Verwalten von Netzwerkrichtlinien für private Endpunkte

Artikel
23.12.2024

Standardmäßig sind Netzwerkrichtlinien für ein Subnetz in einem virtuellen Netzwerk deaktiviert. Damit Netzwerkrichtlinien wie benutzerdefinierte Routen- und Netzwerksicherheitsgruppen-Support genutzt werden können, muss der Netzwerkrichtlinien-Support für das Subnetz aktiviert sein. Diese Einstellung gilt nur für private Endpunkte im Subnetz und wirkt sich auf alle privaten Endpunkte im Subnetz aus. Für andere Ressourcen im Subnetz wird der Zugriff basierend auf Sicherheitsregeln in der Netzwerksicherheitsgruppe gesteuert.

Sie können Netzwerkrichtlinien entweder nur für Netzwerksicherheitsgruppen, nur für benutzerdefinierte Routen oder für beide aktivieren.

Wenn Sie Netzwerksicherheitsrichtlinien für benutzerdefinierte Routen aktivieren, können Sie eine benutzerdefinierte Adresspräfixlänge (Subnetzmaske) verwenden, die der Adressraumlänge des virtuellen Netzwerks entspricht oder größer ist, um die vom privaten Endpunkt weitergegebene /32-Standardroute für ungültig zu erklären. Diese Funktion kann nützlich sein, wenn Sie sicherstellen möchten, dass Verbindungsanforderungen für private Endpunkte eine Firewall oder ein virtuelles Gerät durchlaufen. Andernfalls sendet die /32-Standardroute Datenverkehr gemäß dem Algorithmus zur Zuordnung zum längsten Präfix direkt an den privaten Endpunkt.

Wichtig

Um eine Route des privaten Endpunkts für ungültig zu erklären, müssen benutzerdefinierte Routen über eine Präfixlänge verfügen, die dem Adressraum des virtuellen Netzwerks entspricht, in dem der private Endpunkt bereitgestellt ist, oder kleiner ist. Beispielsweise werden durch die Standardroute einer benutzerdefinierten Route (0.0.0.0/0/0) keine privaten Endpunktrouten ungültig, da sie einen breiteren Bereich als den Adressraum des privaten Endpunkts abdeckt. Die längste Präfix-Vergleichsregel schreibt spezifischeren Adresspräfixen eine höhere Priorität zu. Stellen Sie außerdem sicher, dass Netzwerkrichtlinien im Subnetz aktiviert sind, das den privaten Endpunkt hostet.

Führen Sie folgende Schritte aus, um die Netzwerkrichtlinie für private Endpunkte zu aktivieren oder zu deaktivieren:

Azure-Portal
Azure PowerShell
Azure-Befehlszeilenschnittstelle
Azure Resource Manager-Vorlagen (ARM-Vorlagen)

In den folgenden Beispielen wird beschrieben, wie Sie PrivateEndpointNetworkPolicies für ein virtuelles Netzwerk mit dem Namen myVNet aktivieren und deaktivieren, mit einem default Subnetz aus 10.1.0.0/24, das in einer Ressourcengruppe mit dem Namen myResourceGroup gehostet wird.

Aktivieren von Netzwerkrichtlinien

Führen Sie diese Schritte aus, um Netzwerksicherheitsgruppen und Routentabellen für Ihre privaten Endpunkte zu konfigurieren.

Melden Sie sich beim Azure-Portal an.
Geben Sie im Suchfeld oben im Portal den Suchbegriff Virtuelles Netzwerk ein. Wählen Sie Virtuelle Netzwerke aus.
Wählen Sie myVNet aus.
Wählen Sie in den Einstellungen von myVNet die Option Subnetze aus.
Wählen Sie das Subnetz Standard aus.
Wählen Sie im Bereich Subnetz bearbeiten unter Netzwerkrichtlinie für private Endpunkte die Felder fürNetzwerksicherheitsgruppenoderRoutingtabellen nach Bedarf aus.
Wählen Sie Speichern.

Verwenden Sie Get-AzVirtualNetwork, Set-AzVirtualNetworkSubnetConfig und Set-AzVirtualNetwork, um die Richtlinie zu aktivieren.

Azure PowerShell

$net = @{
    Name = 'myVNet'
    ResourceGroupName = 'myResourceGroup'
}
$vnet = Get-AzVirtualNetwork @net

$sub = @{
    Name = 'default'
    VirtualNetwork = $vnet
    AddressPrefix = '10.1.0.0/24'
    PrivateEndpointNetworkPoliciesFlag = 'Enabled'  # Can be either 'Disabled', 'NetworkSecurityGroupEnabled', 'RouteTableEnabled', or 'Enabled'
}
Set-AzVirtualNetworkSubnetConfig @sub

$vnet | Set-AzVirtualNetwork

Verwenden Sie az network vnet subnet update, um die Richtlinie zu aktivieren. Die Azure CLI unterstützt nur die Werte true oder false. Sie können die Richtlinien jedoch nicht gezielt nur für benutzerdefinierte Routen oder Netzwerksicherheitsgruppen aktivieren:

Azure CLI

az network vnet subnet update \
  --disable-private-endpoint-network-policies false \
  --name default \
  --resource-group myResourceGroup \
  --vnet-name myVNet

In diesem Abschnitt wird beschrieben, wie Sie Subnetzrichtlinien für private Endpunkte mithilfe einer ARM-Vorlage aktivieren können. Die möglichen Werte für privateEndpointNetworkPolicies sind Disabled, NetworkSecurityGroupEnabled, RouteTableEnabled, oder Enabled.

JSON

{ 
          "name": "myVNet", 
          "type": "Microsoft.Network/virtualNetworks", 
          "apiVersion": "2019-04-01", 
          "location": "WestUS", 
          "properties": { 
                "addressSpace": { 
                     "addressPrefixes": [ 
                          "10.1.0.0/16" 
                        ] 
                  }, 
                  "subnets": [ 
                         { 
                                "name": "default", 
                                "properties": { 
                                    "addressPrefix": "10.1.0.0/24", 
                                    "privateEndpointNetworkPolicies": "Enabled" 
                                 } 
                         } 
                  ] 
          } 
}

Deaktivieren von Netzwerkrichtlinien

Melden Sie sich beim Azure-Portal an.
Geben Sie im Suchfeld oben im Portal den Suchbegriff Virtuelles Netzwerk ein. Wählen Sie Virtuelle Netzwerke aus.
Wählen Sie myVNet aus.
Wählen Sie in den Einstellungen von myVNet die Option Subnetze aus.
Wählen Sie das Subnetz Standard aus.
Wählen Sie im Bereich Subnetz bearbeiten unter Netzwerkrichtlinie für private Endpunkte das Kontrollkästchen Deaktiviert aus.
Wählen Sie Speichern.

Verwenden Sie Get-AzVirtualNetwork, Set-AzVirtualNetwork und Set-AzVirtualNetworkSubnetConfig, um die Richtlinie zu deaktivieren.

Azure PowerShell

$net = @{
    Name = 'myVNet'
    ResourceGroupName = 'myResourceGroup'
}
$vnet = Get-AzVirtualNetwork @net

$sub = @{
    Name = 'default'
    VirtualNetwork = $vnet
    AddressPrefix = '10.1.0.0/24'
    PrivateEndpointNetworkPoliciesFlag = 'Disabled'
}
Set-AzVirtualNetworkSubnetConfig @sub

$vnet | Set-AzVirtualNetwork

Verwenden Sie az network vnet subnet update, um die Richtlinie zu deaktivieren.

Azure CLI

az network vnet subnet update \
  --disable-private-endpoint-network-policies true \
  --name default \
  --resource-group myResourceGroup \
  --vnet-name myVNet

In diesem Abschnitt wird beschrieben, wie Sie Subnetzrichtlinien für private Endpunkte mithilfe einer ARM-Vorlage deaktivieren können.

JSON

{ 
          "name": "myVNet", 
          "type": "Microsoft.Network/virtualNetworks", 
          "apiVersion": "2019-04-01", 
          "location": "WestUS", 
          "properties": { 
                "addressSpace": { 
                     "addressPrefixes": [ 
                          "10.1.0.0/16" 
                        ] 
                  }, 
                  "subnets": [ 
                         { 
                                "name": "default", 
                                "properties": { 
                                    "addressPrefix": "10.1.0.0/24", 
                                    "privateEndpointNetworkPolicies": "Disabled" 
                                 } 
                         } 
                  ] 
          } 
}

Wichtig

Es gibt Einschränkungen für private Endpunkte in Bezug auf das Netzwerkrichtlinien-Feature, Netzwerksicherheitsgruppen und benutzerdefinierte Routen. Weitere Informationen finden Sie unter Einschränkungen.

Nächste Schritte

In dieser Schrittanleitung haben Sie Netzwerkrichtlinien für private Endpunkte in einem virtuellen Azure-Netzwerk aktiviert und deaktiviert. Sie haben erfahren, wie Sie das Azure-Portal, Azure PowerShell, Azure CLI und Azure Resource Manager-Vorlagen verwenden, um Netzwerkrichtlinien für private Endpunkte zu verwalten.

Weitere Informationen zu den Diensten, die private Endpunkte unterstützen, finden Sie unter:

Was ist ein privater Endpunkt?

Zusätzliche Ressourcen

Dokumentation

Behandeln von Problemen mit der Konnektivität privater Azure-Endpunkte

Ausführliche Anleitung zur Diagnose der Konnektivität von privaten Endpunkten
Häufig gestellte Fragen (FAQ) zu Azure Private Link

Erfahren Sie mehr über Azure Private Link.
Was ist ein privater Endpunkt? - Azure Private Link

In diesem Artikel erfahren Sie, wie Sie das Feature „Privater Endpunkt“ von Azure Private Link verwenden.
Azure-VNET-Dienstendpunkte

Es wird beschrieben, wie Sie den direkten Zugriff auf Azure-Ressourcen aus einem virtuellen Netzwerk über Dienstendpunkte ermöglichen.
Verwalten von privaten Azure-Endpunkten - Azure Private Link

Erfahren Sie, wie Sie private Endpunkte in Azure verwalten.
Deaktivieren von Netzwerkrichtlinien für die Quell-IP-Adresse eines Azure Private Link-Diensts

Erfahren Sie, wie Sie Netzwerkrichtlinien für Azure Private Link deaktivieren.
Azure Firewall-Szenarien zur Untersuchung des Datenverkehr zu einem privaten Endpunkt - Azure Private Link

Lernen Sie verschiedene Szenarien kennen, um den Datenverkehr, der für einen privaten Endpunkt bestimmt ist, mit Azure Firewall zu untersuchen.
Überwachen von Azure Private Link

Erfahren Sie, wie Sie Azure Private Link mithilfe von Azure Monitor überwachen können, einschließlich Datensammlung, Analyse und Warnung.

Training

Modul

Konfigurieren von Azure Key Vault-Netzwerkeinstellungen - Training

Hier erfahren Sie, wie Sie Azure Key Vault-Netzwerkeinstellungen über das Azure-Portal konfigurieren, um eine sichere Zugriffssteuerung für Ihren Tresor zu ermöglichen und vertrauliche Schlüssel und Geheimnisse zu schützen.

Zertifizierung

Microsoft Certified: Azure Network Engineer Associate - Certifications

Zeigen Sie Ihre Kenntnisse zu Entwurf, Implementierung und Wartung der Azure-Netzwerkinfrastruktur, zum Lastenausgleich für Datenverkehr, zum Netzwerkrouting u. v. m.

Freigeben über

Verwalten von Netzwerkrichtlinien für private Endpunkte

Aktivieren von Netzwerkrichtlinien

Deaktivieren von Netzwerkrichtlinien

Nächste Schritte

Feedback

Zusätzliche Ressourcen