Azure'da varsayılan giden erişim

  • Makale

Azure'da, açık giden bağlantısı tanımlı olmayan bir sanal ağda oluşturulan sanal makinelere varsayılan bir giden genel IP adresi atanır. Bu IP adresi, kaynaklardan İnternet'e giden bağlantıyı etkinleştirir. Bu erişim varsayılan giden erişim olarak adlandırılır.

Sanal makineler için açık giden bağlantı örnekleri şunlardır:

  • NAT ağ geçidiyle ilişkilendirilmiş bir alt ağ içinde oluşturulur.

  • Standart yük dengeleyicinin arka uç havuzunda giden kuralları tanımlanmıştır.

  • Temel bir genel yük dengeleyicinin arka uç havuzunda.

  • Genel IP adresleri açıkça ilişkili sanal makineler.

Açık giden seçeneklerinin diyagramı.

Varsayılan giden erişim nasıl sağlanır?

Erişim için kullanılan genel IPv4 adresi, varsayılan giden erişim IP'si olarak adlandırılır. Bu IP örtülüdür ve Microsoft'a aittir. Bu IP adresi değiştirilebilir ve üretim iş yükleri için buna bağlı olması önerilmez.

Varsayılan giden erişim ne zaman sağlanır?

Azure'da bir sanal makine dağıtıyorsanız ve açık giden bağlantısı yoksa, bu makineye varsayılan bir giden erişim IP'si atanır.

Varsayılan giden erişim için karar ağacı diyagramı.

Önemli

30 Eylül 2025'te, yeni dağıtımlar için varsayılan giden erişim kullanımdan kaldırılacaktır. Daha fazla bilgi için resmi duyuruya bakın. Aşağıdaki bölümde açıklanan açık bağlantı biçimlerinden birini kullanmanızı öneririz.

  • Varsayılan olarak güvenli

    • Sıfır güven ağ güvenlik ilkesini kullanarak varsayılan olarak İnternet'e bir sanal ağ açmanız önerilmez.

  • Açık ve örtük karşılaştırması

    • Sanal ağınızdaki kaynaklara erişim izni vermek için örtük yerine açık bağlantı yöntemlerine sahip olmanız önerilir.

  • IP adresi kaybı

    • Müşteriler varsayılan giden erişim IP'sine sahip değildir. Bu IP değişebilir ve bu ip üzerindeki tüm bağımlılıklar gelecekte sorunlara neden olabilir.

Varsayılan giden erişim kullanılırken çalışmayan bazı yapılandırma örnekleri:

  • Aynı VM'de birden çok NIC'niz olduğunda, varsayılan giden IP'lerin tüm NIC'lerde tutarlı bir şekilde aynı olmayacağına dikkat edin.
  • Sanal Makine Ölçek kümelerinin ölçeği artırılırken/azaltılırken, tek tek örneklere atanan varsayılan giden IP'ler değişebilir ve genellikle değişebilir.
  • Benzer şekilde, sanal makine ölçek kümesindeki VM örnekleri arasında varsayılan giden IP'ler tutarlı veya bitişik değildir.

Açık bir genel bağlantı yöntemine nasıl geçiş yapabilirim (ve varsayılan giden erişimi devre dışı bırakabilirim)?

Varsayılan giden erişimi kapatmanın birden çok yolu vardır. Aşağıdaki bölümlerde kullanabileceğiniz seçenekler açıklanmaktadır.

Önemli

Özel Alt Ağ şu anda genel önizleme aşamasındadır. Hizmet düzeyi sözleşmesi olmadan sağlanır ve üretim iş yükleri için önerilmez. Bazı özellikler desteklenmiyor olabileceği gibi özellikleri sınırlandırılmış da olabilir. Daha fazla bilgi için bkz. Microsoft Azure Önizlemeleri Ek Kullanım Koşulları.

Özel Alt Ağ parametresini kullanma

  • Özel olacak bir alt ağ oluşturmak, alt ağ üzerindeki tüm sanal makinelerin genel uç noktalara bağlanmak için varsayılan giden erişimi kullanmalarını önler.

  • Özel alt ağ oluşturma parametresi yalnızca bir alt ağ oluşturulurken ayarlanabilir.

  • Özel alt ağ üzerindeki VM'ler, açık giden bağlantıyı kullanarak İnternet'e erişmeye devam edebilir.

    Not

    Belirli hizmetler, açık bir çıkış yöntemi olmadan Özel Alt Ağ'daki bir sanal makinede çalışmaz (örneğin, Windows Etkinleştirme ve Windows Güncelleştirmeler).

Özel alt ağ özelliğini ekleme

  • Azure portalında, aşağıda gösterildiği gibi Sanal Ağ oluşturma deneyiminin bir parçası olarak bir alt ağ oluştururken Özel alt ağı etkinleştirme seçeneğinin belirlendiğinden emin olun:

Özel alt ağ seçeneğini gösteren Azure portalının ekran görüntüsü.

  • PowerShell kullanarak New-AzVirtualNetworkSubnetConfig ile alt ağ oluştururken seçeneğini kullanın DefaultOutboundAccess ve "$false" seçeneğini belirleyin

  • CLI kullanarak az network vnet subnet create ile bir alt ağ oluştururken seçeneğini kullanın --default-outbound ve "false" seçeneğini belirleyin

  • Azure Resource Manager şablonu kullanarak parametre değerini defaultOutboundAccess "false" olarak ayarlayın

Özel alt ağ sınırlamaları

  • Windows dahil olmak üzere sanal makine işlem sistemlerini etkinleştirmek/güncelleştirmek için, açık bir giden bağlantı yöntemine sahip olmak bir gereksinimdir.

  • Temsilci atanan alt ağlar Özel olarak işaretlenemez.

  • Mevcut alt ağlar şu anda Özel'e dönüştürülemiyor.

  • Yukarı akış güvenlik duvarı/ağ sanal gerecine trafik gönderen varsayılan yol (0/0) ile Kullanıcı Tanımlı Yol (UDR) kullanan yapılandırmalarda, bu yolu atlayan tüm trafik (örn. Hizmet Etiketli hedeflere) Özel alt ağda bozulacaktır.

Açık bir giden bağlantı yöntemi ekleme

  • NAT Gateway'i sanal makinenizin alt ağıyla ilişkilendirin.

  • Giden kurallarıyla yapılandırılmış standart bir yük dengeleyiciyi ilişkilendirin.

  • Standart genel IP'yi sanal makinenin ağ arabirimlerinden herhangi biriyle ilişkilendirin (birden çok ağ arabirimi varsa standart genel IP'ye sahip tek bir NIC'ye sahip olmak sanal makine için varsayılan giden erişimi engeller).

Sanal Makine Ölçek Kümeleri için Esnek düzenleme modunu kullanma

  • Esnek ölçek kümeleri varsayılan olarak güvenlidir. Esnek ölçek kümeleri aracılığıyla oluşturulan örneklerin ilişkili varsayılan giden erişim IP'si yoktur, bu nedenle açık bir giden yöntemi gerekir. Daha fazla bilgi için bkz. Sanal Makine Ölçek Kümeleri için esnek düzenleme modu

Önemli

Yük dengeleyici arka uç havuzu IP adresiyle yapılandırıldığında, devam eden bilinen bir sorun nedeniyle varsayılan giden erişimi kullanır. Varsayılan olarak güvenli yapılandırma ve zorlu giden gereksinimleri olan uygulamalar için trafiğin güvenliğini sağlamak için nat ağ geçidini yük dengeleyicinizin arka uç havuzundaki VM'lerle ilişkilendirin. Mevcut bilinen sorunlar hakkında daha fazla bilgi edinin.

NAT ağ geçidi, açık giden bağlantıya sahip olmak için önerilen yaklaşımdır. Bu erişimi sağlamak için bir güvenlik duvarı da kullanılabilir.

Sınırlamalar

  • Windows Etkinleştirmesi ve Windows Güncelleştirmeler için genel bağlantı gereklidir. Genel giden bağlantının açık bir biçiminin ayarlanması önerilir.

  • Varsayılan giden erişim IP'i parçalanmış paketleri desteklemez.

  • Varsayılan giden erişim IP'leri ICMP ping'lerini desteklemez.

Sonraki adımlar

Azure ve Azure NAT Gateway'deki giden bağlantılar hakkında daha fazla bilgi için bkz: