2022년의 첫 수업이 Horizon 8 Deploy and Manage였습니다. 2021년에는 총 10회를 했습니다. 그렇다 보니 수업을 들었던 분들이 나중에 참고하실 만한 자료를 뭔가 좀 정리해야겠다는 생각이 많이 듭니다. 그래서 Horizon 서비스를 Design할 때 가장 기본적으로 봐야하는 Horizon Architecture를 기계번역하기로 마음 먹었고, 이렇게 시작해 봅니다.
이 장은 Workspace ONE 및 Horizon 솔루션의 아키텍처, 설계 고려 사항 및 구축에 대한 지침을 제공하는 프레임워크인 VMware Workspace ONE 및 VMware Horizon Reference Architecture를 구성하는 시리즈 중 하나입니다. 이 장에서는 VMware Horizon for vSphere 아키텍처에 대한 정보를 제공하며 Horizon 8과 7 모두에 적용됩니다.
Introduction
VMware Horizon®은 가상화 또는 호스팅된 데스크톱과 애플리케이션을 관리하고 최종 사용자에게 제공하기 위한 플랫폼입니다. Horizon을 사용하면 윈도우즈 가상 데스크톱, Linux 가상 데스크톱, RDS(Remote Desktop Server) 호스팅된 애플리케이션 및 데스크톱, Linux 호스팅된 애플리케이션 및 윈도우즈 물리적 시스템에 대한 연결을 생성하고 중개할 수 있습니다.
이 레퍼런스 아키텍처 장에서는 Horizon for vSphere의 아키텍처 및 설계 고려 사항을 다루며 Horizon 8과 7 모두에 적용됩니다. Horizon은 사내 또는 지원되는 다른 클라우드 플랫폼에 구축할 수 있습니다. 이 장에서는 Horizon을 구축하기 위한 기본적이고 일반적인 아키텍처 정보를 다루며 지원되는 모든 플랫폼에 적용됩니다. 별도의 장에서는 AWS 기반 VMware 클라우드, Azure VMware 솔루션 및 Google Cloud VMware Engine을 비롯한 지원되는 클라우드 플랫폼에서 Horizon에 대한 추가 설계 고려 사항을 제공합니다.
Horizon Cloud는 Horizon과 동일한 리소스를 제공하지만 이 장에서 설명하는 것과 다른 아키텍처를 사용하며 기본적으로 Azure에서 실행됩니다. Microsoft Azure의 Horizon Cloud 아키텍처는 Horizon Cloud on Microsoft Azure Architecture에서 별도로 다룹니다.
| 결정 | Horizon 구축은 VMware Workspace ONE® 플랫폼과 함께 설계, 구축 및 통합되었습니다. 이 환경은 사용자를 위해 8,000개의 동시 연결까지 확장할 수 있도록 설계되었습니다. |
| 타당한 이유 | 이 전략을 통해 설계, 배치 및 통합을 검증하고 문서화할 수 있었습니다. |
Architectural Overview
Horizon의 핵심 구성 요소에는 가상 데스크톱 및 앱에 대한 연결을 브로커하는 Connection Server로 VMware Horizon® Client™ 인증이 포함됩니다. 그런 다음 Horizon Client는 가상 데스크톱, RDSH 서버 또는 물리적 시스템에서 실행되는 Horizon Agent에 대한 프로토콜 세션 연결을 형성합니다. 프로토콜 세션은 Connection Server를 통해 터널링되도록 구성할 수도 있지만 진행 중인 세션이 Connection Server에 종속되도록 만들기 때문에 일반적으로 권장되지는 않습니다.
외부 액세스에는 보안 에지 서비스를 제공하기 위해 VMware Unified Access Gateway™를 사용하는 것이 포함됩니다. Horizon Client는 Unified Access Gateway를 통해 Connection Server에 인증됩니다. 그런 다음 Horizon Client는 Unified Access Gateway의 게이트웨이 서비스를 통해 가상 데스크톱 또는 RDSH 서버에서 실행되는 Horizon Agent에 대한 프로토콜 세션 연결을 형성합니다. 이 프로세스는 External Access에서 자세히 설명합니다.
구성 요소 간에 Horizon 연결이 형성되는 방법에 대한 자세한 내용은 Understand and Troubleshoot Horizon Connections을 참조하십시오.
구성요소
다음 그림은 Horizon 구성 요소의 높은 수준의 논리적 아키텍처와 다른 Horizon 구성 요소를 예시를 보여 줍니다.
Horizon의 구성요소 및 기능은 다음과 같습니다.
- Connection Server : Horizon Connection Server는 데스크톱 및 RDS 호스트에 설치된 Horizon Agent에 사용자를 안전하게 브로커하고 연결합니다. Connection Server는 Active Directory를 통해 사용자를 인증하고 적절한 권한 있는 리소스로 요청을 전송합니다.
- Horizon Agent : Horizon Agent가 대상 VM 또는 시스템의 게스트 OS에 설치됩니다. 이 에이전트를 사용하면 Connection Server에서 시스템을 관리할 수 있으며 Horizon Client가 시스템에 프로토콜 세션을 구성할 수 있습니다. 시스템은 가상 데스크톱, RDS 호스트(원격 데스크톱 세션 호스트), 물리적 데스크톱 PC일 수 있습니다.
- Horizon Client : Horizon Client는 클라이언트 디바이스에 설치되어 Horizon Agent가 설치된 Horizon으로 관리되는 시스템에 액세스합니다. 선택적으로 클라이언트 소프트웨어를 설치할 수 없는 장치의 HTML 클라이언트로 웹 브라우저를 사용할 수 있습니다.
- Unified Access Gateway : VMware Unified Access Gateway는 외부 네트워크에서 Horizon 관리 리소스를 비롯한 다양한 내부 리소스로의 안전한 원격 액세스를 지원하는 가상 어플라이언스입니다. 내부 리소스에 대한 액세스를 제공할 때 Unified Access Gateway는 회사 DMZ 또는 내부 네트워크 내에 배포될 수 있으며 회사 리소스에 대한 연결을 위한 역방향 프록시 호스트 역할을 합니다. Unified Access Gateway는 인증된 요청을 적절한 리소스로 보내고 인증되지 않은 요청은 무시합니다. 또한 사용하도록 설정된 경우 추가 인증 계층을 활용하여 인증 자체를 수행할 수 있습니다. (설계 및 구현에 대한 자세한 내용은 Unified Access Gateway Architecture를 참조하십시오.)
- Horizon Console : 관리자가 서버 구성, 데스크톱 배포 및 관리, 사용자 인증 제어, 시스템 및 사용자 이벤트 시작 및 검사, 최종 사용자 지원 수행 및 분석 작업을 수행할 수 있는 Connection 서버의 일부인 웹 애플리케이션입니다.
- VMware Instant Clone : 자동화 기능을 통해 단일 이미지 관리를 제공하는 VMware 기술입니다. 골든 이미지 VM에서 인스턴트 클론 데스크톱 또는 RDSH 서버의 자동화된 풀 또는 팜을 신속하게 생성할 수 있습니다. 이 기술은 골든 이미지 VM에서 수백 또는 수천 개의 이미지를 쉽게 업데이트하고 패치하여 스토리지 비용을 절감하고 데스크톱 관리를 간소화합니다. 자세한 내용은 Instant Clone Smart Provisioning 섹션을 참조하십시오.
- RDSH : 게시된 응용 프로그램 및 세션 기반 원격 데스크톱을 최종 사용자에게 제공하는 마이크로소프트 윈도우즈 서버입니다.
- Enrollment Server : 인증 방법에 관계없이 Workspace ONE Access™에서 시작하거나 Unified Access Gateway를 통해 사용자가 Horizon 리소스에 Single Sign-On할 수 있도록 보장하여 진정한 SSO 기능을 제공하는 서버입니다. 자세한 내용은 True SSO 섹션을 참조하십시오.
- Horizon Cloud Connector : Horizon Control Plane Services에서 호스팅되는 Horizon 구독 라이센스, 서비스 및 관리 기능과 함께 사용하려면 Horizon Cloud Connector가 필요합니다. Horizon Cloud Connector는 포드의 Connection Server와 Horizon Cloud Service를 연결하는 가상 장치입니다. https://customerconnect.vmware.com/에서 Horizon 라이센스를 구입하려면 활성 VMware Customer Connect 계정이 있어야 합니다.
- vSphere : vSphere 제품군은 VMware ESXi™ 및 VMware vCenter Server®를 포함하며 가상 인프라를 구축하고 관리할 수 있도록 설계되었습니다. vCenter 서버 시스템은 VDI에 필수적인 프로비저닝, 클로닝 및 VM 관리 기능과 같은 주요 관리 및 운영 기능을 제공합니다.
데이터 센터의 관점에서, 원하는 서비스를 제공하기 위해 작동하는 Horizon 환경을 구축하려면 여러 구성 요소와 서버를 구축해야 합니다.
Horizon 구축 환경에서 핵심 구성 요소 및 기능 외에도 다른 제품을 사용하여 전체 솔루션을 개선하고 최적화할 수 있습니다.
- Workspace ONE Access – 포함된 아이덴티티 프로바이더를 사용하거나 기존 아이덴티티 프로바이더와 통합하여 애플리케이션에 대한 액세스를 보호하고 단순화하는 엔터프라이즈 SSO(엔터프라이즈 SSO)를 제공합니다. 애플리케이션 프로비저닝, 셀프 서비스 카탈로그, 조건부 액세스 제어 및 SaaS, 웹, 클라우드 및 네이티브 모바일 애플리케이션을 위한 SSO를 제공합니다. 설계 및 구현에 대한 자세한 내용은 Workspace ONE Access Architecture를 참조하십시오.
- App Volumes Manager – 사용자, 그룹 및 대상 컴퓨터에 대한 애플리케이션 볼륨(패키지 및 쓰기 가능 볼륨) 할당을 관리하여 애플리케이션 제공을 조정합니다. 설계 및 구현에 대한 자세한 내용은 App Volumes Architecture를 참조하십시오.
- Dynamic Environment Manager – 운영 체제 및 응용프로그램에 대한 사용자 설정을 캡처하여 프로파일을 관리합니다. 설계 및 구현에 대한 자세한 내용은 Dynamic Environment Manager Architecture 아키텍처를 참조하십시오.
- VMware vSAN™ 스토리지 – 서버 연결 플래시 디바이스 또는 하드 디스크를 사용하여 플래시에 최적화된 고성능의 초고밀도 스토리지를 제공하여 복원력이 뛰어난 공유 데이터 저장소를 제공합니다.
- VMware NSX-T 데이터 센터 – 보안, 가상화 네트워킹, 라우팅 및 스위칭과 같은 네트워크 기반 서비스를 단일 플랫폼에서 제공합니다. 마이크로 세분화를 사용하면 개별 워크로드 그룹을 기반으로 애플리케이션 레벨 보안 정책을 설정할 수 있으며, 각 가상 데스크톱을 다른 모든 데스크톱과 격리하고 Horizon 관리 서버를 보호할 수 있습니다.
- 데이터베이스 서버 – Microsoft SQL Server 또는 PostgreSQL입니다. 서버는 Connection Server에서 사용하는 이벤트 데이터베이스를 호스트하는 데 사용됩니다.
참고: VMware NSX-T Data Center는 Horizon과 별도로 라이센스가 부여됩니다.
포드(pod)와 블록(Block)
Horizon 환경 설계의 핵심 개념 중 하나는 반복 가능하고 확장 가능한 접근 방식을 제공하는 포드와 블록을 사용하는 것입니다.
이 절에 제시된 숫자, 한계 및 권장 사항은 작성 당시 정확했습니다. Horizon 8의 최신 수치는 Horizon 2106 Configuration Limits을 참조하십시오. Horizon 7의 경우 VMware 기술 자료 문서 VMware Horizon 7 Sizing Limits and Recommendations (2150348)을 참조하십시오.
포드는 데스크톱 또는 게시된 애플리케이션에 대한 연결을 중개하는 상호 연결된 Connection Server 그룹으로 구성됩니다.
- 포드는 데스크톱 및 RDSH 세션을 포함하여 최대 20,000개 세션(12,000개 권장)을 브로커할 수 있습니다.
- Horizon Universal Broker 또는 loud Pod Architecture(CPA)를 사용하여 여러 포드를 상호 연결할 수 있습니다.
- 단일 Cloud 포드 아키텍처는 최대 25만 세션까지 확장할 수 있습니다. 그 이상의 숫자에 대해서는 별도의 CPA를 배치할 수 있습니다.
포드는 확장성을 제공하기 위해 여러 블록으로 나뉩니다. 각 블록은 하나 이상의 리소스 vSphere 클러스터로 구성되며 각 블록에는 자체 vCenter Server가 있습니다. 블록에서 호스팅할 수 있는 VM(가상 머신) 수는 일반적으로 사용되는 Horizon VM 유형에 따라 달라집니다. 자세한 내용은 vCenter Server를 참조하십시오.
리소스 용량을 추가하려면 리소스 블록을 추가하면 됩니다. 또한 추가 Connection Server를 추가하여 포드 내에서 더 많은 세션 연결을 위한 기능을 추가합니다.
VM 유형(인스턴트 클론, 풀 클론 및 애플리케이션 볼륨 사용 시)에 따라 리소스 블록에서 다양한 수의 VM을 호스팅할 수 있습니다(Scalability and Availability 참조). 일반적으로 12,000개의 세션을 호스팅할 수 있는 포드에 여러 개의 리소스 블록과 최대 7개의 Connection Server가 있습니다. 그 이상의 수량에 대해서는 추가 포드을 배포합니다.
보시다시피 이 접근 방식을 사용하면 수천 개의 세션이 가능한 단일 블록을 설계한 다음 반복하여 12,000개의 세션을 처리할 수 있는 포드를 만들 수 있습니다. 그런 다음 Universal Broker 또는 Cloud Pod Architecture를 사용하여 그룹화된 여러 포드를 사용하여 환경을 필요한 만큼 확장할 수 있습니다.
중요: 단일 포드와 이 포드의 연결 서버는 단일 데이터 센터 내에 위치해야 하며 여러 위치에 걸쳐 있을 수 없습니다.
Connection Server와 같은 관리 구성 요소의 위치와 관련된 옵션은 다음과 같습니다.
- 최종 사용자에게 서비스를 제공할 데스크톱 및 RDSH 서버와 동일한 vSphere 호스트에 배치됩니다.
- 별도의 vSphere 클러스터에 있습니다.
- 지정된 클라우드 플랫폼의 권장 사항에 따라 별도의 클라우드 컴퓨팅 리소스에서 작업할 수 있습니다.
대규모 환경에서는 확장성과 운영 효율성을 위해 관리 구성 요소를 호스팅할 별도의 vSphere 클러스터를 두는 것이 일반적으로 모범 사례입니다. 따라서 Connection 서버, Unified Access Gateway, vCenter 서버 및 데이터베이스와 같은 서비스를 실행하는 VM이 데스크톱 및 RDSH 서버 VM과 별도로 유지됩니다.
원하는 경우 관리 구성 요소를 최종 사용자 리소스와 동일한 vSphere 클러스터에서 공동 호스팅할 수 있습니다. 이 아키텍처는 소규모 환경이나 통합 하드웨어를 사용하고 관리를 위한 전용 호스트를 제공하는 비용이 너무 높은 환경에서 더 일반적입니다. 모든 항목을 동일한 vSphere 클러스터에 배치하는 경우 관리 구성 요소에 대한 리소스 우선 순위를 보장하도록 설정을 구성해야 합니다. 리소스 크기 조정(예: 가상 데스크톱)에도 관리 서버의 오버헤드가 고려되어야 합니다. 자세한 내용은 vSphere Resource Management를 참조하십시오.
| 결정 | 각각의 사이트에 포드가 형성되었습니다. 각 포드에는 하나 이상의 리소스 블럭이 포함되어 있습니다. |
| 타당한 이유 | 이를 통해 블록 및 포드 아키텍처의 설계와 배치를 검증하고 문서화할 수 있었습니다. |
Horizon Universal Broker
Horizon Universal Broker는 멀티 클라우드 할당에서 최종 사용자에게 가상 리소스를 관리하고 할당하는 데 사용되는 클라우드 기반 브로커링 기술입니다. 사용자는 Horizon Universal Broker 구성 설정에 정의된 FQDN(정규화된 도메인 이름)에 연결하여 환경의 멀티 클라우드 할당에 액세스할 수 있습니다. 사용자는 단일 Horizon Universal Broker FQDN을 통해 모든 사이트에서 참여 Horizon 포드의 할당에 액세스할 수 있습니다.
Universal Broker와 멀티 클라우드 할당은 함께 작동하여 최종 사용자에게 단일 리소스를 사용하는 것에 대한 인식을 제공하는 동시에 해당 리소스의 출처와 관련된 복잡성을 숨깁니다. 범용 브로커 및 다중 클라우드 할당은 모든 플랫폼 및 용량 유형에 대해 동일한 방식으로 작동하지 않습니다.
Universal Broker 및 Multi-Cloud 할당을 사용하는 구성 항목의 구성 옵션 및 결과에 대한 자세한 내용은 High-Level Steps for Setting Up Horizon Cloud Multi-Cloud Assignments (MCA) for Your Horizon Cloud Tenant와 Considerations for Assignments in a Universal Broker Environment When a Pod Goes Offline을 참조하십시오.
Horizon 포드를 연결하여 Universal Broker를 사용하려면 Horizon Cloud Connector 및 subscription licensing를 활용해야 합니다. Horizon Cloud Connector는 Horizon Service를 Horizon 포드와 통합할 수 있도록 지원하는 가상 시스템입니다.
- Horizon Service 및 해당 기능을 사용할 각 Horizon 8(및 Horizon 7) 포드에는 Horizon Cloud Connector가 필요합니다(Universal Broker 포함). 구독 라이센스를 사용할 때도 Horizon Cloud Connector가 필요합니다.
- Horizon Pods – Install the Universal Broker Plugin on the Connection Server의 설명에 따라 참여하는 각 포드의 모든 연결 서버에 범용 브로커 플러그인을 설치해야 합니다.
자세한 내용은 Onboarding a Horizon Pod to Horizon Cloud Control Plane를 참조하십시오.
Universal Broker 사용 시 제한 사항에 대한 최신 정보는 다음 문서를 참조하십시오.
Universal Broker를 사용하기 위한 필수 구성 요소 목록은 ystem Requirements for Universal Broker을 참조하십시오. 구성에 대한 자세한 내용은 Horizon 구성의 범용 브로커 구성 섹션을 참조하십시오.
Cloud Pod Architecture
Universal Broker 대신 여러 Horizon 포드를 배포하는 경우 Cloud Pod Architecture(CPA)를 사용할 수 있습니다. 이를 통해 여러 Horizon 포드를 하나의 페더레이션으로 결합한 다음 여러 포드의 사용 권한을 포함하는 GE(Global Entitlement)를 할당할 수 있습니다. 참여 포드는 동일한 물리적 사이트 또는 위치에 있거나 다른 사이트와 위치에 있을 수 있습니다.
이 기능을 사용하면 사용자 및 그룹에 이 연합 구조의 구성원인 여러 서로 다른 포드의 데스크톱 풀 또는 RDSH 퍼블리싱 애플리케이션을 포함할 수 있는 글로벌 사용 권한을 제공할 수 있습니다.
다음 그림은 기본적인 두 사이트 CPA 구현의 논리적 개요를 보여줍니다.
CPA 설정 및 구성 방법에 대한 전체 설명서는 Administering Cloud Pod Architecture in Horizon를 참조하십시오.
중요: 이러한 배포 유형은 확장(stretched) 배포가 아닙니다. 각 포드는 서로 다르며 모든 연결 서버는 특정 포드에 속하며 네트워크 관점에서 동일한 브로드캐스트 도메인에 있어야 합니다.
이 아키텍처는 글로벌 권한에 서로 다른 포드의 데스크톱 풀 멤버 또는 퍼블리싱된 애플리케이션을 포함할 수 있을 뿐만 아니라 scope라는 속성을 허용합니다. Scope를 사용하면 새 세션을 배치해야 하거나 배치할 수 있는 위치를 정의할 수 있으며, 페더레이션의 포드 멤버 중 하나에 연결할 때 사용자가 연결이 끊긴 상태의 기존 세션에 연결할 수도 있습니다.
CPA는 사이트 내에서 사용할 수도 있습니다.
- 여러 리소스 블록 및 풀에 걸쳐 있는 글로벌 사용 권한을 사용하려면 다음과 같이 하십시오.
- 단일 포드의 기능 이상으로 확장할 경우 동일한 사이트에서 여러 포드를 연합합니다.
| 결정 | 별도의 포드가 별도의 사이트에 배치되었습니다. 클라우드 포드 아키텍처는 포드를 연합하기 위해 사용되었습니다. |
| 타당한 이유 | 이를 통해 사이트 이중화를 제공하고 대체 위치에서 사용자에게 동일한 서비스를 제공할 수 있습니다. |
출처 : https://techzone.vmware.com/resource/horizon-architecture
