기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Amazon WorkSpaces Secure Browser용 VPC 설정
WorkSpaces Secure Browser용 VPC를 설정하고 구성하려면 다음 단계를 완료합니다.
**Topics**
+ [Amazon WorkSpaces Secure Browser에 대한 VPC 요구 사항](vpc-reqs.md)
+ [Amazon WorkSpaces Secure Browser용 새 VPC 생성](create-vpc.md)
+ [Amazon WorkSpaces Secure Browser의 인터넷 브라우징 활성화](internet-browsing.md)
+ [WorkSpaces Secure Browser용 VPC 모범 사례](vpc-setup-recommendations.md)
+ [Amazon WorkSpaces Secure Browser에서 지원되는 가용 영역](availability-zones.md)
# Amazon WorkSpaces Secure Browser에 대한 VPC 요구 사항
WorkSpaces Secure Browser 포털을 생성하는 동안 계정에서 VPC를 선택합니다. 서로 다른 두 개의 가용 영역에서 두 개 이상의 서브넷이 있어야 합니다. VPC 및 서브넷은 다음과 같은 요구 사항을 충족해야 합니다.
+ VPC는 기본 테넌시를 가지고 있어야 합니다. 전용 테넌시가 있는 VPC는 지원되지 않습니다.
+ 가용성 고려 시에는 서로 다른 두 개의 가용 영역에 생성된 둘 이상의 서브넷이 필요합니다. 서브넷에는 예상되는 Workspaces Secure Browser 트래픽을 지원할 수 있는 충분한 IP 주소가 있어야 합니다. 최대 동시 세션 수를 수용하기에 적합한 클라이언트 IP 주소를 허용하는 서브넷 마스크를 사용하여 각 서브넷을 구성합니다. 자세한 내용은 [Amazon WorkSpaces Secure Browser용 새 VPC 생성](create-vpc.md) 단원을 참조하십시오.
+ 모든 서브넷은 사용자가 WorkSpaces Secure Browser를 사용하여 액세스할 수 있는 AWS 클라우드 또는 온프레미스에 있는 모든 내부 콘텐츠에 안정적으로 연결되어 있어야 합니다.
가용성 및 규모 조정 여부를 고려하여 서로 다른 가용 영역에서 세 개의 서브넷을 선택하는 것이 좋습니다. 자세한 내용은 [Amazon WorkSpaces Secure Browser용 새 VPC 생성](create-vpc.md) 단원을 참조하십시오.
WorkSpaces Secure Browser는 인터넷 액세스를 활성화하기 위해 스트리밍 인스턴스에 퍼블릭 IP 주소를 할당하지 않습니다. 퍼블릭 IP 주소는 인터넷에서 스트리밍 인스턴스에 액세스할 수 있게 합니다. 따라서 퍼블릭 서브넷에 연결된 스트리밍 인스턴스는 인터넷에 액세스할 수 없습니다. WorkSpaces Secure Browser 포털에서 퍼블릭 인터넷 콘텐츠와 프라이빗 VPC 콘텐츠 모두에 액세스할 수 있게 하려면 [Amazon WorkSpaces Secure Browser의 무제한 인터넷 브라우징 활성화(권장)](unrestricted-internet-browsing.md)에 설명된 단계를 완료합니다.
# Amazon WorkSpaces Secure Browser용 새 VPC 생성
이 섹션에서는 VPC 마법사를 사용하여 퍼블릭 및 프라이빗 서브넷이 있는 VPC를 빠르게 생성하는 방법을 설명합니다. 마법사는 인터넷 게이트웨이, NAT 게이트웨이를 자동으로 생성하고 서브넷의 라우팅 테이블을 구성합니다.
이 구성에 대한 자세한 내용은 [퍼블릭 및 프라이빗 서브넷이 있는 VPC(NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenario2.html)를 참조하십시오.
**Topics**
+ [빠른 VPC 설정(1분)](vpc-step1.md)
+ [서브넷 라우팅 테이블 확인(선택 사항)](vpc-step2.md)
# 빠른 VPC 설정(1분)
인터넷 액세스를 위한 퍼블릭 및 프라이빗 서브넷이 있는 WorkSpaces Secure Browser 전용 VPC를 빠르게 생성하려면 다음 단계를 완료하세요. 기존 VPC를 사용하려면 섹션을 [Amazon WorkSpaces Secure Browser에 대한 VPC 요구 사항](vpc-reqs.md) 참조하여 요구 사항을 충족하는지 확인하세요.
**참고**
원하는에 있는지 확인합니다 AWS 리전. 필요한 경우 콘솔에서 리전을 변경할 수 있습니다.
**VPC를 빠르게 설정하려면**
1. VPC 생성 마법사 열기: [리소스를 사용하여 VPC를 생성합니다](https://console.aws.amazon.com/vpcconsole/home#CreateVpc:createMode=vpcWithResources). 아래에 지정하지 않는 한 모든 설정을 기본값으로 유지합니다.
+ **생성할 리소스에서** **VPC 등을** 선택합니다.
+ **이름 태그**에서 **자동 생성을** 선택하고 VPC를 설명하는 이름(예: **WSB-VPC**)을 입력합니다.
+ **IPv4 CIDR 블록**의 경우 기본적으로 VPC는를 사용합니다**10.0.0.0/16**. 필요한 경우 다른 IPv4 CIDR 블록을 지정할 수 있습니다.
+ **테넌시**에서 **기본값을** 선택합니다(전용 테넌시VPCs는 지원되지 않음).
+ **가용 영역(AZs) 수에서** **2**를 선택합니다.
+ **AZs 사용자 지정을** 확장하고 WorkSpaces Secure Browser에서 지원하는 2개의 서로 다른 가용 영역을 선택합니다. 지원되는 AZs[Amazon WorkSpaces Secure Browser에서 지원되는 가용 영역](availability-zones.md).
+ **퍼블릭 서브넷 수에서 2를** 선택합니다. ****
+ **프라이빗 서브넷 수에서** **2**를 선택합니다.
+ **서브넷 CIDR 블록**의 경우 서브넷의 CIDR 블록을 사용자 지정해야 하는 경우 **서브넷 CIDR 블록 사용자 지정을 확장합니다**. 각 서브넷에 예상 트래픽에 충분한 IP 주소가 있는지 확인합니다.
+ **NAT 게이트웨이의** 경우 **리전**을 선택하여 모든 가용 영역에서 프라이빗 서브넷에 대한 인터넷 액세스를 활성화합니다.
+ **VPC 엔드포인트**에서 **없음을** 선택합니다. NAT 게이트웨이를 통과하지 않고 직접 S3 액세스가 필요한 경우 **S3 게이트웨이**를 선택합니다.
+ **DNS 옵션**의 경우 **DNS 옵션을** 활성화(기본값) 상태로 유지하여 VPC 내에서 적절한 이름 확인을 보장합니다.
1. 미리 보기 창을 검토한 다음 **VPC 생성을** 선택합니다.
**참고**
NAT 게이트웨이 및 VPC 엔드포인트에는 추가 요금이 적용됩니다. 자세한 내용은 [VPC 요금 페이지를](https://aws.amazon.com/vpc/pricing/) 참조하세요.
# 서브넷 라우팅 테이블 확인(선택 사항)
VPC 마법사는 자동으로 라우팅 테이블을 구성합니다. VPC를 수동으로 생성했거나 구성을 확인하려는 경우 라우팅 테이블에 대해 다음 세부 정보가 올바른지 확인할 수 있습니다.
+ NAT 게이트웨이가 상주하는 서브넷과 연결된 라우팅 테이블에는 인터넷 트래픽을 인터넷 게이트웨이로 가리키는 라우팅이 포함되어 있어야 합니다. 그러면 NAT 게이트웨이가 인터넷에 액세스할 수 있습니다.
+ 프라이빗 서브넷과 연결된 라우팅 테이블은 인터넷 트래픽을 NAT 게이트웨이로 가리키도록 구성되어야 합니다. 그러면 프라이빗 서브넷의 스트리밍 인스턴스가 인터넷과 통신할 수 있습니다.
**서브넷 라우팅 테이블 확인 및 이름 지정**
1. 탐색 창에서 **서브넷을** 선택한 다음 퍼블릭 서브넷을 선택합니다. 예: **WSB-VPC-subnet-public1-us-east-1a**.
1. **라우팅 테이블** 탭에서 라우팅 테이블의 ID를 선택합니다. **rtb-12345678**을 예로 들 수 있습니다.
1. 라우팅 테이블을 선택합니다. **이름**에서 편집(연필) 아이콘을 선택하고 테이블 이름을 입력합니다. 예를 들어, **workspacesweb-public-routetable**을 이름으로 입력할 수 있습니다. 확인 표시를 선택하여 이름을 저장합니다.
1. 퍼블릭 라우팅 테이블이 선택된 상태에서, **경로** 탭에서 로컬 트래픽용 경로 하나와 다른 모든 트래픽을 VPC의 인터넷 게이트웨이로 전송하는 또 하나의 경로가 있는지 확인합니다. 다음 표는 이들 두 경로에 대해 설명합니다.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/workspaces-web/latest/adminguide/vpc-step2.html)
1. 탐색 창에서 **Subnets**를 선택합니다. 그런 다음 프라이빗 서브넷(예: **WSB-VPC-subnet-private1-us-east-1a**)을 선택합니다.
1. **라우팅 테이블** 탭에서 라우팅 테이블의 ID를 선택합니다.
1. 라우팅 테이블을 선택합니다. **이름**에서 편집(연필) 아이콘을 선택하고 테이블 이름을 입력합니다. 예를 들어, **WSB-VPC-private-routetable**을 이름으로 입력할 수 있습니다. 이름을 저장하려면 확인 표시를 선택합니다.
1. **경로** 탭에서 라우팅 테이블에 다음 라우팅이 포함되어 있는지 확인합니다.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/workspaces-web/latest/adminguide/vpc-step2.html)
1. 탐색 창에서 **Subnets**를 선택합니다. 그런 다음 생성한 두 번째 프라이빗 서브넷(예: **WorkSpaces Secure Browser Private Subnet2**)을 선택합니다.
1. **라우팅 테이블** 탭에서 선택된 라우팅 테이블이 프라이빗 라우팅 테이블(예: **workspacesweb-private-routetable**)인지 확인합니다. 라우팅 테이블이 다르다면 **편집**을 선택하고 프라이빗 라우팅 테이블을 대신 선택합니다.
# Amazon WorkSpaces Secure Browser의 인터넷 브라우징 활성화
무제한 인터넷 브라우징(권장 옵션) 또는 제한된 인터넷 브라우징을 활성화하도록 선택할 수 있습니다.
**Topics**
+ [Amazon WorkSpaces Secure Browser의 무제한 인터넷 브라우징 활성화(권장)](unrestricted-internet-browsing.md)
+ [Amazon WorkSpaces Secure Browser의 제한된 인터넷 브라우징 활성화](restricted-internet-browsing.md)
+ [Amazon WorkSpaces Secure Browser용 인터넷 연결 포트](vpc-connection.md)
# Amazon WorkSpaces Secure Browser의 무제한 인터넷 브라우징 활성화(권장)
아래 단계에 따라 무제한 인터넷 브라우징이 가능한 NAT 게이트웨이가 있는 VPC를 구성합니다. 이를 통해 WorkSpaces Secure Browser는 퍼블릭 인터넷상의 사이트 및 VPC에서 호스팅되거나 VPC에 연결된 프라이빗 사이트에 액세스할 수 있습니다.
**무제한 인터넷 브라우징이 가능한 NAT 게이트웨이가 있는 VPC 구성**
WorkSpaces Secure Browser 포털에서 퍼블릭 인터넷 콘텐츠와 프라이빗 VPC 콘텐츠 모두에 액세스할 수 있게 하려면 이 단계를 따릅니다.
**참고**
VPC를 이미 구성한 경우 다음 단계를 완료하여 VPC에 NAT 게이트웨이를 추가합니다. 새 VPC를 생성해야 하는 경우 [Amazon WorkSpaces Secure Browser용 새 VPC 생성](create-vpc.md) 섹션을 참조하십시오.
1. NAT 게이트웨이를 생성하려면 [NAT 게이트웨이 만들기](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-creating) 단계를 완료합니다. 이 NAT 게이트웨이가 퍼블릭 연결이 가능하고 VPC의 퍼블릭 서브넷에 있는지 확인합니다.
1. 서로 다른 가용 영역에서 두 개 이상의 서브넷을 지정해야 합니다. 서브넷을 서로 다른 가용 영역에 할당하면 가용성과 내결함성을 높일 수 있습니다. 프라이빗 서브넷이 있는 VPC를 생성하는 방법에 대한 자세한 내용은 섹션을 참조하세요[빠른 VPC 설정(1분)](vpc-step1.md).
**참고**
모든 스트리밍 인스턴스가 인터넷에 액세스할 수 있도록 하려면 WorkSpaces Secure Browser 포털에 퍼블릭 서브넷을 연결하지 마세요.
1. 인터넷 바운드 트래픽을 NAT 게이트웨이로 가리키도록 프라이빗 서브넷과 연결된 라우팅 테이블을 업데이트합니다. 그러면 프라이빗 서브넷의 스트리밍 인스턴스가 인터넷과 통신할 수 있습니다. 라우팅 테이블을 프라이빗 서브넷과 연결하는 방법에 대한 자세한 내용은 [라우팅 테이블 구성](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html) 단계를 확인합니다.
# Amazon WorkSpaces Secure Browser의 제한된 인터넷 브라우징 활성화
WorkSpaces Secure Browser 포털의 권장 네트워크 설정은 NAT 게이트웨이를 사용하는 프라이빗 서브넷을 사용하는 것입니다. 이렇게 하면 포털에서 퍼블릭 인터넷 콘텐츠와 프라이빗 콘텐츠를 모두 브라우징할 수 있습니다. 자세한 내용은 [Amazon WorkSpaces Secure Browser의 무제한 인터넷 브라우징 활성화(권장)](unrestricted-internet-browsing.md) 단원을 참조하십시오. 그러나 웹 프록시를 사용하여 WorkSpaces Secure Browser 포털에서 인터넷으로의 아웃바운드 통신을 제어해야 할 수 있습니다. 예를 들어 웹 프록시를 인터넷 게이트웨이로 사용하는 경우 도메인 허용 목록 및 콘텐츠 필터링과 같은 예방 보안 제어를 구현할 수 있습니다. 또한 웹 페이지 또는 소프트웨어 업데이트와 같이 자주 액세스하는 리소스를 로컬에 캐싱하여 대역폭 사용량을 줄이고 네트워크 성능을 개선할 수 있습니다. 일부 사용 사례의 경우 웹 프록시를 통해서만 액세스할 수 있는 프라이빗 콘텐츠가 있을 수 있습니다.
관리형 디바이스 또는 가상 환경의 이미지에서 프록시 설정을 구성하는 데 이미 익숙할 수 있습니다. 하지만 기업에서 소유하거나 관리하지 않는 디바이스를 사용자가 사용하고 있는 경우와 같이 디바이스를 제어할 수 없거나 가상 환경의 이미지를 관리해야 하는 경우 문제가 발생할 수 있습니다. WorkSpaces Secure Browser를 사용하면 웹 브라우저에 내장된 Chrome 정책을 사용하여 프록시 설정을 설정할 수 있습니다. 이 작업은 WorkSpaces Secure Browser의 HTTP 아웃바운드 프록시를 설정하여 수행할 수 있습니다.
이 솔루션은 권장 아웃바운드 VPC 프록시 설정을 기반으로 합니다. 프록시 솔루션은 오픈 소스 HTTP 프록시 [Squid](http://www.squid-cache.org/)를 기반으로 합니다. 그런 다음 WorkSpaces Secure Browser 브라우저 설정을 사용하여 프록시 엔드포인트에 연결하도록 WorkSpaces Secure Browser 포털을 구성합니다. 자세한 내용은 [도메인 화이트리스트 및 콘텐츠 필터링으로 아웃바운드 VPC 프록시를 설정하는 방법](https://aws.amazon.com/blogs/security/how-to-set-up-an-outbound-vpc-proxy-with-domain-whitelisting-and-content-filtering/)을 참조하세요.
이 솔루션은 다음과 같은 이점을 제공합니다.
+ Network Load Balancer에서 호스팅하는 오토 스케일링 Amazon EC2 인스턴스 그룹으로 구성된 아웃바운드 프록시. 프록시 인스턴스는 퍼블릭 서브넷에 있으며 각 인스턴스는 탄력적 IP로 연결되므로 인터넷에 액세스할 수 있습니다.
+ 프라이빗 서브넷에 배포된 WorkSpaces Secure Browser 포털. 인터넷 액세스를 활성화하기 위해 NAT 게이트웨이를 구성할 필요가 없습니다. 대신 모든 인터넷 트래픽이 아웃바운드 프록시를 통과하도록 브라우저 정책을 구성합니다. 자체 프록시를 사용하려는 경우에도 WorkSpaces Secure Browser 포털 설정이 비슷합니다.
**Topics**
+ [Amazon WorkSpaces Secure Browser의 제한된 인터넷 브라우징 아키텍처](restricted-architecture.md)
+ [Amazon WorkSpaces Secure Browser의 제한된 인터넷 브라우징 사전 조건](restricted-prerequisites.md)
+ [Amazon WorkSpaces Secure Browser용 HTTP 아웃바운드 프록시](restricted-setup.md)
+ [Amazon WorkSpaces Secure Browser의 제한된 인터넷 브라우징 문제 해결](restricted-troubleshooting.md)
# Amazon WorkSpaces Secure Browser의 제한된 인터넷 브라우징 아키텍처
다음은 VPC에서 일반적인 프록시 설정의 예입니다. Amazon EC2 프록시 인스턴스는 퍼블릭 서브넷에 있으며 탄력적 IP로 연결되므로 인터넷에 액세스할 수 있습니다. Network Load Balancer는 프록시 인스턴스의 Auto Scaling 그룹을 호스팅합니다. 이를 통해 프록시 인스턴스가 자동으로 스케일 업되고 Network Load Balancer는 WorkSpaces Secure Browser 세션에서 사용할 수 있는 단일 프록시 엔드포인트가 됩니다.
![\[WorkSpaces Secure Browser 아키텍처\]](http://docs.aws.amazon.com/ko_kr/workspaces-web/latest/adminguide/images/restricted-internet-architecture.png)
# Amazon WorkSpaces Secure Browser의 제한된 인터넷 브라우징 사전 조건
시작하기 전에 다음 사전 조건을 충족하는지 확인합니다.
+ 이미 배포된 VPC가 필요하며, 퍼블릭 및 프라이빗 서브넷이 여러 가용 영역(AZ)에 분산되어 있어야 합니다. VPC 환경을 설정하는 방법에 대한 자세한 내용은 [기본 VPC](https://docs.aws.amazon.com/vpc/latest/userguide/default-vpc.html)를 참조하세요.
+ WorkSpaces Secure Browser 세션이 위치한 프라이빗 서브넷에서 액세스할 수 있는 단일 프록시 엔드포인트(예: Network Load Balancer DNS 이름)가 필요합니다. 기존 프록시를 사용하려면 프라이빗 서브넷에서 액세스할 수 있는 단일 엔드포인트가 있는지 확인합니다.
# Amazon WorkSpaces Secure Browser용 HTTP 아웃바운드 프록시
WorkSpaces Secure Browser용 HTTP 아웃바운드 프록시를 설정하려면 다음 단계를 따릅니다.
1. VPC에 예제 아웃바운드 프록시를 배포하려면 [도메인 화이트리스트 및 콘텐츠 필터링으로 아웃바운드 VPC 프록시를 설정하는 방법](https://aws.amazon.com/blogs/security/how-to-set-up-an-outbound-vpc-proxy-with-domain-whitelisting-and-content-filtering/)에 설명된 단계를 따릅니다.
1. ‘설치(일회성 설정)’의 단계에 따라 CloudFormation 템플릿을 계정에 배포합니다. 올바른 VPC와 서브넷을 CloudFormation 템플릿 파라미터로 선택해야 합니다.
1. 배포 후 CloudFormation 출력 파라미터 **OutboundProxyDomain** 및 **OutboundProxyPort**를 찾습니다. 이는 프록시의 DNS 이름과 포트입니다.
1. 이미 자체 프록시가 있는 경우 이 단계를 건너뛰고 프록시의 DNS 이름과 포트를 사용합니다.
1. WorkSpaces Secure Browser 콘솔에서 포털을 선택한 다음 **편집**을 선택합니다.
1. **네트워크 연결 세부 정보**에서 프록시에 액세스할 수 있는 VPC 및 프라이빗 서브넷을 선택합니다.
1. **정책 설정**에서 JSON 편집기를 사용하여 다음 ProxySettings 정책을 추가합니다. `ProxyServer` 필드는 프록시의 DNS 이름과 포트여야 합니다. ProxySettings 정책에 대한 자세한 내용은 [ProxySettings](https://chromeenterprise.google/policies/#ProxySettings)를 참조하세요.
```
{
"chromePolicies":
{
...
"ProxySettings": {
"value": {
"ProxyMode": "fixed_servers",
"ProxyServer": "OutboundProxyLoadBalancer-0a01409a46943c47.elb.us-west-2.amazonaws.com:3128",
"ProxyBypassList": "https://www.example1.com,https://www.example2.com,https://internalsite/"
}
},
}
}
```
1. WorkSpaces Secure Browser 세션에서 **Chrome이 관리자에게서 받은 프록시 설정을 사용 중입니다.**가 표시되어 Chrome 설정에 프록시가 적용되었음을 확인할 수 있습니다.
1. chrome://policy 및 **Chrome 정책** 탭으로 이동하여 정책이 적용되었는지 확인합니다.
1. WorkSpaces Secure Browser 세션이 NAT 게이트웨이 없이도 인터넷 콘텐츠를 성공적으로 브라우징할 수 있는지 확인합니다. CloudWatch Logs에서 Squid 프록시 액세스 로그가 기록되었는지 확인합니다.
# Amazon WorkSpaces Secure Browser의 제한된 인터넷 브라우징 문제 해결
Chrome 정책을 적용한 후에도 WorkSpaces Secure Browser 세션에서 여전히 인터넷에 액세스할 수 없는 경우 다음 단계에 따라 문제를 해결하세요.
+ WorkSpaces Secure Browser 포털이 있는 프라이빗 서브넷에서 프록시 엔드포인트에 액세스할 수 있는지 확인합니다. 이를 확인하려면 프라이빗 서브넷에서 EC2 인스턴스를 생성하고 프라이빗 EC2 인스턴스에서 프록시 엔드포인트로의 연결을 테스트합니다.
+ 프록시에서 인터넷에 액세스할 수 있는지 확인합니다.
+ Chrome 정책이 올바른지 확인합니다.
+ 정책의 `ProxyServer` 필드가 `:` 형식인지 확인합니다. 앞에 `http://` 또는 `https://`가 포함되지 않아야 합니다.
+ WorkSpaces Secure Browser 세션에서 Chrome을 사용하여 chrome://policy로 이동한 후 ProxySettings 정책이 성공적으로 적용되었는지 확인합니다.
# Amazon WorkSpaces Secure Browser용 인터넷 연결 포트
각 WorkSpaces Secure Browser 스트리밍 인스턴스에는 고객 네트워크 인터페이스가 있어 VPC 내의 리소스에 연결할 수 있을 뿐만 아니라 NAT 게이트웨이가 있는 프라이빗 서브넷이 설정된 경우 인터넷에 연결할 수 있습니다.
인터넷 연결을 위해 모든 대상에 대해 다음 포트가 열려 있어야 합니다. 수정된 보안 그룹 또는 사용자 지정 보안 그룹을 사용하는 경우에는 필요한 규칙을 수동으로 추가해야 합니다. 자세한 내용은 [보안 그룹 규칙](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#SecurityGroupRules.html)을 참조하십시오.
**참고**
이는 송신 트래픽에도 적용됩니다.
+ TCP 80(HTTP)
+ TCP 443(HTTPS)
+ UDP 8433
# WorkSpaces Secure Browser용 VPC 모범 사례
다음 권장 사항은 VPC를 보다 효과적이고 안전하게 구성하는 데 도움이 될 수 있습니다.
**전체 VPC 구성**
+ VPC 구성이 규모 조정 요구 사항을 지원할 수 있는지 확인합니다.
+ WorkSpaces Secure Browser 서비스 할당량(한도라고도 함)이 예상 수요를 지원하기에 충분한지 확인합니다. 할당량 증가를 요청하려면 [https://console.aws.amazon.com/servicequotas/](https://console.aws.amazon.com/servicequotas/)에서 서비스 할당량 콘솔을 사용합니다. 기본 WorkSpaces Secure Browser 할당량에 대한 자세한 내용은 [Amazon WorkSpaces Secure Browser에서 포털의 서비스 할당량 관리](request-service-quota.md) 단원을 참조하세요.
+ 인터넷에 액세스할 수 있는 스트리밍 세션을 제공하려는 경우 퍼블릭 서브넷에서 NAT 게이트웨이가 있는 VPC를 구성하는 것이 좋습니다.
**탄력적 네트워크 인터페이스**
+ 스트리밍 기간 동안에는 각 WorkSpaces Secure Browser 세션에 고유한 탄력적 네트워크 인터페이스가 필요합니다. WorkSpaces Secure Browser의 경우 플릿에 필요한 최대 용량 만큼 [탄력적 네트워크 인터페이스](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ElasticNetworkInterfaces.html)(ENI)를 생성합니다. 기본적으로 리전당 ENI 한도는 5,000입니다. 자세한 정보는 [네트워크 인터페이스](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html#vpc-limits-enis)를 참조하십시오.
수천 개의 동시 스트리밍 세션과 같은 대규모 배포의 용량을 계획할 때는 최대 사용량에 필요할 수 있는 ENI의 수를 고려합니다. ENI 한도는 웹 포털에 구성한 최대 동시 사용량 한도 이상으로 유지하는 것이 좋습니다.
**서브넷**
+ 사용자 스케일 업 계획을 세울 때는 구성된 서브넷의 고유한 클라이언트 IP 주소가 각 WorkSpaces Secure Browser 세션에 필요합니다. 따라서 서브넷에 구성된 클라이언트 IP 주소 스페이스의 크기에 따라 동시에 스트리밍할 수 있는 사용자 수가 결정됩니다.
+ 예상되는 최대 동시 사용자 수를 수용하기에 적합한 클라이언트 IP 주소를 허용하는 서브넷 마스크를 사용하여 각 프라이빗 서브넷을 구성하는 것이 좋습니다. 또한 예상 증가율을 고려하여 IP 주소의 추가를 고려할 수도 있습니다. 자세한 내용은 [IPv4의 VPC 및 서브넷 규모 조정](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#vpc-sizing-ipv4)을 참조하십시오.
+ 가용성 및 규모 조정 여부를 고려하여 원하는 리전에서 WorkSpaces Secure Browser이 지원하는 고유한 가용 영역 각각에 서브넷을 구성하는 것이 좋습니다. 자세한 내용은 [Amazon WorkSpaces Secure Browser용 새 VPC 생성](create-vpc.md) 단원을 참조하십시오.
+ 서브넷을 통해 웹 애플리케이션에 필요한 네트워크 리소스에 액세스할 수 있는지 확인합니다.
**보안 그룹**
+ 보안 그룹을 사용하여 VPC에 대한 추가 액세스 제어를 제공합니다.
VPC에 속한 보안 그룹을 사용하면 WorkSpaces Secure Browser 스트리밍 인스턴스와 웹 애플리케이션에 필요한 네트워크 리소스 간의 네트워크 트래픽을 제어할 수 있습니다. 보안 그룹은 웹 애플리케이션에 필요한 네트워크 리소스에 대한 액세스를 제공해야 합니다.
# Amazon WorkSpaces Secure Browser에서 지원되는 가용 영역
WorkSpaces Secure Browser와 함께 사용할 가상 프라이빗 클라우드(VPC)를 생성하는 경우 VPC의 서브넷은 WorkSpaces Secure Browser를 시작하려는 리전의 다른 가용 영역에 있어야 합니다. 각 가용 영역은 다른 가용 영역에서 발생한 장애를 격리시킬 수 있도록 서로 분리된 공간이어야 합니다. 별도의 가용 영역에서 인스턴스를 시작함으로써 단일 위치에서 장애가 발생할 경우 애플리케이션을 보호할 수 있습니다. 각 서브넷은 단일 가용 영역 내에서만 존재해야 하며, 여러 영역으로 스케일 아웃할 수 없습니다. 복원력을 극대화하려면 원하는 리전에서 지원되는 각 AZ에 대해 서브넷을 구성하는 것이 좋습니다.
가용 영역은 리전 코드와 식별 문자의 조합으로 표시됩니다(예: `us-east-1a`). 리전의 가용 영역에 걸쳐 리소스가 배포될 수 있도록 각 AWS 계정의 이름에 가용 영역을 독립적으로 매핑합니다. 예를 들어 `us-east-1a` 계정의 AWS 가용 영역은 다른 `us-east-1a` 계정에 대한 AWS 와(과) 위치가 동일하지 않을 수 있습니다.
계정에 대해 가용 영역을 조정하려면 가용 영역에 대한 고유하고 일관된 식별자인 *AZ ID*를 사용해야 합니다. 예를 들어 `use1-az2`는 `us-east-1` 리전의 AZ ID이며 모든 AWS 계정에서 위치가 동일합니다.
AZ ID를 확인하면 다른 계정의 리소스를 기준으로 한 계정의 리소스 위치를 확인할 수 있습니다. 예를 들어, AZ ID가 `use1-az2`인 가용 영역의 서브넷을 다른 계정과 공유하면 이 서브넷은 AZ ID가 `use1-az2`인 가용 영역의 계정에서 사용할 수 있습니다. 각 VPC 및 서브넷의 AZ ID가 Amazon VPC 콘솔에 표시됩니다.
WorkSpaces Secure Browser는 지원되는 각 리전의 일부 가용 영역에서만 사용 가능합니다. 다음 표에는 각 리전에 사용할 수 있는 AZ ID가 나와 있습니다. AZ ID를 계정의 가용 영역에 매핑하는 방법을 보려면 *AWS RAM 사용 설명서*의 [리소스의 AZ ID](https://docs.aws.amazon.com/ram/latest/userguide/working-with-az-ids.html)를 참조하세요.
| 리전 이름 | 리전 코드 | 지원되는 AZ ID |
| --- | --- | --- |
| 미국 동부(버지니아 북부) | us-east-1 | use1-az1, use1-az2, use1-az4, use1-az5, use1-az6 |
| 미국 서부(오리건) | us-west-2 | usw2-az1, usw2-az2, usw2-az3 |
| 아시아 태평양(뭄바이) | ap-south-1 | aps1-az1, aps1-az3 |
| 아시아 태평양(싱가포르) | ap-southeast-1 | apse1-az1, apse1-az2, apse1-az3 |
| 아시아 태평양(시드니) | ap-southeast-2 | apse2-az1, apse2-az2, apse2-az3 |
| 아시아 태평양(도쿄) | ap-northeast-1 | apne1-az1, apne1-az2, apne1-az4 |
| 캐나다(중부) | ca-central-1 | cac1-az1, cac1-az2, cac1-az4 |
| 유럽(프랑크푸르트) | eu-central-1 | euc1-az2, euc1-az2, euc1-az3 |
| 유럽(아일랜드) | eu-west-1 | euw1-az1, euw1-az2, euw1-az3 |
| 유럽(런던) | eu-west-2 | euw2-az1, euw2-az2 |
가용 영역 및 AZ ID에 대한 자세한 내용은 *Amazon EC2 사용 설명서*의 [리전, 가용 영역 및 로컬 영역](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-regions-availability-zones.html)을 참조하세요.