Správa zásad sítě pro privátní koncové body
Ve výchozím nastavení jsou zásady sítě pro podsíť ve virtuální síti zakázané. Pokud chcete používat zásady sítě, jako jsou trasy definované uživatelem a podpora skupin zabezpečení sítě, musí být pro podsíť povolená podpora zásad sítě. Toto nastavení platí jenom pro privátní koncové body v podsíti a ovlivňuje všechny privátní koncové body v podsíti. U jiných prostředků v podsíti se přístup řídí na základě pravidel zabezpečení ve skupině zabezpečení sítě.
Zásady sítě můžete povolit pouze pro skupiny zabezpečení sítě, pouze pro trasy definované uživatelem nebo pro obojí.
Pokud povolíte zásady zabezpečení sítě pro trasy definované uživatelem, můžete použít vlastní délku předpony adresy (masku podsítě), která je rovna nebo větší než délka předpony adresního prostoru virtuální sítě, a zneplatnit tak výchozí trasu /32 šířenou privátním koncovým bodem. Tato funkce může být užitečná, pokud chcete zajistit, aby požadavky na připojení privátního koncového bodu procházely bránou firewall nebo virtuálním zařízením. Jinak výchozí trasa /32 odesílá provoz přímo do privátního koncového bodu v souladu s nejdelším algoritmem shody předpony.
Důležité
Pokud chcete zneplatnit trasu privátního koncového bodu, musí mít trasy definované uživatelem velikost předpony, která je rovna nebo menší než adresní prostor virtuální sítě, kde je privátní koncový bod zřízený. Například trasa definovaná uživatelem jako výchozí trasa (0.0.0.0.0/0) nebude zneplatnit trasy privátního koncového bodu, protože pokrývá širší rozsah než adresní prostor privátního koncového bodu. Pravidlo nejdelší shody předpon dává vyšší prioritu konkrétnějším předponám adres. Dále se ujistěte, že jsou v podsíti hostující privátní koncový bod povolené zásady sítě.
Pomocí následujících kroků povolte nebo zakažte zásady sítě pro privátní koncové body:
- portál Azure
- Azure PowerShell
- Azure CLI
- Šablony Azure Resource Manageru (šablony ARM)
Následující příklady popisují, jak povolit a zakázat PrivateEndpointNetworkPolicies virtuální síť myVNet s default podsítí 10.1.0.0/24 hostované ve skupině prostředků s názvem myResourceGroup.
Povolení zásad sítě
Podle těchto kroků nakonfigurujte skupiny zabezpečení sítě a směrovací tabulky pro vaše privátní koncové body.
Přihlaste se k portálu Azure.
Do vyhledávacího pole v horní části portálu zadejte virtuální síť. Vyberte Virtuální sítě.
Vyberte myVNet.
V nastavení sítě myVNet vyberte Podsítě.
Vyberte výchozí podsíť.
V podokně Upravit podsíť v části Zásady sítě pro privátní koncové body podle potřeby vyberte pole pro skupiny zabezpečení sítě nebo směrovací tabulky.
Zvolte Uložit.
Zakázání zásad sítě
Přihlaste se k portálu Azure.
Do vyhledávacího pole v horní části portálu zadejte virtuální síť. Vyberte Virtuální sítě.
Vyberte myVNet.
V nastavení sítě myVNet vyberte Podsítě.
Vyberte výchozí podsíť.
V podokně Upravit podsíť v části Zásady sítě pro privátní koncové body zaškrtněte políčko Zakázáno.
Zvolte Uložit.
Důležité
Existují omezení privátních koncových bodů v souvislosti s funkcí zásad sítě a skupinami zabezpečení sítě a trasami definovanými uživatelem. Další informace najdete v tématu Omezení.
Další kroky
V tomto průvodci postupy jste povolili a zakázali zásady sítě pro privátní koncové body ve virtuální síti Azure. Naučili jste se používat Azure Portal, Azure PowerShell, Azure CLI a šablony Azure Resource Manageru ke správě zásad sítě pro privátní koncové body.
Další informace o službách, které podporují privátní koncové body, najdete tady: