다음을 통해 공유


Azure Virtual Desktop용 RDP Shortpath

RDP Shortpath는 Azure Virtual Desktop에서 지원되는 플랫폼 및 세션 호스트에서 로컬 디바이스 Windows 앱 또는 원격 데스크톱 앱 간에 UDP 기반 전송을 설정합니다. 기본적으로 RDP(원격 데스크톱 프로토콜)는 TCP 기반 역방향 연결 전송을 시작한 다음 UDP를 사용하여 원격 세션을 설정하려고 합니다. UDP 연결이 성공하면 TCP 연결이 삭제되고, 그렇지 않으면 TCP 연결이 대체 연결 메커니즘으로 사용됩니다.

UDP 기반 전송은 더 나은 연결 안정성과 더 일관된 대기 시간을 제공합니다. TCP 기반 역방향 연결은 다양한 네트워킹 구성과 최상의 호환성을 제공하며 RDP 연결을 설정하는 데 성공률이 높습니다.

RDP Shortpath는 두 가지 방법으로 사용할 수 있습니다.

  1. Azure ExpressRoute 또는 사이트 간 VPN(가상 사설망)과 같은 프라이빗 연결을 사용할 때 클라이언트와 세션 호스트 간에 직접 연결이 설정되는 관리형 네트워크입니다. 관리 네트워크를 사용하는 연결은 다음 중 한 가지 방법으로 설정됩니다.

    1. RDP Shortpath 수신기를 사용하도록 설정하고 각 세션 호스트의 인바운드 포트가 연결을 수락하도록 허용해야 하는 클라이언트 디바이스와 세션 호스트 간의 직접 UDP 연결입니다.

    2. 클라이언트와 세션 호스트 간의 STUN(Simple Traversal Underneath NAT) 프로토콜을 사용하는, 클라이언트 디바이스와 세션 호스트 간의 직접 UDP 연결입니다. 세션 호스트의 인바운드 포트를 허용할 필요가 없습니다.

  2. 공용 네트워크에서는 공용 연결을 사용할 때 클라이언트와 세션 호스트 간에 직접 연결이 설정됩니다. 공용 연결을 사용하는 경우 두 가지 연결 형식이 있으며 기본 설정 순서대로 여기에 나열됩니다.

    1. 클라이언트와 세션 호스트 간의 STUN(Simple Traversal UnderNEATH NAT) 프로토콜을 사용하는 직접 UDP 연결입니다.

    2. 클라이언트와 세션 호스트 간에 릴레이 NAT(릴레이 NAT) 프로토콜을 사용하는 릴레이된 UDP 연결입니다.

RDP Shortpath에 사용되는 전송은 URCP(Universal Rate Control Protocol)를 기반으로 합니다. URCP는 네트워크 상태에 대한 활성 모니터링으로 UDP를 개선하며 공평하고 완전한 링크 사용률을 제공합니다. URCP는 필요에 따라 낮은 지연 및 손실 수준에서 작동합니다.

Important

  • AZURE Virtual Desktop용 STUN을 통한 공용 네트워크에 대한 RDP Shortpath는 Azure 퍼블릭 클라우드 및 Azure Government 클라우드에서 사용할 수 있습니다.
  • AZURE Virtual Desktop용 TURN을 통한 퍼블릭 네트워크에 대한 RDP Shortpath는 Azure 퍼블릭 클라우드에서만 사용할 수 있습니다.

주요 이점

RDP Shortpath를 사용하면 다음과 같은 주요 이점이 있습니다.

  • URCP를 사용하여 UDP를 향상시키면 네트워크 매개 변수를 동적으로 학습하고 프로토콜에 속도 제어 메커니즘을 제공하여 최상의 성능을 얻을 수 있습니다.

  • 처리량이 높습니다.

  • STUN을 사용하는 경우 추가 릴레이 지점을 제거하면 왕복 시간이 단축되어 연결 안정성과 대기 시간에 민감한 애플리케이션 및 입력 방법을 사용하는 사용자 환경이 향상됩니다.

  • 또한 관리 네트워크의 경우:

    • RDP Shortpath는 DSCP(Differentiated Services Code Point) 표시를 통해 RDP 연결에 대한 QoS(서비스 품질) 우선 순위를 구성할 수 있도록 지원합니다.

    • RDP Shortpath 전송을 사용하면 각 세션에 대해 스로틀 비율을 지정하여 아웃바운드 네트워크 트래픽을 제한할 수 있습니다.

RDP Shortpath 작동 방식

관리 네트워크 및 공용 네트워크에서 RDP Shortpath가 작동하는 방식을 알아보려면 다음 탭을 각각 선택합니다.

다음 방법을 사용하여 관리 네트워크에서 RDP Shortpath를 사용하는 데 필요한 직접 가시선 연결을 달성할 수 있습니다.

직접적인 가시선 연결이 있다는 것은 클라이언트가 방화벽에 의해 차단되지 않고 세션 호스트에 직접 연결할 수 있음을 의미합니다.

참고 항목

다른 VPN 형식을 사용하여 Azure에 연결하는 경우 UDP 기반 VPN을 사용하는 것이 좋습니다. 대부분의 TCP 기반 VPN 솔루션은 중첩된 UDP를 지원하지만 TCP 정체 제어의 상속된 오버헤드를 추가하여 RDP 성능을 저하시킵니다.

관리 네트워크에 RDP Shortpath를 사용하려면 세션 호스트에서 UDP 수신기를 사용하도록 설정해야 합니다. 기본적으로 포트 3390이 사용되지만 다른 포트를 사용할 수도 있습니다.

다음 다이어그램은 Active Directory 도메인에 가입된 관리 네트워크 및 세션 호스트에 RDP Shortpath를 사용할 때 네트워크 연결에 대한 개략적인 개요를 제공합니다.

관리되는 네트워크에 RDP Shortpath를 사용할 때 네트워크 연결의 다이어그램

연결 시퀀스

모든 연결은 Azure Virtual Desktop Gateway를 통해 TCP 기반 역방향 연결 전송을 설정하여 시작됩니다. 그런 다음 클라이언트와 세션 호스트는 초기 RDP 전송을 설정하고 기능 교환을 시작합니다. 이러한 기능은 다음 프로세스를 사용하여 협상됩니다.

  1. 세션 호스트는 IPv4 및 IPv6 주소 목록을 클라이언트에 보냅니다.

  2. 클라이언트는 백그라운드 스레드를 시작하여 세션 호스트의 IP 주소 중 하나에 직접 병렬 UDP 기반 전송을 설정합니다.

  3. 클라이언트가 제공된 IP 주소를 검색하는 동안 사용자 연결에 지연이 없는지 확인하기 위해 역방향 연결 전송을 통해 초기 연결을 계속 설정합니다.

  4. 클라이언트가 세션 호스트에 직접 연결되어 있는 경우 클라이언트는 신뢰할 수 있는 UDP에서 TLS를 사용하여 보안 연결을 설정합니다.

  5. RDP Shortpath 전송을 설정한 후 원격 그래픽, 입력 및 디바이스 리디렉션을 포함한 모든 DVC(동적 가상 채널)가 새 전송으로 이동됩니다. 그러나 방화벽이나 네트워크 토폴로지에 따라 클라이언트가 직접 UDP 연결을 설정하지 못하는 경우 RDP는 역방향 연결 전송을 계속합니다.

사용자가 관리 네트워크용 RDP Shortpath와 공용 네트워크를 모두 사용할 수 있는 경우 발견된 첫 번째 알고리즘이 사용됩니다. 먼저 설정되는 연결이 사용자가 해당 세션에 사용할 연결입니다.

연결 보안

RDP Shortpath는 RDP 다중 전송 기능을 확장합니다. 역방향 연결 전송을 대체하는 것이 아니라 보완합니다. 초기 세션 중개는 Azure Virtual Desktop 서비스 및 역방향 연결 전송을 통해 관리됩니다. 역방향 연결 세션과 먼저 일치하지 않는 한 모든 연결 시도는 무시됩니다. RDP Shortpath는 인증 후 설정되며 성공적으로 설정되면 역방향 연결 전송이 중단되고 모든 트래픽이 RDP Shortpath를 통해 흐릅니다.

RDP Shortpath는 세션 호스트의 인증서를 사용하여 클라이언트와 세션 호스트 간에 신뢰할 수 있는 UDP에 TLS를 사용하는 보안 연결을 사용합니다. 기본적으로 RDP 암호화에 사용되는 인증서는 배포 중에 운영 체제에서 자체 생성합니다. 엔터프라이즈 인증 기관에서 발급한 중앙 관리 인증서를 배포할 수도 있습니다. 인증서 구성에 대한 자세한 내용은 원격 데스크톱 수신기 인증서 구성을 참조하세요.

참고 항목

RDP Shortpath가 제공하는 보안은 TCP 역방향 연결 전송이 제공하는 보안과 동일합니다.

예제 시나리오

다음은 여러 네트워크 토폴로지에서 RDP Shortpath가 사용되는지 여부를 결정하기 위해 연결을 평가하는 방법을 보여주는 몇 가지 예제 시나리오입니다.

시나리오 1

UDP 연결은 공용 네트워크(인터넷)를 통해 클라이언트 디바이스와 세션 호스트 간에만 설정할 수 있습니다. VPN과 같은 직접 연결을 사용할 수 없습니다. UDP는 방화벽 또는 NAT 디바이스를 통해 허용됩니다.

공용 네트워크에 대한 RDP Shortpath가 STUN을 사용하는 것을 보여 주는 다이어그램

시나리오 2

방화벽 또는 NAT 디바이스가 직접 UDP 연결을 차단하지만 공용 네트워크(인터넷)를 통해 클라이언트 디바이스와 세션 호스트 간의 TURN을 사용하여 릴레이된 UDP 연결을 릴레이할 수 있습니다. VPN과 같은 다른 직접 연결을 사용할 수 없습니다.

공용 네트워크에 대한 RDP Shortpath가 TURN을 사용하는 것을 보여 주는 다이어그램

시나리오 3

공용 네트워크를 통해 또는 직접 VPN 연결을 통해 클라이언트 디바이스와 세션 호스트 간에 UDP 연결을 설정할 수 있지만 관리되는 네트워크에 대한 RDP Shortpath는 사용하도록 설정되지 않습니다. 클라이언트가 연결을 시작하면 ICE/STUN 프로토콜은 여러 경로를 볼 수 있으며 각 경로를 평가하고 대기 시간이 가장 짧은 경로를 선택합니다.

이 예제에서는 녹색 선에 표시된 것처럼 대기 시간이 가장 짧기 때문에 직접 VPN 연결을 통해 공용 네트워크에 RDP Shortpath를 사용하는 UDP 연결이 만들어집니다.

대기 시간이 가장 짧기 때문에 직접 VPN 연결을 통해 공용 네트워크에 RDP Shortpath를 사용하는 UDP 연결이 만들어지는 것을 보여 주는 다이어그램

시나리오 4

공용 네트워크 및 관리형 네트워크에 대한 RDP Shortpath가 모두 사용하도록 설정됩니다. UDP 연결은 공용 네트워크 또는 직접 VPN 연결을 통해 클라이언트 디바이스와 세션 호스트 간에만 설정할 수 있습니다. 클라이언트가 연결을 시작하면 ICE/STUN 프로토콜로 포트 3390(기본적으로) 및 공용 네트워크의 RDP Shortpath를 통해 네트워크에 RDP Shortpath를 사용하여 연결하려고 동시에 시도합니다. 처음 찾은 알고리즘이 사용되며 사용자는 해당 세션에 대해 먼저 설정된 연결을 사용합니다.

공용 네트워크를 통해 진행하는 작업에는 NAT 디바이스, 부하 분산 장치 또는 STUN 서버와 같은 더 많은 단계가 있으므로, 처음 찾은 알고리즘은 관리형 네트워크에 RDP Shortpath를 사용하여 연결을 선택하고 먼저 설정할 수 있습니다.

처음 찾은 알고리즘이 관리 네트워크에 RDP Shortpath를 사용하여 연결을 선택하고 먼저 설정됨을 보여 주는 다이어그램

시나리오 5

공용 네트워크를 통해 또는 직접 VPN 연결을 통해 클라이언트 디바이스와 세션 호스트 간에 UDP 연결을 설정할 수 있지만 관리되는 네트워크에 대한 RDP Shortpath는 사용하도록 설정되지 않습니다. ICE/STUN이 특정 경로를 사용하지 못하도록 하려면 관리자가 UDP 트래픽에 대한 경로 중 하나를 차단할 수 있습니다. 경로를 차단하면 나머지 경로가 항상 사용됩니다.

이 예제에서 UDP는 직접 VPN 연결에서 차단되고 ICE/STUN 프로토콜은 공용 네트워크를 통해 연결을 설정합니다.

UDP는 직접 VPN 연결에서 차단되고 ICE/STUN 프로토콜은 공용 네트워크를 통해 연결을 설정하는 것을 보여 주는 다이어그램

시나리오 6

공용 네트워크와 관리되는 네트워크에 대한 RDP Shortpath가 모두 구성되지만 직접 VPN 연결을 사용하여 UDP 연결을 설정할 수 없습니다. 방화벽 또는 NAT 디바이스도 공용 네트워크(인터넷)를 사용하여 직접 UDP 연결을 차단하지만, 공용 네트워크(인터넷)를 통해 클라이언트 디바이스와 세션 호스트 간의 TURN을 사용하여 릴레이된 UDP 연결을 릴레이할 수 있습니다.

UDP가 직접 VPN 연결에서 차단되고 공용 네트워크를 사용한 직접 연결도 실패하는 것을 보여 주는 다이어그램 TURN은 공용 네트워크를 통해 연결을 릴레이합니다.

시나리오 7

공용 네트워크와 관리형 네트워크에 대한 RDP Shortpath가 모두 구성되지만 UDP 연결을 설정할 수 없습니다. 이 경우 RDP Shortpath가 실패하고 연결이 TCP 기반 역방향 연결 전송으로 대체됩니다.

UDP 연결을 설정할 수 없다는 것을 보여 주는 다이어그램 이 경우 RDP Shortpath가 실패하고 연결이 TCP 기반 역방향 연결 전송으로 대체됩니다.

다음 단계