Acceso de salida predeterminado en Azure
En Azure, a las máquinas virtuales creadas en una red virtual sin conectividad de salida explícita definida se les asigna una dirección IP pública de salida predeterminada. Esta dirección IP permite la conectividad de salida desde los recursos a Internet. Este acceso se conoce como acceso de salida predeterminado.
Algunos ejemplos de conectividad de salida explícita para máquinas virtuales son:
Creadas dentro de una subred asociada a una puerta de enlace NAT.
Implementado en el grupo de back-end de un equilibrador de carga estándar con reglas de salida definidas.
Implementado en el grupo de back-end de un equilibrador de carga público básico.
Máquinas virtuales con direcciones IP públicas asociadas explícitamente a ellas.
¿Cómo se proporciona el acceso de salida predeterminado?
La dirección IPv4 pública que se usa para el acceso se denomina dirección IP de acceso de salida predeterminada. Esta dirección IP es implícita y pertenece a Microsoft. Esta dirección IP está sujeta a cambios y no se recomienda depender de ella para cargas de trabajo de producción.
¿Cuándo se proporciona el acceso de salida predeterminado?
Si implementa una máquina virtual en Azure y no tiene conectividad de salida explícita, se le asigna una dirección IP de acceso de salida predeterminada.
Importante
El 30 de septiembre de 2025, se retirará el acceso de salida predeterminado para las nuevas implementaciones. Para obtener más información, consulte el anuncio oficial. Se recomienda usar una de las formas explícitas de conectividad descritas en la sección siguiente.
¿Por qué se recomienda deshabilitar el acceso de salida predeterminado?
Seguro de forma predeterminada
- No se recomienda abrir una red virtual a Internet de manera predeterminada mediante el principio de seguridad de red de confianza cero.
Método explícito frente a implícito
- Se recomienda tener métodos explícitos de conectividad en lugar de implícitos al conceder acceso a los recursos de la red virtual.
Pérdida de dirección IP
- Los clientes no poseen la dirección IP de acceso saliente predeterminada. Esta dirección IP podría cambiar y cualquier dependencia de ella podría causar problemas en el futuro.
Algunos ejemplos de configuraciones que no funcionarán al usar el acceso saliente predeterminado:
- Cuando tenga varias NIC en la misma máquina virtual, las direcciones IP de salida predeterminadas no serán siempre las mismas en todas las NIC.
- Al escalar o reducir verticalmente los conjuntos de escalado de máquinas virtuales, las direcciones IP de salida predeterminadas asignadas a instancias individuales pueden cambiar y cambiarán.
- Del mismo modo, las direcciones IP de salida predeterminadas no son coherentes ni contiguas entre instancias de máquina virtual en un conjunto de escalado de máquinas virtuales.
¿Cómo puedo realizar la transición a un método explícito de conectividad pública (y deshabilitar el acceso de salida predeterminado)?
Hay varias maneras de desactivar el acceso de salida predeterminado. En las secciones siguientes se describen las opciones disponibles.
Uso del parámetro Private Subnet (versión preliminar pública)
Importante
Las subredes privadas se encuentran actualmente en versión preliminar pública. Esta versión preliminar se ofrece sin Acuerdo de Nivel de Servicio y no se recomienda para cargas de trabajo de producción. Es posible que algunas características no sean compatibles o que tengan sus funcionalidades limitadas. Para más información, consulte Términos de uso complementarios de las Versiones Preliminares de Microsoft Azure.
La creación de una subred para que sea privada impide que las máquinas virtuales de la subred usen el acceso de salida predeterminado para conectarse a puntos de conexión públicos.
El parámetro para crear una subred privada solo se puede establecer durante la creación de una subred.
Las máquinas virtuales de una subred privada todavía pueden acceder a Internet mediante la conectividad saliente explícita.
Nota:
Algunos servicios no funcionarán en una máquina virtual en una subred privada sin un método explícito de salida (algunos ejemplos son la activación de Windows y Windows Update).
Adición de la característica de subred privada
- En Azure Portal, asegúrese de que la opción para habilitar la subred privada está seleccionada al crear una subred como parte de la experiencia de creación de red virtual, como se muestra a continuación:
Con PowerShell, al crear una subred con New-AzVirtualNetworkSubnetConfig, use la opción
DefaultOutboundAccess
y elija "$false"Con la CLI, al crear una subred con az network vnet subnet create, use la opción
--default-outbound
y elija "false".Con una plantilla de Azure Resource Manager, establezca el valor del parámetro
defaultOutboundAccess
como "false".
Limitaciones de la subred privada
Para su utilización a fin de activar/actualizar sistemas operativos de máquina virtual, incluido Windows, es un requisito tener un método de conectividad de salida explícito.
Las subredes delegadas no se pueden marcar como Privadas.
Actualmente, las subredes existentes no se pueden convertir en Privadas.
En las configuraciones que usan una ruta definida por el usuario (UDR) con una ruta predeterminada (0/0) que envía tráfico a una aplicación virtual de red o firewall ascendente, cualquier tráfico que omita esta ruta (por ejemplo, a destinos etiquetados por servicio) se interrumpe en una subred privada.
Agregue un método de conectividad de salida explícito.
Asocie una instancia de NAT Gateway a la subred de la máquina virtual.
Asocie un equilibrador de carga estándar configurado con reglas de salida.
Asocie una dirección IP pública estándar a cualquiera de las interfaces de red de la máquina virtual (si hay varias interfaces de red, al tener una sola NIC con una dirección IP pública estándar, se impedirá el acceso de salida predeterminado de la máquina virtual).
Uso del modo de orquestación flexible para Virtual Machine Scale Sets
- Los conjuntos de escalado flexibles son seguros de manera predeterminada. Las instancias creadas a través de conjuntos de escalado flexible no tienen asociada la dirección IP de acceso de salida predeterminada, por lo que se requiere un método de salida explícito. Para obtener más información, consulte ¿Qué son los conjuntos de escalado de máquinas virtuales?.
Importante
Cuando un grupo de back-end de equilibradores de carga está configurado por dirección IP, se usará el acceso de salida predeterminado debido a un problema conocido en curso. Para proteger la configuración de forma predeterminada y las aplicaciones con necesidades de salida exigentes, asocie una puerta de enlace NAT a las máquinas virtuales del grupo de back-end del equilibrador de carga para proteger el tráfico. Consulte más información sobre los problemas conocidos existentes.
Si necesito acceso de salida, ¿cuál es la manera recomendada?
NAT Gateway es el enfoque recomendado para tener conectividad de salida explícita. También se puede usar un firewall para proporcionar este acceso.
Restricciones
La conectividad pública es necesaria para la activación de Windows y Windows Update. Se recomienda configurar una forma explícita de conectividad de salida pública.
La dirección IP de acceso de salida predeterminada no admite paquetes fragmentados.
La dirección IP de acceso saliente predeterminada no admite pings ICMP.
Pasos siguientes
Para más información sobre las conexiones salientes en Azure y Azure NAT Gateway, consulta: