Accesso in uscita predefinito in Azure

In Azure, alle macchine virtuali create in una rete virtuale senza una connettività in uscita esplicita definita viene assegnato un indirizzo IP pubblico in uscita predefinito. Tale indirizzo IP abilita la connettività in uscita dalle risorse a Internet. Questo accesso viene definito accesso in uscita predefinito.

Esempi di connettività in uscita esplicita per le macchine virtuali sono:

• Creata all'interno di una subnet associata a un gateway NAT.

• Distribuita nel pool di back-end di un bilanciatore di carico standard con regole di uscita stabilite.

• Distribuito nel pool back-end di un bilanciamento del carico pubblico di base.

• Macchine virtuali con indirizzi IP pubblici associati in modo esplicito.

In che modo si fornisce l'accesso in uscita predefinito?

L'indirizzo IPv4 pubblico utilizzato per l'accesso è denominato IP di accesso in uscita predefinito. Questo IP è implicito e appartiene a Microsoft. Questo indirizzo IP è soggetto a modifiche e non è consigliabile dipendere da esso per i carichi di lavoro di produzione.

Quando viene fornito l'accesso in uscita predefinito?

Se si distribuisce una macchina virtuale in Azure ed essa non dispone della connettività in uscita esplicita, viene assegnato un indirizzo IP di accesso in uscita predefinito.

Perché è consigliabile disabilitare l'accesso in uscita predefinito?

• Sicuro per impostazione predefinita

  • Non è consigliabile aprire una rete virtuale su Internet per impostazione predefinita usando il principio di sicurezza di rete Zero Trust.

• Confronto tra esplicito e implicito

  • Si consiglia di adottare metodi di connettività espliciti anziché impliciti se si concede l'accesso alle risorse presenti nella rete virtuale.

• Perdita dell'indirizzo IP

  • I clienti non possiedono l'IP di accesso in uscita predefinito. Tale IP potrebbe cambiare ed eventuali dipendenze associate potrebbero causare problemi nel futuro.

Alcuni esempi di configurazioni che non funzionano se si usa l'accesso in uscita predefinito:

• Quando sono presenti più schede di interfaccia di rete nella stessa VM, gli IP in uscita predefiniti non saranno sempre gli stessi in tutte le schede di interfaccia di rete.
• Quando si aumentano o si abbassano i set di scalabilità di macchine virtuali, gli indirizzi IP in uscita predefiniti assegnati alle singole istanze possono cambiare.
• Analogamente, gli IP in uscita predefiniti non sono sempre i medesimi o contigui tra le istanze di VM in un set di scalabilità di macchine virtuali.

In che modo è possibile eseguire la transizione a un metodo esplicito di connettività pubblica (e disabilitare l'accesso in uscita predefinito)?

Esistono diversi modi per disattivare l'accesso in uscita predefinito. Nelle sezioni seguenti sono descritte le opzioni disponibili.

Utilizzare il parametro della subnet privata (anteprima pubblica)

• La creazione di una subnet privata impedisce alle macchine virtuali nella subnet di usare l'accesso in uscita predefinito per connettersi a endpoint pubblici.

• Le macchine virtuali in una subnet privata possono comunque accedere a Internet usando la connettività in uscita esplicita.

  Nota

  Alcuni servizi non funzioneranno su una macchina virtuale in una subnet privata senza un metodo esplicito di uscita (ad esempio, attivazione di Windows e aggiornamenti di Windows).

Aggiungere la funzionalità Subnet privata

• Nella portale di Azure selezionare la subnet e selezionare la casella di controllo per abilitare la subnet privata, come illustrato di seguito:

• Usando PowerShell, il seguente script prende i nomi del Gruppo di Risorse e della Rete Virtuale e scorre ogni subnet per abilitare le sottoreti private.

$resourceGroupName = ""
$vnetName = ""
 
$vnet = Get-AzVirtualNetwork -ResourceGroupName $resourceGroupName -Name $vnetName
 
foreach ($subnet in $vnet.Subnets) {
    if ($subnet.DefaultOutboundAccess -eq $null) {
        $subnet.DefaultOutboundAccess = $false
        Write-Output "Set 'defaultoutboundaccess' to \$false for subnet: $($subnet.Name)"
    } 
    elseif ($subnet.DefaultOutboundAccess -eq $false) {
        # Output message if the value is already $false
        Write-Output "already private for subnet: $($subnet.Name)"
    }
}
Set-AzVirtualNetwork -VirtualNetwork $vnet

• Usando l'interfaccia della riga di comando, aggiornare la subnet con az network vnet subnet update e impostare --default-outbound su "false"

az network vnet subnet update --resource-group rgname --name subnetname --vnet-name vnetname --default-outbound false

• Se si usando un modello di Azure Resource Manager, impostare il valore del parametro defaultOutboundAccess su "false"

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vnetName": {
      "type": "string",
      "defaultValue": "testvm-vnet"
    },
    "subnetName": {
      "type": "string",
      "defaultValue": "default"
    },
    "subnetPrefix": {
      "type": "string",
      "defaultValue": "10.1.0.0/24"
    },
    "vnetAddressPrefix": {
      "type": "string",
      "defaultValue": "10.1.0.0/16"
    }
  },
  "resources": [
    {
      "type": "Microsoft.Network/virtualNetworks",
      "apiVersion": "2023-11-01",
      "name": "[parameters('vnetName')]",
      "location": "westus2",
      "properties": {
        "addressSpace": {
          "addressPrefixes": [
            "[parameters('vnetAddressPrefix')]"
          ]
        },
        "subnets": [
          {
            "name": "[parameters('subnetName')]",
            "properties": {
              "addressPrefix": "[parameters('subnetPrefix')]",
              "defaultoutboundaccess": false
            }
          }
        ]
      }
    }
  ]
}

Limitazioni della subnet privata

• Per attivare o aggiornare i sistemi operativi delle macchine virtuali, ad esempio Windows, è necessario un metodo di connettività in uscita esplicito.

• Nelle configurazioni che usano una route definita dall'utente (UDR) con una route predefinita (0.0.0.0/0) che invia il traffico a un'appliance virtuale di rete/firewall upstream, qualsiasi traffico che ignora questa route (ad esempio, alle destinazioni con tag di servizio) si interrompe in una subnet privata.

• Le subnet private non sono applicabili alle subnet delegate o gestite usate per l'hosting di servizi PaaS. In questi scenari, la connettività in uscita viene gestita dal singolo servizio.

Aggiungere un metodo di connettività in uscita esplicita

• Associare un gateway NAT alla subnet della macchina virtuale.

• Associare un Load Balancer Standard configurato con regole in uscita.

• Associare un indirizzo IP pubblico Standard a una qualsiasi delle interfacce di rete della macchina virtuale (se sono presenti più interfacce di rete, la presenza di una singola scheda di interfaccia di rete con un indirizzo IP pubblico standard impedisce l'accesso in uscita predefinito per la macchina virtuale).

Utilizzare la modalità orchestrazione flessibile per i set di scalabilità di macchine virtuali

• I set di scalabilità flessibili sono sicuri per impostazione predefinita. Eventuali istanze create tramite set di scalabilità flessibili non hanno un indirizzo IP di accesso in uscita predefinito associato ad esse, quindi è richiesto un metodo in uscita esplicito. Per altre informazioni, vedere Modalità di orchestrazione flessibile per i set di scalabilità di macchine virtuali

Se è richiesto l'accesso in uscita, qual è il metodo consigliato?

Il gateway NAT è l'approccio consigliato per avere la connettività in uscita esplicita. È anche possibile usare un firewall che fornisce questo accesso.

Vincoli

• L'indirizzo IP di accesso in uscita predefinito non supporta pacchetti frammentati.

• L'indirizzo IP di accesso in uscita predefinito non supporta i ping ICMP.

Passaggi successivi

Per altre informazioni sulle connessioni in uscita in Azure e sul gateway NAT di Azure, vedere:

• SNAT (Source Network Address Translation) per le connessioni in uscita.

• Che cos'è Gateway NAT di Azure?

• Domande frequenti (FAQ) sul Gateway NAT di Azure