기업용 Azure Virtual Desktop

Azure Virtual Desktop은 Azure에서 실행되는 데스크톱 및 애플리케이션 가상화 서비스입니다. 이 문서는 데스크톱 인프라 설계자, 클라우드 설계자, 데스크톱 관리자 및 시스템 관리자가 Azure Virtual Desktop을 탐색하고 엔터프라이즈 규모에서 VDI(가상 데스크톱 인프라) 솔루션을 빌드하는 데 도움을 주기 위해 작성되었습니다. 엔터프라이즈급 솔루션은 일반적으로 1,000개 이상의 가상 데스크톱을 포함합니다.

아키텍처

Azure Virtual Desktop의 일반적인 아키텍처 설정은 다음 다이어그램에 설명되어 있습니다.

이 아키텍처의 Visio 파일을 다운로드합니다.

데이터 흐름

다이어그램의 데이터 흐름 요소는 다음과 같습니다.

• 애플리케이션 엔드포인트는 고객의 온-프레미스 네트워크에 있습니다. Azure ExpressRoute는 온-프레미스 네트워크를 Azure로 확장하고 Microsoft Entra 커넥트 고객의 AD DS(Active Directory 도메인 Services)를 Microsoft Entra ID와 통합합니다.

• Azure Virtual Desktop 컨트롤 플레인은 웹 액세스, 게이트웨이, 브로커, 진단 및 REST API와 같은 확장성 구성 요소를 처리합니다.

• 고객은 AD DS 및 Microsoft Entra ID, Azure 구독, 가상 네트워크, Azure Files 또는 Azure NetApp Files, Azure Virtual Desktop 호스트 풀 및 작업 영역을 관리합니다.

• 고객은 용량을 늘리기 위해 허브-스포크 아키텍처에서 두 개의 Azure 구독을 사용하고, 가상 네트워크 피어링을 통해 구독을 연결합니다.

FSLogix 프로필 컨테이너 - Azure Files 및 Azure NetApp Files 모범 사례에 대한 자세한 내용은 FSLogix 구성 예제를 참조 하세요.

구성 요소

Azure Virtual Desktop 서비스 아키텍처는 Windows Server 원격 데스크톱 서비스와 비슷합니다. Microsoft가 인프라 및 중개 구성 요소를 관리하지만 기업 고객은 자체 데스크톱 호스트 VM(가상 머신), 데이터 및 클라이언트를 관리합니다.

Microsoft에서 관리하는 구성 요소

Microsoft는 Azure의 일부로 다음과 같은 Azure Virtual Desktop 서비스를 관리합니다.

• 웹 액세스: Azure Virtual Desktop 내에서 웹 액세스 서비스를 사용하면 로컬 PC에서와 마찬가지로 HTML5 호환 웹 브라우저를 통해 어디서나 모든 디바이스에서 가상 데스크톱 및 원격 앱에 액세스할 수 있습니다. Microsoft Entra ID에서 다단계 인증을 사용하여 웹 액세스를 보호할 수 있습니다.

• 게이트웨이: 원격 연결 게이트웨이 서비스는 Azure Virtual Desktop 클라이언트를 실행할 수 있는 인터넷에 연결된 디바이스에서 Azure Virtual Desktop 앱 및 데스크톱에 원격 사용자를 연결합니다. 클라이언트가 게이트웨이에 연결되면 게이트웨이는 VM에서 동일한 게이트웨이로의 연결을 다시 오케스트레이션합니다.

• 연결 브로커: 연결 브로커 서비스는 Virtual Desktop 및 원격 앱에 대한 사용자 연결을 관리합니다. 연결 브로커는 부하 분산 및 기존 세션과의 재연결을 제공합니다.

• 진단: 원격 데스크톱 진단은 Azure Virtual Desktop 배포에 대한 각 사용자 또는 관리자 작업을 성공 또는 실패로 표시하는 이벤트 기반 집계입니다. 관리자는 이벤트 집계를 쿼리하여 실패한 구성 요소를 식별할 수 있습니다.

• 확장성 구성 요소: Azure Virtual Desktop에는 여러 확장성 구성 요소가 포함됩니다. Windows PowerShell 또는 제공된 REST API를 사용하여 Azure Virtual Desktop을 관리할 수 있습니다. 이를 통해 타사 도구의 지원도 가능합니다.

관리하는 구성 요소

Azure Virtual Desktop 솔루션의 다음 구성 요소를 관리합니다.

• Azure Virtual Network: Azure Virtual Network를 사용하면 VM과 같은 Azure 리소스가 비공개로 서로 통신하고 인터넷과 통신할 수 있습니다. Azure Virtual Desktop 호스트 풀을 Active Directory 도메인에 연결하면 조직 정책에 따라 인트라넷 또는 인터넷에서 가상 데스크톱 및 가상 앱에 액세스하는 네트워크 토폴로지를 정의할 수 있습니다. VPN(가상 사설망)을 사용하여 Azure Virtual Desktop 인스턴스를 온-프레미스 네트워크에 연결하거나 Azure ExpressRoute를 사용하여 프라이빗 연결을 통해 온-프레미스 네트워크를 Azure로 확장할 수 있습니다.

• Microsoft Entra ID: Azure Virtual Desktop은 ID 및 액세스 관리에 Microsoft Entra ID를 사용합니다. Microsoft Entra 통합은 조건부 액세스, 다단계 인증 및 지능형 보안 그래프와 같은 Microsoft Entra 보안 기능을 적용하며, 기본기본 조인된 VM에서 앱 호환성을 달성하는 데 도움이 됩니다.

• Active Directory 도메인 Services(선택 사항): Azure Virtual Desktop VM을 수행하거나, AD DS 서비스에 조인하거나기본 Azure Virtual Desktop에서 Microsoft Entra 조인 가상 머신 배포를 사용할 수 있습니다.

  • AD DS do기본 사용하는 경우 두 서비스 간에 사용자를 연결하려면 do기본 Microsoft Entra ID와 동기화되어야 합니다. Microsoft Entra 커넥트 사용하여 AD DS를 Microsoft Entra ID와 연결할 수 있습니다.
  • Microsoft Entra 조인을 사용하는 경우 지원되는 구성을 검토하여 시나리오가 지원되는지 확인합니다 .

• Azure Virtual Desktop 세션 호스트: 세션 호스트는 사용자가 데스크톱 및 애플리케이션에 연결하는 VM입니다. 여러 버전의 Windows가 지원되며 애플리케이션 및 사용자 지정을 사용하여 이미지를 만들 수 있습니다. GPU 사용 VM을 포함하여 VM 크기를 선택할 수 있습니다. 각 세션 호스트에는 VM을 Azure Virtual Desktop 작업 영역 또는 테넌트의 일부로 등록하는 Azure Virtual Desktop 호스트 에이전트가 있습니다. 각 호스트 풀에는 액세스할 수 있는 원격 애플리케이션 또는 데스크톱 세션 컬렉션인 앱 그룹이 하나 이상 있을 수 있습니다. 지원되는 Windows 버전을 확인하려면 운영 체제 및 라이선스를 참조 하세요.

• Azure Virtual Desktop 작업 영역: Azure Virtual Desktop 작업 영역 또는 테넌트는 호스트 풀 리소스를 관리하고 게시하기 위한 관리 구문입니다.

시나리오 정보

잠재적인 사용 사례

엔터프라이즈 가상 데스크톱 솔루션에 대한 대부분의 수요는 다음에서 비롯됩니다.

• 금융 서비스, 의료 및 정부와 같은 보안 및 규제 애플리케이션.

• 원격 작업, 인수 합병, 단기 직원, 계약자, 파트너 액세스와 같은 탄력적인 인력 요구 사항.

• BYOD(Bring Your Own Device) 및 모바일 사용자, 콜 센터 및 분기 직원과 같은 특정 직원.

• 디자인 및 엔지니어링, 레거시 앱, 소프트웨어 개발 테스트와 같은 특수 워크로드.

개인 데스크톱 및 풀링된 데스크톱

개인 데스크톱(영구 데스크톱이라고도 함) 솔루션을 사용하여 사용자는 항상 동일한 특정 세션 호스트에 연결할 수 있습니다. 사용자는 일반적으로 개인 취향에 맞게 데스크톱 환경을 수정할 수 있으며 데스크톱 환경에 파일을 저장할 수 있습니다. 개인 데스크톱 솔루션:

• 사용자가 설치한 애플리케이션을 포함하여 데스크톱 환경을 사용자 지정하고 사용자가 데스크톱 환경 내에서 파일을 저장할 수 있습니다.
• 일부 제조 또는 개발 사용 사례에 도움이 될 수 있는 특정 사용자에게 전용 리소스를 할당할 수 있습니다.

비영구 데스크톱이라고도 하는 풀링된 데스크톱 솔루션은 부하 분산 알고리즘에 따라 현재 사용 가능한 세션 호스트에 사용자를 할당합니다. 사용자가 연결할 때마다 항상 동일한 세션 호스트로 돌아오는 것이 아니므로 데스크톱 환경을 사용자 지정하는 기능이 제한되며, 일반적으로 관리자 액세스 권한이 없습니다.

Windows 서비스

Azure Virtual Desktop 인스턴스를 업데이트하기 위한 여러 가지 옵션이 있습니다. 매월 업데이트된 이미지를 배포하면 규정 준수 및 상태가 보장됩니다.

• MECM(Microsoft Endpoint Configuration Manager)은 서버 및 데스크톱 운영 체제를 업데이트합니다.
• 비즈니스용 Windows 업데이트는 Windows 10 다중 세션과 같은 데스크톱 운영 체제를 업데이트합니다.
• Azure 업데이트 관리는 서버 운영 체제를 업데이트합니다.
• Azure Log Analytics는 규정 준수를 확인합니다.
• 최신 Windows 및 애플리케이션 업데이트를 위해서는 매월 세션 호스트에 새 (사용자 지정) 이미지를 배포하세요. Azure Marketplace의 이미지 또는 사용자 지정 Azure 관리 이미지를 사용할 수 있습니다.

주요 논리 구성 요소 간 관계

호스트 풀, 작업 영역 및 기타 주요 논리 구성 요소 간 관계는 다양합니다. 다음 다이어그램에 요약되어 있습니다.

다음 설명의 숫자는 이전 다이어그램의 숫자에 해당합니다.

• (1) 게시된 데스크톱을 포함하는 애플리케이션 그룹은 호스트 풀에 탑재된 MSIX 패키지만 포함할 수 있습니다(패키지는 세션 호스트의 시작 메뉴에서 사용할 수 있음). 다른 게시된 리소스를 포함할 수 없으며 데스크톱 애플리케이션 그룹이라고 합니다.
• (2) 동일한 호스트 풀에 할당된 애플리케이션 그룹은 동일한 작업 영역의 멤버여야 합니다.
• (3) 직접 또는 Microsoft Entra 그룹을 통해 애플리케이션 그룹에 사용자 계정을 할당할 수 있습니다. 애플리케이션 그룹에 사용자를 할당할 수는 없지만 어떤 서비스도 제공할 수 없습니다.
• (4) 빈 작업 영역이 있을 수 있지만 사용자에게 서비스를 제공할 수 없습니다.
• (5) 빈 호스트 풀이 있을 수 있지만 사용자에게 서비스를 제공할 수 없습니다.
• (6) 호스트 풀에 할당된 애플리케이션 그룹이 없지만 사용자에게 서비스를 제공할 수는 없습니다.
• (7) Azure Virtual Desktop에는 Microsoft Entra ID가 필요합니다. 이는 Microsoft Entra 사용자 계정 및 그룹을 항상 사용하여 사용자를 Azure Virtual Desktop 애플리케이션 그룹에 할당해야 하기 때문입니다. Microsoft Entra ID는 Azure Virtual Desktop 서비스에 사용자를 인증하는 데도 사용됩니다. Azure Virtual Desktop 세션 호스트는 Microsoft Entra do기본 멤버일 수도 있으며, 이 경우 Microsoft Entra 계정을 사용하여 Azure Virtual Desktop에 게시된 애플리케이션 및 데스크톱 세션도 시작 및 실행됩니다(할당된 것이 아님).
  • (7) 또는 Azure Virtual Desktop 세션 호스트는 AD DS 도메인의 멤버일 수 있으며 이 경우 Azure Virtual Desktop 게시 애플리케이션 및 데스크톱 세션이 시작되고 AD DS 계정을 사용하여 실행됩니다(할당되지는 않음). 사용자 및 관리 오버헤드를 줄이기 위해 Microsoft Entra 커넥트 통해 AD DS를 Microsoft Entra ID와 동기화할 수 있습니다.
  • (7) 마지막으로 Azure Virtual Desktop 세션 호스트는 Microsoft Entra Do기본 Services의 구성원이 될 수 있으며기본 이 경우 Microsoft Entra Do기본 Services 계정을 사용하여 Azure Virtual Desktop에 게시된 애플리케이션 및 데스크톱 세션이 시작되고 실행(할당되지 않음)됩니다. Microsoft Entra ID는 Microsoft Entra ID에서 Microsoft Entra Do기본 Services로 한 가지 방법으로 Microsoft Entra Do기본 Services와 자동으로 동기화됩니다.

고려 사항

이러한 고려 사항은 워크로드의 품질을 향상시키는 데 사용할 수 있는 일단의 지침 원칙인 Azure Well-Architected Framework의 핵심 요소를 구현합니다. 자세한 내용은 Microsoft Azure Well-Architected Framework를 참조하세요.

다음 섹션의 숫자는 근사값입니다. 이는 다양한 대규모 고객 배포를 기반으로 하며 시간이 지남에 따라 변경될 수 있습니다.

다음 사항에도 유의하세요.

• 단일 Microsoft Entra 테넌트당 500개 이상의 애플리케이션 그룹을 만들 수 없습니다*.
• 애플리케이션 그룹당 50개 이상의 애플리케이션을 게시하지 않는 것이 좋습니다.

Azure Virtual Desktop 제한 사항

Azure Virtual Desktop은 Azure와 마찬가지로 사용자가 알아야 하는 특정 서비스 제한 사항이 있습니다. 확장 단계에서 변경하지 않으려면 디자인 단계에서 이러한 제한 사항 중 일부를 해결하는 것이 좋습니다.

*500개가 넘는 애플리케이션 그룹이 필요한 경우 Azure Portal을 통해 지원 티켓을 제출합니다.

• 지역별로 Azure 구독당 VM을 5,000개 이하로 배포하는 것이 좋습니다. 이 권장 사항은 Windows Enterprise 단일 및 다중 세션을 기반으로 하는 개인 및 풀링된 호스트 풀 모두에 적용됩니다. 대부분의 고객은 여러 사용자가 각 VM에 로그인할 수 있는 Windows Enterprise 다중 세션을 사용합니다. 더 많은 사용자 세션을 수용할 수 있도록 개별 세션 호스트 VM의 리소스를 늘릴 수 있습니다.
• 자동화된 세션 호스트 스케일링 도구의 경우 VM 상태 상호 작용은 더 많은 리소스를 사용하기 때문에 한도는 지역별로 Azure 구독당 약 2,500개의 VM입니다.
• 동일한 지역에 Azure 구독당 5,000개를 초과하는 VM이 있는 엔터프라이즈 환경을 관리하려면 허브-스포크 아키텍처에서 여러 Azure 구독을 만들고 가상 네트워크 피어링을 통해 연결할 수 있습니다(스포크당 하나의 구독 사용). 동일한 구독의 다른 지역에 VM을 배포하여 VM 수를 늘릴 수도 있습니다.
• ARM(Azure Resource Manager) 구독 API 제한 한도는 Azure Portal을 통해 시간당 600회가 넘는 Azure VM 재부팅을 허용하지 않습니다. Azure Resource Manager 구독 API 호출을 사용하지 않는 운영 체제를 통해 모든 컴퓨터를 한 번에 다시 부팅할 수 있습니다. Azure 구독에 따른 제한 한도 계산 및 문제 해결에 관한 자세한 내용은 API 제한 오류 문제 해결을 참조하세요.
• 현재 Azure Virtual Desktop 포털에서 단일 ARM 템플릿 배포에 VM을 최대 132개 배포할 수 있습니다. VM을 132개 이상 만들려면 Azure Virtual Desktop 포털에서 ARM 템플릿 배포를 여러 번 실행합니다.
• 인스턴스 이름의 자동 할당 및 컴퓨터 계정당 15자의 NetBIOS 제한으로 인해 Azure VM 세션 호스트 이름 접두사는 11자를 초과할 수 없습니다.
• 기본적으로 리소스 그룹에 있는 리소스 종류 대부분의 인스턴스를 800개까지 배포할 수 있습니다. Azure Compute에는 이 한도가 없습니다.

Azure 구독 제한 사항에 관한 자세한 내용은 Azure 구독 및 서비스 제한, 할당량 및 제약 조건을 참조하세요.

VM 크기 조정

가상 머신 크기 조정 참고 자료에는 vCPU(가상 중앙 처리 장치) 당 제안된 최대 사용자 수와 다양한 워크로드에 대한 최소 VM 구성이 나와 있습니다. 이 데이터는 호스트 풀에 필요한 VM을 예측하는 데 도움이 됩니다.

시뮬레이션 도구를 통해 스트레스 테스트와 실제 사용량 시뮬레이션을 모두 사용하여 배포를 테스트합니다. 시스템이 사용자 요구를 충족할 수 있을 만큼 응답성이 뛰어나고 복원력이 있는지 확인하고 테스트할 때 부하 크기를 다양화해야 합니다.

비용 최적화

비용 최적화는 불필요한 비용을 줄이고 운영 효율성을 높이는 방법을 찾는 것입니다. 자세한 내용은 비용 최적화 핵심 요소 개요를 참조하세요.

Azure Virtual Desktop 솔루션을 설계하여 비용 절감을 실현할 수 있습니다. 다음은 엔터프라이즈 비용 관리에 도움이 되는 다섯 가지 옵션입니다.

• Windows 10 다중 세션: 동일한 컴퓨팅 요구 사항을 가진 사용자에게 다중 세션 데스크톱 환경을 제공함으로써 더 많은 사용자가 한 번에 단일 VM에 로그인할 수 있도록 함으로써 비용을 상당히 절감할 수 있는 방식입니다.
• Azure 하이브리드 혜택: Software Assurance가 있는 경우 Windows Server용 Azure 하이브리드 혜택을 사용하여 Azure 인프라 비용을 절감할 수 있습니다.
• Azure Reserved VM Instances: VM 사용 비용을 선불하고 비용을 절감할 수 있습니다. Azure Reserved VM Instances를 Azure 하이브리드 혜택과 결합하여 정가에서 최대 80%를 절감하세요.
• 세션-호스트 부하 분산: 세션 호스트를 설정할 때 사용자를 여러 세션 호스트에 임의로 분산시키는 breadth-first 모드가 표준 기본 모드입니다. 또는 깊이 우선 모드를 사용하여 다음 세션 호스트로 이동하기 전에 세션-호스트 서버를 최대 사용자 수로 채울 수 있습니다. 이 설정을 조정하여 비용 혜택을 최대화할 수 있습니다.

시나리오 배포

ARM 템플릿을 사용하여 Azure Virtual Desktop 환경의 배포를 자동화합니다. 이 ARM 템플릿은 Azure Resource Manager의 Azure Virtual Desktop 개체만 지원합니다. 이 ARM 템플릿은 Azure Virtual Desktop(클래식)을 지원하지 않습니다.

참가자

Microsoft에서 이 문서를 유지 관리합니다. 원래 다음 기여자가 작성했습니다.

보안 주체 작성자:

• Tom Hickling | 선임 제품 관리자, Azure Virtual Desktop 엔지니어링

다른 기여자:

• Nelson Del Villar | 클라우드 솔루션 설계자, Azure Core 인프라

다음 단계

• Azure Virtual Desktop 파트너 통합에는 승인된 Azure Virtual Desktop 파트너 공급자 및 독립 소프트웨어 공급업체가 나열됩니다.
• Virtual Desktop 최적화 도구를 사용하면 Windows 10 Enterprise VDI(가상 데스크톱 인프라) 환경에서 성능을 최적화할 수 있습니다.
• Azure Virtual Desktop에서 Microsoft Entra 조인 가상 머신 배포를 참조 하세요.
• Active Directory Domain Services에 대해 자세히 알아봅니다.
• Microsoft Entra Connect란?

관련 참고 자료

• 다중 Active Directory 포리스트 아키텍처에 대한 자세한 내용은 Azure Virtual Desktop의 다중 Active Directory 포리스트 아키텍처를 참조하세요.