Verwalten von Netzwerkrichtlinien für private Endpunkte

Standardmäßig sind Netzwerkrichtlinien für ein Subnetz in einem virtuellen Netzwerk deaktiviert. Um Netzwerkrichtlinien wie benutzerdefinierte Routen und Netzwerksicherheitsgruppenunterstützung zu verwenden, muss die Netzwerkrichtlinienunterstützung für das Subnetz aktiviert sein. Diese Einstellung gilt nur für private Endpunkte im Subnetz und wirkt sich auf alle privaten Endpunkte im Subnetz aus. Für andere Ressourcen im Subnetz wird der Zugriff basierend auf Sicherheitsregeln in der Netzwerksicherheitsgruppe gesteuert.

Sie können Netzwerkrichtlinien nur für Netzwerksicherheitsgruppen, nur für benutzerdefinierte Routen oder für beides aktivieren.

Wenn Sie Netzwerksicherheitsrichtlinien für benutzerdefinierte Routen aktivieren, können Sie ein benutzerdefiniertes Adresspräfix verwenden, das dem virtuellen Netzwerkadressraum entspricht oder größer ist, um die vom privaten Endpunkt verteilte /32-Standardroute ungültig zu machen. Diese Funktion kann nützlich sein, wenn Sie sicherstellen möchten, dass Anforderungen für private Endpunktverbindungen eine Firewall oder eine virtuelle Anwendung durchlaufen. Andernfalls sendet die Standardroute "/32" Datenverkehr direkt an den privaten Endpunkt gemäß dem längsten Präfix-Übereinstimmungsalgorithmus.

Wichtig

Um eine private Endpunktroute ungültig zu machen, müssen benutzerdefinierte Routen ein Präfix aufweisen, das dem virtuellen Netzwerkadressraum entspricht oder größer ist, in dem der private Endpunkt bereitgestellt wird. Beispielsweise werden bei einer benutzerdefinierten Route (0.0.0.0/0/0) keine privaten Endpunktrouten ungültig. Netzwerkrichtlinien sollten in dem Subnetz aktiviert sein, das den privaten Endpunkt hostet.

Führen Sie die folgenden Schritte aus, um die Netzwerkrichtlinie für private Endpunkte zu aktivieren oder zu deaktivieren:

  • Azure-Portal
  • Azure PowerShell
  • Azure-Befehlszeilenschnittstelle
  • Azure Resource Manager-Vorlagen (ARM-Vorlagen)

In den folgenden Beispielen wird beschrieben, wie Sie ein virtuelles Netzwerk myVNet mit einem default Subnetz aktivieren und deaktivierenPrivateEndpointNetworkPolicies, das 10.1.0.0/24 in einer Ressourcengruppe mit dem Namen myResourceGroupgehostet wird.

Aktivieren von Netzwerkrichtlinien

  1. Melden Sie sich beim Azure-Portal an.

  2. Geben Sie im Suchfeld oben im Portal den Suchbegriff Virtuelles Netzwerk ein. Wählen Sie Virtuelle Netzwerke aus.

  3. Wählen Sie myVNet aus.

  4. Wählen Sie in den Einstellungen von myVNet die Option Subnetze aus.

  5. Wählen Sie das Subnetz Standard aus.

  6. Aktivieren Sie in den Eigenschaften für das Standardsubnetz die Kontrollkästchen für Netzwerksicherheitsgruppen, Routingtabellen oder beides in DER NETZWERKRICHTLINIE FÜR PRIVATE ENDPUNKTE.

  7. Wählen Sie Speichern.

Deaktivieren von Netzwerkrichtlinien

  1. Melden Sie sich beim Azure-Portal an.

  2. Geben Sie im Suchfeld oben im Portal den Suchbegriff Virtuelles Netzwerk ein. Wählen Sie Virtuelle Netzwerke aus.

  3. Wählen Sie myVNet aus.

  4. Wählen Sie in den Einstellungen von myVNet die Option Subnetze aus.

  5. Wählen Sie das Subnetz Standard aus.

  6. Wählen Sie in den Eigenschaften für das Standardsubnetz unter NETZWERKRICHTLINIE FÜR PRIVATE ENDPUNKTE die Option Deaktiviert aus.

  7. Wählen Sie Speichern aus.

Wichtig

Es gibt Einschränkungen für private Endpunkte in Bezug auf das Netzwerkrichtlinienfeature und Netzwerksicherheitsgruppen und benutzerdefinierte Routen. Weitere Informationen finden Sie unter Einschränkungen.

Nächste Schritte