IP アドレス 168.63.129.16 は、Azure プラットフォーム リソースへの通信チャネルの使用を容易にするために使用される仮想パブリック IP アドレスです。 お客様は、Azure でプライベート仮想ネットワーク用に任意のアドレス空間を定義できます。 そのため、Azure プラットフォーム リソースは、一意のパブリック IP アドレスとして提供される必要があります。 この仮想パブリック IP アドレスによって、次のようなことが容易になります。
VM エージェントが Azure プラットフォームと通信して、それが "準備完了" 状態にあることを通知できるようにする。
カスタム DNS サーバーが存在しないリソース (VM など) にフィルター処理された名前解決を提供するために、DNS 仮想サーバーとの通信を有効にする。 このフィルター処理により、お客様が自分のリソースのホスト名だけを解決できるようになります。
Azure Load Balancer の正常性プローブが VM の正常性状態を特定できるようにする。
VM が、Azure の DHCP サービスから動的 IP アドレスを取得できるようにします。
PaaS ロールに対するゲスト エージェントのハートビート メッセージを有効にする。
IP アドレス 168.63.129.16 のスコープ
パブリック IP アドレス 168.63.129.16 は、すべてのリージョンおよびすべての国内クラウドで使用されます。 この特別なパブリック IP アドレスは Microsoft が所有しており、変更されることはありません。 (VM 内のアウトバウンド方向の) ローカル ファイアウォール ポリシーで、この IP アドレスを許可することをお勧めします。 この特殊な IP アドレスからメッセージを受信できるのは内部 Azure プラットフォームだけであるため、この IP アドレスとリソースの間の通信は安全です。 このアドレスがブロックされると、さまざまなシナリオで予期しない動作が発生する場合があります。 168.63.129.16 はホスト ノードの仮想 IP であるため、ユーザー定義ルートの対象にはなりません。
VM エージェントでは、ポート 80/tcp と 32526/tcp を介した WireServer (168.63.129.16) とのアウトバウンド通信が必要です。 これらのポートは、VM 上のローカル ファイアウォールで開いておく必要があります。 これらのポート上での 168.63.129.16 との通信は、構成されたネットワーク セキュリティ グループの対象ではありません。 トラフィックは常に VM のプライマリ ネットワーク インターフェイスから取得する必要があります。
168.63.129.16 では、VM に DNS サービスを提供できます。 168.63.129.16 により提供される DNS サービスが望ましくない場合は、168.63.129.16 ポート 53/udp および 53/tcp へのアウトバウンド トラフィックを VM 上のローカル ファイアウォールでブロックできます。
既定では、AzurePlatformDNS サービス タグを使用してターゲットを絞らない限り、DNS 通信は構成されたネットワーク セキュリティ グループの対象になりません。 NSG 経由での Azure DNS への DNS トラフィックをブロックするには、AzurePlatformDNS へのトラフィックを拒否するアウトバウンド規則を作成します。 "送信元" とし て"すべて" を、"宛先ポート範囲" として "*" を、プロトコルとして "すべて" を、アクションとして "拒否" を指定します。
さらに、IP アドレス 168.63.129.16 は逆引き DNS 参照をサポートしていません。 つまり、168.63.129.16 で
host、nslookup、dig -xなどの逆引き参照コマンドを使用して完全修飾ドメイン名 (FQDN) を取得しようとすると、FQDN は受信されません。VM がロード バランサー バックエンド プールの一部である場合、正常性プローブ通信を、168.63.129.16 から発信できるようにする必要があります。 既定のネットワーク セキュリティ グループの構成には、この通信を許可する規則があります。 この規則では、AzureLoadBalancer サービス タグが使用されます。 必要に応じて、このトラフィックは、ネットワーク セキュリティ グループを構成することによってブロックできます。 ブロックの構成により、プローブが失敗します。
接続のトラブルシューティング
Note
正確な結果を得るには、次のテストの実行を管理者 (Windows) およびルート (Linux) として実行する必要があります。
PowerShell で次のテストを使用して、168.63.129.16 への通信をテストできます。
$Params = @{
ComputerName = "168.63.129.16"
Port = 80
}
Test-NetConnection @Params
$Params.Port = 32526
Test-NetConnection @Params
$Headers = @{
Metadata = "true"
}
Invoke-RestMethod -Headers $Headers -Method GET -Uri "http://168.63.129.16/?comp=versions"
結果が次のように返されます。
Test-NetConnection -ComputerName 168.63.129.16 -Port 80
ComputerName : 168.63.129.16
RemoteAddress : 168.63.129.16
RemotePort : 80
InterfaceAlias : Ethernet
SourceAddress : 10.0.0.4
TcpTestSucceeded : True
Test-NetConnection -ComputerName 168.63.129.16 -Port 32526
ComputerName : 168.63.129.16
RemoteAddress : 168.63.129.16
RemotePort : 32526
InterfaceAlias : Ethernet
SourceAddress : 10.0.0.4
TcpTestSucceeded : True
Invoke-RestMethod -Headers @{"Metadata"="true"} -Method GET -Uri http://168.63.129.16/?comp=versions
xml Versions
--- --------
version="1.0" encoding="utf-8" Versions
telnet または psping を使用して、168.63.129.16 への通信をテストすることもできます。
成功した場合、telnet が接続され、作成されるファイルは空になります。
telnet 168.63.129.16 80 >> C:\<<EDIT-DIRECTORY>>\168-63-129-16_test-port80.txt
telnet 168.63.129.16 32526 >> C:\<<EDIT-DIRECTORY>>\168-63-129-16_test--port32526.txt
Psping 168.63.129.16:80 >> C:\<<EDIT-DIRECTORY>>\168-63-129-16_test--port80.txt
Psping 168.63.129.16:32526 >> C:\<<EDIT-DIRECTORY>>\168-63-129-16_test-port32526.txt