Gestire i criteri di rete per gli endpoint privati

Articolo
12/18/2024

Per impostazione predefinita, i criteri di rete sono disabilitati per una subnet in una rete virtuale. Per usare criteri di rete come route definite dall'utente e supporto dei gruppi di sicurezza di rete, è necessario abilitare il supporto dei criteri di rete per la subnet. Questa impostazione si applica solo agli endpoint privati nella subnet e influisce su tutti gli endpoint privati nella subnet. Per altre risorse nella subnet, l'accesso viene controllato in base alle regole di sicurezza nel gruppo di sicurezza di rete.

È possibile abilitare i criteri di rete solo per i gruppi di sicurezza di rete, solo per le route definite dall'utente o per entrambi.

Se si abilitano i criteri di sicurezza di rete per le route definite dall'utente, è possibile usare una lunghezza del prefisso dell'indirizzo personalizzato (subnet mask) uguale o superiore alla lunghezza del prefisso dello spazio degli indirizzi della rete virtuale per invalidare la route predefinita /32 propagata dall'endpoint privato. Questa funzionalità può essere utile se si vuole assicurarsi che le richieste di connessione all'endpoint privato vengano inviate attraverso un firewall o un'appliance virtuale. In caso contrario, la route predefinita /32 invia il traffico direttamente all'endpoint privato in base all'algoritmo di corrispondenza del prefisso più lungo.

Importante

Per invalidare una route dell'endpoint privato, le route definite dall'utente devono avere una dimensione del prefisso uguale o inferiore allo spazio di indirizzi della rete virtuale in cui viene effettuato il provisioning dell'endpoint privato. Ad esempio, una route predefinita definita dall'utente (0.0.0.0/0) non invalida le route degli endpoint privati perché copre un intervallo più ampio rispetto allo spazio indirizzi dell'endpoint privato. La regola di corrispondenza del prefisso più lunga darà priorità più alta ai prefissi di indirizzo più specifici. Assicurarsi inoltre che i criteri di rete siano abilitati nella subnet che ospita l'endpoint privato.

Usare la procedura seguente per abilitare o disabilitare i criteri di rete per gli endpoint privati:

Portale di Azure
Azure PowerShell
Interfaccia della riga di comando di Azure
Modelli di Azure Resource Manager (modelli ARM)

Gli esempi seguenti descrivono come abilitare e disabilitare PrivateEndpointNetworkPolicies per una rete virtuale denominata myVNet con una subnet default di 10.1.0.0/24 ospitata in un gruppo di risorse denominato myResourceGroup.

Abilitare i criteri di rete

Seguire questa procedura per configurare i gruppi di sicurezza di rete e le tabelle di route per gli endpoint privati.

Accedere al portale di Azure.
Nella casella di ricerca nella parte superiore del portale immettere Rete virtuale. Selezionare Reti virtuali.
Selezionare myVNET.
Nelle impostazioni di myVNet selezionare Subnet.
Selezionare la subnet predefinita.
Nel riquadro Modifica subnet, in Criteri di rete per endpoint privati selezionare le caselle gruppi di sicurezza di rete o Tabelle di route in base alle esigenze.
Seleziona Salva.

Usare Get-AzVirtualNetwork, Set-AzVirtualNetworkSubnetConfig e Set-AzVirtualNetwork per abilitare i criteri.

$net = @{
    Name = 'myVNet'
    ResourceGroupName = 'myResourceGroup'
}
$vnet = Get-AzVirtualNetwork @net

$sub = @{
    Name = 'default'
    VirtualNetwork = $vnet
    AddressPrefix = '10.1.0.0/24'
    PrivateEndpointNetworkPoliciesFlag = 'Enabled'  # Can be either 'Disabled', 'NetworkSecurityGroupEnabled', 'RouteTableEnabled', or 'Enabled'
}
Set-AzVirtualNetworkSubnetConfig @sub

$vnet | Set-AzVirtualNetwork

Usare az network vnet subnet update per abilitare i criteri. L'interfaccia della riga di comando di Azure supporta solo i valori true o false. Non consente di abilitare i criteri in modo selettivo solo per le route definite dall'utente o i gruppi di sicurezza di rete:

az network vnet subnet update \
  --disable-private-endpoint-network-policies false \
  --name default \
  --resource-group myResourceGroup \
  --vnet-name myVNet

Questa sezione descrive come abilitare i criteri degli endpoint privati della subnet usando un modello di Resource Manager. I valori possibili per privateEndpointNetworkPolicies sono Disabled, NetworkSecurityGroupEnabled, RouteTableEnablede Enabled.

{ 
          "name": "myVNet", 
          "type": "Microsoft.Network/virtualNetworks", 
          "apiVersion": "2019-04-01", 
          "location": "WestUS", 
          "properties": { 
                "addressSpace": { 
                     "addressPrefixes": [ 
                          "10.1.0.0/16" 
                        ] 
                  }, 
                  "subnets": [ 
                         { 
                                "name": "default", 
                                "properties": { 
                                    "addressPrefix": "10.1.0.0/24", 
                                    "privateEndpointNetworkPolicies": "Enabled" 
                                 } 
                         } 
                  ] 
          } 
}

Disabilitare i criteri di rete

Accedere al portale di Azure.
Nella casella di ricerca nella parte superiore del portale immettere Rete virtuale. Selezionare Reti virtuali.
Selezionare myVNET.
Nelle impostazioni di myVNet selezionare Subnet.
Selezionare la subnet predefinita.
Nel riquadro Modifica subnet, in Criteri di rete per endpoint privati selezionare la casella Disabilitato.
Seleziona Salva.

Usare Get-AzVirtualNetwork, Set-AzVirtualNetwork e Set-AzVirtualNetworkSubnetConfig per disabilitare i criteri.

$net = @{
    Name = 'myVNet'
    ResourceGroupName = 'myResourceGroup'
}
$vnet = Get-AzVirtualNetwork @net

$sub = @{
    Name = 'default'
    VirtualNetwork = $vnet
    AddressPrefix = '10.1.0.0/24'
    PrivateEndpointNetworkPoliciesFlag = 'Disabled'
}
Set-AzVirtualNetworkSubnetConfig @sub

$vnet | Set-AzVirtualNetwork

Usare az network vnet subnet update per disabilitare i criteri.

az network vnet subnet update \
  --disable-private-endpoint-network-policies true \
  --name default \
  --resource-group myResourceGroup \
  --vnet-name myVNet

Questa sezione descrive come disabilitare i criteri degli endpoint privati della subnet usando un modello di Resource Manager.

{ 
          "name": "myVNet", 
          "type": "Microsoft.Network/virtualNetworks", 
          "apiVersion": "2019-04-01", 
          "location": "WestUS", 
          "properties": { 
                "addressSpace": { 
                     "addressPrefixes": [ 
                          "10.1.0.0/16" 
                        ] 
                  }, 
                  "subnets": [ 
                         { 
                                "name": "default", 
                                "properties": { 
                                    "addressPrefix": "10.1.0.0/24", 
                                    "privateEndpointNetworkPolicies": "Disabled" 
                                 } 
                         } 
                  ] 
          } 
}

Importante

Esistono limitazioni per gli endpoint privati in relazione alla funzionalità dei criteri di rete e ai gruppi di sicurezza di rete e alle route definite dall'utente. Per altre informazioni, vedere: Limitazioni.

Passaggi successivi

In questa guida pratica sono stati abilitati e disabilitati i criteri di rete per gli endpoint privati in una rete virtuale di Azure. Si è appreso come usare i modelli di portale di Azure, Azure PowerShell, l'interfaccia della riga di comando di Azure e Azure Resource Manager per gestire i criteri di rete per gli endpoint privati.

Per altre informazioni sui servizi che supportano endpoint privati, vedere:

Che cos'è un endpoint privato?

Condividi tramite

Gestire i criteri di rete per gli endpoint privati

Abilitare i criteri di rete

Disabilitare i criteri di rete

Passaggi successivi

Commenti e suggerimenti

Risorse aggiuntive