Acesso de saída padrão no Azure

No Azure, quando você implanta uma VM (máquina virtual) em uma rede virtual sem um método de conectividade de saída explicitamente definido, o Azure atribui automaticamente um endereço IP público de saída. Este endereço IP permite a conectividade de saída dos recursos com a internet e com outros pontos de extremidade públicos na Microsoft. Esse acesso é conhecido como acesso de saída padrão.

Entre os exemplos de conectividade de saída explícita para máquinas virtuais estão:

Implantado em uma sub-rede associada a um gateway nat.
Implantado no pool de back-end de um balanceador de carga padrão com regras de saída definidas.
Implantado no pool de back-end de um balanceador de carga público básico.
Máquinas virtuais com endereços IP públicos explicitamente associados a elas.

Diagrama de opções de saída explícitas.

Como e quando o acesso de saída padrão é fornecido

Se uma VM (Máquina Virtual) for implantada sem um método de conectividade de saída explícito, o Azure atribuirá um endereço IP público de saída padrão. Este IP, conhecido como IP de acesso padrão à saída, é de propriedade da Microsoft e pode ser alterado sem aviso prévio. Ele não é recomendado para cargas de trabalho de produção.

Observação

Em algun21s casos, um IP de saída padrão ainda é atribuído a máquinas virtuais em uma sub-rede não privada, mesmo quando um método de saída explícito — como um Gateway da NAT ou uma UDR que direciona o tráfego para um NVA/firewall — está configurado. Isso não significa que os IPs de saída padrão sejam usados para saída, a menos que esses métodos explícitos sejam removidos. Para remover completamente os IPs de saída padrão, a sub-rede deve ser tornada privada e as máquinas virtuais devem ser paradas e desalocadas.

Importante

Após 31 de março de 2026, novas redes virtuais usarão, por padrão, as sub-redes privadas, por isso um método de saída explícito deve ser habilitado para alcançar pontos de extremidade públicos na Internet e dentro da Microsoft. Para saber mais, confira o anúncio oficial. Recomendamos que você use uma das formas explícitas de conectividade discutidas na seção a seguir. Para outras dúvidas, confira a seção "Perguntas frequentes: Alteração de Comportamento Padrão para Sub-redes Privadas".

Por que recomendamos desabilitar o acesso de saída padrão?

Segurança: o acesso à Internet padrão contradiz princípios de Confiança Zero.
Clareza: a conectividade explícita é preferível ao acesso implícito.
Estabilidade: o IP de saída padrão não é de propriedade do cliente e pode ser alterado, causando possíveis interrupções.

Alguns exemplos de configurações que não funcionam ao usar o acesso de saída padrão:

Várias NICs em uma VM podem gerar IPs de saída divergentes
Dimensionar Conjuntos de Dimensionamento de Máquinas Virtuais do Azure pode resultar na alteração dos IPs de saída
Os IPs de saída não são consistentes nem contíguos entre instâncias de conjuntos de dimensionamento de máquinas virtuais

Além disso:

Os IPs de acesso de saída padrão não dão suporte a pacotes fragmentados
Os IPs de acesso de saída padrão não dão suporte a pings ICMP

Como posso fazer a transição para um método explícito de conectividade pública (e desabilitar o acesso de saída padrão)?

Visão geral de sub-redes privadas

A criação de uma sub-rede para ser Privada impede que as máquinas virtuais na sub-rede utilizem o acesso de saída padrão para se conectar a pontos de extremidade públicos.
As VMs em uma sub-rede privada ainda podem acessar a internet (ou qualquer ponto de extremidade público na Microsoft) usando conectividade de saída explícita.

Observação

Determinados serviços não funcionam em uma máquina virtual em uma sub-rede privada sem um método explícito de saída (exemplos são Ativação do Windows e Atualizações do Windows).

Como configurar sub-redes privadas

No portal do Azure, selecione a sub-rede e marque a caixa de seleção para habilitar a sub-rede privada, conforme mostrado:

Captura de tela do portal do Azure mostrando a opção Sub-rede privada.

Usando o PowerShell, o script a seguir usa os nomes do Grupo de Recursos e da Rede Virtual e faz loops por meio de cada sub-rede para habilitar a sub-rede privada.

$resourceGroupName = ""
$vnetName = ""
 
$vnet = Get-AzVirtualNetwork -ResourceGroupName $resourceGroupName -Name $vnetName
 
foreach ($subnet in $vnet.Subnets) {
    if ($subnet.DefaultOutboundAccess -eq $null) {
        $subnet.DefaultOutboundAccess = $false
        Write-Output "Set 'defaultoutboundaccess' to \$false for subnet: $($subnet.Name)"
    } 
    elseif ($subnet.DefaultOutboundAccess -eq $false) {
        # Output message if the value is already $false
        Write-Output "already private for subnet: $($subnet.Name)"
    }
}
Set-AzVirtualNetwork -VirtualNetwork $vnet

Ao usar a CLI, atualize a sub-rede com az network vnet subnet update e defina --default-outbound como "falso"

az network vnet subnet update --resource-group rgname --name subnetname --vnet-name vnetname --default-outbound false

Usando um modelo do Azure Resource Manager, defina o valor do parâmetro defaultOutboundAccess como "false"

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vnetName": {
      "type": "string",
      "defaultValue": "testvm-vnet"
    },
    "subnetName": {
      "type": "string",
      "defaultValue": "default"
    },
    "subnetPrefix": {
      "type": "string",
      "defaultValue": "10.1.0.0/24"
    },
    "vnetAddressPrefix": {
      "type": "string",
      "defaultValue": "10.1.0.0/16"
    }
  },
  "resources": [
    {
      "type": "Microsoft.Network/virtualNetworks",
      "apiVersion": "2023-11-01",
      "name": "[parameters('vnetName')]",
      "___location": "westus2",
      "properties": {
        "addressSpace": {
          "addressPrefixes": [
            "[parameters('vnetAddressPrefix')]"
          ]
        },
        "subnets": [
          {
            "name": "[parameters('subnetName')]",
            "properties": {
              "addressPrefix": "[parameters('subnetPrefix')]",
              "defaultoutboundaccess": false
            }
          }
        ]
      }
    }
  ]
}

Limitações de sub-redes privadas

Para ativar ou atualizar sistemas operacionais de máquina virtual, como o Windows, é necessário um método de conectividade de saída explícito.
Em configurações que usam as UDRs (rotas definidas pelo usuário), todas as rotas configuradas com o tipo de próximo salto Internet são desfeitas em uma sub-rede privada.
- Um exemplo comum é o uso de uma UDR para direcionar o tráfego para um dispositivo virtual/firewall de rede upstream, com exceções para determinadas marcas de serviço do Azure ignorarem a inspeção.
  - Uma rota padrão para o destino 0.0.0.0/0, com o tipo de próximo salto Dispositivo Virtual se aplica no caso geral.
  - Uma ou mais rotas são configuradas para destinos de marca de serviço com o tipo de próximo salto Internet, para ignorar o NVA/o firewall. A menos que um método de conectividade de saída explícito também esteja configurado para a origem da conexão com esses destinos, as tentativas de conexão com esses destinos falharão, pois o acesso de saída padrão não está disponível.
- Essa limitação não se aplica ao uso de pontos de extremidade de serviço, que usam um tipo de próximo salto VirtualNetworkServiceEndpoint diferente. Consulte pontos de extremidade de serviço da Rede Virtual.
As máquinas virtuais ainda podem acessar contas de Armazenamento do Microsoft Azure na mesma região em uma sub-rede privada sem um método explícito de saída. É recomendável usar NSGs para controlar a conectividade de saída.
Sub-redes privadas não são aplicáveis a sub-redes delegadas ou gerenciadas usadas para hospedar serviços de PaaS. Nesses cenários, a conectividade de saída é gerenciada pelo serviço individual.

Importante

Quando um pool de back-end do balanceador de carga é configurado por endereço IP, ele usa o acesso de saída padrão devido a um problema conhecido contínuo. Para uma configuração segura por padrão e para aplicativos com necessidades de saída exigentes, associe um gateway NAT às VMs no pool de back-end do balanceador de carga para garantir a segurança do tráfego. Veja mais sobre problemas conhecidos existentes.

Adicionar um método de saída explícito

Associar um gateway de NAT à sub-rede da sua VM. Observe que este é o método recomendado para a maioria dos cenários.
Associar um balanceador de carga padrão configurado com as regras de saída.
Associe um IP público Standard a qualquer uma das interfaces de rede da máquina virtual.
Adicione um Firewall ou NVA (Solução de Virtualização de Rede) à sua rede virtual e aponte o tráfego para ela usando uma UDR (Rota Definida pelo Usuário).

Usar o modo de orquestração flexível para Conjuntos de Dimensionamento de Máquinas Virtuais

Os conjuntos de dimensionados flexíveis são seguros por padrão. Todas as instâncias criadas por meio de conjuntos de dimensionamento flexíveis não têm o IP de acesso de saída padrão associado a elas, portanto, é necessário um método de saída explícito. Para obter mais informações, confira Modo de orquestração flexível para Conjuntos de Dimensionamento de Máquinas Virtuais

Perguntas Frequentes: Limpar o Alerta de IP de Saída Padrão

Por que vejo um alerta informando que tenho um IP de saída padrão na minha VM?

Há um parâmetro no nível da NIC (defaultOutboundConnectivityEnabled) que rastreia se o IP de saída padrão está alocado a uma instância de VM/VMSS. Isso é usado para gerar uma barra de notificação do portal do Azure para VM/VMSS que sinaliza este estado. Também há reccomendações específicas do Assistente do Azure com essas informações para suas assinaturas. Se você quiser exibir quais das suas máquinas virtuais ou conjuntos de dimensionamento de máquinas virtuais têm um IP de saída padrão atribuído a elas, siga estas etapas:

Digite "Assistente" na barra de pesquisa no portal do Azure e selecione essa opção quando ela aparecer.
Selecione 'Excelência Operacional'
Procure as recomendações 'Adicionar método de saída explícito para desabilitar a saída padrão' e/ou 'Adicionar método de saída explícito para desabilitar a saída padrão para Conjuntos de Dimensionamento de Máquinas Virtuais' (observe que isso são dois itens distintos)
Se qualquer um destes existir, selecione o nome da recomendação respectiva e você verá as NICs (placas de interface de rede) de todas as máquinas virtuais/conjuntos de dimensionamento de máquinas virtuais que têm a saída de rede padrão habilitada.

Como fazer para limpar esse alerta?

Um método explícito de saída deve ser utilizado para a VM/VMSS sinalizada. Confira a seção acima para ver as diferentes opções.
A sub-rede deve ser tornada privada para impedir a criação de novos IPs de saída padrão.
Qualquer máquina virtual aplicável na sub-rede com o sinalizador deve ser parada e desalocada para que as alterações sejam refletidas no parâmetro de nível de NIC e o sinalizador seja limpo. (Observe que isso também é verdadeiro no sentido inverso; para que um computador receba um IP de saída padrão após definir o parâmetro de nível de sub-rede como falso, é necessário parar/desalocar a máquina virtual.)

Já estou usando um método explícito de saída, então por que ainda vejo este alerta?

Em algun21s casos, um IP de saída padrão ainda é atribuído a máquinas virtuais em uma sub-rede não privada, mesmo quando um método de saída explícito — como um Gateway da NAT ou uma UDR que direciona o tráfego para um NVA/firewall — está configurado. Isso não significa que os IPs de saída padrão sejam usados para saída, a menos que esses métodos explícitos sejam removidos. Para remover completamente os IPs de saída padrão (e remover o alerta), a sub-rede deve ser privada e as máquinas virtuais devem ser paradas e desalocadas.

Perguntas Frequentes: Alteração do Comportamento Padrão para Sub-redes Privadas

O que significa tornar as sub-redes privadas padrão e como elas serão implementadas?

Com a versão da API lançada após 31 de março de 2026, a propriedade defaultOutboundAccess para sub-redes em novas VNETs será definida como "false" por padrão. Essa alteração torna as sub-redes privadas por padrão e impede a geração de IPs de saída padrão para máquinas virtuais nessas sub-redes. Esse comportamento se aplica a todos os métodos de configuração: modelos ARM, portal do Azure, PowerShell e CLI. Versões anteriores de modelos ARM (ou ferramentas como Terraform que podem especificar versões mais antigas) continuarão a definir defaultOutboundAccess como nulo, o que permitirá implicitamente o acesso de saída.

O que acontece com minhas VNETs e máquinas virtuais existentes? E as novas máquinas virtuais criadas em VNETs existentes?

Nenhuma alteração será feita nas VNETs existentes. Isso significa que tanto as máquinas virtuais existentes quanto as recém-criadas nessas VNETs continuarão a gerar endereços IP de saída padrão, a menos que as sub-redes sejam modificadas manualmente para se tornarem privadas.

E as novas implantações de rede virtual? Minha infraestrutura depende de IPs de saída padrão e ainda não está pronta para mover para sub-redes privadas.

Você ainda pode configurar sub-redes como não privadas usando qualquer método com suporte (modelos ARM, portal, CLI, PowerShell). Isso garante compatibilidade para infraestruturas que dependem de IPs de saída padrão e ainda não estão prontas para a transição para sub-redes privadas.

Próximas etapas

Para obter mais informações sobre conexões de saída no Azure, consulte:

Comentários

Esta página foi útil?

Last updated on 2025-10-31