Freigeben über

Standardzugriff in ausgehender Richtung in Azure

Wenn in Azure ein virtueller Computer (VM) in einem virtuellen Netzwerk ohne eine explizit definierte ausgehende Konnektivitätsmethode bereitgestellt wird, wird automatisch eine ausgehende öffentliche IP-Adresse zugewiesen. Diese IP-Adresse ermöglicht ausgehende Konnektivität von den Ressourcen zum Internet und zu anderen öffentlichen Endpunkten in Microsoft. Dieser Zugriff wird als Standardzugriff in ausgehender Richtung bezeichnet.

Beispiele für explizite ausgehende Konnektivität für virtuelle Computer sind:

  • Bereitgestellt in einem Subnetz, das einem NAT-Gateway zugeordnet ist.
  • Im Back-End-Pool einer Load Balancer Standard-Instanz mit definierten Ausgangsregeln bereitgestellt.
  • Im Back-End-Pool eines öffentlichen Load Balancer vom Typ „Basic“ bereitgestellt.
  • Virtuelle Computer mit ihnen explizit zugeordneten öffentlichen IP-Adressen.

Diagramm expliziter Ausgangsoptionen

Wie und wann standardmäßiger ausgehender Zugriff bereitgestellt wird

Wenn ein virtueller Computer (VM) ohne explizite ausgehende Konnektivitätsmethode bereitgestellt wird, weist Azure ihm eine standardmäßige öffentliche IP-Adresse zu. Diese IP, die als standardmäßige ausgehende Zugriffs-IP bezeichnet wird, gehört Microsoft und kann sich ohne Vorheriges ändern. Für Produktionsworkloads nicht empfohlen.

Diagramm der Entscheidungsstruktur für den standardmäßigen ausgehenden Zugriff.

Wichtig

Nach dem 30. September 2025 werden neue virtuelle Netzwerke standardmäßig private Subnetze verwenden, was bedeutet, dass eine explizite ausgehende Methode aktiviert werden muss, um öffentliche Endpunkte im Internet und in Microsoft zu erreichen. Weitere Informationen finden Sie in der offiziellen Ankündigung. Es wird empfohlen, eine der expliziten Formen der Konnektivität zu verwenden, die im folgenden Abschnitt erläutert werden.

  • Sicherheit: Der Standardzugriff im Internet widerspricht zero Trust-Prinzipien.

  • Klarheit: Explizite Konnektivität wird gegenüber impliziten Zugriff bevorzugt.

  • Stabilität: Die standardmäßige ausgehende IP ist nicht im Besitz des Kunden und kann sich ändern, was zu potenziellen Unterbrechungen führt.

Einige Beispiele für Konfigurationen, die bei Verwendung des standardmäßigen ausgehenden Zugriffs nicht funktionieren:

  • Mehrere NICs auf einem virtuellen Computer können zu inkonsistenten ausgehenden IPs führen
  • Das Skalieren von VM-Skalierungssätzen kann dazu führen, dass ausgehende IPs geändert werden.
  • Ausgehende IPs sind nicht konsistent oder zusammenhängend über VMSS-Instanzen hinweg

Außerdem greift

  • Standardmäßige ausgehende Zugriffs-IPs unterstützen keine fragmentierten Pakete.
  • Standardmäßige IPs für ausgehenden Zugriff unterstützen keine ICMP-Pings

Wie kann ich zu einer expliziten Methode der öffentlichen Konnektivität wechseln (und den standardmäßigen ausgehenden Zugriff deaktivieren)?

Übersicht über private Subnetze

  • Das Erstellen eines Subnetzes als „privat“ verhindert, dass VMs im Subnetz standardmäßigen ausgehenden Zugriff verwenden, um eine Verbindung mit öffentlichen Endpunkten herzustellen.
  • Virtuelle Computer in einem privaten Subnetz können weiterhin über eine explizite ausgehende Verbindung auf das Internet (oder alle öffentlichen Endpunkte in Microsoft) zugreifen.

    Hinweis

    Bestimmte Dienste funktionieren nicht auf einem virtuellen Computer in einem privaten Subnetz ohne eine explizite Methode des Ausgangs (Beispiele sind Windows-Aktivierung und Windows-Updates).

So konfigurieren Sie private Subnetze

  • Wählen Sie im Azure-Portal das Subnetz aus, und aktivieren Sie das Kontrollkästchen, um das private Subnetz wie gezeigt zu aktivieren:

Screenshot des Azure-Portals mit der Option

  • Mithilfe von PowerShell verwendet das folgende Skript die Namen der Ressourcengruppe und des virtuellen Netzwerks und durchläuft jedes Subnetz, um ein privates Subnetz zu aktivieren.
$resourceGroupName = ""
$vnetName = ""
 
$vnet = Get-AzVirtualNetwork -ResourceGroupName $resourceGroupName -Name $vnetName
 
foreach ($subnet in $vnet.Subnets) {
    if ($subnet.DefaultOutboundAccess -eq $null) {
        $subnet.DefaultOutboundAccess = $false
        Write-Output "Set 'defaultoutboundaccess' to \$false for subnet: $($subnet.Name)"
    } 
    elseif ($subnet.DefaultOutboundAccess -eq $false) {
        # Output message if the value is already $false
        Write-Output "already private for subnet: $($subnet.Name)"
    }
}
Set-AzVirtualNetwork -VirtualNetwork $vnet

az network vnet subnet update --resource-group rgname --name subnetname --vnet-name vnetname --default-outbound false
  • Stellen Sie mit einer Azure Resource Manager-Vorlage den Wert des Parameters defaultOutboundAccess auf „false“.
{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vnetName": {
      "type": "string",
      "defaultValue": "testvm-vnet"
    },
    "subnetName": {
      "type": "string",
      "defaultValue": "default"
    },
    "subnetPrefix": {
      "type": "string",
      "defaultValue": "10.1.0.0/24"
    },
    "vnetAddressPrefix": {
      "type": "string",
      "defaultValue": "10.1.0.0/16"
    }
  },
  "resources": [
    {
      "type": "Microsoft.Network/virtualNetworks",
      "apiVersion": "2023-11-01",
      "name": "[parameters('vnetName')]",
      "___location": "westus2",
      "properties": {
        "addressSpace": {
          "addressPrefixes": [
            "[parameters('vnetAddressPrefix')]"
          ]
        },
        "subnets": [
          {
            "name": "[parameters('subnetName')]",
            "properties": {
              "addressPrefix": "[parameters('subnetPrefix')]",
              "defaultoutboundaccess": false
            }
          }
        ]
      }
    }
  ]
}

Einschränkungen privater Subnetze

  • Zum Aktivieren oder Aktualisieren von Betriebssystemen virtueller Computer, z. B. Windows, ist eine explizite ausgehende Konnektivitätsmethode erforderlich.

  • Bei Konfigurationen mit benutzerdefinierten Routen (USER Defined Routes, UDRs) funktionieren alle konfigurierten Routen mit dem nächsten HoptypInternet in einem privaten Subnetz nicht mehr.

    • Ein gängiges Beispiel ist die Verwendung einer UDR, um den Datenverkehr zu einer vorgelagerten virtuellen Netzwerk-Appliance/Firewall zu leiten, wobei bestimmte Azure-Diensttags von der Überprüfung ausgenommen sind.

      • Eine Standardroute für das Ziel 0.0.0.0/0, wobei im Allgemeinen der nächste Hoptyp „Virtual Appliance“ gilt.

      • Mindestens eine Route wird für Diensttagziele mit dem nächsten Hoptyp Internet konfiguriert, um die NVA/Firewall zu umgehen. Wenn keine explizite ausgehende Konnektivitätsmethode für die Quelle der Verbindung mit diesen Zielen konfiguriert ist, schlagen Versuche zur Verbindung mit diesen Zielen fehl, da der standardmäßige ausgehende Zugriff nicht verfügbar ist.

    • Diese Einschränkung gilt nicht für die Verwendung von Dienstendpunkten, die einen anderen nächsten Hoptyp VirtualNetworkServiceEndpoint verwenden. Weitere Informationen finden Sie unter Verwenden von VNET-Dienstendpunkten.

  • Private Subnetze gelten nicht für delegierte oder verwaltete Subnetze, die für das Hosting von PaaS-Diensten verwendet werden. In diesen Szenarien wird die ausgehende Konnektivität vom einzelnen Dienst verwaltet.

Wichtig

Wenn ein Back-End-Pool für das Lastenausgleichsmodul durch IP-Adresse konfiguriert ist, verwendet er den standardmäßigen ausgehenden Zugriff aufgrund eines laufenden bekannten Problems. Für sichere standardmäßige Konfigurationen und Anwendungen mit hohen Anforderungen an ausgehenden Datenverkehr ordnen Sie den VMs im Back-End-Pool Ihres Lastenausgleichs ein NAT-Gateway zu, um den Datenverkehr zu sichern. Weitere Informationen zu vorhandenen bekannten Problemen.

Hinzufügen einer expliziten ausgehenden Methode

  • Dem Subnetz Ihres virtuellen Computers ein NAT-Gateway zuordnen. Beachten Sie, dass dies die empfohlene Methode für die meisten Szenarien ist.
  • Ordnen Sie Load Balancer Standard mit konfigurierten Ausgangsregeln zu.
  • Ordnen Sie eine öffentliche Standard-IP-Adresse einer der Netzwerkschnittstellen der VM zu (wenn mehrere Netzwerkschnittstellen vorhanden sind, verhindert die Verwendung einer einzelnen NIC mit einer öffentlichen Standard-IP-Adresse den standardmäßigen ausgehenden Zugriff für die VM).
  • Fügen Sie ihrem virtuellen Netzwerk eine Firewall oder eine NVA (Network Virtual Appliance) hinzu, und verweisen Sie mithilfe einer benutzerdefinierten Route (UDR) auf den Datenverkehr.

Hinweis

Es gibt einen NIC-Level-Parameter (defaultOutboundConnectivityEnabled), der nachverfolgt, ob standardmäßiger ausgehender Zugriff verwendet wird. Der Ratgeber „Hinzufügen einer explizit ausgehenden Methode, um den standardmäßigen ausgehenden Vorgang zu deaktivieren“ überprüft diesen Parameter.

Wichtig

Damit die Änderungen übernommen werden und die Aktion abgeschlossen werden kann, müssen die entsprechenden virtuellen Maschinen in einem Subnetz angehalten/freigegeben werden. (Dies gilt auch im umgekehrten Fall. Damit ein Computer eine standardmäßige ausgehende IP erhält, nachdem der Parameter auf Subnetzebene auf "false" festgelegt wurde, ist ein Stop/Deallocate des virtuellen Computers erforderlich.)

Verwenden des flexiblen Orchestrierungsmodus für Virtual Machine Scale Sets

  • Flexible Skalierungen sind standardmäßig sicher. Keiner der Instanzen, die über flexible Skalierungsgruppen erstellt werden, verfügt über die Standard-IP-Adresse für den ausgehenden Zugriff, die ihnen zugeordnet ist, sodass eine explizite ausgehende Methode erforderlich ist. Weitere Informationen finden Sie unter Flexibler Orchestrierungsmodus für Virtual Machine Scale Sets

Nächste Schritte

Weitere Informationen zu ausgehenden Verbindungen in Azure finden Sie unter: