Administración de directivas de red de puntos de conexión privados

De forma predeterminada, las directivas de red están deshabilitadas para una subred de una red virtual. Para usar directivas de red como rutas definidas por el usuario y compatibilidad con grupos de seguridad de red, la compatibilidad con directivas de red debe estar habilitada para la subred. Esta configuración solo se aplica a los puntos de conexión privados de la subred y afecta a todos los puntos de conexión privados de la subred. Para otros recursos de la subred, el acceso se controla en función de las reglas de seguridad del grupos de seguridad de red.

Solo puede habilitar directivas de red para grupos de seguridad de red, solo para rutas definidas por el usuario o para ambas.

Si habilita directivas de seguridad de red para rutas definidas por el usuario, puede usar un prefijo de dirección personalizado igual o mayor que el espacio de direcciones de red virtual para invalidar la ruta predeterminada /32 propagada por el punto de conexión privado. Esta funcionalidad puede ser útil si desea asegurarse de que las solicitudes de conexión de punto de conexión privado pasan por un firewall o una aplicación virtual. De lo contrario, la ruta predeterminada /32 envía el tráfico directamente al punto de conexión privado de acuerdo con el algoritmo de coincidencia de prefijo más largo.

Importante

Para invalidar una ruta de punto de conexión privado, las rutas definidas por el usuario deben tener un prefijo igual o mayor que el espacio de direcciones de la red virtual donde se aprovisiona el punto de conexión privado. Por ejemplo, una ruta predeterminada de rutas definidas por el usuario (0.0.0.0/0) no invalida las rutas de punto de conexión privado. Las directivas de red deben estar habilitadas en la subred que hospeda el punto de conexión privado.

Siga estos pasos para habilitar o deshabilitar la directiva de red para puntos de conexión privados:

• Azure portal
• Azure PowerShell
• CLI de Azure
• Plantillas de Azure Resource Manager (plantillas de ARM)

En los ejemplos siguientes se describe cómo habilitar y deshabilitar PrivateEndpointNetworkPolicies para una red virtual denominada myVNet con una default subred de hospedada en un grupo de 10.1.0.0/24 recursos denominado myResourceGroup.

Habilitar la directiva de red

Portal

1. Inicie sesión en Azure Portal.

2. En el cuadro de búsqueda de la parte superior del portal, escriba Red virtual. Seleccione Redes virtuales.

3. Seleccione myVNet.

4. Seleccione Subredes en la configuración de myVNET.

5. Seleccione la subred default.

6. En las propiedades de la subred predeterminada , active las casillas de grupos de seguridad de red, tablas de rutas o ambas en DIRECTIVA DE RED PARA PUNTOS DE CONEXIÓN PRIVADOS.

7. Seleccione Guardar.

PowerShell

Use Get-AzVirtualNetwork, Set-AzVirtualNetworkSubnetConfig y Set-AzVirtualNetwork para habilitar la directiva.

$net = @{
    Name = 'myVNet'
    ResourceGroupName = 'myResourceGroup'
}
$vnet = Get-AzVirtualNetwork @net

$sub = @{
    Name = 'default'
    VirtualNetwork = $vnet
    AddressPrefix = '10.1.0.0/24'
    PrivateEndpointNetworkPoliciesFlag = 'Enabled'  # Can be either 'Disabled', 'NetworkSecurityGroupEnabled', 'RouteTableEnabled', or 'Enabled'
}
Set-AzVirtualNetworkSubnetConfig @sub

$vnet | Set-AzVirtualNetwork

CLI

Use az network vnet subnet update para habilitar la directiva. La CLI de Azure solo admite los valores true o false. No permite habilitar las directivas de forma selectiva solo para rutas definidas por el usuario o grupos de seguridad de red:

az network vnet subnet update \
  --disable-private-endpoint-network-policies false \
  --name default \
  --resource-group myResourceGroup \
  --vnet-name myVNet

JSON

En esta sección se describe cómo habilitar directivas de punto de conexión privado de subred mediante una plantilla de ARM. Los valores posibles para privateEndpointNetworkPolicies son Disabled, NetworkSecurityGroupEnabled, RouteTableEnabledy Enabled.

{ 
          "name": "myVNet", 
          "type": "Microsoft.Network/virtualNetworks", 
          "apiVersion": "2019-04-01", 
          "location": "WestUS", 
          "properties": { 
                "addressSpace": { 
                     "addressPrefixes": [ 
                          "10.1.0.0/16" 
                        ] 
                  }, 
                  "subnets": [ 
                         { 
                                "name": "default", 
                                "properties": { 
                                    "addressPrefix": "10.1.0.0/24", 
                                    "privateEndpointNetworkPolicies": "Enabled" 
                                 } 
                         } 
                  ] 
          } 
} 

Deshabilitar la directiva de red

Portal

1. Inicie sesión en Azure Portal.

2. En el cuadro de búsqueda de la parte superior del portal, escriba Red virtual. Seleccione Redes virtuales.

3. Seleccione myVNet.

4. Seleccione Subredes en la configuración de myVNET.

5. Seleccione la subred default.

6. En las propiedades de la subred predeterminada, seleccione Deshabilitado en DIRECTIVA DE RED PARA PUNTOS DE CONEXIÓN PRIVADOS.

7. Seleccione Guardar.

PowerShell

Use Get-AzVirtualNetwork, Set-AzVirtualNetwork y Set-AzVirtualNetworkSubnetConfig para deshabilitar la directiva.

$net = @{
    Name = 'myVNet'
    ResourceGroupName = 'myResourceGroup'
}
$vnet = Get-AzVirtualNetwork @net

$sub = @{
    Name = 'default'
    VirtualNetwork = $vnet
    AddressPrefix = '10.1.0.0/24'
    PrivateEndpointNetworkPoliciesFlag = 'Disabled'
}
Set-AzVirtualNetworkSubnetConfig @sub

$vnet | Set-AzVirtualNetwork

CLI

Use az network vnet subnet update para deshabilitar la directiva.

az network vnet subnet update \
  --disable-private-endpoint-network-policies true \
  --name default \
  --resource-group myResourceGroup \
  --vnet-name myVNet
  

JSON

En esta sección se describe cómo deshabilitar las directivas de punto de conexión privado de subred mediante una plantilla de ARM.

{ 
          "name": "myVNet", 
          "type": "Microsoft.Network/virtualNetworks", 
          "apiVersion": "2019-04-01", 
          "location": "WestUS", 
          "properties": { 
                "addressSpace": { 
                     "addressPrefixes": [ 
                          "10.1.0.0/16" 
                        ] 
                  }, 
                  "subnets": [ 
                         { 
                                "name": "default", 
                                "properties": { 
                                    "addressPrefix": "10.1.0.0/24", 
                                    "privateEndpointNetworkPolicies": "Disabled" 
                                 } 
                         } 
                  ] 
          } 
} 

Importante

Existen limitaciones para los puntos de conexión privados en relación con la característica de directiva de red y los grupos de seguridad de red y las rutas definidas por el usuario. Para más información, consulte las limitaciones.

Pasos siguientes

• Para más información, consulte ¿Qué es un punto de conexión privado?.