管理私人端點的網路原則
根據預設,虛擬網路中的子網路會停用網路原則。 若要使用使用者定義路由和網路安全性群組支援等網路原則,子網路必須啟用網路原則支援。 此設定僅適用於子網路中的私人端點,並且會影響子網路中的所有私人端點。 針對子網路中的其他資源,會根據網路安全性群組中的安全性規則來控制存取權。
您可以只針對網路安全性群組和/或只針對使用者定義路由啟用網路原則。
如果您針對使用者定義路由啟用網路安全性原則,則可以使用等於或大於虛擬網路位址空間的自訂位址首碼,使私人端點所傳播的 /32 預設路由失效。 如果您想要確保私人端點連線要求經過防火牆或虛擬設備,這項功能會很有用。 否則,/32 預設路由會根據最長首碼比對演算法,將流量直接傳送至私人端點。
重要
若要使私人端點路由失效,使用者定義路由的首碼必須等於或大於私人端點佈建所在的虛擬網路位址空間。 例如,使用者定義路由的預設路由 (0.0.0.0/0) 不會使私人端點路由失效。 應在裝載私人端點的子網路中啟用網路原則。
使用下列步驟來啟用或停用私人端點的網路原則:
- Azure 入口網站
- Azure PowerShell
- Azure CLI
- Azure Resource Manager 範本 (ARM 範本)
下列範例說明如何針對名為 myVNet、default 子網路為 10.1.0.0/24、裝載於名為 myResourceGroup 的資源群組中的虛擬網路啟用和停用 PrivateEndpointNetworkPolicies。
停用網路原則
登入 Azure 入口網站。
在入口網站頂端的搜尋方塊中,輸入虛擬網路。 選取 [虛擬網路]。
選取 [myVNet]。
在 myVNET 的設定中,選取 [子網路]。
選取 [預設] 子網路。
在 [預設] 子網路的屬性中,於 [私人端點的網路原則] 中選取 [網路安全性群組] 和/或 [路由表]。
選取 [儲存]。
使用 Get-AzVirtualNetwork、Set-AzVirtualNetworkSubnetConfig 和 Set-AzVirtualNetwork 來啟用原則。
$net = @{
Name = 'myVNet'
ResourceGroupName = 'myResourceGroup'
}
$vnet = Get-AzVirtualNetwork @net
$sub = @{
Name = 'default'
VirtualNetwork = $vnet
AddressPrefix = '10.1.0.0/24'
PrivateEndpointNetworkPoliciesFlag = 'Enabled' # Can be either 'Disabled', 'NetworkSecurityGroupEnabled', 'RouteTableEnabled', or 'Enabled'
}
Set-AzVirtualNetworkSubnetConfig @sub
$vnet | Set-AzVirtualNetwork
使用 az network vnet subnet update 來啟用原則。 Azure CLI 僅支援 true 或 false 值。 其不允許您選擇性地只針對使用者定義路由或網路安全性群組啟用原則:
az network vnet subnet update \
--disable-private-endpoint-network-policies false \
--name default \
--resource-group myResourceGroup \
--vnet-name myVNet
本節說明如何使用 ARM 範本啟用子網路私人端點原則。 privateEndpointNetworkPolicies 的可能值為 Disabled、NetworkSecurityGroupEnabled、RouteTableEnabled 和 Enabled。
{
"name": "myVNet",
"type": "Microsoft.Network/virtualNetworks",
"apiVersion": "2019-04-01",
"location": "WestUS",
"properties": {
"addressSpace": {
"addressPrefixes": [
"10.1.0.0/16"
]
},
"subnets": [
{
"name": "default",
"properties": {
"addressPrefix": "10.1.0.0/24",
"privateEndpointNetworkPolicies": "Enabled"
}
}
]
}
}
停用網路原則
登入 Azure 入口網站。
在入口網站頂端的搜尋方塊中,輸入虛擬網路。 選取 [虛擬網路]。
選取 [myVNet]。
在 myVNET 的設定中,選取 [子網路]。
選取 [預設] 子網路。
在預設子網路的屬性中,選取 [私人端點的網路原則] 中的 [已停用]。
選取 [儲存]。
使用 Get-AzVirtualNetwork、Set-AzVirtualNetwork 和 Set-AzVirtualNetworkSubnetConfig 來停用原則。
$net = @{
Name = 'myVNet'
ResourceGroupName = 'myResourceGroup'
}
$vnet = Get-AzVirtualNetwork @net
$sub = @{
Name = 'default'
VirtualNetwork = $vnet
AddressPrefix = '10.1.0.0/24'
PrivateEndpointNetworkPoliciesFlag = 'Disabled'
}
Set-AzVirtualNetworkSubnetConfig @sub
$vnet | Set-AzVirtualNetwork
使用 az network vnet subnet update 來停用原則。
az network vnet subnet update \
--disable-private-endpoint-network-policies true \
--name default \
--resource-group myResourceGroup \
--vnet-name myVNet
本節說明如何使用 ARM 範本停用子網路私人端點原則。
{
"name": "myVNet",
"type": "Microsoft.Network/virtualNetworks",
"apiVersion": "2019-04-01",
"location": "WestUS",
"properties": {
"addressSpace": {
"addressPrefixes": [
"10.1.0.0/16"
]
},
"subnets": [
{
"name": "default",
"properties": {
"addressPrefix": "10.1.0.0/24",
"privateEndpointNetworkPolicies": "Disabled"
}
}
]
}
}
重要
私人端點有與網路原則功能和網路安全性群組和使用者定義路由相關的限制。 如需詳細資訊,請參閱限制。
下一步