Správa zásad sítě pro privátní koncové body

Zásady sítě jsou pro podsíť ve virtuální síti ve výchozím nastavení zakázány. Pokud chcete používat zásady sítě, jako jsou trasy definované uživatelem a podpora skupin zabezpečení sítě, musí být pro podsíť povolená podpora zásad sítě. Toto nastavení platí jenom pro privátní koncové body v podsíti a ovlivňuje všechny privátní koncové body v podsíti. Přístup k ostatním prostředkům v podsíti je řízen na základě bezpečnostních pravidel ve skupině zabezpečení sítě.

Zásady sítě můžete povolit pouze pro skupiny zabezpečení sítě, pouze pro trasy definované uživatelem nebo pro obojí.

Pokud povolíte zásady zabezpečení sítě pro trasy definované uživatelem, můžete k přepsání výchozí trasy /32 šířené privátním koncovým bodem použít vlastní délku předpony adresního prostoru virtuální sítě (maska podsítě) stejnou nebo větší než délka předpony adresního prostoru virtuální sítě. Tato funkce může být užitečná, pokud chcete zajistit, aby požadavky na připojení privátního koncového bodu procházely bránou firewall nebo virtuálním zařízením. Jinak výchozí trasa /32 odesílá provoz přímo do privátního koncového bodu v souladu s nejdelším algoritmem shody předpony.

Důležité

Pokud chcete přepsat trasu privátního koncového bodu, musí mít trasy definované uživatelem velikost předpony, která je rovna nebo menší než adresní prostor virtuální sítě, kde je privátní koncový bod zřízený. Například výchozí trasa (0.0.0.0/0) definovaná uživatelem nepřepíše trasy privátních koncových bodů, protože pokrývá širší rozsah než adresní prostor privátního koncového bodu. Pravidlo nejdelší shody předpon dává vyšší prioritu pro konkrétnější předpony adres. Dále se ujistěte, že jsou v podsíti hostující privátní koncový bod povolené zásady sítě.

Pomocí následujících kroků povolte nebo zakažte zásady sítě pro privátní koncové body:

• portál Azure
• Azure PowerShell
• Azure CLI (příkazový řádek nástroje Azure)
• Šablony Azure Resource Manageru (šablony ARM)

Následující příklady popisují, jak povolit a zakázat PrivateEndpointNetworkPolicies pro virtuální síť s názvem myVNet, která má podsíť default s názvem 10.1.0.0/24 a je hostována ve skupině prostředků s názvem myResourceGroup.

Povolte zásady sítě

Podle těchto kroků nakonfigurujte skupiny zabezpečení sítě a směrovací tabulky pro vaše privátní koncové body.

Portál

1. Přihlaste se k portálu Azure.

2. Do vyhledávacího pole v horní části portálu zadejte virtuální síť. Vyberte Virtuální sítě.

3. Vyberte myVNet.

4. V nastavení sítě myVNet vyberte Podsítě.

5. Vyberte výchozí podsíť.

6. V podokně Upravit podsíť v části Zásady sítě pro privátní koncové body podle potřeby vyberte pole pro skupiny zabezpečení sítě nebo směrovací tabulky.

7. Zvolte Uložit.

PowerShell

K povolení zásad použijte Get-AzVirtualNetwork, Set-AzVirtualNetworkSubnetConfig a Set-AzVirtualNetwork.

$net = @{
    Name = 'myVNet'
    ResourceGroupName = 'myResourceGroup'
}
$vnet = Get-AzVirtualNetwork @net

$sub = @{
    Name = 'default'
    VirtualNetwork = $vnet
    AddressPrefix = '10.1.0.0/24'
    PrivateEndpointNetworkPoliciesFlag = 'Enabled'  # Can be either 'Disabled', 'NetworkSecurityGroupEnabled', 'RouteTableEnabled', or 'Enabled'
}
Set-AzVirtualNetworkSubnetConfig @sub

$vnet | Set-AzVirtualNetwork

CLI (Rozhraní příkazového řádku)

K povolení zásad použijte az network vnet subnet update. Azure CLI podporuje pouze hodnoty true nebo false. Neumožňuje povolit zásady selektivně jenom pro uživatelem definované trasy nebo skupiny zabezpečení sítě:

az network vnet subnet update \
  --disable-private-endpoint-network-policies false \
  --name default \
  --resource-group myResourceGroup \
  --vnet-name myVNet

JSON

Tato část popisuje, jak povolit politiky privátního koncového bodu podsítě pomocí šablony ARM. Možné hodnoty jsou privateEndpointNetworkPoliciesDisabled, NetworkSecurityGroupEnabled, RouteTableEnableda Enabled.

{ 
          "name": "myVNet", 
          "type": "Microsoft.Network/virtualNetworks", 
          "apiVersion": "2019-04-01", 
          "location": "WestUS", 
          "properties": { 
                "addressSpace": { 
                     "addressPrefixes": [ 
                          "10.1.0.0/16" 
                        ] 
                  }, 
                  "subnets": [ 
                         { 
                                "name": "default", 
                                "properties": { 
                                    "addressPrefix": "10.1.0.0/24", 
                                    "privateEndpointNetworkPolicies": "Enabled" 
                                 } 
                         } 
                  ] 
          } 
} 

Zakázat zásady sítě

Portál

1. Přihlaste se k portálu Azure.

2. Do vyhledávacího pole v horní části portálu zadejte virtuální síť. Vyberte Virtuální sítě.

3. Vyberte myVNet.

4. V nastavení sítě myVNet vyberte Podsítě.

5. Vyberte výchozí podsíť.

6. V podokně Upravit podsíť v části Zásady sítě pro privátní koncové body zaškrtněte políčko Zakázáno.

7. Zvolte Uložit.

PowerShell

K zakázání zásady použijte Get-AzVirtualNetwork, Set-AzVirtualNetwork a Set-AzVirtualNetworkSubnetConfig.

$net = @{
    Name = 'myVNet'
    ResourceGroupName = 'myResourceGroup'
}
$vnet = Get-AzVirtualNetwork @net

$sub = @{
    Name = 'default'
    VirtualNetwork = $vnet
    AddressPrefix = '10.1.0.0/24'
    PrivateEndpointNetworkPoliciesFlag = 'Disabled'
}
Set-AzVirtualNetworkSubnetConfig @sub

$vnet | Set-AzVirtualNetwork

CLI (Rozhraní příkazového řádku)

K zakázání zásad použijte příkaz az network vnet subnet update.

az network vnet subnet update \
  --disable-private-endpoint-network-policies true \
  --name default \
  --resource-group myResourceGroup \
  --vnet-name myVNet
  

JSON

Tato část popisuje, jak deaktivovat zásady soukromého koncového bodu v rámci podsítě pomocí šablony ARM.

{ 
          "name": "myVNet", 
          "type": "Microsoft.Network/virtualNetworks", 
          "apiVersion": "2019-04-01", 
          "location": "WestUS", 
          "properties": { 
                "addressSpace": { 
                     "addressPrefixes": [ 
                          "10.1.0.0/16" 
                        ] 
                  }, 
                  "subnets": [ 
                         { 
                                "name": "default", 
                                "properties": { 
                                    "addressPrefix": "10.1.0.0/24", 
                                    "privateEndpointNetworkPolicies": "Disabled" 
                                 } 
                         } 
                  ] 
          } 
} 

Důležité

Existují omezení privátních koncových bodů v souvislosti s funkcí zásad sítě a skupinami zabezpečení sítě a trasami definovanými uživatelem. Další informace najdete v tématu Omezení.

Další kroky

V tomto průvodci jste povolili a zakázali zásady sítě pro privátní koncové body ve virtuální síti Azure. Naučili jste se používat Azure Portal, Azure PowerShell, Azure CLI a šablony Azure Resource Manageru ke správě zásad sítě pro privátní koncové body.

Další informace o službách, které podporují privátní koncové body, najdete tady:

Co je privátní koncový bod?