Azure 中的默认出站访问

在 Azure 中，在未定义显式出站连接的虚拟网络中创建的虚拟机将获分配默认出站公共 IP 地址。 此 IP 地址允许启用从资源到 Internet 的出站连接。 此访问称为“默认出站访问”。

虚拟机的显式出站连接示例包括：

• 在与 NAT 网关关联的子网中创建。

• 已在定义了出站规则的标准负载均衡器后端池中部署。

• 已在基本公共负载均衡器后端池中部署。

• 具有与之显式关联的公共 IP 地址的虚拟机。

如何提供默认出站访问？

用于访问的公共 IPv4 地址称为默认出站访问 IP。 此 IP 是隐式的，属于 Microsoft。 此 IP 地址可能会更改，因此不建议在生产工作负荷中依赖它。

何时提供默认出站访问？

如果在 Azure 中部署虚拟机，但该虚拟机没有显式出站连接，则为其分配默认出站访问 IP。

为什么建议禁用默认出站访问？

• 默认保护

  • 默认情况下，不建议使用零信任网络安全原则在 Internet 打开虚拟网络。

• 显式与隐式

  • 在授予对虚拟网络中资源的访问权限时，建议使用显式的连接方法，而不是隐式方法。

• IP 地址丢失

  • 客户不拥有默认的出站访问 IP。 此 IP 可能会更改，它的任何依赖都可能导致将来出现问题。

使用默认出站访问时无法正常工作的一些配置示例：

• 当在同一 VM 上有多个 NIC 时，所有 NIC 的默认出站 IP 不会一致。
• 纵向扩展/缩减虚拟机规模集时，分配给单个实例的默认出站 IP 可以且会更改。
• 同样，默认出站 IP 在虚拟机规模集中的 VM 实例之间不会一致或连续。

如何转换到公共连接的显式方法 (并禁用默认出站访问)？

有多种方法可以关闭默认出站访问。 以下部分介绍了可用的选项。

利用专用子网参数（公共预览版）

• 创建专用子网可防止子网中的任何虚拟机利用默认出站访问连接到公共终结点。

• 只能在创建子网期间设置用于创建专用子网的参数。

• 专用子网上的 VM 仍可以使用显式出站连接访问 Internet。

  注意

  某些服务在专用子网中的虚拟机上不起作用，没有显式的流出量方法（例如 Windows 激活和 Windows 更新）。

添加专用子网功能

• 在 Azure 门户中，确保在创建子网作为虚拟网络创建体验的一部分时选择启用专用子网的选项，如下所示：

• 使用 PowerShell 通过 New-AzVirtualNetworkSubnetConfig 创建子网时，请使用 DefaultOutboundAccess 选项并选择“$false”

• 使用 CLI 通过 az network vnetsubnet create 创建子网时，请使用 --default-outbound 选项并选择“false”

• 使用 Azure 资源管理器模板将 defaultOutboundAccess 参数的值设置为“false”

专用子网限制

• 为了利用激活/更新虚拟机操作系统（包括 Windows）的要求，必须采用显式出站连接方法。

• 无法将委派子网标记为“专用”。

• 当前无法将现有子网转换为专用子网。

• 在将流量发送到上游防火墙/网络虚拟设备的默认路由 (0/0) 使用用户定义的路由 (UDR) 的配置中，绕过此路由（例如服务标记目标）的任何流量都会在专用子网中中断。

添加显式出站连接方法

• 将 NAT 网关关联到虚拟机的子网。

• 关联一个已配置了出站规则的标准负载均衡器。

• 将标准公共 IP 关联到虚拟机的任何网络接口（如果有多个网络接口，使单个 NIC 具有标准公共 IP 将阻止虚拟机的默认出站访问）。

对虚拟机规模集使用灵活业务流程模式

• 默认情况下，灵活的规模集是安全的。 通过灵活规模集创建的任何实例都不会拥有与其关联的默认出站访问 IP，因此需要显示出站方法。 如需了解详细信息，请参阅适用于虚拟机规模集的灵活业务流程模式

如果我需要出站访问，有什么建议方法？

NAT 网关是建立显式出站连接的建议方法。 防火墙还可用于提供此访问权限。

约束

• Windows 激活和 Windows 更新需要使用公共连接。 建议设置一个公共出站连接的显式形式。

• 默认出站访问 IP 不支持分段数据包。

• 默认出站访问 IP 不支持 ICMP ping。

后续步骤

有关 Azure 中的出站连接和 Azure NAT 网关的详细信息，请参阅：

• 用于出站连接的源网络地址转换 (SNAT)。

• 什么是 Azure NAT 网关？

• Azure NAT 网关常见问题解答