Výchozí odchozí přístup v Azure

V Azure se virtuálním počítačům vytvořeným ve virtuální síti bez explicitního odchozího připojení přiřadí výchozí odchozí veřejná IP adresa. Tato IP adresa umožňuje odchozí připojení z prostředků k internetu. Tento přístup se označuje jako výchozí odchozí přístup.

Příklady explicitního odchozího připojení jsou virtuální počítače:

• Vytvořeno v rámci podsítě přidružené k NAT Gateway.
• V back-endového fondu standardního nástroje pro vyrovnávání zatížení s definovanými odchozími pravidly.
• V back-endového fondu veřejného nástroje pro vyrovnávání zatížení basic.
• Virtuální počítače s veřejnými IP adresami, které jsou k nim explicitně přidružené.

Jak se poskytuje výchozí odchozí přístup?

Veřejná IPv4 adresa použitá pro přístup se nazývá výchozí IP adresa odchozího přístupu. Tato IP adresa je implicitní a patří Microsoftu. Tato IP adresa se může změnit a nedoporučuje se na ní záviset pro produkční úlohy.

Kdy je k dispozici výchozí odchozí přístup?

Pokud nasadíte virtuální počítač v Azure a nemá explicitní odchozí připojení, přiřadí se mu výchozí IP adresa odchozího přístupu.

Proč se doporučuje zakázat výchozí odchozí přístup?

• Zabezpečení ve výchozím nastavení

  • Ve výchozím nastavení se nedoporučuje otevírat virtuální síť k internetu pomocí principu zabezpečení sítě s nulovou důvěryhodností.

• Explicitní vs. implicitní

  • Při udělování přístupu k prostředkům ve virtuální síti se místo implicitních metod připojení doporučuje používat explicitní metody připojení.

• Ztráta IP adresy

  • Výchozí IP adresa odchozího přístupu není vlastněná zákazníky. Tato IP adresa se může změnit. Jakákoli závislost na této IP adrese může v budoucnu způsobit problémy.

Jak můžu zakázat výchozí odchozí přístup?

Výchozí odchozí přístup můžete vypnout několika způsoby:

1. Přidání explicitní metody odchozího připojení

   • Přidružte bránu NAT k podsíti vašeho virtuálního počítače.

   • Přidružte nástroj pro vyrovnávání zatížení na úrovni Standard s nakonfigurovanou odchozími pravidly.

   • Přidružte veřejnou IP adresu k síťovému rozhraní virtuálního počítače.

2. Použití flexibilního režimu orchestrace pro škálovací sady virtuálních počítačů

   • Flexibilní škálovací sady jsou ve výchozím nastavení zabezpečené. Žádné instance vytvořené prostřednictvím flexibilních škálovací sad nebudou mít přidruženou výchozí IP adresu odchozího přístupu. Další informace najdete v tématu Flexibilní režim orchestrace pro škálovací sady virtuálních počítačů.

Pokud potřebuji odchozí přístup, jaký je doporučený způsob?

NaT Gateway je doporučený přístup k explicitnímu odchozímu připojení. K poskytnutí tohoto přístupu je také možné použít bránu firewall.

Omezení

• Možná bude potřeba připojení pro Windows aktualizace.
• Výchozí IP adresa odchozího přístupu nepodporuje fragmentované pakety.

Další kroky

Další informace o odchozích připojeních v Azure a Překlad adres služby Azure Virtual Network (NAT Gateway) najdete tady:

• Překlad zdrojových adres (SNAT) pro odchozí připojení.

• Co je Překlad adres služby Azure Virtual Network?