Gérer les stratégies réseau pour les points de terminaison privés

Article
12/22/2024

Par défaut, les stratégies réseau sont désactivées pour un sous-réseau dans un réseau virtuel. Pour utiliser des stratégies réseau telles que les itinéraires définis par l’utilisateur et la prise en charge du groupe de sécurité réseau, la prise en charge de la stratégie réseau doit être activée pour le sous-réseau. Ce paramètre s’applique uniquement aux points de terminaison privés dans le sous-réseau et affecte tous les points de terminaison privés du sous-réseau. Pour les autres ressources du sous-réseau, l’accès est contrôlé en fonction des règles de sécurité du groupe de sécurité réseau.

Vous pouvez activer les stratégies réseau pour les groupes de sécurité réseau uniquement, pour les itinéraires définis par l’utilisateur uniquement ou pour les deux.

Si vous activez les stratégies de sécurité réseau pour les itinéraires définis par l’utilisateur, vous pouvez utiliser une longueur de préfixe d’adresse personnalisée (masque de sous-réseau) égale ou supérieure à la longueur du préfixe de l’espace d’adressage du réseau virtuel pour invalider l’itinéraire par défaut /32 propagé par le point de terminaison privé. Cette capacité peut être utile si vous souhaitez vous assurer que les demandes de connexion de point de terminaison privé passent par un pare-feu ou une appliance virtuelle. Sinon, l’itinéraire par défaut /32 envoie le trafic directement au point de terminaison privé conformément à l’algorithme de correspondance de préfixe le plus long.

Important

Pour invalider un itinéraire de point de terminaison privé, les itinéraires définis par l’utilisateur doivent avoir une taille de préfixe égale ou inférieure à l’espace d’adressage du réseau virtuel où le point de terminaison privé est provisionné. Par exemple, un itinéraire par défaut défini par l’utilisateur (0.0.0.0/0) n’invalide pas les itinéraires de point de terminaison privé, car il couvre une plage plus large que l’espace d’adressage du point de terminaison privé. La règle de correspondance de préfixe le plus long accorde une priorité supérieure aux préfixes d’adresses plus spécifiques. En outre, vérifiez que les stratégies réseau sont activées dans le sous-réseau hébergeant le point de terminaison privé.

Pour activer ou désactiver la stratégie réseau pour les points de terminaison privés, procédez comme suit :

Azure portal
Azure PowerShell
Azure CLI
Modèles Azure Resource Manager (modèles ARM)

Les exemples suivants décrivent comment activer et désactiver PrivateEndpointNetworkPolicies pour un réseau virtuel nommé myVNet avec un sous-réseau default de 10.1.0.0/24 hébergé dans un groupe de ressources nommé myResourceGroup.

Activer la stratégie réseau

Suivez les étapes ci-dessous pour configurer des groupes de sécurité réseau et des tables de routage pour vos points de terminaison privés.

Connectez-vous au portail Azure.
Dans la zone de recherche située en haut du portail, entrez Réseau virtuel. Sélectionner Réseaux virtuels.
Sélectionnez myVNet.
Dans les paramètres de myVNet, sélectionnez Sous-réseaux.
Sélectionnez le sous-réseau par défaut.
Dans le volet Modifier le sous-réseau, sous Stratégie réseau pour les points de terminaison privés, cochez les cases Groupes de sécurité réseau ou Tables de routage si nécessaire.
Cliquez sur Enregistrer.

Utilisez Get-AzVirtualNetwork, Set-AzVirtualNetworkSubnetConfig et Set-AzVirtualNetwork pour activer la stratégie.

$net = @{
    Name = 'myVNet'
    ResourceGroupName = 'myResourceGroup'
}
$vnet = Get-AzVirtualNetwork @net

$sub = @{
    Name = 'default'
    VirtualNetwork = $vnet
    AddressPrefix = '10.1.0.0/24'
    PrivateEndpointNetworkPoliciesFlag = 'Enabled'  # Can be either 'Disabled', 'NetworkSecurityGroupEnabled', 'RouteTableEnabled', or 'Enabled'
}
Set-AzVirtualNetworkSubnetConfig @sub

$vnet | Set-AzVirtualNetwork

Utilisez az network vnet subnet update pour désactiver la stratégie. Azure CLI prend uniquement en charge les valeurs true ou false. Azure CLI ne permet pas d’activer les stratégies de manière sélective uniquement pour les itinéraires définis par l’utilisateur ou les groupes de sécurité réseau :

az network vnet subnet update \
  --disable-private-endpoint-network-policies false \
  --name default \
  --resource-group myResourceGroup \
  --vnet-name myVNet

Cette section explique comment activer les stratégies des points de terminaison privés d’un sous-réseau à l’aide d’un modèle ARM. Les valeurs possibles pour privateEndpointNetworkPolicies sont Disabled, NetworkSecurityGroupEnabled, RouteTableEnabled et Enabled.

{ 
          "name": "myVNet", 
          "type": "Microsoft.Network/virtualNetworks", 
          "apiVersion": "2019-04-01", 
          "location": "WestUS", 
          "properties": { 
                "addressSpace": { 
                     "addressPrefixes": [ 
                          "10.1.0.0/16" 
                        ] 
                  }, 
                  "subnets": [ 
                         { 
                                "name": "default", 
                                "properties": { 
                                    "addressPrefix": "10.1.0.0/24", 
                                    "privateEndpointNetworkPolicies": "Enabled" 
                                 } 
                         } 
                  ] 
          } 
}

Désactiver la stratégie réseau

Connectez-vous au portail Azure.
Dans la zone de recherche située en haut du portail, entrez Réseau virtuel. Sélectionner Réseaux virtuels.
Sélectionnez myVNet.
Dans les paramètres de myVNet, sélectionnez Sous-réseaux.
Sélectionnez le sous-réseau par défaut.
Dans le volet Modifier le sous-réseau, sous Stratégie réseau pour les points de terminaison privés, cochez la case Désactivé.
Cliquez sur Enregistrer.

Utilisez Get-AzVirtualNetwork, Set-AzVirtualNetwork et Set-AzVirtualNetworkSubnetConfig pour désactiver la stratégie.

$net = @{
    Name = 'myVNet'
    ResourceGroupName = 'myResourceGroup'
}
$vnet = Get-AzVirtualNetwork @net

$sub = @{
    Name = 'default'
    VirtualNetwork = $vnet
    AddressPrefix = '10.1.0.0/24'
    PrivateEndpointNetworkPoliciesFlag = 'Disabled'
}
Set-AzVirtualNetworkSubnetConfig @sub

$vnet | Set-AzVirtualNetwork

Utilisez az network vnet subnet update pour désactiver la stratégie.

az network vnet subnet update \
  --disable-private-endpoint-network-policies true \
  --name default \
  --resource-group myResourceGroup \
  --vnet-name myVNet

Cette section explique comment désactiver les stratégies des points de terminaison privés d’un sous-réseau à l’aide d’un modèle ARM.

{ 
          "name": "myVNet", 
          "type": "Microsoft.Network/virtualNetworks", 
          "apiVersion": "2019-04-01", 
          "location": "WestUS", 
          "properties": { 
                "addressSpace": { 
                     "addressPrefixes": [ 
                          "10.1.0.0/16" 
                        ] 
                  }, 
                  "subnets": [ 
                         { 
                                "name": "default", 
                                "properties": { 
                                    "addressPrefix": "10.1.0.0/24", 
                                    "privateEndpointNetworkPolicies": "Disabled" 
                                 } 
                         } 
                  ] 
          } 
}

Important

Les points de terminaison privés sont limités par rapport à la fonctionnalité de stratégie réseau, aux groupes de sécurité réseau et aux itinéraires définis par l’utilisateur. Pour plus d’informations, consultez Limitations.

Étapes suivantes

Dans ce guide pratique, vous avez activé et désactivé des stratégies réseau pour les points de terminaison privés dans un réseau virtuel Azure. Vous avez appris à utiliser le portail Azure, Azure PowerShell, Azure CLI et les modèles Azure Resource Manager pour gérer les stratégies réseau pour les points de terminaison privés.

Pour plus d’informations sur les services qui prennent en charge les points de terminaison privés, consultez :

Qu'est-ce qu'un point de terminaison privé ?

Partager via

Gérer les stratégies réseau pour les points de terminaison privés

Activer la stratégie réseau

Désactiver la stratégie réseau

Étapes suivantes

Commentaires

Ressources supplémentaires