Hantera nätverksprinciper för privata slutpunkter

Som standard är nätverksprinciper inaktiverade för ett undernät i ett virtuellt nätverk. Om du vill använda nätverksprinciper som User-Defined vägar och stöd för nätverkssäkerhetsgrupper måste stöd för nätverksprinciper vara aktiverat för undernätet. Den här inställningen gäller endast för privata slutpunkter i undernätet. Den här inställningen påverkar alla privata slutpunkter i undernätet. För andra resurser i undernätet styrs åtkomsten baserat på säkerhetsregler i nätverkssäkerhetsgruppen.

Nätverksprinciper kan aktiveras antingen endast för nätverkssäkerhetsgrupper, endast för User-Defined vägar eller för båda.

Om du aktiverar nätverkssäkerhetsprinciper för User-Defined Vägar ogiltigförklaras de /32-vägar som genereras av den privata slutpunkten och sprids till alla undernät i det egna virtuella nätverket och direkt peer-kopplade virtuella nätverk om du har User-Defined routning, vilket är användbart om du vill att all trafik (inklusive trafik som är adresserad till den privata slutpunkten) ska gå igenom en brandvägg. eftersom /32-vägen annars skulle kringgå andra vägar.

Du kan använda följande för att aktivera eller inaktivera inställningen:

• Azure Portal
• Azure PowerShell
• Azure CLI
• Azure Resource Manager-mallar

I följande exempel beskrivs hur du aktiverar och inaktiverar PrivateEndpointNetworkPolicies för ett virtuellt nätverk med namnet myVNet med standardundernätet10.1.0.0/24 i en resursgrupp med namnet myResourceGroup.

Aktivera nätverksprincip

Portal

1. Logga in på Azure-portalen.

2. I sökrutan överst i portalen anger du Virtuellt nätverk. Välj Virtuella nätverk.

3. Välj myVNet.

4. I inställningarna för myVNet väljer du Undernät.

5. Välj standardundernätet .

6. I egenskaperna för standardundernätet aktiverar du kryssrutorna för "Nätverkssäkerhetsgrupper", "Routningstabeller" eller båda i NÄTVERKSPRINCIP FÖR PRIVATA SLUTPUNKTER.

7. Välj Spara.

PowerShell

Använd Get-AzVirtualNetwork, Set-AzVirtualNetworkSubnetConfig och Set-AzVirtualNetwork för att aktivera principen.

$net = @{
    Name = 'myVNet'
    ResourceGroupName = 'myResourceGroup'
}
$vnet = Get-AzVirtualNetwork @net

$sub = @{
    Name = 'default'
    VirtualNetwork = $vnet
    AddressPrefix = '10.1.0.0/24'
    PrivateEndpointNetworkPoliciesFlag = 'Enabled'  # Can be either 'Disabled', 'NetworkSecurityGroupEnabled', 'RouteTableEnabled', or 'Enabled'
}
Set-AzVirtualNetworkSubnetConfig @sub

$vnet | Set-AzVirtualNetwork

CLI

Använd az network vnet subnet update för att aktivera principen. Azure CLI stöder bara värdena true eller false, det tillåter inte att principerna aktiveras selektivt endast för User-Defined vägar eller nätverkssäkerhetsgrupper:

az network vnet subnet update \
  --disable-private-endpoint-network-policies false \
  --name default \
  --resource-group myResourceGroup \
  --vnet-name myVNet

JSON

I det här avsnittet beskrivs hur du aktiverar principer för privata undernätsslutpunkter med hjälp av en Azure Resource Manager-mall. Möjliga värden för privateEndpointNetworkPolicies är Disabled, NetworkSecurityGroupEnabled, RouteTableEnabledoch Enabled.

{ 
          "name": "myVNet", 
          "type": "Microsoft.Network/virtualNetworks", 
          "apiVersion": "2019-04-01", 
          "location": "WestUS", 
          "properties": { 
                "addressSpace": { 
                     "addressPrefixes": [ 
                          "10.1.0.0/16" 
                        ] 
                  }, 
                  "subnets": [ 
                         { 
                                "name": "default", 
                                "properties": { 
                                    "addressPrefix": "10.1.0.0/24", 
                                    "privateEndpointNetworkPolicies": "Enabled" 
                                 } 
                         } 
                  ] 
          } 
} 

Inaktivera nätverksprincip

Portal

1. Logga in på Azure-portalen.

2. I sökrutan överst i portalen anger du Virtuellt nätverk. Välj Virtuella nätverk.

3. Välj myVNet.

4. I inställningarna för myVNet väljer du Undernät.

5. Välj standardundernätet .

6. I egenskaperna för standardundernätet väljer du Inaktiverad i NÄTVERKSPRINCIP FÖR PRIVATA SLUTPUNKTER.

7. Välj Spara.

PowerShell

Inaktivera principen genom att använda Get-AzVirtualNetwork, Set-AzVirtualNetwork och Set-AzVirtualNetworkSubnetConfig .

$net = @{
    Name = 'myVNet'
    ResourceGroupName = 'myResourceGroup'
}
$vnet = Get-AzVirtualNetwork @net

$sub = @{
    Name = 'default'
    VirtualNetwork = $vnet
    AddressPrefix = '10.1.0.0/24'
    PrivateEndpointNetworkPoliciesFlag = 'Disabled'
}
Set-AzVirtualNetworkSubnetConfig @sub

$vnet | Set-AzVirtualNetwork

CLI

Använd az network vnet subnet update för att inaktivera principen.

az network vnet subnet update \
  --disable-private-endpoint-network-policies true \
  --name default \
  --resource-group myResourceGroup \
  --vnet-name myVNet
  

JSON

I det här avsnittet beskrivs hur du inaktiverar principer för privata undernätsslutpunkter med hjälp av en Azure Resource Manager-mall.

{ 
          "name": "myVNet", 
          "type": "Microsoft.Network/virtualNetworks", 
          "apiVersion": "2019-04-01", 
          "location": "WestUS", 
          "properties": { 
                "addressSpace": { 
                     "addressPrefixes": [ 
                          "10.1.0.0/16" 
                        ] 
                  }, 
                  "subnets": [ 
                         { 
                                "name": "default", 
                                "properties": { 
                                    "addressPrefix": "10.1.0.0/24", 
                                    "privateEndpointNetworkPolicies": "Disabled" 
                                 } 
                         } 
                  ] 
          } 
} 

Nästa steg

• Läs mer om privat Azure-slutpunkt