Управление политиками сети для частных конечных точек
По умолчанию политики сети отключены для подсети в виртуальной сети. Чтобы использовать политики сети, такие как определяемые пользователем маршруты и поддержка группы безопасности сети, необходимо включить поддержку политики сети для подсети. Этот параметр применяется только к частным конечным точкам в подсети и влияет на все частные конечные точки в подсети. Для других ресурсов в подсети управление доступом осуществляется на основе правил безопасности в группе безопасности сети.
Политики сети можно включить только для групп безопасности сети, только для определяемых пользователем маршрутов или для обоих.
Если включить политики безопасности сети для определяемых пользователем маршрутов, можно использовать длину префикса пользовательского адреса (маску подсети), равную или больше, чем длину префикса адресного пространства виртуальной сети, чтобы недействить маршрут /32 по умолчанию, распространяемый частной конечной точкой. Эта возможность может быть полезной, если вы хотите убедиться, что запросы на подключение к частной конечной точке проходят через брандмауэр или виртуальное устройство. В противном случае маршрут /32 по умолчанию отправляет трафик непосредственно в частную конечную точку в соответствии с самым длинным алгоритмом сопоставления префикса.
Внимание
Чтобы изменить маршрут частной конечной точки, определяемые пользователем маршруты должны иметь размер префикса, равный или меньше, чем адресное пространство виртуальной сети, в котором подготовлена частная конечная точка. Например, определяемый пользователем маршрут по умолчанию (0.0.0.0/0) не будет недействительным маршруты частной конечной точки, так как он охватывает более широкий диапазон, чем адресное пространство частной конечной точки. Самое длинное правило сопоставления префикса дает более высокий приоритет для более конкретных префиксов адресов. Кроме того, убедитесь, что политики сети включены в подсети, где размещена частная конечная точка.
Чтобы включить или отключить политику сети для частных конечных точек, выполните следующие действия.
- Портал Azure
- Azure PowerShell
- Azure CLI
- шаблоны Azure Resource Manager (шаблоны ARM);
В следующих примерах описывается включение и отключение PrivateEndpointNetworkPolicies виртуальной сети myVNet с default подсетью размещенной 10.1.0.0/24 в группе ресурсов с именем myResourceGroup.
Включение политики сети
Выполните следующие действия, чтобы настроить группы безопасности сети и таблицы маршрутов для частных конечных точек.
Войдите на портал Azure.
В поле поиска в верхней части портала введите виртуальные сети. Выберите Виртуальные сети.
Выберите myVNet.
В параметрах myVNet выберите Подсети.
Выберите подсеть default.
В области "Изменение подсети" в разделе "Политика сети для частных конечных точек" выберите поля для групп безопасности сети или таблиц маршрутизации по мере необходимости.
Выберите Сохранить.
Отключение политики сети
Войдите на портал Azure.
В поле поиска в верхней части портала введите виртуальные сети. Выберите Виртуальные сети.
Выберите myVNet.
В параметрах myVNet выберите Подсети.
Выберите подсеть default.
В области "Изменение подсети" в разделе "Политика сети для частных конечных точек" выберите поле "Отключено".
Выберите Сохранить.
Внимание
Существуют ограничения для частных конечных точек в отношении функции политики сети и групп безопасности сети и определяемых пользователем маршрутов. Дополнительные сведения см. в статье Ограничения.
Следующие шаги
В этом руководстве описано, как включить и отключить политики сети для частных конечных точек в виртуальной сети Azure. Вы узнали, как использовать портал Azure, Azure PowerShell, Azure CLI и шаблоны Azure Resource Manager для управления политиками сети для частных конечных точек.
Дополнительные сведения о службах, поддерживающих частную конечную точку, см. в следующей статье: