Standardzugriff in ausgehender Richtung in Azure

In Azure wird virtuellen Computern in einem virtuellen Netzwerk ohne explizite ausgehende Konnektivität eine standardmäßige öffentliche IP-Adresse in ausgehender Richtung zugewiesen. Diese IP-Adresse ermöglicht ausgehende Konnektivität zwischen den Ressourcen und dem Internet. Dieser Zugriff wird als Standardzugriff in ausgehender Richtung bezeichnet.

Beispiele für explizite ausgehende Konnektivität sind virtuelle Computer:

  • Wird in einem Subnetz erstellt, das einem NAT Gateway zugeordnet ist.
  • Im Back-End-Pool eines Load Balancers "Standard" mit definierten Ausgangsregeln.
  • Im Back-End-Pool des öffentlichen Load Balancers "Basic".
  • Virtuelle Computer mit ihnen explizit zugeordneten öffentlichen IP-Adressen.

Diagramm expliziter Ausgangsoptionen

Wie wird ausgehender Standardzugriff bereitgestellt?

Die öffentliche IPv4-Adresse, die für den Zugriff verwendet wird, wird als IP-Adresse für ausgehenden Standardzugriff bezeichnet. Diese IP-Adresse ist implizit und gehört Microsoft. Diese IP-Adresse kann sich ändern, und es wird nicht empfohlen, sie für Produktions-Workloads zu verwenden.

Wann wird ausgehender Standardzugriff bereitgestellt?

Wenn Sie einen virtuellen Computer in Azure bereitstellen und er keine explizite ausgehende Konnektivität hat, wird ihm eine Standard-IP-Adresse für ausgehenden Zugriff zugewiesen.

Diagramm des ausgehenden Standardzugriffs

  • Standardmäßig sicher

    • Es wird nicht empfohlen, ein virtuelles Netzwerk standardmäßig mithilfe des Null-Vertrauen-Netzwerksicherheitsprinzips für das Internet zu öffnen.
  • Explizit vs. implizit

    • Es wird empfohlen, explizite Konnektivitätsmethoden anstelle impliziter Methoden zu verwenden, wenn Sie Zugriff auf Ressourcen in Ihrem virtuellen Netzwerk gewähren.
  • Verlieren von IP-Adresse

    • Die Standardzugriff-IP-Adresse in ausgehender Richtung gehört nicht den Kunden. Änderungen dieser IP-Adresse sind vorbehalten. Jede Abhängigkeit von dieser IP-Adresse kann in Zukunft Probleme verursachen.

Wie kann ich den ausgehenden Standardzugriff deaktivieren?

Es gibt mehrere Möglichkeiten, den ausgehenden Standardzugriff zu deaktivieren:

  1. Hinzufügen einer expliziten ausgehenden Konnektivitätsmethode

    • Dem Subnetz Ihres virtuellen Computers ein NAT-Gateway zuordnen.

    • Einen Load Balancer Standard mit konfigurierten Ausgangsregeln zuordnen.

    • Zuordnen einer einfachen öffentlichen IP-Adresse zur Netzwerkschnittstelle der VM (wenn nur eine Netzwerkschnittstelle vorhanden ist)

    • Zuordnen einer öffentlichen Standard-IP-Adresse zu einer der Netzwerkschnittstellen der VM (wenn mehrere Netzwerkschnittstellen vorhanden sind, verhindert die Verwendung einer einzelnen mit einer öffentlichen Standard-IP-Adresse den standardmäßigen ausgehenden Zugriff für die VM)

  2. Modus „Flexible Orchestrierung für VM-Skalierungsgruppen“ verwenden.

Wichtig

Wenn ein Back-End-Pool über eine IP-Adresse konfiguriert wird, wird der standardmäßige ausgehende Zugriff aufgrund eines bekannten Problems verwendet. Für sichere standardmäßige Konfigurationen und Anwendungen mit hohen Anforderungen an ausgehenden Datenverkehr ordnen Sie den VMs im Back-End-Pool Ihres Lastenausgleichs ein NAT-Gateway zu, um den Datenverkehr zu sichern. Weitere Informationen zu vorhandenen bekannten Problemen.

NAT-Gateway ist der empfohlene Weg für explizite ausgehende Verbindungen. Es kann auch eine Firewall für diesen Zugriff verwendet werden.

Einschränkungen

  • Konnektivität ist möglicherweise für Windows-Aktualisierungen erforderlich.

  • Die IP-Adresse für Standardzugriff in ausgehender Richtung unterstützt keine fragmentierten Pakete.

Nächste Schritte

Sie können weitere Informationen zu ausgehenden Verbindungen in Azure und Azure Virtual Network NAT (NAT-Gateway) finden unter: