Microsoft Azure apporte un changement important au réseau qui peut discrètement interrompre la connectivité Internet sortante pour les nouvelles machines virtuelles déployées si vous comptez sur des paramètres par défaut hérités. Le retrait de l’accès sortant par défaut est prévu pour le 31 mars 2026 — et si vous construisez (ou redéployez) des VM « à l’ancienne » après cette date, elles pourraient ne plus pouvoir accéder à Internet à moins que vous ne configuriez explicitement l’accès sortant.
Qu'est-ce que « l'accès sortant par défaut » ?
Historiquement, les machines virtuelles Azure déployées dans un réseau virtuel (VNet) pouvaient parfois accéder à Internet sans configuration préalable d’un chemin sortant spécifique. Azure assurait la connectivité sortante via une adresse IP publique partagée et non déterministe. C’était pratique, mais du point de vue de la sécurité et de l’exploitation, il pouvait s’avérer complexe d’assurer le contrôle, l’audit et le dépannage.
Qu'est-ce qui va changer le 31 mars 2026 ?
À partir du 31 mars 2026, Azure mettra définitivement fin à l’accès sortant par défaut. Toute nouvelle VM (ou VM redéployée) qui dépend de ce comportement implicite pourrait perdre la connectivité Internet sortante — ce qui peut entraîner des mises à jour défaillantes, des installations de paquets défaillants, des failles de télémétrie, l’incapacité d’accéder aux API externes et des perturbations de service.
Les VM existantes sont-elles impactées ?
Les machines virtuelles existantes et les ressources réseau déployées avant le 31 mars 2026 ne devraient pas être immédiatement impactées — leur accès sortant devrait continuer à fonctionner. Cependant, s’appuyer sur un comportement implicite hérité n’est pas une stratégie à long terme. Considérez cela comme un effort de modernisation planifié afin de s’aligner sur les meilleures pratiques réseau et sécurité d’Azure.
Trois façons de remplacer l'accès sortant par défaut
1) Attribuez une adresse IP publique directement à la machine virtuelle.
C’est l’approche la plus simple et cela peut être rentable pour des environnements très petits ou temporaires. Le compromis est que la VM devient directement adressable depuis Internet, ce qui peut augmenter l’exposition et nécessite généralement un renforcement plus strict, des règles de sécurité réseau et des contrôles opérationnels plus stricts.
2) Utilisez une passerelle NAT (recommandée dans la plupart des cas)
Une passerelle NAT offre une connectivité sortante dédiée et prévisible pour toutes les VM d’un sous-réseau — sans exposer les VM directement à Internet. C’est un choix par défaut fort quand on veut une sortie évolutive, une IP publique stable et une posture de sécurité plus propre.
3) Configurez les règles sortantes sur un Load Balancer Azure Standard
Si vous disposez déjà d’un équilibreur de charge standard Azure, vous pouvez utiliser des règles de sortie pour fournir et contrôler le trafic Internet sortant des machines virtuelles du pool principal. Cette option est particulièrement pertinente dans les architectures qui dépendent déjà d’un équilibreur de charge pour le trafic entrant et qui souhaitent consolider leurs composants réseau.
Ce que vous devriez faire maintenant (liste de contrôle pratique)
- Recensez les machines virtuelles et les charges de travail susceptibles de dépendre d’une connectivité sortante implicite (le portail Azure et Azure Advisor peuvent vous aider à les identifier).
- Pour les nouveaux déploiements, mettez à jour dès maintenant vos zones d’atterrissage/modèles afin que le trafic sortant soit toujours explicite (adresse IP publique, passerelle NAT ou règles de trafic sortant de l’équilibreur de charge standard).
- Testez votre approche choisie dans un environnement non en production, incluant les mises à jour du système d’exploitation, les dépôts de paquets, les appels d’API externes et les agents de sauvegarde/surveillance.
- Pour les environnements existants, prévoyez une mise à niveau progressive même si vous n’êtes pas immédiatement impacté — cela réduit les risques et est conforme aux meilleures pratiques.
- Communiquez rapidement avec les parties prenantes et les clients afin que le changement soit compris, budgété et planifié.
En résumé
Le retrait de l’accès sortant par défaut est l’un de ces changements qu’on peut facilement manquer — jusqu’à ce qu’un déploiement ne puisse soudainement plus atteindre Internet. En rendant la connectivité sortante explicite dès maintenant, vous éviterez les pannes surprises, améliorerez la sécurité et standardiserez la manière dont vos charges de travail Azure se connectent. Pour plus de détails officiels, voir le lien Microsoft Learn plus haut dans ce document.
Vous voulez en savoir plus ?
Déjà partenaire ITCloud ?
Notre équipe est là pour vous aider ! Contactez votre représentant ou envoyez un courriel à ventes@itcloud.ca.
Si vous le souhaitez, partagez rapidement un aperçu de votre modèle réseau Azure actuel (VM unique, application multi-niveau, hub/spoke, zone d’atterrissage sécurisée, etc.) avec l’équipe de support support-ms@itcloud.ca et on pourrait vous aider à choisir la meilleure option sortante et à élaborer un plan de migration.
Vous n’êtes pas encore partenaire ITCloud ?
Rejoignez-nous dès aujourd’hui et simplifiez votre manière de trouver, vendre et gérer la technologie pour vos clients grâce à ITCloud. Nous vous aidons à conclure plus d’affaires plus rapidement, à renforcer la fidélité des clients et à augmenter la rentabilité — le tout depuis une seule plateforme partenaire.
Devenez partenaire ITCloud dès maintenant et accélérez votre croissance.