Hantera nätverksprinciper för privata slutpunkter

Artikel
12/18/2024

Som standard är nätverksprinciper inaktiverade för ett undernät i ett virtuellt nätverk. Om du vill använda nätverksprinciper som användardefinierade vägar och stöd för nätverkssäkerhetsgrupper måste stöd för nätverksprinciper vara aktiverat för undernätet. Den här inställningen gäller endast privata slutpunkter i undernätet och påverkar alla privata slutpunkter i undernätet. För andra resurser i undernätet styrs åtkomsten baserat på säkerhetsregler i nätverkssäkerhetsgruppen.

Du kan aktivera nätverksprinciper antingen endast för nätverkssäkerhetsgrupper, endast för användardefinierade vägar eller för båda.

Om du aktiverar nätverkssäkerhetsprinciper för användardefinierade vägar kan du använda en anpassad adressprefixlängd (nätmask) som är lika med eller större än prefixlängden för det virtuella nätverkets adressutrymme för att ogiltigförklara standardvägen /32 som sprids av den privata slutpunkten. Den här funktionen kan vara användbar om du vill se till att begäranden om privat slutpunktsanslutning går via en brandvägg eller virtuell installation. Annars skickar standardvägen /32 trafik direkt till den privata slutpunkten i enlighet med den längsta prefixmatchningsalgoritmen.

Viktigt!

Om du vill ogiltigförklara en privat slutpunktsväg måste användardefinierade vägar ha en prefixstorlek som är lika med eller mindre än det virtuella nätverkets adressutrymme där den privata slutpunkten etableras. Till exempel ogiltigförklarar inte en användardefinierad väg standardväg (0.0.0.0/0) privata slutpunktsvägar eftersom den omfattar ett bredare intervall än den privata slutpunktens adressutrymme. Den längsta prefixmatchningsregeln ger högre prioritet till mer specifika adressprefix. Se dessutom till att nätverksprinciper är aktiverade i undernätet som är värd för den privata slutpunkten.

Använd följande steg för att aktivera eller inaktivera nätverksprincip för privata slutpunkter:

Azure Portal
Azure PowerShell
Azure CLI
Azure Resource Manager-mallar (ARM-mallar)

I följande exempel beskrivs hur du aktiverar och inaktiverar PrivateEndpointNetworkPolicies för ett virtuellt nätverk med namnet myVNet med ett default undernät 10.1.0.0/24 som finns i en resursgrupp med namnet myResourceGroup.

Aktivera nätverksprincip

Följ de här stegen för att konfigurera nätverkssäkerhetsgrupper och routningstabeller för dina privata slutpunkter.

Logga in på Azure-portalen.
I sökrutan överst i portalen anger du Virtuellt nätverk. Välj Virtuella nätverk.
Välj myVNet.
I inställningarna för myVNet väljer du Undernät.
Välj standardundernätet.
I fönstret Redigera undernät går du till Nätverksprincip för privata slutpunkter och väljer rutorna för Nätverkssäkerhetsgrupper eller Routningstabeller efter behov.
Välj Spara.

Använd Get-AzVirtualNetwork, Set-AzVirtualNetworkSubnetConfig och Set-AzVirtualNetwork för att aktivera principen.

$net = @{
    Name = 'myVNet'
    ResourceGroupName = 'myResourceGroup'
}
$vnet = Get-AzVirtualNetwork @net

$sub = @{
    Name = 'default'
    VirtualNetwork = $vnet
    AddressPrefix = '10.1.0.0/24'
    PrivateEndpointNetworkPoliciesFlag = 'Enabled'  # Can be either 'Disabled', 'NetworkSecurityGroupEnabled', 'RouteTableEnabled', or 'Enabled'
}
Set-AzVirtualNetworkSubnetConfig @sub

$vnet | Set-AzVirtualNetwork

Använd az network vnet subnet update för att aktivera principen. Azure CLI stöder endast värdena true eller false. Du kan inte aktivera principerna selektivt endast för användardefinierade vägar eller nätverkssäkerhetsgrupper:

az network vnet subnet update \
  --disable-private-endpoint-network-policies false \
  --name default \
  --resource-group myResourceGroup \
  --vnet-name myVNet

I det här avsnittet beskrivs hur du aktiverar principer för privata undernätsslutpunkter med hjälp av en ARM-mall. Möjliga värden för privateEndpointNetworkPolicies är Disabled, NetworkSecurityGroupEnabled, RouteTableEnabledoch Enabled.

{ 
          "name": "myVNet", 
          "type": "Microsoft.Network/virtualNetworks", 
          "apiVersion": "2019-04-01", 
          "location": "WestUS", 
          "properties": { 
                "addressSpace": { 
                     "addressPrefixes": [ 
                          "10.1.0.0/16" 
                        ] 
                  }, 
                  "subnets": [ 
                         { 
                                "name": "default", 
                                "properties": { 
                                    "addressPrefix": "10.1.0.0/24", 
                                    "privateEndpointNetworkPolicies": "Enabled" 
                                 } 
                         } 
                  ] 
          } 
}

Inaktivera nätverksprincip

Logga in på Azure-portalen.
I sökrutan överst i portalen anger du Virtuellt nätverk. Välj Virtuella nätverk.
Välj myVNet.
I inställningarna för myVNet väljer du Undernät.
Välj standardundernätet.
I fönstret Redigera undernät går du till Nätverksprincip för privata slutpunkter och väljer rutan Inaktiverad.
Välj Spara.

Använd Get-AzVirtualNetwork, Set-AzVirtualNetwork och Set-AzVirtualNetworkSubnetConfig för att inaktivera principen.

$net = @{
    Name = 'myVNet'
    ResourceGroupName = 'myResourceGroup'
}
$vnet = Get-AzVirtualNetwork @net

$sub = @{
    Name = 'default'
    VirtualNetwork = $vnet
    AddressPrefix = '10.1.0.0/24'
    PrivateEndpointNetworkPoliciesFlag = 'Disabled'
}
Set-AzVirtualNetworkSubnetConfig @sub

$vnet | Set-AzVirtualNetwork

Använd az network vnet subnet update för att inaktivera principen.

az network vnet subnet update \
  --disable-private-endpoint-network-policies true \
  --name default \
  --resource-group myResourceGroup \
  --vnet-name myVNet

I det här avsnittet beskrivs hur du inaktiverar principer för privata undernätsslutpunkter med hjälp av en ARM-mall.

{ 
          "name": "myVNet", 
          "type": "Microsoft.Network/virtualNetworks", 
          "apiVersion": "2019-04-01", 
          "location": "WestUS", 
          "properties": { 
                "addressSpace": { 
                     "addressPrefixes": [ 
                          "10.1.0.0/16" 
                        ] 
                  }, 
                  "subnets": [ 
                         { 
                                "name": "default", 
                                "properties": { 
                                    "addressPrefix": "10.1.0.0/24", 
                                    "privateEndpointNetworkPolicies": "Disabled" 
                                 } 
                         } 
                  ] 
          } 
}

Viktigt!

Det finns begränsningar för privata slutpunkter i förhållande till nätverksprincipfunktionen, nätverkssäkerhetsgrupper och användardefinierade vägar. Mer information finns i Begränsningar.

Nästa steg

I den här guiden har du aktiverat och inaktiverat nätverksprinciper för privata slutpunkter i ett virtuellt Azure-nätverk. Du har lärt dig hur du använder mallarna Azure Portal, Azure PowerShell, Azure CLI och Azure Resource Manager för att hantera nätverksprinciper för privata slutpunkter.

Mer information om de tjänster som stöder privata slutpunkter finns i:

Vad är en privat slutpunkt?

Dela via

Hantera nätverksprinciper för privata slutpunkter

Aktivera nätverksprincip

Inaktivera nätverksprincip

Nästa steg

Feedback

Ytterligare resurser