Správa zásad sítě pro privátní koncové body

Ve výchozím nastavení jsou zásady sítě pro podsíť ve virtuální síti zakázané. Pokud chcete používat zásady sítě, jako jsou trasy definované uživatelem a podpora skupin zabezpečení sítě, musí být pro podsíť povolená podpora zásad sítě. Toto nastavení platí jenom pro privátní koncové body v podsíti a ovlivňuje všechny privátní koncové body v podsíti. U jiných prostředků v podsíti se přístup řídí na základě pravidel zabezpečení ve skupině zabezpečení sítě.

Zásady sítě můžete povolit pouze pro skupiny zabezpečení sítě, pouze pro trasy definované uživatelem nebo pro obojí.

Pokud povolíte zásady zabezpečení sítě pro trasy definované uživatelem, můžete použít předponu vlastní adresy, která je rovna nebo větší než adresní prostor virtuální sítě, a zneplatnit tak výchozí trasu /32 šířenou privátním koncovým bodem. Tato funkce může být užitečná, pokud chcete zajistit, aby požadavky na připojení privátního koncového bodu procházely bránou firewall nebo virtuálním zařízením. Jinak výchozí trasa /32 odesílá provoz přímo do privátního koncového bodu v souladu s nejdelším algoritmem shody předpony.

Důležité

Pokud chcete zneplatnit trasu privátního koncového bodu, musí mít trasy definované uživatelem předponu rovnou nebo větší než adresní prostor virtuální sítě, kde je privátní koncový bod zřízený. Například trasa definovaná uživatelem jako výchozí trasa (0.0.0.0/0) zneplatní trasy privátních koncových bodů. Zásady sítě by měly být povolené v podsíti, která je hostitelem privátního koncového bodu.

Pomocí následujících kroků povolte nebo zakažte zásady sítě pro privátní koncové body:

• portál Azure
• Azure PowerShell
• Azure CLI
• Šablony Azure Resource Manageru (šablony ARM)

Následující příklady popisují, jak povolit a zakázat PrivateEndpointNetworkPolicies virtuální síť myVNet s default podsítí 10.1.0.0/24 hostované ve skupině prostředků s názvem myResourceGroup.

Povolení zásad sítě

Azure Portal

1. Přihlaste se k portálu Azure.

2. Do vyhledávacího pole v horní části portálu zadejte virtuální síť. Vyberte Virtuální sítě.

3. Vyberte myVNet.

4. V nastavení sítě myVNet vyberte Podsítě.

5. Vyberte výchozí podsíť.

6. Ve vlastnostech výchozí podsítě zaškrtněte políčka pro skupiny zabezpečení sítě, směrovací tabulky nebo obojí v ZÁSADÁCH SÍTĚ PRO PRIVÁTNÍ KONCOVÉ BODY.

7. Zvolte Uložit.

PowerShell

K povolení zásad použijte Rutinu Get-AzVirtualNetwork, Set-AzVirtualNetworkSubnetConfig a Set-AzVirtualNetwork.

$net = @{
    Name = 'myVNet'
    ResourceGroupName = 'myResourceGroup'
}
$vnet = Get-AzVirtualNetwork @net

$sub = @{
    Name = 'default'
    VirtualNetwork = $vnet
    AddressPrefix = '10.1.0.0/24'
    PrivateEndpointNetworkPoliciesFlag = 'Enabled'  # Can be either 'Disabled', 'NetworkSecurityGroupEnabled', 'RouteTableEnabled', or 'Enabled'
}
Set-AzVirtualNetworkSubnetConfig @sub

$vnet | Set-AzVirtualNetwork

Rozhraní příkazového řádku

K povolení zásad použijte příkaz az network vnet subnet update . Azure CLI podporuje pouze hodnoty true nebo false. Neumožňuje povolit zásady selektivně jenom pro uživatelem definované trasy nebo skupiny zabezpečení sítě:

az network vnet subnet update \
  --disable-private-endpoint-network-policies false \
  --name default \
  --resource-group myResourceGroup \
  --vnet-name myVNet

JSON

Tato část popisuje, jak povolit zásady privátního koncového bodu podsítě pomocí šablony ARM. Možné hodnoty jsou privateEndpointNetworkPoliciesDisabled, NetworkSecurityGroupEnabled, RouteTableEnableda Enabled.

{ 
          "name": "myVNet", 
          "type": "Microsoft.Network/virtualNetworks", 
          "apiVersion": "2019-04-01", 
          "location": "WestUS", 
          "properties": { 
                "addressSpace": { 
                     "addressPrefixes": [ 
                          "10.1.0.0/16" 
                        ] 
                  }, 
                  "subnets": [ 
                         { 
                                "name": "default", 
                                "properties": { 
                                    "addressPrefix": "10.1.0.0/24", 
                                    "privateEndpointNetworkPolicies": "Enabled" 
                                 } 
                         } 
                  ] 
          } 
} 

Zakázání zásad sítě

Azure Portal

1. Přihlaste se k portálu Azure.

2. Do vyhledávacího pole v horní části portálu zadejte virtuální síť. Vyberte Virtuální sítě.

3. Vyberte myVNet.

4. V nastavení sítě myVNet vyberte Podsítě.

5. Vyberte výchozí podsíť.

6. Ve vlastnostech výchozí podsítě vyberte Zakázáno v ZÁSADÁCH SÍTĚ PRO PRIVÁTNÍ KONCOVÉ BODY.

7. Zvolte Uložit.

PowerShell

K zakázání zásady použijte Rutinu Get-AzVirtualNetwork, Set-AzVirtualNetwork a Set-AzVirtualNetworkSubnetConfig.

$net = @{
    Name = 'myVNet'
    ResourceGroupName = 'myResourceGroup'
}
$vnet = Get-AzVirtualNetwork @net

$sub = @{
    Name = 'default'
    VirtualNetwork = $vnet
    AddressPrefix = '10.1.0.0/24'
    PrivateEndpointNetworkPoliciesFlag = 'Disabled'
}
Set-AzVirtualNetworkSubnetConfig @sub

$vnet | Set-AzVirtualNetwork

Rozhraní příkazového řádku

K zakázání zásad použijte příkaz az network vnet subnet update .

az network vnet subnet update \
  --disable-private-endpoint-network-policies true \
  --name default \
  --resource-group myResourceGroup \
  --vnet-name myVNet
  

JSON

Tato část popisuje, jak zakázat zásady privátního koncového bodu podsítě pomocí šablony ARM.

{ 
          "name": "myVNet", 
          "type": "Microsoft.Network/virtualNetworks", 
          "apiVersion": "2019-04-01", 
          "location": "WestUS", 
          "properties": { 
                "addressSpace": { 
                     "addressPrefixes": [ 
                          "10.1.0.0/16" 
                        ] 
                  }, 
                  "subnets": [ 
                         { 
                                "name": "default", 
                                "properties": { 
                                    "addressPrefix": "10.1.0.0/24", 
                                    "privateEndpointNetworkPolicies": "Disabled" 
                                 } 
                         } 
                  ] 
          } 
} 

Důležité

Existují omezení privátních koncových bodů v souvislosti s funkcí zásad sítě a skupinami zabezpečení sítě a trasami definovanými uživatelem. Další informace najdete v tématu Omezení.

Další kroky

• Další informace najdete v tématu Co je privátní koncový bod?