Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Azure host di sessione di Desktop virtuale (AVD) e i PC cloud Windows 365 richiedono la connettività a due indirizzi IP della piattaforma Azure. Questi indirizzi forniscono l'accesso ai servizi di infrastruttura di base che supportano il provisioning, il monitoraggio dell'integrità, l'identità e la comunicazione della piattaforma.
Il traffico verso questi indirizzi opera a livello di infrastruttura della piattaforma Azure. Si comporta in modo diverso dal traffico agli endpoint basati su FQDN e deve essere gestito di conseguenza.
Questo articolo illustra quali sono questi indirizzi IP, perché sono essenziali, come differiscono dagli altri endpoint e come garantire il corretto funzionamento della connettività.
Panoramica
Azure gli host di sessione di Desktop virtuale e i PC cloud Windows 365 richiedono la connettività agli indirizzi IP seguenti:
| Indirizzo | Protocollo | Porta in uscita | Finalità | Tag del servizio |
|---|---|---|---|---|
169.254.169.254 |
TCP | 80 | Azure Servizio metadati dell'istanza (IMDS) | N/D |
168.63.129.16 |
TCP | 80, 32526 | Monitoraggio dell'integrità dell'host sessione | N/D |
Importante
Questi indirizzi vengono usati in tutte le aree e gli ambienti cloud Azure, tra cui Azure cloud pubblico, Azure per enti pubblici e Azure Cina. La perdita di connettività a entrambi gli indirizzi causa errori di provisioning, problemi di segnalazione dell'integrità e riduzione del servizio.
servizio metadati dell'istanza di Azure (169.254.169.254)
Azure Servizio metadati istanza (IMDS) è un endpoint API REST che fornisce informazioni su una macchina virtuale in esecuzione. Il software all'interno della macchina virtuale (VM) usa IMDS per l'integrazione con l'ambiente Azure.
Le macchine virtuali usano IMDS per recuperare:
Identità e dati di configurazione della macchina virtuale
Token di identità gestiti per l'autenticazione ai servizi di Azure
Eventi pianificati e notifiche di manutenzione
Metadati come area, zona di disponibilità, dimensioni della macchina virtuale e configurazione di rete
L'indirizzo 169.254.169.254 è un indirizzo IP locale del collegamento. Non è instradabile e accessibile solo dall'interno della macchina virtuale. Le richieste a questo indirizzo non lasciano mai l'host fisico. Il Azure hypervisor intercetta e risponde al traffico in locale.
IMDS opera a livello di hypervisor. Non è interessato dai gruppi di sicurezza di rete, dalle route definite dall'utente o dalle regole di Firewall di Azure. Tuttavia, la configurazione del sistema operativo all'interno della macchina virtuale, ad esempio firewall host o client VPN, può bloccare l'accesso.
Azure monitoraggio dell'integrità della piattaforma (168.63.129.16)
L'indirizzo 168.63.129.16 è un indirizzo IP pubblico virtuale usato dai servizi della piattaforma Azure per comunicare con le macchine virtuali. Questo indirizzo è anche denominato endpoint WireServer.
Le macchine virtuali usano questo indirizzo per:
Monitoraggio dell'integrità e comunicazione heartbeat dall'agente della macchina virtuale Azure
Risoluzione DNS quando si usa il DNS fornito da Azure
Comunicazione DHCP per l'assegnazione e il rinnovo degli indirizzi IP
Il traffico verso la versione 168.63.129.16 attraversa l'infrastruttura di rete virtuale Azure. Azure routing della piattaforma applica una gestione speciale per garantire che l'indirizzo rimanga raggiungibile nelle reti con configurazioni di sicurezza o routing restrittive.
Differenze rispetto agli endpoint standard
Azure Desktop virtuale e Windows 365 richiedono anche la connettività agli endpoint basati su FQDN, ad esempio servizi del piano di controllo, Microsoft Entra ID e così via. Il traffico verso tali endpoint si comporta come il traffico Internet standard verso indirizzi IP pubblici. Parte di questo traffico, ad esempio RDP, richiede l'ottimizzazione nelle reti dei clienti, ma in genere può essere trattato come i normali endpoint pubblici.
Il traffico verso 169.254.169.254 e 168.63.129.16, tuttavia, si comporta in modo diverso.
Azure interno e non instradabile. Questi indirizzi fanno parte di Azure'infrastruttura della piattaforma interna. Non sono endpoint Internet, non si risolvono tramite DNS pubblico e non sono accessibili dall'esterno Azure o da reti locali.
Non possono essere sottoposti a proxy perché i server proxy non sono in grado di raggiungere questi indirizzi. I tentativi di inviare il traffico tramite un proxy non avranno esito positivo, sia tramite file PAC, Criteri di gruppo o impostazioni proxy dell'applicazione.
Non possono attraversare tunnel VPN o gateway Web sicuri. I client VPN e gli agenti gateway Web sicuri che operano in modalità tunnel completo o tunnel forzato acquisiscono tutto il traffico dalla macchina virtuale. Quando acquisiscono il traffico verso questi indirizzi, la connettività ha esito negativo perché gli indirizzi non sono raggiungibili tramite tunnel VPN o infrastruttura di sicurezza di terze parti.
Parzialmente protetto dal routing della piattaforma Azure. Azure rete include protezioni per garantire la connettività a questi indirizzi a livello di infrastruttura. Le route predefinite, ad esempio 0.0.0.0/0 e la maggior parte delle regole dei gruppi di sicurezza di rete, non bloccano il traffico. Tuttavia, queste protezioni non si applicano alla configurazione all'interno della macchina virtuale o alle regole di rete esplicite destinate a questi indirizzi o ai relativi tag di servizio.
È quindi essenziale assicurarsi che i problemi di configurazione seguenti non siano presenti nell'ambiente:
Problemi di configurazione della macchina virtuale
La maggior parte dei problemi di connettività è dovuta alla configurazione all'interno della macchina virtuale anziché Azure configurazione a livello di rete.
Client VPN e agenti gateway Web sicuri
Le organizzazioni distribuiscono client VPN o agenti gateway Web sicuri nei PC cloud e negli host di sessione per applicare i criteri di sicurezza. Gli esempi includono Zscaler Internet Access, Accesso a Internet Microsoft Entra, PaloAlto Global Protect e così via.
Quando questi agenti vengono eseguiti in modalità tunnel forzato, reindirizzano tutto il traffico attraverso una scheda virtuale. Questa configurazione può includere il traffico verso Azure indirizzi della piattaforma, che interrompe la connettività.
Cosa controllare:
Usare il tunneling diviso in modo che Azure traffico della piattaforma rimanga locale
Configurare regole esplicite di bypass o esclusione per 169.254.169.254 e 168.63.129.16
Configurazione proxy e PAC
Le impostazioni proxy applicate tramite file PAC, Criteri di gruppo, WinHTTP, WinINET o impostazioni specifiche dell'applicazione possono causare il proxy della macchina virtuale Azure traffico della piattaforma.
Cosa controllare:
I file PAC restituiscono una connessione diretta per questi indirizzi
Gli elenchi di bypass proxy includono entrambi gli indirizzi
Le impostazioni proxy a livello di utente e di computer vengono esaminate
Regole del firewall host
I firewall basati su host o il software di protezione degli endpoint possono bloccare il traffico TCP in uscita.
Cosa controllare:
Consentire il traffico TCP in uscita alla porta 169.254.169.254 sulla porta 80
Consentire il traffico TCP in uscita a 168.63.129.16 sulle porte 80 e 32526
Software di sicurezza degli endpoint e filtro di rete
Gli strumenti antivirus, rilevamento degli endpoint & risposta (EDR) o prevenzione della perdita dei dati (DLP) possono includere funzionalità di ispezione della rete.
Cosa controllare:
Assicurarsi che questi strumenti non blocchino o ispezionano il traffico verso questi indirizzi
Aggiungere regole di esclusione o consenti basate su IP, se necessario
Azure problemi di configurazione a livello di rete
Gruppi di sicurezza di rete
Azure definisce i tag di servizio per questi endpoint:
AzurePlatformIMDS per 169.254.169.254
AzurePlatformDNS per 168.63.129.16
Le regole di negazione esplicite destinate a questi tag di servizio possono interferire con la connettività.
Cosa controllare:
Rimuovere le regole di rifiuto destinate a questi tag o indirizzi del servizio
Assicurarsi che le regole in uscita di negazione restrittive includano regole di autorizzazione esplicite per questi tag di servizio
Route definite dall'utente e appliance virtuali di rete
Azure routing della piattaforma in genere garantisce la raggiungibilità indipendentemente dalle route predefinite. Tuttavia, route esplicite o topologie di routing complesse possono causare problemi.
Cosa controllare:
Nessuna route destinata in modo esplicito alla versione 169.254.169.254 o 168.63.129.16
I firewall o le appliance virtuali di rete nel percorso consentono il traffico in uscita verso questi indirizzi e porte
Azure controlli di integrità della connessione di rete
Windows 365 Enterprise usa connessioni di rete Azure per effettuare il provisioning di PC cloud. Ogni connessione include controlli di integrità automatizzati che convalidano la connettività di rete.
Convalida dei controlli di integrità
Connettività dell'infrastruttura di rete agli endpoint della piattaforma Azure
Configurazione del gruppo di sicurezza di rete
Configurazione della tabella di route
Risoluzione DNS tramite DNS fornito da Azure
Quali controlli di integrità non vengono convalidati
Client VPN o agenti gateway Web sicuri installati dopo il provisioning
Configurazione proxy o PAC applicata tramite Criteri di gruppo o Intune
Regole del firewall host o software di sicurezza degli endpoint
Configurazione applicata all'interno della macchina virtuale dopo l'assegnazione
Un controllo di integrità di passaggio conferma che la rete Azure consente il traffico della piattaforma. Non garantisce che i PC cloud o gli host di sessione possano raggiungere questi endpoint dopo l'applicazione della configurazione nella macchina virtuale.
Riepilogo
La connettività a 169.254.169.254 e 168.63.129.16 è necessaria per Azure Desktop virtuale e Windows 365. Il blocco di questi endpoint comporta problemi operativi e di provisioning sia con Windows 365 che con desktop virtuale Azure.
Questi indirizzi sono endpoint della piattaforma interni Azure. Il traffico verso questi indirizzi non deve essere proxy, intercettato o instradato attraverso tunnel VPN o gateway Web sicuri.
La maggior parte degli errori di connettività è dovuta alla configurazione all'interno della macchina virtuale, ad esempio client VPN, impostazioni proxy, firewall host o software di sicurezza degli endpoint. I problemi a livello di rete sono meno comuni, ma possono verificarsi quando le regole esplicite sono destinate a questi indirizzi o ai relativi tag di servizio.
Azure i controlli di integrità della connessione di rete convalidano solo la connettività a livello di rete. Non rilevano problemi di configurazione nella macchina virtuale.