ميزات شبكة خدمة التطبيقات

  • مقالة
  • قراءة خلال 18 دقائق

يمكنك نشر التطبيقات في Azure App Service بطرق متعددة. بشكل افتراضي، يمكن الوصول إلى التطبيقات المستضافة في App Service مباشرة من خلال الإنترنت ويمكن أن تصل إلى نقاط النهاية المستضافة عبر الإنترنت فقط. ولكن بالنسبة للعديد من التطبيقات، تحتاج إلى التحكم في نسبة استخدام الشبكة الواردة والصادرة. هناك العديد من الميزات في App Service لمساعدتك على تلبية هذه الاحتياجات. التحدي هو معرفة الميزة التي يجب استخدامها لحل مشكلة معينة. ستساعدك هذه المقالة في تحديد الميزة التي تريد استخدامها، استنادا إلى بعض الأمثلة على حالات الاستخدام.

هناك نوعان رئيسيان من النشر لخدمة Azure App:

  • تستضيف الخدمة العامة متعددة المستأجرين خطط خدمة التطبيقات في وحدات SKU المجانية والمشتركة والأساسية والقياسية Premium و PremiumV2 و PremiumV3.
  • تستضيف بيئة خدمة التطبيقات ذات المستأجر الواحد (ASE) خطط خدمة تطبيقات SKU المعزولة مباشرة في شبكة Azure الظاهرية.

تعتمد الميزات التي تستخدمها على ما إذا كنت في الخدمة متعددة المستأجرين أو في بورصة عمان.

ملاحظة

لا تتوفر ميزات الشبكة للتطبيقات التي يتم نشرها في Azure Arc.

ميزات شبكة خدمة التطبيقات متعددة المستأجرين

خدمة Azure App Service هي نظام موزع. تسمى الأدوار التي تعالج طلبات HTTP أو HTTPS الواردة الواجهات الأمامية. تسمى الأدوار التي تستضيف حمل عمل العميل العمال. توجد جميع الأدوار في نشر App Service في شبكة متعددة المستأجرين. نظراً لوجود العديد من العملاء المختلفين في الخوادم المخصصة لخدمة App Service نفسها، لا يمكنك توصيل شبكة خدمة App Service مباشرة بالشبكة الخاصة بك.

بدلاً من الاتصال بالشبكات، تحتاج إلى ميزات للتعامل مع مختلف جوانب الاتصال بالتطبيق. لا يمكن استخدام الميزات التي تتعامل مع الطلبات إلى تطبيقك لحل المشكلات عند إجراء مكالمات من تطبيقك. وبالمثل، لا يمكن استخدام الميزات التي تحل مشكلات المكالمات من التطبيق لحل المشكلات في تطبيقك.

الميزات الواردة الميزات الصادرة
عنوان معين بواسطة التطبيق اتصالات مختلطة
قيود الوصول تكامل الشبكة الظاهرية المطلوبة للبوابة
نقاط نهاية الخدمة تكامل الشبكة الظاهرية
نقاط النهاية الخاصة

بخلاف الاستثناءات الملحوظة، يمكنك استخدام كل هذه الميزات معا. يمكنك مزج الميزات لحل مشاكلك.

حالات الاستخدام والميزات

بالنسبة لأي حالة استخدام معينة ، قد تكون هناك بعض الطرق لحل المشكلة. اختيار أفضل ميزة يتجاوز أحيانا حالة الاستخدام نفسها. تقترح حالات الاستخدام الواردة التالية كيفية استخدام ميزات شبكة App Service لحل المشكلات المتعلقة بالتحكم في حركة المرور المتجهة إلى تطبيقك:

حالة الاستخدام الواردة الميزة
دعم احتياجات SSL المستندة إلى بروتوكول الإنترنت لتطبيقك عنوان معين بواسطة التطبيق
دعم عنوان وارد مخصص غير مشترك لتطبيقك عنوان معين بواسطة التطبيق
تقييد الوصول إلى تطبيقك من مجموعة من العناوين المحددة جيداً قيود الوصول
تقييد الوصول إلى تطبيقك من الموارد الموجودة في شبكة افتراضية نقاط نهاية الخدمة موازن التحميل الداخلي (ILB) نقاط
النهاية الخاصة لبورصة
عمان
عرض تطبيقك على عنوان IP خاص في شبكتك الافتراضية ILB ASE
نقاط النهاية الخاصة IP خاص لحركة المرور الواردة على مثيل بوابة التطبيق مع نقاط
نهاية الخدمة
حماية تطبيقك باستخدام جدار حماية تطبيق ويب (WAF) بوابة التطبيق وبوابة تطبيق ILB ASE
مع بوابة تطبيق نقاط النهاية الخاصة مع نقاط

نهاية الخدمة Azure Front Door مع قيود الوصول
تحميل زيارات الرصيد إلى تطبيقاتك في مناطق مختلفة Azure Front Door مع قيود الوصول
حركة مرور ميزان التحميل في نفس المنطقة بوابة التطبيق مع نقاط نهاية الخدمة

تقترح حالات الاستخدام الصادرة التالية كيفية استخدام ميزات شبكة خدمة التطبيقات لحل احتياجات الوصول الصادر لتطبيقك:

حالة الاستخدام الصادرة الميزة
الوصول إلى الموارد في شبكة Azure الظاهرية في نفس المنطقة تكامل
الشبكة الافتراضية ASE
الوصول إلى الموارد في شبكة Azure الظاهرية في منطقة مختلفة تكامل الشبكة الافتراضية والشبكة الافتراضية النظيرة
البوابة المطلوبة تكامل
الشبكة الافتراضية ASE ونظير الشبكة الافتراضية
الوصول إلى الموارد الآمنة باستخدام نقاط نهاية الخدمة تكامل
الشبكة الافتراضية بورصة عمان
الوصول إلى الموارد في شبكة خاصة غير متصلة ب Azure اتصالات مختلطة
الوصول إلى الموارد عبر دوائر Azure ExpressRoute تكامل
الشبكة الافتراضية بورصة عمان
تأمين حركة المرور الصادرة من تطبيق الويب الخاص بك تكامل الشبكة الافتراضية ومجموعات
أمن الشبكات ASE
توجيه حركة المرور الصادرة من تطبيق الويب الخاص بك تكامل الشبكة الافتراضية وجداول
المسارات ASE

سلوك الشبكات الافتراضي

تدعم الخوادم المخصصة لخدمة Azure App Service العديد من العملاء في كل عملية توزيع. تستضيف خطط SKU المجانية والمشتركة أعباء عمل العملاء على العمال المتعددي المستأجرين. تستضيف الخطط الأساسية والأعلى أحمال عمل العملاء المخصصة لخطة App Service واحدة فقط. إذا كان لديك خطة App Service القياسية، سيتم تشغيل جميع التطبيقات في تلك الخطة على نفس العامل. إذا قمت بتوسيع نطاق العامل، سيتم نسخ جميع التطبيقات في خطة App Service هذه على عامل جديد لكل مثيل في خطة App Service.

العناوين الصادرة

يتم تقسيم الأجهزة الظاهرية للعامل في جزء كبير بواسطة خطط App Service. تستخدم الخطط المجانية والمشتركة والأساسية والقياسية والمتميزة نفس نوع الجهاز الظاهري للعامل. تستخدم الخطة المتميزة من الفئة 2 نوع جهاز ظاهري آخر. تستخدم الخطة المتميزة من الفئة 3 نوع جهاز ظاهري آخر. عند تغيير عائلة الأجهزة الظاهرية، ستحصل على مجموعة مختلفة من العناوين الصادرة. إذا قمت بالتغيير من قياسي إلى متميز من الفئة 2، سيتم تغيير عناوينك الصادرة. إذا قمت بالتغيير من متميز من الفئة 2 إلى متميز من الفئة 3، سيتم تغيير عناوينك الصادرة. في بعض الخوادم المخصصة الأقدم، سيتم تغيير كل من العناوين الواردة والصادرة عند التغيير من قياسي إلى متميز من الفئة 2.

هناك عدد من العناوين التي يتم استخدامها للمكالمات الصادرة. يتم سرد العناوين الصادرة المستخدمة من قبل تطبيقك لإجراء المكالمات الصادرة في خصائص التطبيق الخاص بك. تتم مشاركة هذه العناوين بواسطة كافة التطبيقات التي يتم تشغيلها على عائلة الأجهزة الظاهرية للعامل في توزيع App Service. إذا كنت تريد عرض جميع العناوين التي قد يستخدمها تطبيقك في خوادم مخصصة، فهناك خاصية تسمى possibleOutboundAddresses التي ستقوم بسردها.

Screenshot that shows app properties.

تحتوي خدمة التطبيقات على عدد من نقاط النهاية المستخدمة لإدارة الخدمة. يتم نشر هذه العناوين في وثيقة منفصلة وهي أيضا في AppServiceManagement علامة خدمة IP. AppServiceManagement يتم استخدام العلامة فقط في بيئات خدمة التطبيقات حيث تحتاج إلى السماح بحركة المرور هذه. يتم تعقب العناوين الواردة لخدمة التطبيقات في AppService علامة خدمة IP. لا توجد علامة خدمة IP تحتوي على العناوين الصادرة التي تستخدمها خدمة التطبيق.

Diagram that shows App Service inbound and outbound traffic.

عنوان معين بواسطة التطبيق

ميزة العنوان المعين للتطبيق هي فرع من إمكانية SSL المستندة إلى IP. يمكنك الوصول إليه عن طريق إعداد طبقة المقابس الآمنة (SSL) باستخدام تطبيقك. يمكنك استخدام هذه الميزة لمكالمات SSL المستندة إلى IP. يمكنك أيضا استخدامه لمنح تطبيقك عنوانا لا يملكه إلا هو.

Diagram that illustrates app-assigned address.

عند استخدام عنوان معين من قبل التطبيق، تظل حركة المرور الخاصة بك تمر عبر نفس أدوار الواجهة الأمامية التي تتعامل مع جميع الزيارات الواردة إلى وحدة مقياس خدمة التطبيق. ولكن العنوان الذي تم تعيينه لتطبيقك لا يستخدمه تطبيقك إلا من خلال تطبيقك. حالات الاستخدام لهذه الميزة:

  • دعم احتياجات SSL المستندة إلى IP لتطبيقك.
  • عين عنوانا مخصصا لتطبيقك غير مشترك.

لمعرفة كيفية تعيين عنوان على تطبيقك، راجع إضافة شهادة TLS/SSL في Azure App Service.

قيود الوصول

تتيح لك قيود الوصول تصفية الطلبات الواردة . يحدث إجراء التصفية على أدوار الواجهة الأمامية التي تكون في المنبع من أدوار العامل حيث يتم تشغيل تطبيقاتك. نظرا لأن أدوار الواجهة الأمامية هي في المنبع من العمال ، يمكنك التفكير في قيود الوصول كحماية على مستوى الشبكة لتطبيقاتك.

تتيح لك هذه الميزة إنشاء قائمة بقواعد السماح والرفض التي يتم تقييمها بترتيب الأولوية. إنها مشابهة لميزة مجموعة أمان الشبكة (NSG) في شبكات Azure. يمكنك استخدام هذه الميزة في بورصة عمان أو في خدمة المستأجرين المتعددين. عند استخدامه مع ILB ASE ، يمكنك تقييد الوصول من كتل العناوين الخاصة.

ملاحظة

يمكن تكوين ما يصل إلى 512 قاعدة تقييد وصول لكل تطبيق.

Diagram that illustrates access restrictions.

قواعد تقييد الوصول المستندة إلى بروتوكول الإنترنت

تساعد ميزة قيود الوصول المستندة إلى IP عندما تريد تقييد عناوين IP التي يمكن استخدامها للوصول إلى تطبيقك. يتم دعم كل من IPv4 و IPv6. بعض حالات الاستخدام لهذه الميزة:

  • تقييد الوصول إلى تطبيقك من مجموعة من العناوين المحددة جيدا.
  • تقييد الوصول إلى حركة المرور القادمة من خلال خدمة موازنة الأحمال الخارجية أو أجهزة الشبكة الأخرى ذات عناوين IP المعروفة للخروج.

لمعرفة كيفية تمكين هذه الميزة، راجع تكوين قيود الوصول.

ملاحظة

تتعامل قواعد تقييد الوصول المستندة إلى IP فقط مع نطاقات عناوين الشبكة الظاهرية عندما يكون تطبيقك في بيئة خدمة التطبيق. إذا كان تطبيقك في الخدمة متعددة المستأجرين، فستحتاج إلى استخدام نقاط نهاية الخدمة لتقييد حركة المرور لتحديد الشبكات الفرعية في شبكتك الظاهرية.

قواعد تقييد الوصول استنادا إلى نقاط نهاية الخدمة

تسمح لك نقاط نهاية الخدمة بتأمين الوصول الوارد إلى تطبيقك بحيث يجب أن يأتي عنوان المصدر من مجموعة من الشبكات الفرعية التي تحددها. تعمل هذه الميزة جنبا إلى جنب مع قيود الوصول إلى IP. نقاط نهاية الخدمة غير متوافقة مع تصحيح الأخطاء عن بعد. إذا كنت ترغب في استخدام تصحيح الأخطاء عن بعد مع تطبيقك، فلا يمكن أن يكون عميلك في شبكة فرعية تم تمكين نقاط نهاية الخدمة فيها. تشبه عملية تعيين نقاط نهاية الخدمة عملية تعيين قيود الوصول إلى IP. يمكنك إنشاء قائمة سماح/رفض لقواعد الوصول تتضمن العناوين العامة والشبكات الفرعية في شبكاتك الافتراضية.

ملاحظة

قواعد تقييد الوصول المستندة إلى نقاط نهاية الخدمة غير مدعومة على التطبيقات التي تستخدم طبقة المقابس الآمنة المستندة إلى IP (العنوان المعين للتطبيق).

بعض حالات الاستخدام لهذه الميزة:

  • قم بإعداد بوابة تطبيق مع تطبيقك لتأمين حركة المرور الواردة إلى تطبيقك.
  • تقييد الوصول إلى تطبيقك إلى الموارد الموجودة في شبكتك الافتراضية. يمكن أن تتضمن هذه الموارد الأجهزة الظاهرية أو ASEs أو حتى التطبيقات الأخرى التي تستخدم تكامل الشبكة الافتراضية.

Diagram that illustrates the use of service endpoints with Application Gateway.

لمعرفة المزيد حول تكوين نقاط نهاية الخدمة باستخدام تطبيقك، راجع قيود الوصول إلى خدمة تطبيقات Azure.

قواعد تقييد الوصول استنادا إلى علامات الخدمة

علامات خدمة Azure هي مجموعات محددة جيدا من عناوين IP لخدمات Azure. تجمع علامات الخدمة نطاقات IP المستخدمة في خدمات Azure المختلفة وغالبا ما يتم أيضا توسيع نطاقها لمناطق محددة. يتيح لك ذلك تصفية حركة المرور الواردة من خدمات Azure محددة.

للحصول على قائمة كاملة بالعلامات والمزيد من المعلومات، تفضل بزيارة رابط علامة الخدمة أعلاه. لمعرفة كيفية تمكين هذه الميزة، راجع تكوين قيود الوصول.

تصفية رأس HTTP لقواعد تقييد الوصول

لكل قاعدة تقييد وصول، يمكنك إضافة تصفية إضافية لرأس http. يتيح لك ذلك فحص الطلب الوارد والتصفية بشكل أكبر استنادا إلى قيم رأس http محددة. يمكن أن يحتوي كل رأس على ما يصل إلى ثماني قيم لكل قاعدة. القائمة التالية من رؤوس http مدعومة حاليا:

  • X-Forwarded-For
  • X-Forwarded-Host
  • X-Azure-FDID
  • X-FD-HealthProbe

بعض حالات الاستخدام لتصفية رأس http هي:

  • تقييد الوصول إلى حركة المرور من الخوادم الوكيلة التي تعيد توجيه اسم المضيف
  • تقييد الوصول إلى مثيل Azure Front Door معين باستخدام قاعدة علامة خدمة وتقييد رأس X-Azure-FDID

نقطة نهاية خاصة

نقطة النهاية الخاصة هي واجهة شبكة توصلك بشكل خاص وآمن بتطبيق الويب الخاص بك عن طريق ارتباط Azure الخاص. تستخدم نقطة النهاية الخاصة عنوان IP خاص من شبكتك الافتراضية ، مما يؤدي إلى جلب تطبيق الويب بشكل فعال إلى شبكتك الافتراضية. هذه الميزة مخصصة فقط للتدفقات الواردة إلى تطبيق الويب الخاص بك. لمزيد من المعلومات، راجع استخدام نقاط النهاية الخاصة ل Azure Web App.

بعض حالات الاستخدام لهذه الميزة:

  • تقييد الوصول إلى تطبيقك من الموارد الموجودة في شبكة افتراضية.
  • اعرض تطبيقك على عنوان IP خاص في شبكتك الافتراضية.
  • احم تطبيقك باستخدام WAF.

تمنع نقاط النهاية الخاصة استخراج البيانات لأن الشيء الوحيد الذي يمكنك الوصول إليه عبر نقطة النهاية الخاصة هو التطبيق الذي تم تكوينه من خلاله.

اتصالات مختلطة

تمكن خدمة التطبيقات المختلطة الاتصالات تطبيقاتك من إجراء مكالمات صادرة إلى نقاط نهاية TCP محددة. يمكن أن تكون نقطة النهاية محلية أو في شبكة ظاهرية أو في أي مكان يسمح بحركة المرور الصادرة إلى Azure على المنفذ 443. لاستخدام هذه الميزة، تحتاج إلى تثبيت عامل ترحيل يسمى إدارة الاتصالات المختلط على مضيف Windows Server 2012 أو مضيف أحدث. يجب أن يتمكن إدارة الاتصالات المختلط من الوصول إلى Azure Relay في المنفذ 443. يمكنك تنزيل إدارة الاتصالات المختلطة من واجهة مستخدم اتصالات التطبيقات المختلطة في البوابة الإلكترونية.

Diagram that shows the Hybrid Connections network flow.

تم بناء اتصالات App Service المختلطة على إمكانية Azure Relay Hybrid Connections. تستخدم خدمة التطبيقات شكلا متخصصا من الميزة التي تدعم فقط إجراء المكالمات الصادرة من تطبيقك إلى مضيف TCP ومنفذه. يحتاج هذا المضيف والمنفذ فقط إلى حل المضيف حيث تم تثبيت Hybrid إدارة الاتصالات.

عندما يقوم التطبيق، في App Service، بإجراء بحث DNS على المضيف والمنفذ المحددين في الاتصال المختلط، تقوم حركة المرور تلقائيا بإعادة التوجيه للانتقال عبر الاتصال المختلط والخروج من إدارة الاتصالات المختلطة. لمعرفة المزيد، راجع اتصالات خدمة التطبيقات المختلطة.

تستخدم هذه الميزة عادة من أجل:

  • يمكنك الوصول إلى الموارد في الشبكات الخاصة غير المتصلة ب Azure باستخدام VPN أو ExpressRoute.
  • دعم ترحيل التطبيقات المحلية إلى App Service دون الحاجة إلى نقل قواعد البيانات الداعمة.
  • وفر إمكانية الوصول بأمان محسن إلى مضيف واحد ومنفذ واحد لكل اتصال مختلط. معظم ميزات الشبكات تفتح الوصول إلى الشبكة. باستخدام الاتصالات المختلطة، يمكنك الوصول إلى مضيف ومنفذ واحد فقط.
  • تغطية السيناريوهات التي لا تغطيها طرق الاتصال الصادرة الأخرى.
  • قم بإجراء التطوير في App Service بطريقة تسمح للتطبيقات باستخدام الموارد المحلية بسهولة.

نظرا لأن هذه الميزة تتيح الوصول إلى الموارد المحلية بدون فتحة جدار حماية واردة ، فهي شائعة بين المطورين. ترتبط ميزات شبكة خدمة التطبيقات الصادرة الأخرى بشبكة Azure الظاهرية. لا تعتمد الاتصالات المختلطة على المرور عبر شبكة افتراضية. يمكن استخدامه لمجموعة واسعة من احتياجات الشبكات.

لاحظ أن اتصالات App Service المختلطة غير مدركة لما تفعله فوقها. حتى تتمكن من استخدامه للوصول إلى قاعدة بيانات أو خدمة ويب أو مقبس TCP تعسفي على كمبيوتر مركزي. الميزة أساسا أنفاق حزم TCP.

تحظى الاتصالات الهجينة بشعبية كبيرة في التطوير ، ولكنها تستخدم أيضا في تطبيقات الإنتاج. إنه أمر رائع للوصول إلى خدمة ويب أو قاعدة بيانات ، ولكنه غير مناسب للمواقف التي تنطوي على إنشاء العديد من الاتصالات.

تكامل الشبكة الظاهرية المطلوبة للبوابة

يتيح تكامل الشبكة الظاهرية لخدمة التطبيقات المطلوبة من البوابة لتطبيقك تقديم طلبات صادرة إلى شبكة Azure الظاهرية. تعمل الميزة عن طريق توصيل المضيف الذي يعمل عليه تطبيقك ببوابة شبكة افتراضية على شبكتك الافتراضية باستخدام VPN من نقطة إلى موقع. عند تكوين الميزة، يحصل تطبيقك على أحد عناوين الإشارة إلى الموقع المعينة لكل مثيل. تمكنك هذه الميزة من الوصول إلى الموارد في الشبكات الكلاسيكية أو Azure Resource Manager الظاهرية في أي منطقة.

Diagram that illustrates gateway-required virtual network integration.

تعمل هذه الميزة على حل مشكلة الوصول إلى الموارد في الشبكات الافتراضية الأخرى. يمكن استخدامه حتى للاتصال من خلال شبكة افتراضية إما بشبكات افتراضية أخرى أو محلية. لا يعمل مع الشبكات الافتراضية المتصلة ب ExpressRoute ، ولكنه يعمل مع الشبكات المتصلة ب VPN من موقع إلى موقع. عادة ما يكون من غير المناسب استخدام هذه الميزة من تطبيق في بيئة خدمة التطبيق (ASE) لأن بورصة عمان موجودة بالفعل في شبكتك الافتراضية. حالات الاستخدام لهذه الميزة:

  • الوصول إلى الموارد في الشبكات الافتراضية عبر المناطق التي لا ترتبط بشبكة افتراضية في المنطقة.

عند تمكين هذه الميزة، سيستخدم تطبيقك خادم DNS الذي تم تكوين الشبكة الظاهرية الوجهة به. لمزيد من المعلومات حول هذه الميزة، راجع تكامل الشبكة الظاهرية لخدمة التطبيقات.

تكامل الشبكة الظاهرية الإقليمي

يعد تكامل الشبكة الافتراضية المطلوب بواسطة البوابة مفيدا ، ولكنه لا يحل مشكلة الوصول إلى الموارد عبر ExpressRoute. علاوة على الحاجة إلى الوصول عبر اتصالات ExpressRoute ، هناك حاجة إلى أن تكون التطبيقات قادرة على إجراء مكالمات إلى الخدمات المضمونة بواسطة نقطة نهاية الخدمة. يمكن لقدرة تكامل الشبكة الافتراضية الأخرى تلبية هذه الاحتياجات.

تمكنك ميزة تكامل الشبكة الافتراضية الإقليمية من وضع الواجهة الخلفية لتطبيقك في شبكة فرعية في شبكة افتراضية Resource Manager في نفس منطقة تطبيقك. لا تتوفر هذه الميزة من بيئة خدمة التطبيق، الموجودة بالفعل في شبكة افتراضية. حالات الاستخدام لهذه الميزة:

  • الوصول إلى الموارد في Resource Manager الشبكات الافتراضية في نفس المنطقة.
  • الوصول إلى الموارد في الشبكات الافتراضية النظيرة، بما في ذلك الاتصالات عبر المناطق.
  • الوصول إلى الموارد المؤمنة باستخدام نقاط نهاية الخدمة.
  • الوصول إلى الموارد التي يمكن الوصول إليها عبر اتصالات ExpressRoute أو VPN.
  • الوصول إلى الموارد في الشبكات الخاصة دون الحاجة إلى بوابة الشبكة الافتراضية وتكلفتها.
  • المساعدة في تأمين جميع حركة المرور الصادرة.
  • نفق القوة جميع حركة المرور الصادرة.

Diagram that illustrates virtual network integration.

لمعرفة المزيد، راجع تكامل الشبكة الظاهرية لخدمة التطبيقات.

بيئة خدمة التطبيق

بيئة خدمة التطبيق (ASE) هي عملية نشر لمستأجر واحد لخدمة تطبيقات Azure التي يتم تشغيلها في شبكتك الظاهرية. بعض الحالات مثل هذه الميزة:

  • الوصول إلى الموارد في شبكتك الافتراضية.
  • الوصول إلى الموارد عبر ExpressRoute.
  • اعرض تطبيقاتك بعنوان خاص في شبكتك الافتراضية.
  • الوصول إلى الموارد عبر نقاط نهاية الخدمة.
  • الوصول إلى الموارد عبر نقاط النهاية الخاصة.

مع بورصة عمان، لا تحتاج إلى استخدام تكامل الشبكة الافتراضية لأن بورصة عمان موجودة بالفعل في شبكتك الافتراضية. إذا كنت ترغب في الوصول إلى موارد مثل SQL أو Azure Storage عبر نقاط نهاية الخدمة، فقم بتمكين نقاط نهاية الخدمة على الشبكة الفرعية ASE. إذا كنت ترغب في الوصول إلى الموارد الموجودة في الشبكة الظاهرية أو نقاط النهاية الخاصة في الشبكة الظاهرية، فلن تحتاج إلى إجراء أي تكوين إضافي. إذا كنت ترغب في الوصول إلى الموارد عبر ExpressRoute ، فأنت بالفعل في الشبكة الافتراضية ولا تحتاج إلى تكوين أي شيء على ASE أو التطبيقات الموجودة فيها.

نظرا لأن التطبيقات الموجودة في ILB ASE يمكن أن تتعرض على عنوان IP خاص ، يمكنك بسهولة إضافة أجهزة WAF لفضح التطبيقات التي تريدها فقط على الإنترنت والمساعدة في الحفاظ على أمان الباقي. يمكن أن تساعد هذه الميزة في تسهيل تطوير التطبيقات متعددة المستويات.

بعض الأشياء غير ممكنة حاليا من الخدمة متعددة المستأجرين ولكنها ممكنة من بورصة عمان. نضرب فيما يلي بعض الأمثلة:

  • استضافة تطبيقاتك في خدمة مستأجر واحد.
  • يمكنك التوسع إلى العديد من المثيلات أكثر مما هو ممكن في الخدمة متعددة المستأجرين.
  • قم بتحميل شهادات عميل CA الخاصة لاستخدامها من قبل تطبيقاتك مع نقاط النهاية الخاصة المضمونة من CA.
  • فرض TLS 1.2 عبر جميع التطبيقات المستضافة في النظام دون أي قدرة على تعطيله على مستوى التطبيق.

Diagram that illustrates an ASE in a virtual network.

توفر بورصة عمان أفضل قصة حول استضافة التطبيقات المعزولة والمخصصة، ولكنها تنطوي على بعض التحديات الإدارية. بعض الأشياء التي يجب مراعاتها قبل استخدام بورصة عمان التشغيلية:

  • تعمل بورصة عمان داخل شبكتك الافتراضية، ولكن لديها تبعيات خارج الشبكة الافتراضية. ويجب السماح بهذه التبعيات. لمزيد من المعلومات، راجع اعتبارات الشبكة لبيئة خدمة التطبيق.
  • لا يتم توسيع بورصة عمان على الفور مثل الخدمة متعددة المستأجرين. تحتاج إلى توقع احتياجات التوسع بدلا من التوسع التفاعلي.
  • بورصة عمان لديها تكلفة مقدمة أعلى. لتحقيق أقصى استفادة من بورصة عمان الخاصة بك ، يجب أن تخطط لوضع العديد من أعباء العمل في بورصة واحدة بدلا من استخدامها لجهود صغيرة.
  • لا يمكن للتطبيقات في بورصة عمان تقييد الوصول بشكل انتقائي إلى بعض التطبيقات في بورصة عمان وليس غيرها.
  • توجد بورصة عمان في شبكة فرعية، وتنطبق أي قواعد للشبكات على جميع حركة المرور من وإلى تلك البورصة. إذا كنت تريد تعيين قواعد حركة المرور الواردة لتطبيق واحد فقط، فاستخدم قيود الوصول.

الجمع بين الميزات

يمكن استخدام الميزات التي تمت ملاحظتها لخدمة المستأجرين المتعددين معا لحل حالات الاستخدام الأكثر تفصيلا. يتم وصف حالتين من حالات الاستخدام الأكثر شيوعا هنا ، لكنهما مجرد أمثلة. من خلال فهم ما تفعله الميزات المختلفة ، يمكنك تلبية جميع احتياجات بنية النظام الخاصة بك تقريبا.

وضع تطبيق في شبكة افتراضية

قد تتساءل عن كيفية وضع تطبيق في شبكة افتراضية. إذا وضعت تطبيقك في شبكة افتراضية، فستكون نقاط النهاية الواردة والصادرة للتطبيق داخل الشبكة الظاهرية. بورصة عمان هي أفضل طريقة لحل هذه المشكلة. ولكن يمكنك تلبية معظم احتياجاتك ضمن الخدمة متعددة المستأجرين من خلال الجمع بين الميزات. على سبيل المثال، يمكنك استضافة تطبيقات الإنترانت فقط مع عناوين خاصة واردة وصادرة من خلال:

  • إنشاء بوابة تطبيق مع عناوين خاصة واردة وصادرة.
  • تأمين حركة المرور الواردة إلى تطبيقك باستخدام نقاط نهاية الخدمة.
  • باستخدام ميزة تكامل الشبكة الافتراضية بحيث تكون النهاية الخلفية لتطبيقك في شبكتك الافتراضية.

لن يمنحك نمط النشر هذا عنوانا مخصصا لحركة المرور الصادرة إلى الإنترنت أو القدرة على تأمين جميع الزيارات الصادرة من تطبيقك. وسوف تعطيك الكثير مما كنت ستحصل عليه فقط مع بورصة عمان.

إنشاء تطبيقات متعددة المستويات

التطبيق متعدد المستويات هو تطبيق يمكن من خلاله الوصول إلى تطبيقات الواجهة الخلفية لواجهة برمجة التطبيقات فقط من الطبقة الأمامية. هناك طريقتان لإنشاء تطبيق متعدد المستويات. يبدأ كلاهما باستخدام تكامل الشبكة الظاهرية لتوصيل تطبيق الويب الأمامي بشبكة فرعية في شبكة افتراضية. سيؤدي القيام بذلك إلى تمكين تطبيق الويب الخاص بك من إجراء مكالمات إلى شبكتك الافتراضية. بعد توصيل تطبيق الواجهة الأمامية بالشبكة الافتراضية، تحتاج إلى تحديد كيفية قفل الوصول إلى تطبيق واجهة برمجة التطبيقات. يمكنك:

  • استضافة كل من الواجهة الأمامية وتطبيق API في نفس ILB ASE ، وتعريض تطبيق الواجهة الأمامية للإنترنت باستخدام بوابة تطبيق.
  • استضافة الواجهة الأمامية في الخدمة متعددة المستأجرين والنهاية الخلفية في بورصة ILB.
  • استضافة كل من الواجهة الأمامية وتطبيق واجهة برمجة التطبيقات في الخدمة متعددة المستأجرين.

إذا كنت تستضيف كلا من الواجهة الأمامية وتطبيق واجهة برمجة التطبيقات لتطبيق متعدد المستويات، يمكنك:

  • عرض تطبيق API الخاص بك باستخدام نقاط النهاية الخاصة في شبكتك الافتراضية:

    Diagram that illustrates the use of private endpoints in a two-tier app.

  • استخدم نقاط نهاية الخدمة لضمان وصول حركة المرور الواردة إلى تطبيق واجهة برمجة التطبيقات فقط من الشبكة الفرعية التي يستخدمها تطبيق الويب الأمامي:

    Diagram that illustrates the use of service endpoints to help secure an app.

فيما يلي بعض الاعتبارات لمساعدتك في تحديد الطريقة التي تريد استخدامها:

  • عند استخدام نقاط نهاية الخدمة، ما عليك سوى تأمين حركة المرور إلى تطبيق واجهة برمجة التطبيقات إلى الشبكة الفرعية للتكامل. تساعد نقاط نهاية الخدمة على تأمين تطبيق واجهة برمجة التطبيقات، ولكن لا يزال بإمكانك استخراج البيانات من تطبيق الواجهة الأمامية إلى تطبيقات أخرى في خدمة التطبيق.
  • عند استخدام نقاط النهاية الخاصة ، يكون لديك شبكتان فرعيتان قيد التشغيل ، مما يزيد من التعقيد. أيضا ، نقطة النهاية الخاصة هي مورد رفيع المستوى وتضيف النفقات العامة للإدارة. تتمثل فائدة استخدام نقاط النهاية الخاصة في أنه ليس لديك إمكانية استخراج البيانات.

ستعمل كلتا الطريقتين مع نهايات أمامية متعددة. على نطاق صغير، تكون نقاط نهاية الخدمة أسهل في الاستخدام لأنك ببساطة تقوم بتمكين نقاط نهاية الخدمة لتطبيق واجهة برمجة التطبيقات على الشبكة الفرعية للتكامل الأمامي. أثناء إضافة المزيد من تطبيقات الواجهة الأمامية ، تحتاج إلى ضبط كل تطبيق API لتضمين نقاط نهاية الخدمة مع الشبكة الفرعية للتكامل. عند استخدام نقاط نهاية خاصة، يكون هناك المزيد من التعقيد، ولكن ليس عليك تغيير أي شيء على تطبيقات واجهة برمجة التطبيقات بعد تعيين نقطة نهاية خاصة.

تطبيقات خط الأعمال

تطبيقات خط العمل (LOB) هي تطبيقات داخلية لا يتم عرضها عادة للوصول إليها من الإنترنت. يتم استدعاء هذه التطبيقات من داخل شبكات الشركات حيث يمكن التحكم في الوصول إليها بشكل صارم. إذا كنت تستخدم ILB ASE ، فمن السهل استضافة تطبيقات خط الأعمال الخاصة بك. إذا كنت تستخدم الخدمة متعددة المستأجرين، فيمكنك إما استخدام نقاط النهاية الخاصة أو استخدام نقاط نهاية الخدمة مع بوابة تطبيق. هناك سببان لاستخدام بوابة تطبيق مع نقاط نهاية الخدمة بدلا من استخدام نقاط النهاية الخاصة:

  • تحتاج إلى حماية WAF على تطبيقات LOB الخاصة بك.
  • تريد تحميل التوازن إلى مثيلات متعددة من تطبيقات LOB الخاصة بك.

إذا لم تنطبق أي من هذه الاحتياجات ، فمن الأفضل لك استخدام نقاط النهاية الخاصة. باستخدام نقاط النهاية الخاصة المتوفرة في App Service، يمكنك عرض تطبيقاتك على عناوين خاصة في شبكتك الافتراضية. يمكن الوصول إلى نقطة النهاية الخاصة التي تضعها في شبكتك الافتراضية عبر اتصالات ExpressRoute و VPN.

سيؤدي تكوين نقاط النهاية الخاصة إلى عرض تطبيقاتك على عنوان خاص، ولكنك ستحتاج إلى تكوين DNS للوصول إلى هذا العنوان من محلي. لإنجاح هذا التكوين، ستحتاج إلى إعادة توجيه منطقة Azure DNS الخاصة التي تحتوي على نقاط النهاية الخاصة بك إلى خوادم DNS المحلية. لا تدعم مناطق Azure DNS الخاصة إعادة توجيه المنطقة، ولكن يمكنك دعم إعادة توجيه المنطقة باستخدام خادم DNS لهذا الغرض. يسهل قالب معيد توجيه DNS إعادة توجيه منطقة Azure DNS الخاصة إلى خوادم DNS المحلية.

منافذ خدمة التطبيق

إذا قمت بفحص App Service، فستجد العديد من المنافذ المكشوفة للاتصالات الواردة. لا توجد طريقة لحظر الوصول إلى هذه المنافذ أو التحكم فيها في الخدمة متعددة المستأجرين. فيما يلي قائمة بالمنافذ المكشوفة:

استخدم المنفذ أو المنافذ
HTTP/HTTPS 80, 443
الإدارة 454, 455
بروتوكول نقل الملفات/بروتوكول نقل الملفات (FTPS) 21, 990, 10001-10300
تصحيح الأخطاء عن بعد Visual Studio 4020, 4022, 4024
خدمة نشر الويب 8172
استخدام البنية التحتية 7654, 1221