Gestire i criteri di rete per gli endpoint privati

Per impostazione predefinita, i criteri di rete sono disabilitati per una subnet in una rete virtuale. Per usare criteri di rete come route definite dall'utente e supporto dei gruppi di sicurezza di rete, è necessario abilitare il supporto dei criteri di rete per la subnet. Questa impostazione si applica solo agli endpoint privati nella subnet e influisce su tutti gli endpoint privati nella subnet. Per altre risorse nella subnet, l'accesso viene controllato in base alle regole di sicurezza nel gruppo di sicurezza di rete.

È possibile abilitare i criteri di rete solo per i gruppi di sicurezza di rete, solo per le route definite dall'utente o per entrambi.

Se si abilitano i criteri di sicurezza di rete per le route definite dall'utente, è possibile usare un prefisso di indirizzo personalizzato uguale o maggiore dello spazio degli indirizzi della rete virtuale per invalidare la route predefinita /32 propagata dall'endpoint privato. Questa funzionalità può essere utile se si vuole assicurarsi che le richieste di connessione all'endpoint privato vengano inviate attraverso un firewall o un'appliance virtuale. In caso contrario, la route predefinita /32 invia il traffico direttamente all'endpoint privato in base all'algoritmo di corrispondenza del prefisso più lungo.

Importante

Per invalidare una route dell'endpoint privato, le route definite dall'utente devono avere un prefisso uguale o maggiore dello spazio di indirizzi della rete virtuale in cui viene effettuato il provisioning dell'endpoint privato. Ad esempio, una route predefinita definita dall'utente (0.0.0.0/0) non invalida le route degli endpoint privati. I criteri di rete devono essere abilitati nella subnet che ospita l'endpoint privato.

Usare la procedura seguente per abilitare o disabilitare i criteri di rete per gli endpoint privati:

• Portale di Azure
• Azure PowerShell
• Interfaccia della riga di comando di Azure
• Modelli di Azure Resource Manager

Gli esempi seguenti descrivono come abilitare e disabilitare PrivateEndpointNetworkPolicies per una rete virtuale denominata myVNet con una default subnet di ospitata in un gruppo di 10.1.0.0/24 risorse denominato myResourceGroup.

Abilitare i criteri di rete

Portale

1. Accedere al portale di Azure.

2. Nella casella di ricerca nella parte superiore del portale immettere Rete virtuale. Selezionare Reti virtuali.

3. Selezionare myVNET.

4. Nelle impostazioni di myVNet selezionare Subnet.

5. Selezionare la subnet predefinita .

6. Nelle proprietà per la subnet predefinita selezionare le caselle di controllo gruppi di sicurezza di rete, tabelle di route o entrambe in CRITERI DI RETE PER ENDPOINT PRIVATI.

7. Seleziona Salva.

PowerShell

Usare Get-AzVirtualNetwork, Set-AzVirtualNetworkSubnetConfig e Set-AzVirtualNetwork per abilitare i criteri.

$net = @{
    Name = 'myVNet'
    ResourceGroupName = 'myResourceGroup'
}
$vnet = Get-AzVirtualNetwork @net

$sub = @{
    Name = 'default'
    VirtualNetwork = $vnet
    AddressPrefix = '10.1.0.0/24'
    PrivateEndpointNetworkPoliciesFlag = 'Enabled'  # Can be either 'Disabled', 'NetworkSecurityGroupEnabled', 'RouteTableEnabled', or 'Enabled'
}
Set-AzVirtualNetworkSubnetConfig @sub

$vnet | Set-AzVirtualNetwork

CLI

Usare az network vnet subnet update per abilitare i criteri. L'interfaccia della riga di comando di Azure supporta solo i valori true o false. Non consente di abilitare i criteri in modo selettivo solo per le route definite dall'utente o i gruppi di sicurezza di rete:

az network vnet subnet update \
  --disable-private-endpoint-network-policies false \
  --name default \
  --resource-group myResourceGroup \
  --vnet-name myVNet

JSON

Questa sezione descrive come abilitare i criteri degli endpoint privati della subnet usando un modello di Resource Manager. I valori possibili per privateEndpointNetworkPolicies sono Disabled, NetworkSecurityGroupEnabled, RouteTableEnablede Enabled.

{ 
          "name": "myVNet", 
          "type": "Microsoft.Network/virtualNetworks", 
          "apiVersion": "2019-04-01", 
          "location": "WestUS", 
          "properties": { 
                "addressSpace": { 
                     "addressPrefixes": [ 
                          "10.1.0.0/16" 
                        ] 
                  }, 
                  "subnets": [ 
                         { 
                                "name": "default", 
                                "properties": { 
                                    "addressPrefix": "10.1.0.0/24", 
                                    "privateEndpointNetworkPolicies": "Enabled" 
                                 } 
                         } 
                  ] 
          } 
} 

Disabilitare i criteri di rete

Portale

1. Accedere al portale di Azure.

2. Nella casella di ricerca nella parte superiore del portale immettere Rete virtuale. Selezionare Reti virtuali.

3. Selezionare myVNET.

4. Nelle impostazioni di myVNet selezionare Subnet.

5. Selezionare la subnet predefinita .

6. Nelle proprietà per la subnet predefinita selezionare Disabilitato in CRITERI DI RETE PER ENDPOINT PRIVATI.

7. Seleziona Salva.

PowerShell

Usare Get-AzVirtualNetwork, Set-AzVirtualNetwork e Set-AzVirtualNetworkSubnetConfig per disabilitare i criteri.

$net = @{
    Name = 'myVNet'
    ResourceGroupName = 'myResourceGroup'
}
$vnet = Get-AzVirtualNetwork @net

$sub = @{
    Name = 'default'
    VirtualNetwork = $vnet
    AddressPrefix = '10.1.0.0/24'
    PrivateEndpointNetworkPoliciesFlag = 'Disabled'
}
Set-AzVirtualNetworkSubnetConfig @sub

$vnet | Set-AzVirtualNetwork

CLI

Usare az network vnet subnet update per disabilitare i criteri.

az network vnet subnet update \
  --disable-private-endpoint-network-policies true \
  --name default \
  --resource-group myResourceGroup \
  --vnet-name myVNet
  

JSON

Questa sezione descrive come disabilitare i criteri degli endpoint privati della subnet usando un modello di Resource Manager.

{ 
          "name": "myVNet", 
          "type": "Microsoft.Network/virtualNetworks", 
          "apiVersion": "2019-04-01", 
          "location": "WestUS", 
          "properties": { 
                "addressSpace": { 
                     "addressPrefixes": [ 
                          "10.1.0.0/16" 
                        ] 
                  }, 
                  "subnets": [ 
                         { 
                                "name": "default", 
                                "properties": { 
                                    "addressPrefix": "10.1.0.0/24", 
                                    "privateEndpointNetworkPolicies": "Disabled" 
                                 } 
                         } 
                  ] 
          } 
} 

Importante

Esistono limitazioni per gli endpoint privati in relazione alla funzionalità dei criteri di rete e ai gruppi di sicurezza di rete e alle route definite dall'utente. Per altre informazioni, vedere Limitazioni.

Passaggi successivi

• Per altre informazioni, vedere Che cos'è un endpoint privato?.