Administración de directivas de red de puntos de conexión privados

De forma predeterminada, las directivas de red están deshabilitadas para una subred de una red virtual. Para usar directivas de red como el soporte de rutas definidas por el usuario y grupos de seguridad de red, el soporte de directivas de red debe estar habilitado para la subred. Esta configuración solo se aplica a los puntos de conexión privados de la subred y afecta a todos los puntos de conexión privados de la subred. Para otros recursos de la subred, el acceso se controla en función de las reglas de seguridad del grupos de seguridad de red.

Puede habilitar las directivas de red para grupos de seguridad de red, solo para rutas definidas por el usuario o para ambos.

Si habilita las directivas de seguridad de red para las rutas definidas por el usuario, puede usar una longitud de prefijo de dirección personalizada (máscara de subred) igual o mayor que la longitud del espacio de direcciones red virtual para invalidar la ruta /32 predeterminada propagada por el punto de conexión privado. Esta funcionalidad puede ser útil si quiere asegurarse de que las solicitudes de conexión a puntos de conexión privados atraviesan un firewall o un dispositivo virtual. De lo contrario, la ruta predeterminada /32 envía el tráfico directamente al punto de conexión privado de acuerdo con el algoritmo de coincidencia de prefijo más largo.

Importante

Para invalidar una ruta de punto de conexión privado, las rutas definidas por el usuario deben tener un tamaño de prefijo igual o menor que el espacio de direcciones de la red virtual donde se aprovisiona el punto de conexión privado. Por ejemplo, una ruta predeterminada de rutas definidas por el usuario (0.0.0.0/0) no invalidará las rutas de punto de conexión privado porque cubre un intervalo más amplio que el espacio de direcciones del punto de conexión privado. La regla de coincidencia de prefijos más larga dará mayor prioridad a prefijos de dirección más específicos. Además, asegúrese de que las directivas de red están habilitadas en la subred que hospeda el punto de conexión privado.

Use los pasos siguientes para habilitar o deshabilitar la directiva de red para puntos de conexión privados:

• Azure portal
• Azure PowerShell
• CLI de Azure
• Plantillas de Azure Resource Manager (plantillas de ARM)

En los ejemplos siguientes, se describe cómo habilitar y deshabilitar PrivateEndpointNetworkPolicies para una red virtual denominada myVNet con una subred default de 10.1.0.0/24 hospedada en un grupo de recursos denominado myResourceGroup.

Habilitar la directiva de red

Siga estos pasos para configurar grupos de seguridad de red y tablas de rutas para sus puntos de conexión privados.

Portal

1. Inicie sesión en Azure Portal.

2. En el cuadro de búsqueda de la parte superior del portal, escriba Red virtual. Seleccione Redes virtuales.

3. Seleccione myVNet.

4. Seleccione Subredes en la configuración de myVNET.

5. Seleccione la subred default.

6. En el panel editar subred, en Directiva de red para puntos de conexión privados, seleccione los cuadros de Grupos de seguridad de red o Tablas de ruta según sea necesario.

7. Seleccione Guardar.

PowerShell

Use Get-AzVirtualNetwork, Set-AzVirtualNetworkSubnetConfig y Set-AzVirtualNetwork para habilitar la directiva.

$net = @{
    Name = 'myVNet'
    ResourceGroupName = 'myResourceGroup'
}
$vnet = Get-AzVirtualNetwork @net

$sub = @{
    Name = 'default'
    VirtualNetwork = $vnet
    AddressPrefix = '10.1.0.0/24'
    PrivateEndpointNetworkPoliciesFlag = 'Enabled'  # Can be either 'Disabled', 'NetworkSecurityGroupEnabled', 'RouteTableEnabled', or 'Enabled'
}
Set-AzVirtualNetworkSubnetConfig @sub

$vnet | Set-AzVirtualNetwork

CLI

Use az network vnet subnet update para habilitar la directiva. La CLI de Azure solo admite los valores true o false. No le permite habilitar las directivas de forma selectiva solo para rutas definidas por el usuario o grupos de seguridad de red:

az network vnet subnet update \
  --disable-private-endpoint-network-policies false \
  --name default \
  --resource-group myResourceGroup \
  --vnet-name myVNet

JSON

En esta sección se describe cómo habilitar directivas de punto de conexión privado de subred usando una plantilla de ARM. Los valores posibles de privateEndpointNetworkPolicies son: Disabled, NetworkSecurityGroupEnabled, RouteTableEnabled y Enabled.

{ 
          "name": "myVNet", 
          "type": "Microsoft.Network/virtualNetworks", 
          "apiVersion": "2019-04-01", 
          "location": "WestUS", 
          "properties": { 
                "addressSpace": { 
                     "addressPrefixes": [ 
                          "10.1.0.0/16" 
                        ] 
                  }, 
                  "subnets": [ 
                         { 
                                "name": "default", 
                                "properties": { 
                                    "addressPrefix": "10.1.0.0/24", 
                                    "privateEndpointNetworkPolicies": "Enabled" 
                                 } 
                         } 
                  ] 
          } 
} 

Deshabilitar la directiva de red

Portal

1. Inicie sesión en Azure Portal.

2. En el cuadro de búsqueda de la parte superior del portal, escriba Red virtual. Seleccione Redes virtuales.

3. Seleccione myVNet.

4. Seleccione Subredes en la configuración de myVNET.

5. Seleccione la subred default.

6. En el panel Editar subred, en Directiva de red para puntos de conexión privados, seleccione el cuadro Deshabilitado.

7. Seleccione Guardar.

PowerShell

Use Get-AzVirtualNetwork, Set-AzVirtualNetwork y Set-AzVirtualNetworkSubnetConfig para deshabilitar la directiva.

$net = @{
    Name = 'myVNet'
    ResourceGroupName = 'myResourceGroup'
}
$vnet = Get-AzVirtualNetwork @net

$sub = @{
    Name = 'default'
    VirtualNetwork = $vnet
    AddressPrefix = '10.1.0.0/24'
    PrivateEndpointNetworkPoliciesFlag = 'Disabled'
}
Set-AzVirtualNetworkSubnetConfig @sub

$vnet | Set-AzVirtualNetwork

CLI

Use az network vnet subnet update para deshabilitar la directiva.

az network vnet subnet update \
  --disable-private-endpoint-network-policies true \
  --name default \
  --resource-group myResourceGroup \
  --vnet-name myVNet
  

JSON

En esta sección se describe cómo deshabilitar directivas de punto de conexión privado de subred usando una plantilla de ARM.

{ 
          "name": "myVNet", 
          "type": "Microsoft.Network/virtualNetworks", 
          "apiVersion": "2019-04-01", 
          "location": "WestUS", 
          "properties": { 
                "addressSpace": { 
                     "addressPrefixes": [ 
                          "10.1.0.0/16" 
                        ] 
                  }, 
                  "subnets": [ 
                         { 
                                "name": "default", 
                                "properties": { 
                                    "addressPrefix": "10.1.0.0/24", 
                                    "privateEndpointNetworkPolicies": "Disabled" 
                                 } 
                         } 
                  ] 
          } 
} 

Importante

Existen limitaciones en los puntos de conexión privados en relación con la característica de directiva de red y los grupos de seguridad de red y las rutas definidas por el usuario. Para más información, consulte las limitaciones.

Pasos siguientes

En esta guía paso a paso, ha habilitado y deshabilitado directivas de red para puntos de conexión privados en una red virtual de Azure. Ha aprendido a usar Azure Portal, Azure PowerShell, la CLI de Azure y las plantillas de Azure Resource Manager para administrar directivas de red para puntos de conexión privados.

Para más información sobre los servicios que admiten puntos de conexión privados, consulte:

¿Qué es un punto de conexión privado?