Oracle Secure Global Desktop 설정
SGD(Oracle Secure Global Desktop) 는 Microsoft Windows, Linux, Solaris 및 메인프레임 서버에서 실행되는 클라우드 호스트 엔터프라이즈 응용 프로그램 및 데스크탑을 위한 보안 원격 액세스 솔루션입니다.
SGD와 SSH 또는 VPN 간의 차이점은 클라이언트가 네트워크에 들어가지 않는다는 점과 SGD의 관리자가 복사 및 붙여넣기, 인쇄 또는 장치 액세스와 같은 클라이언트 기능을 비롯한 모든 액세스를 제어한다는 점입니다.
보안 웹 브라우저 연결을 통해 서비스와 상호 작용하며 제어된 환경에서 실행 중인 응용 프로그램을 실행, 일시 중지 및 재개할 수 있습니다. 데이터는 데이터 센터 또는 클라우드를 떠나지 않습니다. 손실된 클라이언트 장치에는 중요한 정보가 포함되어 있지 않습니다. SGD는 단일 액세스 지점을 제공하며 관리자는 언제든지 사용자를 인증 해제하고 활성 세션을 종료할 수 있습니다.
구조
이 아키텍처는 로드 밸런서와 응용 프로그램 서버 간에 자체 개인 서브넷에 있는 Secure Global Desktop 게이트웨이 및 서버를 보여줍니다. 인터넷에 노출되는 유일한 포트는 로드 밸런서를 통해 443(HTTPS) 입니다.
응용 프로그램을 실행할 때 SGD(Secure Global Desktop) 는 고유 RDP(원격 데스크탑 프로토콜) 또는 X11트래픽을 AIP(Adaptive Internet Protocol) 라는 고유의 프로토콜로 변환하고 시각적 프리젠테이션을 다시 클라이언트로 전송합니다.
다음 다이어그램은 이 참조 구조를 보여 줍니다.
그림 Architecture-secure-global-desktop.png에 대한 설명
아키텍처의 구성 요소는 다음과 같습니다:
- 지역
Oracle Cloud Infrastructure 지역은 가용성 도메인이라는 하나 이상의 데이터 센터를 포함하는 지역화된 지역입니다. 지역은 다른 지역과 독립적이며 방대한 거리는 국가 또는 대륙에서 분리할 수 있습니다.
- 가용성 도메인
가용성 도메인은 영역 내의 독립적인 독립형 데이터 센터입니다. 각 가용성 도메인의 물리적 리소스는 결함 허용 한도를 제공하는 다른 가용성 도메인의 리소스와 격리됩니다. 가용성 도메인은 전원, 냉각 또는 내부 가용성 도메인 네트워크와 같은 인프라를 공유하지 않습니다. 따라서 한 가용성 도메인에서 오류가 영역의 다른 가용성 도메인에 영향을 주지 않을 수 있습니다.
- 결함 도메인
결함 도메인은 가용성 도메인 내의 하드웨어와 기반구조를 그룹화한 것입니다. 각 가용성 도메인에는 독립적인 전원 및 하드웨어가 있는 3개의 장애 도메인이 있습니다. 여러 결함 도메인에 컴퓨트 인스턴스를 배치하면 응용 프로그램에서 물리적 서버 오류, 시스템 유지 관리, 가용성 도메인 내의 많은 공통 네트워킹 및 전원 오류를 허용할 수 있습니다.
- VCN(가상 클라우드 네트워크) 및 서브넷
VCN는 Oracle Cloud Infrastructure 지역에서 설정하는 소프트웨어 정의 네트워크입니다. VCN은 영역 또는 가용성 도메인에 특정한 서브넷으로 분할할 수 있습니다. 지역별 서브넷과 가용성 도메인별 서브넷은 모두 동일한 VCN에 공존할 수 있습니다. 서브넷은 공용 또는 전용일 수 있습니다.
- 보안 목록
각 서브넷에 대해 서브넷에서 허용되어야 하는 트래픽의 소스, 대상 및 유형을 지정하는 보안 규칙을 생성할 수 있습니다.
- 경로 테이블
가상 경로 테이블에는 일반적으로 게이트웨이를 통해 서브넷의 트래픽을 VCN 외부의 대상으로 경로 지정하는 규칙이 포함되어 있습니다.
- 클라이언트 장치
Windows PC, Mac, Linux PC 및 태블릿(예: Apple iPad 및 Android 기반 장치) 과 같은 다양한 클라이언트 장치입니다. 또한 최신 웹 브라우저가 있는 시스템은 HTML5 클라이언트를 사용할 수 있습니다.
- 로드 밸런서
Oracle Cloud Infrastructure Load Balancing 서비스는 한 시작점에서 VCN에서 연결 가능한 여러 SGD 게이트웨이로 자동화된 트래픽 분배를 제공합니다. 로드 밸런서에서 SGD 게이트웨이로의 연결은 HTTPS가 아닌 443의 TCP여야 합니다.
- 컴퓨팅 및 애플리케이션 서버
응용 프로그램 서버는 SGD가 보안 액세스를 제공하는 실제 대상 리소스입니다. SGD 서버에 대한 RDP, SSH 또는 Telnet 액세스를 제공하는 모든 것이 될 수 있습니다. SGD 서버만 응용 프로그램 서버와 통신해야 합니다. 응용 프로그램 서버는 물리적 끝점이나 가상 끝점일 수 있습니다. SGD는 응용 프로그램 서버에서 응용 프로그램 또는 데스크탑 환경을 실행합니다.
- SGD 서버
서버는 일반 사용자에게 HTML 작업 영역을 제공하기 위한 인증 및 권한 부여를 처리합니다. 또한 서버는 RDP, SSH 또는 Telnet 프로토콜을 SGD 고유의 AIP(Adaptive Internet Protocol) 로 변환하고 SGD 게이트웨이를 통해 클라이언트로 트래픽을 전송합니다. SGD 서버는 사용자가 실행할 자격이 있는 응용 프로그램 및 응용 프로그램 서버에 대한 권한 부여를 처리합니다. SGD 서버는 이 권한 부여를 내부 구성 데이터베이스에 저장합니다.
여러 SGD 서버를 어레이로 구성하여 단일 구성 데이터베이스를 공유하고 용량을 늘리고 중복성을 제공할 수 있습니다. 클라이언트 액세스를 중단하지 않고 동적으로 서버를 추가하거나 제거할 수 있습니다.
- SGD 게이트웨이
게이트웨이는 외부로 서비스를 노출하는 특수한 역 프록시입니다. 경로 지정 및 로드 밸런싱도 제공합니다. 게이트웨이는 stateless 이며 ID 또는 응용 프로그램 구성에 대한 정보가 없습니다. SGD 서버와 통신해야 하는 유일한 구성 요소입니다. 로드 및 중복성을 위해 여러 게이트웨이를 구성할 수 있습니다.
권장 사항
요구 사항은 여기에 설명된 아키텍처와 다를 수 있습니다. 다음 권장 사항을 시작점으로 사용하십시오.
- VCN
VCN를 생성할 때 각 서브넷의 클라우드 리소스에 필요한 IP 주소 수를 결정합니다. CIDR(Classless Inter-Domain Routing) 표기법을 사용하여 필요한 IP 주소에 충분히 큰 서브넷 마스크 및 네트워크 주소 범위를 지정합니다. 표준 전용 IP 주소 공간 내에 있는 주소 범위를 사용합니다.
필요한 경우 VCN와 온-프레미스 네트워크 간의 접속을 설정할 수 있도록 온-프레미스 네트워크와 겹치지 않는 주소 범위를 선택합니다.
VCN를 생성한 후에는 주소 범위를 변경할 수 없습니다.
서브넷을 설계할 때 트래픽 흐름 및 보안 요구사항을 고려하십시오. 특정 계층 또는 역할 내의 모든 리소스를 동일한 서브넷에 연결합니다. 이 서브넷은 보안 경계 역할을 할 수 있습니다.
- 보안 목록
보안 목록을 사용하여 각 서브넷에 적용되는 수신 및 송신 규칙을 정의합니다. 다음 포트에 대한 트래픽이 허용되는지 확인합니다:
SGD 게이트웨이와 SGD 서버 간의 트래픽에 대한 포트 443및 5307
SGD 서버와 다른 SGD 서버 간의 트래픽에 대한 포트 443및 5427
SGD 서버와 연산 또는 응용 프로그램 서버 간의 트래픽에 대한 포트 22및 3389
- SGD 크기 조정
일반적으로 화면 크기가 1920x1200및 32비트 색상 깊이인 단일 Windows 또는 X11응용 프로그램은 SGD 서버에서 약 1500MB의 메모리를 사용하고 SGD 게이트웨이에서는 약 80MB의 메모리를 사용합니다. 이러한 값은 사용자 수 및 동시 응용 프로그램 수에 따라 증가합니다.
고려 사항
- 성능
SGD 서버는 가용성 도메인 또는 지역과 같이 액세스해야 하는 응용 프로그램 서버에 최대한 가깝게 위치해야 합니다.
- 네트워킹
모든 게이트웨이는 모든 SGD 서버와 통신할 수 있어야 하며 모든 SGD 서버는 어레이의 다른 모든 SGD 서버와 통신할 수 있어야 합니다. 동일한 도메인 또는 영역에 있는 SGD 서버만 동일한 도메인 또는 영역에 있는 응용 프로그램 서버와 통신할 수 있어야 합니다. 이 작동 모드에서는 SGD 서버에 응용 프로그램 서버의 위치와 일치하는 SGD 위치가 지정됩니다. SGD 기반구조가 대상 응용 프로그램 서버와 동일한 구획에 배치된 경우 달성할 작업에 따라 단일 지역별 서브넷이 충분해야 합니다. SGD를 사용하여 구획 및 영역에 분산된 리소스에 대한 액세스를 안전하고 쉽게 제어하려면 여러 서브넷을 구성해야 합니다. 이 레벨에서 SGD는 다른 네트워크 제품처럼 작동합니다. SGD 기반구조와 SGD 서버 및 대상 응용 프로그램 서버 간에 필요한 포트를 열어야 합니다.
- 보안
리소스에는 공용 IP 주소가 필요하지 않으며 SGD를 통해서만 액세스할 수 있습니다.
- 가용성
가용성을 높이려면 SGD 게이트웨이 및 SGD 서버를 여러 개 사용하는 것이 좋습니다.
- 비용
SGD에는 명명된 사용자와 라이센스가 있습니다. SGD 배치 횟수 또는 위치에 관계없이 모든 최종 사용자에게 라이센스가 필요합니다. 동일한 라이센스 사용자가 Oracle Cloud Infrastructure 및 온프레미스에 설치된 SGD에 액세스할 수 있습니다.
배치
SGD로 시작하는 가장 쉬운 방법은 Oracle Cloud Marketplace 이미지를 사용하는 것입니다.
Oracle Cloud Marketplace 이미지의 SGD 게이트웨이 및 SGD 서버는 동일한 컴퓨트 인스턴스에 공동 배치 설정으로 구성되어 있습니다. 게이트웨이 및 서버 구성 요소가 동일한 인스턴스에 있을 경우 SGD 어레이를 구성할 수 없습니다. 그러나 게이트웨이 또는 서버 구성 요소를 설치된 상태로 유지하도록 Marketplace 이미지를 재구성한 다음 어레이 구성을 계속할 수 있습니다.
- Oracle Cloud Marketplace로 이동합니다.
- 앱 가져오기 를 누릅니다.
- 화면 프롬프트를 따릅니다.