다음을 통해 공유

Azure Virtual Desktop에서 Azure Private Link 사용

  • 아티클

Azure Virtual Desktop에서 Azure Private Link를 사용하여 원격 리소스에 비공개로 연결할 수 있습니다. 프라이빗 엔드포인트를 만들면 가상 네트워크와 서비스 간의 트래픽이 Microsoft 네트워크에 유지되므로 더 이상 공용 인터넷에 서비스를 노출할 필요가 없습니다. 또한 원격 데스크톱 클라이언트를 사용하는 사용자가 가상 네트워크에 연결할 수 있도록 VPN 또는 ExpressRoute를 사용합니다. Microsoft 네트워크 내에서 트래픽을 유지하면 보안이 향상되고 데이터가 안전하게 유지됩니다. 이 문서에서는 Private Link가 Azure Virtual Desktop 환경을 보호하는 데 어떻게 도움이 되는지 설명합니다.

Azure Virtual Desktop에는 3가지 프라이빗 엔드포인트 리소스 종류의 워크플로가 3개 있습니다.

  1. 초기 피드 검색: 클라이언트가 사용자에게 할당된 모든 작업 영역을 검색할 수 있습니다. 이 프로세스를 사용하도록 설정하려면 모든 작업 영역의 전역 하위 리소스에 대한 단일 프라이빗 엔드포인트를 만들어야 합니다. 그러나 전체 Azure Virtual Desktop 배포에서 하나의 프라이빗 엔드포인트만 만들 수 있습니다. 이 엔드포인트는 초기 피드 검색에 필요한 전역 FQDN(정규화된 도메인 이름)에 대한 DNS(Domain Name System) 항목 및 개인 IP 경로를 만듭니다. 이 연결은 모든 클라이언트가 사용할 단일 공유 경로가 됩니다.

  2. 피드 다운로드: 클라이언트가 앱 그룹을 호스트하는 작업 영역의 특정 사용자에 대한 모든 연결 세부 정보를 다운로드합니다. Private Link를 사용하려는 각 작업 영역에 대한 피드 하위 리소스의 프라이빗 엔드포인트를 만듭니다.

  3. 호스트 풀에 연결: 호스트 풀에 대한 모든 연결에는 클라이언트 및 세션 호스트 VM(가상 머신)이라는 두 가지 측면이 있습니다. 연결을 사용하도록 설정하려면 Private Link 사용하려는 각 호스트 풀에 대한 연결 하위 리소스에 대한 프라이빗 엔드포인트를 만들어야 합니다.

다음 다이어그램은 Private Link가 로컬 클라이언트를 Azure Virtual Desktop 서비스에 안전하게 연결하는 방법을 보여 줍니다. 클라이언트 연결에 대한 자세한 내용은 클라이언트 연결 시퀀스를 참조하세요.

로컬 클라이언트를 Azure Virtual Desktop 서비스에 연결하는 Private Link를 보여 주는 개략적인 다이어그램.

지원되는 시나리오

Azure Virtual Desktop을 사용하여 Private Link를 추가할 때 Azure Virtual Desktop에 연결하기 위해 지원되는 시나리오는 다음과 같습니다. 요구 사항에 따라 각각을 사용하거나 사용하지 않도록 설정할 수 있습니다. 네트워크 토폴로지에서 이러한 프라이빗 엔드포인트를 공유하거나 각각에 호스트 풀 또는 작업 영역에 대한 자체 프라이빗 엔드포인트가 있도록 가상 네트워크를 격리할 수 있습니다.

  1. 클라이언트 및 세션 호스트 VM은 모두 프라이빗 경로를 사용합니다. 다음 프라이빗 엔드포인트가 필요합니다.

    목적 리소스 종류 대상 하위 리소스 엔드포인트 수량
    호스트 풀에 대한 연결 Microsoft.DesktopVirtualization/hostpools connection 호스트 풀당 하나
    피드 다운로드 Microsoft.DesktopVirtualization/workspaces 피드 작업 영역당 하나
    초기 피드 검색 Microsoft.DesktopVirtualization/workspaces global 모든 Azure Virtual Desktop 배포당 하나만

  2. 클라이언트는 퍼블릭 경로를 사용하지만 세션 호스트 VM은 프라이빗 경로를 사용합니다. 다음 프라이빗 엔드포인트가 필요합니다. 작업 영역에 대한 엔드포인트는 필요하지 않습니다.

    목적 리소스 종류 대상 하위 리소스 엔드포인트 수량
    호스트 풀에 대한 연결 Microsoft.DesktopVirtualization/hostpools connection 호스트 풀당 하나

  3. 클라이언트 및 세션 호스트 VM은 모두 프라이빗 경로를 사용합니다. 이 시나리오에서는 Private Link가 사용되지 않습니다.

초기 피드 검색(전역 하위 리소스)에 사용되는 작업 영역을 제외하고 작업 영역에 대한 연결의 경우 다음 표에서는 각 시나리오의 결과를 자세히 설명합니다.

구성 결과
모든 네트워크에서 퍼블릭 액세스를 사용하도록 설정 작업 영역 피드 요청은 퍼블릭 경로에서 허용됩니다.

작업 영역 피드 요청은 프라이빗 경로에서 허용됩니다.
모든 네트워크에서 퍼블릭 액세스를 사용하지 않도록 설정 작업 영역 피드 요청은 퍼블릭 경로에서 거부됩니다.

작업 영역 피드 요청은 프라이빗 경로에서 허용됩니다.

역방향 연결 전송을 사용하면 호스트 풀에 연결하기 위한 두 가지 네트워크 연결, 즉 게이트웨이에 대한 클라이언트 및 게이트웨이에 대한 세션 호스트가 있습니다. 두 연결에 대해 퍼블릭 액세스를 사용하거나 사용하지 않도록 설정하는 것 외에도 게이트웨이에 연결하는 클라이언트에 대해 퍼블릭 액세스를 사용하도록 설정하고 게이트웨이에 연결하는 세션 호스트에 대해 프라이빗 액세스만 허용하도록 선택할 수도 있습니다. 다음 표에서는 각 시나리오의 결과를 자세히 설명합니다.

구성 결과
모든 네트워크에서 퍼블릭 액세스를 사용하도록 설정 클라이언트 또는 세션 호스트가 퍼블릭 경로를 사용하는 경우 원격 세션이 허용됩니다.

클라이언트 또는 세션 호스트가 프라이빗 경로를 사용하는 경우 원격 세션이 허용됩니다.
모든 네트워크에서 퍼블릭 액세스를 사용하지 않도록 설정 클라이언트 또는 세션 호스트가 퍼블릭 경로를 사용하는 경우 원격 세션이 거부됩니다.

클라이언트와 세션 호스트가 모두 프라이빗 경로를 사용하는 경우 원격 세션이 허용됩니다.
클라이언트 네트워크에 대해 퍼블릭 액세스를 사용할 수 있지만 세션 호스트 네트워크에는 사용하지 않도록 설정됨 클라이언트가 사용하는 경로에 관계없이 세션 호스트가 퍼블릭 경로를 사용하는 경우 원격 세션이 거부됩니다.

클라이언트가 사용하는 경로에 관계없이 세션 호스트가 프라이빗 경로를 사용하는 한 원격 세션이 허용 됩니다.

Important

  • 모든 작업 영역의 전역 하위 리소스에 대한 프라이빗 엔드포인트는 초기 피드 검색을 위한 공유 FQDN(정규화된 도메인 이름)을 제어합니다. 이는 모든 작업 영역에 대해 피드 검색을 사용하도록 설정합니다. 프라이빗 엔드포인트에 연결된 워크스페이스는 매우 중요합니다. 이를 삭제하면 모든 피드 검색 프로세스가 작동하지 않게 됩니다. 전역 하위 리소스에 사용되지 않는 자리 표시자 작업 영역을 만드는 것이 좋습니다.

  • 초기 피드 검색(전역 하위 리소스)에 사용되는 작업 영역에 대한 액세스는 제어할 수 없습니다. 프라이빗 액세스만 허용하도록 이 작업 영역을 구성하면 설정이 무시됩니다. 이 작업 영역은 항상 퍼블릭 경로에서 액세스할 수 있습니다.

  • 사용자 클라이언트 디바이스 또는 세션 호스트 VM에서 프라이빗 엔드포인트로 네트워크 포트를 제한하려는 경우 연결 하위 리소스를 사용하여 전체 TCP 동적 포트 범위 1~65535의 트래픽을 호스트 풀 리소스의 프라이빗 엔드포인트로 전송하도록 허용해야 합니다. 포트 매핑은 연결 하위 리소스에 해당하는 단일 프라이빗 엔드포인트 IP 주소를 통해 모든 전역 게이트웨이에서 사용되므로 전체 TCP 동적 포트 범위가 필요합니다. 포트를 프라이빗 엔드포인트로 제한하는 경우 Azure Virtual Desktop에 성공적으로 연결하지 못할 수 있습니다.

클라이언트 연결 시퀀스

사용자가 Private Link를 통해 Azure Virtual Desktop에 연결하고 Azure Virtual Desktop이 프라이빗 경로의 클라이언트 연결만 허용하도록 구성된 경우 연결 순서는 다음과 같습니다.

  1. 지원되는 클라이언트를 사용하면 사용자가 작업 영역을 구독합니다. 사용자의 디바이스는 DNS에서 주소 rdweb.wvd.microsoft.com(또는 다른 Azure 환경의 해당 주소)을 쿼리합니다.

  2. privatelink-global.wvd.microsoft.com의 프라이빗 DNS 영역은 초기 피드 검색(전역 하위 리소스)에 대한 개인 IP 주소를 반환합니다.

  3. 피드의 각 작업 영역에 주소 <workspaceId>.privatelink.wvd.microsoft.com에 대한 DNS 쿼리가 만들어집니다.

  4. privatelink.wvd.microsoft.com의 프라이빗 DNS 영역은 작업 영역 피드 다운로드를 위한 개인 IP 주소를 반환하고 TCP 포트 443을 사용하여 피드를 다운로드합니다.

  5. 원격 세션에 연결할 때 작업 영역 피드 다운로드에서 제공되는 .rdp 파일에는 사용자 디바이스의 대기 시간이 가장 짧은 Azure Virtual Desktop 게이트웨이 서비스의 주소가 포함되어 있습니다. <hostpooId>.afdfp-rdgateway.wvd.microsoft.com 형식의 주소에 대해 DNS 쿼리가 수행됩니다.

  6. privatelink.wvd.microsoft.com의 프라이빗 DNS 영역은 원격 세션을 제공하는 호스트 풀에 사용할 Azure Virtual Desktop 게이트웨이 서비스의 개인 IP 주소를 반환합니다. 가상 네트워크 및 프라이빗 엔드포인트를 통한 오케스트레이션은 TCP 포트 443을 사용합니다.

  7. 오케스트레이션에 따라 클라이언트, Azure Virtual Desktop 게이트웨이 서비스 및 세션 호스트 간의 네트워크 트래픽은 TCP 동적 포트 범위 1~65535의 포트로 전송됩니다. 포트 매핑은 연결 하위 리소스에 해당하는 단일 프라이빗 엔드포인트 IP 주소를 통해 모든 전역 게이트웨이에서 사용되므로 전체 포트 범위가 필요합니다. Azure 프라이빗 네트워킹은 이러한 포트를 클라이언트 오케스트레이션 중에 선택된 적절한 게이트웨이에 내부적으로 매핑합니다.

알려진 문제 및 제한 사항

Azure Virtual Desktop에서 Private Link 사용에는 다음과 같은 제한 사항이 있습니다.

  • Azure Virtual Desktop용 Private Link를 사용하기 전에 Azure Virtual Desktop과 Private Link를 사용하려는 각 Azure 구독에서 Azure Virtual Desktop과 Private Link를 사용하도록 설정해야 합니다.

  • Azure Virtual Desktop에 연결하는 모든 원격 데스크톱 클라이언트는 Private Link와 함께 사용할 수 있습니다. 인터넷에 액세스하지 않고 프라이빗 네트워크에서 Windows용 원격 데스크톱 클라이언트를 사용하고 공용 및 프라이빗 피드를 모두 구독하는 경우 피드에 액세스할 수 없습니다.

  • 프라이빗 엔드포인트를 호스트 풀로 변경한 후에는 호스트 풀의 각 세션 호스트에서 원격 데스크톱 에이전트 로더(RDAgentBootLoader) 서비스를 다시 시작해야 합니다. 호스트 풀의 네트워크 구성을 변경할 때마다 이 서비스를 다시 시작해야 합니다. 서비스를 다시 시작하는 대신 세션 호스트를 다시 시작할 수 있습니다.

  • Private Link 및 RDP Shortpath를 모두 사용하는 경우 다음과 같은 제한 사항이 있습니다.

  • Azure Virtual Desktop에서 Private Link 사용 미리 보기 초기에 초기 피드 검색(전역 하위 리소스의 경우)에 대한 프라이빗 엔드포인트는 프라이빗 DNS 영역 이름 privatelink.wvd.microsoft.com을 작업 영역 및 호스트 풀에 대한 다른 프라이빗 엔드포인트와 공유했습니다. 이 구성에서 사용자는 호스트 풀 및 작업 영역에만 프라이빗 엔드포인트를 설정할 수 없습니다. 2023년 9월 1일부터 이 구성에서 프라이빗 DNS 영역 공유는 더 이상 지원되지 않습니다. 프라이빗 DNS 영역 이름 privatelink-global.wvd.microsoft.com을 사용하려면 전역 하위 리소스에 대한 새 프라이빗 엔드포인트를 만들어야 합니다. 이 작업을 수행하는 단계는 초기 피드 검색을 참조하세요.

다음 단계