Verwalten von Netzwerkrichtlinien für private Endpunkte

Artikel
12/23/2024

Standardmäßig sind Netzwerkrichtlinien für ein Subnetz in einem virtuellen Netzwerk deaktiviert. Damit Netzwerkrichtlinien wie benutzerdefinierte Routen- und Netzwerksicherheitsgruppen-Support genutzt werden können, muss der Netzwerkrichtlinien-Support für das Subnetz aktiviert sein. Diese Einstellung gilt nur für private Endpunkte im Subnetz und wirkt sich auf alle privaten Endpunkte im Subnetz aus. Für andere Ressourcen im Subnetz wird der Zugriff basierend auf Sicherheitsregeln in der Netzwerksicherheitsgruppe gesteuert.

Sie können Netzwerkrichtlinien entweder nur für Netzwerksicherheitsgruppen, nur für benutzerdefinierte Routen oder für beide aktivieren.

Wenn Sie Netzwerksicherheitsrichtlinien für benutzerdefinierte Routen aktivieren, können Sie eine benutzerdefinierte Adresspräfixlänge (Subnetzmaske) verwenden, die der Adressraumlänge des virtuellen Netzwerks entspricht oder größer ist, um die vom privaten Endpunkt weitergegebene /32-Standardroute für ungültig zu erklären. Diese Funktion kann nützlich sein, wenn Sie sicherstellen möchten, dass Verbindungsanforderungen für private Endpunkte eine Firewall oder ein virtuelles Gerät durchlaufen. Andernfalls sendet die /32-Standardroute Datenverkehr gemäß dem Algorithmus zur Zuordnung zum längsten Präfix direkt an den privaten Endpunkt.

Wichtig

Um eine Route des privaten Endpunkts für ungültig zu erklären, müssen benutzerdefinierte Routen über eine Präfixlänge verfügen, die dem Adressraum des virtuellen Netzwerks entspricht, in dem der private Endpunkt bereitgestellt ist, oder kleiner ist. Beispielsweise werden durch die Standardroute einer benutzerdefinierten Route (0.0.0.0/0/0) keine privaten Endpunktrouten ungültig, da sie einen breiteren Bereich als den Adressraum des privaten Endpunkts abdeckt. Die längste Präfix-Vergleichsregel schreibt spezifischeren Adresspräfixen eine höhere Priorität zu. Stellen Sie außerdem sicher, dass Netzwerkrichtlinien im Subnetz aktiviert sind, das den privaten Endpunkt hostet.

Führen Sie folgende Schritte aus, um die Netzwerkrichtlinie für private Endpunkte zu aktivieren oder zu deaktivieren:

Azure-Portal
Azure PowerShell
Azure-Befehlszeilenschnittstelle
Azure Resource Manager-Vorlagen (ARM-Vorlagen)

In den folgenden Beispielen wird beschrieben, wie Sie PrivateEndpointNetworkPolicies für ein virtuelles Netzwerk mit dem Namen myVNet aktivieren und deaktivieren, mit einem default Subnetz aus 10.1.0.0/24, das in einer Ressourcengruppe mit dem Namen myResourceGroup gehostet wird.

Aktivieren von Netzwerkrichtlinien

Führen Sie diese Schritte aus, um Netzwerksicherheitsgruppen und Routentabellen für Ihre privaten Endpunkte zu konfigurieren.

Melden Sie sich beim Azure-Portal an.
Geben Sie im Suchfeld oben im Portal den Suchbegriff Virtuelles Netzwerk ein. Wählen Sie Virtuelle Netzwerke aus.
Wählen Sie myVNet aus.
Wählen Sie in den Einstellungen von myVNet die Option Subnetze aus.
Wählen Sie das Subnetz Standard aus.
Wählen Sie im Bereich Subnetz bearbeiten unter Netzwerkrichtlinie für private Endpunkte die Felder fürNetzwerksicherheitsgruppenoderRoutingtabellen nach Bedarf aus.
Wählen Sie Speichern.

Verwenden Sie Get-AzVirtualNetwork, Set-AzVirtualNetworkSubnetConfig und Set-AzVirtualNetwork, um die Richtlinie zu aktivieren.

$net = @{
    Name = 'myVNet'
    ResourceGroupName = 'myResourceGroup'
}
$vnet = Get-AzVirtualNetwork @net

$sub = @{
    Name = 'default'
    VirtualNetwork = $vnet
    AddressPrefix = '10.1.0.0/24'
    PrivateEndpointNetworkPoliciesFlag = 'Enabled'  # Can be either 'Disabled', 'NetworkSecurityGroupEnabled', 'RouteTableEnabled', or 'Enabled'
}
Set-AzVirtualNetworkSubnetConfig @sub

$vnet | Set-AzVirtualNetwork

Verwenden Sie az network vnet subnet update, um die Richtlinie zu aktivieren. Die Azure CLI unterstützt nur die Werte true oder false. Sie können die Richtlinien jedoch nicht gezielt nur für benutzerdefinierte Routen oder Netzwerksicherheitsgruppen aktivieren:

az network vnet subnet update \
  --disable-private-endpoint-network-policies false \
  --name default \
  --resource-group myResourceGroup \
  --vnet-name myVNet

In diesem Abschnitt wird beschrieben, wie Sie Subnetzrichtlinien für private Endpunkte mithilfe einer ARM-Vorlage aktivieren können. Die möglichen Werte für privateEndpointNetworkPolicies sind Disabled, NetworkSecurityGroupEnabled, RouteTableEnabled, oder Enabled.

{ 
          "name": "myVNet", 
          "type": "Microsoft.Network/virtualNetworks", 
          "apiVersion": "2019-04-01", 
          "location": "WestUS", 
          "properties": { 
                "addressSpace": { 
                     "addressPrefixes": [ 
                          "10.1.0.0/16" 
                        ] 
                  }, 
                  "subnets": [ 
                         { 
                                "name": "default", 
                                "properties": { 
                                    "addressPrefix": "10.1.0.0/24", 
                                    "privateEndpointNetworkPolicies": "Enabled" 
                                 } 
                         } 
                  ] 
          } 
}

Deaktivieren von Netzwerkrichtlinien

Melden Sie sich beim Azure-Portal an.
Geben Sie im Suchfeld oben im Portal den Suchbegriff Virtuelles Netzwerk ein. Wählen Sie Virtuelle Netzwerke aus.
Wählen Sie myVNet aus.
Wählen Sie in den Einstellungen von myVNet die Option Subnetze aus.
Wählen Sie das Subnetz Standard aus.
Wählen Sie im Bereich Subnetz bearbeiten unter Netzwerkrichtlinie für private Endpunkte das Kontrollkästchen Deaktiviert aus.
Wählen Sie Speichern.

Verwenden Sie Get-AzVirtualNetwork, Set-AzVirtualNetwork und Set-AzVirtualNetworkSubnetConfig, um die Richtlinie zu deaktivieren.

$net = @{
    Name = 'myVNet'
    ResourceGroupName = 'myResourceGroup'
}
$vnet = Get-AzVirtualNetwork @net

$sub = @{
    Name = 'default'
    VirtualNetwork = $vnet
    AddressPrefix = '10.1.0.0/24'
    PrivateEndpointNetworkPoliciesFlag = 'Disabled'
}
Set-AzVirtualNetworkSubnetConfig @sub

$vnet | Set-AzVirtualNetwork

Verwenden Sie az network vnet subnet update, um die Richtlinie zu deaktivieren.

az network vnet subnet update \
  --disable-private-endpoint-network-policies true \
  --name default \
  --resource-group myResourceGroup \
  --vnet-name myVNet

In diesem Abschnitt wird beschrieben, wie Sie Subnetzrichtlinien für private Endpunkte mithilfe einer ARM-Vorlage deaktivieren können.

{ 
          "name": "myVNet", 
          "type": "Microsoft.Network/virtualNetworks", 
          "apiVersion": "2019-04-01", 
          "location": "WestUS", 
          "properties": { 
                "addressSpace": { 
                     "addressPrefixes": [ 
                          "10.1.0.0/16" 
                        ] 
                  }, 
                  "subnets": [ 
                         { 
                                "name": "default", 
                                "properties": { 
                                    "addressPrefix": "10.1.0.0/24", 
                                    "privateEndpointNetworkPolicies": "Disabled" 
                                 } 
                         } 
                  ] 
          } 
}

Wichtig

Es gibt Einschränkungen für private Endpunkte in Bezug auf das Netzwerkrichtlinien-Feature, Netzwerksicherheitsgruppen und benutzerdefinierte Routen. Weitere Informationen finden Sie unter Einschränkungen.

Nächste Schritte

In dieser Schrittanleitung haben Sie Netzwerkrichtlinien für private Endpunkte in einem virtuellen Azure-Netzwerk aktiviert und deaktiviert. Sie haben erfahren, wie Sie das Azure-Portal, Azure PowerShell, Azure CLI und Azure Resource Manager-Vorlagen verwenden, um Netzwerkrichtlinien für private Endpunkte zu verwalten.

Weitere Informationen zu den Diensten, die private Endpunkte unterstützen, finden Sie unter:

Was ist ein privater Endpunkt?

Freigeben über

Verwalten von Netzwerkrichtlinien für private Endpunkte

Aktivieren von Netzwerkrichtlinien

Deaktivieren von Netzwerkrichtlinien

Nächste Schritte

Feedback

Zusätzliche Ressourcen