Hantera nätverksprinciper för privata slutpunkter

Som standard är nätverksprinciper inaktiverade för ett undernät i ett virtuellt nätverk. Om du vill använda nätverksprinciper som användardefinierade vägar och stöd för nätverkssäkerhetsgrupper måste stöd för nätverksprinciper vara aktiverat för undernätet. Den här inställningen gäller endast privata slutpunkter i undernätet och påverkar alla privata slutpunkter i undernätet. För andra resurser i undernätet styrs åtkomsten baserat på säkerhetsregler i nätverkssäkerhetsgruppen.

Du kan aktivera nätverksprinciper antingen endast för nätverkssäkerhetsgrupper, endast för användardefinierade vägar eller för båda.

Om du aktiverar nätverkssäkerhetsprinciper för användardefinierade vägar kan du använda ett anpassat adressprefix som är lika med eller större än det virtuella nätverkets adressutrymme för att ogiltigförklara standardvägen /32 som sprids av den privata slutpunkten. Den här funktionen kan vara användbar om du vill se till att begäranden om privat slutpunktsanslutning går via en brandvägg eller virtuell installation. Annars skickar standardvägen /32 trafik direkt till den privata slutpunkten i enlighet med den längsta prefixmatchningsalgoritmen.

Viktigt!

Om du vill ogiltigförklara en privat slutpunktsväg måste användardefinierade vägar ha ett prefix som är lika med eller större än det virtuella nätverksadressutrymmet där den privata slutpunkten etableras. Till exempel ogiltigförklarar inte en användardefinierad väg standardväg (0.0.0.0/0) privata slutpunktsvägar. Nätverksprinciper bör aktiveras i det undernät som är värd för den privata slutpunkten.

Använd följande steg för att aktivera eller inaktivera nätverksprincip för privata slutpunkter:

• Azure Portal
• Azure PowerShell
• Azure CLI
• Azure Resource Manager-mallar (ARM-mallar)

I följande exempel beskrivs hur du aktiverar och inaktiverar PrivateEndpointNetworkPolicies för ett virtuellt nätverk med namnet myVNet med ett default undernät 10.1.0.0/24 som finns i en resursgrupp med namnet myResourceGroup.

Aktivera nätverksprincip

Portal

1. Logga in på Azure-portalen.

2. I sökrutan överst i portalen anger du Virtuellt nätverk. Välj Virtuella nätverk.

3. Välj myVNet.

4. I inställningarna för myVNet väljer du Undernät.

5. Välj standardundernätet.

6. I egenskaperna för standardundernätet markerar du kryssrutorna för Nätverkssäkerhetsgrupper, Routningstabeller eller båda i NÄTVERKSPRINCIP FÖR PRIVATA SLUTPUNKTER.

7. Välj Spara.

PowerShell

Använd Get-AzVirtualNetwork, Set-AzVirtualNetworkSubnetConfig och Set-AzVirtualNetwork för att aktivera principen.

$net = @{
    Name = 'myVNet'
    ResourceGroupName = 'myResourceGroup'
}
$vnet = Get-AzVirtualNetwork @net

$sub = @{
    Name = 'default'
    VirtualNetwork = $vnet
    AddressPrefix = '10.1.0.0/24'
    PrivateEndpointNetworkPoliciesFlag = 'Enabled'  # Can be either 'Disabled', 'NetworkSecurityGroupEnabled', 'RouteTableEnabled', or 'Enabled'
}
Set-AzVirtualNetworkSubnetConfig @sub

$vnet | Set-AzVirtualNetwork

CLI

Använd az network vnet subnet update för att aktivera principen. Azure CLI stöder endast värdena true eller false. Du kan inte aktivera principerna selektivt endast för användardefinierade vägar eller nätverkssäkerhetsgrupper:

az network vnet subnet update \
  --disable-private-endpoint-network-policies false \
  --name default \
  --resource-group myResourceGroup \
  --vnet-name myVNet

JSON

I det här avsnittet beskrivs hur du aktiverar principer för privata undernätsslutpunkter med hjälp av en ARM-mall. Möjliga värden för privateEndpointNetworkPolicies är Disabled, NetworkSecurityGroupEnabled, RouteTableEnabledoch Enabled.

{ 
          "name": "myVNet", 
          "type": "Microsoft.Network/virtualNetworks", 
          "apiVersion": "2019-04-01", 
          "location": "WestUS", 
          "properties": { 
                "addressSpace": { 
                     "addressPrefixes": [ 
                          "10.1.0.0/16" 
                        ] 
                  }, 
                  "subnets": [ 
                         { 
                                "name": "default", 
                                "properties": { 
                                    "addressPrefix": "10.1.0.0/24", 
                                    "privateEndpointNetworkPolicies": "Enabled" 
                                 } 
                         } 
                  ] 
          } 
} 

Inaktivera nätverksprincip

Portal

1. Logga in på Azure-portalen.

2. I sökrutan överst i portalen anger du Virtuellt nätverk. Välj Virtuella nätverk.

3. Välj myVNet.

4. I inställningarna för myVNet väljer du Undernät.

5. Välj standardundernätet.

6. I egenskaperna för standardundernätet väljer du Inaktiverad i NÄTVERKSPRINCIP FÖR PRIVATA SLUTPUNKTER.

7. Välj Spara.

PowerShell

Använd Get-AzVirtualNetwork, Set-AzVirtualNetwork och Set-AzVirtualNetworkSubnetConfig för att inaktivera principen.

$net = @{
    Name = 'myVNet'
    ResourceGroupName = 'myResourceGroup'
}
$vnet = Get-AzVirtualNetwork @net

$sub = @{
    Name = 'default'
    VirtualNetwork = $vnet
    AddressPrefix = '10.1.0.0/24'
    PrivateEndpointNetworkPoliciesFlag = 'Disabled'
}
Set-AzVirtualNetworkSubnetConfig @sub

$vnet | Set-AzVirtualNetwork

CLI

Använd az network vnet subnet update för att inaktivera principen.

az network vnet subnet update \
  --disable-private-endpoint-network-policies true \
  --name default \
  --resource-group myResourceGroup \
  --vnet-name myVNet
  

JSON

I det här avsnittet beskrivs hur du inaktiverar principer för privata undernätsslutpunkter med hjälp av en ARM-mall.

{ 
          "name": "myVNet", 
          "type": "Microsoft.Network/virtualNetworks", 
          "apiVersion": "2019-04-01", 
          "location": "WestUS", 
          "properties": { 
                "addressSpace": { 
                     "addressPrefixes": [ 
                          "10.1.0.0/16" 
                        ] 
                  }, 
                  "subnets": [ 
                         { 
                                "name": "default", 
                                "properties": { 
                                    "addressPrefix": "10.1.0.0/24", 
                                    "privateEndpointNetworkPolicies": "Disabled" 
                                 } 
                         } 
                  ] 
          } 
} 

Viktigt!

Det finns begränsningar för privata slutpunkter i förhållande till nätverksprincipfunktionen, nätverkssäkerhetsgrupper och användardefinierade vägar. Mer information finns i Begränsningar.

Nästa steg

• Mer information finns i Vad är en privat slutpunkt?.