プライベート エンドポイントのネットワーク ポリシーを管理する
- [アーティクル]
-
-
既定では、仮想ネットワーク内のサブネットに対してネットワーク ポリシーは無効になっています。 ユーザー定義ルートやネットワーク セキュリティ グループのサポートなどのネットワーク ポリシーを使用するには、サブネットに対してネットワーク ポリシーのサポートを有効にする必要があります。 この設定は、サブネット内のプライベート エンドポイントにのみ適用され、サブネット内のすべてのプライベート エンドポイントに影響します。 サブネット内の他のリソースについては、ネットワーク セキュリティ グループのセキュリティ規則に基づいてアクセスが制御されます。
ネットワーク ポリシーは、ネットワーク セキュリティ グループに対してのみ有効にすることも、ユーザー定義ルートに対してのみ有効にすることも、両方に対して有効にすることもできます。
ユーザー定義ルートのネットワーク セキュリティ ポリシーを有効にした場合は、仮想ネットワーク アドレス空間以上のカスタム アドレス プレフィックスを使用して、プライベート エンドポイントによって伝達される /32 の既定のルートを無効にすることができます。 この機能は、プライベート エンドポイント接続要求がファイアウォールまたは仮想アプライアンスを経由するようにする場合に役立ちます。 それ以外の場合、/32 の既定のルートは、最長プレフィックス一致アルゴリズムに従ってトラフィックをプライベート エンドポイントに直接送信します。
重要
プライベート エンドポイント ルートを無効にするには、ユーザー定義ルートに、プライベート エンドポイントがプロビジョニングされている仮想ネットワーク アドレス空間以上のプレフィックスが必要です。 たとえば、ユーザー定義ルートの既定のルート (0.0.0.0/0) では、プライベート エンドポイント ルートは無効になりません。 プライベート エンドポイントをホストするサブネットでネットワーク ポリシーを有効にする必要があります。
プライベート エンドポイントのネットワーク ポリシーを有効または無効にするには、次の手順に従います。
- Azure portal
- Azure PowerShell
- Azure CLI
- Azure Resource Manager テンプレート (ARM テンプレート)
次の例では、名前付きリソース グループmyResourceGroupでホストされているサブネット10.1.0.0/24を使用して名前が付defaultけられたmyVNet仮想ネットワークを有効または無効にするPrivateEndpointNetworkPolicies方法について説明します。
ネットワーク ポリシーを有効にする
Azure portal にサインインします。
ポータルの上部にある検索ボックスに、「仮想ネットワーク」と入力します。 [仮想ネットワーク] を選択します。
[myVNet] を選択します。
myVNET の設定で、[サブネット] を選択します。
既定のサブネットを選択します。
既定のサブネットのプロパティで、ネットワーク セキュリティ グループ、ルート テーブル、またはその両方の チェック ボックスをプライベート エンドポイントのネットワーク ポリシーで選択します。
[保存] を選択します。
ポリシーを有効にするには、Get-AzVirtualNetwork、Set-AzVirtualNetworkSubnetConfig、および Set-AzVirtualNetwork を使用します。
$net = @{
Name = 'myVNet'
ResourceGroupName = 'myResourceGroup'
}
$vnet = Get-AzVirtualNetwork @net
$sub = @{
Name = 'default'
VirtualNetwork = $vnet
AddressPrefix = '10.1.0.0/24'
PrivateEndpointNetworkPoliciesFlag = 'Enabled' # Can be either 'Disabled', 'NetworkSecurityGroupEnabled', 'RouteTableEnabled', or 'Enabled'
}
Set-AzVirtualNetworkSubnetConfig @sub
$vnet | Set-AzVirtualNetwork
ポリシーを有効にするには、az network vnet subnet update を使用します。 Azure CLI では、値 true または false. ユーザー定義ルートまたはネットワーク セキュリティ グループに対してのみ、ポリシーを選択的に有効にすることはできません。
az network vnet subnet update \
--disable-private-endpoint-network-policies false \
--name default \
--resource-group myResourceGroup \
--vnet-name myVNet
このセクションでは、ARM テンプレートを使用してサブネットのプライベート エンドポイント ポリシーを有効にする方法について説明します。 指定できる値 privateEndpointNetworkPolicies は Disabled、 NetworkSecurityGroupEnabled、 RouteTableEnabled、および Enabled.
{
"name": "myVNet",
"type": "Microsoft.Network/virtualNetworks",
"apiVersion": "2019-04-01",
"location": "WestUS",
"properties": {
"addressSpace": {
"addressPrefixes": [
"10.1.0.0/16"
]
},
"subnets": [
{
"name": "default",
"properties": {
"addressPrefix": "10.1.0.0/24",
"privateEndpointNetworkPolicies": "Enabled"
}
}
]
}
}
ネットワーク ポリシーを無効にする
Azure portal にサインインします。
ポータルの上部にある検索ボックスに、「仮想ネットワーク」と入力します。 [仮想ネットワーク] を選択します。
[myVNet] を選択します。
myVNET の設定で、[サブネット] を選択します。
既定のサブネットを選択します。
既定のサブネットのプロパティで、[プライベート エンドポイントのネットワーク ポリシー] の [無効] を選択します。
[保存] を選択します。
ポリシーを無効にするには、Get-AzVirtualNetwork、Set-AzVirtualNetwork、および Set-AzVirtualNetworkSubnetConfig を使用します。
$net = @{
Name = 'myVNet'
ResourceGroupName = 'myResourceGroup'
}
$vnet = Get-AzVirtualNetwork @net
$sub = @{
Name = 'default'
VirtualNetwork = $vnet
AddressPrefix = '10.1.0.0/24'
PrivateEndpointNetworkPoliciesFlag = 'Disabled'
}
Set-AzVirtualNetworkSubnetConfig @sub
$vnet | Set-AzVirtualNetwork
ポリシーを無効にするには、az network vnet subnet update を使用します。
az network vnet subnet update \
--disable-private-endpoint-network-policies true \
--name default \
--resource-group myResourceGroup \
--vnet-name myVNet
このセクションでは、ARM テンプレートを使用してサブネットのプライベート エンドポイント ポリシーを無効にする方法について説明します。
{
"name": "myVNet",
"type": "Microsoft.Network/virtualNetworks",
"apiVersion": "2019-04-01",
"location": "WestUS",
"properties": {
"addressSpace": {
"addressPrefixes": [
"10.1.0.0/16"
]
},
"subnets": [
{
"name": "default",
"properties": {
"addressPrefix": "10.1.0.0/24",
"privateEndpointNetworkPolicies": "Disabled"
}
}
]
}
}
重要
プライベート エンドポイントには、ネットワーク ポリシー機能、ネットワーク セキュリティ グループ、およびユーザー定義ルートに関する制限があります。 詳細については、制限に関するページを参照してください。
次のステップ