Amazon을 위한 지역 간 리디렉션 WorkSpaces

WorkSpacesAmazon의 지역 간 리디렉션 기능을 사용하면 FQDN (정규화된 도메인 이름) 을 등록 코드로 사용할 수 있습니다. WorkSpaces 지역 간 리디렉션은 DNS (Domain Name System) 라우팅 정책과 함께 작동하여 주 서버를 사용할 수 없는 경우 WorkSpaces 사용자를 다른 대안으로 WorkSpaces 리디렉션합니다. WorkSpaces 예를 들어 DNS 장애 조치 라우팅 정책을 사용하면 사용자가 기본 WorkSpaces 지역의 사용자에게 액세스할 수 없을 때 지정된 장애 조치 AWS 지역에 사용자를 연결할 수 있습니다. WorkSpaces

DNS 장애 조치 라우팅 정책과 함께 리전 간 리디렉션을 사용하여 리전의 복원력과 고가용성을 달성할 수 있습니다. 또한 이 기능을 트래픽 분산 또는 유지 관리 WorkSpaces 기간 동안의 대체 제공과 같은 다른 용도로도 사용할 수 있습니다. DNS 구성에 Amazon Route 53을 사용하는 경우 Amazon CloudWatch 경보를 모니터링하는 상태 확인을 활용할 수 있습니다.

이 기능을 사용하려면 2개 (또는 그 이상) AWS 지역의 사용자를 WorkSpaces 위해 설정해야 합니다. 연결 별칭이라는 FQDN 기반 특수 등록 코드도 만들어야 합니다. 이러한 연결 별칭은 사용자의 지역별 등록 코드를 대체합니다. WorkSpaces (리전별 등록 코드는 계속 유효하지만, 리전 간 리디렉션이 작동하려면 사용자가 FQDN을 등록 코드로 대신 사용해야 합니다.)

연결 별칭을 만들려면 FQDN인 연결 문자열(예: www.example.com 또는 desktop.example.com)을 지정합니다. 리전 간 리디렉션에 이 도메인을 사용하려면 도메인 등록 대행자에 도메인을 등록하고 도메인에 대한 DNS 서비스를 구성해야 합니다.

연결 별칭을 만든 후에는 이를 다른 지역의 WorkSpaces 디렉터리와 연결하여 연결 쌍을 만듭니다. 각 연결 쌍에는 기본 리전과 하나 이상의 장애 조치 리전이 있습니다. 기본 지역에서 중단이 발생하는 경우 DNS 장애 조치 라우팅 정책은 WorkSpaces 사용자를 장애 조치 지역에서 설정한 WorkSpaces 것으로 리디렉션합니다.

기본 리전과 장애 조치 리전을 지정하려면 DNS 장애 조치 라우팅 정책을 구성할 때 리전 우선순위(기본 또는 보조)를 정의하세요.

사전 조건

• 연결 별칭에서 FQDN으로 사용할 도메인을 소유하고 등록해야 합니다. 다른 도메인 등록 대행자를 아직 사용하고 있지 않은 경우 Amazon Route 53를 사용하여 도메인을 등록할 수 있습니다. 자세한 내용은 Amazon Route 53 개발자 안내서의 Registering domain names using Amazon Route 53를 참조하세요.

  중요

  Amazon과 함께 사용하는 도메인 이름을 사용하려면 필요한 모든 권한이 있어야 WorkSpaces 합니다. 도메인 이름이 제3자의 법적 권리를 위반하거나 침해하거나 관련 법률을 위반하지 않는다는 데 동의하는 것으로 간주합니다.

  도메인 이름의 총 길이는 255자를 초과할 수 없습니다. 도메인 이름에 대한 자세한 내용은 Amazon Route 53 개발자 안내서의 DNS 도메인 이름 형식을 참조하세요.

  리전 간 리디렉션은 퍼블릭 도메인 이름과 프라이빗 DNS 영역의 도메인 이름 모두에서 작동합니다. 프라이빗 DNS 영역을 사용하는 경우, 해당 영역을 포함하는 가상 사설 클라우드 (VPC) 에 대한 VPN (가상 사설망) 연결을 제공해야 합니다. WorkSpaces WorkSpaces 사용자가 퍼블릭 인터넷에서 프라이빗 FQDN을 사용하려고 하면 WorkSpaces 클라이언트 애플리케이션이 다음 오류 메시지를 반환합니다.

  "We're unable to register the WorkSpace because of a DNS server issue. Contact your administrator for help."

• DNS 서비스를 설정하고 필요한 DNS 라우팅 정책을 구성해야 합니다. 지역 간 리디렉션은 DNS 라우팅 정책과 함께 작동하여 필요에 따라 사용자를 리디렉션합니다. WorkSpaces

• 지역 간 리디렉션을 설정하려는 각 기본 및 장애 조치 지역에서 사용자를 위한 리디렉션을 생성하십시오. WorkSpaces 각 지역의 각 WorkSpaces 디렉터리에서 동일한 사용자 이름을 사용해야 합니다. Active Directory 사용자 데이터를 동기화된 상태로 유지하려면 AD Connector를 사용하여 WorkSpaces 사용자에 대해 설정한 각 지역의 동일한 Active Directory를 가리키는 것이 좋습니다. 만들기에 대한 자세한 WorkSpaces 내용은 실행을 참조하십시오 WorkSpaces.

  중요

  다중 지역 복제를 위해 AWS 관리형 Microsoft AD 디렉터리를 구성하는 경우 기본 지역의 디렉터리만 WorkSpaces Amazon에서 사용하도록 등록할 수 있습니다. Amazon에서 사용하기 위해 복제된 리전에 디렉터리를 등록하려는 WorkSpaces 시도는 실패합니다. AWS관리형 Microsoft AD를 사용한 다중 지역 복제는 복제된 지역 WorkSpaces 내에서 Amazon에서 사용할 수 없습니다.

  지역 간 리디렉션 설정을 완료했으면 WorkSpaces 사용자가 기본 지역의 지역 기반 등록 코드 (예:) 대신 FQDN 기반 등록 코드를 사용하고 있는지 확인해야 합니다. WSpdx+ABC12D 이렇게 하려면 5단계: 사용자에게 연결 문자열 전송 WorkSpaces 의 절차를 사용하여 FQDN 연결 문자열이 포함된 이메일을 보내야 합니다.

  참고

  Active Directory에서 사용자를 생성하는 대신 WorkSpaces 콘솔에서 사용자를 생성하는 경우 새 사용자를 시작할 때마다 지역 기반 등록 코드가 포함된 초대 이메일이 사용자에게 WorkSpaces 자동으로 전송됩니다. WorkSpace 즉, 장애 조치 지역의 사용자를 설정하면 WorkSpaces 사용자도 이러한 장애 조치에 대한 이메일을 자동으로 받게 됩니다. WorkSpaces 리전 기반 등록 코드가 포함된 이메일은 무시하도록 사용자에게 지시해야 합니다.

제한 사항

• 지역 간 리디렉션은 기본 지역으로의 연결에 장애가 발생했는지 여부를 자동으로 확인한 다음 다른 지역으로 WorkSpaces 페일오버하지 않습니다. 즉, 자동 장애 조치가 발생하지 않습니다.

  자동 장애 조치 시나리오를 구현하려면 리전 간 리디렉션과 함께 다른 메커니즘을 사용해야 합니다. 예를 들어, 기본 지역의 CloudWatch 경보를 모니터링하는 Route 53 상태 확인과 함께 Amazon Route 53 장애 조치 DNS 라우팅 정책을 사용할 수 있습니다. 기본 지역의 CloudWatch 경보가 트리거되면 DNS 장애 조치 라우팅 정책이 WorkSpaces 사용자를 장애 조치 지역에서 설정한 WorkSpaces 것으로 리디렉션합니다.

• 지역 간 리디렉션을 사용하는 경우 사용자 데이터는 서로 다른 지역 간에 유지되지 않습니다. WorkSpaces 사용자가 다른 지역에서 파일에 액세스할 수 있도록 하려면 기본 및 장애 조치 지역에서 Amazon을 지원하는 경우 WorkDocs WorkSpaces 사용자용 WorkDocs Amazon을 설정하는 것이 좋습니다. Amazon에 대한 자세한 내용은 Amazon WorkDocs WorkDocs 관리 안내서의 Amazon WorkDocs Drive를 참조하십시오. WorkSpace 사용자가 Amazon을 사용하도록 설정하는 방법에 WorkDocs 대한 자세한 내용은 WorkSpaces에 디렉터리 등록 및 을 참조하십시오AWS Managed Microsoft AD에 Amazon WorkDocs 활성화. WorkSpaces 사용자가 Amazon을 설정하는 방법에 대한 자세한 내용은 Amazon WorkDocs 사용 설명서의 통합 WorkSpaces 대상을 참조하십시오. WorkSpaces WorkDocs

• 지역 간 리디렉션은 Linux, macOS 및 Windows 클라이언트 애플리케이션의 버전 3.0.9 이상에서만 지원됩니다. WorkSpaces Web Access에서도 리전 간 리디렉션을 사용할 수 있습니다.

• 지역 간 리디렉션은 AWS GovCloud (US) Region s 및 중국 (닝샤) AWS지역을 제외하고 WorkSpaces Amazon을 사용할 수 있는 모든 지역에서 사용할 수 있습니다.

1단계: 연결 별칭 생성

동일한 AWS 계정을 사용하여 리전 간 리디렉션을 설정할 각 기본 리전과 장애 조치 리전에서 연결 별칭을 만듭니다.

연결 별칭을 생성하는 방법

1. https://console.aws.amazon.com/workspaces/ 에서 콘솔을 엽니다. WorkSpaces

2. 콘솔 오른쪽 상단에서 해당 기본 AWS 지역을 선택합니다. WorkSpaces

3. 탐색 창에서 Account Settings(계정 설정)를 선택합니다.

4. 리전 간 리디렉션에서 연결 별칭 생성을 선택합니다.

5. 연결 문자열에 FQDN을 입력합니다(예: www.example.com 또는 desktop.example.com). 연결 문자열은 최대 255자입니다. 여기에는 문자(A~Z 및 a~z), 숫자(0~9) 및 .- 기호만 사용할 수 있습니다.

   중요

   연결 문자열을 만들고 나면 연결 문자열이 항상 AWS 계정과 연결됩니다. 원래 계정에서 연결 문자열의 모든 인스턴스를 삭제한 경우에도 다른 계정으로 같은 연결 문자열을 다시 만들 수 없습니다. 연결 문자열은 전역적으로 계정에 예약되어 있습니다.

6. (선택 사항) 태그에서 연결 별칭과 연결할 태그를 지정합니다.

7. 연결 별칭 생성을 선택합니다.

8. 이 단계를 반복하되단계 2, 에서는 해당 지역의 페일오버 지역을 선택해야 합니다. WorkSpaces 장애 조치 리전이 여러 개 있을 경우 각 장애 조치 리전에 대해 이 절차를 반복합니다. 동일한 AWS 계정을 사용하여 각 장애 조치 리전에서 연결 별칭을 만들어야 합니다.

(선택 사항) 2단계: 다른 계정과 연결 별칭 공유

연결 별칭을 동일한 AWS 리전의 다른 AWS 계정과 공유할 수 있습니다. 연결 별칭을 다른 계정과 공유하면 해당 계정에 해당 별칭을 동일한 리전에서 해당 계정이 소유한 디렉터리에만 연결하거나 연결을 해제할 수 있는 권한이 부여됩니다. 연결 별칭을 소유한 계정만 별칭을 삭제할 수 있습니다.

참고

연결 별칭은 AWS 리전당 하나의 디렉터리에만 연결할 수 있습니다. 연결 별칭을 다른 AWS 계정과 공유하는 경우 한 계정(사용자 계정 또는 공유 계정)만 별칭을 해당 리전의 디렉터리와 연결할 수 있습니다.

다른 AWS 계정과 연결 별칭을 공유하는 방법

1. https://console.aws.amazon.com/workspaces/ 에서 WorkSpaces 콘솔을 엽니다.

2. 콘솔의 오른쪽 상단 모서리에서 연결 별칭을 다른 AWS 계정과 공유하려는 AWS 리전을 선택합니다.

3. 탐색 창에서 Account Settings(계정 설정)를 선택합니다.

4. 리전 간 리디렉션 연결에서 연결 문자열을 선택한 다음 작업, 연결 별칭 공유/공유 해제를 선택합니다.

   연결 별칭의 세부 정보 페이지에서 별칭을 공유할 수도 있습니다. 이렇게 하려면 공유 계정에서 연결 별칭 공유를 선택합니다.

5. 연결 별칭 공유/공유 해제 페이지의 계정과 공유에 이 AWS 리전에서 연결 별칭을 공유할 AWS 계정 ID를 입력합니다.

6. 공유를 선택합니다.

3단계: 연결 별칭을 각 리전의 디렉터리에 연결

둘 이상의 지역에 있는 WorkSpaces 디렉터리에 동일한 연결 별칭을 연결하면 디렉터리 간에 연결 쌍이 생성됩니다. 각 연결 쌍에는 기본 리전과 하나 이상의 장애 조치 리전이 있습니다.

예를 들어 주 지역이 미국 서부 (오레곤) 지역인 경우 미국 서부 (오레곤) 지역의 WorkSpaces 디렉터리를 미국 동부 (버지니아 북부) 지역의 WorkSpaces 디렉터리와 페어링할 수 있습니다. 기본 지역에서 중단이 발생하는 경우, 지역 간 리디렉션은 DNS 장애 조치 라우팅 정책 및 미국 서부 (오레곤) 지역에 적용한 상태 확인과 함께 작동하여 사용자를 미국 동부 (버지니아 북부) 지역에서 WorkSpaces 설정한 것으로 리디렉션합니다. 리전 간 리디렉션 경험에 대한 자세한 내용은 리전 간 리디렉션 중에 발생하는 상황 섹션을 참조하세요.

참고

WorkSpaces 사용자가 페일오버 지역으로부터 상당한 거리 (예: 수천 마일 거리) 에 있는 경우 사용자의 WorkSpaces 경험이 평소보다 응답성이 떨어질 수 있습니다. 현재 위치에서 다양한 AWS 지역으로의 왕복 시간 (RTT) 을 확인하려면 Amazon Connection WorkSpaces 건강 점검을 사용하십시오.

연결 별칭을 디렉터리와 연결하는 방법

연결 별칭을 AWS 리전당 하나의 디렉터리에만 연결할 수 있습니다. 연결 별칭을 다른 AWS 계정과 공유한 경우 한 계정(사용자 계정 또는 공유 계정)만 별칭을 해당 리전의 디렉터리와 연결할 수 있습니다.

1. https://console.aws.amazon.com/workspaces/ 에서 WorkSpaces 콘솔을 엽니다.

2. 콘솔 오른쪽 상단에서 해당 기본 AWS 지역을 선택합니다. WorkSpaces

3. 탐색 창에서 Account Settings(계정 설정)를 선택합니다.

4. 리전 간 리디렉션 연결에서 연결 문자열을 선택한 다음 작업, 연결/연결 해제를 선택합니다.

   연결 별칭의 세부 정보 페이지에서 디렉터리에 연결 별칭을 연결할 수도 있습니다. 이렇게 하려면 연결된 디렉터리에서 디렉터리 연결을 선택합니다.

5. 연결/연결 해제 페이지의 디렉터리에 연결에서 이 AWS 리전의 연결 별칭을 연결할 디렉터리를 선택합니다.

   참고

   다중 지역 복제를 위해 AWS 관리형 Microsoft AD 디렉터리를 구성하는 경우 기본 지역의 디렉터리만 WorkSpaces Amazon에서 사용할 수 있습니다. Amazon에서 복제된 지역의 디렉터리를 사용하려는 WorkSpaces 시도는 실패합니다. AWS관리형 Microsoft AD를 사용한 다중 지역 복제는 복제된 지역 WorkSpaces 내에서 Amazon에서 사용할 수 없습니다.

6. Associate(연결)를 선택합니다.

7. 이 단계를 반복하되단계 2, 에서는 해당 장애 조치 지역을 선택해야 합니다. WorkSpaces 장애 조치 리전이 여러 개 있을 경우 각 장애 조치 리전에 대해 이 절차를 반복합니다. 각 장애 조치 리전의 디렉터리에 동일한 연결 별칭을 연결해야 합니다.

4단계: DNS 서비스 구성 및 DNS 라우팅 정책 설정

연결 별칭과 연결 별칭 연결 쌍을 만든 후에는 연결 문자열에 사용한 도메인의 DNS 서비스를 구성할 수 있습니다. 이 용도로는 모든 DNS 서비스 제공업체를 사용할 수 있습니다. 선호하는 DNS 서비스 제공업체가 아직 없는 경우 Amazon Route 53를 사용할 수 있습니다. 자세한 내용은 Amazon Route 53 개발자 안내서의 Amazon Route 53를 DNS 서비스로 구성을 참조하세요.

도메인에 대한 DNS 서비스를 구성한 후에는 리전 간 리디렉션에 사용할 DNS 라우팅 정책을 설정해야 합니다. 예를 들어 Amazon Route 53 상태 확인을 사용하여 사용자가 특정 지역의 해당 사용자에게 연결할 수 있는지 여부를 결정할 수 있습니다. WorkSpaces 사용자가 연결할 수 없는 경우 DNS 장애 조치 정책을 사용하여 한 리전에서 다른 리전으로 DNS 트래픽을 라우팅할 수 있습니다.

DNS 라우팅 정책을 선택하는 방법에 대한 자세한 내용은 Amazon Route 53 개발자 안내서의 라우팅 정책 선택을 참조하세요. Amazon Route 53 상태 확인에 대한 자세한 내용은 Amazon Route 53 개발자 안내서에서 Amazon Route 53가 리소스의 상태를 확인하는 방법을 참조하세요.

DNS 라우팅 정책을 설정할 때는 연결 별칭과 기본 지역의 WorkSpaces 디렉터리 간의 연결을 위한 연결 식별자가 필요합니다. 또한 장애 조치 지역 또는 지역의 연결 별칭과 WorkSpaces 디렉터리 간의 연결을 위한 연결 식별자도 필요합니다.

참고

연결 식별자는 연결 별칭 ID와 동일하지 않습니다. 연결 별칭 ID는 wsca-로 시작합니다.

연결 별칭 연결을 위해 연결 식별자를 찾는 방법

1. https://console.aws.amazon.com/workspaces/ 에서 WorkSpaces 콘솔을 엽니다.

2. 콘솔 오른쪽 상단에서 해당 기본 AWS 지역을 선택합니다. WorkSpaces

3. 탐색 창에서 Account Settings(계정 설정)를 선택합니다.

4. 리전 간 리디렉션 연결에서 연결 문자열 텍스트(FQDN)를 선택하여 연결 별칭 세부 정보 페이지를 확인합니다.

5. 연결 별칭 세부 정보 페이지의 연결된 디렉터리에서 연결 식별자에 표시된 값을 기록해 둡니다.

6. 이 단계를 반복하되단계 2, 에서는 해당 지역의 페일오버 지역을 선택해야 합니다. WorkSpaces 장애 조치 리전이 여러 개 있을 경우 각 장애 조치 리전에 대해 이 절차를 반복하여 연결 식별자를 찾습니다.

예: Route 53를 사용하여 DNS 장애 조치 라우팅 정책을 설정하는 방업

다음 예에서는 도메인의 퍼블릭 호스팅 영역을 설정합니다. 하지만 퍼블릭 또는 프라이빗 호스팅 영역을 설정할 수 있습니다. 호스팅 영역 설정에 대한 자세한 내용은 Amazon Route 53 개발자 안내서의 호스팅 영역 작업을 참조하세요.

또한 이 예에서는 장애 조치 라우팅 정책을 사용합니다. 리전 간 리디렉션 전략에 다른 라우팅 정책 유형을 사용할 수 있습니다. DNS 라우팅 정책을 선택하는 방법에 대한 자세한 내용은 Amazon Route 53 개발자 안내서의 라우팅 정책 선택을 참조하세요.

Route 53에서 장애 조치 라우팅 정책을 설정하는 경우 기본 리전에 상태 확인 필수입니다. Route 53에서 상태 확인을 생성하는 방법에 대한 자세한 내용은 Amazon Route 53 개발자 안내서의 Amazon Route 53 상태 확인 생성 및 DNS 장애 조치 구성 및 상태 확인의 생성, 업데이트 및 삭제를 참조하세요.

Route 53 상태 확인과 함께 Amazon CloudWatch CloudWatch 경보를 사용하려면 기본 지역의 리소스를 모니터링하는 경보도 설정해야 합니다. 에 대한 CloudWatch 자세한 내용은 Amazon이란 무엇입니까 CloudWatch? 를 참조하십시오. Amazon CloudWatch 사용 설명서에서 확인할 수 있습니다. Route 53이 상태 확인에서 CloudWatch 경보를 사용하는 방법에 대한 자세한 내용은 Amazon Route 53 개발자 안내서의 Route 53이 경보를 모니터링하는 상태 확인의 상태를 확인하는 방법 및 CloudWatch CloudWatch 경보 모니터링을 참조하십시오.

Route 53에서 DNS 장애 조치 라우팅 정책을 설정하려면 먼저 도메인에 호스팅 영역을 생성해야 합니다.

1. https://console.aws.amazon.com/route53/에서 Route 53 콘솔을 엽니다.

2. 탐색 창에서 호스팅 영역을 선택한 후 호스팅 영역 생성을 선택합니다.

3. 생성된 호스팅 영역 페이지에서 도메인 이름 아래에 도메인 이름(예: example.com)을 입력합니다.

4. 유형에서 퍼블릭 호스팅 영역을 선택합니다.

5. 호스팅 영역 생성(Create hosted zone)을 선택합니다.

그런 다음 기본 리전에 대한 상태 확인을 생성합니다.

1. https://console.aws.amazon.com/route53/에서 Route 53 콘솔을 엽니다.

2. 탐색 창에서 상태 확인을 선택한 다음 상태 확인 생성을 선택합니다.

3. 상태 확인 구성 페이지에서 상태 확인의 이름을 입력합니다.

4. 모니터링 대상에서 엔드포인트, 기타 상태 확인 상태 (계산된 상태 확인) 또는 경보 상태를 CloudWatch 선택합니다.

5. 이전 단계에서 선택한 항목에 따라 상태 확인을 구성하고 다음을 선택합니다.

6. 상태 확인 실패 시 알림 메시지 받음 페이지의 경보 생성에서 예 또는 아니요를 선택합니다.

7. 상태 확인 생성을 선택합니다.

상태 확인을 생성한 후 DNS 장애 조치 레코드를 생성할 수 있습니다.

1. https://console.aws.amazon.com/route53/에서 Route 53 콘솔을 엽니다.

2. 탐색 창에서 호스팅 영역(Hosted zones)을 선택합니다.

3. 호스팅 영역 페이지에서 도메인 이름을 선택합니다.

4. 도메인 이름의 세부 정보 페이지에서 레코드 생성을 선택합니다.

5. 라우팅 정책 선택 페이지에서 장애 조치를 선택하고 다음을 선택합니다.

6. 레코드 구성 페이지의 기본 구성에서 레코드 이름에 하위 도메인 이름을 입력합니다. 예를 들어, FQDN이 desktop.example.com인 경우 desktop을 입력합니다.

   참고

   루트 도메인을 사용하려면 레코드 이름을 비워 두세요. 하지만 도메인을 본인에게만 사용하도록 설정한 경우가 아니라면 desktop 또는 workspaces 같은 하위 도메인을 사용하는 것이 좋습니다. WorkSpaces

7. 레코드 유형에서 TXT - 이메일 발신자 확인 및 애플리케이션별 값에 사용됨을 선택합니다.

8. TTL 초 설정을 기본값으로 둡니다.

9. your_domain_name에 추가할 장애 조치 레코드에서 장애 조치 레코드 정의를 선택합니다.

이제 기본 및 장애 조치 리전에 대한 장애 조치 레코드를 설정해야 합니다.

예: 기본 리전의 장애 조치 레코드를 설정하는 방법

1. 장애 조치 레코드 정의 대화 상자의 값/트래픽 라우팅 대상에서 레코드 유형에 따라 IP 주소 또는 다른 값을 선택합니다.

2. 샘플 텍스트를 입력할 수 있는 상자가 열립니다. 기본 리전의 연결 별칭 연결을 위한 연결 식별자를 입력합니다.

3. 장애 조치 레코드 유형에서 기본을 선택합니다.

4. 상태 확인에서 기본 리전에 대해 생성한 상태 확인을 선택합니다.

5. 레코드 ID에 이 레코드를 식별할 수 있는 설명을 입력합니다.

6. 장애 조치 레코드 정의를 선택합니다. 새 장애 조치 레코드가 your_domain_name에 추가할 장애 조치 레코드에 나타납니다.

예: 장애 조치 리전의 장애 조치 레코드를 설정하는 방법

1. your_domain_name에 추가할 장애 조치 레코드에서 장애 조치 레코드 정의를 선택합니다.

2. 장애 조치 레코드 정의 대화 상자의 값/트래픽 라우팅 대상에서 레코드 유형에 따라 IP 주소 또는 다른 값을 선택합니다.

3. 샘플 텍스트를 입력할 수 있는 상자가 열립니다. 장애 조치 리전의 연결 별칭 연결을 위한 연결 식별자를 입력합니다.

4. 장애 조치 레코드 유형에서 보조를 선택합니다.

5. (선택 사항) 상태 확인에 장애 조치 리전에 대해 생성한 상태 확인을 입력합니다.

6. 레코드 ID에 이 레코드를 식별할 수 있는 설명을 입력합니다.

7. 장애 조치 레코드 정의를 선택합니다. 새 장애 조치 레코드가 your_domain_name에 추가할 장애 조치 레코드에 나타납니다.

기본 지역에 설정한 상태 점검이 실패하는 경우 DNS 장애 조치 라우팅 정책이 WorkSpaces 사용자를 장애 조치 지역으로 리디렉션합니다. Route 53은 기본 지역의 상태 점검을 계속 모니터링하며, 기본 지역의 상태 확인이 더 이상 실패하지 않으면 Route 53은 자동으로 WorkSpaces 사용자를 기본 WorkSpaces 지역의 해당 지역으로 다시 리디렉션합니다.

DNS 레코드 생성에 대한 자세한 내용은 Amazon Route 53 개발자 가이드에서 Amazon Route 53 콘솔을 사용하여 레코드 생성을 참조하세요. DNS TXT 레코드 구성에 대한 자세한 정보는 Amazon Route 53 개발자 안내서의 TXT 레코드 유형을 참조하세요.

5단계: 사용자에게 연결 문자열 전송 WorkSpaces

운영 중단 시 필요에 따라 사용자가 WorkSpaces 리디렉션되도록 하려면 사용자에게 연결 문자열 (FQDN) 을 보내야 합니다. 사용자에게 지역 기반 등록 코드 (예:WSpdx+ABC12D) 를 이미 발급한 경우 해당 WorkSpaces 코드는 유효합니다. 하지만 지역 간 리디렉션이 제대로 작동하려면 WorkSpaces 사용자가 클라이언트 애플리케이션에 등록할 때 연결 문자열을 등록 코드로 사용해야 합니다 WorkSpaces . WorkSpaces

중요

Active Directory에서 사용자를 생성하는 대신 WorkSpaces 콘솔에서 사용자를 생성하는 경우 새 사용자를 시작할 때마다 지역 기반 등록 코드 (예:WSpdx+ABC12D) 가 포함된 초대 이메일이 WorkSpaces 자동으로 사용자에게 전송됩니다. WorkSpace 지역 간 리디렉션을 이미 설정한 경우에도 새 리디렉션을 위해 자동으로 전송되는 초대 이메일에는 연결 문자열 대신 이 지역 기반 등록 코드가 WorkSpaces 포함됩니다.

WorkSpaces 사용자가 지역 기반 등록 코드 대신 연결 문자열을 사용하도록 하려면 아래 절차를 사용하여 연결 문자열이 포함된 다른 이메일을 보내야 합니다.

사용자에게 연결 문자열을 보내려면 WorkSpaces

1. https://console.aws.amazon.com/workspaces/ 에서 WorkSpaces 콘솔을 엽니다.

2. 콘솔 오른쪽 상단에서 해당 기본 AWS 지역을 선택합니다. WorkSpaces

3. 탐색 창에서 WorkSpaces를 선택합니다.

4. WorkSpaces페이지에서 검색 상자를 사용하여 초대를 보내려는 사용자를 검색한 다음 검색 WorkSpace 결과에서 해당하는 사용자를 선택합니다. 한 WorkSpace 번에 하나만 선택할 수 있습니다.

5. Actions(작업), Invite User(사용자 초대)를 선택합니다.

6. 사용자를 해당 사용자에게 초대 WorkSpaces 페이지에 사용자에게 보낼 이메일 템플릿이 표시됩니다.

7. (선택 사항) WorkSpaces 디렉터리와 연결된 연결 별칭이 두 개 이상 있는 경우 연결 별칭 문자열 목록에서 사용자가 사용할 연결 문자열을 선택합니다. 이메일 템플릿이 업데이트되어 선택한 문자열이 표시됩니다.

8. 이메일 템플릿 텍스트를 복사한 후 이메일 애플리케이션을 사용하여 사용자에게 보내는 이메일에 붙여 넣습니다. 이메일 애플리케이션에서 필요에 따라 텍스트를 수정할 수 있습니다. 초대 이메일이 준비되면 사용자에게 발송합니다.

지역 간 리디렉션 아키텍처 다이어그램

다음 다이어그램은 지역 간 리디렉션의 배포 프로세스를 설명합니다.

참고

지역 간 리디렉션은 지역 간 장애 조치 및 폴백만 용이하게 합니다. 보조 WorkSpaces 지역에서의 생성 및 유지 관리를 용이하게 하지 않으며 지역 간 데이터 복제도 허용하지 않습니다. WorkSpaces 주 리전과 보조 리전 모두 별도로 관리해야 합니다.

지역 간 리디렉션 시작

중단이 발생하는 경우 DNS 레코드를 수동으로 업데이트하거나 장애 조치 지역을 결정하는 상태 점검에 기반한 자동 라우팅 정책을 사용할 수 있습니다. Amazon Route 53을 사용한 재해 복구 메커니즘 생성에 설명된 재해 복구 메커니즘을 따르는 것이 좋습니다.

리전 간 리디렉션 중에 발생하는 상황

지역 장애 조치 중에는 기본 지역의 WorkSpaces 사용자와 연결이 WorkSpaces 끊깁니다. 재연결을 시도하면 다음 오류 메시지가 표시됩니다.

We can't connect to your WorkSpace. Check your network connection, and then try again.

그런 다음 사용자에게 다시 로그인하라는 메시지가 표시됩니다. FQDN을 등록 코드로 사용하는 경우, 사용자가 다시 로그인하면 DNS 장애 조치 라우팅 정책이 장애 조치 지역에서 설정한 사용자로 리디렉션합니다. WorkSpaces

참고

경우에 따라 사용자가 다시 로그인할 때 다시 연결하지 못할 수도 있습니다. 이 동작이 발생하면 WorkSpaces 클라이언트 애플리케이션을 닫고 다시 시작한 다음 다시 로그인을 시도해야 합니다.

디렉터리에서 연결 별칭 연결 해제

디렉터리를 소유한 계정만 디렉터리에서 연결 별칭의 연결을 해제할 수 있습니다.

연결 별칭을 다른 계정과 공유하고 해당 계정이 자체적으로 소유한 디렉터리와 연결 별칭을 연결한 경우 해당 계정을 사용하여 디렉터리에서 연결 별칭의 연결을 해제해야 합니다.

디렉터리에서 연결 별칭 연결을 해제하는 방법

1. https://console.aws.amazon.com/workspaces/ 에서 WorkSpaces 콘솔을 엽니다.

2. 콘솔의 오른쪽 상단 모서리에서 연결을 해제하려는 연결 별칭을 포함하는 AWS 리전을 선택합니다.

3. 탐색 창에서 Account Settings(계정 설정)를 선택합니다.

4. 리전 간 리디렉션 연결에서 연결 문자열을 선택한 다음 작업, 연결/연결 해제를 선택합니다.

   연결 별칭 세부 정보 페이지에서도 연결 별칭의 연결을 해제할 수 있습니다. 이렇게 하려면 연결된 디렉터리에서 연결 해제를 선택합니다.

5. 연결/연결 해제 페이지에서 연결 해제를 선택합니다.

6. 연결 해제를 확인하라는 메시지가 표시된 대화 상자에서 연결 해제를 선택합니다.

연결 별칭 공유 해제

연결 별칭 소유자만 별칭 공유를 해제할 수 있습니다. 계정과 연결 별칭의 공유를 해제하면 해당 계정은 더 이상 연결 별칭을 디렉터리에 연결할 수 없습니다.

연결 별칭 공유를 해제하는 방법

1. https://console.aws.amazon.com/workspaces/ 에서 WorkSpaces 콘솔을 엽니다.

2. 콘솔의 오른쪽 상단 모서리에서 공유를 해제하려는 연결 별칭을 포함하는 AWS 리전을 선택합니다.

3. 탐색 창에서 Account Settings(계정 설정)를 선택합니다.

4. 리전 간 리디렉션 연결에서 연결 문자열을 선택한 다음 작업, 연결 별칭 공유/공유 해제를 선택합니다.

   연결 별칭 세부 정보 페이지에서도 연결 별칭의 공유를 해제할 수 있습니다. 이렇게 하려면 공유 계정에서 공유 해제를 선택합니다.

5. 연결 별칭 공유/공유 해제제 페이지에서 공유 해제를 선택합니다.

6. 연결 별칭 공유 해제를 확인하라는 메시지가 표시된 대화 상자에서 공유 해제를 선택합니다.

연결 별칭 삭제

사용자 계정에서 연결 별칭을 소유하고 연결 별칭이 디렉터리와 연결되어 있지 않은 경우에만 연결 별칭을 삭제할 수 있습니다.

연결 별칭을 다른 계정과 공유하고 해당 계정이 자체적으로 소유한 디렉터리와 연결 별칭을 연결한 경우 해당 계정이 먼저 디렉터리에서 연결 별칭의 연결을 해제해야 연결 별칭을 삭제할 수 있습니다.

중요

연결 문자열을 만들고 나면 연결 문자열이 항상 AWS 계정과 연결됩니다. 원래 계정에서 연결 문자열의 모든 인스턴스를 삭제한 경우에도 다른 계정으로 같은 연결 문자열을 다시 만들 수 없습니다. 연결 문자열은 전역적으로 계정에 예약되어 있습니다.

주의

더 이상 FQDN을 WorkSpaces 사용자 등록 코드로 사용하지 않을 경우 잠재적인 보안 문제를 방지하기 위해 특정 예방 조치를 취해야 합니다. 자세한 설명은 리전 간 리디렉션 사용을 중지하는 경우 보안 고려 사항 섹션을 참조하세요.

연결 별칭을 삭제하는 방법

1. https://console.aws.amazon.com/workspaces/ 에서 WorkSpaces 콘솔을 엽니다.

2. 콘솔의 오른쪽 상단 모서리에서 삭제하려는 연결 별칭을 포함하는 AWS 리전을 선택합니다.

3. 탐색 창에서 Account Settings(계정 설정)를 선택합니다.

4. 리전 간 리디렉션 연결에서 연결 문자열을 선택한 다음 삭제를 선택합니다.

   연결 별칭 세부 정보 페이지에서도 연결 별칭을 삭제할 수 있습니다. 페이지 오른쪽 상단 모서리에서 삭제를 선택하면 됩니다.

   참고

   삭제 버튼이 비활성화된 경우 자신이 별칭의 소유자인지 확인하고 별칭이 디렉터리와 연결되어 있지 않은지 확인하세요.

5. 삭제를 확인하라는 대화 상자에서 삭제를 선택합니다.

연결 별칭을 연결 및 연결 해제하는 IAM 권한

IAM 사용자를 사용하여 연결 별칭을 연결하거나 연결 해제하는 경우 사용자에게 workspaces:AssociateConnectionAlias 및 workspaces:DisassociateConnectionAlias에 대한 권한이 있어야 합니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "workspaces:AssociateConnectionAlias",
        "workspaces:DisassociateConnectionAlias"
      ],
      "Resource": [
          "arn:aws:workspaces:us-east-1:123456789012:connectionalias/wsca-a1bcd2efg"
      ]
    }
  ]
}

중요

연결 별칭을 소유하지 않는 계정의 연결 별칭을 연결하거나 연결 해제하기 위한 IAM 정책을 생성하는 경우 ARN에서 계정 ID를 지정할 수 없습니다. 대신 다음 예시 정책에 표시된 대로 계정 ID에 * 기호를 사용해야 합니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "workspaces:AssociateConnectionAlias",
        "workspaces:DisassociateConnectionAlias"
      ],
      "Resource": [
          "arn:aws:workspaces:us-east-1:*:connectionalias/wsca-a1bcd2efg"
      ]
    }
  ]
}

해당 계정이 연결 또는 연결 해제할 연결 별칭을 소유한 경우에만 ARN에서 계정 ID를 지정할 수 있습니다.

IAM 작업에 관한 자세한 내용은 WorkSpaces의 Identity and Access Management 단원을 참조하세요.

리전 간 리디렉션 사용을 중지하는 경우 보안 고려 사항

더 이상 FQDN을 WorkSpaces 사용자 등록 코드로 사용하지 않을 경우 다음과 같은 예방 조치를 취하여 잠재적인 보안 문제를 방지해야 합니다.

• WorkSpaces 사용자에게 WorkSpaces 디렉터리의 지역별 등록 코드 (예:WSpdx+ABC12D) 를 발급하고 FQDN을 등록 코드로 사용하지 않도록 지시해야 합니다.

• 이 도메인을 아직 소유하고 있는 경우 피싱 공격에 악용되지 않도록 DNS TXT 레코드를 업데이트하여 이 도메인을 제거해야 합니다. DNS TXT 레코드에서 이 도메인을 제거하고 WorkSpaces 사용자가 FQDN을 등록 코드로 사용하려고 시도하면 연결 시도는 문제 없이 실패합니다.

• 이 도메인을 더 이상 소유하지 않는 경우 WorkSpaces 사용자는 해당 지역별 등록 코드를 사용해야 합니다. FQDN을 등록 코드로 계속 사용하려고 하면 연결 시도가 악성 사이트로 리디렉션될 수 있습니다.