Standardåtkomst för utgående trafik i Azure

I Azure tilldelas virtuella datorer som skapats i ett virtuellt nätverk utan definierad explicit utgående anslutning en standard för utgående offentlig IP-adress. Den här IP-adressen möjliggör utgående anslutning från resurserna till Internet. Den här åtkomsten kallas för utgående standardåtkomst.

Exempel på explicit utgående anslutning är virtuella datorer:

• Skapas i ett undernät som är associerat med en NAT Gateway.
• I backend-poolen för en standardlastbalanserare med definierade regler för utgående trafik.
• I backend-poolen för en grundläggande offentlig lastbalanserare.
• Virtuella datorer med offentliga IP-adresser som uttryckligen är kopplade till dem.

Hur tillhandahålls standardåtkomst för utgående trafik?

Den offentliga IPv4-adressen som används för åtkomsten kallas för standard-IP för utgående åtkomst. Denna IP-adress är implicit och tillhör Microsoft. Den här IP-adressen kan ändras och vi rekommenderar inte att den är beroende av den för produktionsarbetsbelastningar.

När tillhandahålls utgående standardåtkomst?

Om du distribuerar en virtuell dator i Azure och den inte har någon explicit utgående anslutning tilldelas den en standard-IP för utgående åtkomst.

Varför rekommenderas inaktivering av standardåtkomst för utgående trafik?

• Säker som standard

  • Vi rekommenderar inte att du öppnar ett virtuellt nätverk till Internet som standard med nätverkssäkerhetsprincipen noll förtroende.

• Explicit kontra implicit

  • Vi rekommenderar att du har explicita anslutningsmetoder i stället för implicit när du beviljar åtkomst till resurser i ditt virtuella nätverk.

• Förlust av IP-adress

  • Standard-IP för utgående åtkomst ägs inte av kunder. Den här IP-adressen kan komma att ändras. Eventuella beroenden av den här IP-adressen kan orsaka problem i framtiden.

Hur inaktiverar jag standardåtkomst för utgående trafik?

Det finns flera sätt att inaktivera standardutgående åtkomst:

1. Lägga till en explicit metod för utgående anslutning

   • Associera en NAT-gateway med undernätet för den virtuella datorn.

   • Associera en standardlastbalanserare med konfigurerade regler för utgående trafik.

   • Koppla en offentlig IP-adress till den virtuella datorns nätverksgränssnitt.

2. Använd flexibelt orkestreringsläge för VM-skalningsuppsättningar.

   • Flexibla skalningsuppsättningar är säkra som standard. Alla instanser som skapas via flexibla skalningsuppsättningar har inte den utgående standardåtkomst-IP som är kopplad till den. Mer information finns i Flexibelt orkestreringsläge för VM-skalningsuppsättningar

Vilket är det rekommenderade sättet om jag behöver utgående åtkomst?

NAT-gateway är den rekommenderade metoden för explicit utgående anslutning. En brandvägg kan också användas för att ge den här åtkomsten.

Begränsningar

• Anslutning kanske behövs för Windows Uppdateringar.
• Standard-IP för utgående åtkomst stöder inte fragmenterade paket.

Nästa steg

Mer information om utgående anslutningar i Azure och Azure Virtual Network NAT (NAT-gateway) finns i:

• Source Network Address Translation (SNAT) för utgående anslutningar.

• Vad är Azure Virtual Network NAT?