Accesso in uscita predefinito in Azure
In Azure alle macchine virtuali create in una rete virtuale senza la connettività in uscita esplicita definita viene assegnato un indirizzo IP pubblico in uscita predefinito. Questo indirizzo IP abilita la connettività in uscita dalle risorse a Internet. Questo accesso viene definito accesso in uscita predefinito.
Esempi di connettività in uscita esplicita per le macchine virtuali sono:
Creato all'interno di una subnet associata a un gateway NAT.
Nel pool back-end di un servizio di bilanciamento del carico standard con regole in uscita definite.
Nel pool back-end di un servizio di bilanciamento del carico pubblico di base.
Macchine virtuali con indirizzi IP pubblici associati in modo esplicito.
Come viene fornito l'accesso in uscita predefinito?
L'indirizzo IPv4 pubblico usato per l'accesso è denominato IP di accesso in uscita predefinito. Questo indirizzo IP è implicito e appartiene a Microsoft. Questo indirizzo IP è soggetto a modifiche e non è consigliabile dipendere da esso per i carichi di lavoro di produzione.
Quando viene fornito l'accesso in uscita predefinito?
Se si distribuisce una macchina virtuale in Azure e non si dispone di connettività in uscita esplicita, viene assegnato un indirizzo IP di accesso in uscita predefinito.
Importante
Il 30 settembre 2025 l'accesso in uscita predefinito per le nuove distribuzioni verrà ritirato. Per ulteriori informazioni, consultare l'annuncio ufficiale. È consigliabile usare una delle forme esplicite di connettività descritte nella sezione seguente.
Perché è consigliabile disabilitare l'accesso in uscita predefinito?
Sicurezza per impostazione predefinita
- Non è consigliabile aprire una rete virtuale su Internet per impostazione predefinita usando il principio di sicurezza di rete senza attendibilità.
Esplicito e implicito
- È consigliabile disporre di metodi espliciti di connettività anziché impliciti quando si concede l'accesso alle risorse nella rete virtuale.
Perdita di indirizzo IP
- I clienti non possiedono l'indirizzo IP di accesso in uscita predefinito. Questo indirizzo IP potrebbe cambiare e qualsiasi dipendenza da essa potrebbe causare problemi in futuro.
Alcuni esempi di configurazioni che non funzionano quando si usa l'accesso in uscita predefinito:
- Quando sono presenti più schede di interfaccia di rete nella stessa macchina virtuale, si noti che gli indirizzi IP in uscita predefiniti non saranno coerenti in tutte le schede di interfaccia di rete.
- Quando si aumentano o si abbassano i set di scalabilità di macchine virtuali, gli indirizzi IP in uscita predefiniti assegnati alle singole istanze possono e spesso cambiano.
- Analogamente, gli indirizzi IP in uscita predefiniti non sono coerenti o contigui tra le istanze di vm in un set di scalabilità di macchine virtuali.
Come è possibile eseguire la transizione a un metodo esplicito di connettività pubblica (e disabilitare l'accesso in uscita predefinito)?
Esistono diversi modi per disattivare l'accesso in uscita predefinito. Le sezioni seguenti descrivono le opzioni disponibili.
Importante
La subnet privata è attualmente in anteprima pubblica. Viene fornito senza un contratto di servizio e non è consigliato per i carichi di lavoro di produzione. Alcune funzionalità potrebbero non essere supportate o potrebbero presentare funzionalità limitate. Per altre informazioni, vedere le Condizioni supplementari per l'uso delle anteprime di Microsoft Azure.
Usare il parametro Subnet privata
La creazione di una subnet come Private impedisce alle macchine virtuali nella subnet di usare l'accesso in uscita predefinito per connettersi agli endpoint pubblici.
Il parametro per creare una subnet privata può essere impostato solo durante la creazione di una subnet.
Le macchine virtuali in una subnet privata possono comunque accedere a Internet usando la connettività in uscita esplicita.
Nota
Alcuni servizi non funzioneranno in una macchina virtuale in una subnet privata senza un metodo esplicito di uscita (ad esempio attivazione di Windows e Windows Aggiornamenti).
Aggiungere la funzionalità Subnet privata
- Nel portale di Azure verificare che l'opzione per abilitare La subnet privata sia selezionata durante la creazione di una subnet come parte dell'esperienza di creazione Rete virtuale come illustrato di seguito:
Usando PowerShell, quando si crea una subnet con New-AzVirtualNetworkSubnetConfig, usare l'opzione
DefaultOutboundAccess
e scegliere "$false"Usando l'interfaccia della riga di comando, quando si crea una subnet con az network vnet subnet create, usare l'opzione
--default-outbound
e scegliere "false"Usando un modello di Azure Resource Manager, impostare il valore del
defaultOutboundAccess
parametro su "false"
Limitazioni della subnet privata
Per poter usare per attivare/aggiornare i sistemi operativi delle macchine virtuali, tra cui Windows, è necessario disporre di un metodo di connettività in uscita esplicito.
Le subnet delegate non possono essere contrassegnate come private.
Le subnet esistenti non possono attualmente essere convertite in private.
Nelle configurazioni che usano una route definita dall'utente (UDR) con una route predefinita (0/0) che invia il traffico a un'appliance virtuale di rete/firewall upstream, qualsiasi traffico che ignora questa route (ad esempio a destinazioni con tag di servizio) si interrompe in una subnet privata.
Aggiungere un metodo di connettività in uscita esplicito
Associare un gateway NAT alla subnet della macchina virtuale.
Associare un servizio di bilanciamento del carico standard configurato con le regole in uscita.
Associare un indirizzo IP pubblico Standard a una qualsiasi delle interfacce di rete della macchina virtuale (se sono presenti più interfacce di rete, la presenza di una singola scheda di interfaccia di rete con un indirizzo IP pubblico standard impedisce l'accesso in uscita predefinito per la macchina virtuale).
Usare la modalità di orchestrazione flessibile per set di scalabilità di macchine virtuali
- I set di scalabilità flessibili sono sicuri per impostazione predefinita. A tutte le istanze create tramite set di scalabilità flessibili non è associato l'indirizzo IP di accesso in uscita predefinito, quindi è necessario un metodo in uscita esplicito. Per altre informazioni, vedere Modalità di orchestrazione flessibile per set di scalabilità di macchine virtuali
Importante
Quando un pool back-end del servizio di bilanciamento del carico è configurato dall'indirizzo IP, userà l'accesso in uscita predefinito a causa di un problema noto in corso. Per garantire la sicurezza per impostazione predefinita di configurazione e applicazioni con esigenze in uscita impegnative, associare un gateway NAT alle macchine virtuali nel pool back-end del servizio di bilanciamento del carico per proteggere il traffico. Per altre informazioni sui problemi noti esistenti, vedere altre informazioni.
Se è necessario l'accesso in uscita, qual è il modo consigliato?
Il gateway NAT è l'approccio consigliato per avere connettività in uscita esplicita. È anche possibile usare un firewall per fornire questo accesso.
Vincoli
La connettività pubblica è necessaria per l'attivazione di Windows e Windows Aggiornamenti. È consigliabile configurare una forma esplicita di connettività in uscita pubblica.
L'indirizzo IP di accesso in uscita predefinito non supporta pacchetti frammentati.
L'indirizzo IP di accesso in uscita predefinito non supporta i ping ICMP.
Passaggi successivi
Per altre informazioni sulle connessioni in uscita in Azure e sul gateway NAT di Azure, vedere: