Azure IP アドレス 168.63.129.16 は、Azure プラットフォーム リソースへの通信チャネルを容易にする仮想パブリック IP アドレスです。 お客様は、Azure でプライベート仮想ネットワーク用に任意のアドレス空間を定義できます。 そのため、Azure プラットフォーム リソースは、一意のパブリック IP アドレスとして提供される必要があります。 この仮想パブリック IP アドレスによって、次のようなことが容易になります。
- 仮想マシン エージェントが Azure プラットフォームと通信して、それが "準備完了" 状態であることを通知できるようにします。
- DNS 仮想サーバーとの通信を有効にして、カスタム DNS サーバーを持たないリソース (仮想マシンなど) にフィルター処理された名前解決を提供します。 このフィルター処理により、お客様が自分のリソースのホスト名だけを解決できるようになります。
- Azure Load Balancer からの正常性プローブを有効にして、仮想マシンの正常性状態を判断します。
- 仮想マシンが Azure の DHCP サービスから動的 IP アドレスを取得できるようにします。
- PaaS ロールに対するゲスト エージェントのハートビート メッセージを有効にする。
Azure IP アドレス 168.63.129.16 のスコープ
パブリック IP アドレス 168.63.129.16 は、すべてのリージョンおよびすべての国内クラウドで使用されます。 この特別なパブリック IP アドレスは Microsoft が所有しており、変更されることはありません。 この IP アドレスは、任意のローカル (仮想マシン内) のファイアウォール ポリシー (送信方向) で許可することをお勧めします。 この特殊な IP アドレスからメッセージを受信できるのは内部 Azure プラットフォームだけであるため、この IP アドレスとリソースの間の通信は安全です。 このアドレスがブロックされると、さまざまなシナリオで予期しない動作が発生する場合があります。 168.63.129.16 はホスト ノードの仮想 IP であるため、ユーザー定義ルートの対象にはなりません。
仮想マシン エージェントでは、WireServer (168.63.129.16) を使用して、ポート 80/tcp と 32526/tcp を介した送信通信が必要です。 これらのポートは、仮想マシン上のローカル ファイアウォールで開く必要があります。 これらのポート上での 168.63.129.16 との通信は、構成されたネットワーク セキュリティ グループの対象ではありません。 トラフィックは、常に仮想マシンのプライマリ ネットワーク インターフェイスから取得する必要があります。
168.63.129.16 は、仮想マシンに DNS サービスを提供できます。 168.63.129.16 によって提供される DNS サービスが望ましくない場合は、仮想マシン上のローカル ファイアウォールで 168.63.129.16 ポート 53/udp および 53/tcp への送信トラフィックをブロックできます。
既定では、AzurePlatformDNS サービス タグを使用してターゲットを絞らない限り、DNS 通信は構成されたネットワーク セキュリティ グループの対象になりません。 NSG 経由での Azure DNS への DNS トラフィックをブロックするには、AzurePlatformDNS へのトラフィックを拒否するアウトバウンド規則を作成します。 "送信元" とし て"すべて" を、"宛先ポート範囲" として "*" を、プロトコルとして "すべて" を、アクションとして "拒否" を指定します。
さらに、IP アドレス 168.63.129.16 は逆引き DNS 参照をサポートしていません。 つまり、168.63.129.16 で
host、nslookup、dig -xなどの逆引き参照コマンドを使用して完全修飾ドメイン名 (FQDN) を取得しようとすると、FQDN は受信されません。仮想マシンがロード バランサー バックエンド プールの一部である場合は、 正常性プローブ 通信が 168.63.129.16 から発信されるようにする必要があります。 既定のネットワーク セキュリティ グループの構成には、この通信を許可する規則があります。 この規則では、AzureLoadBalancer サービス タグが使用されます。 必要に応じて、このトラフィックは、ネットワーク セキュリティ グループを構成することによってブロックできます。 ブロックの構成により、プローブが失敗します。
Azure IP 接続のトラブルシューティング
Note
正確な結果を得るには、次のテストの実行を管理者 (Windows) およびルート (Linux) として実行する必要があります。
PowerShell で次のテストを使用して、168.63.129.16 への通信をテストできます。
$Params = @{
ComputerName = "168.63.129.16"
Port = 80
}
Test-NetConnection @Params
$Params.Port = 32526
Test-NetConnection @Params
$Headers = @{
Metadata = "true"
}
Invoke-RestMethod -Headers $Headers -Method GET -Uri "http://168.63.129.16/?comp=versions"
結果が次のように返されます。
Test-NetConnection -ComputerName 168.63.129.16 -Port 80
ComputerName : 168.63.129.16
RemoteAddress : 168.63.129.16
RemotePort : 80
InterfaceAlias : Ethernet
SourceAddress : 10.0.0.4
TcpTestSucceeded : True
Test-NetConnection -ComputerName 168.63.129.16 -Port 32526
ComputerName : 168.63.129.16
RemoteAddress : 168.63.129.16
RemotePort : 32526
InterfaceAlias : Ethernet
SourceAddress : 10.0.0.4
TcpTestSucceeded : True
Invoke-RestMethod -Headers @{"Metadata"="true"} -Method GET -Uri http://168.63.129.16/?comp=versions
xml Versions
--- --------
version="1.0" encoding="utf-8" Versions
telnet または psping を使用して、168.63.129.16 への通信をテストすることもできます。
成功した場合、telnet が接続され、作成されるファイルは空になります。
telnet 168.63.129.16 80 >> C:\<<EDIT-DIRECTORY>>\168-63-129-16_test-port80.txt
telnet 168.63.129.16 32526 >> C:\<<EDIT-DIRECTORY>>\168-63-129-16_test--port32526.txt
Psping 168.63.129.16:80 >> C:\<<EDIT-DIRECTORY>>\168-63-129-16_test--port80.txt
Psping 168.63.129.16:32526 >> C:\<<EDIT-DIRECTORY>>\168-63-129-16_test-port32526.txt