Acesso de saída padrão no Azure

No Azure, as VM (máquinas virtuais) criadas em uma rede virtual sem conectividade de saída explícita definida são atribuídas a um endereço IP público de saída padrão. Esse endereço IP permite a conectividade de saída dos recursos para a Internet. Esse acesso é conhecido como acesso de saída padrão.

Exemplos de conectividade de saída explícita são máquinas virtuais:

• Criadas em uma sub-rede associada a um Gateway da NAT.

• No pool de backend de um balanceador de carga padrão com regras de saída definidas.

• No pool de back-end do balanceador de carga público básico.

• Máquinas virtuais com endereços IP públicos explicitamente associados a elas.

Como o acesso de saída padrão é fornecido?

O endereço IPv4 público usado para o acesso é chamado de IP de acesso de saída padrão. Esse IP é implícito e pertence à Microsoft. Esse endereço IP está sujeito a alterações e não é recomendável depender dele para cargas de trabalho de produção.

Como o acesso de saída padrão é fornecido?

Se você implantar uma VM no Azure e ela não tiver conectividade explícita de saída, será atribuído um IP de acesso de saída padrão.

Por que recomendamos desabilitar o acesso de saída padrão?

• Segurança por padrão

  • Não recomendamos abrir uma rede virtual para a Internet por padrão usando o princípio de segurança de rede de confiança zero.

• Explícito versus implícito

  • Nós recomendamos ter métodos explícitos de conectividade em vez de implícitos ao conceder acesso aos recursos em sua rede virtual.

• Perda de endereço IP

  • O IP de acesso de saída padrão não pertence aos clientes. A lista está sujeita a alterações. Qualquer dependência nesse IP pode causar problemas no futuro.

Como posso desabilitar o acesso de saída padrão?

Há várias maneiras de desativar o acesso de saída padrão:

• Adicionar um método de conectividade de saída explícito.

  • Associar um gateway de NAT à sub-rede da sua VM.

  • Associar um balanceador de carga padrão configurado com as regras de saída.

  • Associe um IP público Básico à interface de rede da máquina virtual (se houver apenas uma interface de rede).

  • Associe um IP público Standard a qualquer uma das interfaces de rede da máquina virtual (se houver várias interfaces de rede, ter uma única com um IP público Standard impedirá o acesso de saída padrão para a máquina virtual).

• Usar o modo de orquestração flexível para Conjuntos de Dimensionamento de Máquinas Virtuais.

  • Os conjuntos de dimensionados flexíveis são seguros por padrão. Todas as instâncias criadas por meio de conjuntos de escala flexíveis não terão o IP de acesso de saída padrão associado a ele. Para obter mais informações, confira Modo de orquestração flexível para Conjuntos de Dimensionamento de Máquinas Virtuais

Importante

Quando um pool de back-end é configurado por endereço IP, ele usará o acesso de saída padrão devido a um problema conhecido em andamento. Para proteger por padrão a configuração e os aplicativos com necessidades de saída exigentes, associe um gateway do NAT às VMs no pool de back-end do balanceador de carga para proteger o tráfego. Veja mais sobre problemas conhecidos existentes.

Caso eu precise de acesso de saída, qual é a maneira recomendada?

O gateway de NAT é a abordagem recomendada para ter conectividade explícita de saída. Um firewall também pode ser usado para fornecer esse acesso.

Restrições

• A conectividade talvez seja necessária para Atualizações do Windows.

• O IP de acesso de saída padrão não dá suporte a pacotes fragmentados.

Próximas etapas

Para obter mais informações sobre conexões de saída no Azure e NAT da Rede Virtual do Azure (gateway de NAT), confira:

• SNAT (Conversão de Endereços de Rede de Origem) para conexões de saída.

• O que é a NAT de Rede Virtual do Azure?