Kezelje a hálózati házirendeket privát végpontokhoz.

2025-06-22

Alapértelmezés szerint a hálózati házirendek le vannak tiltva egy virtuális hálózat alhálózata esetében. A hálózati házirendek, például a felhasználó által megadott útvonalak és a hálózati biztonsági csoportok támogatásának használatához engedélyezni kell a hálózati házirendek támogatását az alhálózaton. Ez a beállítás csak az alhálózat privát végpontjaira vonatkozik, és az alhálózat összes magánvégpontára hatással van. Az alhálózat egyéb erőforrásai esetében a hozzáférés a hálózati biztonsági csoport biztonsági szabályai alapján van szabályozva.

A hálózati házirendeket csak hálózati biztonsági csoportokhoz, csak felhasználó által megadott útvonalakhoz, vagy mindkettőhöz engedélyezheti.

Ha engedélyezi a hálózati biztonsági szabályzatokat a felhasználó által megadott útvonalakhoz, a virtuális hálózati címtér előtagjának hosszával egyenlő vagy annál nagyobb egyéni címelőtag-hosszt (alhálózati maszkot) használhat a privát végpont által propagált /32 alapértelmezett útvonal felülbírálásához. Ez a képesség akkor lehet hasznos, ha biztosítani szeretné, hogy a privát végponti kapcsolati kérelmek tűzfalon vagy virtuális berendezésen haladjanak át. Ellenkező esetben a /32 alapértelmezett útvonal közvetlenül a privát végpontra küldi a forgalmat a leghosszabb előtag-egyezési algoritmusnak megfelelően.

Fontos

A privát végponti útvonalak felülbírálásához a felhasználó által megadott útvonalak előtagméretének egyenlőnek vagy kisebbnek kell lennie, mint a virtuális hálózati címtér, ahol a privát végpont ki van építve. A felhasználó által megadott útvonalak alapértelmezett útvonala (0.0.0.0/0) például nem bírálja felül a privát végponti útvonalakat, mert szélesebb tartományt fed le, mint a privát végpont címtere. A leghosszabb előtag-egyezési szabály magasabb prioritást biztosít a konkrétabb címelőtagoknak. Emellett győződjön meg arról, hogy a hálózati házirendek engedélyezve vannak a privát végpontot üzemeltető alhálózaton.

Az alábbi lépésekkel engedélyezheti vagy letilthatja a privát végpontok hálózati házirendjét:

Azure portál
Azure PowerShell
Azure CLI (Az Azure parancssori felülete)
Azure Resource Manager-sablonok (ARM-sablonok)

Az alábbi példák bemutatják, hogyan engedélyezhet és tilthat le PrivateEndpointNetworkPolicies egy myVNet nevű virtuális hálózathoz tartozó default alhálózat esetén, amely a 10.1.0.0/24 nevű erőforráscsoportban van üzemeltetve.

Hálózati házirend engedélyezése

Az alábbi lépéseket követve konfigurálhatja a hálózati biztonsági csoportokat és az útválasztási táblákat a privát végpontokhoz.

Jelentkezzen be a Azure portalra.
A portál tetején található keresőmezőbe írja be a virtuális hálózatot. Válassza Virtuális hálózatoklehetőséget.
Válassza a myVNetet.
A myVNet beállításaiban válassza az Alhálózatok lehetőséget.
Válassza ki az alapértelmezett alhálózatot.
Az Alhálózat szerkesztése ablaktábla Privát végpontok hálózati házirendje területén szükség szerint jelölje be a Hálózati biztonsági csoportok vagy az Útvonaltáblák jelölőnégyzetét.
Válassza az Mentésgombot.

A szabályzat engedélyezéséhez használja a Get-AzVirtualNetwork, a Set-AzVirtualNetworkSubnetConfig és a Set-AzVirtualNetwork parancsot.

$net = @{
    Name = 'myVNet'
    ResourceGroupName = 'myResourceGroup'
}
$vnet = Get-AzVirtualNetwork @net

$sub = @{
    Name = 'default'
    VirtualNetwork = $vnet
    AddressPrefix = '10.1.0.0/24'
    PrivateEndpointNetworkPoliciesFlag = 'Enabled'  # Can be either 'Disabled', 'NetworkSecurityGroupEnabled', 'RouteTableEnabled', or 'Enabled'
}
Set-AzVirtualNetworkSubnetConfig @sub

$vnet | Set-AzVirtualNetwork

A szabályzat engedélyezéséhez használja az az network vnet subnet update parancsot. Az Azure CLI csak a vagy trueaz értékeket false támogatja. Nem teszi lehetővé a szabályzatok szelektív engedélyezését csak a felhasználó által megadott útvonalak vagy hálózati biztonsági csoportok esetében:

az network vnet subnet update \
  --disable-private-endpoint-network-policies false \
  --name default \
  --resource-group myResourceGroup \
  --vnet-name myVNet

Ez a szakasz azt ismerteti, hogyan engedélyezheti az alhálózat privát végponti szabályzatait egy ARM-sablon használatával. A lehetséges értékek privateEndpointNetworkPolicies a , DisabledNetworkSecurityGroupEnabled, RouteTableEnabledés Enabled.

{ 
          "name": "myVNet", 
          "type": "Microsoft.Network/virtualNetworks", 
          "apiVersion": "2019-04-01", 
          "location": "WestUS", 
          "properties": { 
                "addressSpace": { 
                     "addressPrefixes": [ 
                          "10.1.0.0/16" 
                        ] 
                  }, 
                  "subnets": [ 
                         { 
                                "name": "default", 
                                "properties": { 
                                    "addressPrefix": "10.1.0.0/24", 
                                    "privateEndpointNetworkPolicies": "Enabled" 
                                 } 
                         } 
                  ] 
          } 
}

Hálózati házirend letiltása

Jelentkezzen be a Azure portalra.
A portál tetején található keresőmezőbe írja be a virtuális hálózatot. Válassza Virtuális hálózatoklehetőséget.
Válassza a myVNetet.
A myVNet beállításaiban válassza az Alhálózatok lehetőséget.
Válassza ki az alapértelmezett alhálózatot.
Az Alhálózat szerkesztése panel Privát végpontok hálózati házirendje területén jelölje be a Letiltva jelölőnégyzetet.
Válassza az Mentésgombot.

A Get-AzVirtualNetwork, a Set-AzVirtualNetwork és a Set-AzVirtualNetworkSubnetConfig használatával tiltsa le a szabályzatot.

$net = @{
    Name = 'myVNet'
    ResourceGroupName = 'myResourceGroup'
}
$vnet = Get-AzVirtualNetwork @net

$sub = @{
    Name = 'default'
    VirtualNetwork = $vnet
    AddressPrefix = '10.1.0.0/24'
    PrivateEndpointNetworkPoliciesFlag = 'Disabled'
}
Set-AzVirtualNetworkSubnetConfig @sub

$vnet | Set-AzVirtualNetwork

A szabályzat letiltásához használja az network vnet subnet update parancsot.

az network vnet subnet update \
  --disable-private-endpoint-network-policies true \
  --name default \
  --resource-group myResourceGroup \
  --vnet-name myVNet

Ez a szakasz azt ismerteti, hogyan tilthatja le az alhálózat privát végponti szabályzatait egy ARM-sablon használatával.

{ 
          "name": "myVNet", 
          "type": "Microsoft.Network/virtualNetworks", 
          "apiVersion": "2019-04-01", 
          "location": "WestUS", 
          "properties": { 
                "addressSpace": { 
                     "addressPrefixes": [ 
                          "10.1.0.0/16" 
                        ] 
                  }, 
                  "subnets": [ 
                         { 
                                "name": "default", 
                                "properties": { 
                                    "addressPrefix": "10.1.0.0/24", 
                                    "privateEndpointNetworkPolicies": "Disabled" 
                                 } 
                         } 
                  ] 
          } 
}

Fontos

A privát végpontok a hálózati házirend szolgáltatással, a hálózati biztonsági csoportokkal és a felhasználó által megadott útvonalakkal kapcsolatban korlátozottak. További információ: Korlátozások.

Következő lépések

Ebben az útmutatóban engedélyezte és letiltotta a hálózati szabályzatokat egy Azure-beli virtuális hálózat privát végpontjaihoz. Megtanulta, hogyan használhatja a Azure Portal, a Azure PowerShell, az Azure CLI és az Azure Resource Manager sablonokat a privát végpontok hálózati szabályzatainak kezeléséhez.

A privát végpontokat támogató szolgáltatásokkal kapcsolatos további információkért lásd:

Mi az a privát végpont?

Megosztás a következőn keresztül:

Kezelje a hálózati házirendeket privát végpontokhoz.

Hálózati házirend engedélyezése

Hálózati házirend letiltása

Következő lépések

Visszajelzés

További források