La dirección IP 168.63.129.16 es una dirección IP pública virtual que se usa para facilitar un canal de comunicación a los recursos de la plataforma Azure. Los clientes pueden definir cualquier espacio de direcciones de su red virtual privada en Azure. Por lo tanto, los recursos de la plataforma Azure se deben presentar como una única dirección IP pública. Esta IP pública virtual facilita lo siguiente:
Permite al agente de VM comunicarse con la plataforma Azure para indicar que se encuentra en estado "Listo".
Permite la comunicación con el servidor DNS virtual para proporcionar resolución de nombres filtrada a los recursos (como una máquina virtual) que no tienen un servidor DNS personalizado. Este filtrado garantiza que los clientes puedan resolver solo los nombres de host de sus recursos.
Permite que la máquina virtual obtenga una dirección IP dinámica desde el servicio DHCP en Azure.
Habilita los mensajes de latido del agente invitado para el rol PaaS.
Nota
En un escenario de red no virtual (clásico), se usa una dirección IP privada en lugar de 168.63.129.16. Esta dirección IP privada se detecta de forma dinámica mediante DHCP. Las reglas de firewall específicas de 168.63.129.16 deben ajustarse según corresponda.
Ámbito de la dirección IP 168.63.129.16
La dirección IP pública 168.63.129.16 se utiliza en todas las regiones y en todas las nubes nacionales. Microsoft posee esta IP pública especial y no cambia. Se recomienda que permita esta dirección IP en las directivas de firewall locales (en la máquina virtual) en la dirección de salida. La comunicación entre esta dirección IP especial y los recursos es segura porque solo la plataforma interna de Azure puede originar un mensaje desde esta dirección IP. Si esta dirección se bloquea, puede producirse un comportamiento inesperado en una variedad de escenarios. 168.63.129.16 es una IP virtual del nodo de host y, como tal, no está sujeta a las rutas definidas por el usuario.
El agente de máquina virtual requiere comunicación saliente a través de los puertos TCP 80 y TCP 32526 con WireServer (168.63.129.16). Estos puertos deben estar abiertos en el firewall local de la máquina virtual. La comunicación en estos puertos con 168.63.129.16 no está sujeta a los grupos de seguridad de red configurados. El tráfico siempre debe proceder de la interfaz de red principal de la máquina virtual.
168.63.129.16 puede proporcionar servicios DNS a la máquina virtual. Si no se desean los servicios DNS que proporciona la IP virtual 168.63.129.16, el tráfico saliente a los puertos UDP 53 y TCP 53 de 168.63.129.16 se puede bloquear en el firewall local de la máquina virtual.
De forma predeterminada, la comunicación de DNS no está sujeta a los grupos de seguridad de red configurados a menos que se dirija específicamente aprovechando la etiqueta de servicio AzurePlatformDNS. Para bloquear el tráfico DNS hacia Azure DNS mediante NSG, cree una regla de salida para denegar el tráfico a AzurePlatformDNS. Especifique “Any” como “Source”,“*” como “Destination port ranges” (Intervalos de puertos de destino),“Any” como protocolo y “Deny” como acción.
Además, la dirección IP 168.63.129.16 no admite la búsqueda inversa de DNS. Esto significa que si intenta recuperar el nombre de dominio completo (FQDN) mediante comandos de búsqueda inversa como host, nslookup o dig -x en 168.63.129.16, no recibirá ningún FQDN.
Cuando la máquina virtual forma parte de un grupo de back-end del equilibrador de carga, debe permitirse que la comunicación del sondeo de estado se origine en 168.63.129.16. La configuración predeterminada del grupo de seguridad de red tiene una regla que permite esta comunicación. Esta regla aprovecha la etiqueta de servicio AzureLoadBalancer. Si lo desea, se puede bloquear este tráfico configurando el grupo de seguridad de red. La configuración del bloque da como resultado sondeos que producen un error.
Solución de problemas de conectividad
Nota
Al ejecutar las pruebas que se indican a continuación, la acción debe ejecutarse como Administrador (Windows) y Root (Linux) para garantizar resultados precisos.
SO Windows
Puede probar la comunicación con la dirección 168.63.129.16 mediante las siguientes pruebas con PowerShell.
La resolución de nombres es el proceso de hacer coincidir el nombre de un equipo con su dirección de red. En este módulo se examinan los problemas de resolución de nombres de redes públicas, redes privadas y redes internas que se conectan a Azure. AZ720 AZ-720 az-720 redes de comunicación
Muestre el diseño, la implementación y el mantenimiento de la infraestructura de red de Azure, el tráfico de equilibrio de carga, el enrutamiento de red, etc.
Escenarios de resolución de nombres para IaaS de Azure, soluciones híbridas, entre diferentes servicios en la nube, Microsoft Entra y un servidor DNS propio.
Solución de problemas de la aplicación virtual de red (NVA) en Azure y validación de los requisitos básicos de la plataforma Azure para las configuraciones de NVA.