Akses keluar default di Azure
Di Azure, mesin virtual yang dibuat dalam jaringan virtual tanpa penetapan konektivitas keluar eksplisit diberi alamat IP publik keluar default. Alamat IP ini memungkinkan konektivitas keluar dari sumber daya ke internet. Akses ini disebut sebagai akses keluar default.
Contoh konektivitas keluar eksplisit untuk komputer virtual adalah:
Dibuat dalam subnet yang terkait dengan gateway NAT.
Disebarkan di kumpulan backend load balancer standar dengan aturan keluar yang ditentukan.
Disebarkan di kumpulan backend dari load balancer publik dasar.
Mesin virtual dengan alamat IP publik yang secara eksplisit terkait dengannya.
Bagaimana akses keluar default disediakan?
Alamat IPv4 publik yang digunakan untuk akses disebut IP akses keluar default. IP ini bersifat implisit dan milik Microsoft. Alamat IP ini dapat berubah dan tidak disarankan untuk bergantung padanya dalam penggunaan untuk beban kerja produksi.
Kapan akses keluar default disediakan?
Jika Anda menyebarkan mesin virtual di Azure dan tidak memiliki konektivitas keluar eksplisit, itu diberi IP akses keluar default.
Penting
Pada 30 September 2025, akses keluar default untuk penyebaran baru akan dihentikan. Untuk informasi selengkapnya, lihat pengumuman resmi. Kami menyarankan agar Anda menggunakan salah satu bentuk eksplisit konektivitas yang dibahas di bagian berikut.
Mengapa menonaktifkan akses keluar default direkomendasikan?
Aman secara default
- Tidak disarankan untuk membuka jaringan virtual ke internet secara default menggunakan prinsip keamanan jaringan dengan nol kepercayaan.
Eksplisit vs. implisit
- Disarankan untuk memiliki metode konektivitas eksplisit alih-alih implisit saat memberikan akses ke sumber daya di jaringan virtual Anda.
Kehilangan alamat IP
- Pelanggan tidak memiliki IP akses keluar default. IP ini mungkin berubah, dan dependensi apa pun tentang hal itu dapat menyebabkan masalah di masa mendatang.
Beberapa contoh konfigurasi yang tidak akan berfungsi saat menggunakan akses keluar default:
- Ketika Anda memiliki beberapa NIC pada VM yang sama, IP keluar default tidak akan secara konsisten sama di semua NIC.
- Saat meningkatkan/menurunkan skala set Skala Komputer Virtual, IP keluar default yang ditetapkan ke instans individual dapat dan berubah.
- Demikian pula, IP keluar default tidak konsisten atau bersebelahan di seluruh instans VM dalam Virtual Machine Scale Set.
Bagaimana cara beralih ke metode eksplisit konektivitas publik (dan menonaktifkan akses keluar default)?
Ada beberapa cara untuk menonaktifkan akses keluar default. Bagian berikut ini menjelaskan opsi yang tersedia untuk Anda.
Penting
Subnet Privat saat ini dalam pratinjau publik. Ini disediakan tanpa perjanjian tingkat layanan, dan tidak disarankan untuk beban kerja produksi. Fitur tertentu mungkin tidak didukung atau mungkin memiliki kemampuan terbatas. Untuk mengetahui informasi selengkapnya, lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure.
Menggunakan parameter Subnet Privat
Membuat subnet menjadi Privat mencegah komputer virtual apa pun pada subnet menggunakan akses keluar default untuk terhubung ke titik akhir publik.
Parameter untuk membuat subnet Privat hanya dapat diatur selama pembuatan subnet.
VM pada subnet Privat masih dapat mengakses Internet menggunakan konektivitas keluar eksplisit.
Catatan
Layanan tertentu tidak akan berfungsi pada komputer virtual di Subnet Privat tanpa metode keluar yang eksplisit (contohnya adalah Aktivasi Windows dan Pembaruan Windows).
Menambahkan fitur Subnet privat
- Dari portal Azure, pastikan opsi untuk mengaktifkan subnet Privat dipilih saat membuat subnet sebagai bagian dari pengalaman pembuatan Virtual Network seperti yang ditunjukkan di bawah ini:
Menggunakan PowerShell, saat membuat subnet dengan New-AzVirtualNetworkSubnetConfig, gunakan
DefaultOutboundAccess
opsi dan pilih "$false"Menggunakan CLI, saat membuat subnet dengan az network vnet subnet create, gunakan
--default-outbound
opsi dan pilih "false"Menggunakan templat Azure Resource Manager, atur nilai
defaultOutboundAccess
parameter menjadi "false"
Batasan subnet privat
Untuk menggunakan untuk mengaktifkan/memperbarui sistem operasi komputer virtual, termasuk Windows, ini adalah persyaratan untuk memiliki metode konektivitas keluar eksplisit.
Subnet yang didelegasikan tidak dapat ditandai sebagai Privat.
Subnet yang ada saat ini tidak dapat dikonversi ke Privat.
Dalam konfigurasi menggunakan Rute yang Ditentukan Pengguna (UDR) dengan rute default (0/0) yang mengirim lalu lintas ke firewall hulu/appliance virtual jaringan, lalu lintas apa pun yang melewati rute ini (misalnya, ke tujuan Yang Ditandai Layanan) terputus di subnet Privat.
Menambahkan metode konektivitas keluar eksplisit
Kaitkan gateway NAT ke subnet mesin virtual Anda.
Kaitkan penyeimbang beban standar yang dikonfigurasi dengan aturan keluar.
Kaitkan IP publik Standar ke salah satu antarmuka jaringan komputer virtual (jika ada beberapa antarmuka jaringan, memiliki satu NIC dengan IP publik standar akan mencegah akses keluar default untuk komputer virtual).
Gunakan mode orkestrasi Fleksibel untuk Virtual Machine Scale Sets
- Set skala fleksibel aman secara default. Setiap instans yang dibuat melalui set skala Fleksibel tidak memiliki IP akses keluar default yang terkait dengannya, sehingga diperlukan metode keluar eksplisit. Untuk informasi selengkapnya, lihat Mode orkestrasi fleksibel untuk Virtual Machine Scale Sets
Penting
Ketika kumpulan backend load balancer dikonfigurasi oleh alamat IP, kumpulan tersebut akan menggunakan akses keluar default karena masalah yang diketahui yang sedang berlangsung. Untuk konfigurasi dan aplikasi yang aman secara default dengan kebutuhan keluar yang menuntut, kaitkan gateway NAT ke VM di kumpulan backend load balancer Anda untuk mengamankan lalu lintas. Lihat selengkapnya tentang masalah yang diketahui yang ada.
Jika saya membutuhkan akses keluar, apa cara yang disarankan?
Gateway NAT adalah pendekatan yang direkomendasikan untuk memiliki konektivitas keluar eksplisit. Firewall juga dapat digunakan untuk menyediakan akses ini.
Kendala
Konektivitas publik diperlukan untuk Aktivasi Windows dan Pembaruan Windows. Disarankan untuk menyiapkan bentuk eksplisit konektivitas keluar publik.
IP akses keluar default tidak mendukung paket yang terfragmentasi.
IP akses keluar default tidak mendukung ping ICMP.
Langkah berikutnya
Untuk informasi selengkapnya tentang koneksi keluar di Azure dan Azure NAT Gateway, lihat: