Azure 中的預設輸出存取權限
在 Azure 中,建立在虛擬網路中但未明確定義輸出連線能力的虛擬機器,會獲指派預設的輸出公用 IP 位址。 此 IP 位址可讓資源輸出連線到網際網路。 這項存取稱為預設輸出存取。
虛擬機器的明確輸出連線範例包括:
在與 NAT 閘道相關聯的子網路內建立。
部署在標準負載平衡器的後端集區中,並定義輸出規則。
部署在基本公用負載平衡器的後端集區中。
具有公用 IP 位址的虛擬機器與這些都明確相關聯。
如何提供預設輸出存取?
用於存取的公用 IPv4 位址稱為預設輸出存取 IP。 這是屬於 Microsoft 的隱含 IP。 此 IP 位址可能會變更,生產工作負載不建議相依於此。
何時提供預設輸出存取?
如果您在 Azure 中部署的虛擬機器沒有明確的輸出連線能力,即表示其獲指派預設輸出存取 IP。
重要
在 2025 年 9 月 30 日,新部署的預設輸出存取將會淘汰。 如需詳細資訊,請參閱官方公告。 建議您使用下一節所討論的其中一種明確連線形式。
為何會建議停用預設的輸出存取?
預設保護
- 根據預設,不建議使用 零信任 網路安全原則,將虛擬網路開啟至因特網。
明確與隱含
- 當您授與虛擬網路的資源存取權時,建議使用明確的連線方法,而不要使用隱含方法。
遺失 IP 位址
- 客戶未擁有預設的輸出存取 IP。 此 IP 可能會變更,而且其任何相依性可能會在未來造成問題。
使用預設輸出存取時將無法運作的一些設定範例:
- 當您在同一部 VM 上有多個 NIC 時,所有 NIC 的預設輸出 IP 不會一致相同。
- 擴大/縮小虛擬機器擴展集時,指派給個別執行個體的預設輸出 IP 可能會變更。
- 同樣地,虛擬機器擴展集中的 VM 執行個體之間的預設輸出 IP 也會不一致或不連續。
如何轉換至公用連線的明確方法 (以及停用預設輸出存取)?
有多種方式可以關閉預設輸出存取。 下列各節描述您可使用的選項。
利用私人子網路參數 (公開預覽)
重要
私人子網路目前為公開預覽。 此預覽版本是在沒有服務等級協定的情況下提供,不建議用於生產工作負載。 可能不支援特定功能,或可能已經限制功能。 如需詳細資訊,請參閱 Microsoft Azure 預覽版增補使用條款。
建立子網路為私人可防止子網路上的任何虛擬機器利用預設輸出存取來連線到公用端點。
私人子網路上的 VM 仍可以使用明確的輸出連線來存取網際網路。
注意
在沒有明確輸出方法時,某些服務在私人子網路的虛擬機器上無法運作 (例如 Windows 啟用和 Windows Update)。
新增私人子網路功能
- 從 Azure 入口網站,確定已選取啟用私人子網的選項,作為 虛擬網絡 子網建立/修改體驗的一部分,如下所示:
使用 PowerShell 使用 New-AzVirtualNetworkSubnetConfig 建立子網時,請使用
DefaultOutboundAccess
選項並選擇 [$false]。 建立之後,可以使用 Set-AzVirtualNetworkSubnetConfig 來設定子網。使用 CLI 建立具有 az network vnet subnet create 的子網時,請使用
--default-outbound
選項並選擇 “false”。 建立之後,可以使用 az network vnet subnet update 來設定子網。使用 Azure Resource Manager 範本,將參數的值
defaultOutboundAccess
設定為 「false」。
私人子網路限制
為了利用來啟動/更新虛擬機器作業系統,包括 Windows,需要有明確的輸出連線方法。
在使用具有的預設路由 (0/0) 會將流量傳送至上游防火牆/網路虛擬設備的使用者定義路由 (UDR) 設定中,任何略過此路由的流量 (例如服務標記目的地) 都會在私人子網路內中斷。
新增明確的輸出連線方法
使 NAT 閘道與虛擬機器的子網路產生關聯。
使設定的標準負載平衡器與輸出規則產生關聯。
使標準公用 IP 與任何虛擬機器網路介面產生關聯 (如果有多個網路介面,具有標準公用 IP 的單一 NIC 會防止虛擬機器的預設輸出存取)。
使用虛擬機器擴展集的彈性協調流程
- 彈性擴展集預設是安全的。 任何透過彈性擴展集建立的執行個體都沒有與其相關聯的預設輸出存取 IP,因此需要明確的輸出方法。 如需詳細資訊,請參閱虛擬機器擴展集的彈性協調流程模式
重要
當負載平衡器後端集區透過 IP 位址設定時,將會因為持續發生已知問題而使用預設的輸出存取。 針對具有嚴苛輸出需求的預設設定和應用程式,請將 NAT 閘道與您的負載平衡器後端集區中的 VM 產生關聯,以保護流量。 深入了解現有的已知問題。
如果我需要輸出存取,建議的方法為何?
想要明確的輸出連線能力,建議使用 NAT 閘道方法。 您也可以使用防火牆提供此存取權。
限制
預設輸出存取 IP 不支援分散的封包。
預設輸出存取 IP 不支援 ICMP Ping。
下一步
如需 Azure 和 Azure NAT 閘道中輸出連線的詳細資訊,請參閱: