Domyślny dostęp wychodzący na platformie Azure

Na platformie Azure maszyny wirtualne utworzone w sieci wirtualnej bez jawnej zdefiniowanej łączności wychodzącej są przypisane do domyślnego wychodzącego publicznego adresu IP. Ten adres IP umożliwia łączność wychodzącą z zasobów do Internetu. Ten dostęp jest określany jako domyślny dostęp wychodzący.

Przykłady jawnej łączności wychodzącej dla maszyn wirtualnych to:

• Utworzono w podsieci skojarzonej z bramą translatora adresów sieciowych.

• W puli zaplecza standardowego modułu równoważenia obciążenia ze zdefiniowanymi regułami ruchu wychodzącego.

• W puli zaplecza podstawowego publicznego modułu równoważenia obciążenia.

• Maszyny wirtualne z publicznymi adresami IP są jawnie skojarzone z nimi.

W jaki sposób jest udostępniany domyślny dostęp wychodzący?

Publiczny adres IPv4 używany do uzyskiwania dostępu jest nazywany domyślnym adresem IP dostępu wychodzącego. Ten adres IP jest niejawny i należy do firmy Microsoft. Ten adres IP podlega zmianie i nie zaleca się od niego zależeć od obciążeń produkcyjnych.

Kiedy jest udostępniany domyślny dostęp wychodzący?

Jeśli wdrażasz maszynę wirtualną na platformie Azure i nie ma jawnej łączności wychodzącej, zostanie przypisany domyślny adres IP dostępu wychodzącego.

Ważne

30 września 2025 r. zostanie wycofany domyślny dostęp wychodzący dla nowych wdrożeń. Więcej informacji znajdziesz w oficjalnym ogłoszeniu. Zalecamy użycie jednej z jawnych form łączności omówionej w poniższej sekcji.

Dlaczego zalecane jest wyłączenie domyślnego dostępu wychodzącego?

• Zabezpieczenie domyślne

  • Nie zaleca się domyślnie otwierania sieci wirtualnej z Internetem przy użyciu zasady zabezpieczeń sieci zerowej zaufania.

• Jawne a niejawne

  • Zaleca się używanie jawnych metod łączności zamiast niejawnych podczas udzielania dostępu do zasobów w sieci wirtualnej.

• Utrata adresu IP

  • Klienci nie są właścicielami domyślnego adresu IP dostępu wychodzącego. Ten adres IP może ulec zmianie, a każda zależność od niego może spowodować problemy w przyszłości.

Niektóre przykłady konfiguracji, które nie będą działać podczas korzystania z domyślnego dostępu wychodzącego:

• Jeśli masz wiele kart sieciowych na tej samej maszynie wirtualnej, pamiętaj, że domyślne adresy IP ruchu wychodzącego nie będą stale takie same we wszystkich kartach sieciowych.
• Podczas skalowania w górę/w dół zestawów skalowania maszyn wirtualnych domyślne adresy IP ruchu wychodzącego przypisane do poszczególnych wystąpień mogą i często się zmieniają.
• Podobnie domyślne adresy IP ruchu wychodzącego nie są spójne ani ciągłe w wystąpieniach maszyn wirtualnych w zestawie skalowania maszyn wirtualnych.

Jak mogę przejść do jawnej metody łączności publicznej (i wyłączyć domyślny dostęp wychodzący)?

Istnieje wiele sposobów wyłączania domyślnego dostępu wychodzącego. W poniższych sekcjach opisano dostępne opcje.

Ważne

Podsieć prywatna jest obecnie dostępna w publicznej wersji zapoznawczej. Jest on dostarczany bez umowy dotyczącej poziomu usług i nie jest zalecany w przypadku obciążeń produkcyjnych. Niektóre funkcje mogą być nieobsługiwane lub ograniczone. Aby uzyskać więcej informacji, zobacz Uzupełniające warunki korzystania z wersji zapoznawczych platformy Microsoft Azure.

Korzystanie z parametru Podsieci prywatnej

• Utworzenie podsieci jako Prywatnej uniemożliwia korzystanie z domyślnego dostępu wychodzącego do łączenia się z publicznymi punktami końcowymi na maszynach wirtualnych w podsieci.

• Parametr do utworzenia podsieci Prywatnej można ustawić tylko podczas tworzenia podsieci.

• Maszyny wirtualne w podsieci Prywatnej nadal mogą uzyskiwać dostęp do Internetu przy użyciu jawnej łączności wychodzącej.

  Uwaga

  Niektóre usługi nie będą działać na maszynie wirtualnej w podsieci prywatnej bez jawnej metody ruchu wychodzącego (przykładami są aktywacja systemu Windows i Aktualizacje Systemu Windows).

Dodawanie funkcji podsieci prywatnej

• W witrynie Azure Portal upewnij się, że opcja włączenia podsieci prywatnej jest wybrana podczas tworzenia podsieci w ramach środowiska tworzenia sieci wirtualnej, jak pokazano poniżej:

• Przy użyciu programu PowerShell podczas tworzenia podsieci za pomocą polecenia New-AzVirtualNetworkSubnetConfig użyj DefaultOutboundAccess opcji i wybierz pozycję "$false"

• Przy użyciu interfejsu wiersza polecenia podczas tworzenia podsieci za pomocą polecenia az network vnet subnet create użyj --default-outbound opcji i wybierz pozycję "false"

• Za pomocą szablonu usługi Azure Resource Manager ustaw wartość parametru defaultOutboundAccess na wartość "false"

Ograniczenia podsieci prywatnej

• W celu aktywowania/aktualizowania systemów operacyjnych maszyn wirtualnych, w tym systemu Windows, wymagana jest jawna metoda łączności wychodzącej.

• Podsieci delegowane nie mogą być oznaczone jako prywatne.

• Nie można obecnie konwertować istniejących podsieci na prywatne.

• W konfiguracjach używających trasy zdefiniowanej przez użytkownika (UDR) z trasą domyślną (0/0), która wysyła ruch do nadrzędnej zapory/wirtualnego urządzenia sieciowego, każdy ruch, który pomija tę trasę (np. do miejsc docelowych oznaczonych tagiem usługi) zostanie przerwany w podsieci prywatnej.

Dodawanie jawnej metody łączności wychodzącej

• Skojarz bramę translatora adresów sieciowych z podsiecią maszyny wirtualnej.

• Skojarz standardowy moduł równoważenia obciążenia skonfigurowany z regułami ruchu wychodzącego.

• Skojarz publiczny adres IP w warstwie Standardowa z dowolnym interfejsem sieciowym maszyny wirtualnej (jeśli istnieje wiele interfejsów sieciowych, posiadanie jednej karty sieciowej ze standardowym publicznym adresem IP uniemożliwia domyślny dostęp wychodzący dla maszyny wirtualnej).

Używanie trybu elastycznej aranżacji dla zestawów skalowania maszyn wirtualnych

• Elastyczne zestawy skalowania są domyślnie bezpieczne. Wszystkie wystąpienia utworzone za pośrednictwem elastycznych zestawów skalowania nie mają skojarzonego domyślnego adresu IP dostępu wychodzącego, więc wymagana jest jawna metoda ruchu wychodzącego. Aby uzyskać więcej informacji, zobacz Tryb elastycznej aranżacji dla zestawów skalowania maszyn wirtualnych

Ważne

Gdy pula zaplecza modułu równoważenia obciążenia jest skonfigurowana przez adres IP, będzie używać domyślnego dostępu wychodzącego z powodu trwającego znanego problemu. Aby domyślnie zabezpieczyć konfigurację i aplikacje z wymagającymi potrzebami ruchu wychodzącego, należy skojarz bramę translatora adresów sieciowych z maszynami wirtualnymi w puli zaplecza modułu równoważenia obciążenia w celu zabezpieczenia ruchu. Zobacz więcej na temat istniejących znanych problemów.

Jeśli potrzebuję dostępu wychodzącego, jaki jest zalecany sposób?

Brama translatora adresów sieciowych jest zalecaną metodą jawnego połączenia wychodzącego. Zaporę można również użyć do zapewnienia tego dostępu.

Ograniczenia

• Łączność publiczna jest wymagana w przypadku aktywacji systemu Windows i systemu Windows Aktualizacje. Zaleca się skonfigurowanie jawnej formy publicznej łączności wychodzącej.

• Domyślny adres IP dostępu wychodzącego nie obsługuje fragmentowanych pakietów.

• Domyślny adres IP dostępu wychodzącego nie obsługuje poleceń ping protokołu ICMP.

Następne kroki

Aby uzyskać więcej informacji na temat połączeń wychodzących na platformie Azure i w usłudze Azure NAT Gateway, zobacz:

• Źródłowa translacja adresów sieciowych (SNAT) dla połączeń wychodzących.

• Co to jest usługa Azure NAT Gateway?

• Brama translatora adresów sieciowych platformy Azure — często zadawane