Accesso in uscita predefinito in Azure

In Azure le macchine virtuali create in una rete virtuale senza connettività in uscita esplicita definite vengono assegnate un indirizzo IP pubblico in uscita predefinito. Questo indirizzo IP consente la connettività in uscita dalle risorse a Internet. Questo accesso viene definito accesso in uscita predefinito.

Esempi di connettività in uscita esplicita sono macchine virtuali:

  • Creato all'interno di una subnet associata a un gateway NAT.
  • Nel pool back-end di un servizio di bilanciamento del carico standard con regole in uscita definite.
  • Nel pool back-end del servizio di bilanciamento del carico pubblico di base.
  • Macchine virtuali con indirizzi IP pubblici associati in modo esplicito.

Diagramma delle opzioni in uscita esplicite.

Come viene fornito l'accesso in uscita predefinito?

L'indirizzo IPv4 pubblico usato per l'accesso è denominato IP di accesso in uscita predefinito. Questo INDIRIZZO IP è implicito e appartiene a Microsoft. Questo indirizzo IP è soggetto a modifiche e non è consigliabile dipendere da esso per i carichi di lavoro di produzione.

Quando viene fornito l'accesso in uscita predefinito?

Se si distribuisce una macchina virtuale in Azure e non ha connettività in uscita esplicita, viene assegnato un INDIRIZZO IP di accesso in uscita predefinito.

Diagramma dell'accesso in uscita predefinito.

  • Protezione per impostazione predefinita

    • Non è consigliabile aprire una rete virtuale su Internet per impostazione predefinita usando il principio di sicurezza di rete zero trust.
  • Esplicito e implicito

    • È consigliabile disporre di metodi espliciti di connettività anziché impliciti quando si concede l'accesso alle risorse nella rete virtuale.
  • Perdita dell'indirizzo IP

    • L'INDIRIZZO IP di accesso in uscita predefinito non è di proprietà dei clienti. Questo INDIRIZZO IP è soggetto a modifiche. Qualsiasi dipendenza da questo INDIRIZZO IP potrebbe causare problemi in futuro.

Come è possibile disabilitare l'accesso in uscita predefinito?

Esistono diversi modi per disattivare l'accesso in uscita predefinito:

  1. Aggiungere un metodo di connettività in uscita esplicito

    • Associare un gateway NAT alla subnet della macchina virtuale.

    • Associare un servizio di bilanciamento del carico standard alle regole in uscita configurate.

    • Associare un INDIRIZZO IP pubblico di base all'interfaccia di rete della macchina virtuale (se è presente un'unica interfaccia di rete).

    • Associare un INDIRIZZO IP pubblico Standard a una qualsiasi delle interfacce di rete della macchina virtuale (se sono presenti più interfacce di rete, se sono presenti più interfacce di rete, con un indirizzo IP pubblico Standard impedirà l'accesso in uscita predefinito per la macchina virtuale).

  2. Usare la modalità di orchestrazione flessibile per i set di scalabilità di macchine virtuali.

Importante

Quando un pool back-end è configurato dall'indirizzo IP, userà l'accesso in uscita predefinito a causa di un problema noto in corso. Per proteggere per impostazione predefinita la configurazione e le applicazioni con esigenze in uscita richieste, associare un gateway NAT alle macchine virtuali nel pool back-end del servizio di bilanciamento del carico per proteggere il traffico. Per altre informazioni sui problemi noti esistenti, vedere altre informazioni.

Il gateway NAT è l'approccio consigliato per avere connettività in uscita esplicita. È anche possibile usare un firewall per fornire questo accesso.

Vincoli

  • La connettività potrebbe essere necessaria per Windows Aggiornamenti.

  • L'INDIRIZZO IP di accesso in uscita predefinito non supporta pacchetti frammentati.

Passaggi successivi

Per altre informazioni sulle connessioni in uscita in Azure e Azure Rete virtuale NAT (gateway NAT), vedere: