Virtual Desktop Service
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

Google Cloud(GCP)용 RDS 구축 가이드

기여자

개요

이 가이드는 Google Cloud의 VDS(NetApp 가상 데스크톱 서비스)를 사용하여 원격 데스크톱 서비스(RDS) 배포를 생성하는 단계별 지침을 제공합니다.

이 POC(개념 증명) 가이드는 사용자가 자신의 테스트 GCP 프로젝트에 RDS를 빠르게 구축하고 구성하는 데 도움을 주기 위해 설계되었습니다.

특히 기존 AD 환경에 대한 프로덕션 배포는 매우 일반적이나 이 POC 가이드에서 이러한 프로세스는 고려되지 않습니다. 복잡한 POC 및 생산 배포는 NetApp VDS 영업/서비스 팀과 함께 시작되어야 하며 셀프 서비스 방식으로 수행되지 않습니다.

이 POC 문서는 전체 RDS 배포를 안내하며 VDS 플랫폼에서 사용할 수 있는 배포 후 구성의 주요 영역을 간략하게 설명합니다. 완료되면 세션 호스트, 응용 프로그램 및 사용자가 모두 포함된 완전한 배포 및 기능 RDS 환경을 갖게 됩니다. 선택적으로 자동 애플리케이션 전송, 보안 그룹, 파일 공유 권한, 클라우드 백업, 지능형 비용 최적화를 구성할 수 있습니다. VDS는 GPO를 통해 일련의 모범 사례 설정을 배포합니다. 이러한 컨트롤을 선택적으로 비활성화하는 방법에 대한 지침도 POC에 관리되지 않는 로컬 장치 환경과 유사한 보안 컨트롤이 필요하지 않은 경우에 포함됩니다.

구축 아키텍처

너비 = 75%

RDS 기초

VDS는 완전한 기능의 RDS 환경을 구축하며 필요한 모든 지원 서비스를 처음부터 새로 제공합니다. 이 기능에는 다음이 포함될 수 있습니다.

  • RDS 게이트웨이 서버

  • 웹 클라이언트 액세스 서버

  • 도메인 컨트롤러 서버

  • RDS 라이센스 서비스

  • ThinPrint 라이센스 서비스

  • FileZilla FTPS 서버 서비스입니다

가이드 범위

이 가이드에서는 GCP 및 VDS 관리자의 관점에서 NetApp VDS 기술을 사용하는 RDS 배포를 안내합니다. 사전 구성이 필요 없는 GCP 프로젝트를 제공하며 이 가이드를 통해 RDS의 엔드 투 엔드를 설정할 수 있습니다

서비스 계정을 생성합니다

  1. GCP에서 _IAM 및 Admin > 서비스 계정 _ 으로 이동하거나 검색합니다

  2. 서비스 계정 생성 _ 을(를) 클릭합니다

  3. 고유한 서비스 계정 이름을 입력하고 _create_를 클릭합니다. 서비스 계정의 이메일 주소를 기록해 두십시오. 이 주소는 이후 단계에서 사용됩니다.

  4. 서비스 계정의 _Owner_role을 선택하고 _continue_를 클릭합니다

  5. 다음 페이지에서 변경할 필요가 없습니다(이 서비스 계정에 대한 사용자 액세스 권한 부여(선택 사항)). _Done_을 클릭합니다

  6. Service accounts_page에서 작업 메뉴를 클릭하고 _Create key_를 선택합니다

  7. P12_를 선택하고 _create_를 클릭합니다

  8. P12 파일을 다운로드하여 컴퓨터에 저장합니다. Private 키 password_changed를 리브 했습니다.

Google 컴퓨팅 API를 활성화합니다

  1. GCP에서 _API & Services > Library_로 이동하거나 검색합니다

  2. GCP API 라이브러리에서 _Compute Engine API_로 이동하거나 검색합니다. _ENABLE_을 클릭합니다

새 VDS 배포를 생성합니다

  1. VDS에서 _Deployments_로 이동하여 _ + New Deployment_를 클릭합니다

  2. 배포 이름을 입력합니다

  3. Google Cloud Platform _ 을(를) 선택합니다

알아봅니다

  1. 프로젝트 ID_ 및 OAuth 이메일 주소를 입력합니다. 이 가이드의 앞부분에서 .p12 파일을 업로드하고 이 배포에 적합한 영역을 선택합니다. Test_를 클릭하여 항목이 올바르고 적절한 권한이 설정되었는지 확인합니다.

    참고 OAuth 이메일은 이 가이드 앞부분에서 생성된 서비스 계정의 주소입니다.

  2. 확인이 완료되면 _Continue_를 클릭합니다

계정

로컬 VM 계정

  1. 로컬 관리자 계정의 암호를 입력합니다. 나중에 사용할 수 있도록 이 암호를 문서화합니다.

  2. SQL SA 계정에 대한 암호를 제공합니다. 나중에 사용할 수 있도록 이 암호를 문서화합니다.

참고 암호의 복잡성에는 대문자, 소문자, 숫자, 특수 문자 등 4가지 문자 유형 중 3개가 포함된 최소 8자의 문자가 필요합니다

SMTP 계정

VDS는 사용자 정의 SMTP 설정을 통해 이메일 알림을 전송할 수 있으며, 또는 _Automatic_을 선택하여 내장된 SMTP 서비스를 사용할 수 있습니다.

  1. VDS에서 이메일 알림을 보낼 때 _from_address로 사용할 이메일 주소를 입력합니다. _no-reply@<your-domain>.com_은(는) 일반적인 형식입니다.

  2. 성공 보고서를 보내야 하는 이메일 주소를 입력합니다.

  3. 오류 보고서를 보내야 하는 이메일 주소를 입력합니다.

레벨 3 정비사

레벨 3 정비사 계정(또는 .tech accounts)는 VDS 환경의 VM에서 관리 작업을 수행할 때 사용할 VDS 관리자의 도메인 수준 계정입니다. 이 단계 및/또는 그 이후에 추가 계정을 생성할 수 있습니다.

  1. 레벨 3 관리자 계정의 사용자 이름과 암호를 입력합니다. 최종 사용자와 기술 계정을 구분하기 위해 입력하는 사용자 이름에 ".tech"가 추가됩니다. 나중에 사용할 수 있도록 이 자격 증명을 기록합니다.

    참고 모범 사례는 환경에 대한 도메인 수준 자격 증명을 가져야 하는 모든 VDS 관리자에 대해 명명된 계정을 정의하는 것입니다. 이러한 유형의 계정이 없는 VDS 관리자는 VDS에 내장된 _Connect to server_functionality를 통해 VM 수준 관리자 액세스 권한을 가질 수 있습니다.

도메인

활성 디렉토리

원하는 AD 도메인 이름을 입력합니다.

공용 도메인입니다

외부 액세스는 SSL 인증서를 통해 보호됩니다. 사용자 고유의 도메인 및 자체 관리되는 SSL 인증서를 사용하여 사용자 지정할 수 있습니다. 또는 _Automatic_을 선택하면 VDS에서 인증서의 자동 90일 새로 고침을 비롯한 SSL 인증서를 관리할 수 있습니다. 자동을 사용하는 경우 각 배포에서는 _cloudworkspace.app_의 고유한 하위 도메인을 사용합니다.

가상 머신

RDS 배포의 경우 도메인 컨트롤러, RDS 브로커 및 RDS 게이트웨이와 같은 필수 구성 요소가 플랫폼 서버에 설치되어 있어야 합니다. 운영 환경에서 이러한 서비스는 전용 및 중복 가상 시스템에서 실행되어야 합니다. 개념 증명 배포를 위해 단일 VM을 사용하여 이러한 서비스를 모두 호스팅할 수 있습니다.

플랫폼 VM 구성

단일 가상 머신

이는 POC 배포를 위한 권장 선택 사항입니다. 단일 가상 시스템 배포에서 다음 역할은 모두 단일 VM에서 호스팅됩니다.

  • CW Manager(CW 관리자)

  • HTML5 게이트웨이

  • RDS 게이트웨이

  • 원격 앱

  • FTPS 서버(옵션)

  • 도메인 컨트롤러

이 구성에서 RDS 사용 사례에 권장되는 최대 사용자 수는 100명입니다. 로드 밸런싱된 RDS/HTML5 게이트웨이는 이 구성에서 옵션이 아니며 향후 확장을 위한 중복성과 옵션을 제한합니다.

참고 이 환경이 멀티 테넌시를 위해 설계된 경우에는 단일 가상 시스템 구성이 지원되지 않습니다.
여러 대의 서버

VDS 플랫폼을 여러 가상 시스템으로 분할할 때 다음 역할은 전용 VM에서 호스팅됩니다.

  • 원격 데스크탑 게이트웨이

    VDS 설정은 하나 또는 두 개의 RDS 게이트웨이를 배포하고 구성하는 데 사용할 수 있습니다. 이러한 게이트웨이는 열린 인터넷에서 구축 내의 세션 호스트 VM으로 RDS 사용자 세션을 중계합니다. RDS 게이트웨이는 중요한 기능을 처리하여 개방형 인터넷으로부터 직접 공격으로부터 RDS를 보호하고 환경 내/외부로 모든 RDS 트래픽을 암호화합니다. 두 개의 원격 데스크탑 게이트웨이를 선택하면 VDS Setup에서 두 개의 VM을 배포하고 들어오는 RDS 사용자 세션의 로드 밸런싱을 위해 구성합니다.

  • HTML5 게이트웨이

    VDS Setup(VDS 설정)을 사용하여 하나 또는 두 개의 HTML5 게이트웨이를 배포 및 구성할 수 있습니다. 이러한 게이트웨이는 VDS 및 웹 기반 VDS 클라이언트(H5 Portal)의 _Connect to Server_feature에서 사용하는 HTML5 서비스를 호스팅합니다. HTML5 포털 2개를 선택한 경우 VDS Setup은 2개의 VM을 배포하고 들어오는 HTML5 사용자 세션의 로드 균형을 유지하도록 구성합니다.

    참고 다중 서버 옵션을 사용하는 경우(사용자가 설치된 VDS 클라이언트를 통해서만 연결할 수 있는 경우에도) VDS에서 _Connect to Server_functionality를 활성화하려면 하나 이상의 HTML5 게이트웨이를 사용하는 것이 좋습니다.

  • 게이트웨이 확장성 참고 사항

    RDS 사용 사례의 경우, 각 RDS 또는 HTML5 게이트웨이에서 약 500명의 사용자를 지원하는 추가 게이트웨이 VM을 사용하여 환경의 최대 크기를 확장할 수 있습니다. 최소 NetApp 프로페셔널 서비스 지원을 통해 추가 게이트웨이를 추가할 수 있습니다

이 환경이 멀티 테넌시를 위해 설계된 경우에는 _multiple servers_selection이 필요합니다.

서비스 역할

  • Cwmgr1

    이 VM은 NetApp VDS 관리 VM입니다. SQL Express 데이터베이스, 도우미 유틸리티 및 기타 관리 서비스를 실행합니다. 단일 서버_배포에서 이 VM은 다른 서비스를 호스팅할 수도 있지만 _multiple server_configuration에서 이러한 서비스는 다른 VM으로 이동됩니다.

  • CWPortal1(2)

    첫 번째 HTML5 게이트웨이 이름은 _CWPortal1_이며 두 번째 게이트웨이 이름은 _CWPortal2_입니다. 배포 시 하나 또는 두 개를 만들 수 있습니다. 배포 후 추가 서버를 추가하여 용량을 늘릴 수 있습니다(서버당 최대 500개의 연결).

  • CWRDSGateway1(2)

    첫 번째 RDS 게이트웨이의 이름은 _CWRDSGateway1_이고, 두 번째는 _CWRDSGateway2_입니다. 배포 시 하나 또는 두 개를 만들 수 있습니다. 배포 후 추가 서버를 추가하여 용량을 늘릴 수 있습니다(서버당 최대 500개의 연결).

  • 원격 앱

    앱 서비스는 RemotApp 응용 프로그램 호스팅을 위한 전용 컬렉션이지만 최종 사용자 세션 요청을 라우팅하고 RDWeb 응용 프로그램 구독 목록을 호스팅하는 데 RDS 게이트웨이와 해당 RDWeb 역할을 사용합니다. 이 서비스 역할에는 VM 전용 VM이 배포되지 않습니다.

  • 도메인 컨트롤러

    배포에서 하나 또는 두 개의 도메인 컨트롤러를 자동으로 구축하고 VDS와 함께 작동하도록 구성할 수 있습니다.

운영 체제

플랫폼 서버에 배포할 서버 운영 체제를 선택합니다.

시간대

원하는 시간대를 선택합니다. 플랫폼 서버는 이 시간으로 구성되며 로그 파일에는 이 시간대가 반영됩니다. 최종 사용자 세션은 이 설정에 관계없이 고유한 시간대를 반영합니다.

추가 서비스

FTP

VDS는 환경 내/외부로 데이터를 이동하기 위해 FTPS 서버를 실행하도록 FileZilla를 선택적으로 설치 및 구성할 수 있습니다. 이 기술은 구형이며 Google Drive와 같은 보다 현대적인 데이터 전송 방법을 사용하는 것이 좋습니다.

네트워크

VM을 용도에 따라 다른 서브넷으로 분리하는 것이 가장 좋습니다.

네트워크 범위를 정의하고 A/20 범위를 추가합니다.

VDS Setup(VDS 설정)은 성공을 입증할 범위를 감지하고 제안합니다. 모범 사례에 따라 서브넷 IP 주소는 전용 IP 주소 범위에 속해야 합니다.

이러한 범위는 다음과 같습니다.

  • 192.168.0.0 ~ 192.168.255.255

  • 172.16.0.0 ~ 172.31.255.255

  • 10.0.0.0 ~ 10.255.255.255

필요한 경우 검토 및 조정한 다음 유효성 검사 를 클릭하여 다음 각 서브넷에 대한 서브넷을 확인합니다.

  • 테넌트: 세션 호스트 서버와 데이터베이스 서버가 상주할 범위입니다

  • 서비스: Cloud Volumes Service와 같은 PaaS 서비스가 상주하는 범위입니다

  • 플랫폼: 이 범위는 플랫폼 서버가 상주할 범위입니다

  • 디렉토리: AD 서버가 상주할 범위입니다

라이센싱

SPLA 번호

SPLA 번호를 입력하여 VDS가 보다 쉽게 SPLA RDS CAL 보고를 위해 RDS 라이선스 서비스를 구성할 수 있도록 합니다. 임시 번호(예: 12345)는 POC 배포를 위해 입력할 수 있지만 시험 기간(120일) 후 RDS 세션의 연결이 중지됩니다.

SPLA 제품

VDS 보고서에서 SPLA를 통해 라이선스를 취득한 모든 Office 제품에 대한 MAK 라이선스 코드를 입력하여 SPLA 보고를 단순화합니다.

ThinPrint

포함된 ThinPrint 라이센스 서버 및 라이센스를 설치하여 최종 사용자 프린터 리디렉션을 단순화하도록 선택합니다.

검토 및 제공

모든 단계가 완료된 후 선택 항목을 검토한 후 환경을 검증 및 프로비저닝합니다.

다음 단계

이제 배포 자동화 프로세스에서 구축 마법사 전체에서 선택한 옵션이 포함된 새로운 RDS 환경을 구현합니다.

배포가 완료되면 여러 개의 이메일을 받게 됩니다. 작업이 완료되면 첫 번째 작업 영역을 위한 환경이 준비됩니다. 작업 공간에는 최종 사용자를 지원하는 데 필요한 세션 호스트와 데이터 서버가 포함됩니다. 1-2시간 후에 배포 자동화가 완료되면 이 가이드를 다시 참조하여 다음 단계를 수행하십시오.

새 프로비저닝 컬렉션을 생성합니다

컬렉션 프로비저닝은 vDS의 기능이며 VM 이미지의 생성, 사용자 정의 및 sysprep을 허용합니다. 작업 공간 배포로 들어가면 배포할 이미지가 필요하며 다음 단계를 통해 VM 이미지를 만들 수 있습니다.

배포용 기본 이미지를 만들려면 다음 단계를 수행하십시오.

  1. Deployments > Provisioning Collections _ 로 이동하여 _Add_를 클릭합니다

  2. 이름과 설명을 입력합니다. CHOOSE_TYPE: Shared _.

    참고 공유 또는 VDI를 선택할 수 있습니다. 공유는 세션 서버와 데이터베이스 같은 응용 프로그램에 대한 비즈니스 서버(선택 사항)를 지원합니다. VDI는 개별 사용자 전용의 VM용 단일 VM 이미지입니다.

  3. Add_를 클릭하여 빌드할 서버 이미지의 유형을 정의합니다.

  4. TSData를 SERVER ROLE, 적절한 VM 이미지(이 경우 Server 2016) 및 원하는 스토리지 유형으로 선택합니다. 서버 추가 _ 를 클릭합니다

  5. 선택적으로 이 이미지에 설치할 응용 프로그램을 선택합니다.

    1. 사용 가능한 응용 프로그램 목록은 앱 라이브러리에서 채워집니다. 이 목록은 오른쪽 위 구석에 있는 _Settings > App Catalog_페이지 아래의 관리자 이름 메뉴를 클릭하여 액세스할 수 있습니다.

  6. Add Collection _ 을 클릭하고 VM이 구축될 때까지 기다립니다. VDS는 액세스 및 사용자 지정이 가능한 VM을 구성합니다.

  7. VM 빌드가 완료되면 서버에 연결하고 원하는 대로 변경합니다.

    1. 상태가 _Collection Validation_으로 표시되면 컬렉션 이름을 클릭합니다.

    2. 그런 다음 _ 서버 템플릿 이름 _ 을(를) 클릭합니다

    3. 마지막으로, Connect to Server 단추를 클릭하여 연결하고 로컬 관리자 자격 증명으로 VM에 자동으로 로그인합니다.

  8. 모든 사용자 정의가 완료되면 _Validate Collection_을 클릭하여 VDS가 sysprep을 수행하고 이미지를 완료할 수 있도록 합니다. 완료되면 VM이 삭제되고 VDS 배포 마법사 내에서 이미지를 배포 양식에 사용할 수 있습니다.

    5

새 작업 영역을 만듭니다

작업 영역은 사용자 그룹을 지원하는 세션 호스트 및 데이터 서버의 모음입니다. 배포에는 단일 작업 공간(단일 테넌트) 또는 여러 작업 공간(멀티 테넌트)이 포함될 수 있습니다.

작업 영역은 특정 그룹에 대한 RDS 서버 컬렉션을 정의합니다. 이 예에서는 가상 데스크톱 기능을 시연하기 위해 단일 컬렉션을 구축합니다. 그러나 동일한 Active Directory 도메인 공간 내에서 서로 다른 그룹 및 위치를 지원하기 위해 모델을 여러 작업 공간/RDS 컬렉션으로 확장할 수 있습니다. 선택적으로 관리자는 작업 영역/컬렉션 간의 액세스를 제한하여 응용 프로그램과 데이터에 대한 제한된 액세스가 필요한 사용 사례를 지원할 수 있습니다.

클라이언트 및 설정

  1. NetApp VDS에서 _Workspaces_로 이동하고 _ + New Workspace _ 를 클릭합니다

  2. Add_를 클릭하여 새 클라이언트를 생성합니다. 클라이언트 세부 정보는 일반적으로 회사 정보 또는 특정 위치/부서에 대한 정보를 나타냅니다.

    1. 회사 세부 정보를 입력하고 이 작업 영역을 배포할 배포를 선택합니다.

    2. * 데이터 드라이브: * 회사 공유 매핑된 드라이브에 사용할 드라이브 문자를 정의합니다.

    3. * 사용자 홈 드라이브: * 개별 매핑된 드라이브에 사용할 드라이브 문자를 정의합니다.

    4. * 추가 설정 *

      배포 및/또는 배포 후 선택 시 다음 설정을 정의할 수 있습니다.

      1. _원격 앱 활성화: _ 원격 앱은 전체 원격 데스크톱 세션을 제공하는 대신 스트리밍 응용 프로그램으로 응용 프로그램을 제공합니다(또는 추가).

      2. _Enable App Locker: _ VDS에는 응용 프로그램 배포 및 권한 기능이 포함되어 있으며 기본적으로 시스템은 최종 사용자에게 응용 프로그램을 표시하거나 숨깁니다. App Locker를 활성화하면 GPO 허용 목록을 통해 응용 프로그램 액세스가 적용됩니다.

      3. _작업 공간 사용자 데이터 저장소 사용: _ 최종 사용자가 가상 데스크톱에서 데이터 저장소 액세스 권한이 있어야 하는지 여부를 결정합니다. RDS 배포의 경우 사용자 프로필에 대한 데이터 액세스를 활성화하려면 이 설정을 항상 선택해야 합니다.

      4. _프린터 액세스 비활성화: _VDS는 로컬 프린터에 대한 액세스를 차단할 수 있습니다.

      5. _작업 관리자에 대한 액세스 허용: _VDS는 Windows의 작업 관리자에 대한 최종 사용자 액세스를 활성화/비활성화할 수 있습니다.

      6. _복잡한 사용자 암호 필요: _ 복잡한 암호를 필요로 하면 네이티브 Windows Server 복잡한 암호 규칙이 활성화됩니다. 또한 잠긴 사용자 계정의 시간 지연 자동 잠금 해제를 비활성화합니다. 따라서 이 옵션을 설정하면 최종 사용자가 암호를 여러 번 시도하여 계정을 잠글 때 관리자 개입이 필요합니다.

      7. _모든 사용자에 대해 MFA 활성화:_VDS에는 최종 사용자 및/또는 VDS 관리자 계정 액세스를 보호하는 데 사용할 수 있는 무료 이메일/SMS MFA 서비스가 포함되어 있습니다. 이를 활성화하려면 이 작업 영역의 모든 최종 사용자가 MFA를 사용하여 인증하여 데스크톱 및/또는 앱에 액세스해야 합니다.

응용 프로그램을 선택합니다

이 가이드 앞부분에서 생성한 Windows OS 버전 및 프로비저닝 컬렉션을 선택합니다.

이 시점에서 추가 응용 프로그램을 추가할 수 있지만 이 POC의 경우 배포 후 응용 프로그램 자격 요건에 대해 다루겠습니다.

사용자 추가

기존 AD 보안 그룹 또는 개별 사용자를 선택하여 사용자를 추가할 수 있습니다. 이 POC 가이드에서는 배포 후 사용자를 추가할 것입니다.

검토 및 제공

마지막 페이지에서 선택한 옵션을 검토하고 _provision_을 클릭하여 RDS 리소스 자동 빌드를 시작합니다.

참고 배포 프로세스 중에 로그가 생성되며 배포 세부 정보 페이지 아래쪽에 있는 _Task History_에서 액세스할 수 있습니다. VDS > 배포에서 배포 이름 _ 으로 이동하여 액세스할 수 있습니다

다음 단계

WorkPlace 자동화 프로세스가 이제 구축 마법사 전체에서 선택한 옵션이 포함된 새로운 RDS 리소스를 배포합니다.

이 작업이 완료되면 일반적인 RDS 구축 환경을 사용자 지정하기 위해 따라야 할 몇 가지 워크플로우가 있습니다.