Özel uç noktalar için ağ ilkelerini yönetme

Varsayılan olarak, bir sanal ağdaki alt ağ için ağ ilkeleri devre dışı bırakılır. Kullanıcı tanımlı yollar ve ağ güvenlik grubu desteği gibi ağ ilkelerini kullanmak için alt ağ için ağ ilkesi desteğinin etkinleştirilmesi gerekir. Bu ayar yalnızca alt ağdaki özel uç noktalar için geçerlidir ve alt ağdaki tüm özel uç noktaları etkiler. Alt ağdaki diğer kaynaklar için erişim, ağ güvenlik grubundaki güvenlik kurallarına göre denetlenilir.

Ağ ilkelerini yalnızca ağ güvenlik grupları için, yalnızca kullanıcı tanımlı yollar için veya her ikisi için etkinleştirebilirsiniz.

Kullanıcı tanımlı yollar için ağ güvenlik ilkelerini etkinleştirirseniz, özel uç nokta tarafından yayılan /32 varsayılan yolunu geçersiz kılmak için sanal ağ adres alanına eşit veya daha büyük bir özel adres ön eki kullanabilirsiniz. Bu özellik, özel uç nokta bağlantı isteklerinin bir güvenlik duvarı veya sanal gereçten geçtiğinden emin olmak istiyorsanız yararlı olabilir. Aksi takdirde, /32 varsayılan yolu trafiği en uzun ön ek eşleştirme algoritmasına uygun olarak doğrudan özel uç noktaya gönderir.

Önemli

Özel uç nokta yolunu geçersiz kılabilmesi için, kullanıcı tanımlı yolların özel uç noktanın sağlandığı sanal ağ adres alanına eşit veya ondan büyük bir ön eki olmalıdır. Örneğin, kullanıcı tanımlı yollar varsayılan yolu (0.0.0.0/0) özel uç nokta yollarını geçersiz kılmaz. Ağ ilkeleri, özel uç noktayı barındıran alt ağda etkinleştirilmelidir.

Özel uç noktalar için ağ ilkesini etkinleştirmek veya devre dışı bırakmak için aşağıdaki adımları kullanın:

• Azure portal
• Azure PowerShell
• Azure CLI
• Azure Resource Manager şablonları (ARM şablonları)

Aşağıdaki örneklerde adlı bir kaynak grubunda myResourceGroupbarındırılan bir alt 10.1.0.0/24 ağı olan adlı myVNet sanal default ağ için etkinleştirme ve devre dışı bırakma PrivateEndpointNetworkPolicies açıklanmaktadır.

Ağ ilkesini etkinleştirme

Portal

1. Azure Portal’ında oturum açın.

2. Portalın üst kısmındaki arama kutusuna Sanal ağ yazın. Sanal ağlar'ı seçin.

3. myVNet'i seçin.

4. myVNet ayarlarında Alt ağlar'ı seçin.

5. Varsayılan alt ağı seçin.

6. Varsayılan alt ağın özelliklerinde, Özel UÇ NOKTALAR İçİn AĞ İlkESİ'nde Ağ Güvenlik Grupları, Yönlendirme tabloları veya her ikisi için onay kutularını seçin.

7. Kaydet'i seçin.

PowerShell

İlkeyi etkinleştirmek için Get-AzVirtualNetwork, Set-AzVirtualNetworkSubnetConfig ve Set-AzVirtualNetwork kullanın.

$net = @{
    Name = 'myVNet'
    ResourceGroupName = 'myResourceGroup'
}
$vnet = Get-AzVirtualNetwork @net

$sub = @{
    Name = 'default'
    VirtualNetwork = $vnet
    AddressPrefix = '10.1.0.0/24'
    PrivateEndpointNetworkPoliciesFlag = 'Enabled'  # Can be either 'Disabled', 'NetworkSecurityGroupEnabled', 'RouteTableEnabled', or 'Enabled'
}
Set-AzVirtualNetworkSubnetConfig @sub

$vnet | Set-AzVirtualNetwork

CLI

İlkeyi etkinleştirmek için az network vnet subnet update komutunu kullanın. Azure CLI yalnızca veya falsedeğerlerini true destekler. İlkeleri yalnızca kullanıcı tanımlı yollar veya ağ güvenlik grupları için seçmeli olarak etkinleştirmenize izin vermez:

az network vnet subnet update \
  --disable-private-endpoint-network-policies false \
  --name default \
  --resource-group myResourceGroup \
  --vnet-name myVNet

JSON

Bu bölümde, ARM şablonu kullanarak alt ağ özel uç nokta ilkelerinin nasıl etkinleştirileceği açıklanmaktadır. için privateEndpointNetworkPolicies olası değerler , NetworkSecurityGroupEnabled, RouteTableEnabledve EnableddeğerleridirDisabled.

{ 
          "name": "myVNet", 
          "type": "Microsoft.Network/virtualNetworks", 
          "apiVersion": "2019-04-01", 
          "location": "WestUS", 
          "properties": { 
                "addressSpace": { 
                     "addressPrefixes": [ 
                          "10.1.0.0/16" 
                        ] 
                  }, 
                  "subnets": [ 
                         { 
                                "name": "default", 
                                "properties": { 
                                    "addressPrefix": "10.1.0.0/24", 
                                    "privateEndpointNetworkPolicies": "Enabled" 
                                 } 
                         } 
                  ] 
          } 
} 

Ağ ilkesini devre dışı bırakma

Portal

1. Azure Portal’ında oturum açın.

2. Portalın üst kısmındaki arama kutusuna Sanal ağ yazın. Sanal ağlar'ı seçin.

3. myVNet'i seçin.

4. myVNet ayarlarında Alt ağlar'ı seçin.

5. Varsayılan alt ağı seçin.

6. Varsayılan alt ağın özelliklerinde, ÖZEL UÇ NOKTALAR İçİn AĞ İlkESİ'nde Devre Dışı'nıseçin.

7. Kaydet'i seçin.

PowerShell

İlkeyi devre dışı bırakmak için Get-AzVirtualNetwork, Set-AzVirtualNetwork ve Set-AzVirtualNetworkSubnetConfig kullanın.

$net = @{
    Name = 'myVNet'
    ResourceGroupName = 'myResourceGroup'
}
$vnet = Get-AzVirtualNetwork @net

$sub = @{
    Name = 'default'
    VirtualNetwork = $vnet
    AddressPrefix = '10.1.0.0/24'
    PrivateEndpointNetworkPoliciesFlag = 'Disabled'
}
Set-AzVirtualNetworkSubnetConfig @sub

$vnet | Set-AzVirtualNetwork

CLI

İlkeyi devre dışı bırakmak için az network vnet subnet update komutunu kullanın.

az network vnet subnet update \
  --disable-private-endpoint-network-policies true \
  --name default \
  --resource-group myResourceGroup \
  --vnet-name myVNet
  

JSON

Bu bölümde, ARM şablonu kullanarak alt ağ özel uç nokta ilkelerinin nasıl devre dışı bırakıldığı açıklanmaktadır.

{ 
          "name": "myVNet", 
          "type": "Microsoft.Network/virtualNetworks", 
          "apiVersion": "2019-04-01", 
          "location": "WestUS", 
          "properties": { 
                "addressSpace": { 
                     "addressPrefixes": [ 
                          "10.1.0.0/16" 
                        ] 
                  }, 
                  "subnets": [ 
                         { 
                                "name": "default", 
                                "properties": { 
                                    "addressPrefix": "10.1.0.0/24", 
                                    "privateEndpointNetworkPolicies": "Disabled" 
                                 } 
                         } 
                  ] 
          } 
} 

Önemli

Ağ ilkesi özelliği, ağ güvenlik grupları ve kullanıcı tanımlı yollar ile ilgili olarak özel uç noktalarda sınırlamalar vardır. Daha fazla bilgi için bkz . Sınırlamalar.

Sonraki adımlar

• Daha fazla bilgi edinmek için bkz . Özel uç nokta nedir?.