Condividi tramite


Gestire i criteri di rete per gli endpoint privati

Per impostazione predefinita, i criteri di rete sono disabilitati per una subnet in una rete virtuale. Per usare criteri di rete come route definite dall'utente e supporto dei gruppi di sicurezza di rete, è necessario abilitare il supporto dei criteri di rete per la subnet. Questa impostazione si applica solo agli endpoint privati nella subnet e influisce su tutti gli endpoint privati nella subnet. Per altre risorse nella subnet, l'accesso viene controllato in base alle regole di sicurezza nel gruppo di sicurezza di rete.

È possibile abilitare i criteri di rete solo per i gruppi di sicurezza di rete, solo per le route definite dall'utente o per entrambi.

Se si abilitano i criteri di sicurezza di rete per le route definite dall'utente, è possibile usare un prefisso di indirizzo personalizzato uguale o maggiore dello spazio degli indirizzi della rete virtuale per invalidare la route predefinita /32 propagata dall'endpoint privato. Questa funzionalità può essere utile se si vuole assicurarsi che le richieste di connessione all'endpoint privato vengano inviate attraverso un firewall o un'appliance virtuale. In caso contrario, la route predefinita /32 invia il traffico direttamente all'endpoint privato in base all'algoritmo di corrispondenza del prefisso più lungo.

Importante

Per invalidare una route dell'endpoint privato, le route definite dall'utente devono avere un prefisso uguale o maggiore dello spazio di indirizzi della rete virtuale in cui viene effettuato il provisioning dell'endpoint privato. Ad esempio, una route predefinita definita dall'utente (0.0.0.0/0) non invalida le route degli endpoint privati. I criteri di rete devono essere abilitati nella subnet che ospita l'endpoint privato.

Usare la procedura seguente per abilitare o disabilitare i criteri di rete per gli endpoint privati:

  • Portale di Azure
  • Azure PowerShell
  • Interfaccia della riga di comando di Azure
  • Modelli di Azure Resource Manager

Gli esempi seguenti descrivono come abilitare e disabilitare PrivateEndpointNetworkPolicies per una rete virtuale denominata myVNet con una default subnet di ospitata in un gruppo di 10.1.0.0/24 risorse denominato myResourceGroup.

Abilitare i criteri di rete

  1. Accedere al portale di Azure.

  2. Nella casella di ricerca nella parte superiore del portale immettere Rete virtuale. Selezionare Reti virtuali.

  3. Selezionare myVNET.

  4. Nelle impostazioni di myVNet selezionare Subnet.

  5. Selezionare la subnet predefinita .

  6. Nelle proprietà per la subnet predefinita selezionare le caselle di controllo gruppi di sicurezza di rete, tabelle di route o entrambe in CRITERI DI RETE PER ENDPOINT PRIVATI.

  7. Seleziona Salva.

Disabilitare i criteri di rete

  1. Accedere al portale di Azure.

  2. Nella casella di ricerca nella parte superiore del portale immettere Rete virtuale. Selezionare Reti virtuali.

  3. Selezionare myVNET.

  4. Nelle impostazioni di myVNet selezionare Subnet.

  5. Selezionare la subnet predefinita .

  6. Nelle proprietà per la subnet predefinita selezionare Disabilitato in CRITERI DI RETE PER ENDPOINT PRIVATI.

  7. Seleziona Salva.

Importante

Esistono limitazioni per gli endpoint privati in relazione alla funzionalità dei criteri di rete e ai gruppi di sicurezza di rete e alle route definite dall'utente. Per altre informazioni, vedere Limitazioni.

Passaggi successivi