Netwerkbeleid voor privé-eindpunten beheren

Standaard zijn netwerkbeleidsregels uitgeschakeld voor een subnet in een virtueel netwerk. Als u netwerkbeleid wilt gebruiken, zoals door de gebruiker gedefinieerde routes en ondersteuning voor netwerkbeveiligingsgroepen, moet ondersteuning voor netwerkbeleid zijn ingeschakeld voor het subnet. Deze instelling is alleen van toepassing op privé-eindpunten in het subnet en is van invloed op alle privé-eindpunten in het subnet. Voor andere resources in het subnet wordt de toegang beheerd op basis van beveiligingsregels in de netwerkbeveiligingsgroep.

U kunt netwerkbeleid alleen inschakelen voor netwerkbeveiligingsgroepen, alleen voor door de gebruiker gedefinieerde routes of voor beide.

Als u netwerkbeveiligingsbeleid inschakelt voor door de gebruiker gedefinieerde routes, kunt u een aangepast adresvoorvoegsel gebruiken dat gelijk is aan of groter is dan de adresruimte van het virtuele netwerk om de standaardroute /32 die door het privé-eindpunt wordt doorgegeven, ongeldig te maken. Deze mogelijkheid kan handig zijn als u ervoor wilt zorgen dat verbindingsaanvragen voor privé-eindpunten via een firewall of virtueel apparaat worden verzonden. Anders verzendt de standaardroute /32 verkeer rechtstreeks naar het privé-eindpunt in overeenstemming met het langste algoritme voor het vergelijken van voorvoegsels.

Belangrijk

Als u een privé-eindpuntroute ongeldig wilt maken, moeten door de gebruiker gedefinieerde routes een voorvoegsel hebben dat gelijk is aan of groter is dan de adresruimte van het virtuele netwerk waar het privé-eindpunt is ingericht. Een door de gebruiker gedefinieerde routes standaardroute (0.0.0.0/0) maakt bijvoorbeeld geen ongeldige privé-eindpuntroutes. Netwerkbeleid moet zijn ingeschakeld in het subnet dat als host fungeert voor het privé-eindpunt.

Gebruik de volgende stappen om netwerkbeleid voor privé-eindpunten in of uit te schakelen:

• Azure Portal
• Azure PowerShell
• Azure CLI
• Azure Resource Manager-sjablonen (ARM-sjablonen)

In de volgende voorbeelden wordt beschreven hoe u een virtueel netwerk met de naam myVNet in- en uitschakelt PrivateEndpointNetworkPolicies met een default subnet dat 10.1.0.0/24 wordt gehost in een resourcegroep met de naam myResourceGroup.

Netwerkbeleid inschakelen

Portal

1. Meld u aan bij de Azure-portal.

2. Voer in het zoekvak boven aan de portal het virtuele netwerk in. Selecteer Virtuele netwerken.

3. Selecteer myVNet.

4. Selecteer Subnetten in de instellingen van myVNet.

5. Selecteer het standaardsubnet .

6. Schakel in de eigenschappen voor het standaardsubnet de selectievakjes in voor netwerkbeveiligingsgroepen, routetabellen of beide in NETWORK POLICY FOR PRIVATE ENDPOINTS.

7. Selecteer Opslaan.

PowerShell

Gebruik Get-AzVirtualNetwork, Set-AzVirtualNetworkSubnetConfig en Set-AzVirtualNetwork om het beleid in te schakelen.

$net = @{
    Name = 'myVNet'
    ResourceGroupName = 'myResourceGroup'
}
$vnet = Get-AzVirtualNetwork @net

$sub = @{
    Name = 'default'
    VirtualNetwork = $vnet
    AddressPrefix = '10.1.0.0/24'
    PrivateEndpointNetworkPoliciesFlag = 'Enabled'  # Can be either 'Disabled', 'NetworkSecurityGroupEnabled', 'RouteTableEnabled', or 'Enabled'
}
Set-AzVirtualNetworkSubnetConfig @sub

$vnet | Set-AzVirtualNetwork

CLI

Gebruik az network vnet subnet update om het beleid in te schakelen. De Azure CLI ondersteunt alleen de waarden true of false. Hiermee kunt u het beleid niet selectief inschakelen voor door de gebruiker gedefinieerde routes of netwerkbeveiligingsgroepen:

az network vnet subnet update \
  --disable-private-endpoint-network-policies false \
  --name default \
  --resource-group myResourceGroup \
  --vnet-name myVNet

JSON

In deze sectie wordt beschreven hoe u beleid voor privé-eindpunten voor subnetten inschakelt met behulp van een ARM-sjabloon. De mogelijke waarden hiervoor privateEndpointNetworkPolicies zijn Disabled, NetworkSecurityGroupEnabled, en RouteTableEnabledEnabled.

{ 
          "name": "myVNet", 
          "type": "Microsoft.Network/virtualNetworks", 
          "apiVersion": "2019-04-01", 
          "location": "WestUS", 
          "properties": { 
                "addressSpace": { 
                     "addressPrefixes": [ 
                          "10.1.0.0/16" 
                        ] 
                  }, 
                  "subnets": [ 
                         { 
                                "name": "default", 
                                "properties": { 
                                    "addressPrefix": "10.1.0.0/24", 
                                    "privateEndpointNetworkPolicies": "Enabled" 
                                 } 
                         } 
                  ] 
          } 
} 

Netwerkbeleid uitschakelen

Portal

1. Meld u aan bij de Azure-portal.

2. Voer in het zoekvak boven aan de portal het virtuele netwerk in. Selecteer Virtuele netwerken.

3. Selecteer myVNet.

4. Selecteer Subnetten in de instellingen van myVNet.

5. Selecteer het standaardsubnet .

6. Selecteer Uitgeschakeld in NETWORK POLICY FOR PRIVATE ENDPOINTS in de eigenschappen voor het standaardsubnet.

7. Selecteer Opslaan.

PowerShell

Gebruik Get-AzVirtualNetwork, Set-AzVirtualNetwork en Set-AzVirtualNetworkSubnetConfig om het beleid uit te schakelen.

$net = @{
    Name = 'myVNet'
    ResourceGroupName = 'myResourceGroup'
}
$vnet = Get-AzVirtualNetwork @net

$sub = @{
    Name = 'default'
    VirtualNetwork = $vnet
    AddressPrefix = '10.1.0.0/24'
    PrivateEndpointNetworkPoliciesFlag = 'Disabled'
}
Set-AzVirtualNetworkSubnetConfig @sub

$vnet | Set-AzVirtualNetwork

CLI

Gebruik az network vnet subnet update om het beleid uit te schakelen.

az network vnet subnet update \
  --disable-private-endpoint-network-policies true \
  --name default \
  --resource-group myResourceGroup \
  --vnet-name myVNet
  

JSON

In deze sectie wordt beschreven hoe u beleid voor privé-eindpunten voor subnetten uitschakelt met behulp van een ARM-sjabloon.

{ 
          "name": "myVNet", 
          "type": "Microsoft.Network/virtualNetworks", 
          "apiVersion": "2019-04-01", 
          "location": "WestUS", 
          "properties": { 
                "addressSpace": { 
                     "addressPrefixes": [ 
                          "10.1.0.0/16" 
                        ] 
                  }, 
                  "subnets": [ 
                         { 
                                "name": "default", 
                                "properties": { 
                                    "addressPrefix": "10.1.0.0/24", 
                                    "privateEndpointNetworkPolicies": "Disabled" 
                                 } 
                         } 
                  ] 
          } 
} 

Belangrijk

Er gelden beperkingen voor privé-eindpunten met betrekking tot de functie netwerkbeleid en netwerkbeveiligingsgroepen en door de gebruiker gedefinieerde routes. Zie Beperkingen voor meer informatie.

Volgende stappen

• Zie Wat is een privé-eindpunt? voor meer informatie.