Akses keluar default di Azure

  • Artikel

Di Azure, mesin virtual yang dibuat dalam jaringan virtual tanpa penetapan konektivitas keluar eksplisit diberi alamat IP publik keluar default. Alamat IP ini memungkinkan konektivitas keluar dari sumber daya ke internet. Akses ini disebut sebagai akses keluar default.

Contoh konektivitas keluar eksplisit untuk komputer virtual adalah:

  • Dibuat dalam subnet yang terkait dengan gateway NAT.

  • Di kumpulan backend dari penyeimbang beban standar dengan aturan keluar yang ditentukan.

  • Di kumpulan backend load balancer publik dasar.

  • Mesin virtual dengan alamat IP publik yang secara eksplisit terkait dengannya.

Bagan opsi keluar eksplisit.

Bagaimana akses keluar default disediakan?

Alamat IPv4 publik yang digunakan untuk akses disebut IP akses keluar default. IP ini bersifat implisit dan milik Microsoft. Alamat IP ini dapat berubah dan tidak disarankan untuk bergantung padanya dalam penggunaan untuk beban kerja produksi.

Kapan akses keluar default disediakan?

Jika Anda menyebarkan mesin virtual di Azure dan tidak memiliki konektivitas keluar eksplisit, itu diberi IP akses keluar default.

Diagram pohon keputusan untuk akses keluar default.

Penting

Pada 30 September 2025, akses keluar default untuk penyebaran baru akan dihentikan. Untuk informasi selengkapnya, lihat pengumuman resmi. Kami menyarankan agar Anda menggunakan salah satu bentuk eksplisit konektivitas yang dibahas di bagian berikut.

  • Aman secara default

    • Tidak disarankan untuk membuka jaringan virtual ke internet secara default menggunakan prinsip keamanan jaringan dengan nol kepercayaan.

  • Eksplisit vs. implisit

    • Disarankan untuk memiliki metode konektivitas eksplisit alih-alih implisit saat memberikan akses ke sumber daya di jaringan virtual Anda.

  • Kehilangan alamat IP

    • Pelanggan tidak memiliki IP akses keluar default. IP ini mungkin berubah, dan dependensi apa pun tentang hal itu dapat menyebabkan masalah di masa mendatang.

Beberapa contoh konfigurasi yang tidak akan berfungsi saat menggunakan akses keluar default:

  • Ketika Anda memiliki beberapa NIC pada VM yang sama, perhatikan bahwa IP keluar default tidak akan secara konsisten sama di semua NIC.
  • Saat meningkatkan/menurunkan skala set Skala Komputer Virtual, IP keluar default yang ditetapkan ke instans individual dapat dan akan sering berubah.
  • Demikian pula, IP keluar default tidak konsisten atau bersebelahan di seluruh instans VM dalam Virtual Machine Scale Set.

Bagaimana cara beralih ke metode eksplisit konektivitas publik (dan menonaktifkan akses keluar default)?

Ada beberapa cara untuk menonaktifkan akses keluar default. Bagian berikut ini menjelaskan opsi yang tersedia untuk Anda.

Penting

Subnet Privat saat ini dalam pratinjau publik. Ini disediakan tanpa perjanjian tingkat layanan, dan tidak disarankan untuk beban kerja produksi. Fitur tertentu mungkin tidak didukung atau mungkin memiliki kemampuan terbatas. Untuk mengetahui informasi selengkapnya, lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure.

Menggunakan parameter Subnet Privat

  • Membuat subnet menjadi Privat mencegah komputer virtual apa pun pada subnet menggunakan akses keluar default untuk terhubung ke titik akhir publik.

  • Parameter untuk membuat subnet Privat hanya dapat diatur selama pembuatan subnet.

  • VM pada subnet Privat masih dapat mengakses Internet menggunakan konektivitas keluar eksplisit.

    Catatan

    Layanan tertentu tidak akan berfungsi pada komputer virtual di Subnet Privat tanpa metode keluar yang eksplisit (contohnya adalah Aktivasi Windows dan Pembaruan Windows).

Menambahkan fitur Subnet privat

  • Dari portal Azure, pastikan opsi untuk mengaktifkan subnet Privat dipilih saat membuat subnet sebagai bagian dari pengalaman pembuatan Virtual Network seperti yang ditunjukkan di bawah ini:

Cuplikan layar portal Azure memperlihatkan opsi Subnet privat.

  • Menggunakan PowerShell, saat membuat subnet dengan New-AzVirtualNetworkSubnetConfig, gunakan DefaultOutboundAccess opsi dan pilih "$false"

  • Menggunakan CLI, saat membuat subnet dengan az network vnet subnet create, gunakan --default-outbound opsi dan pilih "false"

  • Menggunakan templat Azure Resource Manager, atur nilai defaultOutboundAccess parameter menjadi "false"

Batasan subnet privat

  • Untuk menggunakan untuk mengaktifkan/memperbarui sistem operasi komputer virtual, termasuk Windows, ini adalah persyaratan untuk memiliki metode konektivitas keluar eksplisit.

  • Subnet yang didelegasikan tidak dapat ditandai sebagai Privat.

  • Subnet yang ada saat ini tidak dapat dikonversi ke Privat.

  • Dalam konfigurasi yang menggunakan User Defined Route (UDR) dengan rute default (0/0) yang mengirim lalu lintas ke firewall upstream/appliance virtual jaringan, lalu lintas apa pun yang melewati rute ini (misalnya ke tujuan Service Tagged) akan terputus di subnet Privat.

Menambahkan metode konektivitas keluar eksplisit

  • Kaitkan gateway NAT ke subnet mesin virtual Anda.

  • Kaitkan penyeimbang beban standar yang dikonfigurasi dengan aturan keluar.

  • Kaitkan IP publik Standar ke salah satu antarmuka jaringan komputer virtual (jika ada beberapa antarmuka jaringan, memiliki satu NIC dengan IP publik standar akan mencegah akses keluar default untuk komputer virtual).

Gunakan mode orkestrasi Fleksibel untuk Virtual Machine Scale Sets

  • Set skala fleksibel aman secara default. Setiap instans yang dibuat melalui set skala Fleksibel tidak memiliki IP akses keluar default yang terkait dengannya, sehingga diperlukan metode keluar eksplisit. Untuk informasi selengkapnya, lihat Mode orkestrasi fleksibel untuk Virtual Machine Scale Sets

Penting

Ketika kumpulan backend load balancer dikonfigurasi oleh alamat IP, kumpulan tersebut akan menggunakan akses keluar default karena masalah yang diketahui yang sedang berlangsung. Untuk konfigurasi dan aplikasi yang aman secara default dengan kebutuhan keluar yang menuntut, kaitkan gateway NAT ke VM di kumpulan backend load balancer Anda untuk mengamankan lalu lintas. Lihat selengkapnya tentang masalah yang diketahui yang ada.

Gateway NAT adalah pendekatan yang direkomendasikan untuk memiliki konektivitas keluar eksplisit. Firewall juga dapat digunakan untuk menyediakan akses ini.

Kendala

  • Konektivitas publik diperlukan untuk Aktivasi Windows dan Pembaruan Windows. Disarankan untuk menyiapkan bentuk eksplisit konektivitas keluar publik.

  • IP akses keluar default tidak mendukung paket yang terfragmentasi.

  • IP akses keluar default tidak mendukung ping ICMP.

Langkah berikutnya

Untuk informasi selengkapnya tentang koneksi keluar di Azure dan Azure NAT Gateway, lihat: