AZURE AVD(Virtual Desktop) 세션 호스트 및 Windows 365 클라우드 PC는 두 개의 Azure 플랫폼 IP 주소에 연결해야 합니다. 이러한 주소는 프로비전, 상태 모니터링, ID 및 플랫폼 통신을 지원하는 핵심 인프라 서비스에 대한 액세스를 제공합니다.
이러한 주소에 대한 트래픽은 Azure 플랫폼 패브릭 수준에서 작동합니다. 트래픽에서 FQDN 기반 엔드포인트로 다르게 동작하며 그에 따라 처리해야 합니다.
이 문서에서는 이러한 IP 주소가 무엇인지, IP 주소가 필수적인 이유, 다른 엔드포인트와 어떻게 다른지, 연결이 성공하도록 보장하는 방법을 설명합니다.
개요
Azure Virtual Desktop 세션 호스트 및 Windows 365 클라우드 PC는 다음 IP 주소에 연결해야 합니다.
| 주소 | Protocol(프로토콜) | 아웃바운드 포트 | 목적 | 서비스 태그 |
|---|---|---|---|---|
169.254.169.254 |
TCP | 80 | Azure IMDS(인스턴스 메타데이터 서비스) | 해당 없음 |
168.63.129.16 |
TCP | 80, 32526 | 세션 호스트 상태 모니터링 | 해당 없음 |
중요
이러한 주소는 Azure 퍼블릭 클라우드, Azure Government 및 Azure 중국을 포함한 모든 Azure 지역 및 클라우드 환경에서 사용됩니다. 두 주소에 대한 연결이 끊어지면 프로비저닝 실패, 상태 보고 문제 및 서비스 저하가 발생합니다.
Azure 인스턴스 메타데이터 서비스(169.254.169.254)
Azure IMDS(인스턴스 메타데이터 서비스)는 실행 중인 가상 머신에 대한 정보를 제공하는 REST API 엔드포인트입니다. VM(Virtual Machine) 내의 소프트웨어는 IMDS를 사용하여 Azure 환경과 통합합니다.
VM은 IMDS를 사용하여 다음을 검색합니다.
VM ID 및 구성 데이터
Azure 서비스에 대한 인증을 위한 관리 ID 토큰
예약된 이벤트 및 유지 관리 알림
지역, 가용성 영역, VM 크기 및 네트워크 구성과 같은 메타데이터
주소 169.254.169.254는 링크 로컬 IP 주소입니다. 라우팅할 수 없으며 VM 내에서만 액세스할 수 있습니다. 이 주소에 대한 요청은 실제 호스트를 벗어나지 않습니다. Azure 하이퍼바이저는 트래픽을 가로채고 로컬로 응답합니다.
IMDS는 하이퍼바이저 수준에서 작동합니다. 네트워크 보안 그룹, 사용자 정의 경로 또는 Azure Firewall 규칙의 영향을 받지 않습니다. 그러나 호스트 방화벽 또는 VPN 클라이언트와 같은 VM 내의 운영 체제 구성은 액세스를 차단할 수 있습니다.
Azure 플랫폼 상태 모니터링(168.63.129.16)
주소 168.63.129.16은 Azure 플랫폼 서비스에서 VM과 통신하는 데 사용하는 가상 공용 IP 주소입니다. 이 주소를 WireServer 엔드포인트라고도 합니다.
VM은 다음을 위해 이 주소를 사용합니다.
Azure VM 에이전트의 상태 모니터링 및 하트비트 통신
Azure 제공된 DNS를 사용할 때 DNS 확인
IP 주소 할당 및 갱신을 위한 DHCP 통신
168.63.129.16에 대한 트래픽은 Azure 가상 네트워크 패브릭을 트래버스합니다. Azure 플랫폼 라우팅은 제한된 보안 또는 라우팅 구성을 사용하여 네트워크에서 주소에 연결할 수 있도록 특수한 처리를 적용합니다.
표준 엔드포인트와 차이점
가상 데스크톱 및 Windows 365 Azure 컨트롤 플레인 서비스, Microsoft Entra ID 등과 같은 FQDN 기반 엔드포인트에 대한 연결도 필요합니다. 이러한 엔드포인트에 대한 트래픽은 공용 IP 주소에 대한 표준 인터넷 트래픽처럼 동작합니다. RDP와 같은 이 트래픽 중 일부는 고객 네트워크에서 최적화가 필요하지만 일반적으로 일반 퍼블릭 엔드포인트처럼 처리될 수 있습니다.
그러나 169.254.169.254 및 168.63.129.16에 대한 트래픽은 다르게 동작합니다.
Azure 내부 및 라우팅할 수 없습니다. 이러한 주소는 Azure 내부 플랫폼 인프라의 일부입니다. 인터넷 엔드포인트가 아니고, 공용 DNS를 통해 resolve 않으며, 외부 Azure 또는 온-프레미스 네트워크에서 액세스할 수 없습니다.
프록시 서버가 이러한 주소에 연결할 수 없으므로 프록시를 프록시할 수 없습니다. PAC 파일, 그룹 정책 또는 애플리케이션 프록시 설정을 통해 프록시를 통해 이 트래픽을 보내려는 시도는 성공하지 않습니다.
VPN 터널 또는 보안 웹 게이트웨이를 트래버스할 수 없습니다. 전체 터널 또는 강제 터널 모드에서 작동하는 VPN 클라이언트 및 보안 웹 게이트웨이 에이전트는 VM의 모든 트래픽을 캡처합니다. 이러한 주소에 대한 트래픽을 캡처하면 VPN 터널 또는 타사 보안 인프라를 통해 주소에 연결할 수 없으므로 연결이 실패합니다.
Azure 플랫폼 라우팅으로 부분적으로 보호됩니다. Azure 네트워킹에는 패브릭 계층에서 이러한 주소에 대한 연결을 보장하기 위한 보호 기능이 포함되어 있습니다. 0.0.0.0/0 및 대부분의 네트워크 보안 그룹 규칙과 같은 기본 경로는 이 트래픽을 차단하지 않습니다. 그러나 이러한 보호는 VM 내의 구성이나 이러한 주소 또는 해당 서비스 태그를 대상으로 하는 명시적 네트워크 규칙에는 적용되지 않습니다.
따라서 환경에 다음 구성 문제가 없는지 확인해야 합니다.
VM 내 구성 문제
대부분의 연결 문제는 Azure 네트워크 계층 구성이 아닌 VM 내의 구성으로 인해 발생합니다.
VPN 클라이언트 및 보안 웹 게이트웨이 에이전트
조직은 클라우드 PC 및 세션 호스트에 VPN 클라이언트 또는 보안 웹 게이트웨이 에이전트를 배포하여 보안 정책을 적용합니다. 예를 들어 Zscaler Internet Access, Microsoft Entra 인터넷 액세스, PaloAlto Global Protect 등이 있습니다.
이러한 에이전트는 강제 터널 모드로 실행되면 가상 어댑터를 통해 모든 트래픽을 리디렉션합니다. 이 구성에는 연결이 끊어지는 Azure 플랫폼 주소에 대한 트래픽이 포함될 수 있습니다.
검사 사항:
분할 터널링을 사용하여 Azure 플랫폼 트래픽이 로컬로 유지되도록 합니다.
169.254.169.254 및 168.63.129.16에 대한 명시적 바이패스 또는 제외 규칙 구성
프록시 및 PAC 구성
PAC 파일, 그룹 정책, WinHTTP, WinINET 또는 애플리케이션별 설정을 통해 적용된 프록시 설정으로 인해 VM이 플랫폼 트래픽을 프록시로 Azure 수 있습니다.
검사 사항:
PAC 파일은 이러한 주소에 대한 직접 연결을 반환합니다.
프록시 바이패스 목록에는 두 주소가 모두 포함됩니다.
사용자 수준 및 컴퓨터 수준 프록시 설정을 검토합니다.
호스트 방화벽 규칙
호스트 기반 방화벽 또는 엔드포인트 보호 소프트웨어는 아웃바운드 TCP 트래픽을 차단할 수 있습니다.
검사 사항:
포트 80에서 아웃바운드 TCP 트래픽을 169.254.169.254로 허용
포트 80 및 32526에서 168.63.129.16으로 아웃바운드 TCP 트래픽 허용
엔드포인트 보안 및 네트워크 필터링 소프트웨어
바이러스 백신, EDR(엔드포인트 검색 & 응답) 또는 DLP(데이터 손실 방지) 도구에는 네트워크 검사 기능이 포함될 수 있습니다.
검사 사항:
이러한 도구가 이러한 주소에 대한 트래픽을 차단하거나 검사하지 않는지 확인합니다.
필요한 경우 IP 기반 허용 또는 제외 규칙 추가
네트워크 계층 구성 문제 Azure
네트워크 보안 그룹
Azure 이러한 엔드포인트에 대한 서비스 태그를 정의합니다.
169.254.169.254용 AzurePlatformIMDS
168.63.129.16용 AzurePlatformDNS
이러한 서비스 태그를 대상으로 하는 명시적 거부 규칙은 연결을 방해할 수 있습니다.
검사 사항:
이러한 서비스 태그 또는 주소를 대상으로 하는 거부 규칙 제거
제한적인 거부-모든 아웃바운드 규칙에 이러한 서비스 태그에 대한 명시적 허용 규칙이 포함되어 있는지 확인합니다.
사용자 정의 경로 및 네트워크 가상 어플라이언스
Azure 플랫폼 라우팅은 일반적으로 기본 경로에 관계없이 연결성을 보장합니다. 그러나 명시적 경로 또는 복잡한 라우팅 토폴로지로 인해 문제가 발생할 수 있습니다.
검사 사항:
명시적으로 169.254.169.254 또는 168.63.129.16을 대상으로 하는 경로가 없습니다.
경로의 방화벽 또는 네트워크 가상 어플라이언스는 이러한 주소 및 포트에 대한 아웃바운드 트래픽을 허용합니다.
네트워크 연결 상태 검사 Azure
Windows 365 Enterprise Azure 네트워크 연결을 사용하여 클라우드 PC를 프로비전합니다. 각 연결에는 네트워크 연결의 유효성을 검사하는 자동화된 상태 검사가 포함됩니다.
유효성을 검사하는 상태 검사
Azure 플랫폼 엔드포인트에 대한 네트워크 패브릭 연결
네트워크 보안 그룹 구성
경로 테이블 구성
Azure 제공된 DNS를 사용한 DNS 확인
유효성을 검사하지 않는 상태 검사
프로비전 후 설치된 VPN 클라이언트 또는 보안 웹 게이트웨이 에이전트
그룹 정책 또는 Intune 통해 적용된 프록시 또는 PAC 구성
호스트 방화벽 규칙 또는 엔드포인트 보안 소프트웨어
할당 후 VM 내에 적용된 구성
통과 상태 검사 Azure 네트워크에서 플랫폼 트래픽을 허용하는지 확인합니다. VM 내 구성이 적용된 후 클라우드 PC 또는 세션 호스트가 이러한 엔드포인트에 연결할 수 있다고 보장하지는 않습니다.
요약
Azure Virtual Desktop 및 Windows 365 169.254.169.254 및 168.63.129.16에 연결해야 합니다. 이러한 엔드포인트를 차단하면 Windows 365 및 Azure Virtual Desktop 모두에서 프로비전 및 운영 문제가 발생할 수 있습니다.
이러한 주소는 Azure 내부 플랫폼 엔드포인트입니다. 이러한 주소에 대한 트래픽은 VPN 터널 또는 보안 웹 게이트웨이를 통해 프록시, 가로채기 또는 라우팅되어서는 안 됩니다.
대부분의 연결 실패는 VPN 클라이언트, 프록시 설정, 호스트 방화벽 또는 엔드포인트 보안 소프트웨어와 같은 VM 내의 구성으로 인해 발생합니다. 네트워크 계층 문제는 덜 일반적이지만 명시적 규칙이 이러한 주소 또는 해당 서비스 태그를 대상으로 할 때 발생할 수 있습니다.
Azure 네트워크 연결 상태 검사는 네트워크 계층 연결만 유효성을 검사합니다. VM 내 구성 문제를 검색하지 않습니다.