توفر هذه البنية المحورية حلا بديلا للبنية المرجعية لطوبولوجيا شبكة النظام المحوري في Azureوتنفذ شبكة مختلطة آمنة.
المركز عبارة عن شبكة ظاهرية في Azure تعمل كنقطة مركزية للاتصال بالشبكة المحلية. المحاور هي شبكات ظاهرية تتناظر مع المركز ويمكن استخدامها لعزل أحمال العمل. تتدفق نسبة استخدام الشبكة بين مركز البيانات الداخلي والمركز من خلال اتصال البوابة بـ ExpressRoute أو شبكة ظاهرية خاصة. المفاضلة الرئيسية لهذا الأسلوب هو استخدام WAN الظاهري Azure (VWAN) لاستبدال لوحات الوصل كخدمة مدارة.
تتضمن هذه البنية فوائد مخطط الشبكة القياسية التي تحدث عنها المحور وتقدم فوائد جديدة:
أقل النفقات العامة التشغيلية عن طريق استبدال لوحات الوصل الحالية مع خدمة WAN الظاهرية تدار بالكامل.
توفير التكاليف باستخدام خدمة مدارة وإزالة ضرورة الأجهزة الافتراضية للشبكة.
تحسين الأمان من خلال تقديم لوحات الوصل الآمنة المدارة مركزياً مع جدار حماية Azure وWAN الظاهرية لتقليل مخاطر الأمان المتعلقة بالتكوين الخاطئ.
فصل الشواغل بين تكنولوجيا المعلومات المركزية (SecOps، InfraOps) وأحمال العمل (DevOps).
حالات الاستخدام المحتملة
تتضمن الاستخدامات النموذجية لهذه البنية الأساسية الحالات التي:
يتطلب الاتصال بين أحمال العمل التحكم المركزي والوصول إلى الخدمات المشتركة.
تتطلب المؤسسة تحكماً مركزياً في الجوانب الأمنية، مثل جدار الحماية، وتتطلب إدارة منفصلة لأحمال العمل في كل كلمة.
بناء الأنظمة
قم بتنزيل ملف Visio لهذه البنية.
تتكون الهندسة من:
شبكة محلية. شبكة محلية خاصة (LAN) تعمل داخل مؤسسة.
جهاز VPN. جهاز أو خدمة توفر اتصالاً خارجياً بالشبكة المحلية.
بوابة شبكة ظاهرية VPN أو بوابة ExpressRoute. تمكّن بوابة الشبكة الظاهرية من الاتصال بجهاز VPN، أو دائرة ExpressRoute المستخدمة للاتصال بشبكتك المحلية.
مركز Virtual WAN. يتم استخدام شبكة WAN الظاهرية كمركز في تخطيط الشبكة المحورية. المركز هو نقطة الاتصال المركزية لشبكة الاتصال المحلية، ومكان لاستضافة الخدمات التي يمكن أن تستهلكها أعباء العمل المختلفة المستضافة في الشبكات الظاهرية لـ spoke.
المحور الظاهري المضمون. مركز WAN النطاق الظاهرية مع نهج الأمان والتوجيه المقترنة التي تم تكوينها بواسطة إدارة جدار حماية Azure. يأتي المركز الظاهري الآمن مع توجيه مضمن لذلك ليست هناك حاجة لتكوين المسارات المعرفة من قبل المستخدم.
الشبكة الفرعية للبوابة. يتم الاحتفاظ ببوابات الشبكة الظاهرية في نفس الشبكة الفرعية.
الشبكات الظاهرية في Spoke. شبكة ظاهرية واحدة أو أكثر تستخدم كمحاور في المركز المحوري لتخطيط الشبكة. يمكن استخدام Spokes لعزل أعباء العمل في شبكاتهم الظاهرية وتتم إدارتها بشكل منفصل عن المحاور الأخرى. قد يتضمن كل عبئ عمل مستويات متعددة، مع توصيل شبكات فرعية متعددة من خلال Azure load balancers.
تناظر الشبكة الظاهرية. يمكن توصيل شبكتين ظاهريتين باستخدام اتصال نظير VNet. اتصالات نظير هي اتصالات غير متعدية، وذات زمن انتقال بطيء بين الشبكات الظاهرية. بمجرد التناظر، تتبادل الشبكات الظاهرية نسبة استخدام الشبكة باستخدام شبكة Azure الأساسية دون حاجة إلى موجه. في hub-spoke network topology، يمكن استخدام نظير شبكة الاتصال الظاهرية لتوصيل لوحة الوصل إلى كل لوحة تحدث. تتيح Azure Virtual WAN إمكانية الانتقال بين المراكز، وهو أمر غير ممكن فقط باستخدام التناظر.
المكونات
البدائل
يمكن تحقيق البنية الأساسية للنظام المحوري بطريقتين: بنية تحتية مركزية يديرها العملاء، أو بنية أساسية مركزية تديرها Microsoft. في كلتا الحالتين، يتم توصيل المحاور بالمركز باستخدام نظير الشبكة الظاهرية.
المزايا
قم بتنزيل ملف Visio لهذه البنية.
يوضح هذا الرسم التخطيطي بعض المزايا التي يمكن أن توفرها هذه البنية:
- مراكز متشابكة كاملة بين الشبكات الظاهرية لـ Azure
- فرع إلى اتصال Azure
- اتصال الفرع إلى الفرع
- الاستخدام المختلط لـ VPN وExpress Route
- الاستخدام المختلط لـ VPN المستخدم إلى الموقع
- اتصال VNET إلى VNET
التوصيات
تنطبق التوصيات التالية على معظم السيناريوهات. اتبع هذه التوصيات ما لم يكن لديك متطلبات محددة تتجاوزها.
مجموعات الموارد
يمكن تنفيذ المركز وكل حديث في مجموعات موارد مختلفة وحتى بشكل أفصل، في اشتراكات مختلفة. عند إقران الشبكات الظاهرية في اشتراكات مختلفة، يمكن إقران كلا الاشتراكين بنفس مستأجر Microsoft Entra أو مستأجر آخر. ويتيح ذلك الإدارة اللامركزية لكل حمل عمل، مع تقاسم الخدمات التي يتم الاحتفاظ بها في المركز.
Virtual WAN
إنشاء شبكة WAN ظاهرية قياسية إذا كان لديك متطلبات لأي مما يلي:
التحجيم لمعدلات نقل أعلى
الاتصال الخاص (يتطلب دائرة Premium في موقع Global Reach)
اتصال ExpressRoute VPN
المراقبة المتكاملة مع Azure Monitor (المقاييس وصحة الموارد)
تكون شبكات WAN الظاهرية القياسية متصلة بشكل افتراضي بشبكة كاملة. تدعم شبكة WAN الظاهرية القياسية الاتصال من أي إلى أي (VPN من موقع إلى موقع، وشبكة ظاهرية، وExpressRoute، ونقاط نهاية من نقطة إلى موقع) في مركز واحد وكذلك عبر المراكز. تدعم شبكة WAN الظاهرية الأساسية اتصال VPN من موقع إلى موقع فقط، والاتصال من فرع إلى فرع، والاتصال من فرع إلى شبكة ظاهرية في مركز واحد.
مركز Virtual WAN
المركز الافتراضي هو شبكة افتراضية تديرها Microsoft. يحتوي المحور على نقاط نهاية خدمة مختلفة لتمكين الاتصال. المحور هو جوهر الشبكة في منطقة ما. يمكن أن يكون هناك مراكز متعددة لكل منطقة Azure. لمزيد من المعلومات، راجع الأسئلة المتداولة حول Virtual WAN.
عند إنشاء مركز باستخدام مدخل Microsoft Azure، فإنه ينشئ VNet مركز ظاهري وبوابة VPN مركز ظاهري. يتطلب Virtual WAN Hub نطاق عنوان كحد أدنى /24. سيتم استخدام مساحة عنوان IP هذه لحجز شبكة فرعية للبوابة والمكونات الأخرى.
