Akses keluar default di Azure

Di Azure, mesin virtual yang dibuat dalam jaringan virtual tanpa penetapan konektivitas keluar eksplisit diberi alamat IP publik keluar default. Alamat IP ini memungkinkan konektivitas keluar dari sumber daya ke internet. Akses ini disebut sebagai akses keluar default.

Contoh konektivitas keluar eksplisit adalah mesin virtual:

• Dibuat dalam subnet yang terkait dengan gateway NAT.

• Di kumpulan backend dari penyeimbang beban standar dengan aturan keluar yang ditentukan.

• Di kumpulan backend load balancer publik dasar.

• Mesin virtual dengan alamat IP publik yang secara eksplisit terkait dengannya.

Bagaimana akses keluar default disediakan?

Alamat IPv4 publik yang digunakan untuk akses disebut IP akses keluar default. IP ini bersifat implisit dan milik Microsoft. Alamat IP ini dapat berubah dan tidak disarankan untuk bergantung padanya dalam penggunaan untuk beban kerja produksi.

Kapan akses keluar default disediakan?

Jika Anda menyebarkan mesin virtual di Azure dan tidak memiliki konektivitas keluar eksplisit, itu diberi IP akses keluar default.

Penting

Pada 30 September 2025, akses keluar default untuk penyebaran baru akan dihentikan. Untuk informasi selengkapnya, lihat pengumuman resmi. Kami menyarankan agar Anda menggunakan salah satu bentuk eksplisit konektivitas yang dibahas di bagian berikut.

Mengapa menonaktifkan akses keluar default direkomendasikan?

• Aman secara default

  • Tidak disarankan untuk membuka jaringan virtual ke internet secara default menggunakan prinsip keamanan jaringan dengan nol kepercayaan.

• Eksplisit vs. implisit

  • Disarankan untuk memiliki metode konektivitas eksplisit alih-alih implisit saat memberikan akses ke sumber daya di jaringan virtual Anda.

• Kehilangan alamat IP

  • Pelanggan tidak memiliki IP akses keluar default. IP ini mungkin berubah, dan dependensi apa pun tentang hal itu dapat menyebabkan masalah di masa mendatang.

Bagaimana cara beralih ke metode eksplisit konektivitas publik (dan menonaktifkan akses keluar default)?

Ada beberapa cara untuk menonaktifkan akses keluar default. Bagian berikut ini menjelaskan opsi yang tersedia untuk Anda.

Penting

Subnet Privat saat ini dalam pratinjau publik. Ini disediakan tanpa perjanjian tingkat layanan, dan tidak disarankan untuk beban kerja produksi. Fitur tertentu mungkin tidak didukung atau mungkin memiliki kemampuan terbatas. Untuk mengetahui informasi selengkapnya, lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure.

Menggunakan parameter Subnet Privat

• Membuat subnet menjadi Privat mencegah komputer virtual apa pun pada subnet menggunakan akses keluar default untuk terhubung ke titik akhir publik.

• Parameter untuk membuat subnet Privat hanya dapat diatur selama pembuatan subnet.

• VM pada subnet Privat masih dapat mengakses Internet menggunakan konektivitas keluar eksplisit.

  Catatan

  Layanan tertentu tidak akan berfungsi pada komputer virtual di Subnet Privat tanpa metode keluar eksplisit (contohnya adalah Aktivasi Windows dan Pembaruan Windows).

Menambahkan fitur Subnet privat

• Dari portal Azure, pastikan opsi untuk mengaktifkan subnet Privat dipilih saat membuat subnet sebagai bagian dari pengalaman pembuatan Virtual Network seperti yang ditunjukkan di bawah ini:

• Menggunakan CLI, saat membuat subnet dengan az network vnet subnet create, gunakan --default-outbound opsi dan pilih "false"

• Menggunakan templat Azure Resource Manager, atur nilai defaultOutboundAccess parameter menjadi "false"

Menambahkan metode konektivitas keluar eksplisit

• Kaitkan gateway NAT ke subnet mesin virtual Anda.

• Kaitkan penyeimbang beban standar yang dikonfigurasi dengan aturan keluar.

• Kaitkan IP publik Standar ke salah satu antarmuka jaringan komputer virtual (jika ada beberapa antarmuka jaringan, memiliki satu NIC dengan IP publik standar akan mencegah akses keluar default untuk komputer virtual).

Gunakan mode orkestrasi Fleksibel untuk Virtual Machine Scale Sets

• Set skala fleksibel aman secara default. Setiap instans yang dibuat melalui set skala Fleksibel tidak memiliki IP akses keluar default yang terkait dengannya, sehingga diperlukan metode keluar eksplisit. Untuk informasi selengkapnya, lihat Mode orkestrasi fleksibel untuk Virtual Machine Scale Sets

Penting

Ketika kumpulan backend load balancer dikonfigurasi oleh alamat IP, kumpulan tersebut akan menggunakan akses keluar default karena masalah yang diketahui yang sedang berlangsung. Untuk konfigurasi dan aplikasi yang aman secara default dengan kebutuhan keluar yang menuntut, kaitkan gateway NAT ke VM di kumpulan backend load balancer Anda untuk mengamankan lalu lintas. Lihat selengkapnya tentang masalah yang diketahui yang ada.

Jika saya membutuhkan akses keluar, apa cara yang disarankan?

Gateway NAT adalah pendekatan yang direkomendasikan untuk memiliki konektivitas keluar eksplisit. Firewall juga dapat digunakan untuk menyediakan akses ini.

Kendala

• Konektivitas publik diperlukan untuk Aktivasi Windows dan Pembaruan Windows. Disarankan untuk menyiapkan bentuk eksplisit konektivitas keluar publik.

• IP akses keluar default tidak mendukung paket yang terfragmentasi.

• IP akses keluar default tidak mendukung ping ICMP.

Langkah berikutnya

Untuk informasi selengkapnya tentang koneksi keluar di Azure dan Azure NAT Gateway, lihat:

• Penerjemahan Alamat Jaringan Sumber (SNAT) untuk sambungan keluar.

• Apa itu Azure NAT Gateway?

• Tanya Jawab Umum Azure NAT Gateway