Cambios en el acceso predeterminado de salida en Azure
A partir del 31 de marzo de 2026, las redes virtuales (VNets) recién creadas en Azure ya no tendrán habilitado el acceso a Internet de salida predeterminado (Default Outbound Access, DOA). Este cambio impactará directamente a los clientes que dependan de este comportamiento para sus implementaciones, especialmente en servicios como Azure Virtual Desktop. Es fundamental entender este cambio y cómo configurar el acceso de salida de manera explícita.
¿Qué es el acceso de salida predeterminado?
El acceso de salida predeterminado permite que las máquinas virtuales (VMs) y otros recursos dentro de una red virtual puedan comunicarse con Internet sin necesidad de configuraciones adicionales. Esto se logra a través de una dirección IP pública implícita asignada por Azure.
Note: Este acceso predeterminado solo aplica a VNets que no tienen configurados recursos como Azure Firewall, NAT Gateway o direcciones IP públicas asociadas a las VMs.
¿Por qué este cambio?
Microsoft busca mejorar la seguridad y el control de las redes virtuales. Al eliminar el acceso de salida predeterminado, se obliga a los usuarios a configurar explícitamente cómo sus recursos se conectan a Internet, reduciendo riesgos de exposición no intencionada.
Cómo afecta este cambio a tus implementaciones
Impacto en Azure Virtual Desktop
En entornos de Azure Virtual Desktop (AVD), las VMs suelen necesitar acceso a Internet para actualizaciones, autenticación y conectividad con servicios externos. Con este cambio, será necesario configurar explícitamente los métodos de salida para garantizar que las VMs puedan operar correctamente.
Warning: Si no configuras un método de salida explícito, las VMs en VNets creadas después del 31 de marzo de 2026 no podrán comunicarse con Internet.
Opciones para configurar el acceso de salida
Existen varias opciones para habilitar el acceso de salida en VNets de Azure. A continuación, exploramos las más comunes:
1. Uso de Azure NAT Gateway
Azure NAT Gateway es la solución recomendada para gestionar el acceso de salida a Internet. Ofrece escalabilidad, alta disponibilidad y un control centralizado de las conexiones de salida.
Ejemplo de configuración de NAT Gateway
# Crear un recurso NAT Gateway
az network nat gateway create \
--resource-group MiGrupoDeRecursos \
--name MiNATGateway \
--location eastus \
--public-ip-addresses MiDireccionIPPublica
# Asociar el NAT Gateway a una subred
az network vnet subnet update \
--resource-group MiGrupoDeRecursos \
--vnet-name MiRedVirtual \
--name MiSubred \
--nat-gateway MiNATGateway
Note: Asegúrate de que las subredes asociadas al NAT Gateway no tengan configuraciones conflictivas, como direcciones IP públicas asignadas directamente a las VMs.
2. Configuración de direcciones IP públicas
Otra opción es asignar direcciones IP públicas directamente a las máquinas virtuales. Esto proporciona acceso de salida, pero puede ser más difícil de gestionar en entornos grandes.
Ejemplo de asignación de IP pública a una VM
# Crear una dirección IP pública
az network public-ip create \
--resource-group MiGrupoDeRecursos \
--name MiIPPublica \
--allocation-method Static
# Asociar la IP pública a la interfaz de red de una VM
az network nic ip-config update \
--resource-group MiGrupoDeRecursos \
--nic-name MiInterfazDeRed \
--name ipconfig1 \
--public-ip-address MiIPPublica
Warning: Este enfoque no es ideal para grandes despliegues, ya que puede aumentar la complejidad de la gestión de IPs y la seguridad.
3. Uso de Azure Firewall
Azure Firewall no solo permite gestionar el acceso de salida, sino que también proporciona capacidades avanzadas de seguridad, como filtrado de tráfico y registro de actividad.
Ejemplo de configuración básica de Azure Firewall
# Crear un Azure Firewall
az network firewall create \
--resource-group MiGrupoDeRecursos \
--name MiFirewall \
--location eastus
# Configurar una regla de salida
az network firewall policy rule-collection-group create \
--resource-group MiGrupoDeRecursos \
--policy-name MiPolicy \
--name MiGrupoDeReglas \
--priority 100
az network firewall policy rule-collection create \
--resource-group MiGrupoDeRecursos \
--policy-name MiPolicy \
--rule-collection-group-name MiGrupoDeReglas \
--name MiColeccionDeReglas \
--rule-name MiReglaDeSalida \
--rule-type ApplicationRule \
--action Allow \
--priority 200 \
--target-fqdns www.microsoft.com \
--protocols Http=80 Https=443
Note: Azure Firewall es ideal para entornos donde la seguridad es una prioridad, pero puede ser más costoso que otras opciones.
Consideraciones clave
- Planificación temprana: Si planeas crear VNets después de marzo de 2026, asegúrate de incluir configuraciones de salida en tu diseño.
- Costos asociados: Soluciones como NAT Gateway y Azure Firewall tienen costos adicionales. Evalúa cuál se adapta mejor a tu presupuesto y necesidades.
- Pruebas exhaustivas: Antes de implementar cambios en producción, realiza pruebas en entornos de desarrollo para validar la conectividad.
Conclusión
El cambio en el acceso de salida predeterminado en Azure representa una oportunidad para mejorar la seguridad y el control en tus redes virtuales. Aunque puede requerir ajustes en tus implementaciones, las opciones disponibles, como NAT Gateway y Azure Firewall, ofrecen soluciones robustas y escalables.
Si estás interesado en cómo optimizar tus flujos de trabajo en Azure, te recomendamos explorar otros artículos relacionados, como Optimiza tu ingeniería de prompts con Azure Prompt Flow o Azure Firewall: Características según SKU y ejemplos prácticos.