Azure 中的默认出站访问

在 Azure 中,在未定义显式出站连接的虚拟网络中创建的虚拟机将获分配默认出站公共 IP 地址。 此 IP 地址允许启用从资源到 Internet 的出站连接。 此访问称为默认出站访问。

显式出站连接的示例均为虚拟机:

  • 在与 NAT 网关关联的子网中创建。
  • 在定义了出站规则的标准负载均衡器后端池中。
  • 在基本公共负载均衡器后端池中。
  • 具有与之显式关联的公共 IP 地址的虚拟机。

显式出站选项示意图。

如何提供默认出站访问?

用于访问的公共 IPv4 地址称为默认出站访问 IP。 此 IP 是隐式的,属于 Microsoft。 此 IP 地址可能会更改,因此不建议在生产工作负荷中依赖它。

何时提供默认出站访问?

如果在 Azure 中部署虚拟机,但该虚拟机没有显式出站连接,则为其分配默认出站访问 IP。

默认出站访问示意图。

  • 默认保护

    • 默认情况下,不建议使用零信任网络安全原则在 Internet 打开虚拟网络。
  • 显式与隐式

    • 在授予对虚拟网络中资源的访问权限时,建议使用显式的连接方法,而不是隐式方法。
  • IP 地址丢失

    • 默认出站访问 IP 不归客户所有。 此 IP 可能随时发生变化。 此 IP 上的任何依赖项都可能会导致未来出现问题。

我要如何禁用默认出站访问?

有多种方法可以关闭默认出站访问:

  1. 添加显式出站连接方法

    • 将 NAT 网关关联到虚拟机的子网。

    • 将标准负载均衡器与配置的出站规则关联。

    • 将基本公共 IP 关联到虚拟机的网络接口(如果只有一个网络接口)。

    • 将标准公共 IP 关联到虚拟机的任何网络接口(如果有多个网络接口,使单个网络接口具有标准公共 IP 将阻止虚拟机的默认出站访问)。

重要

当后端池由 IP 地址配置时,它将使用默认出站访问,因为存在持续的已知问题。 若要在默认情况下保护有很高出站需求的配置和应用程序,请将 NAT 网关关联到负载均衡器后端池中的 VM,以保护流量。 查看有关现有已知问题的详细信息。

NAT 网关是建立显式出站连接的建议方法。 防火墙还可用于提供此访问权限。

约束

  • Windows 更新可能需要进行连接。

  • 默认出站访问 IP 不支持分段数据包。

后续步骤

有关 Azure 中的出站连接和 Azure 虚拟网络 NAT(NAT 网关),请参阅: