Netwerkbeleid voor privé-eindpunten beheren

Standaard zijn netwerkbeleidsregels uitgeschakeld voor een subnet in een virtueel netwerk. Als u netwerkbeleid wilt gebruiken, zoals door de gebruiker gedefinieerde routes en ondersteuning voor netwerkbeveiligingsgroepen, moet ondersteuning voor netwerkbeleid zijn ingeschakeld voor het subnet. Deze instelling is alleen van toepassing op privé-eindpunten in het subnet en is van invloed op alle privé-eindpunten in het subnet. Voor andere resources in het subnet wordt de toegang beheerd op basis van beveiligingsregels in de netwerkbeveiligingsgroep.

U kunt netwerkbeleid alleen inschakelen voor netwerkbeveiligingsgroepen, alleen voor door de gebruiker gedefinieerde routes of voor beide.

Als u netwerkbeveiligingsbeleid inschakelt voor door de gebruiker gedefinieerde routes, kunt u een aangepaste lengte van het adresvoorvoegsel (subnetmasker) gebruiken die gelijk is aan of groter is dan de lengte van het voorvoegsel voor de adresruimte van het virtuele netwerk om de standaardroute /32 te ongeldig te maken die wordt doorgegeven door het privé-eindpunt. Deze mogelijkheid kan handig zijn als u ervoor wilt zorgen dat verbindingsaanvragen voor privé-eindpunten via een firewall of virtueel apparaat worden verzonden. Anders verzendt de standaardroute /32 verkeer rechtstreeks naar het privé-eindpunt in overeenstemming met het langste algoritme voor het vergelijken van voorvoegsels.

Belangrijk

Als u een privé-eindpuntroute ongeldig wilt maken, moeten door de gebruiker gedefinieerde routes een voorvoegselgrootte hebben die gelijk is aan of kleiner is dan de adresruimte van het virtuele netwerk waar het privé-eindpunt is ingericht. Met een door de gebruiker gedefinieerde standaardroute (0.0.0.0/0) worden privé-eindpuntroutes bijvoorbeeld niet ongeldig omdat deze een breder bereik omvat dan de adresruimte van het privé-eindpunt. De regel voor het langste voorvoegselovereenkomst geeft een hogere prioriteit aan specifiekere adresvoorvoegsels. Zorg er bovendien voor dat netwerkbeleid is ingeschakeld in het subnet dat als host fungeert voor het privé-eindpunt.

Gebruik de volgende stappen om netwerkbeleid voor privé-eindpunten in of uit te schakelen:

• Azure Portal
• Azure PowerShell
• Azure CLI
• Azure Resource Manager-sjablonen (ARM-sjablonen)

In de volgende voorbeelden wordt beschreven hoe u een virtueel netwerk met de naam myVNet in- en uitschakelt PrivateEndpointNetworkPolicies met een default subnet dat 10.1.0.0/24 wordt gehost in een resourcegroep met de naam myResourceGroup.

Netwerkbeleid inschakelen

Volg deze stappen om netwerkbeveiligingsgroepen en routetabellen voor uw privé-eindpunten te configureren.

Portal

1. Meld u aan bij het Azure-portaal.

2. Voer in het zoekvak boven aan de portal het virtuele netwerk in. Selecteer Virtuele netwerken.

3. Selecteer myVNet.

4. Selecteer Subnetten in de instellingen van myVNet.

5. Selecteer het standaardsubnet .

6. Schakel in het deelvenster Subnet bewerken onder Netwerkbeleid voor privé-eindpunten de selectievakjes in voor netwerkbeveiligingsgroepen of routetabellen, indien nodig.

7. Selecteer Opslaan.

PowerShell

Gebruik Get-AzVirtualNetwork, Set-AzVirtualNetworkSubnetConfig en Set-AzVirtualNetwork om het beleid in te schakelen.

$net = @{
    Name = 'myVNet'
    ResourceGroupName = 'myResourceGroup'
}
$vnet = Get-AzVirtualNetwork @net

$sub = @{
    Name = 'default'
    VirtualNetwork = $vnet
    AddressPrefix = '10.1.0.0/24'
    PrivateEndpointNetworkPoliciesFlag = 'Enabled'  # Can be either 'Disabled', 'NetworkSecurityGroupEnabled', 'RouteTableEnabled', or 'Enabled'
}
Set-AzVirtualNetworkSubnetConfig @sub

$vnet | Set-AzVirtualNetwork

CLI

Gebruik az network vnet subnet update om het beleid in te schakelen. De Azure CLI ondersteunt alleen de waarden true of false. Hiermee kunt u het beleid niet selectief inschakelen voor door de gebruiker gedefinieerde routes of netwerkbeveiligingsgroepen:

az network vnet subnet update \
  --disable-private-endpoint-network-policies false \
  --name default \
  --resource-group myResourceGroup \
  --vnet-name myVNet

JSON

In deze sectie wordt beschreven hoe u beleid voor privé-eindpunten voor subnetten inschakelt met behulp van een ARM-sjabloon. De mogelijke waarden hiervoor privateEndpointNetworkPolicies zijn Disabled, NetworkSecurityGroupEnabled, en RouteTableEnabledEnabled.

{ 
          "name": "myVNet", 
          "type": "Microsoft.Network/virtualNetworks", 
          "apiVersion": "2019-04-01", 
          "location": "WestUS", 
          "properties": { 
                "addressSpace": { 
                     "addressPrefixes": [ 
                          "10.1.0.0/16" 
                        ] 
                  }, 
                  "subnets": [ 
                         { 
                                "name": "default", 
                                "properties": { 
                                    "addressPrefix": "10.1.0.0/24", 
                                    "privateEndpointNetworkPolicies": "Enabled" 
                                 } 
                         } 
                  ] 
          } 
} 

Netwerkbeleid uitschakelen

Portal

1. Meld u aan bij het Azure-portaal.

2. Voer in het zoekvak boven aan de portal het virtuele netwerk in. Selecteer Virtuele netwerken.

3. Selecteer myVNet.

4. Selecteer Subnetten in de instellingen van myVNet.

5. Selecteer het standaardsubnet .

6. Schakel in het deelvenster Subnet bewerken onder Netwerkbeleid voor privé-eindpunten het selectievakje Uitgeschakeld in.

7. Selecteer Opslaan.

PowerShell

Gebruik Get-AzVirtualNetwork, Set-AzVirtualNetwork en Set-AzVirtualNetworkSubnetConfig om het beleid uit te schakelen.

$net = @{
    Name = 'myVNet'
    ResourceGroupName = 'myResourceGroup'
}
$vnet = Get-AzVirtualNetwork @net

$sub = @{
    Name = 'default'
    VirtualNetwork = $vnet
    AddressPrefix = '10.1.0.0/24'
    PrivateEndpointNetworkPoliciesFlag = 'Disabled'
}
Set-AzVirtualNetworkSubnetConfig @sub

$vnet | Set-AzVirtualNetwork

CLI

Gebruik az network vnet subnet update om het beleid uit te schakelen.

az network vnet subnet update \
  --disable-private-endpoint-network-policies true \
  --name default \
  --resource-group myResourceGroup \
  --vnet-name myVNet
  

JSON

In deze sectie wordt beschreven hoe u beleid voor privé-eindpunten voor subnetten uitschakelt met behulp van een ARM-sjabloon.

{ 
          "name": "myVNet", 
          "type": "Microsoft.Network/virtualNetworks", 
          "apiVersion": "2019-04-01", 
          "location": "WestUS", 
          "properties": { 
                "addressSpace": { 
                     "addressPrefixes": [ 
                          "10.1.0.0/16" 
                        ] 
                  }, 
                  "subnets": [ 
                         { 
                                "name": "default", 
                                "properties": { 
                                    "addressPrefix": "10.1.0.0/24", 
                                    "privateEndpointNetworkPolicies": "Disabled" 
                                 } 
                         } 
                  ] 
          } 
} 

Belangrijk

Er gelden beperkingen voor privé-eindpunten met betrekking tot de functie netwerkbeleid en netwerkbeveiligingsgroepen en door de gebruiker gedefinieerde routes. Zie Beperkingen voor meer informatie.

Volgende stappen

In deze handleiding hebt u netwerkbeleid voor privé-eindpunten in een virtueel Azure-netwerk ingeschakeld en uitgeschakeld. U hebt geleerd hoe u azure Portal, Azure PowerShell, Azure CLI en Azure Resource Manager-sjablonen gebruikt om netwerkbeleid voor privé-eindpunten te beheren.

Zie voor meer informatie over de services die ondersteuning bieden voor privé-eindpunten:

Wat is een privé-eindpunt?