Azure Virtual Desktop 재해 복구 개념

Azure Virtual Desktop은 최근 몇 년 동안 원격 및 하이브리드 작업 솔루션으로 크게 성장했습니다. 이제 많은 사용자가 원격으로 작업하기 때문에 조직에서는 배포 속도가 빠르고 비용이 절감되는 솔루션이 필요합니다. 또한 사용자는 재해 발생 시에도 가상 머신에 액세스할 수 있는 가용성과 복원력이 보장되는 원격 작업 환경이 필요합니다. 이 문서는 조직을 유지하고 운영하기 위해 권장하는 재해 복구 계획에 대해 설명합니다.

시스템 중단 또는 가동 중지 시간을 방지하려면 Azure Virtual Desktop 배포의 모든 시스템 및 구성 요소가 내결함성이 있어야 합니다. 내결함성은 중단 중에 기본 구성을 대신하는 다른 Azure 지역에 중복 구성 또는 시스템이 있는 경우입니다. 이 보조 구성 또는 시스템은 국지적 중단의 영향을 줄입니다. 내결함성을 설정할 수 있는 방법은 여러 가지가 있지만 이 문서에서는 현재 Azure에서 사용할 수 있는 방법에 중점을 둡니다.

Azure 가상 데스크톱 인프라

어떤 영역을 내결함성으로 만들지 알아내려면 각 영역을 유지 관리하는 담당자를 알아야 합니다. Azure Virtual Desktop 서비스의 책임을 Microsoft 관리 및 고객 관리의 두 영역으로 나눌 수 있습니다. 호스트 풀, 앱 그룹 및 작업 영역과 같은 메타데이터는 Microsoft에서 제어합니다. 메타데이터는 항상 사용 가능하며 호스트 풀 데이터 또는 구성을 복제하기 위해 고객이 추가로 설정할 필요가 없습니다. 사용자를 세션 호스트에 연결하는 게이트웨이 인프라를 Microsoft에서 관리하는 글로벌하고 복원력이 높은 서비스로 설계했습니다. 한편, 고객 관리 영역에는 Azure Virtual Desktop에서 사용되는 VM(가상 머신)과 고객 배포에 고유한 설정 및 구성이 포함됩니다. 다음 표는 어떤 영역이 어느 당사자에 의해 관리되는지 더 명확하게 보여 줍니다.

Microsoft에서 관리	고객이 관리
부하 분산 장치	네트워크
세션 브로커	세션 호스트
게이트웨이	스토리지
진단	사용자 프로필 데이터
클라우드 ID 플랫폼	ID

이 문서에서는 직접 구성할 수 있는 설정인 고객 관리 구성 요소에 중점을 둘 것입니다.

재해 복구 기본 사항

이 섹션에서는 데이터를 보호하고 소규모 중단 또는 전면적인 재해 후 막대한 데이터 복구 활동을 하지 않도록 방지할 수 있는 작업 및 디자인 원칙에 대해 논의합니다. 소규모 중단의 경우 특정 소규모 단계를 따르면 더 큰 재해가 발생하는 것을 방지할 수 있습니다. 재해 복구 계획 설정을 시작할 때 도움이 될 몇 가지 기본 용어를 살펴보겠습니다.

재해 복구 계획을 설계할 때 다음 세 가지 사항을 염두에 두어야 합니다.

• 고가용성: 인프라를 분산하여 더 작고 지역화된 중단이 전체 배포를 중단하지 않도록 합니다. HA를 염두에 두고 설계하면 중단 영향을 최소화하고 전체 재해 복구가 필요하지 않습니다.
• 비즈니스 연속성: 조직이 규모에 관계없이 중단 중에도 계속 운영할 수 있는 방법입니다.
• 재해 복구: 전체 가동 중단 후 작업을 다시 시작하는 프로세스입니다.

Azure에는 여러 수준에서 고가용성을 제공할 수 있는 많은 기본 제공 무료 기능이 있습니다. 첫 번째 기능은 가용성 집합으로, Azure 내의 여러 장애 및 업데이트 도메인에 VM을 배포합니다. 다음은 실제로 격리되고 지리적으로 분산된 데이터 센터 그룹으로 중단의 영향을 줄일 수 있는 가용성 영역입니다. 마지막으로, 여러 Azure 지역에 세션 호스트를 배포하면 훨씬 더 지리적으로 분산되어 중단 영향을 더욱 줄일 수 있습니다. 세 가지 기능 모두 Azure Virtual Desktop 내에서 특정 수준의 보호를 제공하므로 비용 영향과 함께 신중하게 고려해야 합니다.

기본적으로 Azure Virtual Desktop에 권장하는 재해 복구 전략은 지역 내의 여러 가용성 영역에 리소스를 배포하는 것입니다. 더 많은 보호가 필요한 경우 여러 쌍의 Azure 지역에 리소스를 배포할 수도 있습니다.

활성-수동 및 활성-활성 배포

명심해야 할 또 다른 사항은 활성-수동 계획과 활성-활성 계획의 차이점입니다. 활성-수동 계획은 하나의 리소스 집합이 활성이고 다른 하나는 필요할 때까지 꺼져 있는(수동) 지역이 있는 경우입니다. 활성 지역이 비상 사태로 인해 오프라인 상태가 된 경우 조직은 수동 지역을 켜고 모든 사용자를 해당 지역으로 이동하여 수동 지역으로 전환할 수 있습니다.

또 다른 옵션은 두 인프라 집합을 동시에 사용하는 활성-활성 배포입니다. 일부 사용자는 중단의 영향을 받을 수 있지만 영향은 다운된 지역의 사용자로 제한됩니다. 아직 온라인 상태인 다른 지역의 사용자는 영향을 받지 않으며 복구는 작동 중인 활성 지역에 다시 연결하는 영향을 받는 지역의 사용자로 제한됩니다. 활성-활성 배포는 다음을 포함하여 다양한 형태를 취할 수 있습니다.

• 지역 중 하나가 다운되는 경우 영향을 받는 사용자를 수용하기 위해 각 지역의 인프라를 오버프로비저닝합니다. 이 방법의 잠재적인 단점은 추가 리소스를 유지 관리하는 데 비용이 더 많이 든다는 것입니다.
• 두 활성 지역 모두에 추가 세션 호스트가 있지만 필요하지 않을 때 할당을 해제하여 비용을 절감합니다.
• 재해 복구 중에만 새 인프라를 프로비전하고 영향을 받는 사용자가 새로 프로비전된 세션 호스트에 연결할 수 있도록 허용합니다. 이 방법을 사용하려면 코드형 인프라 도구를 사용한 정기적인 테스트가 필요하므로 재해 발생 시 가능한 한 빨리 새 인프라를 배포할 수 있습니다.

권장되는 재해 복구 방법

권장하는 재해 복구 방법은 다음과 같습니다.

• 여러 가용성 영역에서 Azure 리소스를 구성하고 배포합니다.

• 활성-활성 또는 활성-수동 구성으로 여러 지역에 Azure 리소스를 구성하고 배포합니다. 이러한 구성은 일반적으로 공유 호스트 풀에 있습니다.

• 전용 VM이 있는 개인 호스트 풀의 경우 다른 지역에 Azure Site Recovery를 사용하여 VM을 복제합니다.

• 보조 지역에서 별도의 "재해 복구" 호스트 풀을 구성합니다. 재해 중에 사용자를 보조 지역으로 전환할 수 있습니다.

다음 섹션에서 공유 및 개인 호스트 풀에 대해 이러한 방법을 달성할 수 있는 두 가지 주요 방법에 대해 자세히 설명합니다.

공유 호스트 풀에 대한 재해 복구

이 섹션에서는 활성-수동 방법을 사용하는 공유(또는 "풀링된") 호스트 풀에 대해 설명합니다. 활성-수동 방법은 기존 리소스를 기본 지역과 보조 지역으로 나누는 것입니다. 일반적으로 조직은 주(또는 "활성") 지역에서 모든 작업을 수행하지만, 재해 발생 시 보조(또는 "수동") 지역으로 전환하는 데 필요한 것은 주 지역의 리소스를 끄고(가능한 경우 가동 중단 정도에 따라 다름) 보조 지역에서 해당 리소스를 켜는 것 뿐입니다.

다음 다이어그램은 보조 지역에 중복 인프라가 있는 배포의 예를 보여 줍니다. "중복"은 원래 인프라의 복사본이 이 다른 지역에 존재하고 모든 구성 요소에 대한 복원력을 제공하기 위해 배포의 표준임을 의미합니다. 단일 Microsoft Entra ID 아래에는 미국 서부와 미국 동부의 두 지역이 있습니다. 각 지역에는 다중 세션 OS(운영 체제)를 실행하는 두 개의 세션 호스트, Microsoft Entra Connect를 실행하는 서버, Active Directory 도메인 컨트롤러, FSLogix 프로필용 Azure Files 프리미엄 파일 공유, 스토리지 계정 및 VNET(가상 네트워크)이 있습니다. 주 지역인 미국 서부에서는 모든 리소스가 켜져 있습니다. 보조 지역인 미국 동부에서는 호스트 풀의 세션 호스트가 꺼져 있거나 드레이닝 모드에 있고 Microsoft Entra Connect 서버는 준비 모드에 있습니다. 두 지역의 두 VNET은 피어링으로 연결됩니다.

대부분의 경우 구성 요소가 실패하거나 주 지역을 사용할 수 없는 경우 고객이 수행해야 하는 유일한 작업은 호스트를 켜거나 보조 지역에서 드레인 모드를 제거하여 최종 사용자 연결을 사용하도록 설정하는 것입니다. 이 시나리오는 가동 중지 시간을 줄이는 데 중점을 둡니다. 그러나 중복 기반 재해 복구 계획은 보조 지역에서 이러한 추가 구성 요소를 유지 관리해야 하기 때문에 더 많은 비용이 들 수 있습니다.

이 플랜의 잠재적인 이점은 다음과 같습니다.

• 재해 복구에 소요되는 시간 단축 예를 들어 새로 배포된 리소스를 프로비저닝, 구성, 통합 및 유효성 검사하는 데 소요되는 시간이 줄어듭니다.
• 복잡한 프로시저를 사용할 필요가 없습니다.
• 재해 이외의 장애 조치(failover)를 쉽게 테스트할 수 있습니다.

잠재적인 단점은 다음과 같습니다.

• 스토리지 계정, 호스트 등과 같이 유지 관리할 인프라가 더 많기 때문에 비용이 더 많이 들 수 있습니다.
• 이 계획을 수용하도록 배포를 구성하는 데 더 많은 시간을 할애해야 합니다.
• 설정한 추가 인프라는 필요하지 않은 경우에도 유지 관리해야 합니다.

공유 호스트 풀 복구에 대한 중요 정보

이 재해 복구 전략을 사용할 때 다음 사항에 유의해야 합니다.

• 여러 지역에서 여러 세션 호스트를 온라인 상태로 유지하면 사용자 환경에 영향을 미칠 수 있습니다. 관리 네트워크 부하 분산 장치는 지리적 근접성을 고려하지 않고 대신 호스트 풀의 모든 호스트를 동등하게 처리합니다.

• 재해 발생 시 사용자는 보조 지역에서 새 프로필을 만들게 됩니다. 비즈니스 또는 중요 업무용 데이터는 OneDrive(알려진 폴더 리디렉션 사용) 또는 Sharepoint에 저장해야 합니다. 여기에 데이터를 저장하면 사용자 환경에 약간의 영향을 미치면서 사용자가 애플리케이션에 빠르게 액세스할 수 있습니다.

• 호스트 풀 내에서 VM(가상 머신)을 정확히 동일한 방식으로 구성해야 합니다. 또한 호스트 풀 내의 모든 VM이 동일한 크기인지 확인합니다. VM이 동일하지 않은 경우 관리 네트워크 부하 분산 장치는 사용 가능한 모든 VM에 사용자 연결을 균등하게 분산합니다. 더 작은 VM은 더 큰 VM에 비해 예상보다 빨리 리소스가 제한되어 부정적인 사용자 환경을 초래할 수 있습니다.

• 지역 가용성은 데이터 또는 작업 영역 모니터링에 영향을 줍니다. 지역을 사용할 수 없는 경우 재해 중에 서비스의 모든 기록 모니터링 데이터가 손실될 수 있습니다. 사용자 지정 내보내기 또는 기록 모니터링 데이터 덤프를 사용하는 것이 좋습니다.

• 적어도 한 달에 한 번 세션 호스트를 업데이트하는 것이 좋습니다. 이 권장 사항은 장기간 꺼진 세션 호스트에 적용됩니다.

• 6개월에 한 번 이상 제어된 장애 조치(failover)를 실행하여 배포를 테스트합니다. 제어된 장애 조치(failover)의 일부는 다음 제어된 장애 조치(failover)까지 보조 위치가 기본 위치가 됨을 의미할 수 있습니다. 보조 위치를 기본 위치로 변경하면 사용자가 실제 재해 중에 거의 동일한 프로필을 가질 수 있습니다.

다음 표에는 호스트 풀 재해 복구 전략에 대한 배포 권장 사항이 나와 있습니다.

기술	권장 사항
네트워크	다른 지역에 보조 가상 네트워크를 만들고 배포하고 기본 가상 네트워크로 Azure Peering을 구성합니다.
세션 호스트	다중 세션 OS SKU를 사용하여 Azure Virtual Desktop 공유 호스트 풀을 만들고 배포하고 다른 가용성 영역 및 다른 지역의 VM을 포함합니다.
스토리지	프리미엄 계층 계정을 사용하여 여러 지역에서 스토리지 계정을 만듭니다.
사용자 프로필 데이터	여러 지역에 SMB 스토리지 위치를 만듭니다.
ID	동일한 디렉터리의 Active Directory 도메인 컨트롤러.

개인 호스트 풀에 대한 재해 복구

개인 호스트 풀의 경우 재해 복구 전략에는 Azure Site Recovery Services 자격 증명 모음을 사용하여 보조 지역에 리소스를 복제하는 작업이 포함되어야 합니다. 재해 중에 주 지역이 다운되는 경우 Azure Site Recovery는 장애 조치(failover)를 취하고 보조 지역의 리소스를 켤 수 있습니다.

예를 들어 미국 서부에 주 지역이 있고 미국 동부에 보조 지역이 있는 배포가 있다고 가정해 보겠습니다. 주 지역에는 각각 두 개의 세션 호스트가 있는 개인 호스트 풀이 있습니다. 각 세션 호스트에는 사용자 프로필 데이터가 포함된 자체 로컬 디스크와 어떤 것과도 쌍을 이루지 않는 자체 VNET이 있습니다. 재해가 있는 경우 Azure Site Recovery를 사용하여 미국 동부의 보조 지역(또는 동일한 지역의 다른 가용성 영역)으로 장애 조치(failover)할 수 있습니다. 주 지역과 달리 보조 지역에는 로컬 컴퓨터이나 디스크가 없습니다. 장애 조치(failover) 중에 Azure Site Recovery는 Azure Site Recovery Vault에서 복제된 데이터를 가져와 로컬 디스크 및 사용자 프로필 데이터를 포함하여 원래 세션 호스트의 복사본인 두 개의 새 VM을 만듭니다. 보조 지역에는 자체 독립 VNET이 있으므로 주 지역에서 오프라인으로 전환되는 VNET은 기능에 영향을 주지 않습니다.

다음 다이어그램은 방금 설명한 배포 예를 보여 줍니다.

이 계획의 이점은 전체 비용이 낮고 필요할 때만 리소스가 프로비저닝되기 때문에 패치 또는 업데이트를 위한 유지 관리가 필요하지 않다는 것입니다. 그러나 잠재적인 단점은 공유 호스트 풀 재해 복구 설정보다 장애 조치(failover) 인프라를 프로비저닝, 통합 및 유효성 검사하는 데 더 많은 시간을 소비하게 된다는 것입니다.

개인 호스트 풀 복구에 대한 중요 정보

이 재해 복구 전략을 사용할 때 다음 사항에 유의해야 합니다.

• 호스트 풀 VM이 가상 네트워크, 서브넷, 네트워크 보안 또는 VPN과 같은 보조 사이트에서 작동해야 온-프레미스 Active Directory와 같은 디렉터리에 액세스해야 하는 요구 사항이 있을 수 있습니다.

  참고 항목

  Microsoft Entra 조인 VM을 사용하면 이러한 요구 사항 중 일부가 자동으로 충족됩니다.

• 대규모 재해가 여러 고객 또는 테넌트에 영향을 미치는 경우 리소스에 대한 통합, 성능 또는 경합 문제가 발생할 수 있습니다.

• 개인 호스트 풀은 한 사용자 전용 VM을 사용합니다. 즉, 선호도 부하 분산 규칙이 모든 사용자 세션을 다시 특정 VM으로 보냅니다. 사용자와 VM 간의 일 대 일 매핑은 VM이 다운된 경우 VM이 다시 온라인 상태가 되거나 재해 복구가 완료된 후 VM이 복구될 때까지 사용자가 로그인할 수 없음을 의미합니다.

• 개인 호스트 풀의 VM은 드라이브 C에 사용자 프로필을 저장하므로 FSLogix가 필요하지 않습니다.

• 지역 가용성은 데이터 또는 작업 영역 모니터링에 영향을 줍니다. 지역을 사용할 수 없는 경우 재해 중에 서비스의 모든 기록 모니터링 데이터가 손실될 수 있습니다. 사용자 지정 내보내기 또는 기록 모니터링 데이터 덤프를 사용하는 것이 좋습니다.

• 개인 호스트 풀 구성을 사용할 때는 FSLogix를 사용하지 않는 것이 좋습니다.

• 가상 머신 프로비전은 장애 조치(failover) 지역에서 보장되지 않습니다.

• 제어된 장애 조치(failover) 및 장애 조치(failover) 테스트를 6개월에 한 번 이상 실행합니다.

다음 표에는 호스트 풀 재해 복구 전략에 대한 배포 권장 사항이 나와 있습니다.

기술	권장 사항
네트워크	Azure Site Recovery 기본 명명 체계 외부의 사용자 지정 명명 규칙 또는 보안 요구 사항을 따르도록 다른 지역에 보조 가상 네트워크를 만들고 배포합니다.
세션 호스트	VM용 Azure Site Recovery 사용 및 구성. 필요에 따라 이미지를 수동으로 사전 준비하거나 지속적인 프로비저닝을 위해 Azure Image Builder 서비스를 사용할 수 있습니다.
스토리지	프로필을 저장하기 위해 선택적으로 Azure Storage 계정을 만들 수 있습니다.
사용자 프로필 데이터	사용자 프로필 데이터는 C 드라이브에 로컬로 저장됩니다.
ID	여러 지역의 동일한 디렉터리에 있는 Active Directory 도메인 컨트롤러.

다음 단계

Azure의 재해 복구에 대한 자세한 내용은 다음 문서를 체크 아웃합니다.

• 클라우드 채택 프레임워크 Azure Virtual Desktop 비즈니스 연속성 및 재해 복구 설명서

• Azure Virtual Desktop 핸드북: 재해 복구