인터페이스 VPC 엔드포인트에서 생성 및 스트리밍 - Amazon WorkSpaces
사전 조건 및 제한 사항WorkSpaces 스트리밍을 위한 VPC 엔드포인트 설정

인터페이스 VPC 엔드포인트에서 생성 및 스트리밍

가상 프라이빗 클라우드(VPC)는 Amazon Web Services 클라우드에서 논리적으로 격리된 자체 영역에 있는 가상 네트워크입니다. Amazon 가상 프라이빗 클라우드를 사용하여 AWS 리소스를 호스트하는 경우, VPC와 WorkSpaces 간에 프라이빗 연결을 설정할 수 있습니다. 이 연결을 사용하면 WorkSpaces가 퍼블릭 인터넷을 통하지 않고 VPC의 리소스와 통신하게 할 수 있습니다.

인터페이스 엔드포인트는 프라이빗 IP 주소를 사용하여 지정한 VPC 내에서 스트리밍 트래픽을 유지할 수 있는 기술인 AWS PrivateLink로 구동됩니다. VPC를 AWS Direct Connect 또는 AWS Virtual Private Network 터널과 함께 사용하면 스트리밍 트래픽이 네트워크를 벗어나지 않도록 유지할 수도 있습니다.

AWS 계정에서 VPC 엔드포인트를 사용하여 Amazon VPC와 WorkSpaces 사이의 모든 스트리밍 트래픽을 AWS 네트워크로 제한할 수 있습니다. 엔드포인트를 생성한 후 이를 사용하도록 WorkSpaces 디렉터리를 구성합니다.

사전 조건 및 제한 사항

WorkSpaces용 VPC 엔드포인트를 설정하기 전에 다음 사전 조건과 제한을 숙지하세요.

  • 이 기능은 현재 IPv4 또는 IPv6 DNS 레코드 IP 유형을 지원합니다. 듀얼 스택 DNS 레코드 IP 유형은 지원되지 않습니다.

  • 디렉터리와 동일한 AWS 계정에 있는 VPC 엔드포인트만 구성할 수 있습니다. 공유 VPC의 엔드포인트를 포함하여 다른 AWS 계정의 VPC 엔드포인트는 지원되지 않습니다.

  • 이 기능은 현재 VPC 엔드포인트의 프라이빗 DNS 이름만 지원합니다. VPC 엔드포인트의 프라이빗 DNS 이름은 공개적으로 확인할 수 없습니다.

  • 이 기능은 현재 WorkSpaces Personal에서만 사용할 수 있습니다. WorkSpaces Pools는 스트리밍을 위한 VPC 엔드포인트를 지원하지 않습니다.

  • VPC 엔드포인트 기능은 Amazon DCV를 사용하는 WorkSpaces에서만 사용할 수 있습니다. 디렉터리에 대한 VPC 엔드포인트를 구성할 때 사용자는 인터넷을 통해 Amazon DCV에서 스트리밍할 수 없습니다. 그러나 VPC 엔드포인트 구성 중에 동일한 디렉터리에서 PCoIP WorkSpaces에 대한 인터넷 스트리밍을 활성화할 수 있습니다.

  • VPC 내에 스트리밍 트래픽을 유지하려면 스트리밍 VPC 엔드포인트를 사용합니다. WorkSpaces 클라이언트는 사용자 인증을 위해 인터넷 연결이 필요합니다. 인증 트래픽에 대해 포트 443(UTP 및 TCP 모두)에서 아웃바운드 액세스를 활성화합니다. 또한 선택한 인증 방법에 따라 필요한 도메인과 IP 주소를 허용 목록에 추가해야 합니다. 각 범주의 전체 도메인 목록은 허용 목록에 추가할 도메인 및 IP 주소를 참조하세요.

    • CAPTCHA

    • 디렉터리 설정

    • 스마트 카드를 사용하는 경우 세션 전 스마트 카드 인증 엔드포인트

    • 사용자 로그인 페이지

    • WS 브로커

    • SAML AWS Single Sign-On(SSO)을 위한 WorkSpaces 엔드포인트

  • 사용자의 디바이스가 연결되는 네트워크는 트래픽을 VPC 엔드포인트로 라우팅할 수 있어야 합니다.

  • ec2:DescribeVpcEndpoints API 작업을 수행하려면 AWS 계정의 IAM 사용자 또는 IAM 역할에 대한 IAM 권한 정책이 있어야 합니다.

  • WorkSpaces 스트리밍 VPC 엔드포인트는 현재 FIPS 암호화를 지원하지 않습니다. 디렉터리에 대해 FIPS 암호화를 이미 활성화한 경우 VPC 엔드포인트를 구성하기 전에 FIPS 암호화를 비활성화해야 합니다.

  • VPC 엔드포인트를 통해 스트리밍할 때는 AWS Global Accelerator(AGA) 통합을 사용할 수 없습니다.

  • 디렉터리에 대해 VPC 엔드포인트가 구성된 경우 디렉터리에 지정된 IP 액세스 제어 그룹이 더 이상 적용되지 않습니다.

WorkSpaces 스트리밍을 위한 VPC 엔드포인트 설정

WorkSpaces 스트리밍을 위한 VPC 엔드포인트를 설정하려면 다음 단계를 완료하세요.

1단계: 보안 그룹 생성

이 단계에서는 생성할 VPC 엔드포인트와 WorkSpaces 클라이언트가 통신할 수 있도록 하는 보안 그룹을 생성합니다.

  1. Amazon EC2 콘솔의 탐색 창에서 네트워크 및 보안, 보안 그룹을 차례로 선택합니다.

  2. 보안 그룹 생성을 선택합니다.

  3. 기본 세부 정보에서 다음을 수행합니다.

    • 보안 그룹 이름 – 보안 그룹을 식별하는 고유한 이름을 입력합니다.

    • 설명 – 보안 그룹의 목적을 설명하는 텍스트를 입력합니다.

    • VPC - VPC 엔드포인트가 있는 VPC를 선택합니다.

  4. 인바운드 규칙으로 이동한 뒤 규칙 추가를 선택하여 TCP 트래픽에 대한 인바운드 규칙을 생성합니다.

  5. 다음을 입력합니다.

    • 유형 – 사용자 지정 TCP를 선택합니다.

    • 포트 범위 – 포트 번호 443, 4195를 입력합니다.

    • 소스 유형 – 사용자 지정을 선택합니다.

    • 소스 - 사용자가 VPC 엔드포인트에 연결하는 프라이빗 IP CIDR 범위 또는 기타 보안 그룹 ID를 입력합니다. IPv4 또는 IPv6 주소 소스의 인바운드 트래픽을 허용해야 합니다.

  6. 각 CIDR 범위 또는 보안 그룹에 대해 4단계와 5단계를 반복합니다.

  7. 인바운드 규칙으로 이동한 뒤 규칙 추가를 선택하여 UDP 트래픽에 대한 인바운드 규칙을 생성합니다.

  8. 다음을 입력합니다.

    • 유형사용자 지정 UDP를 선택합니다.

    • 포트 범위 - 포트 번호 443, 4195를 입력합니다.

    • 소스 유형사용자 지정을 선택합니다.

    • 소스 - 5단계에서 입력한 것과 동일한 프라이빗 IP CIDR 범위 또는 보안 그룹 ID를 입력합니다. IPv4 또는 IPv6 주소 소스의 인바운드 트래픽을 허용해야 합니다.

  9. 각 CIDR 범위 또는 보안 그룹에 대해 7단계와 8단계를 반복합니다.

  10. 보안 그룹 생성을 선택합니다.

2단계: VPC 엔드포인트 생성

Amazon VPC에서 VPC 엔드포인트를 사용하면 VPC를 지원되는 AWS 서비스에 연결할 수 있습니다. 이 예제에서는 WorkSpaces 사용자가 WorkSpaces에서 스트리밍할 수 있도록 Amazon VPC를 구성합니다.

  1. Amazon VPC 콘솔을 엽니다.

  2. 탐색 창에서 엔드포인트엔드포인트 생성을 차례로 선택합니다.

  3. 엔드포인트 생성을 선택합니다.

  4. 다음을 확인하세요.

    • 서비스 범주AWS 서비스가 선택되었는지 확인합니다.

    • 서비스 이름com.amazonaws.Region.highlander를 선택합니다.

    • VPC – 인터페이스 엔드포인트를 생성할 VPC를 선택합니다. 네트워크가 트래픽을 VPC 엔드포인트로 라우팅하는 한 WorkSpaces 리소스가 있는 VPC와 다른 VPC를 선택할 수 있습니다.

    • 프라이빗 DNS 이름 활성화 – 확인란이 선택되어 있는지 확인합니다. 사용자가 네트워크 프록시를 사용하여 스트리밍 인스턴스에 액세스하는 경우 프라이빗 엔드포인트와 연결된 도메인 및 DNS 이름에 대한 프록시 캐싱을 비활성화합니다. VPC 엔드포인트 DNS 이름은 프록시를 통해 허용되어야 합니다. DNS 이름을 성공적으로 확인하려면 VPC 내의 프라이빗 DNS 서버를 사용해야 합니다. 퍼블릭 DNS 서버가 VPC 엔드포인트 DNS 이름을 확인하지 않기 때문입니다.

    • DNS 레코드 IP 유형 - IPv4 또는 IPv6를 선택합니다. 듀얼 스택 DNS 레코드 IP 유형은 현재 지원되지 않습니다. 듀얼 스택을 선택하면 VPC 엔드포인트를 사용하여 WorkSpaces에서 스트리밍할 수 없습니다.

    • 서브넷 - 서브넷(가용 영역)을 선택하여 VPC 엔드포인트를 생성합니다. 서브넷을 두 개 이상 선택하는 것이 좋습니다.

    • IP 주소 유형 - 선택한 서브넷이 지원하는 항목에 따라 IPv4, IPv6 또는 듀얼 스택을 선택합니다.

    • 보안 그룹 패널 - 이전에 생성한 보안 그룹을 선택합니다.

  5. (선택 사항) 태그 패널에서 하나 이상의 태그를 생성할 수 있습니다.

  6. 엔드포인트 생성을 선택합니다.

엔드포인트를 사용할 준비가 되면 상태 열의 값이 사용 가능으로 변경됩니다.

3단계: VPC 엔드포인트를 사용하도록 WorkSpaces 디렉터리 구성

스트리밍을 위해 생성한 VPC 엔드포인트를 사용하도록 WorkSpaces 디렉터리를 구성해야 합니다.

  1. VPC 엔드포인트와 동일한 AWS 리전에서 WorkSpaces 콘솔을 엽니다.

  2. 탐색 창에서 디렉터리를 선택합니다.

  3. 사용할 디렉터리를 선택합니다.

  4. VPC 엔드포인트 섹션으로 이동한 다음 편집으로 이동합니다.

  5. VPC 엔드포인트 편집 대화 상자의 스트리밍 엔드포인트에서 생성한 VPC 엔드포인트를 선택합니다.

  6. 원하면 PCoIP WorkSpaces를 사용하는 사용자가 인터넷에서 스트리밍하도록 허용을 활성화할 수 있습니다.

    참고

    활성화하면 사용자가 퍼블릭 인터넷을 통해 PCoIP WorkSpaces에서 스트리밍할 수 있습니다. 그렇지 않으면 PCoIP WorkSpaces가 스트리밍을 위한 VPC 엔드포인트를 지원하지 않으므로 디렉터리의 PCoIP WorkSpaces에 연결할 수 없게 됩니다.

  7. 저장을 선택합니다.

새로운 스트리밍 세션부터는 트래픽이 이 VPC 엔드포인트를 통해 라우팅됩니다. 하지만 현재 스트리밍 세션에서는 트래픽이 계속해서 이전에 지정된 엔드포인트를 통해 라우팅됩니다.

참고

DCV WorkSpaces를 사용하는 사용자는 VPC 엔드포인트를 지정할 때 퍼블릭 인터넷을 사용하여 스트리밍할 수 없습니다.