Gerenciar políticas de rede para pontos de extremidade privados

Por padrão, as diretivas de rede são desabilitadas para uma sub-rede em uma rede virtual. Para usar diretivas de rede, como rotas definidas pelo usuário e suporte a grupos de segurança de rede, o suporte a diretivas de rede deve ser habilitado para a sub-rede. Essa configuração só se aplica a pontos de extremidade privados na sub-rede e afeta todos os pontos de extremidade privados na sub-rede. Para outros recursos na sub-rede, o acesso é controlado com base em regras de segurança no grupo de segurança de rede.

Você pode habilitar as diretivas de rede somente para grupos de segurança de rede, somente para rotas definidas pelo usuário ou para ambos.

Se você habilitar políticas de segurança de rede para rotas definidas pelo usuário, poderá usar um prefixo de endereço personalizado igual ou maior que o espaço de endereço de rede virtual para invalidar a rota padrão /32 propagada pelo ponto de extremidade privado. Esse recurso pode ser útil se você quiser garantir que as solicitações de conexão de ponto de extremidade privado passem por um firewall ou dispositivo virtual. Caso contrário, a rota padrão /32 envia o tráfego diretamente para o ponto de extremidade privado de acordo com o algoritmo de correspondência de prefixo mais longo.

Importante

Para invalidar uma rota de ponto de extremidade privada, as rotas definidas pelo usuário devem ter um prefixo igual ou maior que o espaço de endereço da rede virtual onde o ponto de extremidade privado é provisionado. Por exemplo, uma rota padrão de rotas definidas pelo usuário (0.0.0.0/0) não invalida rotas de ponto de extremidade privadas. As diretivas de rede devem ser habilitadas na sub-rede que hospeda o ponto de extremidade privado.

Use as seguintes etapas para habilitar ou desabilitar a diretiva de rede para pontos de extremidade privados:

• Portal do Azure
• Azure PowerShell
• CLI do Azure
• Modelos do Azure Resource Manager (modelos ARM)

Os exemplos a seguir descrevem como habilitar e desabilitar PrivateEndpointNetworkPolicies uma rede virtual nomeada myVNet com uma default sub-rede hospedada em um grupo de 10.1.0.0/24 recursos chamado myResourceGroup.

Ativar política de rede

Portal

1. Inicie sessão no portal do Azure.

2. Na caixa de pesquisa na parte superior do portal, digite Rede virtual. Selecione Redes virtuais.

3. Selecione myVNet.

4. Nas configurações de myVNet, selecione Sub-redes.

5. Selecione a sub-rede padrão .

6. Nas propriedades da sub-rede padrão , marque as caixas de seleção para Grupos de Segurança de Rede, Tabelas de Rotas ou ambas em DIRETIVA DE REDE PARA PONTOS DE EXTREMIDADE PRIVADOS.

7. Selecione Guardar.

PowerShell

Use Get-AzVirtualNetwork, Set-AzVirtualNetworkSubnetConfig e Set-AzVirtualNetwork para habilitar a política.

$net = @{
    Name = 'myVNet'
    ResourceGroupName = 'myResourceGroup'
}
$vnet = Get-AzVirtualNetwork @net

$sub = @{
    Name = 'default'
    VirtualNetwork = $vnet
    AddressPrefix = '10.1.0.0/24'
    PrivateEndpointNetworkPoliciesFlag = 'Enabled'  # Can be either 'Disabled', 'NetworkSecurityGroupEnabled', 'RouteTableEnabled', or 'Enabled'
}
Set-AzVirtualNetworkSubnetConfig @sub

$vnet | Set-AzVirtualNetwork

CLI

Use az network vnet subnet update para habilitar a política. A CLI do Azure dá suporte apenas aos valores true ou false. Ele não permite que você habilite as políticas seletivamente apenas para rotas definidas pelo usuário ou grupos de segurança de rede:

az network vnet subnet update \
  --disable-private-endpoint-network-policies false \
  --name default \
  --resource-group myResourceGroup \
  --vnet-name myVNet

JSON

Esta seção descreve como habilitar políticas de ponto de extremidade privado de sub-rede usando um modelo ARM. Os valores possíveis para privateEndpointNetworkPolicies são Disabled, , RouteTableEnabledNetworkSecurityGroupEnabled, e Enabled.

{ 
          "name": "myVNet", 
          "type": "Microsoft.Network/virtualNetworks", 
          "apiVersion": "2019-04-01", 
          "location": "WestUS", 
          "properties": { 
                "addressSpace": { 
                     "addressPrefixes": [ 
                          "10.1.0.0/16" 
                        ] 
                  }, 
                  "subnets": [ 
                         { 
                                "name": "default", 
                                "properties": { 
                                    "addressPrefix": "10.1.0.0/24", 
                                    "privateEndpointNetworkPolicies": "Enabled" 
                                 } 
                         } 
                  ] 
          } 
} 

Desativar a política de rede

Portal

1. Inicie sessão no portal do Azure.

2. Na caixa de pesquisa na parte superior do portal, digite Rede virtual. Selecione Redes virtuais.

3. Selecione myVNet.

4. Nas configurações de myVNet, selecione Sub-redes.

5. Selecione a sub-rede padrão .

6. Nas propriedades da sub-rede padrão, selecione Desabilitadoem NETWORK POLICY FOR PRIVATE ENDPOINTS.

7. Selecione Guardar.

PowerShell

Use Get-AzVirtualNetwork, Set-AzVirtualNetwork e Set-AzVirtualNetworkSubnetConfig para desabilitar a política.

$net = @{
    Name = 'myVNet'
    ResourceGroupName = 'myResourceGroup'
}
$vnet = Get-AzVirtualNetwork @net

$sub = @{
    Name = 'default'
    VirtualNetwork = $vnet
    AddressPrefix = '10.1.0.0/24'
    PrivateEndpointNetworkPoliciesFlag = 'Disabled'
}
Set-AzVirtualNetworkSubnetConfig @sub

$vnet | Set-AzVirtualNetwork

CLI

Use az network vnet subnet update para desativar a política.

az network vnet subnet update \
  --disable-private-endpoint-network-policies true \
  --name default \
  --resource-group myResourceGroup \
  --vnet-name myVNet
  

JSON

Esta seção descreve como desabilitar políticas de ponto de extremidade privado de sub-rede usando um modelo ARM.

{ 
          "name": "myVNet", 
          "type": "Microsoft.Network/virtualNetworks", 
          "apiVersion": "2019-04-01", 
          "location": "WestUS", 
          "properties": { 
                "addressSpace": { 
                     "addressPrefixes": [ 
                          "10.1.0.0/16" 
                        ] 
                  }, 
                  "subnets": [ 
                         { 
                                "name": "default", 
                                "properties": { 
                                    "addressPrefix": "10.1.0.0/24", 
                                    "privateEndpointNetworkPolicies": "Disabled" 
                                 } 
                         } 
                  ] 
          } 
} 

Importante

Há limitações para pontos de extremidade privados em relação ao recurso de diretiva de rede e grupos de segurança de rede e rotas definidas pelo usuário. Para obter mais informações, consulte Limitações.

Próximos passos

• Para saber mais, consulte O que é um ponto de extremidade privado?.