Accès sortant par défaut dans Azure

Dans Azure, les machines virtuelles créées dans un réseau virtuel sans connectivité sortante explicite définie se voient attribuer une adresse IP publique sortante par défaut. Cette adresse IP active la connectivité sortante à partir des ressources sur Internet. Cet accès est appelé accès sortant par défaut.

Les ordinateurs virtuels sont des exemples de connectivité sortante explicite :

• Créé dans un sous-réseau associé à une Passerelle NAT.
• Dans le pool principal d’un équilibreur de charge standard avec des règles sortantes définies.
• Dans le pool principal de l’équilibreur de charge public de base.
• Des machines virtuelles avec des adresses IP publiques explicitement associées.

Comment l’accès sortant par défaut est-il fourni ?

L’adresse IPv4 publique utilisée pour l’accès est appelée adresse IP d’accès sortant par défaut. Cette adresse IP est implicite et appartient à Microsoft. Cette adresse IP est sujette à modification et il n’est pas recommandé d’en dépendre pour les charges de travail de production.

Quand l’accès sortant par défaut est-il fourni ?

Si vous déployez une machine virtuelle dans Azure et que celle-ci ne dispose pas d’une connectivité sortante explicite, une adresse IP d’accès sortant par défaut lui est affectée.

Pourquoi la désactivation de l’accès sortant par défaut est-elle recommandée ?

• Sécurisé par défaut

  • Il n’est pas recommandé d’ouvrir un réseau virtuel sur Internet par défaut à l’aide du principe de sécurité réseau de niveau de confiance zéro.

• Explicite versus implicite

  • Il est recommandé d’avoir des méthodes de connectivité explicites plutôt qu’implicites lorsque vous autorisez l’accès aux ressources de votre réseau virtuel.

• Perte d’adresse IP

  • L’adresse IP d’accès sortant par défaut n’appartient pas aux clients. Les Protocoles Internet (IP) sont susceptibles d’être modifiés. Toute dépendance sur cette adresse IP peut entraîner des problèmes à l’avenir.

Comment puis-je désactiver l’accès sortant par défaut ?

Il existe plusieurs façons de désactiver l’accès sortant par défaut :

1. Ajouter une méthode de connectivité sortante explicite

   • Associer une passerelle NAT au sous-réseau de votre machine virtuelle.

   • Associer un équilibreur de charge standard à des règles de trafic sortant configurées.

   • Associez une adresse IP publique de base à l’interface réseau de la machine virtuelle (s’il n’existe qu’une seule interface réseau).

   • Associez une adresse IP publique Standard à l’une des interfaces réseau de la machine virtuelle (s’il existe plusieurs interfaces réseau, le fait d’en avoir une seule avec une adresse IP publique Standard empêche l’accès sortant par défaut pour la machine virtuelle).

2. Utiliser le mode d’orchestration flexible pour les paramètres de mise à l’échelle des machines virtuelles.

   • Les paramètres de mise à l’échelle flexibles sont sécurisés par défaut. Aucune instance créée via des paramètres de mise à l’échelle flexibles ne sera associée à l’adresse IP d’accès sortant par défaut. Pour plus d’informations, veuillez vous référer au mode d’orchestration flexible pour les paramètres de mise à l’échelle des machines virtuelles

Si j’ai besoin d’un accès sortant, quelle est la méthode recommandée ?

La passerelle NAT est l’approche recommandée pour disposer d’une connectivité sortante explicite. Un pare-feu peut également être utilisé pour fournir cet accès.

Contraintes

• La connectivité peut être nécessaire pour les Mises à jour Windows.

• L’adresse IP d’accès sortant par défaut ne prend pas en charge les paquets fragmentés.

Étapes suivantes

Pour plus d’informations sur les connexions sortantes dans Azure et la traduction d’adresses réseau (NAT) de réseau virtuel Azure, consultez :

• SNAT (Source Network Address Translation) pour les connexions sortantes.

• Présentation du service NAT de Réseau virtuel Azure