Standaard uitgaande toegang in Azure

In Azure krijgen virtuele machines die zijn gemaakt in een virtueel netwerk zonder expliciet gedefinieerde uitgaande connectiviteit een standaard uitgaand openbaar IP-adres toegewezen. Dit IP-adres maakt uitgaande connectiviteit van de resources naar internet mogelijk. Deze toegang wordt standaard uitgaande toegang genoemd.

Voorbeelden van expliciete uitgaande connectiviteit zijn virtuele machines:

• Gemaakt in een subnet dat is gekoppeld aan een NAT Gateway.
• In de back-endpool van een standaardgroep load balancer gedefinieerde regels voor uitgaand verkeer.
• In de back-load balancer.
• Virtuele machines die expliciet zijn gekoppeld aan openbare IP-adressen.

Hoe wordt standaard uitgaande toegang geboden?

Het openbare IPv4-adres dat voor de toegang wordt gebruikt, wordt het standaard-IP-adres voor uitgaande toegang genoemd. Dit IP-adres is impliciet en hoort bij Microsoft. Dit IP-adres kan worden gewijzigd en het wordt niet aanbevolen ervan afhankelijk te zijn voor productieworkloads.

Wanneer wordt standaard uitgaande toegang geboden?

Als u een virtuele machine in Azure implementeert en deze geen expliciete uitgaande connectiviteit heeft, krijgt deze een standaard ip-adres voor uitgaande toegang toegewezen.

Waarom wordt het uitschakelen van standaard uitgaande toegang aanbevolen?

• Standaardbeveiliging

  • Het wordt afgeraden om een virtueel netwerk standaard te openen voor internet met behulp van het zero trust-netwerkbeveiligingsprincipe.

• Expliciet versus impliciet

  • Het is raadzaam om expliciete connectiviteitsmethoden te gebruiken in plaats van impliciet bij het verlenen van toegang tot resources in uw virtuele netwerk.

• Verlies van IP-adres

  • Het standaard IP-adres voor uitgaande toegang is niet eigendom van klanten. Dit IP-adres kan worden gewijzigd. Elke afhankelijkheid van dit IP-adres kan in de toekomst problemen veroorzaken.

Hoe kan ik standaard uitgaande toegang uitschakelen?

Er zijn meerdere manieren om standaard uitgaande toegang uit te schakelen:

1. Een expliciete uitgaande connectiviteitsmethode toevoegen

   • Koppel een NAT-gateway aan het subnet van uw virtuele machine.

   • Koppel een standaard load balancer aan geconfigureerde uitgaande regels.

   • Koppel een openbaar IP-adres aan de netwerkinterface van de virtuele machine.

2. Flexibele orchestrationmodus gebruiken voor virtuele-machineschaalsets.

   • Flexibele schaalsets zijn standaard beveiligd. Aan alle exemplaren die zijn gemaakt via flexibele schaalsets is niet het standaard IP-adres voor uitgaande toegang gekoppeld. Zie Flexibele orchestrationmodus voor virtuele-machineschaalsets voor meer informatie

Wat is de aanbevolen manier als ik uitgaande toegang nodig heb?

NAT-gateway is de aanbevolen benadering om expliciete uitgaande connectiviteit te hebben. Een firewall kan ook worden gebruikt om deze toegang te bieden.

Beperkingen

• Connectiviteit is mogelijk nodig voor Windows Updates.
• Standaard ip-adres voor uitgaande toegang biedt geen ondersteuning voor gefragmenteerde pakketten.

Volgende stappen

Zie voor meer informatie over uitgaande verbindingen in Azure Azure Virtual Network NAT (NAT-gateway) :

• Source Network Address Translation (SNAT) voor uitgaande verbindingen.

• Wat is een Azure Virtual Network NAT?