Исходящий доступ по умолчанию в Azure

В Azure виртуальным машинам, созданным в виртуальной сети без явного определения исходящих подключений, назначается исходящий общедоступный IP-адрес по умолчанию. Этот IP-адрес обеспечивает исходящее подключение от ресурсов к Интернету. Такой доступ называется исходящим доступом по умолчанию.

Примеры явного исходящего подключения для виртуальных машин:

• Создается в подсети, связанной с шлюзом NAT.

• Развернутый в серверном пуле стандартной подсистемы балансировки нагрузки с определенными правилами исходящего трафика.

• Развернутый в серверном пуле базовой общедоступной подсистемы балансировки нагрузки.

• Виртуальные машины с общедоступными IP-адресами, которые явно связаны с ними.

Как предоставляется исходящий доступ по умолчанию?

Общедоступный IPv4-адрес, используемый для доступа, называется IP исходящего доступа по умолчанию. Этот IP-адрес является неявным и принадлежит корпорации Майкрософт. Этот IP-адрес может меняться, и рабочие нагрузки не рекомендуется ставить в зависимость от него.

Когда предоставляется исходящий доступ по умолчанию?

Если вы развертываете виртуальную машину в Azure и у нее нет явного исходящего подключения, ему назначается IP-адрес исходящего доступа по умолчанию.

Почему рекомендуется отключать исходящий доступ по умолчанию?

• Обеспечение безопасности по умолчанию

  • По умолчанию не рекомендуется открывать виртуальную сеть в Интернете с помощью принципа безопасности сети "Нулевое доверие".

• Явные и неявные подключения

  • При предоставлении доступа к ресурсам в виртуальной сети рекомендуется использовать явные методы подключения вместо неявных.

• Потери IP-адреса

  • Клиенты не имеют IP-адреса исходящего доступа по умолчанию. Этот IP-адрес может измениться, и любая зависимость от нее может вызвать проблемы в будущем.

Некоторые примеры конфигураций, которые не будут работать при использовании исходящего доступа по умолчанию:

• При наличии нескольких сетевых адаптеров на одной виртуальной машине исходящие IP-адреса по умолчанию не будут постоянно одинаковыми для всех сетевых адаптеров.
• При масштабировании масштабируемых наборов виртуальных машин по умолчанию исходящие IP-адреса, назначенные отдельным экземплярам, могут изменяться.
• Аналогичным образом исходящие IP-адреса по умолчанию не согласованы или не соответствуют экземплярам виртуальных машин в масштабируемом наборе виртуальных машин.

Как перейти к явному методу общедоступного подключения (и отключить исходящий доступ по умолчанию)?

Существует несколько способов отключения исходящего доступа по умолчанию. В следующих разделах описаны доступные варианты.

Использование параметра частной подсети (общедоступная предварительная версия)

• Создание подсети, которая должна быть закрытой, предотвращает использование исходящего доступа по умолчанию для подключения к общедоступным конечным точкам любой виртуальной машины в подсети.

• Виртуальные машины в частной подсети по-прежнему могут получить доступ к Интернету с помощью явного исходящего подключения.

  Примечание.

  Некоторые службы не будут работать на виртуальной машине в частной подсети без явного метода выхода (например, Активация Windows и Обновления Windows).

Добавление функции частной подсети

• В портал Azure выберите подсеть и установите флажок, чтобы включить частную подсеть, как показано ниже:

• Используя PowerShell, следующий сценарий принимает имена группы ресурсов и виртуальной сети и проходит по каждой подсети, чтобы включить функцию частной сети.

$resourceGroupName = ""
$vnetName = ""
 
$vnet = Get-AzVirtualNetwork -ResourceGroupName $resourceGroupName -Name $vnetName
 
foreach ($subnet in $vnet.Subnets) {
    if ($subnet.DefaultOutboundAccess -eq $null) {
        $subnet.DefaultOutboundAccess = $false
        Write-Output "Set 'defaultoutboundaccess' to \$false for subnet: $($subnet.Name)"
    } 
    elseif ($subnet.DefaultOutboundAccess -eq $false) {
        # Output message if the value is already $false
        Write-Output "already private for subnet: $($subnet.Name)"
    }
}
Set-AzVirtualNetwork -VirtualNetwork $vnet

• С помощью CLI обновите подсеть с помощью команды az network vnet subnet update и установите --default-outbound на "false".

az network vnet subnet update --resource-group rgname --name subnetname --vnet-name vnetname --default-outbound false

• С помощью шаблона Azure Resource Manager задайте значение defaultOutboundAccess параметра false.

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vnetName": {
      "type": "string",
      "defaultValue": "testvm-vnet"
    },
    "subnetName": {
      "type": "string",
      "defaultValue": "default"
    },
    "subnetPrefix": {
      "type": "string",
      "defaultValue": "10.1.0.0/24"
    },
    "vnetAddressPrefix": {
      "type": "string",
      "defaultValue": "10.1.0.0/16"
    }
  },
  "resources": [
    {
      "type": "Microsoft.Network/virtualNetworks",
      "apiVersion": "2023-11-01",
      "name": "[parameters('vnetName')]",
      "location": "westus2",
      "properties": {
        "addressSpace": {
          "addressPrefixes": [
            "[parameters('vnetAddressPrefix')]"
          ]
        },
        "subnets": [
          {
            "name": "[parameters('subnetName')]",
            "properties": {
              "addressPrefix": "[parameters('subnetPrefix')]",
              "defaultoutboundaccess": false
            }
          }
        ]
      }
    }
  ]
}

Ограничения частной подсети

• Для активации или обновления операционных систем виртуальных машин, таких как Windows, требуется явный метод исходящего подключения.

• В конфигурациях с использованием определяемого пользователем маршрута (UDR) с маршрутом по умолчанию (0/0), который отправляет трафик в вышестоящий брандмауэр или сетевое виртуальное устройство, любой трафик, который обходит этот маршрут (например, к местам назначения с тегами службы), нарушается в частной подсети.

• Частные подсети не применимы к делегированным или управляемым подсетям, используемым для размещения служб PaaS. В этих сценариях исходящее подключение управляется отдельной службой.

Добавление явного метода исходящего подключения

• Свяжите шлюз NAT с подсетью виртуальной машины.

• Свяжите стандартную подсистему балансировки нагрузки с настроенными правилами для исходящего трафика.

• Свяжите общедоступный IP-адрес уровня "Стандартный" с любым из сетевых интерфейсов виртуальной машины. Если имеется несколько сетевых интерфейсов, одна сетевая карта с общедоступным IP-адресом уровня "Стандартный" предотвращает исходящий доступ по умолчанию для виртуальной машины.

Используйте гибкий режим оркестрации для масштабируемых наборов виртуальных машин

• Гибкие масштабируемые наборы по умолчанию защищены. Все экземпляры, созданные через гибкие наборы масштабирования, не имеют IP-адреса исходящего доступа по умолчанию, поэтому требуется явное указание метода исходящего трафика. Для получения дополнительных сведений см. раздел "Режим гибкой оркестрации для масштабируемых наборов виртуальных машин"

Если мне нужен исходящий доступ, каким способом рекомендуется воспользоваться?

Для организации явного исходящего соединения рекомендуется использовать шлюз NAT. Для предоставления такого доступа также можно использовать брандмауэр.

Ограничения

• IP-адрес исходящего доступа по умолчанию не поддерживает фрагментированные пакеты.

• IP-адрес исходящего доступа по умолчанию не поддерживает ICMP-пинги.

Следующие шаги

Дополнительные сведения о исходящих подключениях в Azure и Azure NAT Gateway см. следующий раздел:

• Преобразование исходных сетевых адресов (SNAT) для исходящих подключений.

• Что такое NAT-шлюз Azure?

• Часто задаваемые вопросы о шлюзе NAT Azure