Akses keluar default di Azure

Di Azure, saat Anda menyebarkan komputer virtual (VM) di jaringan virtual tanpa metode konektivitas keluar yang ditentukan secara eksplisit, Azure secara otomatis menetapkan alamat IP publik keluar. Alamat IP ini memungkinkan konektivitas keluar dari sumber daya ke internet dan ke titik akhir publik lainnya dalam Microsoft. Akses ini disebut sebagai akses keluar default.

Contoh konektivitas keluar eksplisit untuk komputer virtual adalah:

• Disebarkan di subnet yang terkait dengan gateway NAT.
• Diterapkan di kumpulan backend dari load balancer standar dengan aturan keluaran yang telah ditetapkan.
• Disebarkan di kumpulan server belakang dari penyeimbang beban publik dasar.
• Mesin virtual dengan alamat IP publik yang secara eksplisit terkait dengannya.

Bagaimana dan kapan akses keluar default disediakan

Jika Komputer Virtual (VM) disebarkan tanpa metode konektivitas keluar eksplisit, Azure menetapkannya sebagai alamat IP publik keluar default. IP ini, yang dikenal sebagai IP akses keluar default, dimiliki oleh Microsoft dan dapat berubah tanpa pemberitahuan. Selain itu, konektivitas keluar default bergantung pada perilaku platform implisit dan dapat dipengaruhi oleh perubahan tingkat platform. Untuk skenario yang memerlukan perilaku keluar deterministik, sebaiknya gunakan konfigurasi eksplisit.

Catatan

Dalam beberapa kasus, IP keluar default masih ditetapkan ke komputer virtual dalam subnet nonprivat, bahkan ketika metode keluar eksplisit—seperti NAT Gateway atau UDR yang mengarahkan lalu lintas ke NVA/firewall—dikonfigurasi. Ini tidak berarti IP keluar default digunakan untuk keluar kecuali metode eksplisit tersebut dihapus. Untuk menghapus IP keluar baku sepenuhnya, subnet harus dikonfigurasi sebagai privat, dan komputer virtual harus dimatikan dan dialokasikan kembali.

Penting

Untuk API yang dirilis setelah 31 Maret 2026, jaringan virtual baru default menggunakan subnet privat, yang berarti bahwa metode keluar eksplisit harus diaktifkan untuk menjangkau titik akhir publik di internet dan dalam Microsoft. Untuk informasi selengkapnya, lihat pengumuman resmi. Kami menyarankan agar Anda menggunakan salah satu bentuk eksplisit konektivitas yang dibahas di bagian berikut. Untuk pertanyaan lain, lihat bagian "FAQ: Perubahan Perilaku Default ke Subnet Privat".

Mengapa menonaktifkan akses keluar default direkomendasikan?

Keamanan: Akses internet default bertentangan dengan prinsip Zero Trust.
Kejelasan: Konektivitas eksplisit lebih disukai daripada akses implisit.
Stabilitas: IP keluar default tidak dimiliki pelanggan dan dapat berubah; pembaruan layanan juga dapat memengaruhi perilaku keluar default, yang keduanya dapat menyebabkan gangguan.

Beberapa contoh konfigurasi yang tidak berfungsi saat menggunakan akses keluar default:

• Beberapa NIC pada VM dapat menghasilkan IP keluar yang tidak konsisten
• Proses penskalaan Azure Virtual Machine Scale Sets dapat mengakibatkan perubahan IP keluar
• IP keluar tidak konsisten atau bersebelah di seluruh instans Virtual Machine Scale Set

Selain itu,

• IP akses keluar default tidak mendukung paket terfragmentasi
• IP akses keluar default tidak mendukung ping ICMP

Bagaimana cara beralih ke metode eksplisit konektivitas publik (dan menonaktifkan akses keluar default)?

Gambaran umum subnet privat

• Membuat subnet menjadi Privat mencegah komputer virtual apa pun pada subnet menggunakan akses keluar default untuk terhubung ke titik akhir publik.
• VM pada subnet Privat masih dapat mengakses internet (atau titik akhir publik apa pun dalam Microsoft) menggunakan konektivitas keluar eksplisit.

  Catatan

  Layanan tertentu tidak berfungsi pada komputer virtual dalam subnet privat tanpa metode keluar yang eksplisit (contohnya adalah Aktivasi Windows dan Pembaruan Windows).

Cara mengonfigurasi subnet pribadi

Portal

Langkah-langkah konfigurasi manual di portal Microsoft Azure (tanpa wizard)

1. Buka portal Azure.
2. Buka Jaringan virtual.
3. Pilih jaringan virtual yang berisi subnet yang ingin Anda ubah.
4. Di menu sebelah kiri, pilih Subnet.
5. Pilih subnet yang ingin Anda jadikan privat.
6. Temukan pengaturan Akses keluar bawaan.
7. Atur Akses keluar default ke Dinonaktifkan.
8. Pilih Simpan.

Ini secara eksplisit mengatur properti subnet:

defaultOutboundAccess = false

yang mencegah Azure menetapkan IP publik keluar default ke mesin virtual di subnet ini.

PowerShell

Skrip berikut mengambil nama Grup Sumber Daya dan Jaringan Virtual dan melakukan perulangan pada setiap subnet untuk mengaktifkan subnet pribadi.

$resourceGroupName = ""
$vnetName = ""
 
$vnet = Get-AzVirtualNetwork -ResourceGroupName $resourceGroupName -Name $vnetName
 
foreach ($subnet in $vnet.Subnets) {
    if ($subnet.DefaultOutboundAccess -eq $null) {
        $subnet.DefaultOutboundAccess = $false
        Write-Output "Set 'defaultoutboundaccess' to \$false for subnet: $($subnet.Name)"
    } 
    elseif ($subnet.DefaultOutboundAccess -eq $false) {
        # Output message if the value is already $false
        Write-Output "already private for subnet: $($subnet.Name)"
    }
}
Set-AzVirtualNetwork -VirtualNetwork $vnet

Azure CLI

Perbarui subnet dengan az network vnet subnet update dan atur --default-outbound menjadi "false"

az network vnet subnet update --resource-group rgname --name subnetname --vnet-name vnetname --default-outbound false

Templat ARM

Atur nilai defaultOutboundAccess parameter menjadi "false"

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vnetName": {
      "type": "string",
      "defaultValue": "testvm-vnet"
    },
    "subnetName": {
      "type": "string",
      "defaultValue": "default"
    },
    "subnetPrefix": {
      "type": "string",
      "defaultValue": "10.1.0.0/24"
    },
    "vnetAddressPrefix": {
      "type": "string",
      "defaultValue": "10.1.0.0/16"
    }
  },
  "resources": [
    {
      "type": "Microsoft.Network/virtualNetworks",
      "apiVersion": "2023-11-01",
      "name": "[parameters('vnetName')]",
      "location": "westus2",
      "properties": {
        "addressSpace": {
          "addressPrefixes": [
            "[parameters('vnetAddressPrefix')]"
          ]
        },
        "subnets": [
          {
            "name": "[parameters('subnetName')]",
            "properties": {
              "addressPrefix": "[parameters('subnetPrefix')]",
              "defaultoutboundaccess": false
            }
          }
        ]
      }
    }
  ]
}

Penting

Mesin virtual yang ada harus dihentikan dan dialokasikan ulang agar perubahan subnet (baik dari non-privat ke privat, atau sebaliknya) berlaku pada antarmuka jaringan mereka.

Pembatasan subnet privat

• Untuk mengaktifkan atau memperbarui sistem operasi komputer virtual, seperti Windows, diperlukan metode konektivitas keluar eksplisit.

• Dalam konfigurasi yang menggunakan Rute yang Ditentukan Pengguna (UDR), setiap rute yang dikonfigurasi dengan jenis hop berikutnya akan mengalami gangguan fungsi di subnet privat.

  • Contoh umumnya adalah penggunaan UDR untuk mengarahkan lalu lintas ke virtual appliance/firewall jaringan hulu, dengan pengecualian untuk beberapa Tag Layanan Azure tertentu agar dapat melewati inspeksi. Ini dilakukan dengan mengonfigurasi rute ke Tag Layanan ini dengan jenis Internethop berikutnya . Dalam skenario ini, Anda mengonfigurasi hal berikut:

    • Rute default untuk tujuan 0.0.0.0/0, dengan jenis hop Virtual Appliance berikutnya berlaku secara umum.

    • Satu atau beberapa rute dikonfigurasi ke tujuan Tag Layanan dengan jenis hop berikutnya Internet, untuk menghindari NVA/firewall. Kecuali metode konektivitas keluar eksplisit juga dikonfigurasi untuk sumber koneksi ke tujuan ini, upaya untuk menyambungkan ke tujuan ini gagal, karena akses keluar default tidak tersedia secara default di subnet Privat.

  • Batasan ini tidak berlaku untuk penggunaan Titik Akhir Layanan, yang menggunakan tipe hop berikutnya yang berbeda VirtualNetworkServiceEndpoint. Lihat Titik akhir layanan Virtual Network.

• Komputer virtual masih dapat mengakses akun Azure Storage di wilayah yang sama di subnet privat tanpa metode keluar yang eksplisit. NSG disarankan untuk mengontrol konektivitas keluar.

• Subnet privat tidak berlaku untuk subnet yang didelegasikan atau dikelola yang digunakan untuk menghosting layanan PaaS. Dalam skenario ini, konektivitas keluar dikelola oleh layanan individual. Silakan merujuk ke dokumentasi khusus layanan untuk informasi lebih lanjut.

Penting

Ketika kumpulan backend load balancer dikonfigurasi oleh alamat IP, kumpulan tersebut menggunakan akses keluar default karena masalah yang diketahui yang sedang berlangsung. Untuk konfigurasi yang aman secara default dan aplikasi dengan kebutuhan keluar yang tinggi, kaitkan gateway NAT ke VM di kumpulan backend load balancer Anda untuk mengamankan lalu lintas. Lihat lebih lanjut mengenai masalah yang diketahui.

Menambahkan metode keluar eksplisit

• Kaitkan gateway NAT ke subnet mesin virtual Anda. Perhatikan bahwa ini adalah metode yang direkomendasikan untuk sebagian besar skenario.
• Kaitkan penyeimbang beban standar yang dikonfigurasi dengan aturan aliran keluar.
• Kaitkan IP publik Standar ke salah satu antarmuka jaringan komputer virtual.
• Tambahkan Firewall atau Network Virtual Appliance (NVA) ke jaringan virtual Anda dan arahkan lalu lintas ke sana menggunakan User Defined Route (UDR).

Gunakan mode orkestrasi fleksibel untuk Virtual Machine Scale Sets

• Set skala fleksibel aman secara default. Setiap instans yang dibuat melalui set skala Fleksibel tidak memiliki IP akses keluar default yang terkait dengannya, sehingga diperlukan metode keluar eksplisit. Untuk informasi selengkapnya, lihat Mode orkestrasi fleksibel untuk Virtual Machine Scale Sets

FAQ: Menghapus Pemberitahuan IP Keluar Default

Mengapa saya melihat pemberitahuan yang menunjukkan bahwa saya memiliki IP keluar default di VM saya?

Ada parameter tingkat NIC (defaultOutboundConnectivityEnabled) yang melacak apakah IP keluar default dialokasikan ke instans VM/Virtual Machine Scale Set. Ini digunakan untuk menghasilkan banner portal Microsoft Azure untuk VM/Virtual Machine Scale Set yang menandai status ini. Ada juga rekomendasi Azure Advisor tertentu dengan informasi ini untuk langganan Anda. Jika Anda ingin melihat komputer virtual atau Virtual Machine Scale Set mana yang memiliki IP keluar default yang ditetapkan, ikuti langkah-langkah berikut:

1. Ketik 'Advisor' ke bilah pencarian di portal Microsoft Azure lalu pilih opsi ini saat muncul.
2. Pilih 'Keunggulan Operasional'
3. Cari rekomendasi 'Tambahkan metode keluar khusus untuk menonaktifkan pengaturan keluar default' dan/atau 'Tambahkan metode keluar khusus untuk menonaktifkan pengaturan keluar default untuk "Virtual Machine Scale Sets"' (perhatikan ini adalah dua item yang berbeda)
4. Jika salah satu dari ini ada, pilih nama rekomendasi masing-masing dan Anda akan melihat kartu antarmuka jaringan (NIC) dari semua instans mesin virtual/Virtual Machine Scale Set yang memiliki outbound default diaktifkan.

Bagaimana cara menghapus pemberitahuan ini?

1. Metode eksplisit keluaran perlu diterapkan pada VM/Virtual Machine Scale Set yang ditandai. Lihat bagian di atas untuk opsi yang berbeda.
2. Subnet harus dibuat privat untuk mencegah alamat IP keluar default baru dibuat.
3. Setiap mesin virtual yang berlaku di subnet dengan penanda harus dihentikan dan dialokasi ulang agar perubahan diterapkan dalam parameter tingkat NIC dan penanda dihapus. (Perhatikan bahwa ini juga berlaku secara terbalik; agar mesin diberikan IP keluar default setelah parameter tingkat subnet diatur ke false, penghentian/pembatalan alokasi mesin virtual diperlukan.)

Saya sudah menggunakan metode eksplisit untuk keluar, jadi mengapa saya masih melihat notifikasi ini?

Dalam beberapa kasus, IP keluar default masih ditetapkan ke komputer virtual dalam subnet nonprivat, bahkan ketika metode keluar eksplisit—seperti NAT Gateway atau UDR yang mengarahkan lalu lintas ke NVA/firewall—dikonfigurasi. Ini tidak berarti IP keluar default digunakan untuk keluar kecuali metode eksplisit tersebut dihapus. Untuk menghapus alamat IP keluar bawaan sepenuhnya (dan menghapus peringatan), subnet harus dibuat privat, dan komputer virtual harus dihentikan dan dialokasikan ulang.

FAQ: Perubahan Perilaku Default ke Subnet Privat

Apa arti menjadikan subnet privat sebagai default, dan bagaimana ini akan diterapkan?

Dalam versi API yang dirilis setelah 31 Maret 2026, properti defaultOutboundAccess untuk subnet di VNET baru akan diatur ke "false" secara default. Perubahan ini membuat subnet privat secara default dan mencegah pembuatan IP keluar default untuk komputer virtual di subnet tersebut. (Portal Microsoft Azure secara default mengatur subnet sebagai privat.) Perilaku ini berlaku pada semua metode konfigurasi lainnya--template ARM, PowerShell, dan CLI. Versi templat ARM yang lebih lama (atau alat seperti Terraform yang dapat menentukan versi yang lebih lama) akan terus mengatur defaultOutboundAccess sebagai null, yang secara implisit memungkinkan akses keluar.

Apa yang terjadi pada VNET dan komputer virtual saya yang ada? Bagaimana dengan komputer virtual baru yang dibuat di VNET yang ada?

Tidak ada perubahan yang dilakukan pada VNET yang ada. Ini berarti bahwa komputer virtual yang ada dan komputer virtual yang baru dibuat di VNET ini terus menghasilkan alamat IP keluar default kecuali subnet dimodifikasi secara manual untuk menjadi privat.

Bagaimana dengan penyebaran jaringan virtual baru? Infrastruktur saya memiliki dependensi pada IP keluar default dan belum siap untuk pindah ke subnet privat saat ini.

Anda masih dapat mengonfigurasi subnet sebagai nonprivate menggunakan metode yang didukung (templat ARM, portal, CLI, PowerShell). Ini memastikan kompatibilitas untuk infrastruktur yang mengandalkan IP keluar default dan belum siap untuk bertransisi ke subnet privat. Harap dicatat jika Anda sudah mengaktifkan subnet privat dan ingin kembali mentransisikan ke penggunaan outbound default untuk mesin virtual, Anda harus memodifikasi subnet agar tidak privat lalu melakukan stop/deallocate pada mesin virtual.

Langkah berikutnya

Untuk informasi selengkapnya tentang koneksi keluar di Azure, lihat:

• Translasi Alamat Sumber Jaringan (SNAT) untuk sambungan keluar.

• Apa itu Azure NAT Gateway?