Alapértelmezett kimenő hozzáférés az Azure-ban
Az Azure-ban a virtuális hálózaton explicit kimenő kapcsolat definiálása nélkül létrehozott virtuális gépekhez alapértelmezett kimenő nyilvános IP-cím van hozzárendelve. Ez az IP-cím lehetővé teszi az erőforrásokból az internetre irányuló kimenő kapcsolatot. Ezt a hozzáférést alapértelmezett kimenő hozzáférésnek nevezzük.
A virtuális gépek explicit kimenő kapcsolatai például a következők:
NAT-átjáróhoz társított alhálózaton belül hozható létre.
Egy standard terheléselosztó háttérkészletében üzembe helyezve, kimenő szabályok definiálva.
Üzembe helyezve egy alapszintű nyilvános terheléselosztó háttérkészletében.
Kifejezetten hozzájuk társított nyilvános IP-címmel rendelkező virtuális gépek.
Hogyan van megadva az alapértelmezett kimenő hozzáférés?
A hozzáféréshez használt nyilvános IPv4-címet az alapértelmezett kimenő hozzáférési IP-címnek nevezzük. Ez az IP implicit, és a Microsofthoz tartozik. Ez az IP-cím változhat, és az éles számítási feladatok esetében nem ajánlott attól függeni.
Mikor van megadva az alapértelmezett kimenő hozzáférés?
Ha üzembe helyez egy virtuális gépet az Azure-ban, és nem rendelkezik explicit kimenő kapcsolattal, az alapértelmezett kimenő hozzáférési IP-címet rendeli hozzá.
Fontos
2025. szeptember 30-án az új üzembe helyezések alapértelmezett kimenő hozzáférése megszűnik. További információért tekintse meg a hivatalos bejelentést. Javasoljuk, hogy használja az alábbi szakaszban tárgyalt explicit kapcsolati formák egyikét.
Miért ajánlott letiltani az alapértelmezett kimenő hozzáférést?
Alapértelmezés szerint biztonságos
- Nem ajánlott alapértelmezés szerint megnyitni egy virtuális hálózatot az interneten a zéró megbízhatósági hálózati biztonsági elv használatával.
Explicit és implicit
- Javasoljuk, hogy explicit csatlakozási módszerekkel rendelkezzen az implicit helyett, amikor hozzáférést ad a virtuális hálózat erőforrásaihoz.
Az IP-cím elvesztése
- Az ügyfelek nem birtokolják az alapértelmezett kimenő hozzáférési IP-címet. Ez az IP-cím változhat, és az attól való függőség a jövőben problémákat okozhat.
Néhány példa olyan konfigurációkra, amelyek nem működnek az alapértelmezett kimenő hozzáférés használatakor:
- Ha ugyanazon a virtuális gépen több hálózati adapter is található, az alapértelmezett kimenő IP-címek nem lesznek egységesek az összes hálózati adapteren.
- A virtuálisgép-méretezési csoportok fel- és leskálázásakor az egyes példányokhoz rendelt alapértelmezett kimenő IP-címek módosíthatók és módosíthatók.
- Hasonlóképpen, az alapértelmezett kimenő IP-címek nem konzisztensek vagy összefüggőek a virtuálisgép-méretezési csoport virtuálisgép-példányai között.
Hogyan válthatok a nyilvános kapcsolat explicit módszerére (és tilthatom le az alapértelmezett kimenő hozzáférést)?
Az alapértelmezett kimenő hozzáférés többféleképpen is kikapcsolható. Az alábbi szakaszok az Ön számára elérhető lehetőségeket ismertetik.
Fontos
A privát alhálózat jelenleg nyilvános előzetes verzióban érhető el. Szolgáltatásszint-szerződés nélkül érhető el, és éles számítási feladatokhoz nem ajánlott. Előfordulhat, hogy néhány funkció nem támogatott, vagy korlátozott képességekkel rendelkezik. További információ: Kiegészítő használati feltételek a Microsoft Azure előzetes verziójú termékeihez.
A Privát alhálózat paraméter használata
Privát alhálózat létrehozása megakadályozza, hogy az alhálózaton lévő virtuális gépek alapértelmezett kimenő hozzáférést használjanak a nyilvános végpontokhoz való csatlakozáshoz.
A privát alhálózat létrehozásához használható paraméter csak az alhálózat létrehozása során állítható be.
A privát alhálózaton lévő virtuális gépek továbbra is hozzáférhetnek az internethez explicit kimenő kapcsolat használatával.
Feljegyzés
Bizonyos szolgáltatások nem működnek a privát alhálózat virtuális gépén explicit kimenő forgalom nélkül (ilyenek például a Windows aktiválása és a Windows-frissítések).
A Privát alhálózat funkció hozzáadása
- Az Azure Portalon győződjön meg arról, hogy a privát alhálózat engedélyezésének lehetősége ki van választva, amikor alhálózatot hoz létre a virtuális hálózat létrehozási felületének részeként, ahogyan az alább látható:
A PowerShell használatával a New-AzVirtualNetworkSubnetConfig alhálózat létrehozásakor használja a lehetőséget, és válassza a
DefaultOutboundAccess
"$false" lehetőségetA parancssori felület használatával, amikor alhálózatot hoz létre az az network vnet subnet create paranccsal, használja a lehetőséget, és válassza a
--default-outbound
"false" (hamis) lehetőségetAzure Resource Manager-sablonnal állítsa a paraméter értékét
defaultOutboundAccess
"false" értékre
Privát alhálózat korlátozásai
A virtuálisgép-üzemeltetési rendszerek aktiválásához/frissítéséhez , beleértve a Windowst is, explicit kimenő kapcsolati módszerrel kell rendelkeznie.
A delegált alhálózatok nem jelölhetők privátként.
A meglévő alhálózatok jelenleg nem konvertálhatók magánhálózattá.
A felhasználó által megadott útvonalat (UDR) használó konfigurációkban, amelyek alapértelmezett útvonala (0/0), amely forgalmat küld egy felsőbb rétegbeli tűzfalra/hálózati virtuális berendezésre, az ezen az útvonalon áthaladó forgalom (például a Szolgáltatás címkével ellátott célhelyek felé) megszakad egy privát alhálózatban.
Explicit kimenő kapcsolati módszer hozzáadása
NAT-átjáró társítása a virtuális gép alhálózatához.
Egy kimenő szabályokkal konfigurált szabványos terheléselosztó társítása.
Standard nyilvános IP-cím társítása a virtuális gép bármely hálózati adapteréhez (ha több hálózati adapter van, egyetlen hálózati adapter és egy szabványos nyilvános IP-cím megakadályozza a virtuális gép alapértelmezett kimenő elérését).
Rugalmas vezénylési mód használata virtuálisgép-méretezési csoportokhoz
- A rugalmas méretezési csoportok alapértelmezés szerint biztonságosak. A rugalmas méretezési csoportokon keresztül létrehozott példányok nem rendelkeznek az alapértelmezett kimenő hozzáférési IP-címmel, ezért explicit kimenő metódusra van szükség. További információ: Rugalmas vezénylési mód a virtuálisgép-méretezési csoportokhoz
Fontos
Ha a terheléselosztó háttérkészlete IP-cím alapján van konfigurálva, egy folyamatban lévő ismert probléma miatt alapértelmezett kimenő hozzáférést fog használni. A terheléselosztó háttérkészletében lévő virtuális gépekhez a terheléselosztó háttérkészletében lévő nat-átjárót az alapértelmezett konfiguráció és az igényes kimenő igényű alkalmazások védelméhez társíthatja. További információ a meglévő ismert problémákról.
Ha kimenő hozzáférésre van szükségem, mi a javasolt módszer?
A NAT-átjáró az ajánlott megközelítés a explicit kimenő kapcsolathoz. A hozzáférés biztosításához tűzfal is használható.
Megszorítások
Nyilvános kapcsolat szükséges a Windows aktiválásához és a Windows-frissítésekhez. Javasoljuk, hogy a nyilvános kimenő kapcsolatok explicit formáját állítsa be.
Az alapértelmezett kimenő hozzáférési IP-cím nem támogatja a töredezett csomagokat.
Az alapértelmezett kimenő hozzáférési IP-cím nem támogatja az ICMP-pingeket.
Következő lépések
Az Azure-ban és az Azure NAT Gatewayben létesített kimenő kapcsolatokról további információt a következő témakörben talál: