Share via

Azure Virtual Desktop 워크로드에 대한 네트워킹 및 연결 고려 사항

  • 아티클

이 문서에서는 Azure Virtual Desktop 워크로드의 네트워킹 및 연결 디자인 영역에 대해 설명합니다. Azure Virtual Desktop 랜딩 존에 대한 Azure 네트워킹 기능을 설계하고 구현하는 것이 중요합니다. 이 문서에서는 여러 Azure Well-Architected Framework 엔터프라이즈 규모 랜딩 존 아키텍처 원칙 및 권장 사항을 사용합니다. 이 지침을 기반으로 하여 이 문서에서는 대규모로 네트워크 토폴로지 및 연결을 관리하는 방법을 보여줍니다.

중요

이 문서는 Azure Well-Architected Framework Azure Virtual Desktop 워크로드 시리즈의 일부입니다. 이 시리즈에 익숙하지 않은 경우 Azure Virtual Desktop 워크로드란?으로 시작하는 것이 좋습니다.

클라이언트 대기 시간

영향: 성능 효율성

최종 사용자와 세션 호스트 간의 대기 시간은 Azure Virtual Desktop 사용자 환경에 영향을 주는 주요 측면입니다. Azure Virtual Desktop 환경 예측 도구를 사용하여 연결 RTT(왕복 시간)를 예측할 수 있습니다. 특히 이 도구는 Azure Virtual Desktop 서비스를 통해 사용자 위치에서 VM(가상 머신)을 배포하는 각 Azure 지역으로 RTT를 추정합니다.

최종 사용자 환경의 품질을 평가하려면 다음을 수행합니다.

  • 개발, 테스트 및 개념 증명 환경에서 엔드 투 엔드 대기 시간을 테스트합니다. 이 테스트는 사용자의 실제 환경을 고려해야 합니다. 네트워크 조건, 최종 사용자 디바이스 및 배포된 VM의 구성과 같은 요소를 고려해야 합니다.
  • 대기 시간은 원격 프로토콜과의 연결의 한 가지 측면일 뿐입니다. 대역폭 및 사용자 워크로드도 최종 사용자 환경에 영향을 줍니다.
권장 사항
  • Azure Virtual Desktop 환경 예측 도구를 사용하여 예상 대기 시간 값을 수집합니다.
  • Azure 가상 네트워크에서 온-프레미스 시스템으로의 대기 시간을 테스트합니다.
  • P2S(지점 및 사이트 간) VPN 연결을 사용하는 클라이언트에 UDP(사용자 데이터그램 프로토콜)를 기반으로 하는 분할 터널을 사용합니다.
  • VPN 또는 Azure ExpressRoute를 사용하는 사이트 클라이언트에 대해 관리형 네트워크와 함께 RDP(원격 데스크톱 프로토콜) Shortpath를 사용합니다.

온-프레미스 연결(하이브리드 네트워킹)

영향: 성능 효율성, 운영 우수성

일부 조직에서는 온-프레미스 및 클라우드 리소스를 포함하는 하이브리드 모델을 사용합니다. 대부분의 하이브리드 경우 Azure Virtual Desktop에서 실행되는 최종 사용자 워크플로는 공유 또는 플랫폼 서비스, 데이터 또는 애플리케이션과 같은 온-프레미스 리소스에 도달해야 합니다.

하이브리드 네트워킹을 구현하는 경우 클라우드 채택 프레임워크 네트워크 토폴로지 및 연결 문서에서 모범 사례 및 권장 사항을 검토합니다.

Azure Virtual Desktop 워크로드를 Azure 랜딩 존과 통합에 설명된 Azure Virtual Desktop 크기 조정 모델에 맞추는 것이 중요합니다. 이 모델을 따르려면 다음을 수행합니다.

  • 온-프레미스 시스템에 연결하는 Azure Virtual Desktop 워크플로의 대기 시간 및 대역폭 요구 사항을 평가합니다. 이 정보는 하이브리드 네트워킹 아키텍처를 디자인할 때 매우 중요합니다.
  • Azure Virtual Desktop 서브넷과 온-프레미스 네트워크 간에 겹치는 IP 주소가 없는지 확인합니다. 연결 구독의 소유자인 네트워크 설계자에게 IP 주소 지정 작업을 할당하는 것이 좋습니다.
  • 모든 Azure Virtual Desktop 랜딩 존에 자체 가상 네트워크 및 서브넷 구성을 제공합니다.
  • 필요한 IP 주소 공간의 양을 결정할 때 잠재적인 증가를 고려하여 서브넷 크기를 적절하게 조정합니다.
  • 스마트 IP 클래스 없는 CIDR(도메인 간 라우팅) 표기법을 사용하여 IP 주소 공간 낭비를 방지합니다.
권장 사항
  • Azure 가상 네트워크를 온-프레미스 시스템에 연결하기 위한 모범 사례를 검토합니다.
  • Azure 가상 네트워크에서 온-프레미스 시스템으로의 대기 시간을 테스트합니다.
  • Azure Virtual Desktop 랜딩 존에서 겹치는 IP 주소가 사용되지 않는지 확인합니다.
  • 모든 Azure Virtual Desktop 랜딩 존에 자체 가상 네트워크 및 서브넷 구성을 제공합니다.
  • Azure Virtual Desktop 서브넷의 크기를 지정할 때 잠재적인 성장을 고려합니다.

다중 지역 연결

영향: 성능 효율성, 비용 최적화

Azure Virtual Desktop 다중 지역 배포가 최종 사용자에게 최상의 환경을 제공하려면 디자인에서 다음 요소를 고려해야 합니다.

  • ID, 이름 확인, 하이브리드 연결 및 스토리지 서비스와 같은 플랫폼 서비스. Azure Virtual Desktop 세션 호스트에서 이러한 서비스로의 연결은 서비스가 작동하는 데 핵심적인 요소입니다. 결과적으로 이상적인 디자인은 Azure Virtual Desktop 랜딩 존 서브넷에서 이러한 서비스로의 대기 시간을 줄이는 것을 목표로 합니다. 각 지역에 서비스를 복제하거나 가능한 가장 짧은 대기 시간으로 연결을 통해 서비스를 사용할 수 있도록 하여 이 목표를 달성할 수 있습니다.
  • 최종 사용자 대기 시간. Azure Virtual Desktop 다중 지역 배포에 사용할 위치를 선택하는 경우 사용자가 서비스에 연결할 때 발생하는 대기 시간을 고려해야 합니다. 세션 호스트를 배포할 Azure 지역을 선택할 때 Azure Virtual Desktop 환경 예측 도구를 사용하여 최종 사용자 모집단에서 대기 시간 데이터를 수집하는 것이 좋습니다.

또한 다음 사항도 고려해야 합니다.

  • 지역 간 애플리케이션 종속성.
  • VM SKU 가용성.
  • 애플리케이션 또는 워크로드 종속성에 필요한 인터넷 송신, 지역 간 트래픽 및 하이브리드(온-프레미스) 트래픽과 관련된 네트워킹 비용입니다.
  • FSLogix 클라우드 캐시 기능이 네트워킹에 배치하는 추가 로드입니다. 이 요소는 이 기능을 사용하여 서로 다른 지역 간에 사용자 프로필 데이터를 복제하는 경우에만 관련이 있습니다. 또한 이 기능이 사용하는 증가된 네트워크 트래픽 및 스토리지 비용을 고려합니다.

가능하면 가속화된 네트워킹을 제공하는 VM SKU를 사용합니다. 높은 대역폭을 사용하는 워크로드에서 가속화된 네트워킹은 CPU 사용률 및 대기 시간을 낮출 수 있습니다.

네트워크의 사용 가능한 대역폭은 원격 세션의 품질에 큰 영향을 줍니다. 따라서 온-프레미스 종속성에 충분한 대역폭을 사용할 수 있도록 사용자의 네트워킹 대역폭 요구 사항을 평가하는 것이 좋습니다.

권장 사항
  • 내부 정책에서 허용할 때마다 각 지역에 플랫폼 및 공유 서비스를 복제합니다.
  • 가능하면 가속화된 네트워킹을 제공하는 VM SKU를 사용합니다.
  • 지역 선택 프로세스에 최종 사용자 대기 시간 예측을 포함합니다.
  • 대역폭 요구 사항을 예상할 때 워크로드 유형을 고려하여 실제 사용자 연결을 모니터링합니다.

네트워크 보안

영향: 보안, 비용 최적화, 운영 우수성

전통적으로 네트워크 보안은 엔터프라이즈 보안 노력의 핵심이었습니다. 그러나 클라우드 컴퓨팅은 네트워크 경계가 더 다공성이어야 한다는 요구 사항을 증가시켰고, 많은 공격자가 ID 시스템 요소에 대한 공격 기술을 습득했습니다. 다음 사항은 Azure Virtual Desktop을 배포하기 위한 최소 방화벽 요구 사항에 대한 개요를 제공합니다. 이 섹션에서는 방화벽에 연결하고 이 서비스가 필요한 앱에 도달하기 위한 권장 사항도 제공합니다.

  • 신뢰할 수 있는 인트라넷 접근 방식을 기반으로 하는 기존 네트워크 컨트롤은 클라우드 애플리케이션에 대한 보안 보증을 효과적으로 제공하지 않습니다.
  • 네트워크 디바이스 및 원시 네트워크 트래픽의 로그를 통합하면 잠재적인 보안 위협에 대한 가시성을 제공합니다.
  • 대부분의 조직에서는 네트워크에 처음에 계획한 것보다 더 많은 리소스를 추가합니다. 따라서 추가 리소스를 수용하기 위해 IP 주소 및 서브넷 구성표를 리팩터링해야 합니다. 이 프로세스는 노동 집약적입니다. 많은 수의 작은 서브넷을 만든 다음 보안 그룹과 같은 네트워크 액세스 제어를 각 서브넷에 매핑하는 데는 제한된 보안 값이 있습니다.

네트워크 트래픽에 컨트롤을 배치하여 자산을 보호하는 방법에 대한 일반적인 내용은 네트워킹 및 연결에 대한 권장 사항을 참조하세요.

권장 사항
  • 배포에서 Azure Firewall 사용하는 데 필요한 구성을 이해합니다. 자세한 내용은 Azure Firewall을 사용하여 Azure Virtual Desktop 배포 보호를 참조하세요.
  • 네트워크 보안 그룹 및 애플리케이션 보안 그룹을 만들어 Azure Virtual Desktop 트래픽을 분할합니다. 이 방법은 트래픽 흐름을 제어하여 서브넷을 격리하는 데 도움이 됩니다.
  • Azure 서비스에 대한 특정 IP 주소 대신 서비스 태그를 사용합니다. 주소가 변경되므로 이 방법은 네트워크 보안 규칙을 자주 업데이트하는 복잡성을 최소화합니다.
  • Azure Virtual Desktop에 필요한 URL을 숙지합니다.
  • 경로 테이블을 사용하여 Azure Virtual Desktop 트래픽이 방화벽 또는 NVA(네트워크 가상 어플라이언스)로 트래픽을 라우팅하는 데 사용하는 강제 터널링 규칙을 무시할 수 있습니다. 그렇지 않으면 강제 터널링이 클라이언트 연결의 성능 및 안정성에 영향을 줄 수 있습니다.
  • 프라이빗 엔드포인트를 사용하여 Azure Files 및 Azure Key Vault 같은 PaaS(Platform as a Service) 솔루션을 보호합니다. 그러나 프라이빗 엔드포인트를 사용하는 비용을 고려합니다.
  • Azure Private Link 대한 구성 옵션을 조정합니다. Azure Virtual Desktop에서 이 서비스를 사용하는 경우 Azure Virtual Desktop 컨트롤 플레인 구성 요소에 대한 퍼블릭 엔드포인트를 사용하지 않도록 설정하고 프라이빗 엔드포인트를 사용하여 공용 IP 주소를 사용하지 않도록 설정할 수 있습니다.
  • AD DS(Active Directory Domain Services)를 사용하는 경우 엄격한 방화벽 정책을 구현합니다. 도메인 전체에서 필요한 트래픽에 대한 정책을 기반으로 합니다.
  • Azure Virtual Desktop 세션 호스트에서 최종 사용자의 인터넷 액세스를 보호하려면 Azure Firewall 또는 NVA 웹 필터링을 사용하는 것이 좋습니다.

영향: 보안

기본적으로 Azure Virtual Desktop 리소스에 대한 연결은 공개적으로 액세스할 수 있는 엔드포인트를 통해 설정됩니다. 일부 시나리오에서는 트래픽이 프라이빗 연결을 사용해야 합니다. 이러한 시나리오는 Private Link 사용하여 원격 Azure Virtual Desktop 리소스에 비공개로 연결할 수 있습니다. 자세한 내용은 Azure Virtual Desktop을 사용한 Azure Private Link 참조하세요. 프라이빗 엔드포인트를 만들 때 가상 네트워크와 서비스 간의 트래픽은 Microsoft 네트워크에 유지됩니다. 서비스는 공용 인터넷에 노출되지 않습니다.

Azure Virtual Desktop 프라이빗 엔드포인트를 사용하여 다음 시나리오를 지원할 수 있습니다.

  • 클라이언트 또는 최종 사용자 및 세션 호스트 VM은 모두 프라이빗 경로를 사용합니다.
  • 세션 호스트 VM이 프라이빗 경로를 사용하는 동안 클라이언트 또는 최종 사용자는 공용 경로를 사용합니다.

Azure Virtual Desktop 세션 호스트는 다른 IaaS(Infrastructure as a Service) 워크로드와 동일한 이름 확인 요구 사항을 갖습니다. 따라서 세션 호스트는 프라이빗 엔드포인트 IP 주소를 resolve 구성된 이름 확인 서비스에 대한 연결이 필요합니다. 따라서 프라이빗 엔드포인트를 사용하는 경우 특정 DNS 설정을 구성해야 합니다. 자세한 내용은 Azure 프라이빗 엔드포인트 DNS 구성을 참조하세요.

Private Link Azure Files 및 Key Vault 같은 Azure Virtual Desktop과 함께 작동하는 다른 Azure 서비스에도 사용할 수 있습니다. 트래픽을 비공개로 유지하기 위해 이러한 서비스에 대한 프라이빗 엔드포인트도 구현하는 것이 좋습니다.

권장 사항

RDP Shortpath

영향: 성능 효율성, 비용 최적화

RDP Shortpath는 관리형 및 비관리형 네트워크에서 사용할 수 있는 Azure Virtual Desktop의 기능입니다.

  • 관리되는 네트워크의 경우 RDP Shortpath는 원격 데스크톱 클라이언트와 세션 호스트 간에 직접 연결을 설정합니다. 전송은 UDP를 기반으로합니다. RDP Shortpath는 추가 릴레이 지점을 제거하여 왕복 시간을 줄여 대기 시간에 민감한 애플리케이션 및 입력 메서드의 사용자 환경을 개선합니다. RDP Shortpath를 지원하려면 Azure Virtual Desktop 클라이언트가 세션 호스트에 직접 연결되어야 합니다. 또한 클라이언트는 Windows Desktop 클라이언트를 설치하고 Windows 11 또는 Windows 10 실행해야 합니다.
  • 관리되지 않는 네트워크의 경우 다음 두 가지 연결 유형을 사용할 수 있습니다.
    • 클라이언트와 세션 호스트 간에 직접 연결이 설정됩니다. STUN(네트워크 주소 변환) 및 ICE(대화형 연결 설정) 아래의 간단한 순회를 사용하여 연결을 설정합니다. 이 구성은 Azure Virtual Desktop의 전송 안정성을 향상시킵니다. 자세한 내용은 RDP Shortpath 작동 방식을 참조하세요.
    • 간접 UDP 연결이 설정됩니다. 클라이언트와 세션 호스트 간의 릴레이와 함께 릴레이 NAT(릴레이 사용) 프로토콜을 사용하여 NAT(네트워크 주소 변환) 제한을 극복합니다.

TCP(Transmission Control Protocol)를 기반으로 하는 전송을 사용하면 VM에서 RDP 클라이언트로의 아웃바운드 트래픽이 Azure Virtual Desktop 게이트웨이를 통해 흐릅니다. RDP Shortpath를 사용하면 아웃바운드 트래픽이 인터넷을 통해 세션 호스트와 RDP 클라이언트 간에 직접 흐릅니다. 이 구성은 홉을 제거하고 대기 시간과 최종 사용자 환경을 개선하는 데 도움이 됩니다.

권장 사항
  • RDP Shortpath를 사용하여 대기 시간과 최종 사용자 환경을 개선합니다.
  • RDP Shortpath 연결 모델의 가용성에 유의하세요.
  • RDP Shortpath 요금에 유의하세요.

다음 단계

이제 Azure Virtual Desktop에서 네트워킹 및 연결을 검토했으므로 인프라 및 워크로드를 모니터링하기 위한 모범 사례를 조사합니다.

Monitoring

평가 도구를 사용하여 디자인 선택을 평가합니다.

평가