Standardzugriff in ausgehender Richtung in Azure

In Azure wird virtuellen Computern in einem virtuellen Netzwerk ohne explizite ausgehende Konnektivität eine standardmäßige öffentliche IP-Adresse in ausgehender Richtung zugewiesen. Diese IP-Adresse ermöglicht ausgehende Konnektivität zwischen den Ressourcen und dem Internet. Dieser Zugriff wird als Standardzugriff in ausgehender Richtung bezeichnet.

Beispiele für explizite ausgehende Konnektivität sind virtuelle Computer:

  • Wird in einem Subnetz erstellt, das einem NAT Gateway zugeordnet ist.
  • Im Back-End-Pool eines Load Balancers "Standard" mit definierten Ausgangsregeln.
  • Im Back-End-Pool des öffentlichen Load Balancers "Basic".
  • Virtuelle Computer mit ihnen explizit zugeordneten öffentlichen IP-Adressen.

Diagramm expliziter Ausgangsoptionen

Wie wird ausgehender Standardzugriff bereitgestellt?

Die öffentliche IPv4-Adresse, die für den Zugriff verwendet wird, wird als IP-Adresse für ausgehenden Standardzugriff bezeichnet. Diese IP-Adresse ist implizit und gehört Microsoft. Diese IP-Adresse kann sich ändern, und es wird nicht empfohlen, sie für Produktions-Workloads zu verwenden.

Wann wird ausgehender Standardzugriff bereitgestellt?

Wenn Sie einen virtuellen Computer in Azure bereitstellen und er keine explizite ausgehende Konnektivität hat, wird ihm eine Standard-IP-Adresse für ausgehenden Zugriff zugewiesen.

Diagramm des ausgehenden Standardzugriffs

  • Standardmäßig sicher

    • Es wird nicht empfohlen, ein virtuelles Netzwerk standardmäßig mithilfe des Null-Vertrauen-Netzwerksicherheitsprinzips für das Internet zu öffnen.
  • Explizit vs. implizit

    • Es wird empfohlen, explizite Konnektivitätsmethoden anstelle impliziter Methoden zu verwenden, wenn Sie Zugriff auf Ressourcen in Ihrem virtuellen Netzwerk gewähren.
  • Verlieren von IP-Adresse

    • Die Standardzugriff-IP-Adresse in ausgehender Richtung gehört nicht den Kunden. Änderungen dieser IP-Adresse sind vorbehalten. Jede Abhängigkeit von dieser IP-Adresse kann in Zukunft Probleme verursachen.

Wie kann ich den ausgehenden Standardzugriff deaktivieren?

Es gibt mehrere Möglichkeiten, den ausgehenden Standardzugriff zu deaktivieren:

  1. Hinzufügen einer expliziten ausgehenden Konnektivitätsmethode

    • Dem Subnetz Ihres virtuellen Computers ein NAT-Gateway zuordnen.

    • Einen Load Balancer Standard mit konfigurierten Ausgangsregeln zuordnen.

    • Zuordnen einer einfachen öffentlichen IP-Adresse zur Netzwerkschnittstelle der VM (wenn nur eine Netzwerkschnittstelle vorhanden ist)

    • Zuordnen einer öffentlichen Standard-IP-Adresse zu einer der Netzwerkschnittstellen der VM (wenn mehrere Netzwerkschnittstellen vorhanden sind, verhindert die Verwendung einer einzelnen mit einer öffentlichen Standard-IP-Adresse den standardmäßigen ausgehenden Zugriff für die VM)

  2. Modus „Flexible Orchestrierung für VM-Skalierungsgruppen“ verwenden.

NAT-Gateway ist der empfohlene Weg für explizite ausgehende Verbindungen. Es kann auch eine Firewall für diesen Zugriff verwendet werden.

Einschränkungen

  • Konnektivität ist möglicherweise für Windows-Aktualisierungen erforderlich.

  • Die IP-Adresse für Standardzugriff in ausgehender Richtung unterstützt keine fragmentierten Pakete.

Nächste Schritte

Sie können weitere Informationen zu ausgehenden Verbindungen in Azure und Azure Virtual Network NAT (NAT-Gateway) finden unter: