Acceso de salida predeterminado en Azure

En Azure, a las máquinas virtuales creadas en una red virtual sin conectividad de salida explícita definida se les asigna una dirección IP pública de salida predeterminada. Esta dirección IP permite la conectividad de salida desde los recursos a Internet. Este acceso se conoce como acceso de salida predeterminado.

Algunos ejemplos de conectividad de salida explícita para máquinas virtuales son:

• Creadas dentro de una subred asociada a una puerta de enlace NAT.

• Implementado en el grupo de back-end de un equilibrador de carga estándar con reglas de salida definidas.

• Implementado en el grupo de back-end de un equilibrador de carga público básico.

• Máquinas virtuales con direcciones IP públicas asociadas explícitamente a ellas.

¿Cómo se proporciona el acceso de salida predeterminado?

La dirección IPv4 pública que se usa para el acceso se denomina dirección IP de acceso de salida predeterminada. Esta dirección IP es implícita y pertenece a Microsoft. Esta dirección IP está sujeta a cambios y no se recomienda depender de ella para cargas de trabajo de producción.

¿Cuándo se proporciona el acceso de salida predeterminado?

Si implementa una máquina virtual en Azure y no tiene conectividad de salida explícita, se le asigna una dirección IP de acceso de salida predeterminada.

3Importante

El 30 de septiembre de 2025, se retirará el acceso de salida predeterminado para las nuevas implementaciones. Para obtener más información, consulte el anuncio oficial. Se recomienda usar una de las formas explícitas de conectividad descritas en la sección siguiente.

¿Por qué se recomienda deshabilitar el acceso de salida predeterminado?

• Seguro de forma predeterminada

  • No se recomienda abrir una red virtual a Internet de manera predeterminada mediante el principio de seguridad de red de confianza cero.

• Explícito vs. implícito

  • Se recomienda tener métodos explícitos de conectividad en lugar de implícitos al conceder acceso a los recursos de la red virtual.

• Pérdida de dirección IP

  • Los clientes no poseen la dirección IP de acceso saliente predeterminada. Esta dirección IP podría cambiar y cualquier dependencia de ella podría causar problemas en el futuro.

Algunos ejemplos de configuraciones que no funcionarán al usar el acceso saliente predeterminado:

• Cuando tenga varias NIC en la misma máquina virtual, las direcciones IP de salida predeterminadas no serán siempre las mismas en todas las NIC.
• Al escalar hacia arriba o hacia abajo los conjuntos de máquinas virtuales escalables, las direcciones IP de salida predeterminadas asignadas a instancias individuales pueden cambiar.
• Del mismo modo, las direcciones IP de salida predeterminadas no son coherentes ni contiguas entre instancias de máquina virtual en un conjunto de escalado de máquinas virtuales.

¿Cómo puedo realizar la transición a un método explícito de conectividad pública (y deshabilitar el acceso de salida predeterminado)?

Hay varias maneras de desactivar el acceso de salida predeterminado. En las secciones siguientes se describen las opciones disponibles.

Uso del parámetro Private Subnet

• La creación de una subred para que sea privada impide que las máquinas virtuales de la subred usen el acceso de salida predeterminado para conectarse a puntos de conexión públicos.

• Las máquinas virtuales de una subred privada todavía pueden acceder a Internet mediante la conectividad saliente explícita.

  Nota:

  Algunos servicios no funcionarán en una máquina virtual en una subred privada sin un método explícito de salida (algunos ejemplos son la activación de Windows y Windows Update).

Adición de la característica de subred privada

• En Azure Portal, active la subred y active la casilla para habilitar la subred privada, como se muestra a continuación:

• Con PowerShell, el siguiente script toma los nombres del grupo de recursos y la red virtual y recorre en bucle cada subred para habilitar la subred privada.

$resourceGroupName = ""
$vnetName = ""
 
$vnet = Get-AzVirtualNetwork -ResourceGroupName $resourceGroupName -Name $vnetName
 
foreach ($subnet in $vnet.Subnets) {
    if ($subnet.DefaultOutboundAccess -eq $null) {
        $subnet.DefaultOutboundAccess = $false
        Write-Output "Set 'defaultoutboundaccess' to \$false for subnet: $($subnet.Name)"
    } 
    elseif ($subnet.DefaultOutboundAccess -eq $false) {
        # Output message if the value is already $false
        Write-Output "already private for subnet: $($subnet.Name)"
    }
}
Set-AzVirtualNetwork -VirtualNetwork $vnet

• Con la CLI, actualice la subred con az network vnet subnet update y establezca --default-outbound en "false"

az network vnet subnet update --resource-group rgname --name subnetname --vnet-name vnetname --default-outbound false

• Con una plantilla de Azure Resource Manager, establezca el valor del parámetro defaultOutboundAccess como "false".

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vnetName": {
      "type": "string",
      "defaultValue": "testvm-vnet"
    },
    "subnetName": {
      "type": "string",
      "defaultValue": "default"
    },
    "subnetPrefix": {
      "type": "string",
      "defaultValue": "10.1.0.0/24"
    },
    "vnetAddressPrefix": {
      "type": "string",
      "defaultValue": "10.1.0.0/16"
    }
  },
  "resources": [
    {
      "type": "Microsoft.Network/virtualNetworks",
      "apiVersion": "2023-11-01",
      "name": "[parameters('vnetName')]",
      "location": "westus2",
      "properties": {
        "addressSpace": {
          "addressPrefixes": [
            "[parameters('vnetAddressPrefix')]"
          ]
        },
        "subnets": [
          {
            "name": "[parameters('subnetName')]",
            "properties": {
              "addressPrefix": "[parameters('subnetPrefix')]",
              "defaultoutboundaccess": false
            }
          }
        ]
      }
    }
  ]
}

Limitaciones de la subred privada

• Para activar o actualizar sistemas operativos de máquina virtual, como Windows, se requiere un método de conectividad de salida explícito.

• En configuraciones que usan una ruta definida por el usuario (UDR) con una ruta predeterminada (0.0.0.0/0) que envía tráfico a un dispositivo virtual de red o firewall ascendente, cualquier tráfico que omita esta ruta (por ejemplo, a destinos etiquetados por servicio) se interrumpe en una subred privada.

• Las subredes privadas no son aplicables a subredes delegadas o administradas que se usan para hospedar servicios PaaS. En estos escenarios, el servicio individual administra la conectividad saliente.

Agregue un método de conectividad de salida explícito.

• Asocie una instancia de NAT Gateway a la subred de la máquina virtual.

• Asocie un equilibrador de carga estándar configurado con reglas de salida.

• Asocie una dirección IP pública estándar a cualquiera de las interfaces de red de la máquina virtual (si hay varias interfaces de red, al tener una sola NIC con una dirección IP pública estándar, se impedirá el acceso de salida predeterminado de la máquina virtual).

Nota:

Hay un parámetro de nivel de NIC (defaultOutboundConnectivityEnabled) que realiza un seguimiento de si se está utilizando el acceso saliente predeterminado. Cuando se agrega un método de conectividad de salida explícito a una máquina virtual, para que el parámetro se actualice, se debe reiniciar la máquina virtual. El Advisor "Añadir método de salida explícito para desactivar la salida predeterminada" funciona mediante la comprobación de este parámetro, por lo que se requiere detener o desasignar la máquina virtual para que los cambios se reflejen y la acción se borre.

Uso del modo de orquestación flexible para Virtual Machine Scale Sets

• Los conjuntos de escalado flexibles son seguros de manera predeterminada. Las instancias creadas a través de conjuntos de escalado flexible no tienen asociada la dirección IP de acceso de salida predeterminada, por lo que se requiere un método de salida explícito. Para obtener más información, consulte Modo de orquestación flexible para conjuntos de escalado de máquinas virtuales.

3Importante

Cuando un grupo de back-end de equilibradores de carga está configurado por dirección IP, se usará el acceso de salida predeterminado debido a un problema conocido en curso. Para una configuración segura por defecto y aplicaciones con necesidades de salida exigentes, asocie una puerta de enlace NAT a las máquinas virtuales de su grupo de back-end del equilibrador de carga para asegurar el tráfico. Consulte más información sobre los problemas conocidos existentes.

Si necesito acceso de salida, ¿cuál es la manera recomendada?

NAT Gateway es el enfoque recomendado para tener conectividad de salida explícita. También se puede usar un firewall para proporcionar este acceso.

Restricciones

• La dirección IP de acceso de salida predeterminada no admite paquetes fragmentados.

• La dirección IP de acceso saliente predeterminada no admite pings ICMP.

Pasos siguientes

Para más información sobre las conexiones salientes en Azure y Azure NAT Gateway, consulta:

• Traducción de direcciones de red de origen (SNAT) para conexiones salientes.

• ¿Qué es Azure NAT Gateway?

• Preguntas frecuentes sobre Azure NAT Gateway