Accès sortant par défaut dans Azure
Dans Azure, les machines virtuelles créées dans un réseau virtuel sans connectivité sortante explicite définie se voient attribuer une adresse IP publique sortante par défaut. Cette adresse IP active la connectivité sortante à partir des ressources sur Internet. Cet accès est appelé accès sortant par défaut.
Voici quelques exemples de connectivité sortante explicite pour les machines virtuels :
Créé dans un sous-réseau associé à une Passerelle NAT.
Déployé dans le pool principal d’un équilibreur de charge standard avec des règles sortantes définies.
Déployé dans le pool principal de l’équilibreur de charge public de base.
Des machines virtuelles avec des adresses IP publiques explicitement associées.
Comment l’accès sortant par défaut est-il fourni ?
L’adresse IPv4 publique utilisée pour l’accès est appelée adresse IP d’accès sortant par défaut. Cette adresse IP est implicite et appartient à Microsoft. Cette adresse IP est sujette à modification et il n’est pas recommandé d’en dépendre pour les charges de travail de production.
Quand l’accès sortant par défaut est-il fourni ?
Si vous déployez une machine virtuelle dans Azure et que celle-ci ne dispose pas d’une connectivité sortante explicite, une adresse IP d’accès sortant par défaut lui est affectée.
Important
Le 30 septembre 2025, l’accès sortant par défaut pour les nouveaux déploiements sera mis hors service. Pour plus d’informations, consultez l’annonce officielle. Nous vous recommandons d’utiliser une des formes explicites de connectivité décrites dans la section suivante.
Pourquoi la désactivation de l’accès sortant par défaut est-elle recommandée ?
Sécurisé par défaut
- Il n’est pas recommandé d’ouvrir un réseau virtuel sur Internet par défaut en utilisant le principe de sécurité réseau Confiance Zéro.
Explicite versus implicite
- Il est recommandé d’avoir des méthodes de connectivité explicites plutôt qu’implicites lorsque vous autorisez l’accès aux ressources de votre réseau virtuel.
Perte d’adresse IP
- Les clients ne possèdent pas l’adresse IP d’accès sortant par défaut. Il est possible que cette adresse IP change et toute dépendance sur cette dernière peut entraîner des problèmes à l’avenir.
Voici quelques exemples de configurations qui ne fonctionnent pas avec l’accès sortant par défaut :
- Lorsque vous avez plusieurs cartes d’interface réseau sur la même machine virtuelle, les adresses IP sortantes par défaut ne sont pas toujours identiques sur toutes ces cartes.
- Lorsque vous effectuez un scale-up ou un scale-down des groupes de machines virtuelles identiques, les adresses IP sortantes par défaut affectées à des instances individuelles peuvent changer.
- De même, les adresses IP sortantes par défaut ne sont pas cohérentes ou adjacentes entre les instances de machines virtuelles dans un groupe de machines virtuelles identiques.
Comment passer à une méthode explicite de connectivité publique (et désactiver l’accès sortant par défaut) ?
Il existe plusieurs façons de désactiver l’accès sortant par défaut. Les sections suivantes décrivent les options qui vous sont disponibles.
Utiliser le paramètre de sous-réseau privé (préversion publique)
Important
Les sous-réseaux privés sont actuellement en préversion publique. Cette préversion est fournie sans contrat de niveau de service et n’est pas recommandée pour les charges de travail de production. Certaines fonctionnalités peuvent être limitées ou non prises en charge. Pour plus d’informations, consultez Conditions d’Utilisation Supplémentaires relatives aux Évaluations Microsoft Azure.
La création d’un sous-réseau privé empêche les machines virtuelles du sous-réseau d’utiliser l’accès sortant par défaut pour se connecter aux points de terminaison publics.
Les machines virtuelles sur un sous-réseau privé peuvent toujours accéder à Internet à l’aide d’une connectivité sortante explicite.
Remarque
Certains services ne fonctionnent pas sur une machine virtuelle dans un sous-réseau privé sans méthode explicite de sortie (par exemple Windows Activation et Windows Updates).
Ajoutez la fonctionnalité de sous-réseau privé
- Dans le portail Azure, vérifiez que l’option pour activer le sous-réseau privé est sélectionnée dans le cadre de l’expérience de création/modification du sous-réseau du réseau virtuel, comme indiqué ci-dessous :
Avec PowerShell, lors de la création d’un sous-réseau avec New-AzVirtualNetworkSubnetConfig, utilisez l’option
DefaultOutboundAccess
et choisissez « $false ». Après la création, un sous-réseau peut être défini en utilisant Set-AzVirtualNetworkSubnetConfig.Avec l’interface CLI, lors de la création d’un sous-réseau avec az network vnet subnet create, utilisez l’option
--default-outbound
et choisissez « false ». Après la création, un sous-réseau peut être défini en utilisant az network vnet subnet update.Avec un modèle Azure Resource Manager, définissez la valeur du paramètre
defaultOutboundAccess
sur « false ».
Limitations du sous-réseau privé
Pour activer ou mettre à jour des systèmes d’exploitation de machines virtuelles, tels que Windows, une méthode de connectivité sortante explicite est requise.
Dans les configurations utilisant un itinéraire défini par l’utilisateur (UDR) avec un itinéraire par défaut (0/0) qui envoie le trafic à une appliance virtuelle de pare-feu/réseau en amont, tout trafic qui contourne cet itinéraire (par exemple, vers les destinations avec une étiquette de service) s’interrompt dans un sous-réseau privé.
Ajouter une méthode de connectivité sortante explicite
Associer une passerelle NAT au sous-réseau de votre machine virtuelle.
Associer un équilibreur de charge standard à des règles de trafic sortant configurées.
Associez une adresse IP publique Standard à l’une des interfaces réseau de la machine virtuelle (s’il existe plusieurs interfaces réseau, le fait d’en avoir une seule carte réseau avec une adresse IP publique Standard empêche l’accès sortant par défaut pour la machine virtuelle).
Utilisez le mode d’orchestration flexible pour Microsoft Azure Virtual Machine Scale Sets
- Les paramètres de mise à l’échelle flexibles sont sécurisés par défaut. Aucune instance créée via des groupes identiques flexibles ne sera associée à l’adresse IP d’accès sortant par défaut : une méthode sortante explicite est donc nécessaire. Pour plus d’informations, veuillez vous référer au mode d’orchestration flexible pour les paramètres de mise à l’échelle des machines virtuelles
Important
Quand un pool de back-ends d’équilibreur de charge est configuré par adresse IP, il utilise l’accès sortant par défaut en raison d’un problème connu. Pour sécuriser par défaut la configuration et les applications avec des besoins sortants exigeants, associez une passerelle NAT aux machines virtuelles du pool principal de votre équilibreur de charge pour sécuriser le trafic. Apprenez-en plus sur les problèmes existants connus.
Si j’ai besoin d’un accès sortant, quelle est la méthode recommandée ?
La passerelle NAT est l’approche recommandée pour disposer d’une connectivité sortante explicite. Un pare-feu peut également être utilisé pour fournir cet accès.
Contraintes
L’adresse IP d’accès sortant par défaut ne prend pas en charge les paquets fragmentés.
L’adresse IP d’accès sortant par défaut ne prend pas en charge les pings ICMP.
Étapes suivantes
Pour plus d’informations sur les connexions sortantes dans Azure et Azure NAT Gateway, consultez :