Microsoft Dev Box ağ gereksinimleri
Microsoft Dev Box, kullanıcıların azure'da çalışan bulut tabanlı bir iş istasyonuna İnternet üzerinden, her yerden herhangi bir cihazdan bağlanmasını sağlayan bir hizmettir. Bu internet bağlantılarını desteklemek için bu makalede listelenen ağ gereksinimlerini izlemeniz gerekir. Geliştirme kutuları için ağ erişimini planlamak ve uygulamak için kuruluşunuzun ağ ekibi ve güvenlik ekibiyle birlikte çalışmanız gerekir.
Microsoft Dev kutusu, Windows 365 ve Azure Sanal Masaüstü hizmetleriyle yakından ilgilidir ve çoğu durumda ağ gereksinimleri aynıdır.
Genel ağ gereksinimleri
Geliştirme kutuları kaynaklara erişmek için bir ağ bağlantısı gerektirir. Microsoft tarafından barındırılan bir ağ bağlantısı ile kendi aboneliğinizde oluşturduğunuz Azure ağ bağlantısı arasında seçim yapabilirsiniz. Ağ kaynaklarınıza erişim izni vermek için bir yöntem seçmek, kaynaklarınızın temel aldığı yere bağlıdır.
Microsoft tarafından barındırılan bir bağlantı kullanılırken:
- Microsoft, altyapıyı sağlar ve tam olarak yönetir.
- Geliştirme kutusu güvenliğini Microsoft Intune'dan yönetebilirsiniz.
Kendi ağınızı kullanmak ve Microsoft Entra'ya katılmış geliştirme kutularını sağlamak için aşağıdaki gereksinimleri karşılamanız gerekir:
- Azure sanal ağı: Azure aboneliğinizde bir sanal ağ olmalıdır. Sanal ağ için seçtiğiniz bölge, Azure'ın geliştirme kutularını dağıttığı bölgedir.
- Sanal ağ içindeki bir alt ağ ve kullanılabilir IP adres alanı.
- Ağ bant genişliği: Bkz . Azure'ın Ağ yönergeleri.
Kendi ağınızı kullanmak ve Microsoft Entra karma birleştirilmiş geliştirme kutularını sağlamak için yukarıdaki gereksinimleri ve aşağıdaki gereksinimleri karşılamanız gerekir:
- Azure sanal ağının, Active Directory Etki Alanı Hizmetleri (AD DS) ortamınız için Etki Alanı Adı Hizmetleri (DNS) girdilerini çözümleyebilmesi gerekir. Bu çözümü desteklemek için AD DS DNS sunucularınızı sanal ağın DNS sunucuları olarak tanımlayın.
- Azure sanal ağının, Azure'da veya şirket içinde bir kurumsal etki alanı denetleyicisine ağ erişimi olmalıdır.
Önemli
Microsoft Dev Box şu anda kendi ağınızı kullanırken ağ arabirimlerinin farklı bir sanal ağa veya farklı bir alt ağa taşınmasını desteklememektedir.
Ağ bağlantısına izin ver
Ağ yapılandırmanızda, geliştirme kutularının sağlanmasını, yönetilmesini ve uzaktan bağlantısını desteklemek için aşağıdaki hizmet URL'lerine ve bağlantı noktalarına giden trafiğe izin vermelisiniz.
Microsoft Dev Box için gerekli FQDN'ler ve uç noktalar
Geliştirme kutuları ayarlamak ve kullanıcılarınızın kaynaklara bağlanmasına izin vermek için, belirli tam etki alanı adları (FQDN'ler) ve uç noktalar için trafiğe izin vermelisiniz. Azure Güvenlik Duvarı veya ara sunucu hizmeti gibi bir güvenlik duvarı kullanıyorsanız bu FQDN'ler ve uç noktalar engellenebilir.
Azure Sanal Masaüstü için gerekli FQDN'lere ve uç noktalara erişimi denetleme başlığındaki Azure Sanal Masaüstü Aracısı URL Aracı'nı çalıştırma adımlarını izleyerek geliştirme kutularınızın bu FQDN'lere ve uç noktalara bağlanıp bağlanmadığını de kontrol edebilirsiniz. Azure Sanal Masaüstü Aracısı URL Aracı, her FQDN'yi ve uç noktayı doğrular ve geliştirme kutularınızın bunlara erişip erişemeyeceğini gösterir.
Önemli
Microsoft, bu makalede listelenen FQDN'lerin ve uç noktaların engellendiği geliştirme kutusu dağıtımlarını desteklemez.
Azure Güvenlik Duvarı aracılığıyla uç noktalar için FQDN etiketlerini ve hizmet etiketlerini kullanma
Geliştirme kutuları için ağ güvenlik denetimlerini yönetmek karmaşık olabilir. Yapılandırmayı basitleştirmek için, ağ trafiğine izin vermek için tam etki alanı adı (FQDN) etiketlerini ve hizmet etiketlerini kullanın.
FQDN etiketleri
FQDN etiketi, Azure Güvenlik Duvarı'da tam etki alanı adları grubunu temsil eden önceden tanımlanmış bir etikettir. FQDN etiketlerini kullanarak, her etki alanı adını el ile belirtmeden Windows 365 gibi belirli hizmetler için çıkış kurallarını kolayca oluşturabilir ve koruyabilirsiniz.
FQDN etiketleri tarafından tanımlanan gruplandırmalar çakışabilir. Örneğin, Windows365 FQDN etiketi standart bağlantı noktaları için AVD uç noktalarını içerir, bkz . başvuru.
Microsoft dışı güvenlik duvarları genellikle FQDN etiketlerini veya hizmet etiketlerini desteklemez. Aynı işlevsellik için farklı bir terim olabilir; güvenlik duvarı belgelerinizi denetleyin.
Hizmet etiketleri
Hizmet etiketi, belirli bir Azure hizmetinden ip adresi ön ekleri grubunu temsil eder. Microsoft, hizmet etiketiyle kapsadığı adres ön eklerini yönetir ve adresler değiştikçe hizmet etiketini otomatik olarak güncelleştirir ve ağ güvenlik kurallarında sık sık yapılan güncelleştirmelerin karmaşıklığını en aza indirir. Hizmet etiketleri, giden ağ erişimini kısıtlamak için hem Ağ Güvenlik Grubu (NSG) hem de Azure Güvenlik Duvarı kurallarında ve trafik yönlendirme davranışını özelleştirmek için Kullanıcı Tanımlı Yol'da (UDR) kullanılabilir.
Fiziksel cihaz ağ bağlantısı için gerekli uç noktalar
Yapılandırmanın çoğu bulut tabanlı geliştirme kutusu ağına yönelik olsa da, son kullanıcı bağlantısı fiziksel bir cihazdan gerçekleşir. Bu nedenle, fiziksel cihaz ağındaki bağlantı yönergelerini de izlemeniz gerekir.
| Cihaz veya hizmet | Ağ bağlantısı için gerekli URL'ler ve bağlantı noktaları | Açıklama |
|---|---|---|
| Fiziksel cihaz | Bağlantı | Uzak Masaüstü istemci bağlantısı ve güncelleştirmeleri. |
| Microsoft Intune hizmeti | Bağlantı | Cihaz yönetimi, uygulama teslimi ve uç nokta analizi gibi Intune bulut hizmetleri. |
| Azure Sanal Masaüstü oturumu ana bilgisayar sanal makinesi | Bağlantı | Geliştirme kutuları ve arka uç Azure Sanal Masaüstü hizmeti arasında uzak bağlantı. |
| Windows 365 hizmeti | Bağlantı | Sağlama ve sistem durumu denetimleri. |
Geliştirme kutusuna bağlanmak için kullandığınız herhangi bir cihazın aşağıdaki FQDN'lere ve uç noktalara erişimi olmalıdır. Bu FQDN'lere ve uç noktalara izin vermek, güvenilir bir istemci deneyimi için gereklidir. Bu FQDN'lere ve uç noktalara erişimin engellenmesi desteklenmez ve hizmet işlevselliğini etkiler.
| Adres | Protokol | Giden bağlantı noktası | Purpose | Müşteriler |
|---|---|---|---|---|
| login.microsoftonline.com | TCP | 443 | Microsoft Online Services kimlik doğrulaması | Tümü |
| *.wvd.microsoft.com | TCP | 443 | Hizmet trafiği | Tümü |
| *.servicebus.windows.net | TCP | 443 | Veri sorunlarını giderme | Tümü |
| go.microsoft.com | TCP | 443 | Microsoft FWLinks | Tümü |
| aka.ms | TCP | 443 | Microsoft URL kısaltıcısı | Tümü |
| learn.microsoft.com | TCP | 443 | Belgeler | Tümü |
| privacy.microsoft.com | TCP | 443 | Gizlilik Bildirimi | Tümü |
| query.prod.cms.rt.microsoft.com | TCP | 443 | İstemciyi güncelleştirmek için bir MSI indirin. Otomatik güncelleştirmeler için gereklidir. | Windows Masaüstü |
Bu FQDN'ler ve uç noktalar yalnızca istemci sitelerine ve kaynaklarına karşılık gelir.
Geliştirme kutusu sağlama için gerekli uç noktalar
Geliştirme kutularının ve Azure Ağ Bağlantısı (ANC) sistem durumu denetimlerinin sağlanması için aşağıdaki URL'ler ve bağlantı noktaları gereklidir. Aksi belirtilmedikçe tüm uç noktalar 443 numaralı bağlantı noktası üzerinden bağlanır.
| Kategori | Uç Noktalar | FQDN etiketi veya Hizmet etiketi |
|---|---|---|
| Geliştirme kutusu iletişim uç noktaları | .agentmanagement.dc.azure.com .cmdagent.trafficmanager.net |
Yok |
| Windows 365 hizmet ve kayıt uç noktaları | Geçerli Windows 365 kayıt uç noktaları için bkz . Windows 365 ağ gereksinimleri. | FQDN etiketi: Windows365 |
| Azure Sanal Masaüstü hizmet uç noktaları | Geçerli AVD hizmet uç noktaları için bkz . Oturum konağı sanal makineleri. | FQDN etiketi: WindowsVirtualDesktop |
| Microsoft Entra ID | Microsoft Entra Id için FQDN'ler ve uç noktalar, Office 365 URL'leri ve IP adresi aralıklarındaki Kimlik 56, 59 ve 125 altında bulunabilir. | Hizmet etiketi: AzureActiveDirectory |
| Microsoft Intune | Microsoft Entra Id için geçerli FQDN'ler ve uç noktalar için bkz . Intune çekirdek hizmeti. | FQDN etiketi: MicrosoftIntune |
Listelenen FQDN'ler, uç noktalar ve etiketler gerekli kaynaklara karşılık gelir. Bunlar tüm hizmetler için FQDN'leri ve uç noktaları içermez. Diğer hizmetlerin hizmet etiketleri için bkz . Kullanılabilir hizmet etiketleri.
Azure Sanal Masaüstü'nde, ağ trafiğine izin vermek için FQDN'ler yerine engelini kaldırabileceğiniz IP adresi aralıklarının listesi yoktur. Yeni Nesil Güvenlik Duvarı (NGFW) kullanıyorsanız bağlanabildiğinize emin olmak için Azure IP adresleri için yapılmış dinamik bir liste kullanmanız gerekir.
Daha fazla bilgi için bkz. Windows 365 ortamlarını yönetmek ve güvenliğini sağlamak için Azure Güvenlik Duvarı kullanma.
Aşağıdaki tablo, geliştirme kutularınızın erişmesi gereken FQDN'lerin ve uç noktaların listesidir. Tüm girişler giden; geliştirme kutuları için gelen bağlantı noktalarını açmanız gerekmez.
| Adres | Protokol | Giden bağlantı noktası | Purpose | Hizmet etiketi |
|---|---|---|---|---|
| login.microsoftonline.com | TCP | 443 | Microsoft Online Services kimlik doğrulaması | AzureActiveDirectory |
| *.wvd.microsoft.com | TCP | 443 | Hizmet trafiği | WindowsVirtualDesktop |
| *.prod.warm.ingest.monitor.core.windows.net | TCP | 443 | Aracı trafiği tanılama çıktısı | AzureMonitor |
| catalogartifact.azureedge.net | TCP | 443 | Azure Market | AzureFrontDoor.Frontend |
| gcs.prod.monitoring.core.windows.net | TCP | 443 | Aracı trafiği | AzureCloud |
| kms.core.windows.net | TCP | 1688 | Windows etkinleştirme | İnternet |
| azkms.core.windows.net | TCP | 1688 | Windows etkinleştirme | İnternet |
| mrsglobalsteus2prod.blob.core.windows.net | TCP | 443 | Aracı ve yan yana (SXS) yığın güncelleştirmeleri | AzureCloud |
| wvdportalstorageblob.blob.core.windows.net | TCP | 443 | Azure portalı desteği | AzureCloud |
| 169.254.169.254 | TCP | 80 | Azure Örneği Meta Veri hizmeti uç noktası | Yok |
| 168.63.129.16 | TCP | 80 | Oturum konağı sistem durumunu izleme | Yok |
| oneocsp.microsoft.com | TCP | 80 | Sertifikalar | Yok |
| www.microsoft.com | TCP | 80 | Sertifikalar | Yok |
Aşağıdaki tabloda, oturum ana bilgisayar sanal makinelerinizin diğer hizmetler için de erişmesi gerekebilecek isteğe bağlı FQDN'ler ve uç noktalar listelenmektedir:
| Adres | Protokol | Giden bağlantı noktası | Purpose |
|---|---|---|---|
| login.windows.net | TCP | 443 | Microsoft Online Services ve Microsoft 365'te oturum açın |
| *.events.data.microsoft.com | TCP | 443 | Telemetri Hizmeti |
| www.msftconnecttest.com | TCP | 80 | Oturum ana bilgisayarının İnternet'e bağlı olup olmadığını algılar |
| *.prod.do.dsp.mp.microsoft.com | TCP | 443 | Windows Update |
| *.sfx.ms | TCP | 443 | OneDrive istemci yazılımı güncelleştirmeleri |
| *.digicert.com | TCP | 80 | Sertifika iptal denetimi |
| *.azure-dns.com | TCP | 443 | Azure DNS çözümlemesi |
| *.azure-dns.net | TCP | 443 | Azure DNS çözümlemesi |
Bu liste Microsoft Entra Id, Office 365, özel DNS sağlayıcıları veya zaman hizmetleri gibi diğer hizmetlerin FQDN'lerini ve uç noktalarını içermez. Microsoft Entra FQDN'leri ve uç noktaları Office 365 URL'leri ve IP adresi aralıklarında kimlik 56, 59 ve 125 altında bulunabilir.
İpucu
Hizmet trafiği içeren FQDN'ler için joker karakteri (*) kullanmanız gerekir. Aracı trafiği için joker karakter kullanmamak isterseniz, izin vermek için belirli FQDN'leri şu şekilde bulabilirsiniz:
- Oturum konağı sanal makinelerinizin bir konak havuzuna kayıtlı olduğundan emin olun.
- Oturum ana bilgisayarında Olay görüntüleyicisini açın, ardından Windows günlükleri>Uygulama>WVD Aracısı'na gidin ve olay kimliği 3701'i arayın.
- Olay kimliği 3701 altında bulduğunuz FQDN'lerin engellemesini kaldırın. Olay kimliği 3701 altındaki FQDN'ler bölgeye özgü. Oturum ana bilgisayar sanal makinelerinizi dağıtmak istediğiniz her Azure bölgesi için ilgili FQDN'lerle bu işlemi tekrarlamanız gerekir.
Uzak Masaüstü Protokolü (RDP) aracı hizmeti uç noktaları
Azure Sanal Masaüstü RDP aracı hizmeti uç noktalarına doğrudan bağlantı, geliştirme kutusuna uzaktan performans açısından kritik önem taşır. Bu uç noktalar hem bağlantıyı hem de gecikme süresini etkiler. Microsoft 365 ağ bağlantısı ilkeleriyle uyumlu hale getirmek için, bu uç noktaları Uç noktaları iyileştir olarak kategorilere ayırmanız ve Azure sanal ağınızdan bu uç noktalara uzak masaüstü protokolü (RDP) kısa yolu kullanmanız gerekir. RDP Shortpath, özellikle en iyi olmayan ağ koşullarında gelişmiş geliştirme kutusu bağlantısı için başka bir bağlantı yolu sağlayabilir.
Ağ güvenlik denetimlerini yapılandırmayı kolaylaştırmak için Azure Ağ Kullanıcı Tanımlı Yol (UDR) kullanarak doğrudan yönlendirme için bu uç noktaları tanımlamak üzere Azure Sanal Masaüstü hizmet etiketlerini kullanın. UDR, en düşük gecikme süresi için sanal ağınızla RDP aracısı arasında doğrudan yönlendirmeye neden olur.
Geliştirme kutusunun ağ yollarının değiştirilmesi (ağ katmanında veya VPN gibi geliştirme kutusu katmanında) geliştirme kutusu ile Azure Sanal Masaüstü RDP aracısı arasındaki bağlantıyı kesebilir. Bu durumda, bağlantı yeniden kurulana kadar son kullanıcının geliştirme kutusuyla bağlantısı kesilir.
DNS gereksinimleri
Microsoft Entra karma birleştirme gereksinimleri kapsamında geliştirme kutularınızın şirket içi Active Directory katılabilmesi gerekir. Şirket içi AD ortamınızın katılması için geliştirme kutularının DNS kayıtlarını çözümleyebilmesi gerekir.
Geliştirme kutularının sağlandığı Azure Sanal Ağ aşağıdaki gibi yapılandırın:
- Azure Sanal Ağ Active Directory etki alanınızı çözümleyebilen DNS sunucularına ağ bağlantısı olduğundan emin olun.
- Azure Sanal Ağ Ayarları'ndan DNS Sunucuları>Özel'i seçin.
- ORTAMın AD DS etki alanınızı çözümleyebildiği DNS sunucularının IP adresini girin.
İpucu
Fiziksel bilgisayarda olduğu gibi en az iki DNS sunucusu eklemek, ad çözümlemesinde tek bir hata noktası riskini azaltmaya yardımcı olur. Daha fazla bilgi için bkz. Azure Sanal Ağ ayarlarını yapılandırma.
Şirket içi kaynaklara bağlanma
Geliştirme kutularının karma bağlantı aracılığıyla şirket içi kaynaklara bağlanmasına izin vekleyebilirsiniz. Merkez-uç ağ topolojisi uygulamak için Azure ağ uzmanınızla birlikte çalışın. Merkez, şirket içi ağınıza bağlanan merkezi noktadır; Express Route, siteden siteye VPN veya noktadan siteye VPN kullanabilirsiniz. Uç, geliştirme kutularını içeren sanal ağdır. Merkez-uç topolojisi, ağ trafiğini ve güvenliğini yönetmenize yardımcı olabilir. Şirket içi kaynaklara erişim sağlamak için geliştirme kutusu sanal ağını şirket içi bağlı sanal ağa eşlersiniz.
Trafik kesme teknolojileri
Bazı kurumsal müşteriler, güvenlik ekiplerinin ağ trafiğini izlemesi için trafik kesme, TLS şifre çözme, derin paket incelemesi ve diğer benzer teknolojileri kullanır. Bu trafik kesme teknolojileri, Azure ağ bağlantısı denetimlerini veya geliştirme kutusu sağlamayı çalıştırmayla ilgili sorunlara neden olabilir. Microsoft Dev Box içinde sağlanan geliştirme kutuları için hiçbir ağ kesme işleminin zorunlu tutulmadığından emin olun.
Trafik kesme teknolojileri gecikme süresi sorunlarını daha da büyütebilir. Gecikme sorunlarını en aza indirmek için Uzak Masaüstü Protokolü (RDP) Kısa Yolu kullanabilirsiniz.
Sorun giderme
Bu bölümde bazı yaygın bağlantı ve ağ sorunları ele alınıyor.
Bağlantı sorunları
Oturum açma girişimi başarısız oldu
Geliştirme kutusu kullanıcısı oturum açma sorunlarıyla karşılaşırsa ve oturum açma girişiminin başarısız olduğunu belirten bir hata iletisi görürse, hem yerel bilgisayarda hem de oturum ana bilgisayarında PKU2U protokolunu etkinleştirdiğinizden emin olun.
Oturum açma hatalarını giderme hakkında daha fazla bilgi için bkz . Microsoft Entra'ya katılmış VM'lere bağlantı sorunlarını giderme - Windows Masaüstü istemcisi.
Karma ortamlarda grup ilkesi sorunları
Karma bir ortam kullanıyorsanız grup ilkesi sorunlarıyla karşılaşabilirsiniz. Geliştirme kutusunu grup ilkesinden geçici olarak dışlayarak sorunun grup ilkesiyle ilgili olup olmadığını test edebilirsiniz.
Grup ilkesi sorunlarını giderme hakkında daha fazla bilgi için bkz . Grup İlkesi Uygulama sorun giderme kılavuzu.
IPv6 sorunlarını giderme
IPv6 sorunlarıyla karşılaşıyorsanız Microsoft.AzureActiveDirectory hizmet uç noktasının sanal ağda veya alt ağda etkinleştirilmediğini denetleyin. Bu hizmet uç noktası, IPv4'ü IPv6'ya dönüştürür.
Daha fazla bilgi için bkz. hizmet uç noktalarını Sanal Ağ.
Geliştirme kutusu tanım görüntüsü sorunlarını güncelleştirme
Geliştirme kutusu tanımında kullanılan görüntüyü güncelleştirdiğinizde, sanal ağınızda yeterli IP adresine sahip olduğunuzdan emin olmanız gerekir. Azure Ağ bağlantısı sistem durumu denetimi için daha fazla ücretsiz IP adresi gereklidir. Sistem durumu denetimi başarısız olursa geliştirme kutusu tanımı güncelleştirilmez. Geliştirme kutusu başına fazladan bir IP adresi ve sistem durumu denetimi ve Geliştirme Kutusu altyapısı için bir IP adresi gerekir.
Geliştirme kutusu tanımı görüntülerini güncelleştirme hakkında daha fazla bilgi için bkz . Geliştirme kutusu tanımını güncelleştirme.
İlgili içerik
- Azure Sanal Masaüstü için gerekli FQDN'lere ve uç noktalara erişimi denetleyin.
- Azure Güvenlik Duvarı'da bu FQDN'lerin ve uç noktaların engellemesini kaldırmayı öğrenin. Bkz. Azure Sanal Masaüstü'nü korumak için Azure Güvenlik Duvarı kullanma.
- Ağ bağlantısı hakkında daha fazla bilgi için bkz . Azure Sanal Masaüstü ağ bağlantısını anlama.