Microsoft Dev Box 네트워킹 요구 사항
Microsoft Dev Box는 사용자가 어디에서나 어떤 디바이스에서든 인터넷을 통해 Azure에서 실행되는 클라우드 기반 워크스테이션에 연결할 수 있도록 하는 서비스입니다. 이러한 인터넷 연결을 지원하려면 이 문서에 나열된 네트워킹 요구 사항을 따라야 합니다. 조직의 네트워킹 팀 및 보안 팀과 협력하여 개발 상자에 대한 네트워크 액세스를 계획하고 구현해야 합니다.
Microsoft 개발 상자는 Windows 365 및 Azure Virtual Desktop 서비스와 밀접하게 관련되어 있으며 대부분의 경우 네트워크 요구 사항은 동일합니다.
일반적인 네트워크 요구 사항
개발 상자는 리소스에 액세스하려면 네트워크 연결이 필요합니다. Microsoft 호스팅 네트워크 연결과 사용자 고유의 구독에서 만드는 Azure 네트워크 연결 중에서 선택할 수 있습니다. 네트워크 리소스에 대한 액세스를 허용하는 방법을 선택하는 것은 리소스의 기반이 어디에 있는지에 따라 다릅니다.
Microsoft 호스팅 연결을 사용하는 경우:
- Microsoft는 인프라를 제공하고 완벽하게 관리합니다.
- Microsoft Intune에서 개발 상자 보안을 관리할 수 있습니다.
자체 네트워크를 사용하고 Microsoft Entra 조인 개발 상자를 프로비전하려면 다음 요구 사항을 충족해야 합니다.
- Azure 가상 네트워크: Azure 구독에 가상 네트워크가 있어야 합니다. 가상 네트워크에 대해 선택하는 지역은 Azure에서 개발 상자를 배포하는 위치입니다.
- 가상 네트워크 내의 서브넷 및 사용 가능한 IP 주소 공간.
- 네트워크 대역폭: Azure의 네트워크 지침을 참조하세요.
자체 네트워크를 사용하고 Microsoft Entra 하이브리드 조인됨 개발 상자를 프로비전하려면 위 요구 사항과 다음 요구 사항을 충족해야 합니다.
- Azure 가상 네트워크는 AD DS(Active Directory Domain Services) 환경에 대한 DNS(도메인 이름 서비스) 항목을 확인할 수 있어야 합니다. 이 해결 방법을 지원하려면 AD DS DNS 서버를 가상 네트워크의 DNS 서버로 정의합니다.
- Azure 가상 네트워크에는 Azure 또는 온-프레미스의 엔터프라이즈 도메인 컨트롤러에 대한 네트워크 액세스 권한이 있어야 합니다.
Important
자체 네트워크를 사용할 때 Microsoft Dev Box는 현재 네트워크 인터페이스를 다른 가상 네트워크 또는 다른 서브넷으로 이동하는 것을 지원하지 않습니다.
네트워크 연결 허용
네트워크 구성에서 개발 상자의 프로비전, 관리 및 원격 연결을 지원하려면 다음 서비스 URL 및 포트에 대한 트래픽을 허용해야 합니다.
Microsoft Dev Box에 필요한 FQDN 및 엔드포인트
개발 상자를 설정하고 사용자가 리소스에 연결할 수 있도록 하려면 특정 FQDN(정규화된 도메인 이름) 및 엔드포인트에 대한 트래픽을 허용해야 합니다. Azure Firewall 또는 프록시 서비스와 같은 방화벽을 사용하는 경우 이러한 FQDN 및 엔드포인트를 차단할 수 있습니다.
Azure Virtual Desktop에 필요한 FQDN 및 엔드포인트에 대한 액세스 확인에서 Azure Virtual Desktop 에이전트 URL 도구를 실행하는 단계에 따라 개발 상자가 이러한 FQDN 및 엔드포인트에 연결할 수 있는지 확인할 수 있습니다. Azure Virtual Desktop 에이전트 URL 도구는 각 FQDN 및 엔드포인트의 유효성을 검사하고 개발 상자에서 액세스할 수 있는지 여부를 보여 줍니다.
Important
Microsoft는 이 문서에 나열된 FQDN 및 엔드포인트가 차단된 개발 상자 배포를 지원하지 않습니다.
Azure Firewall을 통해 엔드포인트에 FQDN 태그 및 서비스 태그 사용
개발 상자에 대한 네트워크 보안 제어를 관리하는 것은 복잡할 수 있습니다. 구성을 간소화하려면 FQDN(정규화된 도메인 이름) 태그와 서비스 태그를 사용하여 네트워크 트래픽을 허용합니다.
FQDN 태그
FQDN 태그는 정규화된 도메인 이름 그룹을 나타내는 Azure Firewall의 미리 정의된 태그입니다. FQDN 태그를 사용하면 각 도메인 이름을 수동으로 지정하지 않고도 Windows 365와 같은 특정 서비스에 대한 송신 규칙을 쉽게 만들고 유지 관리할 수 있습니다.
FQDN 태그로 정의된 그룹화는 겹칠 수 있습니다. 예를 들어 Windows365 FQDN 태그에는 표준 포트에 대한 AVD 엔드포인트가 포함되어 있습니다. 참조를 참조하세요.
타사 방화벽은 일반적으로 FQDN 태그나 서비스 태그를 지원하지 않습니다. 동일한 기능에 대해 다른 용어가 있을 수 있습니다. 방화벽 설명서를 확인합니다.
서비스 태그
서비스 태그는 지정된 Azure 서비스의 IP 주소 접두사 그룹을 나타냅니다. Microsoft는 서비스 태그에 포함되는 주소 접두사를 관리하고 주소가 변경되면 서비스 태그를 자동으로 업데이트하여 네트워크 보안 규칙을 자주 업데이트할 때 발생하는 복잡성을 최소화합니다. 서비스 태그는 NSG(네트워크 보안 그룹) 및 Azure Firewall 규칙 모두에서 사용되어 아웃바운드 네트워크 액세스를 제한할 수 있으며 UDR(사용자 지정 경로)에서는 트래픽 라우팅 동작을 사용자 지정할 수 있습니다.
물리적 디바이스 네트워크 연결에 필요한 엔드포인트
대부분의 구성은 클라우드 기반 개발 상자 네트워크용이지만 최종 사용자 연결은 물리적 디바이스에서 발생합니다. 따라서 물리적 디바이스 네트워크에 대한 연결 지침도 따라야 합니다.
| 디바이스 또는 서비스 | 네트워크 연결에 필요한 URL 및 포트 | 설명 | 필수 여부 |
|---|---|---|---|
| 물리적 디바이스 | 링크 | 원격 데스크톱 클라이언트 연결 및 업데이트. | 예 |
| Microsoft Intune 서비스 | 링크 | 디바이스 관리, 애플리케이션 제공, 엔드포인트 분석과 같은 Intune 클라우드 서비스입니다. | 예 |
| Azure Virtual Desktop 세션 호스트 가상 머신 | 링크 | 개발 상자와 백 엔드 Azure Virtual Desktop 서비스 간의 원격 연결. | 예 |
| Windows 365 서비스 | 링크 | 프로비전 및 상태 검사. | 예 |
개발 상자에 연결하는 데 사용하는 모든 디바이스는 다음 FQDN 및 엔드포인트에 액세스할 수 있어야 합니다. 신뢰할 수 있는 클라이언트 환경에는 이러한 FQDN 및 엔드포인트를 허용하는 것이 필수적입니다. 이러한 FQDN 및 엔드포인트에 대한 액세스를 차단하는 것은 지원되지 않으며 서비스 기능에 영향을 줍니다.
| 주소 | 프로토콜 | 아웃바운드 포트 | 목적 | 클라이언트 | 필수 여부 |
|---|---|---|---|---|---|
| login.microsoftonline.com | TCP | 443 | Microsoft Online Services에 대한 인증 | 모두 | 예 |
| *.wvd.microsoft.com | TCP | 443 | 서비스 트래픽 | 모두 | 예 |
| *.servicebus.windows.net | TCP | 443 | 데이터 문제 해결 | 모두 | 예 |
| go.microsoft.com | TCP | 443 | Microsoft FWLinks | 모두 | 예 |
| aka.ms | TCP | 443 | Microsoft URL 단축기 | 모두 | 예 |
| learn.microsoft.com | TCP | 443 | 설명서 | 모두 | 예 |
| privacy.microsoft.com | TCP | 443 | 개인정보처리방침 | 모두 | 예 |
| query.prod.cms.rt.microsoft.com | TCP | 443 | MSI를 다운로드하여 클라이언트를 업데이트합니다. 자동 업데이트에 필요합니다. | Windows 데스크톱 | 예 |
이러한 FQDN 및 엔드포인트는 클라이언트 사이트 및 리소스에만 해당합니다.
개발 상자 프로비전에 필요한 엔드포인트
개발 상자 프로비전 및 ANC(Azure 네트워크 연결) 상태 검사에는 다음 URL 및 포트가 필요합니다. 달리 지정하지 않는 한 모든 엔드포인트는 포트 443을 통해 연결됩니다.
| 범주 | 엔드포인트 | FQDN 태그 또는 서비스 태그 | 필수 여부 |
|---|---|---|---|
| 개발 상자 통신 엔드포인트 | .agentmanagement.dc.azure.com .cmdagent.trafficmanager.net |
해당 없음 | 예 |
| Windows 365 서비스 및 등록 엔드포인트 | 현재 Windows 365 등록 엔드포인트는 Windows 365 네트워크 요구 사항을 참조 하세요. | FQDN 태그: Windows365 | 예 |
| Azure Virtual Desktop 서비스 엔드포인트 | 현재 AVD 서비스 엔드포인트는 세션 호스트 가상 머신을 참조 하세요. | FQDN 태그: WindowsVirtualDesktop | 예 |
| Microsoft Entra ID | Microsoft Entra ID에 대한 FQDN 및 엔드포인트는 Office 365 URL 및 IP 주소 범위의 ID 56, 59 및 125에서 찾을 수 있습니다. | 서비스 태그: AzureActiveDirectory | 예 |
| Microsoft Intune | Microsoft Entra ID에 대한 현재 FQDN 및 엔드포인트는 Intune 핵심 서비스를 참조하세요. | FQDN 태그: MicrosoftIntune | 예 |
나열된 FQDN 및 엔드포인트 및 태그는 필요한 리소스에 해당합니다. 모든 서비스에 대한 FQDN 및 엔드포인트는 포함되지 않습니다. 다른 서비스의 서비스 태그는 사용 가능한 서비스 태그를 참조하세요.
Azure Virtual Desktop에는 네트워크 트래픽을 허용하기 위해 FQDN 대신 차단을 해제할 수 있는 IP 주소 범위 목록이 없습니다. NGFW(차세대 방화벽)를 사용하는 경우 Azure IP 주소에 대해 만들어진 동적 목록을 사용하여 연결할 수 있는지 확인해야 합니다.
자세한 내용은 Azure Firewall을 사용하여 Windows 365 환경 관리 및 보안을 참조하세요.
다음 표는 개발 상자가 액세스해야 하는 FQDN 및 엔드포인트 목록입니다. 모든 항목은 아웃바운드입니다. 개발 상자에 대한 인바운드 포트를 열 필요가 없습니다.
| 주소 | 프로토콜 | 아웃바운드 포트 | 목적 | 서비스 태그 | 필수 여부 |
|---|---|---|---|---|---|
| login.microsoftonline.com | TCP | 443 | Microsoft Online Services에 대한 인증 | AzureActiveDirectory | 예 |
| *.wvd.microsoft.com | TCP | 443 | 서비스 트래픽 | WindowsVirtualDesktop | 예 |
| *.prod.warm.ingest.monitor.core.windows.net | TCP | 443 | 에이전트 트래픽 진단 결과 | AzureMonitor | 예 |
| catalogartifact.azureedge.net | TCP | 443 | Azure Marketplace | AzureFrontDoor.Frontend | 예 |
| gcs.prod.monitoring.core.windows.net | TCP | 443 | 에이전트 트래픽 | AzureCloud | 예 |
| kms.core.windows.net | TCP | 1688 | Windows 정품 인증 | 인터넷 | 예 |
| azkms.core.windows.net | TCP | 1688 | Windows 정품 인증 | 인터넷 | 예 |
| mrsglobalsteus2prod.blob.core.windows.net | TCP | 443 | 에이전트 및 SXS(병렬) 스택 업데이트 | AzureCloud | 예 |
| wvdportalstorageblob.blob.core.windows.net | TCP | 443 | Azure Portal 지원 | AzureCloud | 예 |
| 169.254.169.254 | TCP | 80 | Azure Instance Metadata Service 엔드포인트 | 해당 없음 | 예 |
| 168.63.129.16 | TCP | 80 | 세션 호스트 상태 모니터링 | 해당 없음 | 예 |
| oneocsp.microsoft.com | TCP | 80 | 인증서 | 해당 없음 | 예 |
| www.microsoft.com | TCP | 80 | 인증서 | 해당 없음 | 예 |
다음 표에서는 세션 호스트 가상 머신이 다른 서비스에 액세스하는 데 필요할 수도 있는 선택적 FQDN 및 엔드포인트를 나열합니다.
| 주소 | 프로토콜 | 아웃바운드 포트 | 목적 | 필수 여부 |
|---|---|---|---|---|
| login.windows.net | TCP | 443 | Microsoft Online Services 및 Microsoft 365에 로그인 | 선택 사항 |
| *.events.data.microsoft.com | TCP | 443 | 원격 분석 서비스 | 선택 사항 |
| www.msftconnecttest.com | TCP | 80 | 세션 호스트가 인터넷에 연결되어 있는지 검색 | 선택 사항 |
| *.prod.do.dsp.mp.microsoft.com | TCP | 443 | Windows 업데이트 | 선택 사항 |
| *.sfx.ms | TCP | 443 | OneDrive 클라이언트 소프트웨어에 대한 업데이트 | 선택 사항 |
| *.digicert.com | TCP | 80 | 인증서 해지 확인 | 선택 사항 |
| *.azure-dns.com | TCP | 443 | Azure DNS 확인 | 선택 사항 |
| *.azure-dns.net | TCP | 443 | Azure DNS 확인 | 선택 사항 |
이 목록에는 Microsoft Entra ID, Office 365, 사용자 지정 DNS 공급자 또는 시간 서비스와 같은 다른 서비스에 대한 FQDN 및 엔드포인트가 포함되어 있지 않습니다. Microsoft Entra FQDN 및 엔드포인트는 Office 365 URL 및 IP 주소 범위의 ID 56, 59 및 125에서 찾을 수 있습니다.
팁
서비스 트래픽과 관련된 FQDN에는 와일드카드 문자(*)를 사용해야 합니다. 에이전트 트래픽의 경우 와일드카드를 사용하지 않으려는 경우 허용되는 특정 FQDN을 찾는 방법은 다음과 같습니다.
- 세션 호스트 가상 머신이 호스트 풀에 등록되어 있는지 확인합니다.
- 세션 호스트에서 이벤트 뷰어를 연 다음, Windows 로그>애플리케이션>WVD-Agent로 이동하여 이벤트 ID 3701을 찾습니다.
- 이벤트 ID 3701 아래에 있는 FQDN을 차단 해제합니다. 이벤트 ID 3701 아래의 FQDN은 지역별로 다릅니다. 세션 호스트 가상 머신을 배포하려는 각 Azure 지역의 관련 FQDN을 사용하여 이 프로세스를 반복해야 합니다.
RDP(원격 데스크톱 프로토콜) 브로커 서비스 엔드포인트
Azure Virtual Desktop RDP 브로커 서비스 엔드포인트에 대한 직접 연결은 개발 상자에 대한 원격 성능을 위해 중요합니다. 이러한 엔드포인트는 연결성과 대기 시간 모두에 영향을 미칩니다. Microsoft 365 네트워크 연결 원칙에 부합하려면 이러한 엔드포인트를 최적화 엔드포인트로 분류하고 Azure 가상 네트워크에서 해당 엔드포인트까지 RDP(원격 데스크톱 프로토콜) Shortpath를 사용해야 합니다. RDP Shortpath는 특히 최적이 아닌 네트워크 조건에서 개선된 개발 상자 연결을 위한 또 다른 연결 경로를 제공할 수 있습니다.
네트워크 보안 제어를 더 쉽게 구성하려면 Azure Virtual Desktop 서비스 태그를 사용하여 Azure 네트워킹 UDR(사용자 정의 경로)을 사용하여 직접 라우팅할 엔드포인트를 식별합니다. UDR은 가상 네트워크와 RDP 브로커 간의 직접 라우팅을 통해 대기 시간을 최소화합니다.
개발 상자의 네트워크 경로(네트워크 계층 또는 VPN과 같은 개발 상자 계층)를 변경하면 개발 상자와 Azure Virtual Desktop RDP 브로커 간의 연결이 끊어질 수 있습니다. 그렇다면 연결이 다시 설정될 때까지 최종 사용자는 개발 상자에서 연결이 끊어집니다.
DNS 요구 사항
Microsoft Entra 하이브리드 조인 요구 사항의 일부로 개발 상자는 온-프레미스 Active Directory에 조인할 수 있어야 합니다. 개발 상자는 온-프레미스 AD 환경에 조인하기 위해 DNS 레코드를 확인할 수 있어야 합니다.
다음과 같이 개발 상자가 프로비전되는 Azure Virtual Network를 구성합니다.
- Azure Virtual Network에 Active Directory 도메인을 확인할 수 있는 DNS 서버에 대한 네트워크 연결이 있는지 확인합니다.
- Azure Virtual Network 설정에서 DNS 서버>사용자 지정을 선택합니다.
- AD DS 도메인을 확인할 수 있는 환경의 DNS 서버의 IP 주소를 입력합니다.
팁
실제 PC와 마찬가지로 DNS 서버를 두 개 이상 추가하면 이름 확인 시 단일 실패 지점의 위험을 완화하는 데 도움이 됩니다. 자세한 내용은 Azure Virtual Network 설정 구성을 참조하세요.
온-프레미스 리소스에 연결
개발 상자가 하이브리드 연결을 통해 온-프레미스 리소스에 연결하도록 허용할 수 있습니다. Azure 네트워크 전문가와 협력하여 허브 및 스포크 네트워킹 토폴로지를 구현합니다. 허브는 온-프레미스 네트워크에 연결하는 중앙 지점입니다. Express Route, 사이트 간 VPN 또는 지점 및 사이트 간 VPN을 사용할 수 있습니다. 스포크는 개발 상자가 포함된 가상 네트워크입니다. 허브 및 스포크 토폴로지는 네트워크 트래픽과 보안을 관리하는 데 도움이 됩니다. 온-프레미스 리소스에 대한 액세스를 제공하기 위해 개발 상자 가상 네트워크를 온-프레미스 연결된 가상 네트워크에 피어링합니다.
트래픽 차단 기술
일부 엔터프라이즈 고객은 보안 팀이 네트워크 트래픽을 모니터링하기 위해 트래픽 가로채기, TLS 암호 해독, 심층 패킷 검사 및 기타 유사한 기술을 사용합니다. 이러한 트래픽 차단 기술은 Azure 네트워크 연결 확인 또는 개발 상자 프로비전 실행에 문제를 일으킬 수 있습니다. Microsoft Dev Box 내에 프로비전된 Dev Box에 대해 네트워크 차단이 적용되지 않는지 확인합니다.
트래픽 차단 기술은 대기 시간 문제를 악화시킬 수 있습니다. RDP(원격 데스크톱 프로토콜) Shortpath를 사용하면 대기 시간 문제를 최소화할 수 있습니다.
문제 해결
이 섹션에서는 몇 가지 일반적인 연결 및 네트워크 문제에 대해 설명합니다.
연결 문제
로그온 시도 실패
개발 상자 사용자가 로그인 문제가 발생하고 로그인 시도가 실패했음을 나타내는 오류 메시지가 표시되는 경우 로컬 PC와 세션 호스트 모두에서 PKU2U 프로토콜을 사용하도록 설정했는지 확인합니다.
로그인 오류 문제 해결에 대한 자세한 내용은 Microsoft Entra 조인 VM - Windows Desktop 클라이언트에 대한 연결 문제 해결을 참조 하세요.
하이브리드 환경의 그룹 정책 문제
하이브리드 환경을 사용하는 경우 그룹 정책 문제가 발생할 수 있습니다. 그룹 정책에서 개발 상자를 일시적으로 제외하여 문제가 그룹 정책과 관련이 있는지 테스트할 수 있습니다.
그룹 정책 문제 해결에 대한 자세한 내용은 그룹 정책 문제 해결 지침 적용을 참조하세요.
IPv6 주소 지정 문제
IPv6 문제가 발생하는 경우 Microsoft.AzureActiveDirectory 서비스 엔드포인트가 가상 네트워크 또는 서브넷에서 사용하도록 설정되어 있지 않은지 확인합니다. 이 서비스 엔드포인트는 IPv4를 IPv6으로 변환합니다.
자세한 내용은 가상 네트워크 서비스 엔드포인트를 참조하세요.
개발 상자 정의 이미지 업데이트 문제
개발 상자 정의에 사용된 이미지를 업데이트하는 경우 가상 네트워크에서 사용할 수 있는 IP 주소가 충분한지 확인해야 합니다. Azure 네트워크 연결 상태 검사를 위해 더 많은 무료 IP 주소가 필요합니다. 상태 검사가 실패하면 개발 상자 정의가 업데이트되지 않습니다. 개발 상자당 하나의 추가 IP 주소와 상태 검사 및 Dev Box 인프라에 대한 하나의 IP 주소가 필요합니다.
개발 상자 정의 이미지를 업데이트하는 방법에 대한 자세한 내용은 개발 상자 정의 업데이트를 참조하세요.
관련 콘텐츠
- Azure Virtual Desktop에 필요한 FQDN 및 엔드포인트에 대한 액세스 확인.
- Azure Firewall에서 이러한 FQDN 및 엔드포인트를 차단 해제하는 방법을 알아보려면 Azure Firewall을 사용하여 Azure Virtual Desktop 보호를 참조하세요.
- 네트워크 연결에 대한 자세한 내용은 Azure Virtual Desktop 네트워크 연결 이해를 참조하세요.