Gérer les stratégies réseau pour les points de terminaison privés
Par défaut, les stratégies réseau sont désactivées pour un sous-réseau dans un réseau virtuel. Pour utiliser des stratégies réseau telles que les itinéraires définis par l’utilisateur et la prise en charge des groupes de sécurité réseau, la prise en charge de la stratégie réseau doit être activée pour le sous-réseau. Ce paramètre s’applique uniquement aux points de terminaison privés du sous-réseau et affecte tous les points de terminaison privés du sous-réseau. Pour les autres ressources du sous-réseau, l’accès est contrôlé en fonction des règles de sécurité du groupe de sécurité réseau.
Vous pouvez activer les stratégies réseau uniquement pour les groupes de sécurité réseau, pour les itinéraires définis par l’utilisateur uniquement ou pour les deux.
Si vous activez des stratégies de sécurité réseau pour les itinéraires définis par l’utilisateur, vous pouvez utiliser un préfixe d’adresse personnalisé égal ou supérieur à l’espace d’adressage du réseau virtuel pour invalider l’itinéraire par défaut /32 propagé par le point de terminaison privé. Cette fonctionnalité peut être utile si vous souhaitez vous assurer que les demandes de connexion de point de terminaison privé passent par un pare-feu ou une appliance virtuelle. Sinon, l’itinéraire par défaut /32 envoie le trafic directement au point de terminaison privé conformément à l’algorithme de correspondance de préfixe le plus long.
Important
Pour invalider un itinéraire de point de terminaison privé, les itinéraires définis par l’utilisateur doivent avoir un préfixe égal ou supérieur à l’espace d’adressage du réseau virtuel où le point de terminaison privé est provisionné. Par exemple, un itinéraire défini par l’utilisateur par défaut (0.0.0.0/0) n’invalide pas les itinéraires de point de terminaison privé. Les stratégies réseau doivent être activées dans le sous-réseau qui héberge le point de terminaison privé.
Pour activer ou désactiver la stratégie réseau pour les points de terminaison privés, procédez comme suit :
- Azure portal
- Azure PowerShell
- Azure CLI
- Modèles Azure Resource Manager (modèles ARM)
Les exemples suivants décrivent comment activer et désactiver PrivateEndpointNetworkPolicies un réseau virtuel nommé myVNet avec un default sous-réseau hébergé dans un groupe de 10.1.0.0/24 ressources nommé myResourceGroup.
Activer la stratégie réseau
Connectez-vous au portail Azure.
Dans la zone de recherche située en haut du portail, entrez Réseau virtuel. Sélectionner Réseaux virtuels.
Sélectionnez myVNet.
Dans les paramètres de myVNet, sélectionnez Sous-réseaux.
Sélectionnez le sous-réseau par défaut.
Dans les propriétés du sous-réseau par défaut, sélectionnez les case activée boxes pour les groupes de sécurité réseau, les tables de routage ou les deux dans NETWORK POLICY FOR PRIVATE ENDPOINTS.
Sélectionnez Enregistrer.
Désactiver la stratégie réseau
Connectez-vous au portail Azure.
Dans la zone de recherche située en haut du portail, entrez Réseau virtuel. Sélectionner Réseaux virtuels.
Sélectionnez myVNet.
Dans les paramètres de myVNet, sélectionnez Sous-réseaux.
Sélectionnez le sous-réseau par défaut.
Dans les propriétés du sous-réseau par défaut, sélectionnez Désactivé dans STRATÉGIE RÉSEAU POUR LES POINTS DE TERMINAISON PRIVÉS.
Sélectionnez Enregistrer.
Important
Il existe des limitations aux points de terminaison privés par rapport à la fonctionnalité de stratégie réseau et aux groupes de sécurité réseau et aux itinéraires définis par l’utilisateur. Pour plus d’informations, consultez Limitations.
Étapes suivantes
- Pour plus d’informations, consultez Qu’est-ce qu’un point de terminaison privé ?.