Udostępnij za pośrednictwem


Zarządzanie zasadami sieci prywatnego punktu końcowego

Domyślnie zasady sieci są wyłączone dla podsieci w sieci wirtualnej. Aby można było używać zasad sieciowych, takich jak trasy zdefiniowane przez użytkownika i obsługa sieciowej grupy zabezpieczeń, należy włączyć obsługę zasad sieciowych dla podsieci. To ustawienie dotyczy tylko prywatnych punktów końcowych w podsieci i wpływa na wszystkie prywatne punkty końcowe w podsieci. W przypadku innych zasobów w podsieci dostęp jest kontrolowany na podstawie reguł zabezpieczeń w sieciowej grupie zabezpieczeń.

Można włączyć zasady sieciowe tylko dla sieciowych grup zabezpieczeń, tylko dla tras zdefiniowanych przez użytkownika lub dla obu tych grup.

Jeśli włączysz zasady zabezpieczeń sieci dla tras zdefiniowanych przez użytkownika, możesz użyć niestandardowej długości prefiksu adresu (maski podsieci) równej lub większej długości prefiksu przestrzeni adresowej sieci wirtualnej, aby unieważnić trasę domyślną /32 propagowaną przez prywatny punkt końcowy. Ta funkcja może być przydatna, jeśli chcesz upewnić się, że żądania połączenia prywatnego punktu końcowego przechodzą przez zaporę lub urządzenie wirtualne. W przeciwnym razie trasa domyślna /32 wysyła ruch bezpośrednio do prywatnego punktu końcowego zgodnie z najdłuższym algorytmem dopasowania prefiksu.

Ważne

Aby unieważnić trasę prywatnego punktu końcowego, trasy zdefiniowane przez użytkownika muszą mieć rozmiar prefiksu równy lub mniejszy niż przestrzeń adresowa sieci wirtualnej, w której aprowizowany jest prywatny punkt końcowy. Na przykład trasa domyślna tras zdefiniowanych przez użytkownika (0.0.0.0/0) nie spowoduje unieważnienia tras prywatnych punktów końcowych, ponieważ obejmuje szerszy zakres niż przestrzeń adresowa prywatnego punktu końcowego. Najdłuższa reguła dopasowania prefiksu da wyższy priorytet bardziej szczegółowym prefiksom adresów. Ponadto upewnij się, że zasady sieciowe są włączone w podsieci obsługującej prywatny punkt końcowy.

Aby włączyć lub wyłączyć zasady sieciowe dla prywatnych punktów końcowych, wykonaj następujące czynności:

  • Azure Portal
  • Azure PowerShell
  • Interfejs wiersza polecenia platformy Azure
  • Szablony usługi Azure Resource Manager (szablony usługi ARM)

W poniższych przykładach opisano sposób włączania i wyłączania PrivateEndpointNetworkPolicies sieci wirtualnej o nazwie z podsiecią 10.1.0.0/24 hostowaną default w grupie zasobów o nazwie myVNet myResourceGroup.

Włączanie zasad sieciowych

Wykonaj następujące kroki, aby skonfigurować sieciowe grupy zabezpieczeń i tabele tras dla prywatnych punktów końcowych.

  1. Zaloguj się w witrynie Azure Portal.

  2. W polu wyszukiwania w górnej części portalu wprowadź wartość Sieć wirtualna. Wybierz pozycję Sieci wirtualne.

  3. Wybierz pozycję myVNet.

  4. W ustawieniach sieci myVNet wybierz pozycję Podsieci.

  5. Wybierz domyślną podsieć.

  6. W okienku Edytowanie podsieci w obszarze Zasady sieciowe dla prywatnych punktów końcowych zaznacz pola dla sieciowych grup zabezpieczeń lub Tabele tras zgodnie z potrzebami.

  7. Wybierz pozycję Zapisz.

Wyłączanie zasad sieciowych

  1. Zaloguj się w witrynie Azure Portal.

  2. W polu wyszukiwania w górnej części portalu wprowadź wartość Sieć wirtualna. Wybierz pozycję Sieci wirtualne.

  3. Wybierz pozycję myVNet.

  4. W ustawieniach sieci myVNet wybierz pozycję Podsieci.

  5. Wybierz domyślną podsieć.

  6. W okienku Edytowanie podsieci w obszarze Zasady sieciowe dla prywatnych punktów końcowych wybierz pole Wyłączone.

  7. Wybierz pozycję Zapisz.

Ważne

Istnieją ograniczenia dotyczące prywatnych punktów końcowych w odniesieniu do funkcji zasad sieciowych oraz sieciowych grup zabezpieczeń i tras zdefiniowanych przez użytkownika. Aby uzyskać więcej informacji, zobacz Ograniczenia.

Następne kroki

W tym przewodniku z instrukcjami włączono i wyłączono zasady sieci dla prywatnych punktów końcowych w sieci wirtualnej platformy Azure. Przedstawiono sposób używania witryny Azure Portal, programu Azure PowerShell, interfejsu wiersza polecenia platformy Azure i szablonów usługi Azure Resource Manager do zarządzania zasadami sieciowymi dla prywatnych punktów końcowych.

Aby uzyskać więcej informacji na temat usług obsługujących prywatne punkty końcowe, zobacz: