Azure'da varsayılan giden erişim

Azure'da, açık giden bağlantısı tanımlı olmayan bir sanal ağda oluşturulan sanal makinelere varsayılan bir giden genel IP adresi atanır. Bu IP adresi, kaynaklardan İnternet'e giden bağlantıyı etkinleştirir. Bu erişim varsayılan giden erişim olarak adlandırılır.

Sanal makineler için açık giden bağlantı örnekleri şunlardır:

  • NAT ağ geçidiyle ilişkilendirilmiş bir alt ağ içinde oluşturulur.

  • Standart yük dengeleyicinin arka uç havuzuna, tanımlanan giden kurallarıyla dağıtılır.

  • Temel bir genel yük dengeleyicinin arka uç havuzunda dağıtılır.

  • Genel IP adresleri açıkça ilişkili sanal makineler.

Açık giden seçeneklerinin diyagramı.

Varsayılan giden erişim nasıl sağlanır?

Erişim için kullanılan genel IPv4 adresi, varsayılan giden erişim IP'si olarak adlandırılır. Bu IP örtülüdür ve Microsoft'a aittir. Bu IP adresi değiştirilebilir ve üretim iş yükleri için buna bağlı olması önerilmez.

Varsayılan giden erişim ne zaman sağlanır?

Azure'da bir sanal makine dağıtıyorsanız ve açık giden bağlantısı yoksa, bu makineye varsayılan bir giden erişim IP'si atanır.

Varsayılan giden erişim için karar ağacı diyagramı.

Önemli

30 Eylül 2025'te, yeni dağıtımlar için varsayılan giden erişim kullanımdan kaldırılacaktır. Daha fazla bilgi için resmi duyuruya bakın. Aşağıdaki bölümde açıklanan açık bağlantı biçimlerinden birini kullanmanızı öneririz.

  • Varsayılan olarak güvenli

    • Sıfır Güven ağ güvenlik ilkesini kullanarak varsayılan olarak İnternet'e bir sanal ağ açmanız önerilmez.
  • Açık ve örtük karşılaştırması

    • Sanal ağınızdaki kaynaklara erişim izni vermek için örtük yerine açık bağlantı yöntemlerine sahip olmanız önerilir.
  • IP adresi kaybı

    • Müşteriler varsayılan giden erişim IP'sine sahip değildir. Bu IP değişebilir ve bu ip üzerindeki tüm bağımlılıklar gelecekte sorunlara neden olabilir.

Varsayılan giden erişim kullanılırken çalışmayan bazı yapılandırma örnekleri:

  • Aynı VM'de birden çok NIC'niz olduğunda, varsayılan giden IP'ler tüm NIC'lerde tutarlı olarak aynı olmaz.
  • Sanal Makine Ölçek kümelerinin ölçeği artırılırken/azaltılırken, tek tek örneklere atanan varsayılan giden IP'ler değişebilir ve değişebilir.
  • Benzer şekilde, sanal makine ölçek kümesindeki VM örnekleri arasında varsayılan giden IP'ler tutarlı veya bitişik değildir.

Açık bir genel bağlantı yöntemine nasıl geçiş yapabilirim (ve varsayılan giden erişimi devre dışı bırakabilirim)?

Varsayılan giden erişimi kapatmanın birden çok yolu vardır. Aşağıdaki bölümlerde kullanabileceğiniz seçenekler açıklanmaktadır.

Özel Alt Ağ parametresini kullanma (genel önizleme)

Önemli

Özel Alt Ağlar şu anda genel önizleme aşamasındadır. Önizleme sürümü bir hizmet düzeyi sözleşmesi olmadan sağlanır ve üretim iş yüklerinde kullanılması önerilmez. Bazı özellikler desteklenmiyor olabileceği gibi özellikleri sınırlandırılmış da olabilir. Daha fazla bilgi için bkz. Microsoft Azure Önizlemeleri Ek Kullanım Koşulları.

  • Özel olacak bir alt ağ oluşturmak, alt ağ üzerindeki tüm sanal makinelerin genel uç noktalara bağlanmak için varsayılan giden erişimi kullanmalarını önler.

  • Özel alt ağ oluşturma parametresi yalnızca bir alt ağ oluşturulurken ayarlanabilir.

  • Özel alt ağ üzerindeki VM'ler, açık giden bağlantıyı kullanarak İnternet'e erişmeye devam edebilir.

    Not

    Belirli hizmetler, açık bir çıkış yöntemi olmadan Özel Alt Ağ'daki bir sanal makinede çalışmaz (örneğin, Windows Etkinleştirmesi ve Windows Güncelleştirmeleri).

Özel alt ağ özelliğini ekleme

  • Azure portalında, aşağıda gösterildiği gibi Sanal Ağ oluşturma deneyiminin bir parçası olarak bir alt ağ oluştururken Özel alt ağı etkinleştirme seçeneğinin belirlendiğinden emin olun:

Özel alt ağ seçeneğini gösteren Azure portalının ekran görüntüsü.

  • PowerShell kullanarak New-AzVirtualNetworkSubnetConfig ile alt ağ oluştururken seçeneğini kullanın DefaultOutboundAccess ve "$false" seçeneğini belirleyin

  • CLI kullanarak az network vnet subnet create ile bir alt ağ oluştururken seçeneğini kullanın --default-outbound ve "false" seçeneğini belirleyin

  • Azure Resource Manager şablonu kullanarak parametre değerini defaultOutboundAccess "false" olarak ayarlayın

Özel alt ağ sınırlamaları

  • Windows dahil olmak üzere sanal makine işlem sistemlerini etkinleştirmek/güncelleştirmek için, açık bir giden bağlantı yöntemine sahip olmak bir gereksinimdir.

  • Temsilci atanan alt ağlar Özel olarak işaretlenemez.

  • Mevcut alt ağlar şu anda Özel'e dönüştürülemiyor.

  • Yukarı akış güvenlik duvarına/ağ sanal gerecine trafik gönderen varsayılan yol (0/0) ile Kullanıcı Tanımlı Yol (UDR) kullanan yapılandırmalarda, bu yolu atlayan tüm trafik (örneğin, Hizmet Etiketli hedeflere) Özel alt ağda kesilir.

Açık bir giden bağlantı yöntemi ekleme

  • NAT Gateway'i sanal makinenizin alt ağıyla ilişkilendirin.

  • Giden kurallarıyla yapılandırılmış standart bir yük dengeleyiciyi ilişkilendirin.

  • Standart genel IP'yi sanal makinenin ağ arabirimlerinden herhangi biriyle ilişkilendirin (birden çok ağ arabirimi varsa standart genel IP'ye sahip tek bir NIC'ye sahip olmak sanal makine için varsayılan giden erişimi engeller).

Sanal Makine Ölçek Kümeleri için Esnek düzenleme modunu kullanma

  • Esnek ölçek kümeleri varsayılan olarak güvenlidir. Esnek ölçek kümeleri aracılığıyla oluşturulan örneklerin ilişkili varsayılan giden erişim IP'si yoktur, bu nedenle açık bir giden yöntemi gerekir. Daha fazla bilgi için bkz. Sanal Makine Ölçek Kümeleri için esnek düzenleme modu

Önemli

Yük dengeleyici arka uç havuzu IP adresiyle yapılandırıldığında, devam eden bilinen bir sorun nedeniyle varsayılan giden erişimi kullanır. Varsayılan olarak güvenli yapılandırma ve zorlu giden gereksinimleri olan uygulamalar için trafiğin güvenliğini sağlamak için nat ağ geçidini yük dengeleyicinizin arka uç havuzundaki VM'lerle ilişkilendirin. Mevcut bilinen sorunlar hakkında daha fazla bilgi edinin.

NAT ağ geçidi, açık giden bağlantıya sahip olmak için önerilen yaklaşımdır. Bu erişimi sağlamak için bir güvenlik duvarı da kullanılabilir.

Sınırlamalar

  • Windows Etkinleştirmesi ve Windows Güncelleştirmeleri için genel bağlantı gereklidir. Genel giden bağlantının açık bir biçiminin ayarlanması önerilir.

  • Varsayılan giden erişim IP'i parçalanmış paketleri desteklemez.

  • Varsayılan giden erişim IP'leri ICMP ping'lerini desteklemez.

Sonraki adımlar

Azure ve Azure NAT Gateway'deki giden bağlantılar hakkında daha fazla bilgi için bkz: