既定では、仮想ネットワーク内のサブネットに対してネットワーク ポリシーは無効になっています。 ユーザー定義ルートやネットワーク セキュリティ グループのサポートなどのネットワーク ポリシーを使用するには、サブネットに対してネットワーク ポリシーのサポートを有効にする必要があります。 この設定は、サブネット内のプライベート エンドポイントにのみ適用され、サブネット内のすべてのプライベート エンドポイントに影響します。 サブネット内の他のリソースについては、ネットワーク セキュリティ グループのセキュリティ規則に基づいてアクセスが制御されます。
ネットワーク ポリシーは、ネットワーク セキュリティ グループのみ、ユーザー定義ルートのみ、またはその両方に対して有効にすることができます。
ユーザー定義ルートに対してネットワーク セキュリティ ポリシーを有効にする場合は、仮想ネットワーク アドレス空間プレフィックスの長さ以上のカスタム アドレス プレフィックス長 (サブネット マスク) を使用して、プライベート エンドポイントによって伝達される /32 の既定のルートをオーバーライドできます。 この機能は、プライベート エンドポイント接続要求がファイアウォールまたは仮想アプライアンスを確実に通過するようにしたい場合に役立つ可能性があります。 それ以外の場合、/32 の既定のルートでは、プレフィックスの最長一致アルゴリズムに従って、トラフィックがプライベート エンドポイントに直接送信されます。
重要
プライベート エンドポイント ルートをオーバーライドするには、ユーザー定義ルートのプレフィックス サイズが、プライベート エンドポイントがプロビジョニングされている仮想ネットワーク アドレス空間以下である必要があります。 たとえば、ユーザー定義ルートの既定のルート (0.0.0.0/0) は、プライベート エンドポイントのアドレス空間よりも広い範囲をカバーするため、プライベート エンドポイント ルートをオーバーライドしません。 プレフィックスの一致ルールが最も長いほど、より具体的なアドレス プレフィックスに優先順位が高くなります。 さらに、プライベート エンドポイントをホストするサブネットでネットワーク ポリシーが有効になっていることを確認します。
プライベート エンドポイントのネットワーク ポリシーを有効または無効にするには、次の手順を使用します。
- Azure Portal
- Azure PowerShell
- Azure CLI(Azure コマンドライン インターフェイス)
- Azure Resource Manager テンプレート (ARM テンプレート)
以下の例では、PrivateEndpointNetworkPolicies という名前のリソース グループ内でホストされている myVNet という default サブネットを持つ 10.1.0.0/24 という名前の仮想ネットワークの myResourceGroup を有効または無効にする方法について説明します。
ネットワーク ポリシーを有効にする
プライベート エンドポイントのネットワーク セキュリティ グループおよびルート テーブルを構成するには、次の手順に従います。
Azure portal にサインインします。
ポータルの上部にある検索ボックスに、「仮想ネットワーク」と入力します。
[仮想ネットワーク] を選択します。
[myVNet] を選択します。
myVNET の設定で、[サブネット] を選択します。
既定のサブネットを選択します。
[サブネットの編集] ペインの [プライベート エンドポイントのネットワーク ポリシー] で、必要に応じてネットワーク セキュリティ グループまたはルート テーブルのボックスをオンにします。
[保存] を選択します。
ポリシーを有効にするには、Get-AzVirtualNetwork、Set-AzVirtualNetworkSubnetConfig、および Set-AzVirtualNetwork を使用します。
$net = @{
Name = 'myVNet'
ResourceGroupName = 'myResourceGroup'
}
$vnet = Get-AzVirtualNetwork @net
$sub = @{
Name = 'default'
VirtualNetwork = $vnet
AddressPrefix = '10.1.0.0/24'
PrivateEndpointNetworkPoliciesFlag = 'Enabled' # Can be either 'Disabled', 'NetworkSecurityGroupEnabled', 'RouteTableEnabled', or 'Enabled'
}
Set-AzVirtualNetworkSubnetConfig @sub
$vnet | Set-AzVirtualNetwork
ポリシーを有効にするには、az network vnet subnet update を使用します。 Azure CLI では、値 true または false のみをサポートします。 ユーザー定義ルートまたはネットワーク セキュリティ グループに対してのみ、ポリシーを選択的に有効にすることはできません。
az network vnet subnet update \
--disable-private-endpoint-network-policies false \
--name default \
--resource-group myResourceGroup \
--vnet-name myVNet
このセクションでは、ARM テンプレートを使用して、サブネットのプライベート エンドポイント ポリシーを有効にする方法について説明します。
privateEndpointNetworkPolicies で有効な値は、Disabled、NetworkSecurityGroupEnabled、RouteTableEnabled、Enabled です。
{
"name": "myVNet",
"type": "Microsoft.Network/virtualNetworks",
"apiVersion": "2019-04-01",
"___location": "WestUS",
"properties": {
"addressSpace": {
"addressPrefixes": [
"10.1.0.0/16"
]
},
"subnets": [
{
"name": "default",
"properties": {
"addressPrefix": "10.1.0.0/24",
"privateEndpointNetworkPolicies": "Enabled"
}
}
]
}
}
ネットワーク ポリシーを無効にする
Azure portal にサインインします。
ポータルの上部にある検索ボックスに、「仮想ネットワーク」と入力します。
[仮想ネットワーク] を選択します。
[myVNet] を選択します。
myVNET の設定で、[サブネット] を選択します。
既定のサブネットを選択します。
[サブネットの編集] ペインの [プライベート エンドポイントのネットワーク ポリシー] で、[無効化] のボックスをオンにします。
[保存] を選択します。
ポリシーを無効にするには、Get-AzVirtualNetwork、Set-AzVirtualNetwork、および Set-AzVirtualNetworkSubnetConfig を使用します。
$net = @{
Name = 'myVNet'
ResourceGroupName = 'myResourceGroup'
}
$vnet = Get-AzVirtualNetwork @net
$sub = @{
Name = 'default'
VirtualNetwork = $vnet
AddressPrefix = '10.1.0.0/24'
PrivateEndpointNetworkPoliciesFlag = 'Disabled'
}
Set-AzVirtualNetworkSubnetConfig @sub
$vnet | Set-AzVirtualNetwork
ポリシーを無効にするには、az network vnet subnet update を使用します。
az network vnet subnet update \
--disable-private-endpoint-network-policies true \
--name default \
--resource-group myResourceGroup \
--vnet-name myVNet
このセクションでは、ARM テンプレートを使用して、サブネットのプライベート エンドポイント ポリシーを無効にする方法について説明します。
{
"name": "myVNet",
"type": "Microsoft.Network/virtualNetworks",
"apiVersion": "2019-04-01",
"___location": "WestUS",
"properties": {
"addressSpace": {
"addressPrefixes": [
"10.1.0.0/16"
]
},
"subnets": [
{
"name": "default",
"properties": {
"addressPrefix": "10.1.0.0/24",
"privateEndpointNetworkPolicies": "Disabled"
}
}
]
}
}
重要
プライベート エンドポイントには、ネットワーク ポリシー機能、ネットワーク セキュリティ グループ、ユーザー定義ルートに関する制限があります。 詳細については、制限に関するページを参照してください。
次のステップ
この攻略ガイドでは、Azure 仮想ネットワークでプライベート エンドポイントのネットワーク ポリシーを有効および無効にしました。 Azure portal、Azure PowerShell、Azure CLI、Azure Resource Manager テンプレートを使用して、プライベート エンドポイントのネットワーク ポリシーを管理する方法について学びました。
プライベート エンドポイントをサポートするサービスの詳細については、以下を参照してください。