管理私人端點的網路原則
根據預設,虛擬網路中的子網路會停用網路原則。 若要使用使用者定義路由和網路安全性群組支援等網路原則,子網路必須啟用網路原則支援。 此設定僅適用於子網路中的私人端點,並且會影響子網路中的所有私人端點。 針對子網路中的其他資源,會根據網路安全性群組中的安全性規則來控制存取權。
您可以只針對網路安全性群組和/或只針對使用者定義路由啟用網路原則。
如果您啟用使用者定義路由的網路安全策略,您可以使用等於或大於虛擬網路位址空間前置詞長度的自定義位址前綴長度,使私人端點所傳播的 /32 預設路由失效。 如果您想要確保私人端點連線要求經過防火牆或虛擬設備,這項功能會很有用。 否則,/32 預設路由會根據最長首碼比對演算法,將流量直接傳送至私人端點。
重要
若要使私人端點路由失效,用戶定義路由的前置詞大小必須等於或小於布建私人端點的虛擬網路位址空間。 例如,使用者定義的路由預設路由 (0.0.0.0.0/0) 不會使私人端點路由失效,因為它涵蓋的範圍比私人端點的位址空間更廣。 最長的前置詞比對規則會優先於更特定的位址前綴。 此外,請確定在裝載私人端點的子網中啟用網路原則。
使用下列步驟來啟用或停用私人端點的網路原則:
- Azure 入口網站
- Azure PowerShell
- Azure CLI
- Azure Resource Manager 範本 (ARM 範本)
下列範例說明如何針對名為 myVNet
、default
子網路為 10.1.0.0/24
、裝載於名為 myResourceGroup
的資源群組中的虛擬網路啟用和停用 PrivateEndpointNetworkPolicies
。
停用網路原則
請遵循下列步驟來設定私人端點的網路安全組和路由表。
登入 Azure 入口網站。
在入口網站頂端的搜尋方塊中,輸入虛擬網路。 選取 [虛擬網路]。
選取 [myVNet]。
在 myVNET 的設定中,選取 [子網路]。
選取 [預設] 子網路。
在 [編輯子網] 窗格中,於 [私人端點的網络原則] 下,視需要選取網路安全組或路由表的方塊。
選取儲存。
使用 Get-AzVirtualNetwork、Set-AzVirtualNetworkSubnetConfig 和 Set-AzVirtualNetwork 來啟用原則。
$net = @{
Name = 'myVNet'
ResourceGroupName = 'myResourceGroup'
}
$vnet = Get-AzVirtualNetwork @net
$sub = @{
Name = 'default'
VirtualNetwork = $vnet
AddressPrefix = '10.1.0.0/24'
PrivateEndpointNetworkPoliciesFlag = 'Enabled' # Can be either 'Disabled', 'NetworkSecurityGroupEnabled', 'RouteTableEnabled', or 'Enabled'
}
Set-AzVirtualNetworkSubnetConfig @sub
$vnet | Set-AzVirtualNetwork
使用 az network vnet subnet update 來啟用原則。 Azure CLI 僅支援 true
或 false
值。 其不允許您選擇性地只針對使用者定義路由或網路安全性群組啟用原則:
az network vnet subnet update \
--disable-private-endpoint-network-policies false \
--name default \
--resource-group myResourceGroup \
--vnet-name myVNet
本節說明如何使用 ARM 範本啟用子網路私人端點原則。 privateEndpointNetworkPolicies
的可能值為 Disabled
、NetworkSecurityGroupEnabled
、RouteTableEnabled
和 Enabled
。
{
"name": "myVNet",
"type": "Microsoft.Network/virtualNetworks",
"apiVersion": "2019-04-01",
"location": "WestUS",
"properties": {
"addressSpace": {
"addressPrefixes": [
"10.1.0.0/16"
]
},
"subnets": [
{
"name": "default",
"properties": {
"addressPrefix": "10.1.0.0/24",
"privateEndpointNetworkPolicies": "Enabled"
}
}
]
}
}
停用網路原則
登入 Azure 入口網站。
在入口網站頂端的搜尋方塊中,輸入虛擬網路。 選取 [虛擬網路]。
選取 [myVNet]。
在 myVNET 的設定中,選取 [子網路]。
選取 [預設] 子網路。
在 [編輯子網] 窗格中,於 [私人端點的網络原則] 底下,選取 [已停用] 方塊。
選取儲存。
使用 Get-AzVirtualNetwork、Set-AzVirtualNetwork 和 Set-AzVirtualNetworkSubnetConfig 來停用原則。
$net = @{
Name = 'myVNet'
ResourceGroupName = 'myResourceGroup'
}
$vnet = Get-AzVirtualNetwork @net
$sub = @{
Name = 'default'
VirtualNetwork = $vnet
AddressPrefix = '10.1.0.0/24'
PrivateEndpointNetworkPoliciesFlag = 'Disabled'
}
Set-AzVirtualNetworkSubnetConfig @sub
$vnet | Set-AzVirtualNetwork
使用 az network vnet subnet update 來停用原則。
az network vnet subnet update \
--disable-private-endpoint-network-policies true \
--name default \
--resource-group myResourceGroup \
--vnet-name myVNet
本節說明如何使用 ARM 範本停用子網路私人端點原則。
{
"name": "myVNet",
"type": "Microsoft.Network/virtualNetworks",
"apiVersion": "2019-04-01",
"location": "WestUS",
"properties": {
"addressSpace": {
"addressPrefixes": [
"10.1.0.0/16"
]
},
"subnets": [
{
"name": "default",
"properties": {
"addressPrefix": "10.1.0.0/24",
"privateEndpointNetworkPolicies": "Disabled"
}
}
]
}
}
重要
私人端點有與網路原則功能和網路安全性群組和使用者定義路由相關的限制。 如需詳細資訊,請參閱限制。
下一步
在本操作指南中,您已為 Azure 虛擬網路中的私人端點啟用和停用網路原則。 您已瞭解如何使用 Azure 入口網站、Azure PowerShell、Azure CLI 和 Azure Resource Manager 範本來管理私人端點的網路原則。
如需支援私人端點的服務詳細資訊,請參閱: