Accès sortant par défaut dans Azure

Dans Azure, les machines virtuelles créées dans un réseau virtuel sans connectivité sortante explicite définie se voient attribuer une adresse IP publique sortante par défaut. Cette adresse IP active la connectivité sortante à partir des ressources sur Internet. Cet accès est appelé accès sortant par défaut.

Voici quelques exemples de connectivité sortante explicite pour les machines virtuels :

• Créé dans un sous-réseau associé à une Passerelle NAT.

• Déployé dans le pool principal d’un équilibreur de charge standard avec des règles sortantes définies.

• Déployé dans le pool principal de l’équilibreur de charge public de base.

• Des machines virtuelles avec des adresses IP publiques explicitement associées.

Comment l’accès sortant par défaut est-il fourni ?

L’adresse IPv4 publique utilisée pour l’accès est appelée adresse IP d’accès sortant par défaut. Cette adresse IP est implicite et appartient à Microsoft. Cette adresse IP est sujette à modification et il n’est pas recommandé d’en dépendre pour les charges de travail de production.

Quand l’accès sortant par défaut est-il fourni ?

Si vous déployez une machine virtuelle dans Azure et que celle-ci ne dispose pas d’une connectivité sortante explicite, une adresse IP d’accès sortant par défaut lui est affectée.

Important

Le 30 septembre 2025, l’accès sortant par défaut pour les nouveaux déploiements sera mis hors service. Pour plus d’informations, consultez l’annonce officielle. Nous vous recommandons d’utiliser une des formes explicites de connectivité décrites dans la section suivante.

Pourquoi la désactivation de l’accès sortant par défaut est-elle recommandée ?

• Sécurisé par défaut

  • Il n’est pas recommandé d’ouvrir un réseau virtuel sur Internet par défaut en utilisant le principe de sécurité réseau Confiance Zéro.

• Explicite versus implicite

  • Il est recommandé d’avoir des méthodes de connectivité explicites plutôt qu’implicites lorsque vous autorisez l’accès aux ressources de votre réseau virtuel.

• Perte d’adresse IP

  • Les clients ne possèdent pas l’adresse IP d’accès sortant par défaut. Il est possible que cette adresse IP change et toute dépendance sur cette dernière peut entraîner des problèmes à l’avenir.

Voici quelques exemples de configurations qui ne fonctionnent pas avec l’accès sortant par défaut :

• Lorsque vous avez plusieurs cartes d’interface réseau sur la même machine virtuelle, les adresses IP sortantes par défaut ne sont pas toujours identiques sur toutes ces cartes.
• Lorsque vous adaptez ou ajustez les ensembles de mise à l'échelle des machines virtuelles, les adresses IP sortantes par défaut assignées aux instances individuelles peuvent changer.
• De même, les adresses IP sortantes par défaut ne sont pas cohérentes ni contiguës entre les instances de machines virtuelles dans un ensemble de machines virtuelles.

Comment passer à une méthode explicite de connectivité publique (et désactiver l’accès sortant par défaut) ?

Il existe plusieurs façons de désactiver l’accès sortant par défaut. Les sections suivantes décrivent les options qui vous sont disponibles.

Utiliser le paramètre De sous-réseau privé

• La création d’un sous-réseau privé empêche les machines virtuelles du sous-réseau d’utiliser l’accès sortant par défaut pour se connecter aux points de terminaison publics.

• Les machines virtuelles sur un sous-réseau privé peuvent toujours accéder à Internet à l’aide d’une connectivité sortante explicite.

  Remarque

  Certains services ne fonctionnent pas sur une machine virtuelle dans un sous-réseau privé sans méthode explicite de sortie (par exemple Windows Activation et Windows Updates).

Ajoutez la fonctionnalité de sous-réseau privé

• Dans le portail Azure, sélectionnez le sous-réseau et cochez la case pour activer le sous-réseau privé, comme indiqué ci-dessous :

• À l’aide de PowerShell, le script suivant prend les noms du groupe de ressources et du réseau virtuel et effectue une boucle via chaque sous-réseau pour activer le sous-réseau privé.

$resourceGroupName = ""
$vnetName = ""
 
$vnet = Get-AzVirtualNetwork -ResourceGroupName $resourceGroupName -Name $vnetName
 
foreach ($subnet in $vnet.Subnets) {
    if ($subnet.DefaultOutboundAccess -eq $null) {
        $subnet.DefaultOutboundAccess = $false
        Write-Output "Set 'defaultoutboundaccess' to \$false for subnet: $($subnet.Name)"
    } 
    elseif ($subnet.DefaultOutboundAccess -eq $false) {
        # Output message if the value is already $false
        Write-Output "already private for subnet: $($subnet.Name)"
    }
}
Set-AzVirtualNetwork -VirtualNetwork $vnet

• À l’aide de l’interface CLI, mettez à jour le sous-réseau avec az network vnet subnet update et définissez --default-outbound sur « false »

az network vnet subnet update --resource-group rgname --name subnetname --vnet-name vnetname --default-outbound false

• En utilisant un modèle du Gestionnaire de ressources Azure, définissez la valeur du paramètre defaultOutboundAccess sur « false »

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vnetName": {
      "type": "string",
      "defaultValue": "testvm-vnet"
    },
    "subnetName": {
      "type": "string",
      "defaultValue": "default"
    },
    "subnetPrefix": {
      "type": "string",
      "defaultValue": "10.1.0.0/24"
    },
    "vnetAddressPrefix": {
      "type": "string",
      "defaultValue": "10.1.0.0/16"
    }
  },
  "resources": [
    {
      "type": "Microsoft.Network/virtualNetworks",
      "apiVersion": "2023-11-01",
      "name": "[parameters('vnetName')]",
      "location": "westus2",
      "properties": {
        "addressSpace": {
          "addressPrefixes": [
            "[parameters('vnetAddressPrefix')]"
          ]
        },
        "subnets": [
          {
            "name": "[parameters('subnetName')]",
            "properties": {
              "addressPrefix": "[parameters('subnetPrefix')]",
              "defaultoutboundaccess": false
            }
          }
        ]
      }
    }
  ]
}

Limitations du sous-réseau privé

• Pour activer ou mettre à jour des systèmes d’exploitation de machines virtuelles, tels que Windows, une méthode de connectivité sortante explicite est requise.

• Dans les configurations utilisant un itinéraire défini par l’utilisateur (UDR) avec un itinéraire par défaut (0.0.0.0/0) qui envoie le trafic à un pare-feu/appliance virtuelle réseau en amont, tout trafic qui contourne cet itinéraire (par exemple, vers les destinations marquées par le service) s’arrête dans un sous-réseau privé.

• Les sous-réseaux privés ne s’appliquent pas aux sous-réseaux délégués ou managés utilisés pour héberger des services PaaS. Dans ces scénarios, la connectivité sortante est gérée par le service individuel.

Ajouter une méthode de connectivité sortante explicite

• Associer une passerelle NAT au sous-réseau de votre machine virtuelle.

• Associer un équilibreur de charge standard pour lequel des règles de trafic sortant sont configurées.

• Associez une adresse IP publique Standard à l’une des interfaces réseau de la machine virtuelle (s’il existe plusieurs interfaces réseau, le fait d’en avoir une seule carte réseau avec une adresse IP publique Standard empêche l’accès sortant par défaut pour la machine virtuelle).

Remarque

Il existe un paramètre au niveau de la carte réseau (defaultOutboundConnectivityEnabled) qui suit si l’accès sortant par défaut est utilisé. Lorsqu’une méthode de connectivité sortante explicite est ajoutée à une machine virtuelle, afin que le paramètre soit mis à jour, la machine virtuelle doit être redémarré. Le conseiller « Ajouter une méthode sortante explicite pour désactiver la sortie par défaut » fonctionne en vérifiant ce paramètre. Un arrêt/une désallocation de la machine virtuelle est donc nécessaire pour que les modifications soient reflétées et que l'action soit effacée.

Utilisez le mode d’orchestration flexible pour Microsoft Azure Virtual Machine Scale Sets

• Les paramètres de mise à l’échelle flexibles sont sécurisés par défaut. Aucune instance créée via des ensembles d'échelle flexibles n'est associée à l'adresse IP d'accès sortant par défaut, donc une méthode sortante explicite est requise. Pour plus d’informations, veuillez vous référer au mode d’orchestration flexible pour les paramètres de mise à l’échelle des machines virtuelles

Important

Quand un pool de back-ends d’équilibreur de charge est configuré par adresse IP, il utilise l’accès sortant par défaut en raison d’un problème connu. Pour sécuriser par défaut la configuration et les applications avec des besoins sortants exigeants, associez une passerelle NAT aux machines virtuelles du pool principal de votre équilibreur de charge pour sécuriser le trafic. Apprenez-en plus sur les problèmes existants connus.

Si j’ai besoin d’un accès sortant, quelle est la méthode recommandée ?

La passerelle NAT est l’approche recommandée pour disposer d’une connectivité sortante explicite. Un pare-feu peut également être utilisé pour fournir cet accès.

Contraintes

• L’adresse IP d’accès sortant par défaut ne prend pas en charge les paquets fragmentés.

• L’adresse IP d’accès sortant par défaut ne prend pas en charge les pings ICMP.

Étapes suivantes

Pour plus d’informations sur les connexions sortantes dans Azure et Azure NAT Gateway, consultez :

• SNAT (Source Network Address Translation) pour les connexions sortantes.

• Qu’est-ce qu’Azure NAT Gateway ?

• FAQ sur Azure NAT Gateway