Standardåtkomst för utgående trafik i Azure

  • Artikel

I Azure tilldelas virtuella datorer som skapats i ett virtuellt nätverk utan explicit definierad utgående anslutning en offentlig IP-standardadress för utgående trafik. Den här IP-adressen möjliggör utgående anslutning från resurserna till Internet. Den här åtkomsten kallas för standardåtkomst för utgående trafik.

Exempel på explicit utgående anslutning för virtuella datorer är:

  • Skapat i ett undernät som är kopplat till en NAT-gateway.

  • I serverdelspoolen för en standardlastbalanserare med definierade regler för utgående trafik.

  • I serverdelspoolen för en grundläggande offentlig lastbalanserare.

  • Virtuella datorer med offentliga IP-adresser som uttryckligen är associerade med dem.

Diagram över explicita utgående alternativ.

Hur tillhandahålls standardåtkomst för utgående trafik?

Den offentliga IPv4-adress som används för åtkomsten kallas standard-IP för utgående åtkomst. Den här IP-adressen är implicit och tillhör Microsoft. Den här IP-adressen kan komma att ändras och vi rekommenderar inte att du är beroende av den för produktionsarbetsbelastningar.

När tillhandahålls standardåtkomst för utgående trafik?

Om du distribuerar en virtuell dator i Azure och den inte har någon explicit utgående anslutning tilldelas den en standard-IP för utgående åtkomst.

Diagram över beslutsträd för standardutgående åtkomst.

Viktigt!

Den 30 september 2025 dras den utgående standardåtkomsten för nya distributioner tillbaka. Mer information finns i det officiella meddelandet. Vi rekommenderar att du använder någon av de explicita anslutningsformer som beskrivs i följande avsnitt.

  • Säker som standard

    • Vi rekommenderar inte att du öppnar ett virtuellt nätverk till Internet som standard med hjälp av principen för nätverkssäkerhet utan förtroende.

  • Explicit kontra implicit

    • Vi rekommenderar att du har explicita anslutningsmetoder i stället för implicit när du beviljar åtkomst till resurser i ditt virtuella nätverk.

  • Förlust av IP-adress

    • Kunderna äger inte standard-IP-adressen för utgående åtkomst. Den här IP-adressen kan ändras och eventuella beroenden kan orsaka problem i framtiden.

Några exempel på konfigurationer som inte fungerar när du använder utgående standardåtkomst:

  • När du har flera nätverkskort på samma virtuella dator bör du tänka på att standardutgående IP-adresser inte konsekvent kommer att vara desamma för alla nätverkskort.
  • När du skalar upp/ned VM-skalningsuppsättningar kan och kommer standardutgående IP-adresser som tilldelats enskilda instanser ofta att ändras.
  • På samma sätt är standardutgående IP-adresser inte konsekventa eller sammanhängande för virtuella datorinstanser i en VM-skalningsuppsättning.

Hur kan jag övergå till en explicit metod för offentlig anslutning (och inaktivera standardåtkomst för utgående trafik)?

Det finns flera sätt att inaktivera standardåtkomst för utgående trafik. I följande avsnitt beskrivs vilka alternativ som är tillgängliga för dig.

Viktigt!

Privat undernät är för närvarande i offentlig förhandsversion. Den tillhandahålls utan ett serviceavtal och rekommenderas inte för produktionsarbetsbelastningar. Vissa funktioner kanske inte stöds eller kan vara begränsade. Mer information finns i Kompletterande villkor för användning av Microsoft Azure-förhandsversioner.

Använda parametern Privat undernät

  • Om du skapar ett undernät som ska vara privat förhindrar du att virtuella datorer i undernätet använder standardutgående åtkomst för att ansluta till offentliga slutpunkter.

  • Parametern för att skapa ett privat undernät kan bara anges när ett undernät skapas.

  • Virtuella datorer i ett privat undernät kan fortfarande komma åt Internet med explicit utgående anslutning.

    Kommentar

    Vissa tjänster fungerar inte på en virtuell dator i ett privat undernät utan en explicit utgående metod (exempel är Windows-aktivering och Windows-Uppdateringar).

Lägg till funktionen Privat undernät

  • Från Azure-portalen ser du till att alternativet för att aktivera privat undernät är valt när du skapar ett undernät som en del av skapa virtuellt nätverk enligt nedan:

Skärmbild av Azure-portalen som visar alternativet Privat undernät.

  • När du skapar ett undernät med New-AzVirtualNetworkSubnetConfig med PowerShell använder du DefaultOutboundAccess alternativet och väljer "$false"

  • När du skapar ett undernät med az network vnet undernät create använder --default-outbound du cli och väljer "false"

  • Med hjälp av defaultOutboundAccess en Azure Resource Manager-mall anger du värdet för parametern till "false"

Begränsningar för privat undernät

  • För att kunna använda för att aktivera/uppdatera virtuella datordriftssystem, inklusive Windows, är det ett krav att ha en explicit utgående anslutningsmetod.

  • Delegerade undernät kan inte markeras som privata.

  • Befintliga undernät kan för närvarande inte konverteras till Privat.

  • I konfigurationer som använder en användardefinierad väg (UDR) med en standardväg (0/0) som skickar trafik till en överordnad brandvägg/virtuell nätverksinstallation bryts all trafik som kringgår den här vägen (t.ex. till servicetaggade mål) i ett privat undernät.

Lägga till en explicit utgående anslutningsmetod

  • Associera en NAT-gateway till den virtuella datorns undernät.

  • Associera en standardlastbalanserare som konfigurerats med regel för utgående trafik.

  • Associera en offentlig standard-IP-adress med något av den virtuella datorns nätverksgränssnitt (om det finns flera nätverksgränssnitt; att ha bara ett nätverksinterface med en offentlig standard-IP hindrar standardåtkomst för utgående trafik för den virtuella datorn).

Använda flexibelt orkestreringsläge för VM-skalningsuppsättningar

  • Flexibla skalningsuppsättningar är säkra som standard. Alla instanser som skapas via flexibla skalningsuppsättningar har inte den utgående standardåtkomst-IP som är associerad med dem, så en explicit utgående metod krävs. Mer information finns i Flexibelt orkestreringsläge för vm-skalningsuppsättningar

Viktigt!

När en lastbalanserares serverdelspool konfigureras av IP-adressen använder den standardåtkomst för utgående trafik på grund av ett pågående känt problem. För säker som standardkonfiguration och program med krävande utgående behov associerar du en NAT-gateway till de virtuella datorerna i lastbalanserarens serverdelspool för att skydda trafiken. Läs mer om befintliga kända problem.

NAT-gateway är den rekommenderade metoden för att ha explicit utgående anslutning. En brandvägg kan också användas för att ge den här åtkomsten.

Krav

  • Offentlig anslutning krävs för Windows-aktivering och Windows-Uppdateringar. Vi rekommenderar att du konfigurerar en explicit form av offentlig utgående anslutning.

  • Standard-IP för utgående åtkomst stöder inte fragmenterade paket.

  • Standard-IP för utgående åtkomst stöder inte ICMP-ping.

Nästa steg

Mer information om utgående anslutningar i Azure och Azure NAT Gateway finns i: