Windows 서버 워크로드를 위한 원격 데스크톱 게이트웨이 구성
이 지침은 AWS 클라우드에 원격 데스크톱 게이트웨이를 배포하는 방법을 보여줍니다. RD 게이트웨이는 가상 프라이빗 네트워크 없이도 HTTPS를 통해 원격 데스크톱 프로토콜(RDP)을 사용하여 원격 사용자와 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스 간에 암호화된 연결을 설정합니다. 따라서 관리자를 위한 원격 관리 솔루션을 제공하는 한편 Windows 기반 인스턴스에 대한 공격을 줄일 수 있습니다. RD 게이트웨이는 AWS 계정의 새 Virtual Private Cloud(VPC)나 기존의 VPC(독립형이거나 도메인 조인됨)에 배포할 수 있습니다.
참고: [고지 사항]
아키텍처 다이어그램
[아키텍처 다이어그램 설명]
1단계
AWS CloudFormation 템플릿을 사용하여 퍼블릭 서브넷과 프라이빗 서브넷이 있는 가용 영역 두 개에 걸쳐 있는 신규 또는 기존 Amazon Virtual Private Cloud(VPC)에 RD 게이트웨이를 배포할 수 있습니다. 별도의 CloudFormation 템플릿을 사용하여 Active Directory 도메인에 조인된 인스턴스(기존 VPC 필요) 또는 도메인에 조인되지 않은 Windows 인스턴스를 프라이빗 서브넷에 배포할 수 있습니다.
2단계
AWS Secrets Manager는 RD 게이트웨이 인스턴스에 액세스하는 데 사용되는 자격 증명(예: 사용자 이름 및 암호)을 안전하게 저장합니다. 참고: 보안 강화를 위해 RD 게이트웨이 인스턴스에서 다중 인증(MFA)을 사용하도록 설정하는 것이 좋습니다.
3단계
AWS Systems Manager는 Secrets Manager에서 사용자 이름과 암호 값을 가져오고 RD 게이트웨이 인스턴스를 구성하여 두 퍼블릭 서브넷에 걸쳐 있는 Amazon EC2 Auto Scaling 그룹을 자동으로 배포합니다.
4단계
각 퍼블릭 서브넷의 Auto Scaling 그룹에는 최대 4개의 RD 게이트웨이 인스턴스가 있으며 프라이빗 서브넷의 인스턴스에 대한 안전한 원격 액세스를 제공합니다. 각 RD 게이트웨이 인스턴스에는 탄력적 IP 주소가 할당되므로 인터넷에서 직접 연결할 수 있습니다.
5단계
인스턴스의 보안 그룹을 포함하여 프라이빗 서브넷의 인스턴스에 대한 빈 애플리케이션 계층을 사용하여 필요한 RD 게이트웨이 포트에 액세스할 수 있습니다.
6단계
Network Load Balancer를 사용하여 RD 게이트웨이의 Auto Scaling 그룹에 원격으로 액세스할 수 있습니다.
7단계
인터넷 게이트웨이를 통해 인터넷에 액세스할 수 있습니다. 이 게이트웨이는 RD 게이트웨이 인스턴스에서 트래픽을 전송하고 수신하는 데 사용됩니다.
8단계
관리형 Network Address Translation(NAT) 게이트웨이를 통해 아웃바운드 인터넷에서 프라이빗 서브넷의 리소스에 액세스할 수 있습니다.
9단계
Amazon EventBridge 리소스는 Active Directory 도메인에서 사용 중지된 인스턴스를 제거합니다.
1단계
AWS CloudFormation 템플릿을 사용하여 퍼블릭 서브넷과 프라이빗 서브넷이 있는 가용 영역 두 개에 걸쳐 있는 신규 또는 기존 Amazon Virtual Private Cloud(VPC)에 RD 게이트웨이를 배포할 수 있습니다. 별도의 CloudFormation 템플릿을 사용하여 Active Directory 도메인에 조인된 인스턴스(기존 VPC 필요) 또는 도메인에 조인되지 않은 Windows 인스턴스를 프라이빗 서브넷에 배포할 수 있습니다.
2단계
AWS Secrets Manager는 RD 게이트웨이 인스턴스에 액세스하는 데 사용되는 자격 증명(예: 사용자 이름 및 암호)을 안전하게 저장합니다. 참고: 보안 강화를 위해 RD 게이트웨이 인스턴스에서 다중 인증(MFA)을 사용하도록 설정하는 것이 좋습니다.
3단계
AWS Systems Manager는 Secrets Manager에서 사용자 이름과 암호 값을 가져오고 RD 게이트웨이 인스턴스를 구성하여 두 퍼블릭 서브넷에 걸쳐 있는 Amazon EC2 Auto Scaling 그룹을 자동으로 배포합니다.
4단계
각 퍼블릭 서브넷의 Auto Scaling 그룹에는 최대 4개의 RD 게이트웨이 인스턴스가 있으며 프라이빗 서브넷의 인스턴스에 대한 안전한 원격 액세스를 제공합니다. 각 RD 게이트웨이 인스턴스에는 탄력적 IP 주소가 할당되므로 인터넷에서 직접 연결할 수 있습니다.
5단계
인스턴스의 보안 그룹을 포함하여 프라이빗 서브넷의 인스턴스에 대한 빈 애플리케이션 계층을 사용하여 필요한 RD 게이트웨이 포트에 액세스할 수 있습니다.
6단계
Network Load Balancer를 사용하여 RD 게이트웨이의 Auto Scaling 그룹에 원격으로 액세스할 수 있습니다.
7단계
인터넷 게이트웨이를 통해 인터넷에 액세스할 수 있습니다. 이 게이트웨이는 RD 게이트웨이 인스턴스에서 트래픽을 전송하고 수신하는 데 사용됩니다.
8단계
관리형 Network Address Translation(NAT) 게이트웨이를 통해 아웃바운드 인터넷에서 프라이빗 서브넷의 리소스에 액세스할 수 있습니다.
9단계
Amazon EventBridge 리소스는 Active Directory 도메인에서 사용 중지된 인스턴스를 제거합니다.
Well-Architected 원칙
AWS Well-Architected Framework는 클라우드에서 시스템을 구축하는 동안 사용자가 내리는 의사 결정의 장단점을 이해하는 데 도움이 됩니다. 이 프레임워크의 6가지 원칙을 통해 안정적이고 안전하며 효과적이고 비용 효율적이며 지속 가능한 시스템을 설계 및 운영하기 위한 아키텍처 모범 사례를 배울 수 있습니다. AWS Management Console에서 추가 요금 없이 사용할 수 있는 AWS Well-Architected Tool을 사용하면 각 원칙에 대한 여러 질문에 답하여 이러한 모범 사례와 비교하며 워크로드를 검토할 수 있습니다.
위의 아키텍처 다이어그램은 Well-Architected 모범 사례를 고려하여 생성된 솔루션의 예시입니다. Well-Architected를 완전히 충족하려면 가능한 많은 Well-Architected 모범 사례를 따라야 합니다.
-
운영 우수성운영 우수성 백서 읽기
CloudFormation 템플릿에 원하는 리소스와 해당 리소스의 종속성을 단일 스택으로 설명한 후 전체 스택을 단일 단위로 생성, 업데이트 및 삭제할 수 있으므로 가용 영역 전반의 퍼블릭 및 프라이빗 서브넷에 있는 클라우드 리소스를 손쉽게 관리할 수 있습니다.
Systems Manager로 여러 AWS 서비스의 운영 데이터를 허브로 중앙집중화하고 AWS의 리소스 전반에서 태스크를 자동화할 수 있습니다. 예를 들어 운영 관리를 통해 상태 및 성능을 모니터링하고, 애플리케이션 관리를 통해 운영 워크플로를 간소화하고, 변경 관리를 통해 애플리케이션 구성에 대한 운영 변경을 간소화하며, 노드 관리를 통해 문제 해결을 가속화하고 패치 적용을 자동화할 수 있습니다.
-
보안보안 백서 읽기
Secrets Manager는 세분화된 AWS Identity and Access Management (IAM) 리소스 기반 정책을 통해 비밀을 안전하게 암호화하고 중앙에서 감사합니다. 이를 통해 애플리케이션, 서비스 및 IT 리소스에 대한 액세스를 보호하고 데이터 보안 및 개인 정보 보호에 대한 규제 및 규정 준수 요구 사항을 충족할 수 있습니다. 보안을 강화하려면 RD 게이트웨이 인스턴스에서 MFA를 활성화하세요.
Amazon VPC의 프라이빗 서브넷에는 인스턴스에서 필요한 포트에 액세스할 수 있도록 하는 보안 그룹이 포함되어 있습니다. 퍼블릭 서브넷에는 프라이빗 서브넷의 인스턴스에 대한 보안 원격 액세스를 위한 RD 게이트웨이 인스턴스가 포함되어 있습니다. 퍼블릭 서브넷에는 인터넷 게이트웨이에 대한 직접 경로가 있기 때문에 퍼블릭 인터넷에 액세스할 수 있으며, 프라이빗 서브넷에는 인터넷 게이트웨이에 대한 직접 경로가 없으므로 퍼블릭 인터넷에 액세스하려면 NAT 게이트웨이가 필요합니다.
-
신뢰성신뢰성 백서 읽기
Network Load Balancer는 지연 시간을 매우 짧게 유지하면서 초당 수백만 개의 요청을 처리할 수 있습니다. 또한 가용 영역당 하나의 정적 IP 주소를 사용하면서 갑작스럽고 변동이 심한 트래픽 패턴을 처리하는 데 최적화되었습니다. Network Load Balancer는 연결 수준(레벨 4)에서 작동하므로 TCP 트래픽과 UDP 트래픽을 모두 로드 밸런싱하여 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스, 마이크로서비스 및 컨테이너와 같은 대상으로 연결을 라우팅할 수 있습니다.
-
성능 효율성성능 효율성 백서 읽기
Amazon EC2 Auto Scaling을 사용하면 애플리케이션의 로드를 처리할 수 있는 정확한 수의 EC2 인스턴스를 유지할 수 있습니다. Auto Scaling 그룹이라는 EC2 인스턴스 컬렉션을 생성하면 됩니다. Amazon EC2 Auto Scaling을 사용하면 지정된 수의 인스턴스를 항상 그룹 내에 유지하여 원하는 용량을 충족할 수 있습니다. 조정 정책을 지정하면 애플리케이션 로드가 증가하거나 감소함에 따라 Amazon EC2 Auto Scaling이 온디맨드 방식으로 인스턴스를 시작하거나 종료합니다.
-
비용 최적화비용 최적화 백서 읽기
Amazon EC2 Auto Scaling은 구매 옵션과 인스턴스 유형을 결합하여 워크로드 성능 및 비용을 최적화합니다. 이 서비스를 사용하면 단일 애플리케이션에서 여러 구매 옵션, 가용 영역(AZ) 및 인스턴스 패밀리에 걸쳐 인스턴스를 프로비저닝하고 자동으로 조정하여 규모, 성능 및 비용을 최적화할 수 있습니다. Amazon EC2 스팟 인스턴스를 온디맨드 및 예약형 인스턴스와 함께 단일 Auto Scaling 그룹에 포함하면 컴퓨팅 비용을 최대 90% 절감할 수 있습니다.
-
지속 가능성지속 가능성 백서 읽기
Amazon EC2 Auto Scaling과 Network Load Balancer는 함께 워크로드 트래픽의 탄력성에 따라 자동으로 스케일 인 및 아웃을 수행합니다. EventBridge 리소스는 사용 중지된 인스턴스를 Active Directory 도메인에서 제거합니다. 이 아키텍처는 자동으로 인스턴스를 추가 및 제거하여 워크로드가 환경에 미치는 영향을 효과적으로 최적화합니다.
구현 리소스
실험 및 사용을 위한 자세한 안내는 AWS 계정 내에서 제공됩니다. 배포, 사용, 정리를 포함한 지침 구축의 각 단계는 검토되어 배포를 위해 준비됩니다.
시작점으로서 샘플 코드를 제공합니다. 이 샘플 코드는 업계에서 검증되었고 규범적이지만 최종적인 것은 아니며, 시작하는 데 도움을 줄 것입니다.
관련 콘텐츠
CloudFormation Remote Desktop Gateway
Remote Desktop Gateway on AWS
고지 사항
샘플 코드, 소프트웨어 라이브러리, 명령줄 도구, 개념 증명, 템플릿 또는 기타 관련 기술(AWS 직원을 통해 제공되는 상기 항목 포함)은 AWS 이용계약 또는 귀하와 AWS 간의 서면 계약(적용되는 것)에 따라 AWS 콘텐츠로 제공됩니다. 이 AWS 콘텐츠를 프로덕션 계정, 프로덕션 또는 기타 중요한 데이터에 사용해서는 안 됩니다. 귀하는 특정 품질 제어 방식 및 표준에 따라 프로덕션급 사용에 적절하게 샘플 코드와 같은 AWS 콘텐츠를 테스트, 보호 및 최적화할 책임이 있습니다. AWS 콘텐츠를 배포하면 Amazon EC2 인스턴스를 실행하거나 Amazon S3 스토리지를 사용할 때와 같이 요금이 부과되는 AWS 리소스를 생성하거나 사용하는 것에 대한 AWS 요금이 발생할 수 있습니다.
본 지침에 서드 파티 서비스 또는 조직이 언급되어 있다고 해서 Amazon 또는 AWS와 서드 파티 간의 보증, 후원 또는 제휴를 의미하지는 않습니다. AWS의 지침을 기술적 시작점으로 사용할 수 있으며 아키텍처를 배포할 때 서드 파티 서비스와의 통합을 사용자 지정할 수 있습니다.