Azure Virtual Desktop의 Azure Private Link 솔루션 계획 및 구현
Azure Virtual Desktop에서 Azure Private Link를 사용하여 원격 리소스에 비공개로 연결할 수 있습니다. 프라이빗 엔드포인트를 만들면 가상 네트워크와 서비스 간의 트래픽이 Microsoft 네트워크에 유지되므로 더 이상 공용 인터넷에 서비스를 노출할 필요가 없습니다. 또한 원격 데스크톱 클라이언트를 사용하는 사용자가 가상 네트워크에 연결할 수 있도록 VPN 또는 ExpressRoute를 사용합니다. Microsoft 네트워크 내에서 트래픽을 유지하면 보안이 향상되고 데이터가 안전하게 유지됩니다.
이 단원에서는 Private Link가 Azure Virtual Desktop 환경을 보호하는 데 어떻게 도움이 되는지 설명합니다.
Private Link는 Azure Virtual Desktop에서 어떻게 작동하나요?
Azure Virtual Desktop에는 프라이빗 엔드포인트와 함께 사용할 세 가지 해당 리소스 유형이 있는 3개의 워크플로가 있습니다. 이러한 워크플로는 다음과 같습니다.
- 초기 피드 검색: 클라이언트가 사용자에게 할당된 모든 작업 영역을 검색할 수 있습니다. 이 프로세스를 사용하도록 설정하려면 모든 작업 영역의 전역 하위 리소스에 대한 단일 프라이빗 엔드포인트를 만들어야 합니다. 그러나 전체 Azure Virtual Desktop 배포에서 하나의 프라이빗 엔드포인트만 만들 수 있습니다. 이 엔드포인트는 초기 피드 검색에 필요한 전역 FQDN(정규화된 도메인 이름)에 대한 DNS(Domain Name System) 항목 및 개인 IP 경로를 만듭니다. 이 연결은 모든 클라이언트가 사용할 단일 공유 경로가 됩니다.
- 피드 다운로드: 클라이언트가 애플리케이션 그룹을 호스트하는 작업 영역의 특정 사용자에 대한 모든 연결 세부 정보를 다운로드합니다. Private Link를 사용하려는 각 작업 영역에 대한 피드 하위 리소스의 프라이빗 엔드포인트를 만듭니다.
- 호스트 풀에 연결: 호스트 풀에 대한 모든 연결에는 클라이언트 및 세션 호스트라는 두 가지 측면이 있습니다. Private Link를 사용하려는 각 호스트 풀에 대한 연결 하위 리소스에 대한 프라이빗 엔드포인트를 만들어야 합니다.
다음 다이어그램은 Private Link가 로컬 클라이언트를 Azure Virtual Desktop 서비스에 안전하게 연결하는 방법을 보여 줍니다. 클라이언트 연결에 대한 자세한 내용은 클라이언트 연결 시퀀스를 참조하세요.
지원되는 시나리오
Azure Virtual Desktop을 사용하여 Private Link를 추가할 때 Azure Virtual Desktop에 연결하기 위해 지원되는 시나리오는 다음과 같습니다. 선택하는 시나리오는 요구 사항에 따라 달라집니다. 네트워크 토폴로지에서 이러한 프라이빗 엔드포인트를 공유하거나 각각에 호스트 풀 또는 작업 영역에 대한 자체 프라이빗 엔드포인트가 있도록 가상 네트워크를 격리할 수 있습니다.
클라이언트 및 세션 호스트에 대한 초기 피드 검색, 피드 다운로드 및 원격 세션 연결과 같은 연결의 모든 부분은 프라이빗 경로를 사용합니다. 다음 프라이빗 엔드포인트가 필요합니다.
용도 리소스 종류 대상 하위 리소스 엔드포인트 수량 호스트 풀에 대한 연결 Microsoft.DesktopVirtualization/hostpools connection 호스트 풀당 하나 피드 다운로드 Microsoft.DesktopVirtualization/workspaces 피드 작업 영역당 하나 초기 피드 검색 Microsoft.DesktopVirtualization/workspaces global 모든 Azure Virtual Desktop 배포당 하나만 클라이언트 및 세션 호스트에 대한 피드 다운로드 및 원격 세션 연결은 프라이빗 경로를 사용하지만 초기 피드 검색은 공용 경로를 사용합니다. 다음 프라이빗 엔드포인트가 필요합니다. 초기 피드 검색을 위한 엔드포인트는 필요하지 않습니다.
용도 리소스 종류 대상 하위 리소스 엔드포인트 수량 호스트 풀에 대한 연결 Microsoft.DesktopVirtualization/hostpools connection 호스트 풀당 하나 피드 다운로드 Microsoft.DesktopVirtualization/workspaces 피드 작업 영역당 하나 클라이언트 및 세션 호스트에 대한 원격 세션 연결만 프라이빗 경로를 사용하지만 초기 피드 검색 및 피드 다운로드는 공용 경로를 사용합니다. 다음과 같은 프라이빗 엔드포인트가 필요합니다. 작업 영역에 대한 엔드포인트는 필요하지 않습니다.
용도 리소스 종류 대상 하위 리소스 엔드포인트 수량 호스트 풀에 대한 연결 Microsoft.DesktopVirtualization/hostpools connection 호스트 풀당 하나 클라이언트 및 세션 호스트 VM은 모두 프라이빗 경로를 사용합니다. 이 시나리오에서는 Private Link가 사용되지 않습니다.
중요 사항
- 초기 피드 검색을 위한 프라이빗 엔드포인트를 만드는 경우 전역 하위 리소스에 사용되는 작업 영역은 공유 FQDN(정규화된 도메인 이름)을 제어하여 모든 작업 영역에서 피드의 초기 검색을 용이하게 합니다. 이 용도로만 사용되며 애플리케이션 그룹이 등록되지 않은 별도의 작업 영역을 만들어야 합니다. 이 작업 영역을 삭제하면 모든 피드 검색 프로세스의 작동이 중지됩니다.
- 초기 피드 검색(전역 하위 리소스)에 사용되는 작업 영역에 대한 액세스는 제어할 수 없습니다. 프라이빗 액세스만 허용하도록 이 작업 영역을 구성하면 설정이 무시됩니다. 이 작업 영역은 항상 퍼블릭 경로에서 액세스할 수 있습니다.