Standardzugriff in ausgehender Richtung in Azure

In Azure wird virtuellen Computern in einem virtuellen Netzwerk ohne explizite ausgehende Konnektivität eine standardmäßige öffentliche IP-Adresse in ausgehender Richtung zugewiesen. Diese IP-Adresse ermöglicht ausgehende Konnektivität zwischen den Ressourcen und dem Internet. Dieser Zugriff wird als Standardzugriff in ausgehender Richtung bezeichnet.

Beispiele für explizite ausgehende Konnektivität für virtuelle Computer sind:

• Wird in einem Subnetz erstellt, das einem NAT-Gateway zugeordnet ist.

• Im Back-End-Pool eines Load Balancers "Standard" mit definierten Ausgangsregeln.

• Im Back-End-Pool eines grundlegenden öffentlichen Lastenausgleichstools.

• Virtuelle Computer mit ihnen explizit zugeordneten öffentlichen IP-Adressen.

Wie wird ausgehender Standardzugriff bereitgestellt?

Die öffentliche IPv4-Adresse, die für den Zugriff verwendet wird, wird als IP-Adresse für ausgehenden Standardzugriff bezeichnet. Diese IP-Adresse ist implizit und gehört Microsoft. Diese IP-Adresse kann sich ändern, und es wird nicht empfohlen, sie für Produktions-Workloads zu verwenden.

Wann wird ausgehender Standardzugriff bereitgestellt?

Wenn Sie einen virtuellen Computer in Azure bereitstellen und er keine explizite ausgehende Konnektivität hat, wird ihm eine Standard-IP-Adresse für ausgehenden Zugriff zugewiesen.

Wichtig

Am 30. September 2025 wird standardmäßiger ausgehender Zugriff für neue Bereitstellungen eingestellt. Weitere Informationen finden Sie in der offiziellen Ankündigung. Es wird empfohlen, eine der expliziten Formen der Konnektivität zu verwenden, die im folgenden Abschnitt erläutert werden.

Warum wird das Deaktivieren des ausgehenden Standardzugriffs empfohlen?

• Standardmäßig sicher

  • Es wird nicht empfohlen, ein virtuelles Netzwerk standardmäßig mithilfe des Null-Vertrauen-Netzwerksicherheitsprinzips für das Internet zu öffnen.

• Explizit vs. implizit

  • Es wird empfohlen, explizite Konnektivitätsmethoden anstelle impliziter Methoden zu verwenden, wenn Sie Zugriff auf Ressourcen in Ihrem virtuellen Netzwerk gewähren.

• Verlieren von IP-Adresse

  • Die Standard-IP-Adresse für den ausgehenden Zugriff gehört nicht den Kunden. Diese IP-Adresse kann sich ändern, und jede Abhängigkeit davon kann in Zukunft Probleme verursachen.

Einige Beispiele für Konfigurationen, die bei Verwendung des Standardzugriffs auf ausgehenden Datenverkehr nicht funktionieren:

• Wenn Sie über mehrere NICs auf derselben VM verfügen, beachten Sie, dass Standard-IP-Adressen für ausgehenden Datenverkehr nicht konsistent für alle NICs identisch sind.
• Beim Hoch- oder Herunterskalieren von VM-Skalierungsgruppen können sich die den einzelnen Instanzen zugewiesenen Standard-IPs für ausgehenden Datenverkehr häufig ändern.
• Ebenso sind die Standard-IPs für ausgehenden Datenverkehr nicht konsistent oder zusammenhängend auf verschiedenen VM-Instanzen in einer VM-Skalierungsgruppe.

Wie kann ich zu einer expliziten Methode der öffentlichen Konnektivität wechseln (und den standardmäßigen ausgehenden Zugriff deaktivieren)?

Es gibt mehrere Möglichkeiten, den ausgehenden Standardzugriff zu deaktivieren. In den folgenden Abschnitten werden die Optionen beschrieben, die für Sie verfügbar sind.

Wichtig

Das private Subnetz befindet sich derzeit in der öffentlichen Vorschau. Sie wird ohne Vereinbarung zum Servicelevel bereitgestellt und nicht für Produktionsworkloads empfohlen. Manche Features werden möglicherweise nicht unterstützt oder sind nur eingeschränkt verwendbar. Weitere Informationen finden Sie unter Zusätzliche Nutzungsbestimmungen für Microsoft Azure-Vorschauen.

Verwenden des Parameters „Privates Subnetz“

• Das Erstellen eines Subnetzes als „privat“ verhindert, dass VMs im Subnetz standardmäßigen ausgehenden Zugriff verwenden, um eine Verbindung mit öffentlichen Endpunkten herzustellen.

• Der Parameter zum Erstellen eines privaten Subnetzes kann nur während der Erstellung eines Subnetzes festgelegt werden.

• VMs in einem privaten Subnetz können weiterhin über explizite ausgehende Verbindungen auf das Internet zugreifen.

  Hinweis

  Bestimmte Dienste funktionieren nicht auf einer VM in einem privaten Subnetz ohne eine explizite Ausgangsmethode (Beispiele sind Windows-Aktivierung und Windows-Updates).

Hinzufügen des Features „Privates Subnetz“

• Stellen Sie im Azure-Portal sicher, dass die Option zum Aktivieren des privaten Subnetzes ausgewählt ist, wenn Sie ein Subnetz als Teil der virtuellen Netzwerkerstellungserfahrung erstellen, wie unten gezeigt:

• Verwenden Sie in PowerShell beim Erstellen eines Subnetzes mit New-AzVirtualNetworkSubnetConfig die Option DefaultOutboundAccess, und wählen Sie „$false“ aus.

• Beim Benutzen des CLI, wenn Sie ein Subnetz mit az network vnet subnet create erstellen, verwenden Sie die Option --default-outbound, und wählen Sie „false“ aus.

• Stellen Sie mit einer Azure Resource Manager-Vorlage den Wert des Parameters defaultOutboundAccess auf „false“.

Einschränkungen für private Subnetze

• Um Betriebssysteme virtueller Maschinen, einschließlich Windows, aktivieren/aktualisieren zu können, ist eine explizite ausgehende Konnektivitätsmethode erforderlich.

• Delegierte Subnetze können nicht als privat gekennzeichnet werden.

• Vorhandene Subnetze können derzeit nicht in "Privat" konvertiert werden.

• Bei Konfigurationen, bei denen eine benutzerdefinierte Route (USER Defined Route, UDR) mit einer Standardroute (0/0) verwendet wird, die Datenverkehr an eine vorgelagerte Firewall/Netzwerk-Virtuelle Appliance sendet, wird jeder Datenverkehr, der diese Route umgeht (z. B. zu markierten Zielen des Diensts), in einem privaten Subnetz unterbrochen.

Hinzufügen einer expliziten ausgehenden Konnektivitätsmethode

• Dem Subnetz Ihres virtuellen Computers ein NAT-Gateway zuordnen.

• Ordnen Sie ein standardmäßiges Lastenausgleichstool mit konfigurierten Ausgangsregeln zu.

• Ordnen Sie eine öffentliche Standard-IP-Adresse einer der Netzwerkschnittstellen der VM zu (wenn mehrere Netzwerkschnittstellen vorhanden sind, verhindert die Verwendung einer einzelnen NIC mit einer öffentlichen Standard-IP-Adresse den standardmäßigen ausgehenden Zugriff für die VM).

Verwenden Sie den Modus „Flexible Orchestrierung für VM-Skalierungsgruppen“

• Flexible Skalierungen sind standardmäßig sicher. Keiner der Instanzen, die über flexible Skalierungsgruppen erstellt werden, verfügt über die Standard-IP-Adresse für den ausgehenden Zugriff, die ihnen zugeordnet ist, sodass eine explizite ausgehende Methode erforderlich ist. Weitere Informationen finden Sie unter Flexibler Orchestrierungsmodus für Virtual Machine Scale Sets

Wichtig

Wenn ein LB-Back-End-Pool über eine IP-Adresse konfiguriert wird, wird der standardmäßige ausgehende Zugriff aufgrund eines bekannten Problems verwendet. Für sichere standardmäßige Konfigurationen und Anwendungen mit hohen Anforderungen an ausgehenden Datenverkehr ordnen Sie den VMs im Back-End-Pool Ihres Lastenausgleichs ein NAT-Gateway zu, um den Datenverkehr zu sichern. Weitere Informationen zu vorhandenen bekannten Problemen.

Was wird empfohlen, wenn ich ausgehenden Zugriff brauche?

NAT-Gateway ist der empfohlene Weg für explizite ausgehende Verbindungen. Es kann auch eine Firewall für diesen Zugriff verwendet werden.

Einschränkungen

• Für die Windows-Aktivierung und Windows-Updates ist eine öffentliche Konnektivität erforderlich. Es wird empfohlen, eine explizite Form der öffentlichen ausgehenden Konnektivität einzurichten.

• Die IP-Adresse für Standardzugriff in ausgehender Richtung unterstützt keine fragmentierten Pakete.

• Standardmäßige IP-Adresse für ausgehenden Zugriff unterstützt keine ICMP-Pings.

Nächste Schritte

Weitere Informationen zu ausgehenden Verbindungen in Azure und Azure NAT Gateway finden Sie unter:

• SNAT (Source Network Address Translation, Quellnetzwerkadress-Übersetzung) für ausgehende Verbindungen.

• Was ist Azure NAT Gateway?

• Häufig gestellte Fragen (FAQ) zu Azure NAT Gateway