Alapértelmezett kimenő hozzáférés az Azure-ban

  • Cikk

Az Azure-ban a virtuális hálózaton explicit kimenő kapcsolat definiálása nélkül létrehozott virtuális gépekhez alapértelmezett kimenő nyilvános IP-cím van hozzárendelve. Ez az IP-cím lehetővé teszi az erőforrásokból az internetre irányuló kimenő kapcsolatot. Ezt a hozzáférést alapértelmezett kimenő hozzáférésnek nevezzük.

A virtuális gépek explicit kimenő kapcsolatai például a következők:

  • NAT-átjáróhoz társított alhálózaton belül hozható létre.

  • Egy standard terheléselosztó háttérkészletében, kimenő szabályok definiálva.

  • Egy alapszintű nyilvános terheléselosztó háttérkészletében.

  • Kifejezetten hozzájuk társított nyilvános IP-címmel rendelkező virtuális gépek.

Explicit kimenő lehetőségek diagramja.

Hogyan van megadva az alapértelmezett kimenő hozzáférés?

A hozzáféréshez használt nyilvános IPv4-címet az alapértelmezett kimenő hozzáférési IP-címnek nevezzük. Ez az IP implicit, és a Microsofthoz tartozik. Ez az IP-cím változhat, és az éles számítási feladatok esetében nem ajánlott attól függeni.

Mikor van megadva az alapértelmezett kimenő hozzáférés?

Ha üzembe helyez egy virtuális gépet az Azure-ban, és nem rendelkezik explicit kimenő kapcsolattal, az alapértelmezett kimenő hozzáférési IP-címet rendeli hozzá.

Az alapértelmezett kimenő hozzáférés döntési fájának diagramja.

Fontos

2025. szeptember 30-án az új üzembe helyezések alapértelmezett kimenő hozzáférése megszűnik. További információért tekintse meg a hivatalos bejelentést. Javasoljuk, hogy használja az alábbi szakaszban tárgyalt explicit kapcsolati formák egyikét.

  • Alapértelmezés szerint biztonságos

    • Nem ajánlott alapértelmezés szerint megnyitni egy virtuális hálózatot az interneten a zéró megbízhatósági hálózati biztonsági elv használatával.

  • Explicit és implicit

    • Javasoljuk, hogy explicit csatlakozási módszerekkel rendelkezzen az implicit helyett, amikor hozzáférést ad a virtuális hálózat erőforrásaihoz.

  • Az IP-cím elvesztése

    • Az ügyfelek nem birtokolják az alapértelmezett kimenő hozzáférési IP-címet. Ez az IP-cím változhat, és az attól való függőség a jövőben problémákat okozhat.

Néhány példa olyan konfigurációkra, amelyek nem működnek az alapértelmezett kimenő hozzáférés használatakor:

  • Ha ugyanazon a virtuális gépen több hálózati adapter is található, vegye figyelembe, hogy az alapértelmezett kimenő IP-címek nem lesznek egységesek az összes hálózati adapteren.
  • A virtuálisgép-méretezési csoportok fel- és leskálázásakor az egyes példányokhoz rendelt alapértelmezett kimenő IP-címek gyakran változhatnak és változhatnak is.
  • Hasonlóképpen, az alapértelmezett kimenő IP-címek nem konzisztensek vagy összefüggőek a virtuálisgép-méretezési csoport virtuálisgép-példányai között.

Hogyan válthatok a nyilvános kapcsolat explicit módszerére (és tilthatom le az alapértelmezett kimenő hozzáférést)?

Az alapértelmezett kimenő hozzáférés többféleképpen is kikapcsolható. Az alábbi szakaszok az Ön számára elérhető lehetőségeket ismertetik.

Fontos

A privát alhálózat jelenleg nyilvános előzetes verzióban érhető el. Szolgáltatásszint-szerződés nélkül érhető el, és éles számítási feladatokhoz nem ajánlott. Előfordulhat, hogy néhány funkció nem támogatott, vagy korlátozott képességekkel rendelkezik. További információ: Kiegészítő használati feltételek a Microsoft Azure előzetes verziójú termékeihez.

A Privát alhálózat paraméter használata

  • Privát alhálózat létrehozása megakadályozza, hogy az alhálózaton lévő virtuális gépek alapértelmezett kimenő hozzáférést használjanak a nyilvános végpontokhoz való csatlakozáshoz.

  • A privát alhálózat létrehozásához használható paraméter csak az alhálózat létrehozása során állítható be.

  • A privát alhálózaton lévő virtuális gépek továbbra is hozzáférhetnek az internethez explicit kimenő kapcsolat használatával.

    Feljegyzés

    Bizonyos szolgáltatások nem működnek a privát alhálózat virtuális gépén explicit kimenő forgalom nélkül (ilyenek például a Windows aktiválása és a Windows Frissítések).

A Privát alhálózat funkció hozzáadása

  • Az Azure Portalon győződjön meg arról, hogy a privát alhálózat engedélyezésének lehetősége ki van választva, amikor alhálózatot hoz létre a virtuális hálózat létrehozási felületének részeként, ahogyan az alább látható:

Képernyőkép az Azure Portalról a Privát alhálózat lehetőséggel.

  • A PowerShell használatával a New-AzVirtualNetworkSubnetConfig alhálózat létrehozásakor használja a lehetőséget, és válassza a DefaultOutboundAccess "$false" lehetőséget

  • A parancssori felület használatával, amikor alhálózatot hoz létre az az network vnet subnet create paranccsal, használja a lehetőséget, és válassza a --default-outbound "false" (hamis) lehetőséget

  • Azure Resource Manager-sablonnal állítsa a paraméter értékét defaultOutboundAccess "false" értékre

Privát alhálózat korlátozásai

  • A virtuálisgép-üzemeltetési rendszerek aktiválásához/frissítéséhez , beleértve a Windowst is, explicit kimenő kapcsolati módszerrel kell rendelkeznie.

  • A delegált alhálózatok nem jelölhetők privátként.

  • A meglévő alhálózatok jelenleg nem konvertálhatók magánhálózattá.

  • Az alapértelmezett útvonallal (0/0) rendelkező, felhasználó által megadott útvonalat (UDR) használó konfigurációkban, amelyek forgalmat küldenek egy felsőbb rétegbeli tűzfalnak/hálózati virtuális berendezésnek, az ezen az útvonalon áthaladó forgalom (például a Szolgáltatás címkével ellátott célhelyek felé) megszakad egy privát alhálózatban.

Explicit kimenő kapcsolati módszer hozzáadása

  • NAT-átjáró társítása a virtuális gép alhálózatához.

  • Egy kimenő szabályokkal konfigurált szabványos terheléselosztó társítása.

  • Standard nyilvános IP-cím társítása a virtuális gép bármely hálózati adapteréhez (ha több hálózati adapter van, egyetlen hálózati adapter és egy szabványos nyilvános IP-cím megakadályozza a virtuális gép alapértelmezett kimenő elérését).

Rugalmas vezénylési mód használata virtuálisgép-méretezési csoportokhoz

  • A rugalmas méretezési csoportok alapértelmezés szerint biztonságosak. A rugalmas méretezési csoportokon keresztül létrehozott példányok nem rendelkeznek az alapértelmezett kimenő hozzáférési IP-címmel, ezért explicit kimenő metódusra van szükség. További információ: Rugalmas vezénylési mód a virtuálisgép-méretezési csoportokhoz

Fontos

Ha a terheléselosztó háttérkészlete IP-cím alapján van konfigurálva, egy folyamatban lévő ismert probléma miatt alapértelmezett kimenő hozzáférést fog használni. A terheléselosztó háttérkészletében lévő virtuális gépekhez a terheléselosztó háttérkészletében lévő nat-átjárót az alapértelmezett konfiguráció és az igényes kimenő igényű alkalmazások védelméhez társíthatja. További információ a meglévő ismert problémákról.

A NAT-átjáró az ajánlott megközelítés a explicit kimenő kapcsolathoz. A hozzáférés biztosításához tűzfal is használható.

Megszorítások

  • Nyilvános kapcsolat szükséges a Windows aktiválásához és a Windows Frissítések. Javasoljuk, hogy a nyilvános kimenő kapcsolatok explicit formáját állítsa be.

  • Az alapértelmezett kimenő hozzáférési IP-cím nem támogatja a töredezett csomagokat.

  • Az alapértelmezett kimenő hozzáférési IP-cím nem támogatja az ICMP-pingeket.

Következő lépések

Az Azure-ban és az Azure NAT Gatewayben létesített kimenő kapcsolatokról további információt a következő témakörben talál: