02. Workspace ONE과 Horizon 솔루션 개요

VMware Workspace ONE®는 모든 기기에서 모든 앱을 제공/관리하는 간편하고 안전한 엔터프라이즈 플랫폼입니다. Workspace ONE은 ID, 애플리케이션 및 엔터프라이즈 모빌리티 관리를 통합하는 동시에 기능이 풍부한 가상 데스크톱 및 애플리케이션을 제공한다. 클라우드 서비스 또는 사내 구축에 사용할 수 있다. 플랫폼은 다음과 같은 몇 가지 요소로 구성된다 - VMware Workspace ONE® UEM(VMware AirWatch® 제공), Workspace ONE Access™, VMware Horizon® 및 Workspace ONE 생산성 애플리케이션(가장 일반적인 모바일 플랫폼에서 지원).

VMware Reference Architectures

VMware 레퍼런스 아키텍처(Reference Architectures)는 엔터프라이즈 모빌리티 관리, 엔터프라이즈 데스크톱 교체, 원격 액세스 및 재해 복구와 같은 일반적인 사용 사례를 해결하기 위해 설계 및 검증되었다.

이 Workspace ONE 및 Horizon 레퍼런스 아키텍처는 Workspace ONE 및 Horizon 솔루션을 설계 및 구현하는 방법에 대한 지침을 제공하기 위한 프레임워크다. Workspace ONE 및 Horizon의 주요 특징 및 통합 지점에 대한 고급 설계 및 낮은 수준의 구성 지침을 제시한다. 그 결과는 일반적인 비즈니스 사용 사례를 다루는 통합된 서비스에 대한 설명이다.

VMware 레퍼런스 아키텍처가 고객에게 제공하는 이점:

  • 표준화되고, 검증되며, 반복 가능한 구성 요소
  • 향후 성장을 위한 여지를 제공하는 확장 가능한 설계
  • 구현 및 운영 위험을 최소화하는 검증되고 테스트된 설계
  • 신속한 구현 및 비용 절감

이 레퍼런스 아키텍처는 성능 데이터나 스트레스 테스트 측정 지표를 제공하지 않는다. 그러나, 그것은 규모에 대한 반복 가능한 블록의 설계에 대한 구조와 지침을 제공한다. 준수되는 원칙에는 단일 장애 지점이 없고 생산에 적합한 설계를 제공하기 위해 고가용성 및 로드 밸런싱을 사용하는 것이 포함된다.

설계 도구

VMware Digital Workspace Designer는 Workspace ONE 및 Horizon 구축을 계획하고 싸이징하는 데 도움이 되며, 현재 VMware 모범 사례를 유지하고 주요 설계 결정을 지원하며, 이 도구는 계획된 배치에 대한 초기 높은 수준의 설계를 확립하기 위한 것이며 적절한 계획 및 설계 프로세스를 보완하기 위한 것이다.

VMware Digital Workspace Topology Tool을 사용하면 Workspace ONE 및 Horizon 구성 요소를 선택하여 논리적 아키텍처 다이어그램을 생성할 수 있다. 선택한 구성 요소와 이들 사이의 링크를 보여주는 다이어그램을 생성한다. 또한 토폴로지 도구는 디지털 작업공간 설계자로부터 실행되어 설계의 일부로 생성된 구성요소가 있는 건축 도표를 자동으로 작성할 수 있다. 두 도구는 모두 https://techzone.vmware.com/tools에서 찾을 수 있다.

설계 결정

이 참조 아키텍처 가이드의 작성의 일부로, 전체 환경을 설계, 구축 및 테스트한다. 이 가이드 전체에 걸쳐, 구현을 위해 우리가 선택한 사항을 설명하는 설계 결정이 나열되어 있다.

표 1 : 레페런스 아키텍처의 목적에 관한 설계결정

결정 완전한 프로덕션 준비 환경을 설계, 구현 및 테스트했다.
타당한 이유 이를 통해 설계, 배치, 통합 및 전달을 포함한 본 가이드의 내용을 검증, 검증 및 문서화할 수 있다.

Workspace ONE 및 Horizon의 각 구현은 고유하며 고유한 요구사항을 제시한다. 레페런스 아키텍처에서 따르는 구현은 서로 다른 상황에 적응할 수 있는 방식으로 해결해야 하는 공통의 사용 사례, 의사결정 및 과제를 해결하려고 한다.

청중

이 참조 아키텍처 가이드는 Workspace ONE, VMware Horizon® 7 및 VMware Horizon® Cloud Service™ 솔루션을 계획, 설계 및 구현하는 초기 단계에 관여하는 IT 설계자, 컨설턴트 및 관리자에게 도움이 된다.

다음을 보유해야 한다:

  • 모바일 장치 환경에 대한 확실한 이해
  • 모바일 운영 체제의 기능과 구성에 대한 깊은 경험
  • 장치 관리 개념에 익숙함
  • SAML 인증과 같은 ID 솔루션 및 표준에 대한 지식
  • 마이크로소프트 Office 365, Exchange 및 쉐어포인트를 비롯한 엔터프라이즈 커뮤니케이션 및 협업 솔루션에 대한 이해
  • 가상화에 대한 올바른 이해, 특히 VMware vSphere® 또는 Microsoft Azure와 같은 서비스를 호스팅하는 데 사용되는 모든 플랫폼.
  • 데스크톱 및 애플리케이션 가상화에 대한 확실한 이해
  • 방화벽 정책 및 로드 밸런싱 구성에 대한 확실한 이해
  • Active Directory, DNS 및 DHCP와 같은 주제를 다루는 네트워킹 및 인프라에 대한 훌륭한 실무 지식

Workspace ONE 기능

Workspace ONE 기능은 최종 사용자에게 편리함과 선택의 여지를 주지 않으면서 엔터프라이즈급 보안을 제공한다.

  • 실시간 애플리케이션 제공 및 자동화 – Workspace ONE은 데스크톱 관리자가 Windows의 새로운 기능을 활용하여 애플리케이션 배포 및 업데이트를 자동화할 수 있도록 지원한다. 이러한 자동화는 가상화 기술과 결합되어 애플리케이션 액세스를 보장하고 보안 및 규정 준수를 개선하는 데 도움이 된다. 실시간으로 애플리케이션 프로비저닝, 제공, 업데이트, 폐기한다.
  • 클라우드, 모바일 및 Windows 애플리케이션에 대한 셀프 서비스 액세스 – Workspace ONE 또는 VMware Workspace ONE® Intelligent Hub 앱을 통해 최종 사용자가 인증된 후 원터치 모바일 SSO(Single Sign-On)를 통해 모바일, 클라우드 및 Windows 애플리케이션에 즉시 액세스할 수 있다.
  • 모든 기기, 직원 또는 기업 소유 등의 선택 – 관리자는 최종 사용자의 손에 선택권을 부여하여 BYOD(Bring-Your-Own-Device) 프로그램의 채택을 촉진할 수 있다. 업무 스타일에 적합한 편리성, 접근성, 보안성 및 관리 수준을 제공한다.
  • 기기 등록 – 등록 프로세스를 통해 기기를 Workspace ONE UEM 환경에서 관리할 수 있으므로 기기 프로파일 및 애플리케이션이 배포되고 콘텐츠가 전달 또는 제거될 수 있다. 또한 등록은 Workspace ONE UEM 서비스에 대한 기기의 체크인을 기반으로 한 광범위한 보고를 허용한다.
  • 적응형 관리 – 일부 애플리케이션의 경우 최종 사용자가 장치를 먼저 등록하지 않고도, Workspace ONE에 로그인하여 애플리케이션에 액세스할 수 있다. 다른 애플리케이션의 경우 기기 등록이 필요하며, Workspace ONE 앱은 사용자에게 등록을 시작하라는 메시지를 표시할 수 있다.
    관리자는 유연한 애플리케이션 액세스 정책을 통해 기기 관리 등록 전에 일부 애플리케이션을 사용할 수 있는 한편, 높은 수준의 보안을 필요로 하는 앱에 대해 전체 등록을 요구할 수 있다.
  • 조건부 액세스 – Workspace ONE Access와 Workspace ONE UEM 모두 컴플라이언스를 평가하기 위한 메커니즘을 가지고 있다. 사용자가 자신의 기기를 Workspace ONE에 등록하면 장치의 데이터 샘플이 Workspace ONE UEM 클라우드 서비스로 일정하게 전송되어 컴플라이언스를 평가한다. 이 정기적인 평가를 통해 장치가 Workspace ONE UEM 콘솔에서 관리자가 설정한 준수 규칙을 충족하는지 확인할 수 있다. 장치가 규정 준수를 벗어나면 Workspace ONE UEM Console에 구성된 해당 작업이 수행된다.

    Workspace ONE Access에는 사용자가 로그인할 때 관리자가 Workspace ONE UEM 서버에서 장치 규정 준수 상태를 확인하도록 구성할 수 있는 액세스 정책 옵션이 포함되어 있다. 컴플라이언스 검사를 통해 기기가 컴플라이언스 범위를 벗어나면 사용자가 애플리케이션에 로그인하거나, Workspace ONE Access 셀프 서비스 카탈로그에 SSO를 사용하는 것이 차단된다. 장치가 다시 규정을 준수하면 로그인 기능이 복원된다.

    사용자가 있는 네트워크, 사용자가 사용하고 있는 플랫폼 또는 액세스 중인 애플리케이션을 기반으로 조치를 시행할 수 있다. Workspace ONE UEM에서 장치 준수를 확인하는 것 외에도, Workspace ONE Access는 장치의 네트워크 범위, 장치 유형, 장치의 운영 체제 및 자격 증명을 기반으로 규정 준수를 평가할 수 있다.

  • 통합 애플리케이션 카탈로그 – Workspace ONE Access 및 Workspace ONE UEM 애플리케이션 카탈로그를 결합하여 Workspace ONE 앱의 카탈로그 탭 또는 VMware Workspace ONE Intelligent Hub 앱에 표시한다(사용 중인 애플리케이션에 따라 다름).
  • 보안 생산성 애플리케이션: VMware Workspace ONE® Boxer, Web, Content, 노트북, People, Verify, PIV-D 매니저 – 최종 사용자는 포함된 메일, 캘린더, 연락처, 브라우저, 콘텐츠, 조직 및 인증 기능을 사용할 수 있으며 정책 기반 보안 조치는 데이터 유출로부터 조직을 보호할 수 있는 방법을 제한하여 첨부 파일과 파일을 편집하고 공유한다.
  • 모바일 SSO – 지원되는 모든 플랫폼에서 원터치 SSO 기술을 이용할 수 있다. 각 OS에 대한 구현은 기본 OS에서 제공하는 기능에 기초한다. iOS의 경우 원터치 SSO는 KDC(Key Distribution Center)로 알려진 기술을 사용한다. 안드로이드의 경우 인증 방식을 안드로이드용 모바일 SSO라고 한다. 그리고 윈도 10의 경우 클라우드 인증서라고 한다.
  • 보안 브라우저 – 기본 브라우저 또는 타사 브라우저 대신 VMware Workspace ONE® Web을 사용하여 중요한 웹 컨텐츠에 대한 액세스를 안전하고 관리할 수 있도록 보장
  • DLP(Data Loss Prevention) – 이 기능은 문서 또는 URL을 승인된 애플리케이션에서만 열도록 하여 중요한 정보의 우발적 또는 목적을 가진 배포를 방지한다.
  • 리소스 유형 – Workspace ONE은 Workspace ONE Access 및 Workspace ONE UEM 카탈로그를 통해 노출되는 다양한 애플리케이션을 지원한다. 여기에는 Workspace ONE Access를 통해 제공되는 SaaS 기반 SAML 애플리케이션, VMware Horizon 애플리케이션 및 데스크톱, Citrix 가상 애플리케이션 및 데스크톱, VMware ThinApp® 패키지 애플리케이션, Workspace ONE UEM을 통해 제공되는 네이티브 모바일 애플리케이션 등이 포함된다.

Workspace ONE 플랫폼 통합

Workspace ONE UEM은 솔루션의 엔터프라이즈 모빌리티 관리 부분을 제공한다. Workspace ONE UEM은 기기 등록을 허용하고 프로파일을 사용하여 사용자 기기의 구성 설정 및 관리를 시행한다. 또한 모바일 애플리케이션 카탈로그가 일반 사용자에게 공개 및 내부적으로 개발된 애플리케이션을 게시할 수 있도록 한다.

Workspace ONE Access는 솔루션의 ID 관련 구성요소를 제공한다. 이러한 구성 요소에는 사용자 이름과 암호를 사용한 인증, 2단계 인증, 인증서, Kerberos, 모바일 SSO 및 타사 Workspace ONE Access 시스템의 인바운드 SAML이 포함된다. Workspace ONE Access는 또한 VMware Horizon 또는 Citrix를 통해 제공되는 권한 있는 웹 애플리케이션과 Windows 애플리케이션 및 데스크톱에 SSO를 제공한다.

Executive-Summary_2.png

그림 4: Workspace ONE 논리 구조 개요

VMware Workspace ONE Intelligence

VMware Workspace ONE® Intelligence는 조직에서 Workspace ONE 환경을 운영하기 위한 데이터 중심 결정을 내릴 수 있도록 시각화 툴과 자동화를 제공하는 서비스다.

Workspace ONE Intelligence는 기기, 애플리케이션 및 사용자 데이터를 집계, 분석 및 상호 연관시킴으로써 전체 디지털 작업 공간 환경에 걸쳐 속도와 규모로 주요 성능 지표(KPI)를 필터링하고 공개할 수 있는 광범위한 방법을 제공한다. Workspace ONE Intelligence에 의해 관심 있는 정보가 표면화된 후 IT 관리자는 다음을 수행할 수 있다.

  • 기본 제공 의사 결정 엔진을 사용하여 광범위한 매개 변수 집합에 따라 작업을 수행하는 규칙을 만든다.
  • 컨텍스트에 따라 자동화된 업데이트 적용 작업을 수행하는 정책 생성한다.

Workspace ONE Intelligence를 통해 조직은 우수한 사용자 환경을 그대로 유지하면서 복잡성과 보안을 쉽게 관리할 수 있다.

Workspace-ONE-and-Horizon_1.png

그림 5 : Workspace ONE Intelligence 개요

Horizon 7 플랫폼

VMware는 Horizon 7 Enterprise Edition을 통해 클라우드와 같은 경제성과 확장성을 갖춘 사내 가상 데스크톱 및 애플리케이션을 제공하는 데 있어 단순성, 보안, 속도 및 확장성을 제공한다. 이 최신 릴리즈를 통해 고객은 다음과 같은 주요 기능을 즐길 수 있다.

JMP는 데스크톱 또는 RDSH 서버의 구성요소를 중앙 집중식 방식으로 독립적으로 분리 및 관리할 수 있도록 하지만 필요에 따라 재구성하여 개인화된 사용자 작업 공간을 제공할 수 있도록 한다. JMP는 사내 및 클라우드 기반 Horizon 7 구축 모두에서 지원되며, 구축 토폴로지에 관계없이 일관되고 통합된 관리 플랫폼을 제공한다. JMP 접근방식은 단순화된 데스크톱 및 RDSH 이미지 관리, 보다 빠른 애플리케이션 제공 및 유지보수, "완전한 영구" 데스크톱 관리 필요성 제거 등 몇 가지 주요 이점을 제공한다.

  • JMP(차세대 데스크톱 및 애플리케이션 제공 플랫폼) – JMP(점프로 발음)는 JIT(Just-in-Time Management Platform)를 의미하며, JIT(Just-In-Time) 데스크톱 및 애플리케이션을 유연하고 빠르고 개인화된 방식으로 제공하는 VMware Horizon 7 Enterprise Edition의 기능을 나타낸다. JMP는 다음과 같은 VMware 기술로 구성된다.
    • 빠른 데스크톱 및 RDSH 프로비저닝을 위한 VMware Instant Clone 기술
    • 실시간 애플리케이션 제공을 위한 VMware App Volumes™
    • 상황별 정책 관리를 위한 VMware Dynamic Environment Manager™
  • Just-in-Time 데스크톱 – App Volumes와 결합된 Instant Clone 기술을 활용하여 사용자 맞춤형 완벽한 맞춤형 데스크톱 제공 속도 향상를 향상시킨다. 최종 사용자가 로그인할 때마다 새로운 맞춤형 데스크톱 및 애플리케이션 서비스를 제공하여 인프라스트럭처 요구사항을 획기적으로 줄이는 동시에 보안을 강화한다.
    • 로그인할 때마다 최신 상태로 제공되는 비영구적인 상태 비저장 가상 데스크톱의 경제적 이점을 누린다.
    • 사용자가 로그인할 때마다 깨끗한 고성능 개인화된 데스크톱 제공
    • 사용자가 로그아웃할 때마다 데스크톱을 제거하여 보안 향상
  • App Volumes – 실시간 애플리케이션 제공 및 관리 제공
    • 규모에 맞는 신속한 애플리케이션 프로비저닝
    • 사용자가 이미 데스크톱에 로그인한 경우에도 애플리케이션을 사용자, 그룹 또는 장치에 동적으로 연결
    • 실시간으로 애플리케이션 프로비저닝, 제공, 업데이트 및 폐기
    • 사용자가 데스크톱 전체에서 애플리케이션을 설치할 수 있도록 쓰기 가능한 볼륨을 제공하십시오.

참고: App Volumes는 현재 Microsoft Azure에서 VMware Horizon® Cloud Service™의 일부로 지원되지 않음

  • Dynamic Environment Manager – 모든 가상, 물리적 및 클라우드 기반 환경에서 개인화 및 동적 정책 구성 제공
    • 최종 사용자에게 Windows 작업 공간 및 애플리케이션에 대한 빠른 액세스를 제공하고, 기기 및 위치에서 개인화되고 일관된 환경을 제공한다.
    • 기존 인프라를 활용하는 확장 가능한 단일 솔루션을 조직에 제공하여 최종 사용자 프로필 관리를 단순화한다.
    • 모두 로그인하는 대신 비동기 프로세스로 구성 및 환경 설정을 적용하여 로그인 프로세스 속도를 높인다.
    • 사용자가 응용 프로그램을 시작할 때 드라이브 또는 프린터 매핑과 같은 동적 환경 구성을 제공한다.
  • vSphere Integration – Horizon 7 Enterprise Edition은 가상 컴퓨팅, 가상 스토리지, 가상 네트워킹 및 보안을 통해 가상화의 효과를 확장하여 비용을 절감하고 사용자 환경을 개선하며 비즈니스 민첩성을 향상시킨다.
    • SE Sparse, VAAI 및 스토리지 가속화를 비롯한 vSphere의 기본 스토리지 최적화를 활용하여 스토리지 비용을 절감하는 동시에 탁월한 사용자 환경 제공
    • Horizon 7 Enterprise Edition with VMware vSAN™ for Desktop Advanced는 스토리지 프로비저닝을 자동화하고 직접 연결된 스토리지 리소스를 활용하여 데스크톱 워크로드의 스토리지 비용을 절감한다.
    • Horizon 7은 All-Flash 기능을 지원하여 분산된 위치에서 더 적은 비용으로 더 많은 최종 사용자를 더 효과적으로 지원하십시오.

Microsoft Azure 플랫폼의 Horizon 클라우드 서비스

Microsoft Azure의 Horizon Cloud Service는 기존 Microsoft Azure 인프라를 Horizon Cloud Service와 결합하여 기능이 풍부한 가상 데스크톱 및 애플리케이션을 제공할 수 있는 기능을 고객에게 제공한다.

Horizon Cloud는 VMware의 완벽한 관리 인프라와 Microsoft Azure의 퍼블릭 클라우드 인프라를 비롯한 여러 구축 옵션에서 확장 가능한 전용 클라우드 플랫폼을 사용한다. 이 서비스는 가상화된 윈도우즈 데스크톱 및 애플리케이션을 언제 어디서나 쉽게 제공할 수 있는 클라우드 스케일 아키텍처를 지원한다.

Workspace-ONE-and-Horizon_2.png

그림 : Microsoft Azure 상의 Horizon Cloud Service 개요

레퍼런스 아키텍처 설계 방법론

성공적인 Workspace ONE 및 Horizon 구축을 위해서는 적절한 설계 방법론을 따르는 것이 중요하다. 시작하려면 프로젝트를 수행하기 위한 비즈니스 요구사항, 이유 및 목표를 이해해야 한다. 거기서 사용자의 니즈를 파악하여 활용 사례로 정리할 수 있다. 그런 다음 이러한 사용 사례를 Workspace ONE 및 Horizon에서 제공하는 통합 서비스 세트에 조정하고 매핑한다.

Workspace-ONE-and-Horizon_3.png

그림 : 레퍼런스 아키텍처 설계 방법론

Workspace ONE 및 Horizon 설계는 식별된 사용 사례를 해결하는 서비스를 제공하기 위해 다양한 구성요소를 사용한다. 이러한 구성요소를 조립하고 통합하여 서비스를 형성하기 전에 먼저 구성요소를 모듈화되고, 확장 가능한 방식으로 설계하고 구축하여 변화와 성장을 가능케 해야 한다. 기존 환경으로의 통합도 고려해야 한다. 그런 다음 부품을 함께 가져와 통합 서비스를 제공하여 사용 사례, 비즈니스 요구사항 및 사용자 경험을 충족시킬 수 있다.

설계 프로세스와 마찬가지로 단계는 주기적이며, 이전의 모든 결정은 후속 결정이 영향을 미치지 않았는지 확인하기 위해 다시 검토해야 한다.