إدارة نُهج الشبكة لنقاط النهاية الخاصة

بشكل افتراضي، يتم تعطيل نهج الشبكة لشبكة فرعية في شبكة ظاهرية. لاستخدام نهج الشبكة مثل المسارات المعرفة من قبل المستخدم ودعم مجموعة أمان الشبكة، يجب تمكين دعم نهج الشبكة للشبكة الفرعية. ينطبق هذا الإعداد فقط على نقاط النهاية الخاصة في الشبكة الفرعية ويؤثر على جميع نقاط النهاية الخاصة في الشبكة الفرعية. بالنسبة للموارد الأخرى في الشبكة الفرعية، يتم التحكم في الوصول بناءً على قواعد الأمان في مجموعة أمان الشبكة.

يمكنك تمكين نهج الشبكة إما لمجموعات أمان الشبكة فقط، أو للمسارات المعرفة من قبل المستخدم فقط، أو لكليهما.

إذا قمت بتمكين نهج أمان الشبكة للمسارات المعرفة من قبل المستخدم، يمكنك استخدام بادئة عنوان مخصصة تساوي أو أكبر من مساحة عنوان الشبكة الظاهرية لإبطال المسار الافتراضي /32 الذي تم نشره بواسطة نقطة النهاية الخاصة. يمكن أن تكون هذه الإمكانية مفيدة إذا كنت تريد التأكد من أن طلبات اتصال نقطة النهاية الخاصة تمر عبر جدار حماية أو جهاز ظاهري. وإلا، يرسل المسار الافتراضي /32 حركة المرور مباشرة إلى نقطة النهاية الخاصة وفقا لأطول خوارزمية مطابقة البادئة.

هام

لإبطال مسار نقطة نهاية خاصة، يجب أن يكون للمسارات المعرفة من قبل المستخدم بادئة تساوي أو أكبر من مساحة عنوان الشبكة الظاهرية حيث يتم توفير نقطة النهاية الخاصة. على سبيل المثال، التوجيه الافتراضي للمسارات المعرفة من قبل المستخدم (0.0.0.0/0) لا يبطل مسارات نقطة النهاية الخاصة. يجب تمكين نهج الشبكة في الشبكة الفرعية التي تستضيف نقطة النهاية الخاصة.

استخدم الخطوات التالية لتمكين نهج الشبكة لنقاط النهاية الخاصة أو تعطيله:

• مدخل Azure
• Azure PowerShell
• Azure CLI
• قوالب Azure Resource Manager (قوالب ARM)

توضح الأمثلة التالية كيفية تمكين وتعطيل PrivateEndpointNetworkPolicies شبكة ظاهرية تسمى myVNet بشبكة default فرعية مستضافة 10.1.0.0/24 في مجموعة موارد تسمى myResourceGroup.

تفعيل نهج الشبكة

المدخل

1. قم بتسجيل الدخول إلى بوابة Azure.

2. في مربع البحث أعلى البوابة، أدخل Virtual network. حدد شبكات ظاهرية.

3. حدّد «myVNet».

4. في إعدادات myVNet، حدد Subnets.

5. حدد الشبكة الفرعية الافتراضية.

6. في خصائص الشبكة الفرعية الافتراضية، حدد خانات الاختيار لمجموعات أمان الشبكة أو جداول التوجيه أو كليهما في نهج الشبكة لنقاط النهاية الخاصة.

7. حدد حفظ.

بوويرشيل

استخدم Get-AzVirtualNetwork وSet-AzVirtualNetworkSubnetConfig وSet-AzVirtualNetwork لتمكين النهج.

$net = @{
    Name = 'myVNet'
    ResourceGroupName = 'myResourceGroup'
}
$vnet = Get-AzVirtualNetwork @net

$sub = @{
    Name = 'default'
    VirtualNetwork = $vnet
    AddressPrefix = '10.1.0.0/24'
    PrivateEndpointNetworkPoliciesFlag = 'Enabled'  # Can be either 'Disabled', 'NetworkSecurityGroupEnabled', 'RouteTableEnabled', or 'Enabled'
}
Set-AzVirtualNetworkSubnetConfig @sub

$vnet | Set-AzVirtualNetwork

المبادره القطريه

استخدم az network vnet subnet update لتمكين النهج. يدعم Azure CLI فقط القيم true أو false. لا يسمح لك بتمكين النهج بشكل انتقائي فقط للمسارات المعرفة من قبل المستخدم أو مجموعات أمان الشبكة:

az network vnet subnet update \
  --disable-private-endpoint-network-policies false \
  --name default \
  --resource-group myResourceGroup \
  --vnet-name myVNet

Json

يصف هذا القسم كيفية تمكين نهج نقطة النهاية الخاصة بالشبكة الفرعية باستخدام قالب ARM. القيم المحتملة ل privateEndpointNetworkPolicies هي Disabledو NetworkSecurityGroupEnabledRouteTableEnabledو و.Enabled

{ 
          "name": "myVNet", 
          "type": "Microsoft.Network/virtualNetworks", 
          "apiVersion": "2019-04-01", 
          "location": "WestUS", 
          "properties": { 
                "addressSpace": { 
                     "addressPrefixes": [ 
                          "10.1.0.0/16" 
                        ] 
                  }, 
                  "subnets": [ 
                         { 
                                "name": "default", 
                                "properties": { 
                                    "addressPrefix": "10.1.0.0/24", 
                                    "privateEndpointNetworkPolicies": "Enabled" 
                                 } 
                         } 
                  ] 
          } 
} 

تعطيل نهج الشبكة

المدخل

1. قم بتسجيل الدخول إلى بوابة Azure.

2. في مربع البحث أعلى البوابة، أدخل Virtual network. حدد شبكات ظاهرية.

3. حدّد «myVNet».

4. في إعدادات myVNet، حدد Subnets.

5. حدد الشبكة الفرعية الافتراضية.

6. في خصائص الشبكة الفرعية الافتراضية، حدد Disabled في NETWORK POLICY FOR PRIVATE ENDPOINTS.

7. حدد حفظ.

بوويرشيل

استخدم Get-AzVirtualNetwork وSet-AzVirtualNetwork وSet-AzVirtualNetworkSubnetConfig لتمكين النهج.

$net = @{
    Name = 'myVNet'
    ResourceGroupName = 'myResourceGroup'
}
$vnet = Get-AzVirtualNetwork @net

$sub = @{
    Name = 'default'
    VirtualNetwork = $vnet
    AddressPrefix = '10.1.0.0/24'
    PrivateEndpointNetworkPoliciesFlag = 'Disabled'
}
Set-AzVirtualNetworkSubnetConfig @sub

$vnet | Set-AzVirtualNetwork

المبادره القطريه

استخدم az network vnet subnet update لتعطيل النهج.

az network vnet subnet update \
  --disable-private-endpoint-network-policies true \
  --name default \
  --resource-group myResourceGroup \
  --vnet-name myVNet
  

Json

يصف هذا القسم كيفية تعطيل نهج نقطة النهاية الخاصة بالشبكة الفرعية باستخدام قالب ARM.

{ 
          "name": "myVNet", 
          "type": "Microsoft.Network/virtualNetworks", 
          "apiVersion": "2019-04-01", 
          "location": "WestUS", 
          "properties": { 
                "addressSpace": { 
                     "addressPrefixes": [ 
                          "10.1.0.0/16" 
                        ] 
                  }, 
                  "subnets": [ 
                         { 
                                "name": "default", 
                                "properties": { 
                                    "addressPrefix": "10.1.0.0/24", 
                                    "privateEndpointNetworkPolicies": "Disabled" 
                                 } 
                         } 
                  ] 
          } 
} 

هام

هناك قيود على نقاط النهاية الخاصة فيما يتعلق بميزة نهج الشبكة ومجموعات أمان الشبكة والمسارات المعرفة من قبل المستخدم. لمزيد من المعلومات، راجع القيود.

الخطوات التالية

• لمعرفة المزيد، راجع ما هي نقطة النهاية الخاصة؟.