Dela via

Standardåtkomst för utgående trafik i Azure

  • Artikel

I Azure tilldelas virtuella datorer som skapats i ett virtuellt nätverk utan explicit definierad utgående anslutning en offentlig IP-standardadress för utgående trafik. Den här IP-adressen möjliggör utgående anslutning från resurserna till Internet. Den här åtkomsten kallas för standardåtkomst för utgående trafik.

Exempel på explicit utgående anslutning för virtuella datorer är:

  • Skapat i ett undernät som är kopplat till en NAT-gateway.

  • Distribuerad i serverdelspoolen för en standardlastbalanserare med definierade regler för utgående trafik.

  • Distribuerad i serverdelspoolen för en grundläggande offentlig lastbalanserare.

  • Virtuella datorer med offentliga IP-adresser som uttryckligen är associerade med dem.

Diagram över explicita utgående alternativ.

Hur tillhandahålls standardåtkomst för utgående trafik?

Den offentliga IPv4-adress som används för åtkomsten kallas standard-IP för utgående åtkomst. Den här IP-adressen är implicit och tillhör Microsoft. Den här IP-adressen kan komma att ändras och vi rekommenderar inte att du är beroende av den för produktionsarbetsbelastningar.

När tillhandahålls standardåtkomst för utgående trafik?

Om du distribuerar en virtuell dator i Azure och den inte har någon explicit utgående anslutning tilldelas den en standard-IP för utgående åtkomst.

Diagram över beslutsträd för standardutgående åtkomst.

Viktigt!

Den 30 september 2025 dras den utgående standardåtkomsten för nya distributioner tillbaka. Mer information finns i det officiella meddelandet. Vi rekommenderar att du använder någon av de explicita anslutningsformer som beskrivs i följande avsnitt.

  • Säker som standard

    • Vi rekommenderar inte att du öppnar ett virtuellt nätverk till Internet som standard med hjälp av Nolltillit nätverkssäkerhetsprincipen.

  • Explicit kontra implicit

    • Vi rekommenderar att du har explicita anslutningsmetoder i stället för implicit när du beviljar åtkomst till resurser i ditt virtuella nätverk.

  • Förlust av IP-adress

    • Kunderna äger inte standard-IP-adressen för utgående åtkomst. Den här IP-adressen kan ändras och eventuella beroenden kan orsaka problem i framtiden.

Några exempel på konfigurationer som inte fungerar när du använder utgående standardåtkomst:

  • När du har flera nätverkskort på samma virtuella dator är standardutgående IP-adresser inte konsekvent desamma för alla nätverkskort.
  • När du skalar upp/ned VM-skalningsuppsättningar kan och ändra standardutgående IP-adresser som tilldelats enskilda instanser.
  • På samma sätt är standardutgående IP-adresser inte konsekventa eller sammanhängande för virtuella datorinstanser i en VM-skalningsuppsättning.

Hur kan jag övergå till en explicit metod för offentlig anslutning (och inaktivera standardåtkomst för utgående trafik)?

Det finns flera sätt att inaktivera standardåtkomst för utgående trafik. I följande avsnitt beskrivs vilka alternativ som är tillgängliga för dig.

Använda parametern Privat undernät (offentlig förhandsversion)

Viktigt!

Privata undernät är för närvarande i offentlig förhandsversion. Den här förhandsversionen tillhandahålls utan serviceavtal och rekommenderas inte för produktionsarbetsbelastningar. Vissa funktioner kanske inte stöds eller kan vara begränsade. Mer information finns i Kompletterande villkor för användning av Microsoft Azure-förhandsversioner.

  • Om du skapar ett undernät som ska vara privat förhindrar du att virtuella datorer i undernätet använder standardutgående åtkomst för att ansluta till offentliga slutpunkter.

  • Parametern för att skapa ett privat undernät kan bara anges när ett undernät skapas.

  • Virtuella datorer i ett privat undernät kan fortfarande komma åt Internet med explicit utgående anslutning.

    Kommentar

    Vissa tjänster fungerar inte på en virtuell dator i ett privat undernät utan en explicit utgående metod (exempel är Windows-aktivering och Windows-uppdateringar).

Lägg till funktionen Privat undernät

  • Från Azure Portal kontrollerar du att alternativet för att aktivera privat undernät är valt när du skapar ett undernät som en del av upplevelsen för att skapa virtuellt nätverk enligt nedan:

Skärmbild av Azure Portal som visar alternativet Privat undernät.

  • När du skapar ett undernät med New-AzVirtualNetworkSubnetConfig med PowerShell använder du DefaultOutboundAccess alternativet och väljer "$false"

  • När du skapar ett undernät med az network vnet undernät create använder --default-outbound du cli och väljer "false"

  • Med hjälp av defaultOutboundAccess en Azure Resource Manager-mall anger du värdet för parametern till "false"

Begränsningar för privat undernät

  • För att kunna använda för att aktivera/uppdatera virtuella datordriftssystem, inklusive Windows, är det ett krav att ha en explicit utgående anslutningsmetod.

  • Delegerade undernät kan inte markeras som privata.

  • Befintliga undernät kan för närvarande inte konverteras till Privat.

  • I konfigurationer med hjälp av en användardefinierad väg (UDR) med en standardväg (0/0) som skickar trafik till en överordnad brandvägg/virtuell nätverksinstallation bryts all trafik som kringgår den här vägen (till exempel till servicetaggade mål) i ett privat undernät.

Lägga till en explicit utgående anslutningsmetod

  • Associera en NAT-gateway till den virtuella datorns undernät.

  • Associera en standardlastbalanserare som konfigurerats med regel för utgående trafik.

  • Associera en offentlig standard-IP-adress med något av den virtuella datorns nätverksgränssnitt (om det finns flera nätverksgränssnitt; att ha bara ett nätverksinterface med en offentlig standard-IP hindrar standardåtkomst för utgående trafik för den virtuella datorn).

Använda flexibelt orkestreringsläge för VM-skalningsuppsättningar

  • Flexibla skalningsuppsättningar är säkra som standard. Alla instanser som skapas via flexibla skalningsuppsättningar har inte den utgående standardåtkomst-IP som är associerad med dem, så en explicit utgående metod krävs. Mer information finns i Flexibelt orkestreringsläge för vm-skalningsuppsättningar

Viktigt!

När en lastbalanserares serverdelspool konfigureras av IP-adressen använder den standardåtkomst för utgående trafik på grund av ett pågående känt problem. För säker som standardkonfiguration och program med krävande utgående behov associerar du en NAT-gateway till de virtuella datorerna i lastbalanserarens serverdelspool för att skydda trafiken. Läs mer om befintliga kända problem.

NAT-gateway är den rekommenderade metoden för att ha explicit utgående anslutning. En brandvägg kan också användas för att ge den här åtkomsten.

Krav

  • Offentlig anslutning krävs för Windows-aktivering och Windows-uppdateringar. Vi rekommenderar att du konfigurerar en explicit form av offentlig utgående anslutning.

  • Standard-IP för utgående åtkomst stöder inte fragmenterade paket.

  • Standard-IP för utgående åtkomst stöder inte ICMP-ping.

Nästa steg

Mer information om utgående anslutningar i Azure och Azure NAT Gateway finns i: