

Customer Facility Request)를 제공하여 NSP 라우터와 Horizon Cloud Service 환경 간의 Cross

Connect 또는 Network Exchange 연결을 활용해야 합니다. LOA-CFA는 일반적으로 캐비닛, 패치

패널 및 포트 번호를 제공합니다.

연결 로드 밸런싱은 지원되지 않지만 Horizon Cloud Service는 여러 개의 Direct Connect를 지원

합니다. Direct Connect 및 자동 페일오버를 통해 중복된 연결을 배포하려면 적절한 네트워크 라우팅

을 구현해야 합니다. 자세한 내용은 네트워크 라우팅을 참조하십시오.

네트워크 라우팅

Horizon Cloud Service는 정적 라우팅과 동적 라우팅을 모두 지원하므로 트래픽이 Horizon Cloud

Service와 내부 네트워크 세그먼트 간에 전달될 수 있습니다.

전용 연결, MPLS 또는 Network Exchange 기반 연결에 대한 동적 라우팅 기능은 인터넷에서 시스

템 간에 라우팅 정보를 교환하기 위한 표준화된 외부 프로토콜인 BGP(Border Gateway Protocol)

를 사용하여 제공됩니다. 자치 시스템 간 통신에 사용되는 BGP 확장인 eBGP(외부 BGP)를 통한 동

적 라우팅은 라우팅 변경 내용이 Horizon Cloud Service에 자동으로 전파될 수 있도록 합니다. 로컬

기본 설정 또는 가중치를 사용하는 로컬 경로 조작과 MED(Multi-Exit-Discriminator)와 같은 원격 경

로 조작 기능을 eBGP와 함께 사용할 경우 활성 상태인 중복 링크를 선택할 수 있습니다. 또한 이 프로

토콜은 여러 전용 연결, MPLS 또는 Network Exchange 연결 간의 자동 페일오버가 지원되도록 보

장합니다. 사용자는 BGP 자치 시스템 번호(일반적으로 65xxx 범위의 전용 번호)를 Horizon Cloud

Service 라우터에 할당해야 합니다. BGP 라우팅이 제공되지 않는 경우 정적 라우팅을 사용할 수 있습

니다.

분할 DNS

분할 DNS는 사용자가 네트워크 내부 및 외부에서 연결할 때 Horizon Cloud Service 환경에 액세스

하는 기본 방법입니다. 분할 DNS를 사용하여 로컬 네트워크의 사용자는 내부 네트워크를 통해 개인

IP 주소에 연결할 수 있고, 외부 사용자는 동일한 URL을 사용하면서 공용 IP 주소에 연결할 수 있습니

다. 이 방법을 사용하면 내부 및 외부에 대해 각각 하나씩 두 개의 URL을 사용할 필요가 없으므로 최

종 사용자 액세스가 간소화됩니다.


VMware, Inc. 36

분할 DNS를 설정할 때 내부 DNS 서버의 특정 DNS 정방향 조회 영역에 있는 내부 Unified Access

Gateway의 가상 IP를 가리키는 새 호스트(A 레코드)를 생성합니다. DNS 정방향 조회 영역은 현재

DNS 구성을 기준으로 합니다. 외부에서와 동일한 내부 DNS 이름을 사용하는 경우 정방향 조회 영역

에서 A 레코드를 생성합니다. 외부에서와 동일한 내부 DNS 이름을 사용하지 않거나 Horizon Cloud

Service URL을 사용하는 경우 외부의 정규화된 도메인 이름과 일치하는 정방향 조회 영역으로 DNS

스텁 영역을 생성합니다. 그런 다음, 정방향 조회 영역에서 A 레코드를 생성합니다.

샘플 테넌트 네트워크 아키텍처

아래 그림에서는 Horizon Cloud Service에 대한 네트워크 연결 옵션 2가지를 보여 줍니다. 첫 번째

옵션은 VPN 연결이 없는 Island 테넌트이고, 두 번째 옵션은 온 프레미스 데이터 센터에 연결하는

VPN 연결이 있는 테넌트입니다.

아래 다이어그램에서는 유틸리티 서버와 함께 Horizon Cloud Service 테넌트 장치 및 Unified

Access Gateway 장치를 소개합니다.

그림 3-9. 테넌트 네트워크 아키텍처의 예


VMware, Inc. 37

영역 이해

Horizon Cloud Service on IBM Cloud에서는 기능에 따라 서로 다른 리소스를 분리하는 영역을 설

정합니다. Horizon Cloud Service에는 세 개의 영역이 있습니다. 각 영역은 Horizon Cloud

Service 배포마다 고유하며 공유되지 않습니다.

영역 설명

보안 영역 외부 Unified Access Gateway 장치가 상주하는 DMZ(완충 보안 영역)입니다. Horizon

Cloud Service 테넌트 환경에 대한 보안 원격 액세스를 지원합니다.

서비스 영역 테넌트 장치, 유틸리티 서버 및 내부 Unified Access Gateway 장치를 포함하여 Horizon

Cloud Service가 호스팅되는 위치

데스크톱 영역 데스크톱 및 RDSH 서버를 호스팅합니다.

Horizon Cloud Service 장치

테넌트 장치에는 Horizon Cloud Service 관리 콘솔, Horizon Cloud Service 사용자 포털, 계정 구

성 데이터베이스 및 데스크톱 매핑, 도메인 가입 정보 등이 포함됩니다. Unified Access Gateway

장치를 사용하면 Horizon Cloud Service 가상 데스크톱과 RDSH 호스팅 애플리케이션에 대한 내부

및 외부 연결 모두에 안전하게 액세스할 수 있습니다. 이중화 및 고가용성을 위해 각 장치가 2개씩 배

포됩니다.

장치 설명

테넌트 장치 데스크톱 및 애플리케이션 브로커링, 프로비저닝 및 사용 권한 서비스를 제공하는 강화된

Linux 장치입니다. 서비스 영역의 일부인 최종 사용자 및 관리 포털을 호스팅하고 서비스 제

공자에 상태 정보를 전달합니다.

Unified Access Gateway Horizon Cloud Service 환경에 대한 보안 원격 액세스를 제공하는 강화된 Linux 장치입니

다. 보안 영역(외부 Horizon Cloud Service 액세스용) 및 서비스 영역(내부 Horizon

Cloud Service 액세스용)의 일부입니다.

유틸리티 서버 기본적으로 서비스 설명에 다르게 명시된 경우가 아니면 유틸리티 서버 한 대는 무료로 제공

되며 선택 사항입니다. 유틸리티 서버는 Horizon Cloud Service 테넌트에 서비스를 배치

하기 위한 Active Directory, DNS, DHCP, UEM 또는 파일 서버일 수 있으며 네트워크

(서비스 영역)에 연결됩니다.

Edge Gateway 장치 NAT, DHCP, VPN 및 로드 밸런서와 함께 보안 영역 및 가상화된 네트워크를 격리하기 위

한 네트워크 Edge 보안 및 게이트웨이 서비스를 제공하는 게이트웨이입니다.

