Azure의 기본 아웃 바운드 액세스

Azure에서 명시적으로 정의된 아웃바운드 연결 방법 없이 가상 네트워크에 VM(가상 머신)을 배포하는 경우 Azure는 자동으로 아웃바운드 공용 IP 주소를 할당합니다. 이 IP 주소를 사용하면 리소스에서 인터넷 및 Microsoft 내의 다른 퍼블릭 엔드포인트로의 아웃바운드 연결을 사용할 수 있습니다. 이 액세스를 기본 아웃 바운드 액세스라고 합니다.

가상 머신에 대한 명시적 아웃바운드 연결의 예는 다음과 같습니다.

• NAT 게이트웨이에 연결된 서브넷에 배포됩니다.
• 아웃바운드 규칙이 정의된 표준 부하 분산 장치의 백 엔드 풀에 배포됩니다.
• 기본 공용 부하 분산 장치의 백 엔드 풀에 배포됩니다.
• 공용 IP 주소가 명시적으로 연결된 가상 머신.

기본 아웃바운드 액세스가 제공되는 방법 및 시기

명시적 아웃바운드 연결 방법 없이 VM(Virtual Machine)을 배포하는 경우 Azure는 기본 아웃바운드 공용 IP 주소를 할당합니다. 기본 아웃바운드 액세스 IP라고 하는 이 IP는 Microsoft가 소유하고 있으며 예고 없이 변경할 수 있습니다. 프로덕션 워크로드에는 권장되지 않습니다.

참고

NAT Gateway 또는 NVA/방화벽으로 트래픽을 전송하는 UDR과 같은 명시적 아웃바운드 메서드가 구성된 경우에도 기본 아웃바운드 IP는 계속 프라이빗이 아닌 서브넷의 가상 머신에 할당됩니다. 이러한 명시적 메서드를 제거하지 않는 한 기본 아웃바운드 IP가 송신에 사용되는 것은 아닙니다. 기본 아웃바운드 IP를 완전히 제거하려면 서브넷을 프라이빗으로 설정해야 하며 가상 머신을 중지하고 할당을 취소해야 합니다.

중요

2026년 3월 31일 이후 새 가상 네트워크는 기본적으로 프라이빗 서브넷을 사용합니다. 즉, 인터넷 및 Microsoft 내에서 퍼블릭 엔드포인트에 연결하려면 명시적 아웃바운드 메서드를 사용하도록 설정해야 합니다. 자세한 내용은 공식 공지를 참조하세요. 다음 섹션에서 설명하는 명시적 연결 형식 중 하나를 사용하는 것이 좋습니다. 다른 질문은 "FAQ: 프라이빗 서브넷의 기본 동작 변경" 섹션을 참조하세요.

기본 아웃바운드 액세스를 사용하지 않도록 설정하는 것이 권장되는 이유는 무엇인가요?

보안: 기본 인터넷 액세스는 제로 트러스트 원칙과 모순됩니다.
명확성: 명시적 연결은 암시적 액세스보다 선호됩니다.
안정성: 기본 아웃바운드 IP는 고객 소유가 아니며 변경될 수 있으므로 잠재적인 중단이 발생할 수 있습니다.

기본 아웃바운드 액세스를 사용할 때 작동하지 않는 구성의 몇 가지 예는 다음과 같습니다.

• VM의 여러 NIC는 일관되지 않은 아웃바운드 IP를 생성할 수 있습니다.
• Azure Virtual Machine Scale Sets의 크기를 조정하면 아웃바운드 IP가 변경될 수 있습니다.
• 아웃바운드 IP가 Virtual Machine Scale Set 인스턴스 간에 일관되거나 연속되지 않음

또한 다음 작업도 수행해야 합니다.

• 기본 아웃바운드 액세스 IP는 조각화된 패킷을 지원하지 않습니다.
• 기본 아웃바운드 액세스 IP는 ICMP ping을 지원하지 않습니다.

퍼블릭 연결의 명시적 방법으로 전환하고 기본 아웃바운드 액세스를 사용하지 않도록 설정하려면 어떻게 해야 하나요?

프라이빗 서브넷 개요

• 프라이빗으로 서브넷을 만들면 서브넷의 모든 가상 머신이 기본 아웃바운드 액세스를 활용하여 공개 끝점에 연결할 수 없습니다.
• 프라이빗 서브넷의 VM은 명시적 아웃바운드 연결을 사용하여 인터넷(또는 Microsoft 내의 모든 퍼블릭 엔드포인트)에 계속 액세스할 수 있습니다.

  참고

  특정 서비스는 명시적 송신 방법이 없는 프라이빗 서브넷의 가상 머신에서 작동하지 않습니다(예: Windows 정품 인증 및 Windows 업데이트).

프라이빗 서브넷을 구성하는 방법

• Azure Portal에서 서브넷을 선택하고 확인란을 선택하여 다음과 같이 프라이빗 서브넷을 사용하도록 설정합니다.

• 다음 스크립트는 PowerShell을 사용하여 리소스 그룹 및 Virtual Network의 이름을 사용하고 각 서브넷을 반복하여 프라이빗 서브넷을 사용하도록 설정합니다.

$resourceGroupName = ""
$vnetName = ""
 
$vnet = Get-AzVirtualNetwork -ResourceGroupName $resourceGroupName -Name $vnetName
 
foreach ($subnet in $vnet.Subnets) {
    if ($subnet.DefaultOutboundAccess -eq $null) {
        $subnet.DefaultOutboundAccess = $false
        Write-Output "Set 'defaultoutboundaccess' to \$false for subnet: $($subnet.Name)"
    } 
    elseif ($subnet.DefaultOutboundAccess -eq $false) {
        # Output message if the value is already $false
        Write-Output "already private for subnet: $($subnet.Name)"
    }
}
Set-AzVirtualNetwork -VirtualNetwork $vnet

• CLI를 사용하여 az network vnet 서브넷 업데이트로 서브넷을 업데이트 하고 "false"로 설정합니다 --default-outbound .

az network vnet subnet update --resource-group rgname --name subnetname --vnet-name vnetname --default-outbound false

• Azure Resource Manager 템플릿을 사용하여 defaultOutboundAccess 매개 변수 값을 "false"로 설정합니다.

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vnetName": {
      "type": "string",
      "defaultValue": "testvm-vnet"
    },
    "subnetName": {
      "type": "string",
      "defaultValue": "default"
    },
    "subnetPrefix": {
      "type": "string",
      "defaultValue": "10.1.0.0/24"
    },
    "vnetAddressPrefix": {
      "type": "string",
      "defaultValue": "10.1.0.0/16"
    }
  },
  "resources": [
    {
      "type": "Microsoft.Network/virtualNetworks",
      "apiVersion": "2023-11-01",
      "name": "[parameters('vnetName')]",
      "location": "westus2",
      "properties": {
        "addressSpace": {
          "addressPrefixes": [
            "[parameters('vnetAddressPrefix')]"
          ]
        },
        "subnets": [
          {
            "name": "[parameters('subnetName')]",
            "properties": {
              "addressPrefix": "[parameters('subnetPrefix')]",
              "defaultoutboundaccess": false
            }
          }
        ]
      }
    }
  ]
}

프라이빗 서브넷의 제한 사항

• Windows와 같은 가상 머신 운영 체제를 활성화하거나 업데이트하려면 명시적 아웃바운드 연결 방법이 필요합니다.

• UDR(사용자 정의 경로)를 사용하는 구성을 할 때, 프라이빗 서브넷에서는 다음 홉 유형 Internet을 가진 구성된 경로가 어떤 것이든 중단될 수 있습니다.

  • 일반적인 예는 UDR을 사용하여 업스트림 네트워크 가상 어플라이언스/방화벽으로 트래픽을 조정하는 것이며, 특정 Azure 서비스 태그가 검사를 우회하는 경우는 예외입니다. 이 작업은 다음 홉 형식 Internet으로 이러한 서비스 태그에 대한 경로를 구성하여 수행됩니다. 이 시나리오에서는 다음을 구성합니다.

    • 일반적인 경우 대상 0.0.0.0/0에 대한 기본 경로와 다음 홉 형식이 가상 어플라이언스가 적용됩니다.

    • NVA/방화벽을 우회하기 위해 서비스 태그 대상까지의 경로가 Internet 다음 홉 형식으로 하나 이상 구성됩니다. 이러한 대상에 대한 연결 원본에 대해 명시적 아웃바운드 연결 방법도 구성되지 않는 한, 프라이빗 서브넷에서 기본적으로 기본 아웃바운드 액세스를 사용할 수 없으므로 이러한 대상에 대한 연결 시도가 실패합니다.

  • 이 제한은 다른 다음 홉 형식 VirtualNetworkServiceEndpoint을 사용하는 서비스 엔드포인트의 사용에는 적용되지 않습니다. Virtual Network 서비스 엔드포인트를 참조하세요.

• 가상 머신은 명시적 아웃바운드 방법 없이 프라이빗 서브넷의 동일한 지역에 있는 Azure Storage 계정에 계속 액세스할 수 있습니다. NSG는 송신 연결을 제어하는 것이 좋습니다.

• 프라이빗 서브넷은 PaaS 서비스를 호스팅하는 데 사용되는 위임되거나 관리되는 서브넷에는 적용되지 않습니다. 이러한 시나리오에서 아웃바운드 연결은 개별 서비스에서 관리됩니다.

중요

부하 분산 장치 백 엔드 풀이 IP 주소로 구성된 경우 지속적인 알려진 문제로 인해 기본 아웃바운드 액세스를 사용합니다. 기본적으로 안전한 구성 및 까다로운 아웃바운드 요구 사항이 있는 애플리케이션의 경우 부하 분산 장치의 백 엔드 풀에 있는 VM에 NAT 게이트웨이를 연결하여 트래픽을 보호합니다. 기존 알려진 문제에 대한 자세한 내용을 참조하세요.

명시적 아웃바운드 메서드 추가

• NAT 게이트웨이를 가상 머신의 서브넷에 연결합니다. 대부분의 시나리오에 권장되는 방법입니다.
• 아웃바운드 규칙과 구성된 표준 부하 분산 장치를 연결합니다.
• 표준 공용 IP를 가상 머신의 네트워크 인터페이스에 연결합니다.
• 방화벽 또는 NVA(네트워크 가상 어플라이언스)를 가상 네트워크에 추가하고 UDR(사용자 정의 경로)을 사용하여 트래픽을 가리킵니다.

Virtual Machine Scale Sets에 유연한 오케스트레이션 모드 사용

• 유연한 확장 집합은 기본적으로 안전합니다. 유연한 확장 집합을 통해 만든 인스턴스에는 연결된 기본 아웃바운드 액세스 IP가 없으므로 명시적 아웃바운드 메서드가 필요합니다. 자세한 내용은 Virtual Machine Scale Sets에 대한 유연한 오케스트레이션 모드를 참조하세요.

FAQ: 기본 아웃바운드 IP 경고 지우기

VM에 기본 아웃바운드 IP가 있는 것을 보여 주는 경고가 표시되는 이유는 무엇인가요?

기본 아웃바운드 IP가 VM/Virtual Machine Scale Set 인스턴스에 할당되는지 추적하는 NIC 수준 매개 변수(defaultOutboundConnectivityEnabled)가 있습니다. Azure 포털 배너는 VM/Virtual Scale Set의 해당 상태를 나타내기 위해 생성됩니다. 구독에 대한 이 정보가 포함된 특정 Azure Advisor 권장 사항도 있습니다. 가상 머신 또는 Virtual Machine Scale Sets에 할당된 기본 아웃바운드 IP를 보려면 다음 단계를 수행합니다.

1. Azure Portal의 검색 창에 'Advisor'를 입력한 다음, 이 옵션이 나타나면 선택합니다.
2. '운영 우수성'을 선택합니다.
3. '기본 아웃바운드를 사용하지 않도록 명시적 아웃바운드 메서드 추가' 및/또는 'Virtual Machine Scale Sets에 대한 기본 아웃바운드를 사용하지 않도록 명시적 아웃바운드 메서드 추가' 권장 사항을 찾습니다(이 두 항목은 서로 다른 항목임).
4. 이러한 항목 중 하나가 있는 경우 해당 권장 사항 이름을 선택하면 기본 아웃바운드를 사용하도록 설정된 모든 가상 마크네스/Virtual Machine Scale Set 인스턴스의 NIC(네트워크 인터페이스 카드)가 표시됩니다.

이 경고는 어떻게 지울 수 있나요?

1. 표시된 VM/Virtual Machine Scale Set에 대해 명시적인 아웃바운드 방법을 사용해야 합니다. 다양한 옵션은 위의 섹션을 참조하세요.
2. 새 기본 아웃바운드 IP가 만들어지지 않도록 서브넷을 프라이빗으로 설정해야 합니다.
3. 플래그가 있는 서브넷의 적용 가능한 가상 머신은 변경 내용을 NIC 수준 매개 변수에 반영하고 플래그를 지우려면 중지하고 할당을 취소해야 합니다. (반대로도 마찬가지입니다. 서브넷 수준 매개 변수를 false로 설정한 후 머신에 기본 아웃바운드 IP가 제공되려면 가상 머신의 중지/할당 취소가 필요합니다.)

이미 아웃바운드의 명시적 방법을 사용하고 있는데 이 경고가 여전히 표시되는 이유는 무엇인가요?

NAT Gateway 또는 NVA/방화벽으로 트래픽을 전송하는 UDR과 같은 명시적 아웃바운드 메서드가 구성된 경우에도 기본 아웃바운드 IP는 계속 프라이빗이 아닌 서브넷의 가상 머신에 할당됩니다. 이러한 명시적 메서드를 제거하지 않는 한 기본 아웃바운드 IP가 송신에 사용되는 것은 아닙니다. 기본 아웃바운드 IP를 완전히 제거하고 경고를 제거하려면(그리고 경고를 제거하려면) 서브넷을 프라이빗으로 설정해야 하며 가상 머신을 중지하고 할당을 취소해야 합니다.

FAQ: 프라이빗 서브넷에 대한 기본 동작 변경

프라이빗 서브넷을 기본값으로 만드는 것은 무엇을 의미하며 어떻게 구현되나요?

2026년 3월 31일 이후에 릴리스된 API 버전을 사용하면 새 VNET의 서브넷에 대한 defaultOutboundAccess 속성이 기본적으로 "false"로 설정됩니다. 이 변경은 서브넷을 기본적으로 프라이빗으로 만들고 해당 서브넷의 가상 머신에 대한 기본 아웃바운드 IP 생성을 방지합니다. 이 동작은 ARM 템플릿, Azure Portal, PowerShell 및 CLI와 같은 모든 구성 방법에 적용됩니다. 이전 버전의 ARM 템플릿(또는 이전 버전을 지정할 수 있는 Terraform과 같은 도구)은 계속 defaultOutboundAccess를 null로 설정하여 아웃바운드 액세스를 암시적으로 허용합니다.

기존 VNET 및 가상 머신은 어떻게 되나요? 기존 VNET에서 만든 새 가상 머신은 어떤가요?

기존 VNET은 변경되지 않습니다. 즉, 서브넷이 프라이빗이 되도록 수동으로 수정하지 않는 한 기존 가상 머신과 이러한 VNET에서 새로 만든 가상 머신은 모두 기본 아웃바운드 IP 주소를 계속 생성합니다.

새 가상 네트워크 배포는 어떤가요? 내 인프라는 기본 아웃바운드 IP에 대한 종속성을 가지며 현재 프라이빗 서브넷으로 이동할 준비가 되지 않았습니다.

여전히 지원되는 방법(ARM 템플릿, 포털, CLI, PowerShell)을 사용하여 서브넷을 프라이빗이 아닌 것으로 구성할 수 있습니다. 이렇게 하면 기본 아웃바운드 IP를 사용하고 아직 프라이빗 서브넷으로 전환할 준비가 되지 않은 인프라에 대한 호환성이 보장됩니다.

다음 단계

Azure의 아웃바운드 연결에 대한 자세한 내용은 다음을 참조하세요.

• 아웃바운드 연결을 위한 SNAT.

• Azure NAT Gateway란?