Microsoft Active Directory와의 통합 - Amazon AppStream 2.0 배포를 위한 모범 사례
서비스 옵션배포 시나리오Active Directory 서비스 사이트 토폴로지Active Directory 조직 단위Active Directory 컴퓨터 객체 정리

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Microsoft Active Directory와의 통합

Amazon AppStream 2.0 이미지 빌더 및 플릿은 Microsoft Active Directory와 통합될 수 있습니다. 이를 통해 사용자 인증 및 권한 부여를 위한 중앙 집중식 방법을 제공하고 도메인에 가입된 AppStream 2.0 인스턴스에 Active Directory 그룹 정책을 적용할 수 있습니다. 도메인에 연결된 AppStream 플릿을 사용하면 온프레미스 환경과 동일한 관리 이점을 얻을 수 있습니다. 여기에는 네트워크 파일 공유, 사용자-앱 사용 권한, 로밍 프로필, 프린터 액세스 및 기타 정책 기반 설정에 대한 중앙 집중식 관리가 포함됩니다.

AppStream 2.0 환경을 Active Directory와 통합할 때는 AppStream 2.0 스택에 대한 초기 인증이 여전히 SAML2.0 IdP에 의해 관리된다는 점에 유의해야 합니다. 사용자가 IdP에 성공적으로 인증된 후 세션을 시작할 때 Active Directory 도메인에 대한 도메인 암호 또는 스마트 카드 인증을 입력해야 합니다.

AppStream 2.0과 함께 사용할 Active Directory Domain Services(ADDS) 환경을 설계할 때는 두 가지 서비스 옵션과 다양한 배포 시나리오를 사용할 수 있습니다. 또한 Active Directory 사이트 토폴로지 소유자와 함께 AppStream 2.0 네트워킹을 검토해야 합니다.

서비스 옵션

Active Directory는 AWS Managed Microsoft Active Directory(AD)를 사용하여 배포할 수도 있습니다. AWS Managed Microsoft AD는 Microsoft Active Directory를 실행할 수 있는 완전 관리형 서비스입니다. Microsoft Active Directory는 EC2 또는 온프레미스에서 실행되는 자체 호스팅 환경에서도 사용할 수 있습니다.

배포 시나리오

나열된 다음 배포 시나리오는 Microsoft Managed AD 또는 고객의 자체 관리형 Active Directory를 사용하는 AppStream 2.0의 일반적으로 사용되고 권장되는 통합 옵션입니다. 아래 나열된 모든 아키텍처 다이어그램은 핵심 Amazon 구조를 사용합니다.

  • Amazon VPC(Virtual Private Cloud) — 4개 AZ에 분산된 최소 4개의 프라이빗 서브넷이 있는 AppStream 2.0 서비스 전용 Amazon VPC를 생성합니다. 프라이빗 서브넷 중 2개는 AppStream 플릿과 이미지 빌더에 사용됩니다. 나머지 두 서브넷은 EC2 또는 Microsoft Managed AD의 도메인 컨트롤러에 사용됩니다.

  • 동적 호스트 구성 프로토콜 (DHCP) 옵션 세트 — VPC에서 프로비저닝될 AppStream 2.0 플릿 및 이미지 빌더에 구성 정보를 전달하기 위한 표준을 제공합니다. DHCP 옵션 세트는 VPC 수준에서 정의됩니다. 이를 통해 고객은 프로비저닝 시 AppStream 2.0 인스턴스에서 사용할 지정된 도메인 이름과 DNS 설정을 정의할 수 있습니다.

  • AWS디렉터리 서비스 — Amazon Microsoft Managed AD를 AppStream 2.0 워크로드와 함께 사용할 두 개의 프라이빗 서브넷에 배포할 수 있습니다.

  • AppStream 2.0 플릿 — AppStream 2.0 플릿 또는 이미지 빌더는 AWS Managed VPC에서 호스팅됩니다. 각 AppStream 2.0 인스턴스에는 두 개의 탄력적 네트워크 인터페이스(ENI) 가 있습니다. 기본 인터페이스(eth0)는 관리 목적과 스트리밍 게이트웨이를 통한 최종 사용자 인스턴스 연결을 중개하는 데 사용됩니다. 보조 인터페이스(eth1)는 고객-VPC에 삽입되며 맞춤형 VPC 또는 온프레미스의 다른 리소스에 액세스하는 데 사용할 수 있습니다.

시나리오 1: 온프레미스에 배포된 ADDS(Active Directory Domain Services)

모든 인증 트래픽은 고객 VPC에서 고객 게이트웨이로 향하는 VPN 또는 Direct Connect 연결을 통과합니다. 이 시나리오의 장점은 고객 VPC에 추가 도메인 컨트롤러를 프로비저닝하지 않고도 이미 배포된 AD 환경을 사용할 수 있다는 점입니다. 단점은 AppStream 2.0 플릿에서 사용자를 인증하고 권한을 부여하는 데 VPN 또는 Direct Connect에만 의존한다는 점입니다. 네트워크 연결 문제가 있는 경우 AppStream 2.0 플릿 또는 이미지 빌더가 직접적인 영향을 받습니다. 경로가 서로 다른 이중 VPN 터널 또는 Direct Connect 연결을 제공하면 이러한 잠재적 위험을 줄일 수 있습니다.

시나리오 1: 온프레미스에 배포된 ADDS(Active Directory Domain Services)

시나리오 1: 온프레미스에 배포된 ADDS(Active Directory Domain Services)

시나리오 2: ADDS(Active Domain Services)를 AWS 고객 VPC로 확장

Active Directory는 고객 VPC까지 확장됩니다. 고객 VPC의 새 도메인 컨트롤러를 위한 Active Directory 사이트를 만들어야 합니다. 인증 트래픽은 VPN 또는 Direct Connect 연결을 통과하지 않고 AWS 고객 VPC의 도메인 컨트롤러로 라우팅됩니다.

Active Domain Services를 AWS 고객 가상 프라이빗 클라우드로 확장하는 것을 보여주는 다이어그램

시나리오 2 — Active Domain Services를 AWS 고객 가상 프라이빗 클라우드로 확장

시나리오 3: AWS Managed Microsoft Active Directory

AWS Managed Microsoft AD는 AWS 클라우드에 배포되며 AppStream 2.0 플릿 및 이미지 빌더의 ID 및 리소스 도메인으로 사용됩니다.

AWS Managed Active Directory 다이어그램

시나리오 3 — AWS Managed Active Directory

Active Directory 서비스 사이트 토폴로지

Active Directory 서비스 사이트 토폴로지는 물리적 네트워크를 논리적으로 표현한 것입니다.

사이트 토폴로지는 클라이언트 쿼리와 Active Directory 복제 트래픽을 효율적으로 라우팅하는 데 도움이 됩니다. 잘 설계되고 유지 관리되는 사이트 토폴로지는 조직에서 다음과 같은 이점을 얻는 데 도움이 됩니다.

  • 온프레미스와 AWS 클라우드 간에 동기화할 때 Active Directory 데이터를 복제하는 데 드는 비용을 최소화합니다.

  • 도메인 컨트롤러와 같은 가장 가까운 리소스를 찾을 수 있도록 클라이언트 컴퓨터의 기능을 최적화합니다. 이를 통해 느린 WAN(Wide Area Network) 링크를 통한 네트워크 트래픽을 줄이고 로그온 및 로그오프 프로세스를 개선하며 리소스 액세스 작업의 속도를 높일 수 있습니다.

AppStream 2.0 서비스를 도입할 때는 AppStream 2.0 인스턴스의 서브넷에 사용되는 주소 범위가 사용자 환경에 맞는 올바른 사이트에 할당되었는지 확인하십시오.

시나리오 1과 시나리오 2에서 사이트와 서비스는 로그온 시간과 Active Directory 리소스 액세스 시간 측면에서 최상의 사용자 경험을 위한 중요한 구성 요소입니다.

사이트 토폴로지는 동일한 사이트 내 및 사이트 경계 전반의 도메인 컨트롤러 간 Active Directory 복제를 제어합니다.

올바른 사이트 토폴로지를 정의하면 클라이언트 유사성이 보장되므로 클라이언트(이 경우 AppStream 2.0 스트리밍 인스턴스)가 선호하는 로컬 도메인 컨트롤러를 사용합니다.

Active Directory 사이트 및 서비스의 AD 다이어그램 — 클라이언트 유사성

Active Directory 사이트 및 서비스의 AD 다이어그램 — 클라이언트 유사성

작은 정보

가장 좋은 방법은 온프레미스 AD DS와 AWS 클라우드 간의 사이트 링크에 대한 높은 비용을 정의하는 것입니다. 위 그림은 사이트 독립적인 클라이언트 유사성을 보장하기 위해 사이트 링크에 할당해야 하는 비용(비용 100)의 예입니다.

사이트 토폴로지에 대한 자세한 내용은 사이트 토폴로지 설계를 참조하세요.

Active Directory 조직 단위

AWS는 구성된 OU(조직 단위)를 단일 AppStream 2.0 디렉터리 구성 객체에 저장할 것을 권장합니다. 각 AppStream 2.0 스택에는 자체 OU가 있는 것이 가장 좋습니다. 이를 통해 스택당 특정 GPO를 유연하게 보유할 수 있습니다. AppStream 2.0 전용 정책을 온프레미스 데스크톱과 혼용하지 않도록 OU를 AppStream 2.0 컴퓨터 개체 전용으로 사용해야 합니다. AppStream 2.0을 배포하는 각 AWS 리전마다 하위 OU를 사용하는 것을 고려해 보십시오.

Active Directory 컴퓨터 객체 정리

AppStream 2.0 인스턴스는 휘발성입니다. 플릿이 스케일 아웃 및 스케일 인할 때 플릿은 Active Directory 컴퓨터 객체를 만들고 재사용합니다.

AWS는 AppStream 플릿이 제거된 후에도 존재할 수 있는 오래된 Active Directory 컴퓨터 객체를 삭제하기 위한 AD 정리 프로세스를 만들 것을 권장합니다.