Che cos'è l'indirizzo IP 168.63.129.16?

L'indirizzo IP 168.63.129.16 è un indirizzo IP pubblico virtuale usato per facilitare un canale di comunicazione con le risorse della piattaforma Azure. I clienti possono definire qualsiasi spazio di indirizzi per la propria rete virtuale privata in Azure. Le risorse della piattaforma Azure, quindi, devono essere presentate come un indirizzo IP pubblico univoco. Questo indirizzo IP pubblico virtuale offre i vantaggi seguenti:

• Consente all'agente di macchine virtuali di comunicare con la piattaforma Azure per segnalare che si trova in uno stato "Pronto".
• Consente la comunicazione con il server virtuale DNS per fornire la risoluzione dei nomi filtrati alle risorse (ad esempio, alla macchina virtuale) che non hanno un server DNS personalizzato. Questo filtro garantisce che i clienti possano risolvere solo i nomi host delle proprie risorse.
• Consente ai probe di integrità del servizio di bilanciamento del carico di Azure di determinare lo stato di integrità delle macchine virtuali.
• Consente alla macchina virtuale di ottenere un indirizzo IP dinamico dal servizio DHCP in Azure.
• Consente messaggi heartbeat dell'agente guest per il ruolo PaaS.

Nota

In uno scenario di rete non virtuale (classico) viene usato un indirizzo IP privato invece di 168.63.129.16. L'indirizzo IP privato viene individuato dinamicamente tramite DHCP. Le regole del firewall specifiche per 168.63.129.16 devono essere modificate in base alle esigenze.

Ambito dell'indirizzo IP 168.63.129.16

L'indirizzo IP pubblico 168.63.129.16 viene usato in tutte le aree e in tutti i cloud nazionali. Questo indirizzo IP pubblico speciale è di proprietà di Microsoft e non cambierà. È consigliabile consentire questo indirizzo IP in qualsiasi criterio firewall (direzione in uscita) locale nella macchina virtuale. La comunicazione tra questo particolare indirizzo IP e le risorse è sicura poiché solo la piattaforma Azure interna può generare un messaggio da questo indirizzo IP. Se questo indirizzo viene bloccato, in alcuni scenari è possibile che si verifichi un comportamento imprevisto. 168.63.129.16 è un indirizzo IP virtuale del nodo host e, di conseguenza, non è soggetto alle route definite dall'utente.

• L'agente di macchine virtuali richiede la comunicazione in uscita sulle porte 80/tcp e 32526/tcp con WireServer (168.63.129.16). Queste porte devono essere aperte nel firewall locale nella macchina virtuale. La comunicazione su queste porte con 168.63.129.16 non è soggetta ai gruppi di sicurezza di rete configurati.

• 168.63.129.16 può fornire servizi DNS alla macchina virtuale. Se non si vuole questo comportamento, il traffico in uscita verso 168.63.129.16 tramite le porte 53/udp e 53/tcp può essere bloccato nel firewall locale nella macchina virtuale.

  Per impostazione predefinita, la comunicazione DNS non è soggetta ai gruppi di sicurezza di rete configurati, a meno che non venga indirizzato in modo specifico usando il tag del servizio AzurePlatformDNS . Per bloccare il traffico DNS verso DNS di Azure tramite il gruppo di sicurezza di rete, creare una regola in uscita per negare il traffico ad AzurePlatformDNS e specificare "Any" come "Source", "*" come "Intervalli di porte di destinazione", "Any" come protocollo e "Nega" come azione.

• Quando la macchina virtuale fa parte di un pool back-end del servizio di bilanciamento del carico, la comunicazione del probe di integrità deve essere autorizzata a provenire dalla versione 168.63.129.16. La configurazione predefinita del gruppo di sicurezza di rete ha una regola che consente questa comunicazione. Questa regola sfrutta il tag del servizio AzureLoadBalancer . Se tuttavia si vuole che questo traffico possa essere bloccato configurando il gruppo di sicurezza di rete, ciò comporterà l'esito negativo dei probe.

Risolvere i problemi di connettività

Nota

Quando si eseguono i test seguenti, l'azione deve essere eseguita come amministratore (Windows) e radice (Linux) per garantire risultati accurati.

Sistema operativo Windows

È possibile testare la comunicazione con 168.63.129.16 usando i test seguenti con PowerShell.

Test-NetConnection -ComputerName 168.63.129.16 -Port 80
Test-NetConnection -ComputerName 168.63.129.16 -Port 32526
Invoke-RestMethod -Headers @{"Metadata"="true"} -Method GET -Uri http://168.63.129.16/?comp=versions

I risultati dovrebbero restituire come illustrato di seguito.

Test-NetConnection -ComputerName 168.63.129.16 -Port 80
ComputerName     : 168.63.129.16
RemoteAddress    : 168.63.129.16
RemotePort       : 80
InterfaceAlias   : Ethernet
SourceAddress    : 10.0.0.4
TcpTestSucceeded : True

Test-NetConnection -ComputerName 168.63.129.16 -Port 32526
ComputerName     : 168.63.129.16
RemoteAddress    : 168.63.129.16
RemotePort       : 32526
InterfaceAlias   : Ethernet
SourceAddress    : 10.0.0.4
TcpTestSucceeded : True

Invoke-RestMethod -Headers @{"Metadata"="true"} -Method GET -Uri http://168.63.129.16/?comp=versions
xml                            Versions
---                            --------
version="1.0" encoding="utf-8" Versions

È anche possibile testare la comunicazione con 168.63.129.16 usando telnet o psping.

In caso di esito positivo, telnet deve connettersi e il file creato sarà vuoto.

telnet 168.63.129.16 80 >> C:\<<EDIT-DIRECTORY>>\168-63-129-16_test-port80.txt
telnet 168.63.129.16 32526 >> C:\<<EDIT-DIRECTORY>>\168-63-129-16_test--port32526.txt

Psping 168.63.129.16:80 >> C:\<<EDIT-DIRECTORY>>\168-63-129-16_test--port80.txt
Psping 168.63.129.16:32526 >> C:\<<EDIT-DIRECTORY>>\168-63-129-16_test-port32526.txt

Sistema operativo Linux

In Linux è possibile testare la comunicazione con 168.63.129.16 usando i test seguenti.

echo "Testing 80 168.63.129.16 Port 80" > 168-63-129-16_test.txt
traceroute -T -p 80 168.63.129.16 >> 168-63-129-16_test.txt
echo "Testing 80 168.63.129.16 Port 32526" >> 168-63-129-16_test.txt
traceroute -T -p 32526 168.63.129.16 >> 168-63-129-16_test.txt
echo "Test 168.63.129.16 Versions"  >> 168-63-129-16_test.txt
curl http://168.63.129.16/?comp=versions >> 168-63-129-16_test.txt

I risultati all'interno di 168-63-129-16_test.txt devono restituire come illustrato di seguito.

traceroute -T -p 80 168.63.129.16
traceroute to 168.63.129.16 (168.63.129.16), 30 hops max, 60 byte packets
1  168.63.129.16 (168.63.129.16)  0.974 ms  1.085 ms  1.078 ms

traceroute -T -p 32526 168.63.129.16
traceroute to 168.63.129.16 (168.63.129.16), 30 hops max, 60 byte packets
1  168.63.129.16 (168.63.129.16)  0.883 ms  1.004 ms  1.010 ms
	
curl http://168.63.129.16/?comp=versions
<?xml version="1.0" encoding="utf-8"?>
<Versions>
<Preferred>
<Version>2015-04-05</Version>
</Preferred>
<Supported>
<Version>2015-04-05</Version>
<Version>2012-11-30</Version>
<Version>2012-09-15</Version>
<Version>2012-05-15</Version>
<Version>2011-12-31</Version>
<Version>2011-10-15</Version>
<Version>2011-08-31</Version>
<Version>2011-04-07</Version>
<Version>2010-12-15</Version>
<Version>2010-28-10</Version>
</Supported>

Passaggi successivi

• Gruppi di sicurezza
• Creare, modificare o eliminare un gruppo di sicurezza di rete