Public Ip

The presented resiliency recommendations in this guidance include Public Ip and associated Public Ip settings.

Summary of Recommendations

The below table shows the list of resiliency recommendations for Public Ip and associated resources.

Recommendation	Category	Impact	State	ARG Query Available
PIP-1 - Use Zone-Redundant IPs when applicable	Availability	High	Preview	Yes
PIP-2 - Use NAT gateway for outbound connectivity to avoid SNAT Exhaustion	Availability	Medium	Preview	Yes
PIP-3 - Upgrade Basic SKU public IP addresses to Standard SKU	Availability	Medium	Preview	Yes

Definitions of states can be found here

Recommendations Details

PIP-1 - 該当する場合は Standard SKU とゾーン冗長 IP を使用します

Category: Availability

Impact: High

Guidance

Standard SKU のパブリック IP アドレスは、可用性ゾーンをサポートするリージョンで、非ゾーン、ゾーン、またはゾーン冗長として作成できます。ゾーン冗長 IP は、リージョンのすべてのゾーンに作成され、1 つのゾーンで障害が発生しても存続できます。ゾーン IP は特定の可用性ゾーンに関連付けられており、ゾーンの正常性と運命を共有します。“ゾーン以外の” パブリック IP アドレスは、Azure によってゾーンに配置され、冗長性は保証されません。ゾーンの回復性をサポートするリソース (Azure Load Balancer や Azure Firewall など) でパブリック IP を利用する場合は、ほとんどの場合、ゾーン冗長 IP を使用することをお勧めします。

Resources

Resource Graph Query

// Azure Resource Graph query
// List public IP addresses that are not Zone-Redundant
Resources
| where type =~ "Microsoft.Network/publicIPAddresses" and sku.tier =~ "Regional"
| where isempty(zones) or array_length(zones) <= 1
| extend az = case(isempty(zones), "Non-zonal", array_length(zones) <= 1, strcat("Zonal (", strcat_array(zones, ","), ")"), zones)
| project recommendationId = "pip-1", name, id, tags, param1 = strcat("sku: ", sku.name), param2 = strcat("availabilityZone: ", az)

PIP-2 - 送信接続に NAT ゲートウェイを使用して、SNAT の枯渇を回避します

Category: Availability

Impact: Medium

Guidance

仮想ネットワークからの送信トラフィックに NAT ゲートウェイを使用して、SNAT ポートの枯渇による接続エラーのリスクを回避します。NAT ゲートウェイは動的にスケーリングされ、インターネットに向かうトラフィックに安全な接続を提供します。

Resources

Resource Graph Query

// Azure Resource Graph query
// Lists VMs with PIPs
resources
| where type =~ 'Microsoft.Network/publicIPAddresses'
| where tostring(properties.ipConfiguration.id) contains "microsoft.network/networkinterfaces"
| project recommendationid="pip-2", name, id, tags, param1=strcat("Migrate from instance IP to NAT Gateway")

PIP-3 - Upgrade Basic SKU public IP addresses to Standard SKU

Category: Availability

Impact: Medium

Guidance

On September 30, 2025, Basic SKU public IP addresses will be retired. If you are currently using Basic SKU public IP addresses, make sure to upgrade to Standard SKU public IP addresses prior to the retirement date.

Resources

Resource Graph Query/Scripts

// Azure Resource Graph query
// List Basic SKU public IP addresses
Resources
| where type =~ "Microsoft.Network/publicIPAddresses"
| where sku.name =~ "Basic"
| project recommendationId = "pip-3", name, id, tags, param1 = strcat("sku: ", sku.name)

Azure Databricks

Batch Accounts

Azure Site Recovery

Compute Gallery

Image Templates

Virtual Machine Scale Sets

Virtual Machines

AKS

Container Registry

SQL DB

Cosmos DB

DB for MySQL

DB for PostgreSQL

Redis Cache

Api Management

Event Grid

Event Hub

Service Bus

IoT Hub

Automation Account

Management Groups

Resource Groups

Subscription

Azure Backup

Application Insights

Log Analytics

Resource Health Alerts

Service Health Alerts

Application Gateway

DDoS Protection Plans

ExpressRoute Circuits

ExpressRoute Connection

ExpressRoute Direct

ExpressRoute Gateway

ExpressRoute Traffic Collector

Firewall

Front Door

Load Balancer

Network Security Group

Network Watcher

Private DNS Zones

Private Endpoints

Public Ip

Route Table

Traffic Manager

Virtual Networks

VPN Gateway

Web Application Firewall

Key Vault

Azure High Performance Computing

Azure Virtual Desktop

Azure VMware Solution

SAP on Azure

Azure NetApp Files

Storage Accounts (Blob/Azure Data Lake Storage Gen2)

App Service Plan

SignalR

Web App

Public Ip

Summary of Recommendations

Recommendations Details

PIP-1 - 該当する場合は Standard SKU とゾーン冗長 IP を使用します

PIP-2 - 送信接続に NAT ゲートウェイを使用して、SNAT の枯渇を回避します

PIP-3 - Upgrade Basic SKU public IP addresses to Standard SKU