Quelle est l’adresse IP 168.63.129.16 ?

L’adresse IP 168.63.129.16 est une adresse IP publique virtuelle qui est utilisée pour établir un canal de communication vers les ressources de la plateforme Azure. Les clients peuvent définir n’importe quel espace d'adressage pour leur réseau virtuel privé dans Azure. Par conséquent, les ressources de la plateforme Azure doivent être présentées en tant qu’adresse IP publique unique. Cette adresse IP publique virtuelle facilite les opérations suivantes :

  • Permet à l’agent de machine virtuelle de communiquer avec la plateforme Azure pour signaler qu’il est dans un état « Prêt ».

  • Permet la communication avec le serveur virtuel DNS pour fournir une résolution de nom filtré aux ressources (machine virtuelle, par exemple) qui ne possèdent pas de serveur DNS personnalisé. Ce filtrage permet de s’assurer que les clients peuvent résoudre uniquement les noms d’hôte de leurs ressources.

  • Donne les moyens aux sondes d’intégrité d’Azure Load Balancer de déterminer l’état d’intégrité des machines virtuelles.

  • Permet à la machine virtuelle d’obtenir une adresse IP dynamique auprès du service DHCP dans Azure.

  • Active les messages de pulsation de l’agent invité pour le rôle PaaS.

Notes

Dans un scénario de réseau non virtuel (classique), une adresse IP privée est utilisée à la place de 168.63.129.16. Cette adresse IP privée est détectée dynamiquement par le biais du protocole DHCP. Les règles de pare-feu spécifiques à 168.63.129.16 doivent être ajustées en conséquence.

Portée de l’adresse IP 168.63.129.16

L’adresse IP publique 168.63.129.16 est utilisée dans toutes les régions et tous les clouds nationaux. Microsoft possède cette adresse IP publique spéciale et elle ne change pas. Nous vous conseillons d’autoriser cette adresse IP dans toutes les stratégies de pare-feu local (dans la machine virtuelle) dans le sens sortant. La communication est sécurisée entre cette adresse IP spéciale et les ressources car seule la plateforme Azure interne peut envoyer un message à partir de cette adresse. Si cette adresse est bloquée, un comportement inattendu peut se produire dans diverses situations. L’adresse IP 168.63.129.16 est une adresse IP virtuelle du nœud hôte. Les routes définies par l’utilisateur n’affectent donc pas cette adresse.

  • L’agent de machine virtuelle a besoin d’une communication sortante avec WireServer (168.63.129.16) sur les ports 80/tcp et 32526/tcp. Ces ports doivent être ouverts dans le pare-feu local sur la machine virtuelle. Les groupes de sécurité réseau configurés n’affectent pas la communication sur ces ports avec l’adresse 168.63.129.16. Le trafic doit toujours provenir de l’interface réseau primaire de la machine virtuelle.

  • La machine virtuelle peut obtenir des services DNS auprès de l’adresse 168.63.129.16. Si des services DND fournis par 168.63.129.16 ne sont pas souhaités, le trafic sortant vers 168.63.129.16 sur les ports 168.63.129.16 53/udp et 53/tcp peut être bloqué dans le pare-feu local sur la machine virtuelle.

    Par défaut, les groupes de sécurité réseau configurés n’affectent pas la communication DNS, sauf si elle est ciblée en utilisant la balise de service AzurePlatformDNS. Pour bloquer le trafic DNS vers Azure DNS via un groupe de sécurité réseau (NSG), créez une règle de trafic sortant pour refuser le trafic vers AzurePlatformDNS. Spécifiez « N’importe laquelle » comme « Source », « * » comme « Plages de ports de destination », « N’importe lequel » comme protocole et « Refuser » comme action.

    En outre, l’adresse IP 168.63.129.16 ne prend pas en charge la recherche DNS inversée. Cela signifie que vous n’obtiendrez aucun nom de domaine complet (FQDN) si vous essayez de le récupérer sur 168.63.129.16 à l’aide de commandes de recherche inversée telles que host, nslookupou dig -x.

  • Quand la machine virtuelle fait partie d’un pool de back-ends d’équilibreur de charge, la communication avec la sonde d’intégrité doit être autorisée à partir de l’adresse 168.63.129.16. La configuration du groupe de sécurité réseau par défaut inclut une règle qui autorise cette communication. Cette règle utilise la balise de service AzureLoadBalancer. Si vous le souhaitez, vous pouvez bloquer ce trafic en configurant le groupe de sécurité réseau. La configuration du bloc entraîne l’échec des sondes d’intégrité.

Résoudre les problèmes de connectivité

Notes

Lors de l’exécution des tests suivants, l’action doit être exécutée en tant qu’Administrateur (Windows) et Racine (Linux) pour garantir des résultats précis.

Système d’exploitation Windows

Vous pouvez tester la communication vers 168.63.129.16 en utilisant les tests suivants avec PowerShell.

Test-NetConnection -ComputerName 168.63.129.16 -Port 80
Test-NetConnection -ComputerName 168.63.129.16 -Port 32526
Invoke-RestMethod -Headers @{"Metadata"="true"} -Method GET -Uri http://168.63.129.16/?comp=versions

Les résultats doivent être retournés comme suit.

Test-NetConnection -ComputerName 168.63.129.16 -Port 80
ComputerName     : 168.63.129.16
RemoteAddress    : 168.63.129.16
RemotePort       : 80
InterfaceAlias   : Ethernet
SourceAddress    : 10.0.0.4
TcpTestSucceeded : True
Test-NetConnection -ComputerName 168.63.129.16 -Port 32526
ComputerName     : 168.63.129.16
RemoteAddress    : 168.63.129.16
RemotePort       : 32526
InterfaceAlias   : Ethernet
SourceAddress    : 10.0.0.4
TcpTestSucceeded : True
Invoke-RestMethod -Headers @{"Metadata"="true"} -Method GET -Uri http://168.63.129.16/?comp=versions
xml                            Versions
---                            --------
version="1.0" encoding="utf-8" Versions

Vous pouvez également tester la communication vers 168.63.129.16 en utilisant telnet ou psping.

En cas de réussite, telnet doit se connecter et le fichier créé est vide.

telnet 168.63.129.16 80 >> C:\<<EDIT-DIRECTORY>>\168-63-129-16_test-port80.txt
telnet 168.63.129.16 32526 >> C:\<<EDIT-DIRECTORY>>\168-63-129-16_test--port32526.txt
Psping 168.63.129.16:80 >> C:\<<EDIT-DIRECTORY>>\168-63-129-16_test--port80.txt
Psping 168.63.129.16:32526 >> C:\<<EDIT-DIRECTORY>>\168-63-129-16_test-port32526.txt

Système d’exploitation Linux

Sur Linux, vous pouvez tester la communication vers 168.63.129.16 en utilisant les tests suivants.

echo "Testing 80 168.63.129.16 Port 80" > 168-63-129-16_test.txt
traceroute -T -p 80 168.63.129.16 >> 168-63-129-16_test.txt
echo "Testing 80 168.63.129.16 Port 32526" >> 168-63-129-16_test.txt
traceroute -T -p 32526 168.63.129.16 >> 168-63-129-16_test.txt
echo "Test 168.63.129.16 Versions"  >> 168-63-129-16_test.txt
curl http://168.63.129.16/?comp=versions >> 168-63-129-16_test.txt

Les résultats dans 168-63-129-16_test.txt doivent être retournés comme suit.

traceroute -T -p 80 168.63.129.16
traceroute to 168.63.129.16 (168.63.129.16), 30 hops max, 60 byte packets
1  168.63.129.16 (168.63.129.16)  0.974 ms  1.085 ms  1.078 ms

traceroute -T -p 32526 168.63.129.16
traceroute to 168.63.129.16 (168.63.129.16), 30 hops max, 60 byte packets
1  168.63.129.16 (168.63.129.16)  0.883 ms  1.004 ms  1.010 ms

curl http://168.63.129.16/?comp=versions
<?xml version="1.0" encoding="utf-8"?>
<Versions>
<Preferred>
<Version>2015-04-05</Version>
</Preferred>
<Supported>
<Version>2015-04-05</Version>
<Version>2012-11-30</Version>
<Version>2012-09-15</Version>
<Version>2012-05-15</Version>
<Version>2011-12-31</Version>
<Version>2011-10-15</Version>
<Version>2011-08-31</Version>
<Version>2011-04-07</Version>
<Version>2010-12-15</Version>
<Version>2010-28-10</Version>
</Supported>

Étapes suivantes