Mengelola kebijakan jaringan untuk titik akhir privat

Secara default, kebijakan jaringan dinonaktifkan untuk subnet dalam jaringan virtual. Untuk menggunakan kebijakan jaringan seperti rute yang ditentukan pengguna dan dukungan grup keamanan jaringan, dukungan kebijakan jaringan harus diaktifkan untuk subnet. Pengaturan ini hanya berlaku untuk titik akhir privat di subnet dan memengaruhi semua titik akhir privat di subnet. Untuk sumber daya lain di subnet, akses dikontrol berdasarkan aturan keamanan di kelompok keamanan jaringan.

Anda hanya dapat mengaktifkan kebijakan jaringan untuk grup keamanan jaringan, hanya untuk rute yang ditentukan pengguna, atau untuk keduanya.

Jika Anda mengaktifkan kebijakan keamanan jaringan untuk rute yang ditentukan pengguna, Anda dapat menggunakan awalan alamat kustom yang sama dengan atau lebih besar dari ruang alamat jaringan virtual untuk membatalkan rute default /32 yang disebarkan oleh titik akhir privat. Kemampuan ini dapat berguna jika Anda ingin memastikan bahwa permintaan koneksi titik akhir privat melalui firewall atau appliance virtual. Jika tidak, rute default /32 mengirimkan lalu lintas langsung ke titik akhir privat sesuai dengan algoritma pencocokan awalan terpanjang.

Penting

Untuk membatalkan rute titik akhir privat, rute yang ditentukan pengguna harus memiliki awalan yang sama dengan atau lebih besar dari ruang alamat jaringan virtual tempat titik akhir privat disediakan. Misalnya, rute default rute yang ditentukan pengguna (0.0.0.0/0) tidak membatalkan rute titik akhir privat. Kebijakan jaringan harus diaktifkan di subnet yang menghosting titik akhir privat.

Gunakan langkah-langkah berikut untuk mengaktifkan atau menonaktifkan kebijakan jaringan untuk titik akhir privat:

• portal Microsoft Azure
• Azure PowerShell
• Azure CLI
• Templat Azure Resource Manager (templat ARM)

Contoh berikut menjelaskan cara mengaktifkan dan menonaktifkan PrivateEndpointNetworkPolicies jaringan virtual bernama myVNet dengan subnet 10.1.0.0/24 yang default dihosting dalam grup sumber daya bernama myResourceGroup.

Aktifkan kebijakan jaringan

Portal

1. Masuk ke portal Azure.

2. Di kotak pencarian di bagian atas portal, masukkan Jaringan virtual. Pilih Jaringan virtual.

3. Pilih myVNet.

4. Di pengaturan myVNet, pilih Subnet.

5. Pilih subnet default.

6. Di properti untuk subnet default , pilih kotak centang untuk Grup Keamanan Jaringan, tabel Rute, atau keduanya dalam KEBIJAKAN JARINGAN UNTUK TITIK AKHIR PRIVAT.

7. Pilih Simpan.

PowerShell

Gunakan Get-AzVirtualNetwork, Set-AzVirtualNetwork, dan Set-AzVirtualNetwork untuk mengaktifkan kebijakan.

$net = @{
    Name = 'myVNet'
    ResourceGroupName = 'myResourceGroup'
}
$vnet = Get-AzVirtualNetwork @net

$sub = @{
    Name = 'default'
    VirtualNetwork = $vnet
    AddressPrefix = '10.1.0.0/24'
    PrivateEndpointNetworkPoliciesFlag = 'Enabled'  # Can be either 'Disabled', 'NetworkSecurityGroupEnabled', 'RouteTableEnabled', or 'Enabled'
}
Set-AzVirtualNetworkSubnetConfig @sub

$vnet | Set-AzVirtualNetwork

CLI

Gunakan az network vnet subnet update untuk mengaktifkan kebijakan. Azure CLI hanya mendukung nilai true atau false. Ini tidak memungkinkan Anda untuk mengaktifkan kebijakan secara selektif hanya untuk rute yang ditentukan pengguna atau grup keamanan jaringan:

az network vnet subnet update \
  --disable-private-endpoint-network-policies false \
  --name default \
  --resource-group myResourceGroup \
  --vnet-name myVNet

JSON

Bagian ini menjelaskan cara mengaktifkan kebijakan titik akhir privat subnet dengan menggunakan templat ARM. Nilai yang mungkin untuk privateEndpointNetworkPolicies adalah Disabled, NetworkSecurityGroupEnabled, RouteTableEnabled, dan Enabled.

{ 
          "name": "myVNet", 
          "type": "Microsoft.Network/virtualNetworks", 
          "apiVersion": "2019-04-01", 
          "location": "WestUS", 
          "properties": { 
                "addressSpace": { 
                     "addressPrefixes": [ 
                          "10.1.0.0/16" 
                        ] 
                  }, 
                  "subnets": [ 
                         { 
                                "name": "default", 
                                "properties": { 
                                    "addressPrefix": "10.1.0.0/24", 
                                    "privateEndpointNetworkPolicies": "Enabled" 
                                 } 
                         } 
                  ] 
          } 
} 

Nonaktifkan kebijakan jaringan

Portal

1. Masuk ke portal Azure.

2. Di kotak pencarian di bagian atas portal, masukkan Jaringan virtual. Pilih Jaringan virtual.

3. Pilih myVNet.

4. Di pengaturan myVNet, pilih Subnet.

5. Pilih subnet default.

6. Di properti untuk subnet default, pilih Diaktifkan dalam KEBIJAKAN JARINGAN UNTUK TITIK AKHIR PRIVAT.

7. Pilih Simpan.

PowerShell

Gunakan Get-AzVirtualNetwork, Set-AzVirtualNetwork, dan Set-AzVirtualNetwork untuk menonaktifkan kebijakan.

$net = @{
    Name = 'myVNet'
    ResourceGroupName = 'myResourceGroup'
}
$vnet = Get-AzVirtualNetwork @net

$sub = @{
    Name = 'default'
    VirtualNetwork = $vnet
    AddressPrefix = '10.1.0.0/24'
    PrivateEndpointNetworkPoliciesFlag = 'Disabled'
}
Set-AzVirtualNetworkSubnetConfig @sub

$vnet | Set-AzVirtualNetwork

CLI

Gunakan az network vnet subnet update untuk menonaktifkan kebijakan.

az network vnet subnet update \
  --disable-private-endpoint-network-policies true \
  --name default \
  --resource-group myResourceGroup \
  --vnet-name myVNet
  

JSON

Bagian ini menjelaskan cara menonaktifkan kebijakan titik akhir privat subnet dengan menggunakan templat ARM.

{ 
          "name": "myVNet", 
          "type": "Microsoft.Network/virtualNetworks", 
          "apiVersion": "2019-04-01", 
          "location": "WestUS", 
          "properties": { 
                "addressSpace": { 
                     "addressPrefixes": [ 
                          "10.1.0.0/16" 
                        ] 
                  }, 
                  "subnets": [ 
                         { 
                                "name": "default", 
                                "properties": { 
                                    "addressPrefix": "10.1.0.0/24", 
                                    "privateEndpointNetworkPolicies": "Disabled" 
                                 } 
                         } 
                  ] 
          } 
} 

Penting

Ada batasan untuk titik akhir privat sehubungan dengan fitur kebijakan jaringan dan grup keamanan jaringan dan rute yang ditentukan pengguna. Untuk informasi selengkapnya, lihat Batasan.

Langkah berikutnya

• Untuk mempelajari selengkapnya, lihat Apa itu titik akhir privat?.