Zarządzanie zasadami sieci dla prywatnych punktów końcowych

Domyślnie zasady sieci są wyłączone dla podsieci w sieci wirtualnej. Aby można było używać zasad sieciowych, takich jak trasy zdefiniowane przez użytkownika i obsługa sieciowej grupy zabezpieczeń, należy włączyć obsługę zasad sieciowych dla podsieci. To ustawienie dotyczy tylko prywatnych punktów końcowych w podsieci i wpływa na wszystkie prywatne punkty końcowe w podsieci. W przypadku innych zasobów w podsieci dostęp jest kontrolowany na podstawie reguł zabezpieczeń w sieciowej grupie zabezpieczeń.

Można włączyć zasady sieciowe tylko dla sieciowych grup zabezpieczeń, tylko dla tras zdefiniowanych przez użytkownika lub dla obu tych grup.

Jeśli włączysz zasady zabezpieczeń sieci dla tras zdefiniowanych przez użytkownika, możesz użyć niestandardowego prefiksu adresu równego lub większego niż przestrzeń adresowa sieci wirtualnej, aby unieważnić trasę domyślną /32 propagowaną przez prywatny punkt końcowy. Ta funkcja może być przydatna, jeśli chcesz upewnić się, że żądania połączenia prywatnego punktu końcowego przechodzą przez zaporę lub urządzenie wirtualne. W przeciwnym razie trasa domyślna /32 wysyła ruch bezpośrednio do prywatnego punktu końcowego zgodnie z najdłuższym algorytmem dopasowania prefiksu.

Ważne

Aby unieważnić trasę prywatnego punktu końcowego, trasy zdefiniowane przez użytkownika muszą mieć prefiks równy lub większy niż przestrzeń adresowa sieci wirtualnej, w której aprowizowany jest prywatny punkt końcowy. Na przykład trasa domyślna tras zdefiniowanych przez użytkownika (0.0.0.0/0) nie unieważnia tras prywatnych punktów końcowych. Zasady sieci powinny być włączone w podsieci, która hostuje prywatny punkt końcowy.

Aby włączyć lub wyłączyć zasady sieciowe dla prywatnych punktów końcowych, wykonaj następujące czynności:

• Azure Portal
• Azure PowerShell
• Interfejs wiersza polecenia platformy Azure
• Szablony usługi Azure Resource Manager (szablony usługi ARM)

W poniższych przykładach opisano sposób włączania i wyłączania PrivateEndpointNetworkPolicies sieci wirtualnej o nazwie z podsiecią 10.1.0.0/24 hostowaną default w grupie zasobów o nazwie myVNetmyResourceGroup.

Włączanie zasad sieciowych

Portal

1. Zaloguj się w witrynie Azure Portal.

2. W polu wyszukiwania w górnej części portalu wprowadź wartość Sieć wirtualna. Wybierz pozycję Sieci wirtualne.

3. Wybierz pozycję myVNet.

4. W ustawieniach sieci myVNet wybierz pozycję Podsieci.

5. Wybierz domyślną podsieć.

6. We właściwościach domyślnej podsieci zaznacz pola wyboru dla sieciowych grup zabezpieczeń, tabel tras lub obu tych opcji w obszarze ZASADY SIECIOWE DLA PRYWATNYCH PUNKTÓW KOŃCOWYCH.

7. Wybierz pozycję Zapisz.

Program PowerShell

Aby włączyć zasady, użyj poleceń Get-AzVirtualNetwork, Set-AzVirtualNetworkSubnetConfig i Set-AzVirtualNetwork.

$net = @{
    Name = 'myVNet'
    ResourceGroupName = 'myResourceGroup'
}
$vnet = Get-AzVirtualNetwork @net

$sub = @{
    Name = 'default'
    VirtualNetwork = $vnet
    AddressPrefix = '10.1.0.0/24'
    PrivateEndpointNetworkPoliciesFlag = 'Enabled'  # Can be either 'Disabled', 'NetworkSecurityGroupEnabled', 'RouteTableEnabled', or 'Enabled'
}
Set-AzVirtualNetworkSubnetConfig @sub

$vnet | Set-AzVirtualNetwork

Interfejs wiersza polecenia

Użyj polecenia az network vnet subnet update , aby włączyć zasady. Interfejs wiersza polecenia platformy Azure obsługuje tylko wartości true lub false. Nie umożliwia to selektywnego włączania zasad tylko dla tras zdefiniowanych przez użytkownika lub sieciowych grup zabezpieczeń:

az network vnet subnet update \
  --disable-private-endpoint-network-policies false \
  --name default \
  --resource-group myResourceGroup \
  --vnet-name myVNet

JSON

W tej sekcji opisano sposób włączania zasad prywatnego punktu końcowego podsieci przy użyciu szablonu usługi ARM. Możliwe wartości to privateEndpointNetworkPoliciesDisabled, NetworkSecurityGroupEnabled, RouteTableEnabledi Enabled.

{ 
          "name": "myVNet", 
          "type": "Microsoft.Network/virtualNetworks", 
          "apiVersion": "2019-04-01", 
          "location": "WestUS", 
          "properties": { 
                "addressSpace": { 
                     "addressPrefixes": [ 
                          "10.1.0.0/16" 
                        ] 
                  }, 
                  "subnets": [ 
                         { 
                                "name": "default", 
                                "properties": { 
                                    "addressPrefix": "10.1.0.0/24", 
                                    "privateEndpointNetworkPolicies": "Enabled" 
                                 } 
                         } 
                  ] 
          } 
} 

Wyłączanie zasad sieciowych

Portal

1. Zaloguj się w witrynie Azure Portal.

2. W polu wyszukiwania w górnej części portalu wprowadź wartość Sieć wirtualna. Wybierz pozycję Sieci wirtualne.

3. Wybierz pozycję myVNet.

4. W ustawieniach sieci myVNet wybierz pozycję Podsieci.

5. Wybierz domyślną podsieć.

6. We właściwościach domyślnej podsieci wybierz pozycję Wyłączone w obszarze ZASADY SIECI DLA PRYWATNYCH PUNKTÓW KOŃCOWYCH.

7. Wybierz pozycję Zapisz.

Program PowerShell

Aby wyłączyć zasady, użyj polecenia Get-AzVirtualNetwork, Set-AzVirtualNetwork i Set-AzVirtualNetworkSubnetConfig.

$net = @{
    Name = 'myVNet'
    ResourceGroupName = 'myResourceGroup'
}
$vnet = Get-AzVirtualNetwork @net

$sub = @{
    Name = 'default'
    VirtualNetwork = $vnet
    AddressPrefix = '10.1.0.0/24'
    PrivateEndpointNetworkPoliciesFlag = 'Disabled'
}
Set-AzVirtualNetworkSubnetConfig @sub

$vnet | Set-AzVirtualNetwork

Interfejs wiersza polecenia

Użyj polecenia az network vnet subnet update , aby wyłączyć zasady.

az network vnet subnet update \
  --disable-private-endpoint-network-policies true \
  --name default \
  --resource-group myResourceGroup \
  --vnet-name myVNet
  

JSON

W tej sekcji opisano sposób wyłączania zasad prywatnego punktu końcowego podsieci przy użyciu szablonu usługi ARM.

{ 
          "name": "myVNet", 
          "type": "Microsoft.Network/virtualNetworks", 
          "apiVersion": "2019-04-01", 
          "location": "WestUS", 
          "properties": { 
                "addressSpace": { 
                     "addressPrefixes": [ 
                          "10.1.0.0/16" 
                        ] 
                  }, 
                  "subnets": [ 
                         { 
                                "name": "default", 
                                "properties": { 
                                    "addressPrefix": "10.1.0.0/24", 
                                    "privateEndpointNetworkPolicies": "Disabled" 
                                 } 
                         } 
                  ] 
          } 
} 

Ważne

Istnieją ograniczenia dotyczące prywatnych punktów końcowych w odniesieniu do funkcji zasad sieciowych oraz sieciowych grup zabezpieczeń i tras zdefiniowanych przez użytkownika. Aby uzyskać więcej informacji, zobacz Ograniczenia.

Następne kroki

• Aby dowiedzieć się więcej, zobacz Co to jest prywatny punkt końcowy?.