Share via

تعدد الإيجارات والرابط الخاص في Azure

  • مقالة

يوفر Azure Private Link عناوين IP خاصة لخدمات النظام الأساسي ل Azure، والتطبيقات الخاصة بك المستضافة على أجهزة Azure الظاهرية. يمكنك استخدام Private Link لتمكين الاتصال الخاص من بيئات Azure الخاصة بالمستأجرين. يمكن للمستأجرين أيضا استخدام Private Link للوصول إلى الحل الخاص بك من بيئاتهم المحلية، عندما يكونون متصلين من خلال بوابات الشبكة الظاهرية الخاصة (VPN Gateway) أو ExpressRoute.

يستخدم Azure Private Link من قبل العديد من موفري SaaS الكبار، بما في ذلك Snowflake وConfluent Cloud وMongoDB Atlas.

في هذه المقالة، نراجع كيف يمكنك تكوين Private Link لحل متعدد المستأجرين مستضاف من Azure.

الاعتبارات

مسافات عناوين IP المتراكبة

يوفر Private Link إمكانات قوية للحلول متعددة المستأجرين، حيث يمكن للمستأجرين الوصول إلى الخدمة من خلال مساحات العناوين الخاصة.

غالبا ما يستخدم المستأجرون المختلفون نفس مسافات عناوين IP الخاصة أو المتداخلة. على سبيل المثال، قد يستخدم الحل متعدد المستأجرين مساحة عنوان IP ل 10.1.0.0/16. لنفترض أن المستأجر A يستخدم الشبكة المحلية الخاصة به بنفس مساحة عنوان IP، ومن قبيل الصدفة يستخدم المستأجر B نفس مساحة عنوان IP. لا يمكنك الاتصال مباشرة بالشبكات أو إقرانها معا لأن نطاقات عناوين IP تتداخل.

عند استخدام Private Link لتمكين الاتصال من كل مستأجر إلى الحل متعدد المستأجرين، يتم تطبيق ترجمة عنوان الشبكة (NAT) تلقائيا لكل حركة مرور للمستأجر. يمكن لكل مستأجر استخدام عنوان IP خاص داخل شبكته الخاصة، وتتدفق نسبة استخدام الشبكة إلى الحل متعدد المستأجرين بشفافية. ينفذ Private Link NAT على نسبة استخدام الشبكة، حتى عندما يستخدم المستأجرون وموفر الخدمة نطاقات عناوين IP متداخلة:

Diagram showing connectivity between two tenants and a multitenant service, all of which use the same IP address space.

عندما تصل نسبة استخدام الشبكة إلى الحل متعدد المستأجرين، فقد تمت ترجمتها بالفعل. وهذا يعني أن نسبة استخدام الشبكة تبدو وكأنها تنشأ من داخل مساحة عنوان IP للشبكة الظاهرية الخاصة بالخدمة متعددة المستأجرين. يوفر Private Link ميزة بروتوكول وكيل TCP v2 ، والتي تمكن الخدمة متعددة المستأجرين من معرفة المستأجر الذي أرسل الطلب، وحتى عنوان IP الأصلي من الشبكة المصدر.

تحديد الخدمة

عند استخدام Private Link، من المهم مراعاة الخدمة التي تريد السماح بالاتصال الوارد بها.

يتم استخدام خدمة Azure Private Link مع الأجهزة الظاهرية خلف موازن تحميل قياسي.

يمكنك أيضا استخدام Private Link مع خدمات Azure الأخرى. تتضمن هذه الخدمات منصات استضافة التطبيقات مثل Azure App Service. كما أنها تتضمن Azure Application Gateway أو Azure API Management، وهي عبارة عن بوابات الشبكة وواجهة برمجة التطبيقات.

يحدد النظام الأساسي للتطبيق الذي تستخدمه العديد من جوانب تكوين الارتباط الخاص بك، والحدود التي تنطبق. بالإضافة إلى ذلك، لا تدعم بعض الخدمات الارتباط الخاص لنسبة استخدام الشبكة الواردة.

الحدود

ضع في اعتبارك بعناية عدد نقاط النهاية الخاصة التي يمكنك إنشاؤها، استنادا إلى بنية الحل الخاص بك. إذا كنت تستخدم النظام الأساسي كمنصة تطبيق خدمة (PaaS)، فمن المهم أن تكون على دراية بالحد الأقصى لعدد نقاط النهاية الخاصة التي يمكن أن يدعمها مورد واحد. إذا قمت بتشغيل الأجهزة الظاهرية، يمكنك إرفاق مثيل خدمة Private Link بموازن تحميل قياسي (SLB). في هذا التكوين، يمكنك بشكل عام توصيل عدد أكبر من نقاط النهاية الخاصة، ولكن لا تزال الحدود سارية. قد تحدد هذه الحدود عدد المستأجرين الذين يمكنك الاتصال بمواردك باستخدام Private Link. راجع حدود الاشتراك والخدمة في Azure والحصص النسبية والقيود لفهم حدود عدد نقاط النهاية والاتصالات.

بالإضافة إلى ذلك، تتطلب بعض الخدمات تكوين شبكة متخصصة لاستخدام Private Link. على سبيل المثال، إذا كنت تستخدم Private Link مع Azure Application Gateway، يجب توفير شبكة فرعية مخصصة، بالإضافة إلى الشبكة الفرعية القياسية لمورد Application Gateway.

اختبر الحل بعناية، بما في ذلك تكوين النشر والتشخيص، مع تمكين تكوين الارتباط الخاص بك. تحظر بعض خدمات Azure حركة مرور الإنترنت العامة، عند تمكين نقطة نهاية خاصة، والتي يمكن أن تتطلب منك تغيير عمليات النشر والإدارة.

قد تختار نشر الحل الخاص بك ليكون مواجها للإنترنت وأيضا ليتم عرضه من خلال نقاط النهاية الخاصة. ضع في اعتبارك مخطط الشبكة الإجمالي والمسارات التي تتبعها نسبة استخدام الشبكة لكل مستأجر.

عندما يستند الحل الخاص بك إلى الأجهزة الظاهرية الموجودة خلف موازن تحميل قياسي، يمكنك عرض نقطة النهاية الخاصة بك عبر خدمة Private Link. في هذه الحالة، من المحتمل أن يكون جدار حماية تطبيق الويب وتوجيه التطبيق جزءا بالفعل من حمل العمل المستند إلى الجهاز الظاهري.

تدعم العديد من خدمات Azure PaaS الارتباط الخاص للاتصال الوارد، حتى عبر اشتراكات Azure المختلفة ومستأجري Microsoft Entra. يمكنك استخدام قدرات Private Link الخاصة بهذه الخدمة لعرض نقطة النهاية الخاصة بك.

عند استخدام خدمات أخرى تواجه الإنترنت، مثل Azure Front Door، من المهم مراعاة ما إذا كانت تدعم Private Link لحركة المرور الواردة. إذا لم يحدث ذلك، ففكر في كيفية تدفق نسبة استخدام الشبكة عبر كل مسار إلى الحل الخاص بك.

على سبيل المثال، افترض أنك تنشئ تطبيقا مواجها للإنترنت يعمل على مجموعة مقياس جهاز ظاهري. يمكنك استخدام Azure Front Door، بما في ذلك جدار حماية تطبيق الويب الخاص به (WAF)، لتسريع الأمان وحركة المرور، وتكوين Front Door لإرسال نسبة استخدام الشبكة الخاصة به من خلال نقطة نهاية خاصة إلى خدمة الواجهة الخلفية (الأصل). يتصل المستأجر أ بالحل الخاص بك باستخدام نقطة نهاية عامة، ويتصل المستأجر B باستخدام نقطة نهاية خاصة. نظرا لأن Front Door لا يدعم الارتباط الخاص للاتصالات الواردة، فإن نسبة استخدام الشبكة للمستأجر B تتجاوز Front Door و WAF الخاص به:

Diagram showing requests coming through Azure Front Door, and also through a private endpoint, which bypasses Front Door.

نماذج العزل

تم تصميم Private Link لدعم السيناريوهات التي يمكن فيها استخدام طبقة تطبيق واحدة من قبل عملاء منفصلين متعددين، مثل المستأجرين. عندما تفكر في العزل ل Private Link، فإن الشاغل الرئيسي هو عدد الموارد التي تحتاج إلى نشرها لدعم متطلباتك. تعتمد نماذج عزل المستأجر التي يمكنك استخدامها ل Private Link على الخدمة التي تستخدمها.

إذا كنت تستخدم خدمة Private Link مع الأجهزة الظاهرية خلف موازن تحميل قياسي، فهناك العديد من نماذج العزل التي يمكنك مراعاتها.

الاعتبار خدمة الارتباط الخاص المشترك وموازن التحميل المشترك خدمة Private Link مخصصة وموازن تحميل مخصص خدمة Private Link المخصصة وموازن التحميل المشترك
تعقيد التوزيع منخفض متوسط-عال، اعتمادا على عدد المستأجرين متوسط-عال، اعتمادا على عدد المستأجرين
التعقيد التشغيلي منخفض متوسط- عال، اعتمادا على عدد الموارد متوسط- عال، اعتمادا على عدد الموارد
الحدود التي يجب مراعاتها عدد نقاط النهاية الخاصة على نفس خدمة Private Link عدد خدمات Private Link لكل اشتراك عدد خدمات Private Link لكل موازن تحميل قياسي
مثال على السيناريو حل كبير متعدد المستأجرين مع مستوى التطبيق المشترك طوابع توزيع منفصلة لكل مستأجر طبقة التطبيق المشتركة في طابع واحد، مع أعداد كبيرة من المستأجرين

في جميع النماذج الثلاثة، يعتمد مستوى عزل البيانات والأداء على العناصر الأخرى للحل الخاص بك، ولا يؤثر نشر خدمة Private Link ماديا على هذه العوامل.

قد تفكر في نشر خدمة Private Link مشتركة متصلة بموازن تحميل قياسي. يمكن لكل مستأجر إنشاء نقطة نهاية خاصة واستخدامها للاتصال بالحل الخاص بك.

يدعم مثيل خدمة Private Link واحد عددا كبيرا من نقاط النهاية الخاصة. إذا قمت باستنفاد الحد، يمكنك نشر المزيد من مثيلات خدمة Private Link، على الرغم من وجود حدود أيضا لعدد خدمات Private Link التي يمكنك نشرها على موازن تحميل واحد. إذا كنت تتوقع أن تقترب من هذه الحدود، ففكر في استخدام نهج يستند إلى طوابع النشر، ونشر موازنات التحميل المشتركة ومثيلات خدمة Private Link في كل طابع.

يمكنك نشر خدمة Private Link مخصصة وموازن تحميل مخصص لكل مستأجر. هذا الأسلوب منطقي عندما يكون لديك مجموعة مخصصة من الأجهزة الظاهرية لكل مستأجر، مثل عندما يكون لدى المستأجرين متطلبات امتثال صارمة.

يمكنك أيضا نشر مثيلات خدمة Private Link مخصصة لكل مستأجر، مع موازن تحميل قياسي مشترك. ومع ذلك، من غير المرجح أن يوفر هذا النموذج فائدة كبيرة. بالإضافة إلى ذلك، نظرا لوجود حد لعدد خدمات Private Link التي يمكنك نشرها على موازن تحميل قياسي واحد، فمن غير المحتمل أن يتجاوز هذا النموذج حلا صغيرا متعدد المستأجرين.

وبشكل أكثر شيوعا، يمكنك نشر العديد من خدمات Private Link المشتركة. يمكنك هذا الأسلوب من توسيع عدد نقاط النهاية الخاصة التي يمكن أن يدعمها الحل الخاص بك على موازن تحميل مشترك واحد.

نماذج العزل لخدمات Azure PaaS مع نقاط النهاية الخاصة

عند نشر خدمات النظام الأساسي Azure كخدمة (PaaS) وتريد تمكين المستأجرين من الوصول إلى هذه الخدمات بنقاط نهاية خاصة، فأنت بحاجة إلى مراعاة قدرات وقيود الخدمة المحددة. بالإضافة إلى ذلك، تحتاج إلى مراعاة ما إذا كانت موارد مستوى التطبيق مخصصة لمستأجر معين أو إذا كانت مشتركة بين المستأجرين.

إذا قمت بنشر مجموعة مخصصة من موارد مستوى التطبيق لكل مستأجر، فمن المحتمل أنه يمكنك نشر نقطة نهاية خاصة واحدة لهذا المستأجر لاستخدامها للوصول إلى موارده. من غير المحتمل أن تستنفد أي حدود للخدمة المتعلقة بالارتباط الخاص، لأن كل مستأجر لديه موارده الخاصة المخصصة له.

عند مشاركة موارد مستوى التطبيق بين المستأجرين، قد تفكر في نشر نقطة نهاية خاصة لكل مستأجر. هناك حدود لعدد نقاط النهاية الخاصة التي يمكن إرفاقها بمورد واحد، وهذه الحدود مختلفة لكل خدمة.

يحتوي Private Link على العديد من الميزات المفيدة في بيئة متعددة المستأجرين. ومع ذلك، تعتمد الميزات المحددة المتوفرة لك على الخدمة التي تستخدمها. تدعم خدمة Azure Private Link التأسيسية للأجهزة الظاهرية وموازنات التحميل جميع الميزات الموضحة أدناه. قد توفر الخدمات الأخرى التي تدعم Private Link مجموعة فرعية فقط من هذه الميزات.

الأسماء المستعارة للخدمة

عندما يقوم المستأجر بتكوين الوصول إلى الخدمة باستخدام Private Link، يجب أن يكونوا قادرين على تحديد خدمتك حتى يتمكن Azure من إنشاء الاتصال.

تمكنك خدمة Private Link وبعض خدمات Azure الأخرى المتوافقة مع Private Link من تكوين اسم مستعار توفره للمستأجرين. باستخدام اسم مستعار، يمكنك تجنب الكشف عن معرفات اشتراك Azure وأسماء مجموعة الموارد.

رؤية الخدمة

تمكنك خدمة Private Link من التحكم في رؤية نقطة النهاية الخاصة بك. قد تسمح لجميع عملاء Azure بالاتصال بالخدمة الخاصة بك، إذا كانوا يعرفون الاسم المستعار أو معرف المورد الخاص به. بدلا من ذلك، قد تقيد الوصول إلى مجموعة من عملاء Azure المعروفين فقط.

يمكنك أيضا تحديد عدد محدود من معرفات اشتراك Azure المعتمدة مسبقا التي يمكنها الاتصال بنقطة النهاية الخاصة بك. إذا اخترت استخدام هذا الأسلوب، ففكر في كيفية جمع معرفات الاشتراك وتخويلها. على سبيل المثال، قد توفر واجهة مستخدم للإدارة في التطبيق الخاص بك لجمع معرف اشتراك المستأجر. بعد ذلك، يمكنك إعادة تكوين مثيل خدمة Private Link بشكل ديناميكي للموافقة المسبقة على معرف الاشتراك هذا للاتصالات.

الموافقات الاتصال

بعد طلب اتصال بين عميل (مثل المستأجر) ونقطة نهاية خاصة، يتطلب Private Link الموافقة على الاتصال. حتى تتم الموافقة على الاتصال، لا يمكن لحركة المرور التدفق عبر اتصال نقطة النهاية الخاصة.

تدعم خدمة Private Link عدة أنواع من تدفقات الموافقة، بما في ذلك:

  • الموافقة اليدوية، حيث يوافق فريقك صراحة على كل اتصال. هذا النهج قابل للتطبيق عندما يكون لديك عدد قليل من المستأجرين الذين يستخدمون خدمتك من خلال Private Link.
  • الموافقة المستندة إلى واجهة برمجة التطبيقات، حيث تتعامل خدمة Private Link مع الاتصال على أنه يتطلب موافقة يدوية، ويستخدم التطبيق الخاص بك واجهة برمجة تطبيقات تحديث نقطة النهاية الخاصة الاتصال ion أو Azure CLI أو Azure PowerShell للموافقة على اتصال. يمكن أن يكون هذا الأسلوب مفيدا عندما يكون لديك قائمة المستأجرين الذين تم التصريح لهم باستخدام نقاط النهاية الخاصة.
  • الموافقة التلقائية، حيث تحتفظ خدمة Private Link نفسها بقائمة معرفات الاشتراك التي يجب أن تتم الموافقة على اتصالاتها تلقائيا.

لمزيد من المعلومات، راجع التحكم في الوصول إلى الخدمة.

بروتوكول الوكيل v2

عند استخدام خدمة Private Link، يكون للتطبيق الخاص بك بشكل افتراضي رؤية عنوان IP الذي تم من خلال ترجمة عنوان الشبكة (NAT). يعني هذا السلوك أن نسبة استخدام الشبكة تبدو أنها تتدفق من داخل الشبكة الظاهرية الخاصة بك.

يتيح لك Private Link الوصول إلى عنوان IP للعميل الأصلي، في الشبكة الظاهرية للمستأجر. تستخدم هذه الميزة بروتوكول وكيل TCP الإصدار 2.

على سبيل المثال، افترض أن مسؤولي المستأجرين بحاجة إلى إضافة قيود الوصول المستندة إلى عنوان IP، مثل المضيف 10.0.0.10 يمكنه الوصول إلى الخدمة، ولكن المضيف 10.0.0.20 لا يمكنه ذلك. عند استخدام بروتوكول الوكيل v2، يمكنك تمكين المستأجرين من تكوين هذه الأنواع من قيود الوصول في التطبيق الخاص بك. ومع ذلك، يحتاج رمز التطبيق الخاص بك إلى فحص عنوان IP الأصلي للعميل وفرض القيود.

  • شرح خدمة Azure Private Link والعروض التوضيحية من الموفر (SaaS ISV) ووجهات نظر المستهلك: فيديو يبحث في ميزة خدمة Azure Private Link التي تمكن موفري الخدمات متعددي المستأجرين (مثل موردي البرامج المستقلين الذين يقومون ببناء منتجات SaaS). يمكن هذا الحل المستهلكين من الوصول إلى خدمة الموفر باستخدام عناوين IP الخاصة من شبكات Azure الظاهرية الخاصة بالمستهلك.
  • بروتوكول وكيل TCP الإصدار 2 مع خدمة Azure Private Link - Deep Dive: فيديو يقدم تعمقا في بروتوكول وكيل TCP الإصدار 2، وهو ميزة متقدمة لخدمة Azure Private Link. وهو مفيد في سيناريوهات متعددة المستأجرين وSaaS. يوضح لك الفيديو كيفية تمكين بروتوكول الوكيل v2 في خدمة Azure Private Link. كما يوضح لك كيفية تكوين خدمة NGINX لقراءة عنوان IP الخاص المصدر للعميل الأصلي، بدلا من عنوان IP NAT، للوصول إلى الخدمة عبر نقطة النهاية الخاصة.
  • استخدام NGINX Plus لفك ترميز بروتوكول الوكيل TLV linkIdentifier من خدمة Azure Private Link: فيديو يبحث في كيفية استخدام NGINX Plus للحصول على بروتوكول وكيل TCP v2 TLV من خدمة Azure Private Link. يوضح الفيديو كيف يمكنك بعد ذلك استخراج وفك ترميز اتصال نقطة النهاية الخاصة، linkIdentifierالمسمى LINKIDأيضا. هذا الحل مفيد للموفرين متعددي المستأجرين الذين يحتاجون إلى تحديد مستأجر المستهلك المحدد الذي تم إجراء الاتصال منه.
  • نمط SaaS Private الاتصال ivity: مثال على حل يوضح نهجا واحدا لأتمتة الموافقة على اتصالات نقطة النهاية الخاصة، باستخدام تطبيقات Azure المدارة.

المساهمون

تحتفظ Microsoft بهذه المقالة. وهي مكتوبة في الأصل من قبل المساهمين التاليين.

الكتاب الرئيسيون:

المساهم الآخر:

  • Sumeet Mittal | مدير المنتج الأساسي، Azure Private Link

لمشاهدة ملفات تعريف LinkedIn غير العامة، سجل الدخول إلى LinkedIn.

الخطوات التالية

راجع نهج الشبكات لتعدد المستأجرين.