Управление сетевыми политиками для частных конечных точек

По умолчанию политики сети отключены для подсети в виртуальной сети. Чтобы использовать политики сети, такие как определяемые пользователем маршруты и поддержка группы безопасности сети, необходимо включить поддержку политики сети для подсети. Этот параметр применяется только к частным конечным точкам в подсети и влияет на все частные конечные точки в подсети. Для других ресурсов в подсети управление доступом осуществляется на основе правил безопасности в группе безопасности сети.

Политики сети можно включить только для групп безопасности сети, только для определяемых пользователем маршрутов или для обоих.

Если вы включите политики безопасности сети для определяемых пользователем маршрутов, можно использовать префикс пользовательского адреса, равный или больше, чем адресное пространство виртуальной сети, чтобы сделать недопустимым маршрут /32 по умолчанию, распространяемый частной конечной точкой. Эта возможность может быть полезной, если вы хотите убедиться, что запросы на подключение к частной конечной точке проходят через брандмауэр или виртуальную (модуль). В противном случае маршрут /32 по умолчанию отправляет трафик непосредственно в частную конечную точку в соответствии с самым длинным алгоритмом сопоставления префикса.

Важно!

Чтобы сделать маршрут частной конечной точки недействительным, определяемые пользователем маршруты должны иметь префикс, равный или больше, чем адресное пространство виртуальной сети, в котором подготовлена частная конечная точка. Например, определяемый пользователем маршрут по умолчанию (0.0.0.0/0) не делает недопустимыми маршруты частной конечной точки. Политики сети должны быть включены в подсети, где размещается частная конечная точка.

Чтобы включить или отключить политику сети для частных конечных точек, выполните следующие действия.

  • Портал Azure
  • Azure PowerShell
  • Azure CLI
  • шаблоны Azure Resource Manager (шаблоны ARM);

В следующих примерах описывается включение и отключение PrivateEndpointNetworkPolicies виртуальной сети myVNet с default подсетью размещенной 10.1.0.0/24 в группе ресурсов с именем myResourceGroup.

Включение политики сети

  1. Войдите на портал Azure.

  2. В поле поиска в верхней части портала введите виртуальные сети. Выберите Виртуальные сети.

  3. Выберите myVNet.

  4. В параметрах myVNet выберите Подсети.

  5. Выберите подсеть default.

  6. В свойствах подсети по умолчанию выберите проверка boxes для групп безопасности сети, таблиц маршрутов или в политике СЕТИ ДЛЯ ЧАСТНЫх конечных точек.

  7. Выберите Сохранить.

Отключение политики сети

  1. Войдите на портал Azure.

  2. В поле поиска в верхней части портала введите виртуальные сети. Выберите Виртуальные сети.

  3. Выберите myVNet.

  4. В параметрах myVNet выберите Подсети.

  5. Выберите подсеть default.

  6. В свойствах для подсети default выберите Отключено в ПОЛИТИКЕ СЕТИ ДЛЯ ЧАСТНЫХ КОНЕЧНЫХ ТОЧЕК.

  7. Выберите Сохранить.

Важно!

Существуют ограничения для частных конечных точек в отношении функции политики сети и групп безопасности сети и определяемых пользователем маршрутов. Дополнительные сведения см. в статье Ограничения.

Следующие шаги