Acesso de saída padrão no Azure
No Azure, as máquinas virtuais criadas em uma rede virtual sem conectividade de saída explícita definida recebem um endereço IP público de saída padrão. Este endereço IP permite a conectividade de saída dos recursos para a Internet. Esse acesso é conhecido como acesso de saída padrão.
Exemplos de conectividade de saída explícita para máquinas virtuais são:
Criado dentro de uma sub-rede associada a um gateway NAT.
Implantado no pool de back-end de um balanceador de carga padrão com regras de saída definidas.
Implantado no pool de back-end de um balanceador de carga público básico.
Máquinas virtuais com endereços IP públicos explicitamente associados a elas.
Como é fornecido o acesso de saída padrão?
O endereço IPv4 público usado para o acesso é chamado de IP de acesso de saída padrão. Este IP está implícito e pertence à Microsoft. Esse endereço IP está sujeito a alterações e não é recomendado depender dele para cargas de trabalho de produção.
Quando o acesso de saída padrão é fornecido?
Se você implantar uma máquina virtual no Azure e ela não tiver conectividade de saída explícita, será atribuído um IP de acesso de saída padrão.
Importante
Em 30 de setembro de 2025, o acesso de saída padrão para novas implantações será desativado. Para obter mais informações, veja o anúncio oficial. Recomendamos que você use uma das formas explícitas de conectividade discutidas na seção a seguir.
Por que é recomendada a desativação do acesso de saída predefinido?
Seguro por padrão
- Não é recomendável abrir uma rede virtual para a Internet por padrão usando o princípio de segurança de rede Zero Trust.
Explícito vs. implícito
- Recomenda-se ter métodos explícitos de conectividade em vez de implícitos ao conceder acesso a recursos em sua rede virtual.
Perda de endereço IP
- Os clientes não possuem o IP de acesso de saída padrão. Esse IP pode mudar e qualquer dependência dele pode causar problemas no futuro.
Alguns exemplos de configurações que não funcionarão ao usar o acesso de saída padrão:
- Quando você tem várias NICs na mesma VM, os IPs de saída padrão não serão consistentemente os mesmos em todas as NICs.
- Ao escalar para cima/para baixo conjuntos de Escala de Máquina Virtual, os IPs de saída padrão atribuídos a instâncias individuais podem ser alterados.
- Da mesma forma, os IPs de saída padrão não são consistentes ou contíguos entre instâncias de VM em um Conjunto de Dimensionamento de Máquina Virtual.
Como posso fazer a transição para um método explícito de conectividade pública (e desativar o acesso de saída padrão)?
Há várias maneiras de desativar o acesso de saída padrão. As seções a seguir descrevem as opções disponíveis para você.
Utilizar o parâmetro Private Subnet (visualização pública)
Importante
As sub-redes privadas estão atualmente em pré-visualização pública. Esta versão de pré-visualização é disponibiliza sem um contrato de nível de serviço e não é recomendada para cargas de trabalho de produção. Algumas funcionalidades poderão não ser suportadas ou poderão ter capacidades limitadas. Para obter mais informações, veja Termos Suplementares de Utilização para Pré-visualizações do Microsoft Azure.
A criação de uma sub-rede para ser privada impede que qualquer máquina virtual na sub-rede utilize o acesso de saída padrão para se conectar a pontos de extremidade públicos.
O parâmetro para criar uma sub-rede privada só pode ser definido durante a criação de uma sub-rede.
As VMs em uma sub-rede privada ainda podem acessar a Internet usando conectividade de saída explícita.
Nota
Determinados serviços não funcionarão em uma máquina virtual em uma sub-rede privada sem um método explícito de saída (exemplos são a Ativação do Windows e as Atualizações do Windows).
Adicionar o recurso de sub-rede privada
- No portal do Azure, verifique se a opção para habilitar a sub-rede privada está selecionada ao criar uma sub-rede como parte da experiência de criação da Rede Virtual, conforme mostrado abaixo:
Usando o PowerShell, ao criar uma sub-rede com New-AzVirtualNetworkSubnetConfig, use a
DefaultOutboundAccess
opção e escolha "$false"Usando CLI, ao criar uma sub-rede com az network vnet subnet create, use a
--default-outbound
opção e escolha "false"Usando um modelo do Azure Resource Manager, defina o valor do
defaultOutboundAccess
parâmetro como "false"
Limitações da sub-rede privada
Para utilizar para ativar/atualizar sistemas operacionais de máquinas virtuais, incluindo o Windows, é necessário ter um método explícito de conectividade de saída.
As sub-redes delegadas não podem ser marcadas como Privadas.
No momento, as sub-redes existentes não podem ser convertidas em Privadas.
Em configurações que usam uma Rota Definida pelo Usuário (UDR) com uma rota padrão (0/0) que envia tráfego para um firewall/dispositivo virtual de rede upstream, qualquer tráfego que contorne essa rota (por exemplo, para destinos com tags de serviço) é interrompido em uma sub-rede privada.
Adicionar um método de conectividade de saída explícito
Associe um NAT Gateway à subrede da máquina virtual.
Associe um balanceador de carga padrão configurado com regras de saída.
Associe um IP público padrão a qualquer uma das interfaces de rede da máquina virtual (se houver várias interfaces de rede, ter uma única NIC com um IP público padrão impede o acesso de saída predefinido para a máquina virtual).
Usar o modo de orquestração flexível para conjuntos de dimensionamento de máquina virtual
- Os conjuntos de escalas flexíveis são seguros por padrão. Todas as instâncias criadas por meio de conjuntos de escala flexível não têm o IP de acesso de saída padrão associado a elas, portanto, um método de saída explícito é necessário. Para obter mais informações, consulte Modo de orquestração flexível para conjuntos de dimensionamento de máquina virtual
Importante
Quando um pool de back-end de balanceador de carga é configurado por endereço IP, ele usará o acesso de saída padrão devido a um problema conhecido contínuo. Para configurações seguras por padrão e aplicativos com necessidades de saída exigentes, associe um gateway NAT às VMs no pool de back-end do balanceador de carga para proteger o tráfego. Veja mais sobre problemas conhecidos existentes.
Se eu precisar de acesso de saída, qual é a maneira recomendada?
O gateway NAT é a abordagem recomendada para ter conectividade de saída explícita. Um firewall também pode ser usado para fornecer esse acesso.
Restrições
A conectividade pública é necessária para a Ativação do Windows e as Atualizações do Windows. Recomenda-se configurar uma forma explícita de conectividade de saída pública.
O IP de acesso de saída padrão não suporta pacotes fragmentados.
O IP de acesso de saída padrão não suporta pings ICMP.
Próximos passos
Para obter mais informações sobre conexões de saída no Azure e no Azure NAT Gateway, consulte: