Compartilhar via


O que é o endereço IP 168.63.129.16?

O endereço IP 168.63.129.16 é um endereço IP público virtual usado para facilitar um canal de comunicação com os recursos da plataforma do Azure. Os clientes podem definir qualquer espaço de endereço para sua rede virtual privada no Azure. Portanto, os recursos da plataforma do Azure devem ser apresentados como um endereço IP público exclusivo. Esse endereço IP público virtual facilita as seguintes operações:

  • Habilita o agente de VM a se comunicar com a plataforma do Azure para sinalizar que ele está em um estado "Pronto".

  • Habilita a comunicação com o servidor virtual de DNS para fornecer a resolução de nomes filtrada aos recursos (como VMs) que não possuem um servidor DNS personalizado. Essa filtragem garante que os clientes possam resolver os nomes de host de seus recursos.

  • Habilita sondas de integridade do Azure Load Balancer para determinar o estado de saúde das VMs.

  • Permite que a VM obtenha um endereço IP dinâmico do serviço DHCP no Azure.

  • Habilita mensagens de pulsação de Agente Convidado para a função de PaaS.

Escopo de endereço IP 168.63.129.16

O endereço IP público 168.63.129.16 é usado em todas as regiões e todas as nuvens nacionais. A Microsoft possui esse endereço IP público especial e ele não é alterado. Recomendamos que você permita esse endereço IP em todas as políticas de firewall locais (na VM) (direção de saída). A comunicação entre esse endereço IP especial e os recursos é segura porque somente a plataforma interna do Azure pode originar mensagens desse endereço IP. Se esse endereço for bloqueado, um comportamento inesperado poderá ocorrer em vários cenários. 168.63.129.16 é um IP virtual do nó de host e, como tal, não está sujeito a rotas definidas pelo usuário.

  • O agente de VM requer comunicação de saída nas portas 80/TCP e 32526/TCP com o WireServer (168.63.129.16). Essas portas devem estar abertas no firewall local na VM. A comunicação nessas portas com o 168.63.129.16 não está sujeita aos grupos de segurança de rede configurados. O tráfego deve sempre vir da interface de rede primária da VM.

  • 168.63.129.16 pode fornecer serviços DNS à VM. Se os serviços DNS fornecidos por 168.63.129.16 não forem desejados, o tráfego de saída para as portas 168.63.129.16 53/UDP e 53/TCP poderá ser bloqueado no firewall local na VM.

    Por padrão, a comunicação DNS não está sujeita aos grupos de segurança de rede configurados, a menos que sejam direcionados usando a marca de serviço AzurePlatformDNS. Para bloquear o tráfego DNS para o DNS do Azure por meio do NSG, crie uma regra de saída para negar o tráfego para AzurePlatformDNS. Especifique "Any" como "Source","*" como "Destination port ranges","Any" como protocolo e "Deny" como ação.

    Além disso, o endereço IP 168.63.129.16 não dá suporte à pesquisa DNS reversa. Isso significa que, se você tentar recuperar o FQDN (Nome de Domínio Totalmente Qualificado) usando comandos de pesquisa reversa como host, nslookupou dig -x em 168.63.129.16, um FQDN não será recebido.

  • Quando a VM faz parte de um pool de back-end do balanceador de carga, a comunicação de investigação de integridade deve ter permissão para ser originada em 168.63.129.16. A configuração do grupo de segurança de rede padrão tem uma regra que permite essa comunicação. Essa regra usa a marca de serviço AzureLoadBalancer. Se desejado, esse tráfego pode ser bloqueado configurando o grupo de segurança de rede. A configuração do bloco resulta em sondas que falham.

Solucionar problemas de conectividade

Observação

A execução dos testes a seguir deve ser executada como Administrador (Windows) e Raiz (Linux) para garantir resultados precisos.

Você pode testar a comunicação com o 168.63.129.16 usando os testes a seguir com o PowerShell.

$Params = @{
  ComputerName = "168.63.129.16"
  Port         = 80
}
Test-NetConnection @Params

$Params.Port = 32526
Test-NetConnection @Params

$Headers = @{
  Metadata = "true"
}
Invoke-RestMethod -Headers $Headers -Method GET -Uri "http://168.63.129.16/?comp=versions"

Os resultados devem retornar da seguinte maneira.

Test-NetConnection -ComputerName 168.63.129.16 -Port 80
ComputerName     : 168.63.129.16
RemoteAddress    : 168.63.129.16
RemotePort       : 80
InterfaceAlias   : Ethernet
SourceAddress    : 10.0.0.4
TcpTestSucceeded : True
Test-NetConnection -ComputerName 168.63.129.16 -Port 32526
ComputerName     : 168.63.129.16
RemoteAddress    : 168.63.129.16
RemotePort       : 32526
InterfaceAlias   : Ethernet
SourceAddress    : 10.0.0.4
TcpTestSucceeded : True
Invoke-RestMethod -Headers @{"Metadata"="true"} -Method GET -Uri http://168.63.129.16/?comp=versions
xml                            Versions
---                            --------
version="1.0" encoding="utf-8" Versions

Você também pode testar a comunicação para 168.63.129.16 usando telnet ou psping.

Se for bem sucedido, a telnet deverá se conectar e o arquivo criado estará vazio.

telnet 168.63.129.16 80 >> C:\<<EDIT-DIRECTORY>>\168-63-129-16_test-port80.txt
telnet 168.63.129.16 32526 >> C:\<<EDIT-DIRECTORY>>\168-63-129-16_test--port32526.txt
Psping 168.63.129.16:80 >> C:\<<EDIT-DIRECTORY>>\168-63-129-16_test--port80.txt
Psping 168.63.129.16:32526 >> C:\<<EDIT-DIRECTORY>>\168-63-129-16_test-port32526.txt

Próximas etapas