네트워크 보안

Horizon Cloud Service는 Edge Gateway 장치를 사용하여 데스크톱, RDSH 서버 및 관리 장치가

상주하는 Horizon Cloud Service 테넌트를 들어오고 나가는 모든 관리 트래픽, VPN 및 Direct

Connect 연결을 관리합니다.

관리 장치와 조직의 네트워크 환경 간에 추가적인 버퍼링을 원하는 경우 내부 및 원격 사용자와 해당

사용자에게 필요한 모든 애플리케이션 및 서비스에 대해 필요한 모든 포트가 사용하도록 설정되어 있으

면 회사에서 관리하는 방화벽 정책을 배포하는 것을 고려하십시오.


VMware, Inc. 38

Unified Access Gateway 이해

VMware Unified Access Gateway(이전의 VMware Access Point)는 Horizon Cloud Service

환경에 대한 보안 원격 액세스를 허용하는 강화된 Linux 가상 장치입니다. 사용자가 공용 인터넷을 통

한 외부 연결을 사용하는 경우(트래픽이 웹 기반인지, 프로토콜 기반인지는 관계없음) 트래픽이 외부

Unified Access Gateway로 전송됩니다. Unified Access Gateway는 Horizon Cloud Service

환경 연결을 위한 보안 프록시의 역할을 합니다. 외부 Unified Access Gateway 프록시는 보안 영역

에서 들어오고 나가는 Horizon Cloud Service 트래픽을 프록시합니다. 보안 영역은 외부에 대한 조

직의 네트워크 액세스를 구분하며, 네트워크 내에 있는 대상에 대한 액세스를 규정하는 엄격한 규칙을

포함하는 DMZ 네트워킹 보안 구성입니다. Horizon Cloud Service 환경에 연결하는 내부 사용자의

경우 트래픽이 서비스 영역에 있는 내부 Unified Access Gateway 장치에 전송됩니다.

추가 고려 사항

아래 링크된 항목에서는 네트워크 환경을 설정할 때 발생할 수 있는 몇 가지 추가 문제에 대한 정보를

제공합니다.

통합된 Active Directory와 격리된 Active Directory 중에서 선택

Horizon Cloud Service 플랫폼은 Active Directory에 의존하지만 Horizon Cloud Service를 기존

Active Directory 환경과 통합할 필요는 없습니다. 원할 때 언제든지 Horizon Cloud Service에

Active Directory를 통합할 수 있습니다. Horizon Cloud Service 데스크톱 및 애플리케이션에 로컬

로 제공되는 별도의 격리된 Active Directory 도메인을 사용하는 옵션도 제공됩니다.

격리된 도메인을 선택하면 다음과 같은 사용 사례에 도움이 됩니다.

사용 사례 설명

기술 개념 증명 조직에서 조직의 인프라를 직접 통합하지 않고 기술 개념 증명에 참여하는 경우. 파일

럿 도메인에서 완전한 샌드박스 환경 내 사용 사례를 테스트하고 검증하는 데 필요한

모든 항목을 설정할 수 있습니다.

아웃소싱 사용자가 있는 조직 개발 작업을 다른 국가로 오프로드하며, 조직의 인프라에 직접 연결하지 않고 직원에

게 데스크톱을 제공해야 하는 대규모 조직을 나타냅니다. 파일럿 도메인에서는 완전

한 샌드박스 환경 내 직원에게 필요한 모든 항목을 설정할 수 있습니다.

시즌별 사용자가 있는 조직 조직의 Active Directory 구조에 많은 데스크톱을 추가하지 않고도 특정 기간 동안 1

년에 2 ~ 3번 규모가 커지는 조직을 나타냅니다. 필요할 때 별도의 파일럿 도메인을

사용하고 시즌이 끝나면 삭제할 수 있습니다.

리소스가 제한된 조직 인프라가 많지 않은 소규모 조직의 경우 별도의 격리된 도메인을 사용하여 기본 디렉

토리 서비스 인프라 구축 비용을 절감할 수 있습니다.

Island Account를 구현할 때는 Horizon Cloud Service 수준 계약의 라이센스 고려 사항을 참조하

십시오.

서브넷 고려 사항

Horizon Cloud Service 테넌트에 여러 영역이 포함되어 있습니다. 서비스 영역과 데스크톱 영역에

사용할 네트워크를 할당해야 합니다. 기존 환경과 통합하는 경우 해당 네트워크가 사용 중이 아닐 수

있습니다.


VMware, Inc. 39

서비스 영역은 테넌트 장치, 유틸리티 서버 및 내부 Unified Access Gateway 장치를 포함하는

Horizon Cloud Service를 호스팅합니다. 요구 사항을 고려할 때 그 수가 적합하다고 판단하더라도

약 30개의 IP 주소(/27)를 제공하는 서브넷을 사용하는 것이 좋습니다. 이 서브넷은 네트워크 인프라

의 기존 네트워크와 겹칠 수 없습니다.

데스크톱 영역은 모든 데스크톱 및 RDSH 서버가 있는 위치입니다. 필요한 총 데스크톱 및 RDSH 서

버 수를 지원하도록 네트워크를 정의하고 할당합니다. 데스크톱 새로 고침 및 유지 관리를 위한 서브넷

에 추가 주소 용량을 유지하는 것이 좋습니다. 서브넷은 네트워크 인프라에서 이미 사용 중인 네트워크

와 겹치지 않아야 합니다.

Direct Connect 옵션을 사용하는 경우, 통신사 단말기와 VMware 간에 사용할 최소 두 개의 주소

(/30)가 있는 네트워크를 제공해야 합니다. 자세한 내용은 Direct Connect 이해을 참조하십시오.

프로토콜, 게스트 내부 및 인터넷 바인딩 트래픽

구현할 네트워크 유형을 선택할 때는 Horizon Cloud Service에 연결된 트래픽 흐름을 이해하는 것이

중요하며 Horizon Cloud Service를 배포하기 전에 이 단계를 수행해야 합니다. Horizon Client에서

생성된 프로토콜 트래픽과 Horizon Cloud Service 데스크톱 및 RDSH 서버의 애플리케이션 및 기타

서비스에서 생성된 네트워크 트래픽을 고려합니다.

참고 기본적으로 사이트 간 VPN, 전용 연결, MPLS 또는 Network Exchange는 Island 계정을 제

외하고 Active Directory, DNS, DHCP 및 NTP에 필요합니다. Island 계정은 테넌트 사이트에 연결

되지 않으므로 시스템에 대한 모든 액세스가 공용 인터넷에서 발생합니다. Island 계정은 Horizon

Cloud Service가 기본 Active Directory, DNS, DHCP 및 NTP를 호스팅하여 구현됩니다. Island

계정을 구현할 때 Horizon Cloud Service 수준 계약 약관 문서에서 라이센스 고려 사항을 참조하십

시오.

프로토콜 트래픽

프로토콜 트래픽은 PCoIP, Blast Extreme 또는 Blast HTML5 액세스 프로토콜을 사용하여 가상 데

스크톱과 끝점 사이에서 이루어지는 네트워크 트래픽 교환입니다. 원하는 Horizon 프로토콜을 사용하

여 끝점과 가상 데스크톱 사이에서 화면 이미지, 키보드 및 마우스 동작, USB 및 기타 디바이스 트래

픽을 이동합니다. Horizon Cloud Service에 대한 네트워크 연결 크기를 올바르게 조정하려면 프로토

콜 트래픽을 고려해야 합니다. 프로토콜 트래픽은 다른 게스트 내부 트래픽에 대해 동일한 네트워크 연

결을 사용하여 최종 사용자 환경에 영향을 줄 수 있습니다.

게스트 내부 트래픽

애플리케이션이 가상 데스크톱 또는 RDSH 세션에서 다른 애플리케이션 또는 IT 서비스에 대한 네트워

크를 호출할 때 게스트 내부 트래픽이 생성됩니다. 브라우저가 데스크톱에서 시작되어 내부에 호스팅된

회사 웹 사이트에 도달하는 경우를 예로 들 수 있습니다. 내부 IT 리소스에 대해 바인딩된 게스트 내부

트래픽은 네트워크 연결에서 고객의 데이터 센터나 네트워크로 다시 라우팅됩니다. 고객 데이터 센터로

의 네트워크 연결을 적절히 계획하는 것이 중요합니다. 충분한 대역폭을 보장하는 것 외에도 데이터 센

터 리소스에 대한 대체 경로 및 연결을 지정하여 프로토콜 트래픽과 게스트 내부 트래픽을 분리할 수

있습니다.


VMware, Inc. 40

인터넷 바인딩 트래픽

프로세스의 주요 단계는 Horizon Cloud Service 데스크톱 및 애플리케이션에서 인터넷 트래픽이 라

우팅되는 방법을 선택하는 것입니다. Horizon Cloud Service에서 제공한 인터넷 연결을 활용하거나

고유한 조직의 네트워크를 통해 모든 인터넷 바인딩 트래픽을 라우팅할 수 있습니다. 인터넷 바인딩 트

래픽이 VMware 데이터 센터에서 라우팅되는 방식은 기본 경로(0.0.0.0/0)에 관해 선택한 라우팅 옵

션에 따라 결정됩니다.

DHCP

데스크톱 서브넷에 중첩을 위한 추가 버퍼와 함께 프로비저닝된 데스크톱 및 RDSH 서버 수를 포괄하

는 충분한 IP 주소가 포함되어 있는지 확인합니다.

예를 들어 서브넷에 CIDR 형식의 /24를 제공하는 경우 정확히 252개의 주소를 얻게 됩니다. 선불 서

브넷을 더 추가하면 필요 시 원활하게 용량을 확장할 수 있습니다.

Horizon Cloud Service 사용자 포털 및 관리 콘솔 포털 URL 선택

사용자 및 관리자는 보안 웹 기반 포털을 통해 데스크톱, RDSH 서버 및 관리 기능에 액세스합니다.

두 포털은 아래 예제에 나와 있는 것처럼 동일한 URL과 /horizonadmin을 사용합니다.

포털 설명 샘플 URL

Horizon Cloud

Service 사용자 포

털

HTML5를 사용하여 최종 사용자에게

Horizon Cloud Service 데스크톱 및 애

플리케이션에 대한 클라이언트리스 액세스

를 제공하는 웹 기반 포털입니다.

https://desktop.virtualdesktopaccess.com

Horizon Cloud

Service 관리 콘솔

IT 관리자가 Horizon Cloud Service 데

스크톱 및 애플리케이션, 리소스 사용 권

한 및 이미지를 프로비저닝하고 관리하는

데 사용되는 웹 기반 포털입니다.

https://desktop.virtualdesktopaccess.com/

horizonadmin

이러한 포털에 사용되는 이름 지정 규칙을 정의할 수 있습니다.

포털 URL 옵션 1

이 옵션은 간단하고 사용하기 쉬우므로 파일럿에 가장 일반적으로 사용됩니다. DNS 도메인은

VMware에서 소유하고 제공합니다. 내부 액세스를 위해 분할 DNS를 설정할 수도 있습니다.

n https://companyname.horizon.vmware.com

n VMware *.horizon.vmwware.com 인증서를 사용합니다.

포털 URL 옵션 2

옵션 2에는 다음 두 가지 선택 사항이 포함되어 있습니다. virtualdesktopaccess.com의 소유자는

Apache2 형식으로 SSL 인증서를 제공하고, 분할 DNS를 사용하여 내부 및 공용(필요한 경우) DNS

레코드를 설정해야 합니다.

n https://desktop.virtualdesktopaccess.com

n https://www.virtualdesktopaccess.com


VMware, Inc. 41

선택 사항 1: 사이트 간 VPN 또는 Direct Connect가 있는 경우 공용 인터넷에서 Horizon Cloud

Service 관리 콘솔에 액세스할 수 있도록 설정할지 여부를 선택할 수 있습니다.

선택 사항 2: 사이트 간 VPN 또는 Direct Connect가 없는 Island 테넌트가 있는 경우 Unified

Access Gateway를 통해 공용 인터넷에서 Horizon Cloud Service 사용자 포털 및 관리 콘솔에 액

세스할 수 있어야 합니다.


VMware, Inc. 42

Active Directory 요구 사항 충족 4Horizon Cloud Service를 배포하기 전에 AD를 설정하는 것이 중요합니다.

배포 프로세스 동안 AD 팀에 초기에 자주 문의하십시오. 적절한 도메인 관리자 사용 권한을 가진

Active Directory 팀의 담당자를 처음부터 의사 결정 및 배포 프로세스에 투입하도록 합니다. 이를 통

해 누구든지 질문을 하고, 우려를 표현하고, 초기에 배포 문제를 해결할 수 있습니다. 고려해야 할 항목

은 아래 링크에 나와 있습니다.


n 기존 Active Directory 또는 격리된 Active Directory 중에서 선택

n Active Directory에 대한 서비스 계정 생성

n Active Directory용 그룹 생성

n Active Directory에 대한 고유한 Horizon Cloud Service OU 생성

n DHCP 범위 및 옵션 코드 74 설정 또는 수동으로 DaaS 에이전트 구성

기존 Active Directory 또는 격리된 Active Directory 중에서선택

Horizon Cloud Service 플랫폼은 AD에 의존하지만 Horizon Cloud Service를 기존 AD 환경과 통

합할 필요는 없습니다. Horizon Cloud Service 데스크톱 및 애플리케이션 서비스에 로컬로 제공되는

별도의 격리된 AD 도메인을 사용할 수 있습니다. Horizon Cloud Service 팀에 격리된 도메인을 요

청할 수 있습니다.

파일럿 도메인을 선택하면 다음과 같은 사용 사례에 도움이 됩니다.

사용 사례 설명

아웃소싱 사용자가 있는 회사 회사에서 개발 작업을 다른 국가로 오프로드하는 경우 직원에게 데스크톱을 제

공해야 하지만 회사에서 해당 직원이 자체 인프라에 직접 연결하는 것을 원하지

않을 수 있습니다. 파일럿 도메인에서는 격리된 환경에서 해당 직원에게 필요한

모든 항목을 설정할 수 있습니다.

시즌별 사용자가 있는 회사 회사에서 1년 동안 몇 개월에 걸쳐 2 ~ 3번 규모가 커지는 시즌별 작업이 있는

경우 회사 AD 구조에 많은 데스크톱을 추가하는 걸 원하지 않을 수 있습니다.

필요할 때 별도의 파일럿 도메인을 사용하고 시즌이 끝나면 삭제할 수 있습니

다.

리소스가 제한된 회사 회사에서 인프라가 제한된 경우 별도의 격리된 도메인을 사용하여 기본 디렉토

리 서비스 인프라 구축 비용을 절감할 수 있습니다.

VMware, Inc. 43

Active Directory에 대한 서비스 계정 생성

Horizon Cloud Service 환경을 기존 Active Directory에 통합하도록 선택하는 경우 두 가지 유형의

서비스 계정인 도메인 바인딩 계정 및 도메인 가입 계정이 필요합니다.

n 도메인 바인딩 계정은 AD 구조를 구문 분석하고, Horizon Cloud Service에 대해 지정된 모든 사

용자를 가져옵니다.

n 도메인 가입 계정은 가상 데스크톱 및 RDSH 서버를 AD 도메인에 가입시킵니다. 자세한 내용은

관리 가이드를 참조하십시오.

예를 보려면 Horizon Cloud 설정 웹 양식을 참조하십시오.

Active Directory용 그룹 생성

Horizon Cloud Service 플랫폼에서 사용자를 데스크톱, 애플리케이션 및 테넌트 관리 기능에 효과적

으로 매핑하려면 AD에서 각 역할, 기능 및 액세스 유형에 대한 그룹을 생성하는 것이 좋습니다.

Horizon Cloud Service 플랫폼과의 호환성을 유지 관리하려면 다음 사항에 유의하십시오.

n 중첩 방지 – 효율적인 AD 개체 조회를 위해서는 중첩된 그룹을 생성하지 마십시오. 사용자 개체

는 그룹의 유일한 멤버입니다.

n 혼합 방지 – 여러 도메인(하위 또는 신뢰할 수 있는 도메인)의 멤버를 동일한 그룹에 혼합하지 마

십시오.

n 그룹 생성 – 테넌트 관리, 헬프 데스크 지원, 테스트 및 유효성 검사 사용자, 프로덕션 사용자를

위한 별도의 그룹을 생성합니다. 여러 도메인이 Horizon Cloud Service 테넌트에 대해 구성된 경

우 IT 관리자는 개별 도메인에 대해 테넌트 관리, 헬프 데스크 지원, 테스트 및 유효성 검사 사용

자, 프로덕션 사용자를 위한 유사한 그룹을 생성해야 합니다. 테넌트 관리자는 Horizon Cloud

Service 관리 콘솔에 액세스할 수 있습니다. 테스트, 유효성 검사 및 프로덕션 사용자 그룹은

Horizon Cloud Service 데스크톱 및 애플리케이션에 대한 액세스를 프로비저닝하는 데 사용됩니

다.

Active Directory에 대한 고유한 Horizon Cloud ServiceOU 생성

Horizon Cloud Service 플랫폼에서 생성되는 컴퓨터 계정에 대해 고유한 OU를 구현할 수 있습니다.

수천 개의 OU 및 그룹이 있는 대규모 회사에서는 수십만 개의 개체를 해당 AD에서 쉽게 유지할 수 있

습니다. 회사에서는 Horizon Cloud Service 플랫폼에서 생성되는 컴퓨터 계정에 대해 고유한 OU를

구현하여 배포 시간을 절약할 수 있었습니다. 고유한 OU는 Horizon Cloud Service에서 전체 AD의

가상 데스크톱 및 RDSH 서버 컴퓨터 개체를 구문 분석할 필요가 없습니다.

필요한 사용자, 계정 및 사용 권한 목록은 Horizon Cloud 설정 웹 양식을 참조하십시오.


VMware, Inc. 44

DHCP 범위 및 옵션 코드 74 설정 또는 수동으로 DaaS 에이전트 구성

인프라에서 사용되지 않는 서비스 서브넷과 데스크톱 서브넷을 VMware Horizon Cloud Service 팀

에 제공해야 하며, 해당 서브넷에는 프로비저닝되는 데스크톱 또는 RDSH 서버 수를 포괄할 만큼 충분

한 IP 주소가 포함되어 있어야 합니다.

데스크톱 서브넷 DHCP 범위에서 옵션 코드 74를 설정하면 데스크톱 및 RDSH 서버가 테넌트 장치로

연결됩니다. VMware Horizon Cloud Service 팀은 배포 프로세스 중에 테넌트 장치의 IP 주소를 두

개 제공합니다.

다음 문제에 유의하십시오.

n 옵션 코드 74를 제대로 설정하지 못함 - 제대로 설정하지 못하면 데스크톱 및 RDSH 서버에서 테

넌트 장치를 찾아 등록할 수 없습니다. 최종 사용자는 게시된 데스크톱 및 애플리케이션 리소스에

액세스할 수 없습니다.

n 고유한 서비스 및 데스크톱 서브넷을 제공하지 못함 - 서비스 및 데스크톱 서브넷이 클라우드에 있

는 경우에도 로컬 인프라의 확장으로 간주합니다. 이미 사용 중인 서브넷을 제공하는 경우 충돌이

발생할 수 있으며 네트워크 트래픽이 Horizon Cloud Service와 네트워크 간에 올바르게 흐르지

않을 수 있습니다.

n 크기 조정 고려 실패 - 데스크톱 및 RDSH 서버의 목표 수를 포괄할 만큼 충분한 IP 주소가 있는

데스크톱 서브넷을 제공하지 않은 경우 다른 서브넷이 증가된 용량을 지원하도록 설정해야 합니다.

예를 들어 서브넷에 CIDR 형식의 /24를 제공하는 경우 정확히 252개의 주소를 얻게 됩니다. 선불

서브넷을 더 추가하면 필요 시 원활하게 용량을 확장할 수 있습니다.

네트워크 제약 조건 또는 다른 이유로 인해 DHCP 옵션 74를 구성할 수 없는 경우 테넌트 장치와 통신

하도록 DaaS 에이전트를 수동으로 구성할 수 있습니다. VMware Horizon Cloud Service 팀은 테넌

트 장치의 IP 주소를 두 개 제공하고 monitor.ini 파일을 사용하여 DaaS Agent를 수동으로 구성합니

다.


VMware, Inc. 45

최적화된 이미지 생성 5이미지를 최적화하면 가상 데스크톱 또는 RDSH 서버가 최적의 최종 사용자 환경을 제공하도록 적절

히 구성될 수 있습니다.

사용자의 필요 및 네트워크 요구 사항과 조건에 따라 최적화 설정을 정적으로 또는 동적으로 조정할 수

있습니다. 최적화되지 않은 이미지는 불필요한 계산, 네트워크 및 스토리지 리소스를 사용하여 표준 이

하의 최종 사용자 환경을 만드는 데 영향을 미칩니다.

Horizon Cloud Service를 배포하기 전에 최적화된 이미지를 생성하고, 데스크톱 이미지 관리 팀에

아래 연결된 문제에 대해 초기에 자주 문의하는 것이 중요합니다.


n 데스크톱 이미지 최적화

n 필요한 이미지 수 결정

n 기존 또는 인스턴트 클론 이미지 사용

n RDSH 서버용 이미지 생성

n 전용, 부동 및 세션 데스크톱 이해

n 3D 그래픽 옵션 선택

n 자동 바이러스 백신 업데이트 단계별 수행

데스크톱 이미지 최적화

마스터 이미지 또는 골드 패턴이라고도 하는 이미지 템플릿은 Horizon Cloud Service에서 제공하는

표준 기본 데스크톱 또는 RDSH 서버 이미지입니다.

이미지 템플릿은 플랫폼에 필요한 모든 VMware Tools 및 Horizon Cloud Service 데스크톱 서비스

에이전트를 사용하여 완전히 최적화됩니다. 최적화된 이미지 템플릿에 소프트웨어 패키지를 설치하여

VMware 모범 사례에 따라 사전 설치되고 구성된 도구 및 서비스 에이전트를 활용하는 것이 좋습니다.

필요한 이미지 수 결정

이 항목에서는 환경에 필요한 이미지 수를 결정하는 방법에 대한 지침을 제공합니다.

VMware, Inc. 46

유지 보수 복잡성을 제한할 수 있는 최소한의 기본 이미지를 유지 관리하는 것이 좋습니다. 각 이미지

를 패치, 업데이트 및 유지 관리해야 합니다. 계획을 통해 환경에 가장 적합한 기본 이미지 수를 선택할

수 있습니다. VMware Horizon Cloud Service 담당자는 회계, IT, 영업 및 법률 부서와 같이 공통점

을 갖는 사업부와 및 격리되어야 하는 사업부를 파악하는 데 도움을 줄 수 있습니다. Horizon Cloud

Service에는 각 구독에 최대 10개의 이미지 템플릿을 포함하며, 표준 데스크톱 용량의 추가 이미지를

변환할 수 있습니다. "서비스 설명: VMware Horizon Cloud Service on IBM Cloud" 를 참조하십

시오.

또한 애플리케이션 가상화 및 애플리케이션 계층화 기술 등 이미지 확장을 줄이는 대안을 고려합니다.

이러한 방법은 데스크톱에서 애플리케이션을 추상화하고, 이미지에 애플리케이션을 직접 설치하거나

업데이트하지 않고 데스크톱에 애플리케이션을 동적으로 즉시 전달할 수 있는 메커니즘을 제공합니다.

데스크톱 이미지 대신 애플리케이션 패키지가 업데이트되므로 더 적은 이미지를 관리하게 됩니다.

기존 또는 인스턴트 클론 이미지 사용

기존 또는 인스턴트 클론을 사용하여 Horizon Cloud Service에 가상 데스크톱 이미지를 배포할 수

있습니다.

n 기존 클론 - 전체 클론이라고도 하는 기존 클론은 복제 작업 후 상위 VM과 아무것도 공유하지 않

는 VM의 독립적인 사본입니다. 기존 클론의 지속적인 작업 및 관리는 일반적으로 상위 VM과는 별

개입니다.

n 인스턴트 클론 데스크톱 – VMware 인스턴트 클론 기술을 사용하여 요청 시 빠르게 어셈블할 수

있는 데스크톱입니다. 인스턴트 클론 기술을 사용하면 동일한 VM 클론을 빠르게 생성할 수 있습니

다. 이 기능은 부분적으로 부팅된 기존의 상위 VM을 복제하여 새 VM을 구축하므로 프로비저닝의

디스크 및 메모리 요구 사항과 I/O 비용이 크게 단축됩니다. 인스턴트 클론 프로세스는 이전 데스

크톱 복제 기술보다 빠릅니다.

대부분의 사용 사례에서 인스턴트 클론을 활용해야 합니다. 인스턴트 클론은 단일 마스터 이미지를 사

용하여 데스크톱 그룹을 관리할 수 있는 기능을 제공합니다.

기존 클론은 특히 3D 그래픽이 필요한 일부 사용 사례에서 선호되는 방법입니다. 그리고 모든 RDSH

이미지와 함께 기존 클론을 사용해야 합니다.

RDSH 서버용 이미지 생성

Horizon Cloud Service 제품의 일부로 VMware는 하나의 RDSH 서버를 제공하고 RDSH 서버용 기

본 이미지 수명 주기를 안내합니다.

n 이 수명 주기에는 RDSH 서버를 설치 모드로 전환하고, 애플리케이션을 설치하고, 게시 모드로 전

환하는 방법이 포함됩니다.

n 게시 모드로 전환한 후에는 RDSH 서버를 방금 설치한 원격 애플리케이션을 배포할 수 있는 이미

지로 전환할 수 있습니다.

n 또한 RDSH 이미지를 사용하여 RDS 세션 데스크톱을 제공할 수도 있습니다. Horizon Cloud 고

급 온보딩 패키지는 2 ~ 3개의 애플리케이션에 대해 이 프로세스를 완료하도록 지원한 후, 추가

작업을 직접 수행할 수 있도록 합니다.


VMware, Inc. 47

자세한 내용은 온보딩 팀에서 제공하는 사전 온보딩 데이터 시트를 참조하십시오.

HR 또는 재무 부서와 같이 특정 애플리케이션에 대해 독점 액세스 권한이 있어야 하는 사업부가 있거

나 격리되어야 하는 애플리케이션(예: SAP)이 있는 경우, 각 부서 또는 애플리케이션에 대해 별도의

RDSH 이미지를 구성하여 필요한 격리를 유지 관리할 수 있습니다.

전용, 부동 및 세션 데스크톱 이해

Horizon Cloud Service는 전용, 부동 및 세션 데스크톱을 지원합니다. 부동(비영구) 데스크톱은 다

른 옵션보다 시간, 유지 보수 및 비용이 적게 들기 때문에 Horizon Cloud Service 구현에서 권장됩니

다.

n 전용(영구) 데스크톱 – 사용자가 처음 로그인할 때 가상 데스크톱이 할당되며, 이후에 로그인할

때 동일한 가상 데스크톱을 사용하게 됩니다. 물리적 컴퓨터와 마찬가지로 영구 데스크톱에 대한

변경 내용은 해당 데스크톱에 유지됩니다. VM에 자체 소프트웨어를 설치해야 하는 개발자에게 영

구 데스크톱을 제공하는 옵션을 선택할 수 있습니다. 그러나 대부분의 사용 사례에서 영구 데스크

톱은 빌드하는 데 더 많은 시간이 소요되고, 관리하는 데 더 큰 노력이 필요하며, 더 비쌉니다.

n 부동(비영구) 데스크톱 - 가상 데스크톱은 사용자가 로그인할 때마다 사용자에게 할당되므로 이후

에 로그인할 때 동일한 가상 데스크톱을 사용하지 않습니다. 사용자가 로그아웃하면 비영구 데스크

톱이 초기 상태로 재설정되고 데스크톱 변경 내용이 손실됩니다. 그러나 프로파일 관리 및 폴더 리

디렉션을 사용하여 변경 내용을 보존할 수 있습니다. 업데이트 및 패치를 적용하려면 이미지를 업

데이트하고 업데이트를 데스크톱 할당으로 푸시합니다. 대부분의 사용 사례에서 비영구 데스크톱은

가장 편리한 솔루션입니다.

n 세션(공유) 데스크톱 – 여러 사용자 간에 공유되는 RDSH 게시 데스크톱입니다. 일반적으로 세션

기반 데스크톱으로도 알려져 있습니다. 공유 데스크톱은 잠가야 하며 사용자가 시스템을 변경하거

나 애플리케이션을 설치할 수 있도록 허용하지 않아야 합니다. 사용자 기반 변경 내용의 경우 User

Environment Manager 및 폴더 리디렉션을 사용하여 설정을 유지할 수 있습니다. 이미지 업데이

트 및 패치 관리를 위해서는 이미지를 업데이트하고 업데이트를 RDSH 게시 데스크톱 할당으로 푸

시할 수 있습니다.

3D 그래픽 옵션 선택

Soft3D 또는 Graphics Workstation 3D 그래픽 가속을 사용하여 모든 디바이스의 애플리케이션에서

GPU 가속 기능을 활용할 수 있습니다.

n Soft3D – Professional, Premium 및 Performance 데스크톱 모델에서 Horizon Cloud

Service의 공유 호스팅 애플리케이션 서버와 함께 사용할 수 있습니다. Soft3D는 소프트웨어 가

속 그래픽을 제공하고, 물리적 GPU 없이 DirectX 9 및 OpenGL 2.1 애플리케이션을 실행할 수

있도록 합니다. Windows Aero 테마, Microsoft Office 2010 및 Google 어스와 같은 덜 까다

로운 3D 애플리케이션에 이 기능을 사용합니다.

n 그래픽 워크스테이션 – 고급 그래픽 리치 애플리케이션을 포함하는 보다 폭넓은 3D 요구 사항에

맞춰 Horizon Cloud Service는 NVIDIA GRID vGPU로 지원되는 그래픽 워크스테이션을 제공합


VMware, Inc. 48

니다. Horizon Cloud Service는 다른 데스크톱과 같이 지연 시간이 긴 네트워크를 통해서도 원격

및 모바일 작업자에게 워크스테이션 수준의 성능을 제공합니다. 3D 그래픽 애플리케이션에는 일반

적으로 기존의 사무실 작업자 애플리케이션과는 다른 대역폭 요구 사항이 있습니다. VMware

Horizon Cloud Service 팀과 협력하여 특정 대역폭 요구 사항을 정의합니다.

모든 필수 NVIDIA 라이센싱 및 필수 하드웨어는 그래픽 워크스테이션 가격에 포함되어 있습니다. 자세

한 내용은 "서비스 설명: VMware Horizon Cloud Service on IBM Cloud" 를 참조하십시오.

Horizon 7용 NVDIA GRID에 대한 자세한 내용은 Horizon 7 with Blast 3D 설명서를 참조하십시오.

자동 바이러스 백신 업데이트 단계별 수행

Horizon Cloud Service에는 바이러스 백신 솔루션이 포함되어 있지 않습니다. Horizon Cloud

Service 환경에 대한 추가 라이센스를 획득하여 이미 가지고 있는 솔루션을 사용할 수 있습니다. 하지

만 이 방법은 Horizon Cloud Service 요구 사항에 해당하지 않습니다.

DAT 파일을 업데이트하는 Horizon Cloud Service 데스크톱 또는 RDSH 서버에서 바이러스 백신 솔

루션을 사용하도록 선택하는 경우 환경 전체에서 단계별로 업데이트하는 것이 좋습니다. 이렇게 하면

환경의 모든 리소스를 사용하여 모든 VM을 동시에 업데이트함으로써 성능이 느려지는 것을 방지할 수

있습니다.

바이러스 백신 업데이트를 단계별로 수행하는 것 외에도, 정상적인 업무 시간 이외의 시간에 업데이트

하거나 유지 보수 기간 생성과 같이 대규모 동시 업데이트를 방지하는 고정 스케줄을 사용하는 것이 가

장 좋습니다. 대규모 동시 업데이트를 방지하면 모든 리소스를 동시에 사용하여 성능이 느려지는 문제

도 방지됩니다.


VMware, Inc. 49

원격 애플리케이션 관리 6원격 애플리케이션은 RDSH 서버에 설치되고 Horizon Client 또는 Horizon Cloud Service 사용자

포털을 통해 원활하게 제공됩니다. 사용자는 로컬 데스크톱과 기본적으로 통합된 것처럼 보이는 애플리

케이션을 볼 수 있지만 실제로는 클라우드에서 제공되는 것입니다. RDSH 서버에 호스팅되는

Windows 애플리케이션을 Android 및 iOS와 같은 비 Windows 플랫폼에 전달할 수 있습니다.

원격 애플리케이션을 할당하면 게시된 애플리케이션 또는 RDSH 호스팅 애플리케이션이라고도 하는

RDSH 이미지를 기준으로 하는 RDSH 서버를 사용하여 애플리케이션을 게시할 수 있습니다. 원격 애

플리케이션 할당을 생성하려면 프로비저닝할 RDSH 서버 수와 서버당 사용자 수를 선택합니다. 사용

자에게 할당할 애플리케이션을 선택하면 선택한 RDSH 이미지에 설치된 모든 애플리케이션을 볼 수

있습니다. 자동으로 검색되는 애플리케이션을 선택하는 것 외에, 사용자 지정된 원격 애플리케이션을

정의하고 애플리케이션 인벤토리의 RDSH 이미지에 연결할 수도 있습니다.

VMware, Inc. 50

이미지 관리 전략 7유용한 프로파일, 패치 및 백업 관리 방법 개발에 대해서는 이미지 관리 팀에 문의하십시오. 초기에 이

미지 관리 팀의 대표를 의사 결정 및 배포 작업에 투입하여 질문하고, 우려를 표현하고, 문제를 해결할

수 있도록 하여 예기치 않은 문제를 피할 수 있도록 합니다.


n 프로파일 관리

n 패치 관리

n 백업 전략

프로파일 관리

사용자 프로파일은 데스크톱 이미지의 중요한 부분입니다. 사용자 프로파일은 특정 사용자에게 고유한

폴더, 파일 및 구성 설정으로 구성됩니다. 사용자 프로파일 설정, 영구/비영구 데스크톱 또는 RDSH

서버 중에서 사용자를 할당할 위치 선택, 리디렉션 사용 시기 결정 등은 모두 이미지 관리 작업의 일부

입니다.

