Domyślny dostęp wychodzący na platformie Azure

Na platformie Azure podczas wdrażania maszyny wirtualnej w sieci wirtualnej bez jawnie zdefiniowanej metody łączności wychodzącej platforma Azure automatycznie przypisuje mu wychodzący publiczny adres IP. Ten adres IP umożliwia łączność wychodzącą z zasobów do Internetu i innych publicznych punktów końcowych w firmie Microsoft. Ten dostęp jest określany jako domyślny dostęp wychodzący.

Przykłady jawnej łączności wychodzącej dla maszyn wirtualnych to:

• Wdrożone w podsieci skojarzonej z bramą NAT.
• Wdrożono w puli zaplecza serwera standardowego równoważenia obciążenia ze zdefiniowanymi regułami ruchu wychodzącego.
• Wdrożony w podstawowej puli backendowej publicznego modułu równoważenia obciążenia.
• Maszyny wirtualne, które mają do nich jawnie przypisane publiczne adresy IP.

Jak i kiedy jest udostępniany domyślny dostęp wychodzący

Jeśli maszyna wirtualna jest wdrażana bez jawnej metody łączności wychodzącej, platforma Azure przypisuje mu domyślny publiczny publiczny adres IP ruchu wychodzącego. Ten adres IP, znany jako domyślny adres IP dostępu wychodzącego, jest własnością firmy Microsoft i może ulec zmianie bez powiadomienia. Nie jest zalecane w przypadku obciążeń produkcyjnych.

Dlaczego zalecane jest wyłączenie domyślnego dostępu wychodzącego?

Zabezpieczenia: Domyślny dostęp do Internetu jest sprzeczny z zasadami Zero Trust.
Jasność: Jawna łączność jest preferowana w przypadku dostępu niejawnego.
Stabilność: domyślny adres IP ruchu wychodzącego nie jest własnością klienta i może ulec zmianie, co prowadzi do potencjalnych zakłóceń.

Niektóre przykłady konfiguracji, które nie działają podczas korzystania z domyślnego dostępu wychodzącego:

• Wiele kart sieciowych na maszynie wirtualnej może przynieść niespójne adresy IP ruchu wychodzącego
• Skalowanie zestawów skalowania maszyn wirtualnych platformy Azure może spowodować zmianę wychodzących adresów IP
• Wychodzące adresy IP nie są spójne ani ciągłe w wystąpieniach zestawu skalowania maszyn wirtualnych

Dodatkowo,

• Domyślne adresy IP dostępu wychodzącego nie obsługują fragmentowanych pakietów
• Domyślne adresy IP dostępu wychodzącego nie obsługują pingów ICMP

Jak mogę przejść do jawnej metody łączności publicznej (i wyłączyć domyślny dostęp wychodzący)?

Omówienie podsieci prywatnych

• Utworzenie podsieci jako prywatnej uniemożliwia maszynom wirtualnym w tej podsieci korzystanie z domyślnego dostępu wychodzącego do łączenia się z publicznymi punktami końcowymi.
• Maszyny wirtualne w podsieci Prywatnej nadal mogą uzyskiwać dostęp do Internetu (lub dowolnych publicznych punktów końcowych w firmie Microsoft) przy użyciu jawnej łączności wychodzącej.

  Uwaga

  Niektóre usługi nie działają na maszynie wirtualnej w podsieci prywatnej bez jawnej metody ruchu wychodzącego (przykładami są aktywacja systemu Windows i aktualizacje systemu Windows).

Jak skonfigurować podsieci prywatne

• W witrynie Azure Portal wybierz podsieć i zaznacz pole wyboru, aby włączyć podsieć prywatną, jak pokazano poniżej:

• Przy użyciu programu PowerShell poniższy skrypt przyjmuje nazwy grupy zasobów i sieci wirtualnej oraz iteruje przez każdą podsieć, aby skonfigurować ją jako prywatną.

$resourceGroupName = ""
$vnetName = ""
 
$vnet = Get-AzVirtualNetwork -ResourceGroupName $resourceGroupName -Name $vnetName
 
foreach ($subnet in $vnet.Subnets) {
    if ($subnet.DefaultOutboundAccess -eq $null) {
        $subnet.DefaultOutboundAccess = $false
        Write-Output "Set 'defaultoutboundaccess' to \$false for subnet: $($subnet.Name)"
    } 
    elseif ($subnet.DefaultOutboundAccess -eq $false) {
        # Output message if the value is already $false
        Write-Output "already private for subnet: $($subnet.Name)"
    }
}
Set-AzVirtualNetwork -VirtualNetwork $vnet

• Za pomocą CLI zaktualizuj podsieć za pomocą az network vnet subnet update i ustaw na "false"

az network vnet subnet update --resource-group rgname --name subnetname --vnet-name vnetname --default-outbound false

• Za pomocą szablonu usługi Azure Resource Manager ustaw wartość parametru defaultOutboundAccess na wartość "false"

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vnetName": {
      "type": "string",
      "defaultValue": "testvm-vnet"
    },
    "subnetName": {
      "type": "string",
      "defaultValue": "default"
    },
    "subnetPrefix": {
      "type": "string",
      "defaultValue": "10.1.0.0/24"
    },
    "vnetAddressPrefix": {
      "type": "string",
      "defaultValue": "10.1.0.0/16"
    }
  },
  "resources": [
    {
      "type": "Microsoft.Network/virtualNetworks",
      "apiVersion": "2023-11-01",
      "name": "[parameters('vnetName')]",
      "location": "westus2",
      "properties": {
        "addressSpace": {
          "addressPrefixes": [
            "[parameters('vnetAddressPrefix')]"
          ]
        },
        "subnets": [
          {
            "name": "[parameters('subnetName')]",
            "properties": {
              "addressPrefix": "[parameters('subnetPrefix')]",
              "defaultoutboundaccess": false
            }
          }
        ]
      }
    }
  ]
}

Ograniczenia podsieci prywatnych

• Aby aktywować lub zaktualizować systemy operacyjne maszyn wirtualnych, takie jak Windows, wymagana jest jawna metoda łączności wychodzącej.

• W konfiguracjach korzystających z tras zdefiniowanych przez użytkownika (UDR) wszelkie skonfigurowane trasy z typem następnego przeskoku Internet przestają działać w prywatnej podsieci.

  • Typowym przykładem jest użycie trasy zdefiniowanej przez użytkownika do kierowania ruchu do nadrzędnego wirtualnego urządzenia sieciowego lub zapory sieciowej, z wyjątkami dla niektórych tagów usług Azure, aby ominąć inspekcję. W tym celu należy skonfigurować trasy do tych tagów usługi z typem następny przeskok Internet. W tym scenariuszu skonfigurujesz następujące elementy:

    • Domyślna trasa docelowa 0.0.0.0/0 z typem następnego przeskoku urządzenia wirtualnego ma zastosowanie w ogólnym przypadku.

    • Co najmniej jedna trasa jest skonfigurowana do Tagu Usługi z typem Internet następnego przeskoku, aby ominąć urządzenie NVA/zaporę. Jeśli nie skonfigurowano jawnej metody łączności wychodzącej dla źródła połączenia z tymi miejscami docelowymi, próby nawiązania połączenia z tymi miejscami docelowymi zakończą się niepowodzeniem, ponieważ domyślny dostęp wychodzący nie jest domyślnie dostępny w podsieci Prywatnej.

  • To ograniczenie nie ma zastosowania do używania punktów końcowych usługi, które używają innego typu następnego skokuVirtualNetworkServiceEndpoint. Zobacz Punkty końcowe usługi sieci wirtualnych.

• Maszyny wirtualne nadal mogą uzyskiwać dostęp do kont usługi Azure Storage w tym samym regionie w podsieci prywatnej bez jawnej metody ruchu wychodzącego. Sieciowe grupy zabezpieczeń są zalecane do kontrolowania łączności wychodzącej.

• Podsieci prywatne nie mają zastosowania do podsieci delegowanych ani zarządzanych używanych do hostowania usług PaaS. W tych scenariuszach łączność wychodząca jest zarządzana przez pojedynczą usługę.

Dodaj wyraźną metodę wychodzącą

• Przypisz bramę NAT do podsieci maszyny wirtualnej. Należy pamiętać, że jest to zalecana metoda dla większości scenariuszy.
• Skojarz standardowy moduł równoważenia obciążenia skonfigurowany z regułami wychodzącymi.
• Skojarz publiczny adres IP w warstwie Standardowa z dowolnym interfejsem sieciowym maszyny wirtualnej.
• Dodaj firewall lub wirtualne urządzenie sieciowe (NVA) do swojej sieci wirtualnej i skieruj do niego ruch, używając trasy zdefiniowanej przez użytkownika (UDR).

Użyj elastycznego trybu orchestracji dla zestawów skalowania maszyn wirtualnych

• Elastyczne zestawy skalowania są domyślnie bezpieczne. Jakiekolwiek wystąpienia utworzone za pomocą elastycznych zestawów skalowania nie mają domyślnego adresu IP ruchu wychodzącego, więc wymagana jest jawna metoda dostępu wychodzącego. Aby uzyskać więcej informacji, zobacz Elastyczny tryb organizacji dla zestawów skalowania maszyn wirtualnych

Często zadawane pytania: czyszczenie domyślnego alertu wychodzącego adresu IP

Dlaczego widzę alert pokazujący, że mam domyślny adres IP ruchu wychodzącego na mojej maszynie wirtualnej?

Istnieje parametr na poziomie karty sieciowej (defaultOutboundConnectivityEnabled), który śledzi, czy domyślny wychodzący adres IP jest przydzielany do wystąpienia maszyny wirtualnej lub wystąpienia w zestawie skalowania maszyn wirtualnych. Służy do generowania baneru w portalu Azure dla skalowalnego zestawu maszyn wirtualnych, który sygnalizuje ten stan. Istnieją również konkretne rekomendacje usługi Azure Advisor dotyczące tych informacji dla Twoich subskrypcji. Jeśli chcesz wyświetlić, które maszyny wirtualne lub zestawy skalowania maszyn wirtualnych mają przypisany domyślny wychodzący adres IP, wykonaj następujące kroki:

1. Wpisz ciąg "Advisor" w pasku wyszukiwania w portalu Azure, a następnie wybierz tę opcję, gdy się pojawi.
2. Wybierz pozycję "Doskonałość operacyjna"
3. Poszukaj zaleceń "Dodaj jawną metodę ruchu wychodzącego, aby wyłączyć domyślny ruch wychodzący" i/lub "Dodaj jawną metodę ruchu wychodzącego w celu wyłączenia domyślnego ruchu wychodzącego dla zestawów skalowania maszyn wirtualnych" (zwróć uwagę, że są to dwa różne elementy)
4. Jeśli którakolwiek z tych opcji istnieje, wybierz odpowiednią nazwę rekomendacji, a zobaczysz karty interfejsu sieciowego (NIC) wszystkich maszyn wirtualnych oraz wystąpień zestawu skalowania maszyn wirtualnych, które mają włączony domyślny ruch wychodzący.

Jak wyczyścić ten alert?

1. Jawna metoda transmisji wychodzącej musi być używana dla oflagowanego zestawu skalowania maszyn wirtualnych. Zobacz sekcję powyżej, aby zapoznać się z różnymi opcjami.
2. Podsieć powinna być prywatna, aby zapobiec tworzeniu nowych domyślnych wychodzących adresów IP.
3. Wszelkie odpowiednie maszyny wirtualne w podsieci z flagą muszą zostać zatrzymane i cofnięto przydział, aby zmiany zostały odzwierciedlone w parametrze na poziomie karty sieciowej i flagą, aby wyczyścić. (Należy pamiętać, że jest to również prawda w odwrotnej kolejności; aby maszyna miała domyślny adres IP wychodzący po ustawieniu parametru na poziomie podsieci na wartość false, wymagany jest zatrzymanie/cofnięcie przydziału maszyny wirtualnej).

Używam już jawnej metody ruchu wychodzącego, więc dlaczego nadal widzę ten alert?

W niektórych przypadkach domyślny adres IP ruchu wychodzącego jest nadal przypisywany do maszyn wirtualnych w podsieci innej niżprivate, nawet jeśli skonfigurowano jawną metodę ruchu wychodzącego — taką jak brama translatora adresów sieciowych lub trasa zdefiniowana przez użytkownika kierująca ruch do urządzenia WUS/zapory. Nie oznacza to, że domyślne adresy IP ruchu wychodzącego są używane do ruchu wychodzącego, chyba że te jawne metody zostaną usunięte. Aby całkowicie usunąć domyślne adresy IP ruchu wychodzącego (i usunąć alert), podsieć musi być prywatna, a maszyny wirtualne muszą zostać zatrzymane i cofnięto przydział.

Często zadawane pytania: zmiana zachowania domyślnego na podsieci prywatne

Co oznacza uczynienie podsieci prywatnych domyślnymi i jak zostanie to zaimplementowane?

Po wydaniu wersji interfejsu API po 31 marca 2026 r. domyślna właściwośćOutboundAccess dla podsieci w nowych sieciach wirtualnych zostanie domyślnie ustawiona na wartość "false". Ta zmiana powoduje, że podsieci są domyślnie prywatne i zapobiega generowaniu domyślnych wychodzących adresów IP dla maszyn wirtualnych w tych podsieciach. To zachowanie dotyczy wszystkich metod konfiguracji — szablonów usługi ARM, witryny Azure Portal, programu PowerShell i interfejsu wiersza polecenia. Wcześniejsze wersje szablonów usługi ARM (lub narzędzia, takie jak Terraform, które mogą określać starsze wersje), będą nadal ustawiać wartość defaultOutboundAccess jako null, co niejawnie zezwala na dostęp wychodzący.

Co się stanie z istniejącymi sieciami wirtualnymi i maszynami wirtualnymi? Co z nowymi maszynami wirtualnymi utworzonymi w istniejących sieciach wirtualnych?

Nie wprowadzono żadnych zmian w istniejących sieciach wirtualnych. Oznacza to, że zarówno istniejące maszyny wirtualne, jak i nowo utworzone maszyny wirtualne w tych sieciach wirtualnych nadal generują domyślne wychodzące adresy IP, chyba że podsieci zostaną ręcznie zmodyfikowane, aby stały się prywatne.

Co z nowymi wdrożeniami sieci wirtualnej? Moja infrastruktura ma zależność od domyślnych wychodzących adresów IP i nie jest w tej chwili gotowa do przeniesienia do podsieci prywatnych.

Nadal można skonfigurować podsieci jako nieprivate przy użyciu dowolnej obsługiwanej metody (szablony usługi ARM, portal, interfejs wiersza polecenia, program PowerShell). Zapewnia to zgodność infrastruktury, które opierają się na domyślnych adresach IP ruchu wychodzącego i nie są jeszcze gotowe do przejścia do podsieci prywatnych.

Następne kroki

Aby uzyskać więcej informacji na temat połączeń wychodzących na platformie Azure, zobacz:

• Źródłowa translacja adresów sieciowych (SNAT) dla połączeń wychodzących.

• Co to jest usługa Azure NAT Gateway?