¿Qué es la dirección IP 168.63.129.16?

La dirección IP 168.63.129.16 es una dirección IP pública virtual que se usa para facilitar un canal de comunicación a los recursos de la plataforma Azure. Los clientes pueden definir cualquier espacio de direcciones de su red virtual privada en Azure. Por lo tanto, los recursos de la plataforma Azure se deben presentar como una única dirección IP pública. Esta IP pública virtual facilita lo siguiente:

  • Permite al agente de VM comunicarse con la plataforma Azure para indicar que se encuentra en estado "Listo".

  • Permite la comunicación con el servidor DNS virtual para proporcionar resolución de nombres filtrada a los recursos (como una máquina virtual) que no tienen un servidor DNS personalizado. Este filtrado garantiza que los clientes puedan resolver solo los nombres de host de sus recursos.

  • Permite que los sondeos de estado de Azure Load Balancer determinen el estado de mantenimiento de las máquinas virtuales.

  • Permite que la máquina virtual obtenga una dirección IP dinámica desde el servicio DHCP en Azure.

  • Habilita los mensajes de latido del agente invitado para el rol PaaS.

Nota

En un escenario de red no virtual (clásico), se usa una dirección IP privada en lugar de 168.63.129.16. Esta dirección IP privada se detecta de forma dinámica mediante DHCP. Las reglas de firewall específicas de 168.63.129.16 deben ajustarse según corresponda.

Ámbito de la dirección IP 168.63.129.16

La dirección IP pública 168.63.129.16 se utiliza en todas las regiones y en todas las nubes nacionales. Microsoft posee esta IP pública especial y no cambia. Se recomienda que permita esta dirección IP en las directivas de firewall locales (en la máquina virtual) en la dirección de salida. La comunicación entre esta dirección IP especial y los recursos es segura porque solo la plataforma interna de Azure puede originar un mensaje desde esta dirección IP. Si esta dirección se bloquea, puede producirse un comportamiento inesperado en una variedad de escenarios. 168.63.129.16 es una IP virtual del nodo de host y, como tal, no está sujeta a las rutas definidas por el usuario.

  • El agente de máquina virtual requiere comunicación saliente a través de los puertos TCP 80 y TCP 32526 con WireServer (168.63.129.16). Estos puertos deben estar abiertos en el firewall local de la máquina virtual. La comunicación en estos puertos con 168.63.129.16 no está sujeta a los grupos de seguridad de red configurados. El tráfico siempre debe proceder de la interfaz de red principal de la máquina virtual.

  • 168.63.129.16 puede proporcionar servicios DNS a la máquina virtual. Si no se desean los servicios DNS que proporciona la IP virtual 168.63.129.16, el tráfico saliente a los puertos UDP 53 y TCP 53 de 168.63.129.16 se puede bloquear en el firewall local de la máquina virtual.

    De forma predeterminada, la comunicación de DNS no está sujeta a los grupos de seguridad de red configurados a menos que se dirija específicamente aprovechando la etiqueta de servicio AzurePlatformDNS. Para bloquear el tráfico DNS hacia Azure DNS mediante NSG, cree una regla de salida para denegar el tráfico a AzurePlatformDNS. Especifique “Any” como “Source”,“*” como “Destination port ranges” (Intervalos de puertos de destino),“Any” como protocolo y “Deny” como acción.

    Además, la dirección IP 168.63.129.16 no admite la búsqueda inversa de DNS. Esto significa que si intenta recuperar el nombre de dominio completo (FQDN) mediante comandos de búsqueda inversa como host, nslookup o dig -x en 168.63.129.16, no recibirá ningún FQDN.

  • Cuando la máquina virtual forma parte de un grupo de back-end del equilibrador de carga, debe permitirse que la comunicación del sondeo de estado se origine en 168.63.129.16. La configuración predeterminada del grupo de seguridad de red tiene una regla que permite esta comunicación. Esta regla aprovecha la etiqueta de servicio AzureLoadBalancer. Si lo desea, se puede bloquear este tráfico configurando el grupo de seguridad de red. La configuración del bloque da como resultado sondeos que producen un error.

Solución de problemas de conectividad

Nota

Al ejecutar las pruebas que se indican a continuación, la acción debe ejecutarse como Administrador (Windows) y Root (Linux) para garantizar resultados precisos.

SO Windows

Puede probar la comunicación con la dirección 168.63.129.16 mediante las siguientes pruebas con PowerShell.

Test-NetConnection -ComputerName 168.63.129.16 -Port 80
Test-NetConnection -ComputerName 168.63.129.16 -Port 32526
Invoke-RestMethod -Headers @{"Metadata"="true"} -Method GET -Uri http://168.63.129.16/?comp=versions

Los resultados deben ser como se indica a continuación.

Test-NetConnection -ComputerName 168.63.129.16 -Port 80
ComputerName     : 168.63.129.16
RemoteAddress    : 168.63.129.16
RemotePort       : 80
InterfaceAlias   : Ethernet
SourceAddress    : 10.0.0.4
TcpTestSucceeded : True
Test-NetConnection -ComputerName 168.63.129.16 -Port 32526
ComputerName     : 168.63.129.16
RemoteAddress    : 168.63.129.16
RemotePort       : 32526
InterfaceAlias   : Ethernet
SourceAddress    : 10.0.0.4
TcpTestSucceeded : True
Invoke-RestMethod -Headers @{"Metadata"="true"} -Method GET -Uri http://168.63.129.16/?comp=versions
xml                            Versions
---                            --------
version="1.0" encoding="utf-8" Versions

También puede probar la comunicación con la dirección 168.63.129.16 mediante telnet o psping.

Si se ejecuta correctamente, telnet debe conectarse y el archivo que se crea estará vacío.

telnet 168.63.129.16 80 >> C:\<<EDIT-DIRECTORY>>\168-63-129-16_test-port80.txt
telnet 168.63.129.16 32526 >> C:\<<EDIT-DIRECTORY>>\168-63-129-16_test--port32526.txt
Psping 168.63.129.16:80 >> C:\<<EDIT-DIRECTORY>>\168-63-129-16_test--port80.txt
Psping 168.63.129.16:32526 >> C:\<<EDIT-DIRECTORY>>\168-63-129-16_test-port32526.txt

SO Linux

En Linux, puede probar la comunicación con la dirección 168.63.129.16 mediante las siguientes pruebas.

echo "Testing 80 168.63.129.16 Port 80" > 168-63-129-16_test.txt
traceroute -T -p 80 168.63.129.16 >> 168-63-129-16_test.txt
echo "Testing 80 168.63.129.16 Port 32526" >> 168-63-129-16_test.txt
traceroute -T -p 32526 168.63.129.16 >> 168-63-129-16_test.txt
echo "Test 168.63.129.16 Versions"  >> 168-63-129-16_test.txt
curl http://168.63.129.16/?comp=versions >> 168-63-129-16_test.txt

Los resultados que hay dentro del archivo 168-63-129-16_test.txt deben ser como se muestra a continuación.

traceroute -T -p 80 168.63.129.16
traceroute to 168.63.129.16 (168.63.129.16), 30 hops max, 60 byte packets
1  168.63.129.16 (168.63.129.16)  0.974 ms  1.085 ms  1.078 ms

traceroute -T -p 32526 168.63.129.16
traceroute to 168.63.129.16 (168.63.129.16), 30 hops max, 60 byte packets
1  168.63.129.16 (168.63.129.16)  0.883 ms  1.004 ms  1.010 ms

curl http://168.63.129.16/?comp=versions
<?xml version="1.0" encoding="utf-8"?>
<Versions>
<Preferred>
<Version>2015-04-05</Version>
</Preferred>
<Supported>
<Version>2015-04-05</Version>
<Version>2012-11-30</Version>
<Version>2012-09-15</Version>
<Version>2012-05-15</Version>
<Version>2011-12-31</Version>
<Version>2011-10-15</Version>
<Version>2011-08-31</Version>
<Version>2011-04-07</Version>
<Version>2010-12-15</Version>
<Version>2010-28-10</Version>
</Supported>

Pasos siguientes