가상 환경에서 사용자 프로파일은 일반적으로 물리적 데스크톱 대신 서버에 저장됩니다. 이렇게 하면

사용자가 데스크톱을 이동하면서 작업할 때 사용자 프로파일 데이터가 사용자를 따라 이동합니다. 가상

환경의 프로파일 관리를 고려하는 경우 할당부터 시작하는 것이 좋습니다. Horizon Cloud Service에

는 원격 애플리케이션에 대한 할당과 함께 전용, 부동 및 세션 기반 데스크톱에 대한 데스크톱 할당이

포함되어 있습니다.

할당 유형 프로파일 관리 고려 사항

기존 클론, 전용(영구) 데스크톱 가상 데스크톱은 사용자가 처음 로그인할 때 사용자에게 할당되며, 사용자는

후속 로그인에 대해 동일한 가상 데스크톱을 사용합니다. 사용자는 가상 데스

크톱을 사용자 지정하고 이를 사용하여 문서 및 애플리케이션에 액세스할 수

있습니다. 단일 영구 데스크톱을 사용하는 사용자의 경우 사용자 프로파일을

해당 데스크톱에 직접 저장할 수 있습니다. 사용자가 변경한 내용은 동일한

가상 데스크톱에서 유지됩니다. 그러나 가상 데스크톱이 손상되거나 사용자

가 원격 애플리케이션에도 액세스하는 경우, 변경 내용을 보존하기 위해 서버

에 사용자 프로파일을 저장하는 것을 고려해야 합니다.

인스턴트 클론, 전용(영구) 데스크톱 이 할당은 사용자가 모든 로그인에 동일한 가상 데스크톱 컴퓨터 이름을 사용

한다는 점에서 기존의 영구 클론과 비슷합니다. 차이점은 사용자가 로그아웃

할 때 가상 데스크톱이 초기 상태로 새로 고쳐지고 모든 변경 내용이 손실된

다는 점입니다. 거의 영구적인 환경을 제공하려면 사용자 프로파일을 서버에

저장해야 합니다.

VMware, Inc. 51

할당 유형 프로파일 관리 고려 사항

기존 클론 및 인스턴트 클론, 부동(비영구) 데스

크톱

새 가상 데스크톱은 사용자가 로그인할 때마다 할당되므로 이후에 로그인할

때 동일한 가상 데스크톱을 사용할 필요가 없습니다. 사용자가 로그아웃하고

모든 변경 내용이 손실될 경우 디스크가 초기 상태로 새로 고쳐지므로 사용자

는 특정 데스크톱을 사용자 지정하거나 문서 또는 애플리케이션을 추가할 수

없습니다. 그러나 사용자 프로파일을 서버에 저장하여 변경 내용을 보존할 수

있습니다. 여러 데스크톱이 있는 사용자 또는 원격 애플리케이션에 액세스하

는 사용자의 경우 사용자 프로파일이 사용자를 따라 이동하여 각 데스크톱 또

는 원격 애플리케이션에 액세스할 때 사용할 수 있으므로 사용자의 환경이 일

관되게 유지됩니다.

기존 클론, 세션(공유) 데스크톱 및 원격 애플리

케이션

사용자는 가장 적은 연결을 사용하여 RDSH 서버에 연결되므로 나중에 로그

인할 때 반드시 동일한 서버를 사용한다고 보장되지 않습니다. RDSH 서버를

잠가야 하며 사용자가 시스템을 변경하거나 애플리케이션을 설치하도록 허용

하지 않아야 합니다. 변경 내용을 유지하고 일관된 사용자 환경을 제공하려면

사용자 프로파일을 서버에 저장합니다.

리디렉션할 대상 결정

사용자 프로파일과 함께 리디렉션을 사용하여 비영구 데스크톱에서 거의 영구적인 사용자 환경을 제공

할 수 있습니다. 사용자는 로그인할 때 사용 중인 비영구 데스크톱과 관계없이 동일한 애플리케이션 설

정 및 파일을 얻습니다. 리디렉션을 사용하면 비영구 데스크톱 비용으로 영구 데스크톱의 장점을 활용

할 수 있습니다.

리디렉션을 사용하려면 사용자가 작업하는 데 필요한 리소스를 식별하고, 사용자가 작업을 저장하는 위

치를 결정하고, 리디렉션할 작업량을 결정합니다. 예를 들어, 사용자가 데스크톱 또는 내 문서 폴더에

저장하는 모든 항목을 파일 공유에 리디렉션하도록 선택할 수 있습니다. 사용자에게 파일 공유에 대한

액세스 권한을 부여하면 사용하는 데스크톱 할당 또는 원격 애플리케이션과 관계없이 해당 작업을 항상

사용할 수 있습니다. 또한, Outlook에 대한 배경, 화면 보호기, 구성 등도 리디렉션할 수 있습니다. 다

른 옵션은 사용자가 모든 작업을 파일 공유에 직접 저장하도록 교육하여 리디렉션 작업을 수행하도록

하는 것입니다.

리디렉션 방법 결정

VMware User Environment Manager는 리디렉션을 관리하는 좋은 방법입니다.

n User Environment Manager는 사용자 중심 컴퓨팅을 지원하고 종단 간 애플리케이션 및 사용자

관리를 지원하는 JMP의 중요한 구성 요소입니다.

n Horizon Cloud Service에서 작동하도록 User Environment Manager를 설정하여 여러 디바이

스 및 위치에서 사용자 개인 설정을 관리할 수 있습니다.

n User Environment Manager는 사용자의 디바이스에 집중하는 대신, 사용자 프로파일, 개인 설

정, 애플리케이션 설정, 상황별 정책 설정, 사용자 권한, 라이센싱 및 보고 설정과 같은 사용자의

컨텍스트에 중점을 둡니다.

리디렉션할 위치 결정

리디렉션을 사용하여 사용자 프로파일을 저장하면 사용자 프로파일이 새 영구 위치로 리디렉션됩니다.

사용자 프로파일 정보를 리디렉션할 수 있는 위치로는 다음 세 가지가 있습니다.


VMware, Inc. 52

옵션 설명

가상 데스크톱 및 RDSH 서버와 동일한 위치로 리디렉

션(권장)

유틸리티 서버를 사용하여 가상 데스크톱 및 RDSH 서버와 동일한

위치에 있는 파일 서버로 사용자 프로파일을 리디렉션할 수 있습니

다. 프로파일 데이터는 Horizon Cloud Service 테넌트를 절대 떠나

지 않습니다. 성능 및 보안을 위해서는 이 옵션이 가장 적합합니다.

Horizon Cloud Service에서 User Environment Manager를 사용

하는 경우 사용자 프로파일을 저장하려면 유틸리티 서버가 필요합니

다.

IaaS(Infrastructure-As-A-Service ) 인스턴스로 리디

렉션

가상 데스크톱 및 RDSH 서버와 동일한 물리적 데이터 센터의 파일

서버로 사용자 프로파일을 리디렉션할 수 있습니다. 이러한 리소스는

Horizon Cloud Service 제공자가 제공하는 IaaS를 사용하여 별도

의 가상 데이터 센터에 있을 수 있습니다. IPsec 터널을 사용하여 두

가상 데이터 센터를 연결할 수 있습니다.

VPN을 통해 리디렉션 VPN을 통해 기본 데이터 센터의 파일 서버로 사용자 프로파일을 리

디렉션할 수 있습니다. 지연 시간과 대역폭은 성공적으로 데이터 센

터로 다시 리디렉션하기 위한 핵심 요소입니다.

패치 관리

올바른 패치 관리 방법을 설정하는 것이 중요합니다.

사용하는 할당 유형에 따라 기존 패치 관리 프로세스를 변경해야 할 수 있습니다.

할당 유형 패치 관리 프로세스

기존 클론, 전용(영구) 데스크톱 물리적 데스크톱에 하는 것처럼 각 VM에 애플리케이션 업데이트를 푸시하거나

타사 유틸리티를 사용하고 이미지 자체를 패치해야 합니다.

인스턴트 클론, 전용(영구) 데스크톱 이러한 할당은 세션이 바뀔 경우 변경 내용이 손실되므로 간단하게 이미지를 패

치하고 애플리케이션을 업데이트할 수 있습니다. 이미지를 패치한 다음, 푸시

또는 재할당하여 할당을 새로 고칩니다. 이미지에 설치된 애플리케이션을 패치

또는 업데이트하려면 이미지에서 애플리케이션을 업데이트한 다음, 이미지를

푸시 또는 할당합니다.

기존 클론 및 인스턴트 클론, 부동(비영구) 데

스크톱

이러한 데스크톱은 세션이 바뀔 경우 변경 내용이 손실되므로 간단하게 이미지

를 패치하고 애플리케이션을 업데이트할 수 있습니다. 이미지를 패치한 다음,

푸시 또는 재할당하여 할당을 새로 고칩니다. 이미지에 설치된 애플리케이션을

패치 또는 업데이트하려면 이미지에서 애플리케이션을 업데이트한 다음, 이미

지를 푸시 또는 할당합니다.

기존 클론, 세션(공유) 데스크톱 및 원격 애플

리케이션

이미지를 패치하여 업데이트한 다음, 푸시하여 할당을 새로 고칩니다. 이미지에

설치된 애플리케이션을 패치 또는 업데이트하려면 이미지에서 애플리케이션을

업데이트한 다음, 이미지를 푸시합니다.

자동 업데이트 기능 해제

대부분의 애플리케이션에는 애플리케이션을 정기적으로 업데이트하는 자동 업데이트 기능이 있습니다.

이러한 자동 업데이트는 사용자가 기존 클론 또는 인스턴트 클론의 비영구 데스크톱이나 인스턴트 클론

의 영구 데스크톱에서 로그아웃할 때 손실됩니다. 이러한 유형의 데스크톱 할당에서는 이 기능을 해제

하는 것이 좋습니다.


VMware, Inc. 53

하위 집합 풀의 패치 및 업데이트 테스트

대규모 업그레이드, 설치, 새 애플리케이션, 애플리케이션 업데이트 또는 서비스 팩과 같은 주요 변경

사항을 도입할 때는 먼저 하위 집합 데스크톱 또는 애플리케이션 할당에서 해당 변경 내용을 테스트하

는 것이 좋습니다. 변경 내용으로 인해 문제가 발생할 경우 원본으로 돌아갈 수 있도록 이미지의 사본

을 생성합니다.

Horizon Cloud Service 관리 콘솔에서 이미지를 복제합니다. 그런 다음, 서비스 팩, 업그레이드 또는

기타 주요 변경 내용을 사본에 적용합니다. 문제가 발생하면 원래 이미지를 다시 복제하면 됩니다. 성

공적으로 변경되면 기본 프로덕션 할당에 변경 내용을 적용할 수 있습니다.

백업 전략

올바른 백업 방법을 설정하는 것이 중요합니다. 백업 빛 데스크톱 팀의 담당자를 의사 결정 및 배포 작

업에 투입하여 초기에 질문, 문제를 해결합니다.

여러 이미지 백업 지원

Horizon Cloud Service on IBM Cloud에서는 주어진 이미지의 백업을 두 개 실행할 수 있습니다.

두 개 이상의 백업을 원할 경우에는 후속 백업을 수동으로 관리해야 합니다. 여러 VM이 있는 관리 풀

을 생성하여 이미지를 변경할 때마다 복사, 백업, 테스트 및 성공 여부를 확인하는 것이 좋습니다.

변경 전 백업

변경하는 동안 문제가 발생했을 때 이전 이미지로 되돌릴 수 있도록 이미지를 변경하기 전에 백업을 생

성하는 것이 좋습니다. 기본 이미지를 하나 생성하고, 여러 번 복사한 후 사업부별로 각각의 사본을 수

정합니다(예: 재무 부서용 사본 1개, 운영 부서용 사본 1개 등). 그런 다음, 필요할 때 되돌릴 수 있도

록 변경 전에 모든 이미지를 백업합니다.

변경 내용 항상 테스트

패치, 업그레이드, 추가 또는 제외를 비롯한 인프라 변경 내용은 때때로 인프라에 예측할 수 없는 방식

으로 영향을 미칩니다. 추가 내용이 시스템을 중단하고 이미지를 손상할 수 있으며 새 패치가 데스크톱

의 기존 애플리케이션과 충돌할 수 있습니다. 따라서 변경할 때마다 테스트하는 것이 중요합니다. 변경

이 나쁜 영향을 미치지 않는지 확인하려면 모든 운영 할당에 변경 내용을 적용하기 전에 데스크톱의 일

부만 바꾸고 테스트해봅니다. 사용자 수용 테스트를 테스트 프로세스의 단계 중 하나로 포함할 수 있습

니다.

성공적인 변경 후 백업

향후 변경 후에 문제가 발생했을 때 이미지를 복구할 수 있도록 이미지를 성공적으로 변경한 후 다시

백업합니다.

이미지를 백업하기 위해 특별히 이미지의 백업 및 사본에 대한 관리 할당을 설정하고 테스트 및 백업

목적으로 사용할 VM을 풀에 추가할 수 있습니다. 그러면 이전에 성공적으로 만든 이미지를 기준으로

관리 할당에서 다른 VM으로 되돌리는 방식으로 복원됩니다.


VMware, Inc. 54

Documents

Horizon Cloud on IBM Cloud 19.1 배포 - VMware Horizon Cloud ... · 소개 1 VMware Horizon® Cloud Service™는 VMware의 클라우드 서비스 제품군으로, 가상 데스크톱