Akses keluar default di Azure

Di Azure, mesin virtual yang dibuat dalam jaringan virtual tanpa penetapan konektivitas keluar eksplisit diberi alamat IP publik keluar default. Alamat IP ini memungkinkan konektivitas keluar dari sumber daya ke internet. Akses ini disebut sebagai akses keluar default.

Contoh konektivitas keluar eksplisit adalah mesin virtual:

  • Dibuat dalam subnet yang terkait dengan NAT Gateway.
  • Di kumpulan backend dari penyeimbang beban standar dengan aturan keluar yang ditentukan.
  • Di kumpulan backend dari penyeimbang beban publik dasar.
  • Mesin virtual dengan alamat IP publik yang secara eksplisit terkait dengannya.

Bagan opsi keluar eksplisit.

Bagaimana akses keluar default disediakan?

Alamat IPv4 publik yang digunakan untuk akses disebut IP akses keluar default. IP ini bersifat implisit dan milik Microsoft. Alamat IP ini dapat berubah dan tidak disarankan untuk bergantung padanya dalam penggunaan untuk beban kerja produksi.

Kapan akses keluar default disediakan?

Jika Anda menyebarkan mesin virtual di Azure dan tidak memiliki konektivitas keluar eksplisit, itu diberi IP akses keluar default.

Bagan akses keluar default.

  • Aman secara default

    • Tidak disarankan untuk membuka jaringan virtual ke internet secara default menggunakan prinsip keamanan jaringan dengan nol kepercayaan.
  • Eksplisit vs. implisit

    • Disarankan untuk memiliki metode konektivitas eksplisit alih-alih implisit saat memberikan akses ke sumber daya di jaringan virtual Anda.
  • Kehilangan alamat IP

    • IP akses keluar default tidak dimiliki oleh pelanggan. IP ini dapat berubah. Setiap ketergantungan pada IP ini dapat menyebabkan masalah di masa depan.

Bagaimana cara menonaktifkan akses keluar default?

Ada beberapa cara untuk menonaktifkan akses keluar default:

  1. Menambahkan metode konektivitas keluar eksplisit

    • Kaitkan gateway NAT ke subnet mesin virtual Anda.

    • Kaitkan penyeimbang beban standar dengan aturan keluar yang dikonfigurasi.

    • Kaitkan IP publik Dasar ke antarmuka jaringan mesin virtual (jika hanya ada satu antarmuka jaringan).

    • Kaitkan IP publik Standar ke salah satu antarmuka jaringan mesin virtual (jika ada beberapa antarmuka jaringan, memiliki satu dengan IP publik Standar akan mencegah akses keluar default untuk mesin virtual).

  2. Gunakan mode orkestrasi fleksibel untuk set skala mesin virtual.

    • Set skala fleksibel aman secara default. Setiap instans yang dibuat melalui set skala fleksibel tidak akan memiliki IP akses keluar default yang terkait dengannya. Untuk informasi lebih lanjut, lihat Mode orkestrasi fleksibel set skala mesin virtual

Penting

Ketika kumpulan backend dikonfigurasi oleh alamat IP, kumpulan tersebut akan menggunakan akses keluar default karena masalah yang diketahui yang sedang berlangsung. Untuk konfigurasi dan aplikasi yang aman secara default dengan kebutuhan keluar yang menuntut, kaitkan gateway NAT ke VM di kumpulan backend load balancer Anda untuk mengamankan lalu lintas. Lihat selengkapnya tentang masalah umum yang ada.

Gateway NAT adalah pendekatan yang direkomendasikan untuk memiliki konektivitas keluar eksplisit. Firewall juga dapat digunakan untuk menyediakan akses ini.

Batasan

  • Konektivitas mungkin diperlukan untuk pembaruan Windows.

  • IP akses keluar default tidak mendukung paket yang terfragmentasi.

Langkah berikutnya

Untuk informasi lebih lanjut tentang koneksi keluar di Azure dan Azure Virtual Network NAT (gateway NAT), lihat: