Acesso de saída padrão no Azure

No Azure, as máquinas virtuais criadas em uma rede virtual sem conectividade de saída explícita definida recebem um endereço IP público de saída padrão. Este endereço IP permite a conectividade de saída dos recursos para a Internet. Esse acesso é conhecido como acesso de saída padrão.

Exemplos de conectividade de saída explícita para máquinas virtuais são:

• Criado dentro de uma sub-rede associada a um gateway NAT.

• Implantado no pool de backend de um balanceador de carga padrão com regras de saída definidas.

• Implantado no pool de back-end de um balanceador de carga básico público.

• Máquinas virtuais com endereços IP públicos explicitamente associados a elas.

Como é fornecido o acesso de saída padrão?

O endereço IPv4 público usado para o acesso é chamado de IP de acesso de saída padrão. Este IP está implícito e pertence à Microsoft. Esse endereço IP está sujeito a alterações e não é recomendado depender dele para cargas de trabalho de produção.

Quando o acesso de saída padrão é fornecido?

Se você implantar uma máquina virtual no Azure e ela não tiver conectividade de saída explícita, será atribuído um IP de acesso de saída padrão.

Importante

Em 30 de setembro de 2025, o acesso de saída padrão para novas implantações será desativado. Para obter mais informações, veja o anúncio oficial. Recomendamos que você use uma das formas explícitas de conectividade discutidas na seção a seguir.

Por que é recomendada a desativação do acesso de saída predefinido?

• Seguro por padrão

  • Não é recomendável abrir uma rede virtual para a Internet por padrão usando o princípio de segurança de rede Zero Trust.

• Explícito vs. implícito

  • Recomenda-se ter métodos explícitos de conectividade em vez de implícitos ao conceder acesso a recursos em sua rede virtual.

• Perda de endereço IP

  • Os clientes não possuem o IP de acesso de saída padrão. Esse IP pode mudar e qualquer dependência dele pode causar problemas no futuro.

Alguns exemplos de configurações que não funcionarão ao usar o acesso de saída padrão:

• Quando você tem várias NICs na mesma VM, os IPs de saída padrão não serão consistentemente os mesmos em todas as NICs.
• Ao aumentar ou diminuir os Conjuntos de Dimensionamento de Máquinas Virtuais, os IPs de saída padrão atribuídos a instâncias individuais podem mudar.
• Da mesma forma, os IPs de saída padrão não são consistentes ou contíguos entre instâncias de VM em um Conjunto de Dimensionamento de Máquina Virtual.

Como posso fazer a transição para um método explícito de conectividade pública (e desativar o acesso de saída padrão)?

Há várias maneiras de desativar o acesso de saída padrão. As seções a seguir descrevem as opções disponíveis para você.

Utilize o parâmetro Private Subnet

• A criação de uma sub-rede para ser privada impede que qualquer máquina virtual na sub-rede utilize o acesso de saída padrão para se conectar a pontos de extremidade públicos.

• As VMs em uma sub-rede privada ainda podem acessar a Internet usando conectividade de saída explícita.

  Nota

  Determinados serviços não funcionarão em uma máquina virtual em uma sub-rede privada sem um método explícito de saída (exemplos são a Ativação do Windows e as Atualizações do Windows).

Adicionar o recurso de sub-rede privada

• No portal do Azure, selecione a sub-rede e marque a caixa de seleção para habilitar a sub-rede privada, conforme mostrado abaixo:

• Usando o PowerShell, o script a seguir usa os nomes do Grupo de Recursos e da Rede Virtual e percorre cada sub-rede para habilitar a sub-rede privada.

$resourceGroupName = ""
$vnetName = ""
 
$vnet = Get-AzVirtualNetwork -ResourceGroupName $resourceGroupName -Name $vnetName
 
foreach ($subnet in $vnet.Subnets) {
    if ($subnet.DefaultOutboundAccess -eq $null) {
        $subnet.DefaultOutboundAccess = $false
        Write-Output "Set 'defaultoutboundaccess' to \$false for subnet: $($subnet.Name)"
    } 
    elseif ($subnet.DefaultOutboundAccess -eq $false) {
        # Output message if the value is already $false
        Write-Output "already private for subnet: $($subnet.Name)"
    }
}
Set-AzVirtualNetwork -VirtualNetwork $vnet

• Usando a CLI, atualize a sub-rede com az network vnet subnet update e defina --default-outbound como "false"

az network vnet subnet update --resource-group rgname --name subnetname --vnet-name vnetname --default-outbound false

• Usando um modelo do Azure Resource Manager, defina o valor do defaultOutboundAccess parâmetro como "false"

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vnetName": {
      "type": "string",
      "defaultValue": "testvm-vnet"
    },
    "subnetName": {
      "type": "string",
      "defaultValue": "default"
    },
    "subnetPrefix": {
      "type": "string",
      "defaultValue": "10.1.0.0/24"
    },
    "vnetAddressPrefix": {
      "type": "string",
      "defaultValue": "10.1.0.0/16"
    }
  },
  "resources": [
    {
      "type": "Microsoft.Network/virtualNetworks",
      "apiVersion": "2023-11-01",
      "name": "[parameters('vnetName')]",
      "location": "westus2",
      "properties": {
        "addressSpace": {
          "addressPrefixes": [
            "[parameters('vnetAddressPrefix')]"
          ]
        },
        "subnets": [
          {
            "name": "[parameters('subnetName')]",
            "properties": {
              "addressPrefix": "[parameters('subnetPrefix')]",
              "defaultoutboundaccess": false
            }
          }
        ]
      }
    }
  ]
}

Limitações da sub-rede privada

• Para ativar ou atualizar sistemas operacionais de máquinas virtuais, como o Windows, é necessário um método de conectividade de saída explícito.

• Em configurações que usam UDRs (Rotas Definidas pelo Usuário), todas as rotas configuradas com o próximo tipo Internetde salto serão interrompidas em uma sub-rede privada.

  • Um exemplo comum é o uso de um UDR para direcionar o tráfego para um dispositivo virtual de rede/firewall upstream, com exceções para certas etiquetas de serviço do Azure para evitar a inspeção.

    • Uma rota padrão para o destino 0.0.0.0/0, com um tipo de próximo salto de Dispositivo Virtual aplica-se de forma geral.

    • Uma ou mais rotas estão configuradas para destinos de Etiqueta de Serviço com o tipo Internet de próximo salto, para ignorar o NVA/firewall. A menos que um método explícito de conectividade de saída também esteja configurado para a origem da conexão com esses destinos, as tentativas de conexão com esses destinos falharão, porque o acesso de saída padrão não está disponível.

  • Essa limitação não se aplica ao uso de pontos de extremidade de serviço, que usam um tipo VirtualNetworkServiceEndpointde salto seguinte diferente. Ver Endpoints de serviço da Rede Virtual.

• As sub-redes privadas não são aplicáveis a sub-redes delegadas ou gerenciadas usadas para hospedar serviços de PaaS. Nesses cenários, a conectividade de saída é gerenciada pelo serviço individual.

Adicionar um método de conectividade de saída explícito

• Associe um NAT Gateway à subrede da máquina virtual.

• Associe um balanceador de carga padrão configurado com regras de saída especificadas.

• Associe um IP público padrão a qualquer uma das interfaces de rede da máquina virtual (se houver várias interfaces de rede, ter uma única NIC com um IP público padrão impede o acesso de saída predefinido para a máquina virtual).

Nota

Há um parâmetro de nível NIC (defaultOutboundConnectivityEnabled) que monitoriza se o acesso de saída padrão está a ser utilizado. Quando um método explícito de conectividade de saída é adicionado a uma máquina virtual, para que o parâmetro seja atualizado, a máquina virtual deve ser reinicializada. O Advisor "Add explicit outbound method to disable default outbound" opera verificando esse parâmetro - portanto, uma parada/desalocação da máquina virtual é necessária para que as alterações sejam refletidas e a ação seja limpa.

Utilizar o modo de orquestração flexível para conjuntos de dimensionamento de máquinas virtuais

• Os conjuntos de escalas flexíveis são seguros por padrão. Todas as instâncias criadas por meio de conjuntos de escala flexível não têm o IP de acesso de saída padrão associado a elas, portanto, um método de saída explícito é necessário. Para obter mais informações, consulte Modo de orquestração flexível para escalões de máquinas virtuais

Importante

Devido a um problema conhecido e contínuo, quando um pool de backend de balanceador de carga é configurado por endereço IP, ele usará o acesso de saída padrão. Para configurações seguras por padrão e aplicativos com necessidades de saída exigentes, associe um gateway NAT às VMs no pool de back-end do balanceador de carga para proteger o tráfego. Veja mais sobre problemas conhecidos existentes.

Se eu precisar de acesso de saída, qual é a maneira recomendada?

O gateway NAT é a abordagem recomendada para ter conectividade de saída explícita. Um firewall também pode ser usado para fornecer esse acesso.

Restrições

• O IP de acesso de saída padrão não suporta pacotes fragmentados.

• O IP de acesso de saída padrão não suporta pings ICMP.

Próximos passos

Para obter mais informações sobre conexões de saída no Azure e no Azure NAT Gateway, consulte:

• Conversão de endereços de rede de origem (SNAT) para conexões de saída.

• O que é o Gateway de NAT do Azure?

• Perguntas frequentes sobre o Azure NAT Gateway