Accès sortant par défaut dans Azure

Dans Azure, les machines virtuelles créées dans un réseau virtuel sans connectivité sortante explicite définie se voient attribuer une adresse IP publique sortante par défaut. Cette adresse IP active la connectivité sortante à partir des ressources sur Internet. Cet accès est appelé accès sortant par défaut.

Voici quelques exemples de connectivité sortante explicite pour les machines virtuels :

• Créé dans un sous-réseau associé à une Passerelle NAT.

• Dans le pool principal d’un équilibreur de charge standard avec des règles sortantes définies.

• Dans le pool principal de l’équilibreur de charge public de base.

• Des machines virtuelles avec des adresses IP publiques explicitement associées.

Comment l’accès sortant par défaut est-il fourni ?

L’adresse IPv4 publique utilisée pour l’accès est appelée adresse IP d’accès sortant par défaut. Cette adresse IP est implicite et appartient à Microsoft. Cette adresse IP est sujette à modification et il n’est pas recommandé d’en dépendre pour les charges de travail de production.

Quand l’accès sortant par défaut est-il fourni ?

Si vous déployez une machine virtuelle dans Azure et que celle-ci ne dispose pas d’une connectivité sortante explicite, une adresse IP d’accès sortant par défaut lui est affectée.

Important

Le 30 septembre 2025, l’accès sortant par défaut pour les nouveaux déploiements sera mis hors service. Pour plus d’informations, consultez l’annonce officielle. Nous vous recommandons d’utiliser une des formes explicites de connectivité décrites dans la section suivante.

Pourquoi la désactivation de l’accès sortant par défaut est-elle recommandée ?

• Sécurisé par défaut

  • Il n’est pas recommandé d’ouvrir un réseau virtuel sur Internet par défaut à l’aide du principe de sécurité réseau de niveau de confiance zéro.

• Explicite versus implicite

  • Il est recommandé d’avoir des méthodes de connectivité explicites plutôt qu’implicites lorsque vous autorisez l’accès aux ressources de votre réseau virtuel.

• Perte d’adresse IP

  • Les clients ne possèdent pas l’adresse IP d’accès sortant par défaut. Il est possible que cette adresse IP change et toute dépendance sur cette dernière peut entraîner des problèmes à l’avenir.

Voici quelques exemples de configurations qui ne fonctionnent pas avec l’accès sortant par défaut :

• Lorsque vous avez plusieurs cartes d’interface réseau sur la même machine virtuelle, notez que les adresses IP sortantes par défaut ne sont pas toujours identiques sur toutes ces cartes.
• Lorsque vous effectuez une mise à l'échelle des groupes de machines virtuelles identiques, les adresses IP sortantes par défaut affectées à des instances individuelles peuvent souvent changer.
• De même, les adresses IP sortantes par défaut ne sont pas cohérentes ou adjacentes entre les instances de machines virtuelles dans un groupe de machines virtuelles identiques.

Comment passer à une méthode explicite de connectivité publique (et désactiver l’accès sortant par défaut) ?

Il existe plusieurs façons de désactiver l’accès sortant par défaut. Les sections suivantes décrivent les options qui vous sont disponibles.

Important

Le sous-réseau privé est actuellement en préversion publique. Elle est fournie sans contrat de niveau de service et n’est pas recommandée pour les charges de travail de production. Certaines fonctionnalités peuvent être limitées ou non prises en charge. Pour plus d’informations, consultez Conditions d’Utilisation Supplémentaires relatives aux Évaluations Microsoft Azure.

Utiliser le paramètre de sous-réseau privé

• La création d’un sous-réseau privé empêche les machines virtuelles du sous-réseau d’utiliser l’accès sortant par défaut pour se connecter aux points de terminaison publics.

• Le paramètre permettant de créer un sous-réseau privé ne peut être défini que lors de la création d’un sous-réseau.

• Les machines virtuelles sur un sous-réseau privé peuvent toujours accéder à Internet à l’aide d’une connectivité sortante explicite.

  Remarque

  Certains services ne fonctionnent pas sur une machine virtuelle dans un sous-réseau privé sans méthode explicite de sortie (par exemple Windows Activation et Windows Updates).

Ajoutez la fonctionnalité de sous-réseau privé

• Dans le Portail Microsoft Azure, vérifiez que l’option permettant d’activer le sous-réseau privé est sélectionnée lors de la création d’un sous-réseau dans le cadre de l’expérience de création de réseau virtuel, comme indiqué ci-dessous :

• À l’aide de PowerShell, lors de la création d’un sous-réseau avec New-AzVirtualNetworkSubnetConfig, utilisez l’option DefaultOutboundAccess et choisissez « $false »

• En CLI, lors de la création d’un sous-réseau avec az network vnet subnet create, utilisez l’option --default-outbound et choisissez « false »

• À l’aide d’un modèle ARM, définissez la valeur du paramètre defaultOutboundAccess sur « false »

Limitations du sous-réseau privé

• Pour activer/mettre à jour des systèmes d’exploitation de machine virtuelle, y compris Windows, il est nécessaire d’avoir une méthode de connectivité sortante explicite.

• Les sous-réseaux délégués ne peuvent pas être marqués comme privés.

• Les sous-réseaux existants ne peuvent actuellement pas être convertis en privé.

• Dans les configurations utilisant un itinéraire défini par l’utilisateur (UDR) avec un itinéraire par défaut (0/0) qui envoie le trafic à une appliance virtuelle de pare-feu/réseau en amont, tout trafic qui contourne cet itinéraire (par exemple, vers les destinations avec une étiquette de service) s’interrompt dans un sous-réseau privé.

Ajouter une méthode de connectivité sortante explicite

• Associer une passerelle NAT au sous-réseau de votre machine virtuelle.

• Associer un équilibreur de charge standard à des règles de trafic sortant configurées.

• Associez une adresse IP publique Standard à l’une des interfaces réseau de la machine virtuelle (s’il existe plusieurs interfaces réseau, le fait d’en avoir une seule carte réseau avec une adresse IP publique Standard empêche l’accès sortant par défaut pour la machine virtuelle).

Utilisez le mode d’orchestration flexible pour Microsoft Azure Virtual Machine Scale Sets

• Les paramètres de mise à l’échelle flexibles sont sécurisés par défaut. Aucune instance créée via des groupes identiques flexibles ne sera associée à l’adresse IP d’accès sortant par défaut : une méthode sortante explicite est donc nécessaire. Pour plus d’informations, veuillez vous référer au mode d’orchestration flexible pour les paramètres de mise à l’échelle des machines virtuelles

Important

Quand un pool de back-ends d’équilibreur de charge est configuré par adresse IP, il utilise l’accès sortant par défaut en raison d’un problème connu. Pour sécuriser par défaut la configuration et les applications avec des besoins sortants exigeants, associez une passerelle NAT aux machines virtuelles du pool principal de votre équilibreur de charge pour sécuriser le trafic. Apprenez-en plus sur les problèmes existants connus.

Si j’ai besoin d’un accès sortant, quelle est la méthode recommandée ?

La passerelle NAT est l’approche recommandée pour disposer d’une connectivité sortante explicite. Un pare-feu peut également être utilisé pour fournir cet accès.

Contraintes

• Une connectivité publique est nécessaire pour l’activation de Windows et les mises à jour de Windows. Il est recommandé de configurer une forme explicite de connectivité sortante publique.

• L’adresse IP d’accès sortant par défaut ne prend pas en charge les paquets fragmentés.

• L’adresse IP d’accès sortant par défaut ne prend pas en charge les pings ICMP.

Étapes suivantes

Pour plus d’informations sur les connexions sortantes dans Azure et Azure NAT Gateway, consultez :

• SNAT (Source Network Address Translation) pour les connexions sortantes.

• Qu’est-ce qu’Azure NAT Gateway ?

• FAQ sur Azure NAT Gateway