Hálózati szabályzatok kezelése privát végpontokhoz

Alapértelmezés szerint a hálózati házirendek le vannak tiltva egy virtuális hálózat alhálózata esetében. A hálózati házirendek, például a felhasználó által megadott útvonalak és a hálózati biztonsági csoportok támogatásának használatához engedélyezni kell a hálózati házirendek támogatását az alhálózaton. Ez a beállítás csak az alhálózat privát végpontjaira vonatkozik, és az alhálózat összes magánvégpontára hatással van. Az alhálózat egyéb erőforrásai esetében a hozzáférés a hálózati biztonsági csoport biztonsági szabályai alapján van szabályozva.

A hálózati házirendeket csak hálózati biztonsági csoportokhoz, csak felhasználó által megadott útvonalakhoz, vagy mindkettőhöz engedélyezheti.

Ha engedélyezi a hálózati biztonsági szabályzatokat a felhasználó által megadott útvonalakhoz, a virtuális hálózati címtérrel egyenlő vagy annál nagyobb egyéni címelőtaggal érvénytelenítheti a privát végpont által propagált /32 alapértelmezett útvonalat. Ez a funkció akkor lehet hasznos, ha biztosítani szeretné, hogy a privát végpont csatlakozási kérelmei tűzfalon vagy virtuális berendezésen keresztül menjenek keresztül. Ellenkező esetben az alapértelmezett /32 útvonal közvetlenül a privát végpontra küld forgalmat a leghosszabb előtagegyeztetési algoritmusnak megfelelően.

Fontos

A privát végpont útvonalának érvénytelenítéséhez a felhasználó által megadott útvonalaknak olyan előtaggal kell rendelkezniük, amely egyenlő vagy nagyobb, mint a virtuális hálózati címtér, ahol a privát végpont ki van építve. A felhasználó által megadott útvonalak alapértelmezett útvonala (0.0.0.0/0) például nem érvényteleníti a privát végpont útvonalait. A hálózati házirendeket engedélyezni kell a privát végpontot üzemeltető alhálózaton.

A privát végpontok hálózati házirendjének engedélyezéséhez vagy letiltásához kövesse az alábbi lépéseket:

• Azure Portal
• Azure PowerShell
• Azure CLI
• Azure Resource Manager-sablonok (ARM-sablonok)

Az alábbi példák bemutatják, hogyan engedélyezhet és tilthat le PrivateEndpointNetworkPolicies egy olyan virtuális hálózatot, amely egy default nevesített erőforráscsoportban üzemeltetett alhálózattal 10.1.0.0/24 rendelkezik myVNet myResourceGroup.

Hálózati házirend engedélyezése

Portál

1. Jelentkezzen be az Azure Portalra.

2. A portál tetején található keresőmezőbe írja be a virtuális hálózatot. Válassza ki a virtuális hálózatokat.

3. Válassza ki a myVNetet.

4. A myVNet beállításaiban válassza az Alhálózatok lehetőséget.

5. Válassza ki az alapértelmezett alhálózatot.

6. Az alapértelmezett alhálózat tulajdonságai között jelölje be a hálózati biztonsági csoportok, útvonaltáblák vagy mindkettő jelölőnégyzetét a PRIVÁT VÉGPONTOK HÁLÓZATI HÁZIRENDJÉBEN.

7. Válassza a Mentés lehetőséget.

PowerShell

A házirend engedélyezéséhez használja a Get-AzVirtualNetwork, a Set-AzVirtualNetworkSubnetConfig és a Set-AzVirtualNetwork parancsot.

$net = @{
    Name = 'myVNet'
    ResourceGroupName = 'myResourceGroup'
}
$vnet = Get-AzVirtualNetwork @net

$sub = @{
    Name = 'default'
    VirtualNetwork = $vnet
    AddressPrefix = '10.1.0.0/24'
    PrivateEndpointNetworkPoliciesFlag = 'Enabled'  # Can be either 'Disabled', 'NetworkSecurityGroupEnabled', 'RouteTableEnabled', or 'Enabled'
}
Set-AzVirtualNetworkSubnetConfig @sub

$vnet | Set-AzVirtualNetwork

Parancssori felület

A szabályzat engedélyezéséhez használja az az network vnet alhálózati frissítést . Az Azure CLI csak az értékeket true falsevagy a . Nem teszi lehetővé a szabályzatok szelektív engedélyezését csak a felhasználó által megadott útvonalak vagy hálózati biztonsági csoportok esetében:

az network vnet subnet update \
  --disable-private-endpoint-network-policies false \
  --name default \
  --resource-group myResourceGroup \
  --vnet-name myVNet

JSON

Ez a szakasz azt ismerteti, hogyan engedélyezheti az alhálózat privát végpontszabályzatát ARM-sablon használatával. A lehetséges értékek a privateEndpointNetworkPolicies következők: Disabled, NetworkSecurityGroupEnabled, RouteTableEnabledés Enabled.

{ 
          "name": "myVNet", 
          "type": "Microsoft.Network/virtualNetworks", 
          "apiVersion": "2019-04-01", 
          "location": "WestUS", 
          "properties": { 
                "addressSpace": { 
                     "addressPrefixes": [ 
                          "10.1.0.0/16" 
                        ] 
                  }, 
                  "subnets": [ 
                         { 
                                "name": "default", 
                                "properties": { 
                                    "addressPrefix": "10.1.0.0/24", 
                                    "privateEndpointNetworkPolicies": "Enabled" 
                                 } 
                         } 
                  ] 
          } 
} 

Hálózati házirend letiltása

Portál

1. Jelentkezzen be az Azure Portalra.

2. A portál tetején található keresőmezőbe írja be a virtuális hálózatot. Válassza ki a virtuális hálózatokat.

3. Válassza ki a myVNetet.

4. A myVNet beállításaiban válassza az Alhálózatok lehetőséget.

5. Válassza ki az alapértelmezett alhálózatot.

6. Az alapértelmezett alhálózat tulajdonságai között válassza a Letiltva lehetőséget a PRIVÁT VÉGPONTOK HÁLÓZATI HÁZIRENDjében.

7. Válassza a Mentés lehetőséget.

PowerShell

A házirend letiltásához használja a Get-AzVirtualNetwork, a Set-AzVirtualNetwork és a Set-AzVirtualNetworkSubnetConfig parancsot.

$net = @{
    Name = 'myVNet'
    ResourceGroupName = 'myResourceGroup'
}
$vnet = Get-AzVirtualNetwork @net

$sub = @{
    Name = 'default'
    VirtualNetwork = $vnet
    AddressPrefix = '10.1.0.0/24'
    PrivateEndpointNetworkPoliciesFlag = 'Disabled'
}
Set-AzVirtualNetworkSubnetConfig @sub

$vnet | Set-AzVirtualNetwork

Parancssori felület

Az az network vnet subnet update használatával tiltsa le a szabályzatot.

az network vnet subnet update \
  --disable-private-endpoint-network-policies true \
  --name default \
  --resource-group myResourceGroup \
  --vnet-name myVNet
  

JSON

Ez a szakasz azt ismerteti, hogyan tilthatja le az alhálózat privát végpontszabályzatát ARM-sablon használatával.

{ 
          "name": "myVNet", 
          "type": "Microsoft.Network/virtualNetworks", 
          "apiVersion": "2019-04-01", 
          "location": "WestUS", 
          "properties": { 
                "addressSpace": { 
                     "addressPrefixes": [ 
                          "10.1.0.0/16" 
                        ] 
                  }, 
                  "subnets": [ 
                         { 
                                "name": "default", 
                                "properties": { 
                                    "addressPrefix": "10.1.0.0/24", 
                                    "privateEndpointNetworkPolicies": "Disabled" 
                                 } 
                         } 
                  ] 
          } 
} 

Fontos

A privát végpontokra korlátozások vonatkoznak a hálózati házirend funkciójával, a hálózati biztonsági csoportokkal és a felhasználó által megadott útvonalakkal kapcsolatban. További információ: Korlátozások.

Következő lépések

• További információ: Mi az a privát végpont?