المحور الظاهري المضمون
يمكن إنشاء مركز ظاهري كمركز ظاهري آمن أو تحويله إلى مركز آمن في أي وقت بعد الإنشاء. للحصول على معلومات إضافية، راجع تأمين المركز الظاهري باستخدام Azure Firewall Manager.
بوابة\شبكة فرعية
لمزيد من المعلومات حول إعداد البوابة، راجع البنى المرجعية التالية، بناءً على نوع الاتصال الخاص بك:
لتوفر أكبر، يمكنك استخدام ExpressRoute بالإضافة إلى VPN لتجاوز الفشل. راجع توصيل شبكة محلية بـ Azure باستخدام ExpressRoute مع تجاوز فشل VPN.
لا يمكن استخدام طوبولوجيا محور الكلام بدون بوابة، حتى إذا لم تكن بحاجة إلى اتصال بشبكتك المحلية.
تناظر الشبكة الظاهرية
تناظر الشبكة الظاهرية هو علاقة غير متعدية بين شبكتين ظاهريتين. ومع ذلك، يسمح Azure Virtual WAN للمتحدثين بالاتصال ببعضهم البعض دون الحاجة إلى نظير مخصص فيما بينهم.
ومع ذلك، إذا كان لديك العديد من المحاور التي تحتاج إلى الاتصال ببعضها البعض، فسوف نفدت اتصالات التناظر المحتملة بسرعة كبيرة بسبب القيود المفروضة على عدد تناظرات الشبكة الظاهرية لكل شبكة ظاهرية. (لمزيد من المعلومات، راجع حدود الشبكات.) في هذا السيناريو، ستحل Azure VWAN هذه المشكلة بوظائفها الجاهزة. لمزيد من المعلومات، راجع بنية شبكة النقل العام وشبكة الاتصال واسعة النطاق الظاهرية.
يمكنك أيضاً تكوين المحاور لاستخدام بوابة المركز للتواصل مع الشبكات البعيدة. للسماح لنسبة استخدام شبكة البوابة بالتدفق من المحور إلى المركز والاتصال بالشبكات البعيدة، يجب عليك:
تكوين اتصال التناظر في المركز للسماح بعبور البوابة.
تكوين اتصال النظير في كل محور إلى استخدام البوابات البعيدة.
هيئ جميع اتصالات النظراء من أجل السماح بحركة مرور البيانات (نسبة استخدام الشبكة) المعاد توجيهها.
لمعلومات إضافية، راجع الاختيار بين مناظرة الشبكة الظاهرية وبوابات VPN.
ملحقات المركز
لدعم الخدمات المشتركة على مستوى الشبكة مثل موارد DNS وNVAs المخصصة وAzure Bastion وغيرها، قم بتنفيذ كل خدمة باتباع نمط ملحق المركز الظاهري. باتباع هذا النموذج، يمكنك إنشاء وتشغيل ملحقات مسؤولية واحدة لعرض هذه الخدمات المشتركة الحرجة للأعمال التي لا يمكنك توزيعها مباشرة في مركز ظاهري بشكل فردي.
الاعتبارات
العمليات
Azure VWAN هي خدمة مدارة تقدمها Microsoft. من وجهة نظر التكنولوجيا، فإنه لا يختلف تماما عن البنية الأساسية للمركز المدار من قبل العملاء. يبسط Azure Virtual WAN بنية الشبكة الشاملة من خلال تقديم مخطط شبكة مع اتصال شبكة متعدية بين المحاور. يمكن تحقيق مراقبة Azure VWAN باستخدام Azure Monitor. يمكن أتمتة التكوين والاتصال من موقع إلى موقع بين الشبكات المحلية وAzure بشكل كامل.
الموثوقيه
يعالج Azure Virtual WAN التوجيه، مما يساعد على تحسين زمن انتقال الشبكة بين المحاور بالإضافة إلى ضمان إمكانية التنبؤ لزمن الانتقال. يوفر Azure Virtual WAN أيضًا اتصالًا موثوقًا بين مناطق Azure المختلفة لأحمال العمل التي تمتد عبر مناطق متعددة. مع هذا الإعداد، يصبح التدفق الشامل داخل Azure أكثر وضوحًا.
الأداء
بمساعدة Azure Virtual WAN، يمكن تحقيق زمن انتقال أقل بين المحاور وعبر المناطق. تمكنك Azure Virtual WAN من توسيع نطاق معدل النقل الإجمالي إلى 20 جيجابت في الثانية.
قابلية التوسع
توفر Azure Virtual WAN اتصال شبكة كاملة بين المحاور من خلال الحفاظ على القدرة على تقييد نسبة استخدام الشبكة بناء على الاحتياجات. مع هذه البنية من الممكن أن يكون أداء واسع النطاق من موقع إلى موقع. علاوة على ذلك، يمكنك إنشاء بنية شبكة نقل عالمية عن طريق تمكين الاتصال من أي إلى أي بين مجموعات أحمال العمل السحابية الموزعة عالميًا.
Security
يمكن تحويل المراكز في Azure VWAN إلى HUBs آمنة من خلال الاستفادة من جدار حماية Azure. لا يزال من الممكن الاستفادة من المسارات المعرفة من قبل المستخدم (UDRs) بنفس الطريقة لتحقيق عزل الشبكة. يتيح Azure VWAN تشفير نسبة استخدام الشبكة بين الشبكات المحلية وشبكات Azure الظاهرية عبر ExpressRoute.
توفر Azure DDoS Protection، جنبا إلى جنب مع أفضل ممارسات تصميم التطبيق، ميزات محسنة لتخفيف DDoS لتوفير المزيد من الدفاع ضد هجمات DDoS. يجب تمكين Azure DDOS Protection على أي شبكة ظاهرية محيطة.
الاتصال المحوري والخدمات المشتركة
تم تحقيق الاتصال بين المحاور بالفعل باستخدام Azure Virtual WAN. ومع ذلك، فإن استخدام UDRs في نسبة استخدام الشبكة المحورية مفيد لعزل الشبكات الظاهرية. يمكن أيضًا استضافة أي خدمة مشتركة على نفس شبكة WAN الظاهرية كمتحدث.
نظير الشبكة الظاهرية - اتصال المركز
تناظر الشبكة الظاهرية هو علاقة غير متعدية بين شبكتين ظاهريتين. في أثناء استخدام Azure Virtual WAN، تتم إدارة تناظر الشبكة الظاهرية بواسطة Microsoft. سيقوم كل اتصال تمت إضافته إلى مركز أيضًا بتكوين تناظر الشبكة الظاهرية. بمساعدة Virtual WAN، سيكون لجميع المحاور علاقة عابرة.
تحسين التكلفة
تقدم البنية الأساسية للمركز المدار من قبل العميل تكلفة الإدارة لموارد Azure الأساسية. لتحقيق اتصال متعدي مع زمن انتقال يمكن التنبؤ به، يجب أن يكون لديك جهاز ظاهري للشبكة (NVA) أو Azure Firewall منشور في كل مركز. سيؤدي استخدام Azure Firewall مع أي من الخيارين إلى خفض التكلفة مقارنة بـNVA. تكاليف جدار حماية Azure هي نفسها لكلا الخيارين. هناك تكلفة إضافية لـAzure Virtual WAN؛ ومع ذلك، فهي أقل تكلفة بكثير من إدارة البنية الأساسية للمركز الخاص بك.
للحصول على المزيد من المعلومات، راجع تسعير WAN الافتراضية.
المساهمون
تحتفظ Microsoft بهذه المقالة. وهي مكتوبة في الأصل من قبل المساهمين التاليين.
الكاتب الرئيسي:
- يونس إيمري ألبوزين | حمل العمل المشترك لمهندس البرنامج
لمشاهدة ملفات تعريف LinkedIn غير العامة، سجل الدخول إلى LinkedIn.
الخطوات التالية
اعرف المزيد: