Gerenciar políticas de rede para pontos de extremidade privados

Por padrão, as políticas de rede são desabilitadas para uma sub-rede em uma rede virtual. Para usar políticas de rede, como rotas definidas pelo usuário e suporte a grupos de segurança de rede, o suporte à política de rede deve ser habilitado para a sub-rede. Essa configuração só se aplica a pontos de extremidade privados na sub-rede e afeta todos os pontos de extremidade privados na sub-rede. Para os demais recursos na sub-rede, o acesso é controlado com base na definição de regras de segurança do grupo de segurança de rede.

Você pode habilitar políticas de rede somente para grupos de segurança de rede, somente para rotas definidas pelo usuário ou para ambos.

Se você habilitar políticas de segurança de rede para rotas definidas pelo usuário, poderá usar um tamanho de prefixo de endereço personalizado (máscara de sub-rede) igual ou maior que o tamanho do prefixo de espaço de endereço de rede virtual para invalidar a rota padrão /32 propagada pelo ponto de extremidade privado. Essa funcionalidade pode ser útil se você quiser garantir que as solicitações de conexão de ponto de extremidade privado passem por um firewall ou dispositivo virtual. Caso contrário, a rota padrão /32 envia o tráfego diretamente para o ponto de extremidade privado de acordo com o algoritmo de correspondência de prefixo mais longo.

Importante

Para invalidar uma rota de ponto de extremidade privado, as rotas definidas pelo usuário devem ter um tamanho de prefixo igual ou menor que o espaço de endereço de rede virtual em que o ponto de extremidade privado é provisionado. Por exemplo, uma rota padrão de rotas definidas pelo usuário (0.0.0.0/0) não invalida rotas de ponto de extremidade privado porque abrange um intervalo mais amplo do que o espaço de endereço do ponto de extremidade privado. A regra de correspondência de prefixo mais longa dará prioridade mais alta a prefixos de endereço mais específicos. Além disso, verifique se as políticas de rede estão habilitadas na sub-rede que hospeda o ponto de extremidade privado.

Use as seguintes etapas para habilitar ou desabilitar a política de rede para pontos de extremidade privados:

• Azure portal
• Azure PowerShell
• CLI do Azure
• Modelos do ARM (modelos do Azure Resource Manager)

Os exemplos a seguir descrevem como habilitar e desabilitar PrivateEndpointNetworkPolicies em uma rede virtual chamada myVNet com uma sub-rede default de 10.1.0.0/24 hospedada em um grupo de recursos chamado myResourceGroup.

Habilitar a política de rede

Siga estas etapas para configurar grupos de segurança de rede e tabelas de rotas para seus pontos de extremidade privados.

Portal

1. Entre no portal do Azure.

2. Na caixa de pesquisa na parte superior do portal, insira Rede virtual. Selecione Redes virtuais.

3. Selecione myVNet.

4. Nas configurações de myVNet, selecione Sub-redes.

5. Selecione a sub-rede padrão.

6. No painel Editar sub-rede, em Política de rede para pontos de extremidade privados, selecione as caixas para Grupos de segurança de rede ou Tabelas de rota conforme necessário.

7. Selecione Salvar.

PowerShell

Use Get-AzVirtualNetwork, Set-AzVirtualNetworkSubnetConfig e Set-AzVirtualNetwork para habilitar a política.

$net = @{
    Name = 'myVNet'
    ResourceGroupName = 'myResourceGroup'
}
$vnet = Get-AzVirtualNetwork @net

$sub = @{
    Name = 'default'
    VirtualNetwork = $vnet
    AddressPrefix = '10.1.0.0/24'
    PrivateEndpointNetworkPoliciesFlag = 'Enabled'  # Can be either 'Disabled', 'NetworkSecurityGroupEnabled', 'RouteTableEnabled', or 'Enabled'
}
Set-AzVirtualNetworkSubnetConfig @sub

$vnet | Set-AzVirtualNetwork

CLI

Usar az network vnet subnet update para habilitar a política. A CLI do Azure dá suporte apenas aos valores true ou false. Ele não permite que você habilite as políticas seletivamente apenas para rotas definidas pelo usuário ou grupos de segurança de rede:

az network vnet subnet update \
  --disable-private-endpoint-network-policies false \
  --name default \
  --resource-group myResourceGroup \
  --vnet-name myVNet

JSON

Esta seção descreve como habilitar políticas de ponto de extremidade privado de sub-rede usando um modelo do ARM. Os valores possíveis para privateEndpointNetworkPolicies são Disabled, NetworkSecurityGroupEnabled, RouteTableEnabled e Enabled.

{ 
          "name": "myVNet", 
          "type": "Microsoft.Network/virtualNetworks", 
          "apiVersion": "2019-04-01", 
          "location": "WestUS", 
          "properties": { 
                "addressSpace": { 
                     "addressPrefixes": [ 
                          "10.1.0.0/16" 
                        ] 
                  }, 
                  "subnets": [ 
                         { 
                                "name": "default", 
                                "properties": { 
                                    "addressPrefix": "10.1.0.0/24", 
                                    "privateEndpointNetworkPolicies": "Enabled" 
                                 } 
                         } 
                  ] 
          } 
} 

Desabilitar a política de rede

Portal

1. Entre no portal do Azure.

2. Na caixa de pesquisa na parte superior do portal, insira Rede virtual. Selecione Redes virtuais.

3. Selecione myVNet.

4. Nas configurações de myVNet, selecione Sub-redes.

5. Selecione a sub-rede padrão.

6. No painel Editar sub-rede, em Política de rede para pontos de extremidade privados, selecione a caixa Desabilitado.

7. Selecione Salvar.

PowerShell

Use Get-AzVirtualNetwork, Set-AzVirtualNetwork, e Set-AzVirtualNetworkSubnetConfig para desabilitar a política.

$net = @{
    Name = 'myVNet'
    ResourceGroupName = 'myResourceGroup'
}
$vnet = Get-AzVirtualNetwork @net

$sub = @{
    Name = 'default'
    VirtualNetwork = $vnet
    AddressPrefix = '10.1.0.0/24'
    PrivateEndpointNetworkPoliciesFlag = 'Disabled'
}
Set-AzVirtualNetworkSubnetConfig @sub

$vnet | Set-AzVirtualNetwork

CLI

Usar az network vnet subnet update para desabilitar a política.

az network vnet subnet update \
  --disable-private-endpoint-network-policies true \
  --name default \
  --resource-group myResourceGroup \
  --vnet-name myVNet
  

JSON

Esta seção descreve como desabilitar políticas de ponto de extremidade privado de sub-rede usando um modelo do ARM.

{ 
          "name": "myVNet", 
          "type": "Microsoft.Network/virtualNetworks", 
          "apiVersion": "2019-04-01", 
          "location": "WestUS", 
          "properties": { 
                "addressSpace": { 
                     "addressPrefixes": [ 
                          "10.1.0.0/16" 
                        ] 
                  }, 
                  "subnets": [ 
                         { 
                                "name": "default", 
                                "properties": { 
                                    "addressPrefix": "10.1.0.0/24", 
                                    "privateEndpointNetworkPolicies": "Disabled" 
                                 } 
                         } 
                  ] 
          } 
} 

Importante

Existem limitações para pontos de extremidade privados em relação ao recurso de política de rede e grupos de segurança de rede e rotas definidas pelo usuário. Para obter mais informações, confira Limitações.

Próximas etapas

Neste guia de instruções, você habilitou e desabilitou políticas de rede para pontos de extremidade privados em uma rede virtual do Azure. Você aprendeu a usar o portal do Azure, o Azure PowerShell, a CLI do Azure e os modelos do Azure Resource Manager para gerenciar políticas de rede para pontos de extremidade privados.

Para obter mais informações sobre os serviços que dão suporte a um ponto de extremidade privado, confira:

O que é um ponto de extremidade privado?