مركز البيانات الظاهري: منظور شبكة

  • مقالة
  • قراءة خلال 41 دقائق

قد تستفيد التطبيقات التي يتم ترحيلها من أماكن العمل من البنية الأساسية الآمنة الفعالة من حيث التكلفة في Azure، حتى مع الحد الأدنى من التغييرات في التطبيقات. قد ترغب المؤسسات في تكييف بنياتها لتحسين سرعة الحركة والاستفادة من إمكانات Azure.

يوفر Microsoft Azure خدمات وبنية تحتية فائقة النطاق مع إمكانات وموثوقية على مستوى المؤسسة. توفر هذه الخدمات والبنية التحتية العديد من الخيارات في الاتصال الهجين ، مما يسمح للعملاء بالوصول إليها عبر الإنترنت أو اتصال شبكة خاصة. يمكن لشركاء Microsoft أيضا توفير إمكانات محسنة من خلال تقديم خدمات الأمان والأجهزة الافتراضية التي تم تحسينها لتعمل في Azure.

يمكن للعملاء استخدام Azure لتوسيع بنيتهم التحتية بسلاسة إلى السحابة وإنشاء بنى متعددة المستويات.

ما هو مركز البيانات الافتراضي؟

بدأت السحابة كمنصة لاستضافة التطبيقات التي تواجه الجمهور. أدركت الشركات قيمة السحابة وبدأت في ترحيل تطبيقات خط الأعمال الداخلية. جلبت هذه التطبيقات المزيد من اعتبارات الأمان والموثوقية والأداء والتكلفة التي تتطلب المزيد من المرونة عند تقديم الخدمات السحابية. وصممت بنية تحتية جديدة وخدمات شبكية لتوفير المرونة. توفر الميزات الجديدة نطاقا مرنا وتعافيا من الكوارث واعتبارات أخرى.

تم تصميم الحلول السحابية في البداية لاستضافة تطبيقات واحدة معزولة نسبيا في الطيف العام ، والتي عملت بشكل جيد لبضع سنوات. عندما أصبحت فوائد الحلول السحابية واضحة ، تمت استضافة العديد من أعباء العمل واسعة النطاق على السحابة. تعد معالجة المخاوف المتعلقة بالأمان والموثوقية والأداء والتكلفة أمرا حيويا لنشر الخدمة السحابية ودورة حياتها.

في مثال الرسم التخطيطي لنشر السحابة أدناه، يسلط المربع الأحمر الضوء على فجوة أمنية. يظهر المربع الأصفر فرصة لتحسين الأجهزة الافتراضية للشبكة عبر أحمال العمل.

Diagram that shows a cloud deployment and networking virtual datacenter.

تساعد مراكز البيانات الافتراضية على تحقيق النطاق المطلوب لأحمال عمل المؤسسة. يجب أن يعالج المقياس التحديات التي يتم تقديمها عند تشغيل التطبيقات واسعة النطاق في السحابة العامة.

يتضمن تنفيذ مركز البيانات الافتراضي أكثر من أعباء عمل التطبيق في السحابة. كما يوفر خدمات الشبكة والأمان والإدارة وDNS و Active Directory. نظرا لأن المؤسسات تقوم بترحيل المزيد من أحمال العمل إلى Azure، ضع في اعتبارك البنية الأساسية والكائنات التي تدعم أحمال العمل هذه. تساعد الإدارة الجيدة للموارد على تجنب زيادة "جزر عبء العمل" المدارة بشكل منفصل مع تدفقات البيانات المستقلة ونماذج الأمان وتحديات الامتثال.

يوفر مفهوم مركز البيانات الافتراضي توصيات وتصميمات عالية المستوى لتنفيذ مجموعة من الكيانات المنفصلة ولكن ذات الصلة. غالبا ما يكون لهذه الكيانات وظائف دعم وميزات وبنية تحتية مشتركة. يساعد عرض أحمال العمل الخاصة بك كمركز بيانات افتراضي على تحقيق تكلفة منخفضة من وفورات الحجم. كما أنه يساعد في تحسين الأمان من خلال مركزية المكونات وتدفق البيانات ، وعمليات تدقيق أسهل للعمليات والإدارة والامتثال.

ملاحظة

مركز البيانات الظاهري ليس خدمة Azure محددة. بدلا من ذلك، يتم الجمع بين العديد من ميزات وإمكانات Azure لتلبية متطلباتك. مركز البيانات الافتراضي هو طريقة للتفكير في أعباء العمل واستخدام Azure لتحسين مواردك وقدراتك في السحابة. ويوفر نهجا معياريا لتوفير خدمات تكنولوجيا المعلومات في Azure، مع احترام الأدوار والمسؤوليات التنظيمية للمؤسسة.

يساعد مركز البيانات الظاهري المؤسسات على نشر أحمال العمل والتطبيقات في Azure للسيناريوهات التالية:

  • استضافة أعباء عمل متعددة ذات صلة.
  • ترحيل أحمال العمل من بيئة محلية إلى Azure.
  • تنفيذ متطلبات الأمان والوصول المشتركة أو المركزية عبر أحمال العمل.
  • امزج DevOps وتكنولوجيا المعلومات المركزية بشكل مناسب لمؤسسة كبيرة.

روبوت Who يجب تنفيذ مركز بيانات افتراضي؟

يمكن لأي عميل يقرر اعتماد Azure الاستفادة من كفاءة تكوين مجموعة من الموارد للاستخدام المشترك من قبل جميع التطبيقات. اعتمادا على الحجم ، يمكن حتى للتطبيقات الفردية الاستفادة من استخدام الأنماط والمكونات المستخدمة لبناء تنفيذ VDC.

لدى بعض المؤسسات فرق أو أقسام مركزية لتكنولوجيا المعلومات أو الشبكات أو الأمان أو الامتثال. يمكن أن يساعد تنفيذ VDC في فرض نقاط السياسة ، والمسؤوليات المنفصلة ، وضمان اتساق المكونات المشتركة الأساسية. يمكن لفرق التطبيق الاحتفاظ بالحرية والتحكم المناسبين لمتطلباتهم.

يمكن للمؤسسات التي تتبع نهج DevOps أيضا استخدام مفاهيم VDC لتوفير جيوب معتمدة من موارد Azure. تضمن هذه الطريقة أن تتمتع مجموعات DevOps بالتحكم الكامل داخل هذه المجموعة، إما على مستوى الاشتراك أو داخل مجموعات الموارد في اشتراك مشترك. وفي الوقت نفسه، تظل حدود الشبكة والأمن متوافقة. يتم تعريف الامتثال من خلال سياسة مركزية في الشبكة المحورية ومجموعة الموارد المدارة مركزيا.

اعتبارات لتنفيذ مركز بيانات افتراضي

عند تصميم مركز بيانات افتراضي، ضع في اعتبارك هذه المشكلات المحورية:

خدمة الهوية والدليل

تعد خدمات الهوية والدليل من القدرات الرئيسية لكل من مراكز البيانات المحلية والسحابية. تغطي الهوية جميع جوانب الوصول إلى الخدمات والتصريح بها في إطار تنفيذ VDC. لضمان وصول المستخدمين والعمليات المصرح لهم فقط إلى موارد Azure الخاصة بك، يستخدم Azure عدة أنواع من بيانات الاعتماد للمصادقة، بما في ذلك كلمات مرور الحساب ومفاتيح التشفير والتوقيعات الرقمية والشهادات. توفر مصادقة Azure Active Directory متعددة العوامل طبقة إضافية من الأمان للوصول إلى خدمات Azure. تتيح المصادقة القوية مع مجموعة من خيارات التحقق السهلة (مكالمة هاتفية أو رسالة نصية أو إشعار تطبيق جوال) للعملاء اختيار الطريقة التي يفضلونها.

تحتاج الشركات الكبيرة إلى تحديد عمليات إدارة الهوية التي تصف إدارة الهويات الفردية ومصادقتها وتفويضها وأدوارها وامتيازاتها داخل أو عبر VDC الخاص بها. قد تؤدي أهداف هذه العملية إلى زيادة الأمان والإنتاجية ، مع تقليل التكلفة ووقت التوقف عن العمل والمهام اليدوية المتكررة.

قد تتطلب مؤسسات المؤسسة مزيجا متطلبا من الخدمات لمختلف خطوط الأعمال. غالبا ما يكون للموظفين أدوار مختلفة عند المشاركة في مشاريع مختلفة. ويتطلب مركز توثيق الانتهاكات تعاونا جيدا بين مختلف الفرق، ولكل منها تعريفات محددة للأدوار من أجل تشغيل النظم بحوكمة رشيدة. يمكن أن تكون مصفوفة المسؤوليات والوصول والحقوق معقدة. يتم تنفيذ إدارة الهوية في VDC من خلال Azure Active Directory (Azure AD) والتحكم في الوصول المستند إلى دور Azure (Azure RBAC).

خدمة الدليل هي بنية تحتية مشتركة للمعلومات تقوم بتحديد موقع العناصر اليومية وموارد الشبكة وإدارتها وإدارتها وتنظيمها. يمكن أن تتضمن هذه الموارد وحدات التخزين والمجلدات والملفات والطابعات والمستخدمين والمجموعات والأجهزة والكائنات الأخرى. يعتبر كل مورد على الشبكة كائنا بواسطة خادم الدليل. يتم تخزين معلومات حول مورد كمجموعة من السمات المقترنة بهذا المورد أو الكائن.

تعتمد جميع خدمات الأعمال عبر الإنترنت من Microsoft على Azure Active Directory (Azure AD) لتسجيل الدخول واحتياجات الهوية الأخرى. Azure Active Directory هو حل سحابي شامل ومتوفر للغاية لإدارة الهوية والوصول يجمع بين خدمات الدليل الأساسية وإدارة الهوية المتقدمة وإدارة الوصول إلى التطبيقات. يمكن أن يتكامل Azure AD مع Active Directory محلي لتمكين تسجيل الدخول الأحادي لجميع التطبيقات المحلية المستندة إلى مجموعة النظراء والمستضافة محليا. يمكن مزامنة سمات المستخدم Active Directory محلي تلقائيا مع Azure AD.

لا يلزم وجود مسؤول عمومي واحد لتعيين جميع الأذونات في تنفيذ VDC. بدلا من ذلك، يمكن أن يكون لكل قسم معين أو مجموعة من المستخدمين أو الخدمات في "خدمة الدليل" الأذونات المطلوبة لإدارة مواردهم الخاصة ضمن تنفيذ VDC. تتطلب هيكلة الأذونات التوازن. يمكن أن يؤدي الأذونات الكثيرة جدا إلى إعاقة كفاءة الأداء، ويمكن أن يؤدي عدد قليل جدا من الأذونات أو فقدانها إلى زيادة مخاطر الأمان. يساعد التحكم في الوصول المستند إلى الدور في Azure (Azure RBAC) على معالجة هذه المشكلة من خلال توفير إدارة وصول دقيقة للموارد في تنفيذ VDC.

البنية التحتية الأمنية

تشير البنية التحتية الأمنية إلى فصل حركة المرور في قطاع الشبكة الافتراضية المحدد لتنفيذ VDC. تحدد هذه البنية التحتية كيفية التحكم في الدخول والخروج في تنفيذ VDC. يستند Azure إلى بنية متعددة المستأجرين تمنع حركة المرور غير المصرح بها وغير المقصودة بين عمليات النشر. ويتم ذلك باستخدام عزل الشبكة الظاهرية وقوائم التحكم في الوصول وموازنات التحميل وفلاتر IP وسياسات تدفق حركة المرور. تفصل ترجمة عنوان الشبكة (NAT) حركة مرور الشبكة الداخلية عن حركة المرور الخارجية.

يخصص نسيج Azure موارد البنية الأساسية لأحمال عمل المستأجر ويدير الاتصالات من وإلى الأجهزة الظاهرية (VMs). يفرض برنامج Azure hypervisor فصل الذاكرة والعمليات بين الأجهزة الظاهرية ويوجه حركة مرور الشبكة بأمان إلى مستأجري نظام التشغيل الضيف.

الاتصال بالسحابة

يتطلب مركز البيانات الافتراضي الاتصال بالشبكات الخارجية لتقديم الخدمات للعملاء أو الشركاء أو المستخدمين الداخليين. هذه الحاجة إلى الاتصال لا تشير فقط إلى الإنترنت ، ولكن أيضا إلى الشبكات ومراكز البيانات المحلية.

يتحكم العملاء في الخدمات التي يمكن الوصول إليها والوصول إليها من الإنترنت العام. يتم التحكم في هذا الوصول باستخدام جدار حماية Azure أو أنواع أخرى من أجهزة الشبكة الظاهرية (NVAs) ونهج التوجيه المخصصة باستخدام المسارات المعرفة من قبل المستخدم وتصفية الشبكة باستخدام مجموعات أمان الشبكة. نوصي بحماية جميع الموارد التي تواجه الإنترنت بواسطة معيار حماية Azure DDoS.

قد تحتاج المؤسسات إلى توصيل مركز البيانات الافتراضي الخاص بها بمراكز البيانات المحلية أو الموارد الأخرى. يعد هذا الاتصال بين Azure والشبكات المحلية جانبا حاسما عند تصميم بنية فعالة. لدى الشركات طريقتان مختلفتان لإنشاء هذا الترابط البيني: العبور عبر الإنترنت أو عبر الاتصالات المباشرة الخاصة.

تقوم شبكة VPN من موقع إلى موقع Azure بتوصيل الشبكات المحلية بمركز البيانات الظاهري في Azure. يتم إنشاء الرابط من خلال اتصالات مشفرة آمنة (أنفاق IPsec). تتميز اتصالات Azure من موقع إلى موقع VPN بالمرونة وسرعة الإنشاء ولا تتطلب عادة المزيد من عمليات شراء الأجهزة. استنادا إلى البروتوكولات القياسية في الصناعة، يمكن لمعظم أجهزة الشبكة الحالية إنشاء اتصالات VPN ب Azure عبر الإنترنت أو مسارات الاتصال الحالية.

يتيح ExpressRoute الاتصالات الخاصة بين مركز البيانات الافتراضي الخاص بك وأي شبكات محلية. لا تمر اتصالات ExpressRoute عبر الإنترنت العام ، وتوفر أمانا وموثوقية أعلى وسرعات أعلى (تصل إلى 100 جيجابت في الثانية) إلى جانب زمن انتقال ثابت. يوفر ExpressRoute فوائد قواعد الامتثال المرتبطة بالاتصالات الخاصة. باستخدام ExpressRoute Direct ، يمكنك الاتصال مباشرة بأجهزة توجيه Microsoft إما بسرعة 10 جيجابت في الثانية أو 100 جيجابت في الثانية.

عادة ما يتضمن نشر اتصالات ExpressRoute التعامل مع مزود خدمة ExpressRoute (ExpressRoute Direct هو الاستثناء). بالنسبة للعملاء الذين يحتاجون إلى البدء بسرعة، من الشائع في البداية استخدام VPN من موقع إلى موقع لإنشاء اتصال بين مركز بيانات افتراضي وموارد محلية. بمجرد اكتمال الربط البيني الفعلي مع مزود الخدمة، قم بترحيل الاتصال عبر اتصال ExpressRoute الخاص بك.

بالنسبة للأعداد الكبيرة من اتصالات VPN أو ExpressRoute، تعد شبكة Azure Virtual WAN خدمة شبكات توفر اتصالا محسنا ومؤتمتا من فرع إلى فرع من خلال Azure. تتيح لك شبكة WAN الافتراضية الاتصال بالأجهزة الفرعية وتكوينها للاتصال ب Azure. يمكن إجراء الاتصال والتكوين إما يدويا أو باستخدام أجهزة الموفر المفضلة من خلال شريك شبكة WAN افتراضية. يتيح استخدام أجهزة موفر الخدمة المفضل سهولة الاستخدام، وتبسيط الاتصال، وإدارة التكوين. توفر لوحة معلومات Azure WAN المضمنة رؤى فورية لاستكشاف الأخطاء وإصلاحها يمكن أن تساعد في توفير الوقت، وتمنحك طريقة سهلة لعرض الاتصال من موقع إلى موقع على نطاق واسع. توفر شبكة WAN الافتراضية أيضا خدمات أمان مع جدار حماية Azure اختياري ومدير جدار حماية في مركز شبكة WAN الظاهرية.

الاتصال داخل السحابة

تعد شبكات Azure الظاهرية ونظير الشبكة الظاهرية مكونات الشبكة الأساسية في مركز البيانات الظاهري. تضمن الشبكة الافتراضية حدود عزل لموارد مركز البيانات الافتراضي. يسمح Peering بالاتصال البيني بين الشبكات الافتراضية المختلفة داخل منطقة Azure نفسها ، وعبر المناطق ، وحتى بين الشبكات في اشتراكات مختلفة. يمكن التحكم في تدفقات حركة المرور داخل الشبكات الافتراضية وفيما بينها من خلال مجموعات من قواعد الأمان المحددة لمجموعات أمان الشبكة وسياسات جدار الحماية (جدار حماية Azure أو الأجهزة الظاهرية للشبكة) والمسارات المخصصة المعرفة من قبل المستخدم.

الشبكات الظاهرية هي نقاط ربط لدمج النظام الأساسي كخدمة (PaaS) منتجات Azure مثل Azure StorageوAzure SQL والخدمات العامة المتكاملة الأخرى التي تحتوي على نقاط نهاية عامة. باستخدام نقاط نهاية الخدمةوارتباط Azure الخاص، يمكنك دمج خدماتك العامة مع شبكتك الخاصة. يمكنك حتى جعل خدماتك العامة خاصة، ولكن لا يزال بإمكانك الاستمتاع بمزايا خدمات PaaS المدارة بواسطة Azure.

نظرة عامة على مركز البيانات الافتراضي

الطوبولوجيا

يمكن إنشاء مركز بيانات افتراضي باستخدام أحد هذه الطبولوجيات عالية المستوى، استنادا إلى احتياجاتك ومتطلبات الحجم:

في الطوبولوجيا المسطحة، يتم نشر جميع الموارد في شبكة افتراضية واحدة. تسمح الشبكات الفرعية بالتحكم في التدفق والفصل.

11

في طوبولوجيا Mesh ، يربط نظير الشبكة الافتراضية جميع الشبكات الافتراضية مباشرة ببعضها البعض.

12

يعد مركز الأقران والطوبولوجيا الناطقة مناسبا تماما للتطبيقات الموزعة والفرق ذات المسؤوليات المفوضة.

13

يمكن أن تدعم طبولوجيا شبكة WAN الافتراضية من Azure سيناريوهات المكاتب الفرعية واسعة النطاق وخدمات شبكة WAN العالمية.

14

يستخدم كل من مركز الأقران والطوبولوجيا الناطقة وطوبولوجيا Azure Virtual WAN تصميما محوريا ومتحدثا ، وهو مثالي للاتصال والموارد المشتركة وسياسة الأمان المركزية. يتم إنشاء الموزعات باستخدام إما موزع نظير للشبكة الظاهرية (المسمى كما في الرسم التخطيطي) أو موزع شبكة WAN الظاهري (المسمى كما Hub Virtual NetworkAzure Virtual WAN في الرسم التخطيطي). تم تصميم Azure Virtual WAN للاتصالات واسعة النطاق من فرع إلى فرع ومن فرع إلى Azure، أو لتجنب تعقيدات بناء جميع المكونات بشكل فردي في مركز نظير للشبكات الافتراضية. في بعض الحالات، قد تفرض متطلباتك تصميم مركز نظير للشبكة الافتراضية، مثل الحاجة إلى أجهزة الشبكة الظاهرية في الموزع.

في الطوبولوجيا المحورية والناطقة ، فإن المحور هو منطقة الشبكة المركزية التي تتحكم في جميع حركة المرور بين المناطق المختلفة وتفحصها مثل الإنترنت والمباني والمتحدثين. تساعد الطبولوجيا المحورية والناطقة قسم تكنولوجيا المعلومات على فرض سياسات الأمان مركزيا. كما أنه يقلل من احتمال سوء التكوين والتعرض.

غالبا ما يحتوي المحور على مكونات خدمة شائعة يستهلكها المتحدثون. الأمثلة التالية هي الخدمات المركزية الشائعة:

  • البنية الأساسية Windows Active Directory مطلوبة لمصادقة المستخدم للجهات الخارجية التي تصل من شبكات غير موثوق بها قبل أن تتمكن من الوصول إلى أحمال العمل في التحدث. ويشمل خدمات الأمان المشترك لـ Active Directory ذات الصلة (AD FS)
  • يتم استخدام خدمة نظام الأسماء الموزعة (DNS) لحل التسمية لعبء العمل في المتحدثين الرسميين وللوصول إلى الموارد المحلية وعلى الإنترنت إذا لم يتم استخدام Azure DNS
  • يتم استخدام البنية التحتية للمفتاح العمومي (PKI) لتنفيذ أحمال عمل تسجيل الدخول الأحادي
  • Flow التحكم في حركة مرور TCP و UDP بين مناطق الشبكة الناطقة والإنترنت
  • Flow التحكم بين المتحدثين الرسميين والمحليين
  • إذا لزم الأمر، يمكنك التحكم في التدفق بين متحدث وآخر

يقلل مركز البيانات الافتراضي من التكلفة الإجمالية باستخدام البنية الأساسية للمركز المشترك بين العديد من المتحدثين.

يمكن أن يكون دور كل متحدث هو استضافة أنواع مختلفة من أعباء العمل. كما يوفر المتحدثون نهجا معياريا لعمليات النشر المتكررة لنفس أعباء العمل. تتضمن الأمثلة التطوير / الاختبار واختبار قبول المستخدم وما قبل الإنتاج والإنتاج. يمكن للمتحدثين الرسميين أيضا فصل المجموعات المختلفة وتمكينها داخل مؤسستك. تعد مجموعات DevOps مثالا جيدا على ما يمكن للمتحدثين القيام به. داخل المنطوق ، من الممكن نشر عبء عمل أساسي أو أحمال عمل معقدة متعددة المستويات مع التحكم في حركة المرور بين الطبقات.

حدود الاشتراك والمحاور المتعددة

هام

استنادا إلى حجم عمليات نشر Azure، قد تحتاج إلى استراتيجية موزع متعددة. عند تصميم استراتيجيتك المحورية والناطقة، اسأل "هل يمكن توسيع نطاق التصميم هذا لاستخدام شبكة افتراضية محورية أخرى في هذه المنطقة؟" و "هل يمكن أن يستوعب نطاق التصميم هذا مناطق متعددة؟" من الأفضل بكثير التخطيط لتصميم يتوسع ولا يحتاج إليه ، بدلا من الفشل في التخطيط والحاجة إليه.

يعتمد وقت التوسع إلى مركز ثانوي (أو أكثر) على عدة عوامل ، تستند عادة إلى حدود متأصلة على النطاق. تأكد من مراجعة حدود الاشتراك والشبكة الظاهرية والجهاز الظاهري عند التصميم للقياس.

في Azure، يتم نشر كل مكون، مهما كان نوعه، في اشتراك Azure. يمكن أن يفي عزل مكونات Azure في اشتراكات Azure المختلفة بمتطلبات خطوط الأعمال المختلفة، مثل إعداد مستويات مختلفة من الوصول والتفويض.

يمكن لتنفيذ VDC واحد توسيع نطاق عدد كبير من المتحدثين. على الرغم من أنه ، كما هو الحال مع كل نظام تكنولوجيا المعلومات ، هناك حدود للمنصات. يرتبط نشر الموزع باشتراك Azure محدد، والذي يحتوي على قيود وحدود (على سبيل المثال، الحد الأقصى لعدد نظراء الشبكة الظاهرية. للحصول على التفاصيل، راجع حدود اشتراك Azure وخدماته وحصصه وقيوده). في الحالات التي قد تكون فيها الحدود مشكلة، يمكن للبنية التوسع بشكل أكبر من خلال توسيع النموذج من متحدث واحد إلى مجموعة من المحاور والمتحدثين. يمكن توصيل موزعات متعددة في منطقة Azure واحدة أو أكثر باستخدام نظير الشبكة الظاهري أو ExpressRoute أو شبكة WAN الافتراضية أو VPN من موقع إلى موقع.

2

يؤدي إدخال محاور متعددة إلى زيادة التكلفة وجهد الإدارة للنظام. إنه مبرر فقط بسبب قابلية التوسع أو حدود النظام أو التكرار أو النسخ المتماثل الإقليمي لأداء المستخدم النهائي أو التعافي من الكوارث. في السيناريوهات التي تتطلب محاور متعددة، يجب أن تسعى جميع المحاور جاهدة لتقديم نفس المجموعة من الخدمات من أجل سهولة التشغيل.

الربط البيني بين المتحدثين الرسميين

داخل صوت واحد ، أو تصميم شبكة مسطحة ، من الممكن تنفيذ أحمال عمل معقدة متعددة المستويات. يمكن تنفيذ تكوينات متعددة المستويات باستخدام الشبكات الفرعية ، والتي تعد واحدة لكل طبقة أو تطبيق في نفس الشبكة الافتراضية. يتم التحكم في حركة المرور وتصفيتها باستخدام مجموعات أمان الشبكة والمسارات المعرفة من قبل المستخدم.

قد يرغب المهندس المعماري في نشر عبء عمل متعدد المستويات عبر شبكات افتراضية متعددة. باستخدام نظير الشبكة الافتراضية، يمكن للمتحدثين الاتصال بمتحدثين آخرين في نفس المحور أو محاور مختلفة. مثال نموذجي على هذا السيناريو هو الحالة التي تكون فيها خوادم معالجة التطبيقات في شبكة واحدة أو شبكة افتراضية. يتم نشر قاعدة البيانات في شبكة ناطقة أو افتراضية مختلفة. في هذه الحالة ، من السهل ربط المتحدثين بنظير الشبكة الافتراضية ، مما يتجنب العبور عبر المحور. أكمل مراجعة دقيقة للبنية والأمان للتأكد من أن تجاوز المركز لا يتجاوز نقاط الأمان أو التدقيق المهمة التي قد تكون موجودة فقط في الموزع.

3

يمكن للمتحدثين أيضا الاتصال بمتحدث يعمل كمحور. ينشئ هذا النهج تسلسلا هرميا من مستويين. يصبح المتحدث في المستوى الأعلى (المستوى 0) محور المتحدثين الأدنى (المستوى 1) من التسلسل الهرمي. يطلب من المتحدثين باسم تنفيذ VDC إعادة توجيه حركة المرور إلى المحور المركزي. يمكن لحركة المرور بعد ذلك الانتقال إلى وجهتها إما في الشبكة المحلية أو الإنترنت العام. تقدم البنية ذات المستويين من المحاور توجيها معقدا يزيل فوائد العلاقة البسيطة بين المحاور.

على الرغم من أن Azure يسمح بالطوبولوجيا المعقدة ، إلا أن أحد المبادئ الأساسية لمفهوم VDC هو التكرار والبساطة. لتقليل جهد الإدارة إلى الحد الأدنى، فإن التصميم البسيط المحوري هو البنية المرجعية ل VDC التي نوصي بها.

المكونات

يتكون مركز البيانات الافتراضي من أربعة أنواع أساسية من المكونات: البنية التحتيةوالشبكات المحيطةوأعباء العمل والمراقبة.

يتكون كل نوع مكون من العديد من ميزات وموارد Azure. يتكون تنفيذ VDC من مثيلات لأنواع مكونات متعددة وأشكال متعددة من نفس نوع المكون. على سبيل المثال ، قد يكون لديك العديد من مثيلات عبء العمل المختلفة والمنفصلة منطقيا والتي تمثل تطبيقات مختلفة. يمكنك استخدام هذه الأنواع المختلفة من المكونات والمثيلات لإنشاء VDC.

4

تظهر البنية المفاهيمية الرفيعة المستوى السابقة ل VDC أنواعا مختلفة من المكونات المستخدمة في مناطق مختلفة من طوبولوجيا المتحدثين بالمحور. يوضح الرسم البياني مكونات البنية التحتية في أجزاء مختلفة من البنية التحتية.

وكممارسة جيدة بشكل عام، يمكن أن تكون حقوق الوصول وامتيازاته قائمة على أساس جماعي. يسهل التعامل مع المجموعات بدلا من المستخدمين الفرديين الحفاظ على سياسات الوصول، من خلال توفير طريقة متسقة لإدارتها عبر الفرق، مما يساعد في تقليل أخطاء التكوين. يساعد تعيين المستخدمين وإزالتهم من المجموعات المناسبة وإليها في الحفاظ على تحديث امتيازات مستخدم معين.

يمكن أن يكون لكل مجموعة أدوار بادئة فريدة على أسمائها. تسهل هذه البادئة تحديد عبء العمل المرتبط بالمجموعة. على سبيل المثال، قد يحتوي عبء العمل الذي يستضيف خدمة مصادقة على مجموعات تسمى AuthServiceNetOps وAuthServiceSecOps وAuthServiceDevOps وAuthServiceInfraOps. قد تكون الأدوار المركزية ، أو الأدوار غير المرتبطة بخدمة معينة ، مقدمة مع Corp. مثال على ذلك هو CorpNetOps.

تستخدم العديد من المنظمات مجموعة متنوعة من المجموعات التالية لتقديم توزيع رئيسي للأدوار:

  • يمتلك فريق تكنولوجيا المعلومات المركزي المسمى Corp حقوق الملكية للتحكم في مكونات البنية التحتية. ومن الأمثلة على ذلك الشبكات والأمن. تحتاج المجموعة إلى أن يكون لها دور المساهم في الاشتراك والتحكم في المركز وحقوق مساهمي الشبكة في المتحدثين الرسميين. غالبا ما تقسم المؤسسات الكبيرة مسؤوليات الإدارة هذه بين فرق متعددة. ومن الأمثلة على ذلك مجموعة عمليات الشبكة CorpNetOps مع التركيز الحصري على الشبكات ومجموعة عمليات الأمان CorpSecOps المسؤولة عن جدار الحماية وسياسة الأمان. في هذه الحالة المحددة، يجب إنشاء مجموعتين مختلفتين لتعيين هذه الأدوار المخصصة.
  • تتحمل مجموعة التطوير/الاختبار المسماة AppDevOps مسؤولية نشر أحمال عمل التطبيق أو الخدمة. تأخذ هذه المجموعة دور مساهم الجهاز الظاهري لعمليات نشر IaaS أو دور واحد أو أكثر من أدوار مساهمي PaaS. لمزيد من المعلومات، راجع أدوار Azure المضمنة. اختياريا، قد يحتاج فريق التطوير/الاختبار إلى رؤية سياسات الأمان (مجموعات أمان الشبكة) وسياسات التوجيه (المسارات المعرفة من قبل المستخدم) داخل المركز أو منطوق معين. وبالإضافة إلى دور المساهم في أعباء العمل، ستحتاج هذه المجموعة أيضا إلى دور قارئ الشبكة.
  • تتحمل مجموعة التشغيل والصيانة المسماة CorpInfraOps أو AppInfraOps مسؤولية إدارة أعباء العمل في الإنتاج. يجب أن تكون هذه المجموعة مساهما في الاشتراك في أعباء العمل في أي اشتراكات إنتاج. قد تقوم بعض المؤسسات أيضا بتقييم ما إذا كانت بحاجة إلى مجموعة فريق دعم التصعيد مع دور مساهم الاشتراك في الإنتاج واشتراك المحور المركزي. تعمل المجموعة الأخرى على إصلاح مشكلات التكوين المحتملة في بيئة الإنتاج.

تم تصميم VDC بحيث يكون لمجموعات فريق تكنولوجيا المعلومات المركزية التي تدير المركز مجموعات مناظرة على مستوى عبء العمل. بالإضافة إلى إدارة موارد المحور، يمكن لفريق تكنولوجيا المعلومات المركزي التحكم في الوصول الخارجي والأذونات ذات المستوى الأعلى على الاشتراك. يمكن لمجموعات عبء العمل أيضا التحكم في موارد وأذونات شبكتها الافتراضية بشكل مستقل عن فريق تكنولوجيا المعلومات المركزي.

تم تقسيم مركز البيانات الافتراضي لاستضافة مشاريع متعددة بشكل آمن عبر خطوط عمل مختلفة. تتطلب جميع المشاريع بيئات معزولة مختلفة (التطوير ، UAT ، والإنتاج). يمكن أن توفر اشتراكات Azure المنفصلة لكل من هذه البيئات عزلة طبيعية.

5

يوضح الرسم التخطيطي السابق العلاقة بين مشاريع المؤسسة والمستخدمين والمجموعات والبيئات التي يتم فيها نشر مكونات Azure.

عادة في تكنولوجيا المعلومات ، البيئة (أو الطبقة) هي نظام يتم فيه نشر تطبيقات متعددة وتنفيذها. تستخدم المؤسسات الكبيرة بيئة تطوير (حيث يتم إجراء التغييرات واختبارها) وبيئة إنتاج (ما يستخدمه المستخدمون النهائيون). يتم فصل هذه البيئات ، وغالبا ما يكون هناك العديد من بيئات التدريج بينهما ، للسماح بالنشر التدريجي (الطرح) والاختبار والتراجع إذا ظهرت مشاكل. تختلف معماريات النشر اختلافا كبيرا ، ولكن عادة ما يتم اتباع العملية الأساسية للبدء في التطوير (DEV) وتنتهي عند الإنتاج (PROD).

تتضمن البنية الشائعة لهذه الأنواع من البيئات متعددة المستويات DevOps للتطوير والاختبار ، و UAT للتدريج ، وبيئات الإنتاج. يمكن للمؤسسات استخدام مستأجري Azure AD مفردين أو متعددين لتحديد الوصول إلى هذه البيئات وحقوقها. يوضح الرسم البياني السابق حالة يتم فيها استخدام مستأجرين مختلفين ل Azure AD: أحدهما ل DevOps و UAT ، والآخر حصريا للإنتاج.

يؤدي وجود مستأجرين مختلفين في Azure AD إلى فرض الفصل بين البيئات. تحتاج نفس المجموعة من المستخدمين، مثل فريق تكنولوجيا المعلومات المركزي، إلى المصادقة باستخدام عنوان URI مختلف للوصول إلى مستأجر Azure AD مختلف. يسمح هذا للفريق بتعديل أدوار أو أذونات DevOps أو بيئات الإنتاج الخاصة بالمشروع. يؤدي وجود مصادقة مستخدم مختلفة للوصول إلى بيئات مختلفة إلى تقليل حالات الانقطاع المحتملة والمشكلات الأخرى الناجمة عن الأخطاء البشرية.

نوع المكون: البنية التحتية

هذا النوع من المكونات هو المكان الذي توجد فيه معظم البنية التحتية الداعمة. كما أنه المكان الذي تقضي فيه فرق تكنولوجيا المعلومات والأمان والامتثال المركزية معظم وقتها.

6

توفر مكونات البنية التحتية اتصالا بينيا للمكونات المختلفة لتنفيذ VDC ، وهي موجودة في كل من المركز والمتحدثين. عادة ما يتم تعيين مسؤولية إدارة وصيانة مكونات البنية التحتية إلى فريق تكنولوجيا المعلومات المركزي أو فريق الأمن.

تتمثل إحدى المهام الأساسية لفريق البنية التحتية لتكنولوجيا المعلومات في ضمان اتساق مخططات عناوين IP عبر المؤسسة. يجب أن تكون مساحة عنوان IP الخاصة المخصصة لتنفيذ VDC متسقة وغير متداخلة مع عناوين IP الخاصة المعينة على شبكاتك المحلية.

على الرغم من أن NAT على أجهزة التوجيه الطرفية المحلية أو في بيئات Azure يمكنها تجنب تعارضات عناوين IP، إلا أنها تضيف تعقيدات إلى مكونات البنية الأساسية الخاصة بك. بساطة الإدارة هي واحدة من الأهداف الرئيسية لمركز توثيق القضايا. استخدام NAT للتعامل مع مخاوف IP ، على الرغم من أنه حل صالح ، ليس حلا موصى به.

تحتوي مكونات البنية الأساسية على الوظائف التالية:

  • خدمات الهوية والدليل: يتم التحكم في الوصول إلى كل نوع مورد في Azure بواسطة هوية مخزنة في خدمة دليل. لا تخزن خدمة الدليل قائمة المستخدمين فحسب، بل تخزن أيضا حقوق الوصول إلى الموارد في اشتراك Azure محدد. يمكن أن توجد هذه الخدمات في السحابة، أو يمكن مزامنتها مع الهوية المحلية المخزنة في Active Directory.
  • الشبكات الافتراضية: تعد الشبكات الافتراضية أحد المكونات الرئيسية لمركز توثيق الظاهرة، وتمكنك من إنشاء حد عزل حركة المرور على النظام الأساسي Azure. تتكون الشبكة الافتراضية من شريحة شبكة افتراضية واحدة أو متعددة، لكل منها بادئة شبكة IP محددة (شبكة فرعية، إما IPv4 أو مكدس مزدوج IPv4/IPv6). تحدد الشبكة الظاهرية منطقة محيط داخلية حيث يمكن للأجهزة الظاهرية IaaS وخدمات PaaS إنشاء اتصالات خاصة. لا يمكن للأجهزة الظاهرية (وخدمات PaaS) في شبكة ظاهرية واحدة الاتصال مباشرة بالأجهزة الظاهرية (وخدمات PaaS) في شبكة ظاهرية مختلفة. هذا صحيح حتى لو تم إنشاء كلتا الشبكتين الافتراضيتين من قبل نفس العميل ، تحت نفس الاشتراك. العزلة هي خاصية مهمة تضمن بقاء الأجهزة الظاهرية للعملاء والاتصالات خاصة داخل شبكة افتراضية. عندما يكون الاتصال عبر الشبكة مطلوبا ، تصف الميزات التالية كيف يمكن تحقيقه.
  • نظير الشبكة الافتراضية: الميزة الأساسية المستخدمة لإنشاء البنية التحتية ل VDC هي نظير الشبكة الافتراضية ، والتي تربط شبكتين افتراضيتين في نفس المنطقة. يحدث هذا الاتصال من خلال شبكة مركز بيانات Azure أو باستخدام العمود الفقري العالمي ل Azure عبر المناطق.
  • نقاط نهاية خدمة الشبكة الظاهرية: تعمل نقاط نهاية الخدمة على توسيع مساحة العنوان الخاص بالشبكة الافتراضية لتشمل مساحة PaaS. تعمل نقاط النهاية أيضا على توسيع هوية شبكتك الظاهرية إلى خدمات Azure عبر اتصال مباشر. تسمح لك نقاط النهاية بتأمين موارد خدمة Azure المهمة لشبكاتك الظاهرية.
  • الارتباط الخاص: يتيح لك Azure Private Link الوصول إلى خدمات Azure PaaS (على سبيل المثال، Azure Storage وAzure Cosmos DBوقاعدة بيانات Azure SQL) وخدمات العملاء/الشركاء المستضافة من Azure عبر نقطة نهاية خاصة في شبكتك الافتراضية. قم بنقل البيانات بين شبكتك الظاهرية وخدمات الاجتياز عبر شبكة Microsoft الأساسية، مما يلغي التعرض للإنترنت العام. يمكنك أيضا إنشاء خدمة الارتباط الخاص بك في شبكتك الافتراضية وتسليمها بشكل خاص لعملائك. تتوافق تجربة الإعداد والاستهلاك باستخدام Azure Private Link عبر Azure PaaS وخدمات الشركاء المشتركة المملوكة للعملاء.
  • المسارات المعرفة من قبل المستخدم: يتم توجيه حركة المرور في شبكة افتراضية بشكل افتراضي استنادا إلى جدول توجيه النظام. المسار المعرف من قبل المستخدم هو جدول توجيه مخصص يمكن لمسؤولي الشبكة إقرانه بشبكة فرعية واحدة أو أكثر لتجاوز سلوك جدول توجيه النظام وتحديد مسار اتصال داخل شبكة ظاهرية. يضمن وجود مسارات محددة من قبل المستخدم حركة المرور من العبور الناطق عبر أجهزة ظاهرية مخصصة محددة أو أجهزة افتراضية للشبكة وموازنات تحميل موجودة في كل من المحور والمتحدثين.
  • مجموعات أمان الشبكة: مجموعة أمان الشبكة هي قائمة بقواعد الأمان التي تعمل كتصفية لحركة المرور على مصادر IP ووجهات IP والبروتوكولات ومنافذ مصدر IP ومنافذ وجهة IP (وتسمى أيضا الطبقة 4 المكونة من خمس مجموعات). يمكن تطبيق مجموعة أمان الشبكة على شبكة فرعية أو NIC ظاهري مقترن بجهاز ظاهري Azure أو كليهما. تعد مجموعات أمان الشبكة ضرورية لتنفيذ التحكم الصحيح في التدفق في المحور وفي المتحدثين الرسميين. مستوى الأمان الذي توفره مجموعة أمان الشبكة هو وظيفة المنافذ التي تفتحها ولأي غرض. يمكن للعملاء تطبيق المزيد من مرشحات كل جهاز ظاهري باستخدام جدران الحماية المستندة إلى المضيف مثل iptables أو جدار الحماية Windows.
  • DNS: يوفر DNS دقة الاسم للموارد في مركز بيانات ظاهري. يوفر Azure خدمات DNS لكل من حل الأسماء العامةوالخاصة . توفر المناطق الخاصة دقة الاسم داخل شبكة افتراضية وعبر الشبكات الافتراضية. يمكن أن تمتد المناطق الخاصة عبر الشبكات الافتراضية في نفس المنطقة ، وعبر المناطق والاشتراكات. للحصول على حل عام، يوفر Azure DNS خدمة استضافة لمجالات DNS، مما يوفر دقة الاسم باستخدام البنية الأساسية ل Microsoft Azure. من خلال استضافة نطاقاتك في Azure، يمكنك إدارة سجلات DNS باستخدام نفس بيانات الاعتماد وواجهات برمجة التطبيقات والأدوات والفوترة مثل خدمات Azure الأخرى.
  • إدارة المجموعةوالاشتراك وإدارة مجموعة الموارد . يحدد الاشتراك حدا طبيعيا لإنشاء مجموعات متعددة من الموارد في Azure. يمكن أن يكون هذا الفصل للوظيفة أو فصل الأدوار أو الفوترة. يتم تجميع الموارد الموجودة في الاشتراك معا في حاويات منطقية تعرف باسم مجموعات الموارد. تمثل مجموعة الموارد مجموعة منطقية لتنظيم الموارد في مركز بيانات ظاهري. إذا كان لدى مؤسستك العديد من الاشتراكات، فقد تحتاج إلى طريقة لإدارة الوصول والسياسات والامتثال لهذه الاشتراكات بكفاءة. توفر مجموعات إدارة Azure مستوى نطاق أعلى من الاشتراكات. يمكنك تنظيم الاشتراكات في حاويات تعرف باسم مجموعات الإدارة وتطبيق شروط الحوكمة على مجموعات الإدارة. ترث جميع الاشتراكات داخل مجموعة الإدارة الشروط المطبقة على مجموعة الإدارة تلقائياً. للاطلاع على هذه الميزات الثلاث في طريقة عرض التدرج الهرمي، راجع تنظيم مواردك في إطار اعتماد السحابة.
  • Azure role-based access control (Azure RBAC): يمكن ل Azure RBAC تعيين الأدوار والحقوق التنظيمية للوصول إلى موارد Azure محددة. يتيح لك ذلك تقييد المستخدمين بمجموعة فرعية معينة فقط من الإجراءات. إذا كنت تقوم بمزامنة Azure Active Directory مع Active Directory محلي، فيمكنك استخدام نفس مجموعات Active Directory في Azure التي تستخدمها محليا. باستخدام Azure RBAC، يمكنك منح حق الوصول عن طريق تعيين الدور المناسب للمستخدمين والمجموعات والتطبيقات ضمن النطاق ذي الصلة. يمكن أن يكون نطاق تعيين الدور اشتراكا في Azure أو مجموعة موارد أو موردا واحدا. يسمح Azure RBAC بتوريث الأذونات. كما يمنح الدور المعين في نطاق الوالدين إمكانية الوصول إلى الأطفال الموجودين فيه. باستخدام Azure RBAC، يمكنك فصل الواجبات، ومنح مقدار الوصول فقط للمستخدمين الذين يحتاجون إليهم لأداء وظائفهم. على سبيل المثال ، يمكن لأحد الموظفين إدارة الأجهزة الظاهرية في اشتراك ، بينما يمكن لموظف آخر إدارة قواعد بيانات SQL Server في نفس الاشتراك.

نوع المكون: الشبكات المحيطة

تقوم مكونات الشبكة المحيطة (تسمى أحيانا شبكة DMZ) بتوصيل شبكات مراكز البيانات المحلية أو الفعلية، إلى جانب أي اتصال بالإنترنت. يتطلب المحيط عادة استثمارا كبيرا في الوقت من الشبكة وفرق الأمان.

يمكن أن تتدفق الحزم الواردة عبر أجهزة الأمان في المحور قبل الوصول إلى الخوادم والخدمات الخلفية في المتحدثين الرسميين. تتضمن الأمثلة جدار الحماية و IDS و IPS. قبل أن يغادروا الشبكة ، يمكن أيضا أن تتدفق الحزم المرتبطة بالإنترنت من أعباء العمل عبر أجهزة الأمان في الشبكة المحيطة. يتيح هذا التدفق إنفاذ السياسة والتفتيش والتدقيق.

تشمل مكونات الشبكة المحيطة ما يلي:

عادة ما يتحمل فريق تكنولوجيا المعلومات المركزي وفرق الأمن مسؤولية تحديد المتطلبات وتشغيل الشبكات المحيطة.

7

يوضح الرسم البياني السابق إنفاذ محيطين مع إمكانية الوصول إلى الإنترنت وشبكة محلية ، وكلاهما مقيمان في مركز المنطقة المجردة من السلاح. في مركز DMZ ، يمكن توسيع نطاق الشبكة المحيطة بالإنترنت لدعم العديد من خطوط الأعمال ، باستخدام مزارع متعددة من جدران حماية تطبيقات الويب (WAFs) أو جدران حماية Azure. يسمح المحور أيضا بالاتصال المحلي عبر VPN أو ExpressRoute حسب الحاجة.

ملاحظة

في الرسم التخطيطي السابق، في ، يمكن تجميع العديد من الميزات التالية معا في DMZ Hubمركز Azure Virtual WAN (مثل الشبكات الظاهرية والمسارات المعرفة من قبل المستخدم ومجموعات أمان الشبكة وبوابات VPN وبوابات ExpressRoute وموازنات تحميل Azure وجدران حماية Azure ومدير جدار الحماية وDDOS). يمكن أن يؤدي استخدام موزعات Azure Virtual WAN إلى جعل إنشاء الشبكة الظاهرية للموزع وVDC أسهل بكثير، نظرا لأن Azure يتعامل مع معظم التعقيدات الهندسية نيابة عنك عند نشر موزع Azure Virtual WAN .

الشبكات الظاهرية. عادة ما يتم بناء المحور على شبكة افتراضية مع شبكات فرعية متعددة تستضيف أنواعا مختلفة من الخدمات. تقوم هذه الخدمات بتصفية وفحص حركة المرور من أو إلى الإنترنت عبر مثيلات Azure Firewall وNVAs وWAF وAzure Application Gateway.

المسارات المعرفة من قبل المستخدم. باستخدام المسارات المعرفة من قبل المستخدم، يمكن للعملاء نشر جدران الحماية وIDS/IPS والأجهزة الافتراضية الأخرى. يمكنهم توجيه حركة مرور الشبكة من خلال هذه الأجهزة الأمنية لإنفاذ سياسة الحدود الأمنية والتدقيق والتفتيش. يمكن إنشاء مسارات محددة من قبل المستخدم في كل من الموزع والمتحدثين الرسميين لضمان مرور حركة المرور عبر الأجهزة الظاهرية المخصصة المحددة والأجهزة الافتراضية للشبكة وموازنات التحميل المستخدمة من قبل تنفيذ VDC. لضمان أن حركة المرور المتولدة من الأجهزة الظاهرية في الناطقة تنتقل إلى الأجهزة الافتراضية الصحيحة ، يجب تعيين مسار محدد من قبل المستخدم في الشبكات الفرعية للناطق. يتم ذلك عن طريق تعيين عنوان IP الأمامي لموازن التحميل الداخلي كقفزة تالية. يقوم موازن التحميل الداخلي بتوزيع حركة المرور الداخلية على الأجهزة الافتراضية (تجمع الواجهة الخلفية لموازن التحميل).

Azure Firewall هي خدمة أمان شبكة مدارة تحمي موارد شبكة Azure الظاهرية. إنه جدار حماية مدار ذو حالة جيدة مع توفر عال وقابلية للتوسع السحابي. يمكنك إنشاء نُهج اتصال الشبكة والتطبيق وفرضها وتسجيلها عبر الاشتراكات والشبكات الظاهرية. يستخدم Azure Firewall عنوان IP عامًا ثابتًا من أجل موارد شبكتك الظاهرية. يسمح لجدران الحماية الخارجية بتحديد حركة المرور التي تنشأ من شبكتك الافتراضية. تتكامل الخدمة بالكامل مع Azure Monitor للتسجيل والتحليلات.

إذا كنت تستخدم طبولوجيا Azure Virtual WAN ، فإن Azure Firewall Manager هي خدمة إدارة أمان توفر نهج أمان مركزي وإدارة مسار لمحيطات الأمان المستندة إلى مجموعة النظراء. وهو يعمل مع مركز Azure Virtual WAN ، وهو مورد تديره Microsoft يتيح لك بسهولة إنشاء معماريات محورية وناطقة. عندما ترتبط سياسات الأمان والتوجيه بمركز محوري، يشار إليه باسم مركز افتراضي آمن.

شبكة الأجهزة الافتراضية. في الموزع، تتم إدارة الشبكة المحيطة التي يمكنها الوصول إلى الإنترنت عادة من خلال مثيل جدار حماية Azure أو مزرعة من جدران الحماية أو جدار حماية تطبيق الويب (WAF).

تستخدم خطوط الأعمال المختلفة عادة العديد من تطبيقات الويب ، والتي تميل إلى المعاناة من نقاط الضعف المختلفة والمآثر المحتملة. جدران حماية تطبيقات الويب هي نوع خاص من المنتجات المستخدمة للكشف عن الهجمات ضد تطبيقات الويب و HTTP / HTTPS بشكل أكثر فعالية من جدار الحماية العام. بالمقارنة مع تقنية جدار الحماية التقليدية ، تحتوي WAFs على مجموعة من الميزات المحددة لحماية خوادم الويب الداخلية من التهديدات.

يستخدم جدار حماية Azure أو جدار حماية NVA مستوى إدارة مشتركا، مع مجموعة من قواعد الأمان لحماية أحمال العمل المستضافة في المتحدثين الرسميين، والتحكم في الوصول إلى الشبكات المحلية. يحتوي جدار حماية Azure على قابلية التوسع مضمنة ، في حين يمكن تحجيم جدران الحماية NVA يدويا خلف موازن التحميل. بشكل عام ، تحتوي مزرعة جدار الحماية على برامج أقل تخصصا مقارنة ب WAF ، ولكن لديها نطاق تطبيق أوسع لتصفية وفحص أي نوع من حركة المرور في الخروج والدخول. إذا تم استخدام نهج NVA ، فيمكن العثور عليها ونشرها من Azure Marketplace.

نوصي باستخدام مجموعة واحدة من مثيلات جدار حماية Azure، أو NVAs، لحركة المرور التي تنشأ على الإنترنت. استخدم آخر لحركة المرور التي تنشأ محليا. يعد استخدام مجموعة واحدة فقط من جدران الحماية لكليهما خطرا أمنيا لأنه لا يوفر محيطا أمنيا بين مجموعتي حركة مرور الشبكة. يقلل استخدام طبقات جدار الحماية المنفصلة من تعقيد التحقق من قواعد الأمان ، مما يوضح القواعد التي تتوافق مع طلب الشبكة الوارد.

يوفر Azure Load Balancer خدمة الطبقة 4 (TCP/UDP) عالية التوفر، والتي يمكنها توزيع حركة المرور الواردة بين مثيلات الخدمة المحددة في مجموعة متوازنة التحميل. يمكن إعادة توزيع حركة المرور المرسلة إلى موازن التحميل من نقاط النهاية الأمامية (نقاط نهاية IP العامة أو نقاط نهاية IP الخاصة) مع أو بدون ترجمة العنوان إلى مجموعة من تجمعات عناوين IP الخلفية (مثل الأجهزة الظاهرية للشبكة أو الأجهزة الظاهرية).

يمكن ل Azure Load Balancer التحقق من سلامة مثيلات الخادم المختلفة. عندما يفشل مثيل في الاستجابة لمسبار، يتوقف موازن التحميل عن إرسال حركة المرور إلى المثيل غير الصحي. في مركز بيانات افتراضي ، يتم نشر موازن تحميل خارجي إلى المركز والمتحدثين. في الموزع، يتم استخدام موازن التحميل لتوجيه حركة المرور بكفاءة عبر مثيلات جدار الحماية. في المتحدثين الرسميين ، يتم استخدام موازنات التحميل لإدارة حركة مرور التطبيقات.

Azure Front Door (AFD) هو النظام الأساسي لتسريع تطبيقات الويب المتوفر للغاية والقابل للتطوير من Microsoft ، وموازن تحميل HTTP العالمي ، وحماية التطبيقات ، وشبكة تسليم المحتوى. تعمل AFD في أكثر من 100 موقع على حافة شبكة Microsoft العالمية ، وتمكنك من إنشاء تطبيق الويب الديناميكي والمحتوى الثابت وتشغيله وتوسيع نطاقه. توفر الوكالة الفرنسية للتنمية لتطبيقك أداء عالميا للمستخدم النهائي، وأتمتة صيانة إقليمية / طوابع موحدة، وأتمتة غرفة البحرين لتسوية المنازعات، ومعلومات العميل / المستخدم الموحدة، والتخزين المؤقت، ورؤى الخدمة.

تقدم المنصة:

  • اتفاقيات الأداء والموثوقية والدعم على مستوى الخدمة (SLAs).
  • شهادات الامتثال.
  • ممارسات الأمان القابلة للتدقيق التي يتم تطويرها وتشغيلها ودعمها أصلا بواسطة Azure.

يوفر Azure Front Door أيضا جدار حماية تطبيقات الويب (WAF)، الذي يحمي تطبيقات الويب من الثغرات الأمنية الشائعة والتعرضات.

Azure Application Gateway هو جهاز افتراضي مخصص يوفر وحدة تحكم مدارة في تسليم التطبيقات. يوفر العديد من إمكانات موازنة الأحمال من الطبقة 7 للتطبيق الخاص بك. يسمح لك بتحسين أداء مزرعة الويب عن طريق تفريغ إنهاء SSL المكثف لوحدة المعالجة المركزية إلى بوابة التطبيق. كما يوفر إمكانات توجيه Layer 7 الأخرى ، مثل التوزيع الدائري لحركة المرور الواردة ، وتقارب الجلسة المستند إلى ملفات تعريف الارتباط ، والتوجيه المستند إلى مسار عنوان URL ، والقدرة على استضافة مواقع ويب متعددة خلف بوابة تطبيق واحدة. كما يتم توفير جدار حماية تطبيق الويب (WAF) كجزء من بوابة التطبيق WAF SKU. توفر وحدة SKU هذه الحماية لتطبيقات الويب من نقاط الضعف والمآثر الشائعة على الويب. يمكن تكوين بوابة التطبيق كبوابة مواجهة للإنترنت أو بوابة داخلية فقط أو مزيج من الاثنين معا.

عناوين IP العامة. باستخدام بعض ميزات Azure، يمكنك إقران نقاط نهاية الخدمة بعنوان IP عام بحيث يمكن الوصول إلى موردك من الإنترنت. تستخدم نقطة النهاية هذه NAT لتوجيه حركة المرور إلى العنوان الداخلي والمنفذ على الشبكة الظاهرية في Azure. هذا المسار هو الطريقة الأساسية لحركة المرور الخارجية للمرور إلى الشبكة الافتراضية. يمكنك تكوين عناوين IP العامة لتحديد حركة المرور التي يتم تمريرها وكيفية ومكان ترجمتها إلى الشبكة الظاهرية.

يوفر Azure DDoS Protection Standard المزيد من إمكانات التخفيف عبر طبقة الخدمة الأساسية التي يتم ضبطها خصيصا لموارد الشبكة الظاهرية ل Azure. تعد الخدمة القياسية لحماية DDoS بسيطة في تمكينها ولا تتطلب أي تغييرات في التطبيق. ويتم ضبط نُهج الحماية من خلال رصد نسبة استخدام الشبكة وخوارزميات التعلّم الآلي المخصصة. يتم تطبيق النهج على عناوين IP العامة المرتبطة بالموارد المنشورة في الشبكات الافتراضية. تتضمن الأمثلة موازن تحميل Azure وبوابة تطبيق Azure ومثيلات نسيج خدمة Azure. تتوفر السجلات التي ينشئها النظام في الوقت الفعلي تقريبا من خلال طرق عرض شاشة Azure أثناء الهجوم وللمحفوظات. يمكن إضافة حماية طبقة التطبيق من خلال جدار حماية تطبيق ويب بوابة تطبيق Azure. يتم توفير الحماية لعناوين IPv4 و IPv6 Azure العامة.

تستخدم الطبولوجيا المحورية والمنطوقة نظير الشبكة الافتراضية والطرق المعرفة من قبل المستخدم لتوجيه حركة المرور بشكل صحيح.

8

في الرسم التخطيطي، يضمن المسار المعرف من قبل المستخدم تدفق حركة المرور من الناطق إلى جدار الحماية قبل المرور إلى أماكن العمل من خلال بوابة ExpressRoute (إذا كانت سياسة جدار الحماية تسمح بهذا التدفق).

نوع المكون: مراقبة

توفر مكونات المراقبة الرؤية والتنبيه من جميع أنواع المكونات الأخرى. يمكن لجميع الفرق الوصول إلى مراقبة المكونات والخدمات التي يمكنهم الوصول إليها. إذا كان لديك مكتب مساعدة مركزي أو فرق عمليات، فإنها تتطلب وصولا متكاملا إلى البيانات التي توفرها هذه المكونات.

يقدم Azure أنواعا مختلفة من خدمات التسجيل والمراقبة لتعقب سلوك الموارد المستضافة من Azure. لا تعتمد إدارة أعباء العمل والتحكم فيها في Azure على جمع بيانات السجل فحسب، بل تعتمد أيضا على القدرة على تشغيل الإجراءات استنادا إلى أحداث محددة تم الإبلاغ عنها.

Azure Monitor. يتضمن Azure خدمات متعددة تؤدي بشكل فردي دورًا أو مهمة محددة في مساحة المراقبة. توفر هذه الخدمات مجتمعة حلا شاملا لجمع السجلات التي ينشئها النظام من تطبيقاتك وموارد Azure التي تدعمها وتحليلها والعمل عليها. ويمكنهم أيضا العمل على مراقبة الموارد المحلية الهامة لتوفير بيئة مراقبة مختلطة. يعد فهم الأدوات والبيانات المتوفرة الخطوة الأولى في تطوير استراتيجية مراقبة كاملة لتطبيقاتك.

هناك نوعان أساسيان من السجلات في Azure Monitor:

  • المقاييس هي قيم عددية تصف بعض جوانب النظام في نقطة زمنية معينة. إنها خفيفة الوزن وقادرة على دعم السيناريوهات في الوقت الفعلي تقريبا. بالنسبة للعديد من موارد Azure، سترى البيانات التي تم جمعها بواسطة Azure Monitor مباشرة في صفحة النظرة العامة الخاصة بها في مدخل Azure. على سبيل المثال، انظر إلى أي جهاز ظاهري وسترى العديد من المخططات التي تعرض مقاييس الأداء. حدد أيا من الرسوم البيانية لفتح البيانات في مستكشف المقاييس في مدخل Azure، مما يسمح لك بتخطيط قيم مقاييس متعددة بمرور الوقت. يمكنك عرض المخططات بشكل تفاعلي أو تثبيتها بلوحة معلومات لعرضها مع تصورات أخرى.

  • السجلات تحتوي على أنواع مختلفة من البيانات منظمة في سجلات بمجموعات مختلفة من الخصائص لكل نوع. يتم تخزين الأحداث والآثار كسجلات جنبا إلى جنب مع بيانات الأداء ، والتي يمكن دمجها جميعا للتحليل. يمكن تحليل بيانات السجلات التي تجمعها Azure Monitor باستخدام الاستعلامات لاسترداد البيانات المجمَّعة ودمجها وتحليلها بسرعة. يتم تخزين السجلات والاستعلام عنها من تحليلات السجلات. يمكنك إنشاء استعلامات واختبارها باستخدام تحليلات السجل في مدخل Azure، وتحليل البيانات مباشرة باستخدام هذه الأدوات أو حفظ الاستعلامات لاستخدامها مع المرئيات أو قواعد التنبيه.

9

يمكن لـ Azure Monitor جمع البيانات من مصادر مختلفة. يمكنك التفكير في مراقبة البيانات الخاصة بتطبيقاتك في طبقات تتراوح من تطبيقك وأي نظام تشغيل والخدمات التي يعتمد عليها وصولا إلى منصة Azure نفسها. يجمع Azure Monitor البيانات من كل من المستويات التالية:

  • بيانات مراقبة التطبيق: بيانات حول أداء ووظائف الشفرة التي كتبتها، بغض النظر عن النظام الأساسي الخاص بها.
  • بيانات مراقبة نظام التشغيل الضيف: بيانات حول نظام التشغيل الذي يعمل عليه التطبيق. يمكن تشغيل نظام التشغيل هذا في Azure أو سحابة أخرى أو في مكان العمل.
  • ⁧⁧⁩⁩بيانات مراقبة موارد Azure: وبيانات عن تشغيل مورد Azure.
  • بيانات مراقبة اشتراك Azure: بيانات حول تشغيل اشتراك Azure وإدارته، وسلامة Azure نفسه وتشغيله.
  • ⁧⁧⁩⁩⁧⁩بيانات مراقبة المستأجر على Azure:⁩⁧بيانات حول تشغيل خدمات Azure على مستوى المستأجر، مثل Azure Active Directory.
  • مصادر مخصصة: يمكن أيضا تضمين السجلات المرسلة من مصادر محلية. تتضمن الأمثلة أحداث الخادم المحلية أو إخراج syslog لجهاز الشبكة.

مراقبة البيانات مفيدة فقط إذا كان يمكن أن تزيد من الرؤية في عملية بيئة الحوسبة الخاصة بك. يتضمن Azure Monitor العديد من الميزات والأدوات التي توفر رؤى قيمة حول تطبيقاتك والموارد الأخرى التي تعتمد عليها. توفر حلول وميزات المراقبة مثل رؤى التطبيقات و Azure Monitor للحاويات رؤى عميقة حول الجوانب المختلفة لتطبيقك وخدمات Azure المحددة.

حلول المراقبة في Azure Monitor هي مجموعات منطقية معبأة توفر رؤى لتطبيق أو خدمة معينة. وهي تشمل المنطق لجمع بيانات المراقبة للتطبيق أو الخدمة ، والاستعلامات لتحليل تلك البيانات ، وطرق العرض للتصور. تتوفر حلول المراقبة من Microsoft والشركاء لتوفير المراقبة لمختلف خدمات Azure والتطبيقات الأخرى.

باستخدام هذه المجموعة من البيانات الغنية، من المهم اتخاذ إجراء استباقي بشأن الأحداث التي تحدث في بيئتك، خاصة عندما لا تكفي الاستعلامات اليدوية وحدها. تُعلِمك التنبيهات في Azure Monitor بشكل استباقي بالحالات الحرجة ومن المحتمل أن تحاول اتخاذ إجراء تصحيحي. توفر قواعد التنبيه المستندة إلى المقاييس تنبيها في الوقت الفعلي تقريبا استنادا إلى القيم الرقمية. تسمح قواعد التنبيه المستندة إلى السجلات بمنطق معقد عبر البيانات من مصادر متعددة. تستخدم قواعد التنبيه في Azure Monitor مجموعات إجراءات، والتي تتضمن مجموعات فريدة من المستلمين والإجراءات التي يمكن مشاركتها عبر عدة قواعد. استنادا إلى متطلباتك ، يمكن لمجموعات الإجراءات استخدام خطافات الويب التي تتسبب في بدء التنبيهات في الإجراءات الخارجية أو التكامل مع أدوات ITSM الخاصة بك.

يسمح Azure Monitor أيضا بإنشاء لوحات معلومات مخصصة. تسمح لك لوحات معلومات Azure بدمج أنواع مختلفة من البيانات، بما في ذلك المقاييس والسجلات، في جزء واحد في مدخل Azure. يمكنك مشاركة لوحة المعلومات اختياريا مع مستخدمي Azure الآخرين. يمكن إضافة العناصر الموجودة في جميع أنحاء Azure Monitor إلى لوحة معلومات Azure بالإضافة إلى إخراج أي استعلام سجل أو مخطط مقاييس. على سبيل المثال، يمكنك إنشاء لوحة معلومات تجمع بين اللوحات التي تعرض رسما بيانيا للمقاييس وجدولا بسجلات الأنشطة ومخطط استخدام من رؤى التطبيق ومخرجات استعلام سجل.

وأخيرا، تعد بيانات Azure Monitor مصدرا أصليا ل Power BI. Power BI هي خدمة تحليلات أعمال توفر مرئيات تفاعلية عبر مصادر بيانات متنوعة. كما أنها وسيلة فعالة لتوفير البيانات للآخرين داخل مؤسستك وخارجها. يمكنك تكوين Power BI لاستيراد بيانات السجل تلقائيا من Azure Monitor للاستفادة من هذه المرئيات الإضافية.

يوفر Azure Network Watcher أدوات لمراقبة المقاييس وتشخيصها وعرضها وتمكين السجلات للموارد الموجودة في شبكة ظاهرية في Azure أو تعطيلها. إنها خدمة متعددة الأوجه تسمح بالوظائف التالية والمزيد:

  • راقب الاتصال بين جهاز ظاهري ونقطة نهاية.
  • عرض الموارد في شبكة افتراضية وعلاقاتها.
  • تشخيص مشاكل تصفية حركة مرور الشبكة من أو إلى جهاز ظاهري.
  • تشخيص مشاكل توجيه الشبكة من جهاز ظاهري.
  • تشخيص الاتصالات الصادرة من جهاز ظاهري.
  • التقاط الحزم من وإلى جهاز ظاهري.
  • تشخيص المشاكل المتعلقة ببوابة الشبكة الظاهرية والاتصالات.
  • تحديد زمن الانتقال النسبي بين مناطق Azure وموفري خدمة الإنترنت.
  • عرض قواعد الأمان لواجهة شبكة.
  • عرض مقاييس الشبكة.
  • تحليل حركة المرور من أو إلى مجموعة أمان الشبكة.
  • عرض السجلات التشخيصية لموارد الشبكة.

نوع المكون: أحمال العمل

مكونات عبء العمل هي المكان الذي توجد فيه تطبيقاتك وخدماتك الفعلية. إنه المكان الذي تقضي فيه فرق تطوير التطبيقات معظم وقتها.

إمكانيات عبء العمل لا حصر لها. فيما يلي عدد قليل من أنواع عبء العمل المحتملة:

التطبيقات الداخلية: تعد تطبيقات خط الأعمال أمرا بالغ الأهمية لعمليات المؤسسة. هذه التطبيقات لها بعض الخصائص المشتركة:

  • تبادلي: يتم إدخال البيانات، ويتم إرجاع النتائج أو التقارير.
  • تعتمد على البيانات: بيانات مكثفة مع الوصول المتكرر إلى قواعد البيانات أو غيرها من وحدات التخزين.
  • متكامل: تقديم التكامل مع الأنظمة الأخرى داخل أو خارج المؤسسة.

مواقع الويب التي تواجه العملاء (التي تواجه الإنترنت أو التي تواجه داخليا): معظم تطبيقات الإنترنت هي مواقع ويب. يمكن ل Azure تشغيل موقع ويب عبر جهاز ظاهري IaaS أو موقع Azure Web Apps (PaaS). تتكامل تطبيقات الويب Azure مع الشبكات الظاهرية لنشر تطبيقات الويب في منطقة شبكة متحدثة. لا تحتاج مواقع الويب التي تواجه داخليا إلى الكشف عن نقطة نهاية إنترنت عامة لأن الموارد يمكن الوصول إليها عبر عناوين خاصة غير قابلة للتوجيه عبر الإنترنت من الشبكة الافتراضية الخاصة.

تحليلات البيانات الضخمة: عندما تحتاج البيانات إلى التوسع إلى أحجام أكبر ، قد لا تعمل قواعد البيانات العلائقية بشكل جيد في ظل الحمل الشديد أو الطبيعة غير المنظمة للبيانات. Azure HDInsight هي خدمة تحليلات مدارة وكاملة الطيف ومفتوحة المصدر في السحابة للمؤسسات. يمكنك استخدام أطر مفتوحة المصدر مثل Hadoop و Apache Spark و Apache Hive و LLAP و Apache Kafka و Apache Storm و R. HDInsight. وهذا يدعم النشر في شبكة افتراضية قائمة على الموقع ، والتي يمكن نشرها على مجموعة في حديث عن مركز البيانات الافتراضي.

الأحداث والرسائل:Azure Event Hubs عبارة عن نظام أساسي لتدفق البيانات الكبيرة وخدمة استيعاب الأحداث. ويمكن أن تتلقى ملايين الأحداث في الثانية ومعالجتها. فهو يوفر زمن انتقال منخفض واحتفاظا بالوقت قابلا للتكوين، مما يتيح لك استيعاب كميات هائلة من البيانات في Azure وقراءتها من تطبيقات متعددة. يمكن أن يدعم دفق واحد خطوط الأنابيب في الوقت الفعلي والدفعات.

يمكنك تنفيذ خدمة مراسلة سحابية موثوقة للغاية بين التطبيقات والخدمات من خلال ناقل خدمة Azure. يوفر رسائل وسيطة غير متزامنة بين العميل والخادم ، ورسائل منظمة من الأول إلى الأول (FIFO) ، وينشر ويشترك في القدرات.

10

بالكاد تخدش هذه الأمثلة سطح أنواع أحمال العمل التي يمكنك إنشاؤها في Azure. يمكنك إنشاء كل شيء بدءا من الويب الأساسي وتطبيق SQL إلى أحدث ما توصلت إليه إنترنت الأشياء والبيانات الضخمة والتعلم الآلي الذكاء الاصطناعي وغير ذلك الكثير.

توافر كبير: مراكز بيانات افتراضية متعددة

حتى الآن ، ركزت هذه المقالة على تصميم VDC واحد ، واصفا المكونات والبنى الأساسية التي تساهم في المرونة. ميزات Azure مثل Azure Load Balancer وNVAs ومناطق توافر الخدمات ومجموعات التوفر ومجموعات المقاييس والإمكانات الأخرى التي تساعدك على تضمين مستويات SLA صلبة في خدمات الإنتاج الخاصة بك.

ومع ذلك، نظرا لأن مركز البيانات الافتراضي يتم تنفيذه عادة داخل منطقة واحدة، فقد يكون عرضة للانقطاع الذي يؤثر على المنطقة بأكملها. يجب على العملاء الذين يحتاجون إلى توفر عال حماية الخدمات من خلال نشر نفس المشروع في اثنين أو أكثر من تطبيقات VDC التي تم نشرها في مناطق مختلفة.

بالإضافة إلى مخاوف اتفاقية مستوى الخدمة ، تستفيد العديد من السيناريوهات الشائعة من تشغيل مراكز بيانات افتراضية متعددة:

  • التواجد الإقليمي أو العالمي للمستخدمين النهائيين أو الشركاء.
  • متطلبات التعافي من الكوارث.
  • آلية لتحويل حركة المرور بين مراكز البيانات للتحميل أو الأداء.

التواجد الإقليمي/العالمي

توجد مراكز بيانات Azure في العديد من المناطق حول العالم. عند تحديد مراكز بيانات Azure متعددة، ضع في اعتبارك عاملين مرتبطين: المسافات الجغرافية والكمون. لتحسين تجربة المستخدم، قم بتقييم المسافة بين كل مركز بيانات افتراضي والمسافة من كل مركز بيانات افتراضي إلى المستخدمين النهائيين.

يجب أن تتوافق منطقة Azure التي تستضيف مركز البيانات الافتراضي الخاص بك مع المتطلبات التنظيمية لأي ولاية قضائية قانونية تعمل مؤسستك بموجبها.

التعافي من الكوارث

يعتمد تصميم خطة التعافي من الكوارث على أنواع أعباء العمل والقدرة على مزامنة حالة أعباء العمل هذه بين مختلف عمليات تنفيذ VDC. من الناحية المثالية ، يرغب معظم العملاء في آلية سريعة لتجاوز الفشل ، وقد يحتاج هذا المتطلب إلى مزامنة بيانات التطبيق بين عمليات النشر التي تعمل في تطبيقات VDC متعددة. ومع ذلك، عند تصميم خطط التعافي من الكوارث، من المهم مراعاة أن معظم التطبيقات حساسة لزمن الوصول الذي يمكن أن تسببه مزامنة البيانات هذه.

تتطلب المزامنة ومراقبة نبضات القلب للتطبيقات في تطبيقات VDC المختلفة منهم التواصل عبر الشبكة. يمكن توصيل العديد من تطبيقات VDC في مناطق مختلفة من خلال:

  • الاتصال من مركز إلى مركز مضمن في موزعات شبكة WAN الافتراضية ل Azure عبر المناطق في شبكة WAN الافتراضية نفسها.
  • نظير الشبكة الافتراضية لتوصيل الموزعات عبر المناطق.
  • نظير ExpressRoute الخاص ، عندما تكون الموزعات في كل تنفيذ VDC متصلة بنفس دائرة ExpressRoute.
  • العديد من دوائر ExpressRoute متصلة عبر العمود الفقري لشركتك ، وتطبيقات VDC المتعددة المتصلة بدوائر ExpressRoute.
  • اتصالات VPN من موقع إلى موقع بين المنطقة الموزعة لتطبيقات VDC في كل منطقة Azure.

عادة ما تكون موزعات شبكة WAN الافتراضية أو نظير الشبكة الافتراضية أو اتصالات ExpressRoute مفضلة للاتصال بالشبكة، نظرا لعرض النطاق الترددي العالي ومستويات الكمون المتسقة عند المرور عبر العمود الفقري ل Microsoft.

قم بإجراء اختبارات تأهيل الشبكة للتحقق من زمن الوصول وعرض النطاق الترددي لهذه الاتصالات، وتحديد ما إذا كان النسخ المتماثل للبيانات المتزامنة أو غير المتزامنة مناسبا استنادا إلى النتيجة. من المهم أيضا تقييم هذه النتائج في ضوء الهدف الأمثل لوقت الاسترداد (RTO).

التعافي من الكوارث: تحويل حركة المرور من منطقة إلى أخرى

يقوم كل من Azure Traffic ManagerوAzure Front Door بالتحقق بشكل دوري من حالة خدمة نقاط نهاية الاستماع في تطبيقات VDC المختلفة. في حالة فشل نقاط النهاية هذه، يقوم Azure Traffic Manager وAzure Front Door بالتوجيه تلقائيا إلى أقرب VDC التالي. يستخدم مدير حركة المرور قياسات المستخدم في الوقت الفعلي وDNS لتوجيه المستخدمين إلى الأقرب (أو الأقرب التالي أثناء الفشل). Azure Front Door هو وكيل عكسي في أكثر من 100 موقع حافة أساسية من Microsoft ، باستخدام anycast لتوجيه المستخدمين إلى أقرب نقطة نهاية استماع.

الملخص

يتمثل نهج مركز البيانات الظاهري للترحيل في إنشاء بنية قابلة للتطوير تعمل على تحسين استخدام موارد Azure وخفض التكاليف وتبسيط إدارة النظام. يعتمد مركز البيانات الافتراضي بشكل نموذجي على طبولوجيات الشبكة المحورية والناطقة (باستخدام إما نظير الشبكة الافتراضية أو موزعات شبكة WAN الافتراضية). يتم نشر الخدمات المشتركة المشتركة المقدمة في المركز ، ويتم نشر تطبيقات وأعباء عمل محددة في المتحدثين الرسميين. يطابق مركز البيانات الافتراضي أيضا هيكل أدوار الشركة ، حيث تعمل الإدارات المختلفة مثل تكنولوجيا المعلومات المركزية و DevOps والعمليات والصيانة معا أثناء أداء أدوارها المحددة. يدعم مركز البيانات الظاهري ترحيل أحمال العمل المحلية الحالية إلى Azure، ولكنه يوفر أيضا العديد من المزايا لعمليات النشر السحابية الأصلية.

المراجع

تعرف على المزيد حول إمكانات Azure التي تمت مناقشتها في هذا المستند.

ميزات الشبكة
Azure Virtual Networks
مجموعات أمان الشبكة
⁩نقاط نهاية الخدمة⁧
Private Link
المسارات المعرفة من قبل المستخدم
Network Virtual Appliances
عناوين IP العامة
Azure DNS

موازنة التحميل
Azure Front Door
Azure Load Balancer (Layer 4)
بوابة التطبيق (الطبقة 7)
Azure Traffic Manager

قابلية التوصيل
النظراء في الشبكة الافتراضية
الشبكة الافتراضية الخاصة
Virtual WAN
ExpressRoute
ExpressRoute Direct

الهوية
Azure Active Directory
⁩مصادقة Microsoft Azure Active Directory متعددة العوامل⁧
Azure role-based access control
⁩أدوار Azure المضمنة⁧

المراقبة
مراقب الشبكة
Azure Monitor
Log Analytics

أفضل الممارسات
مجموعة الإدارة
إدارة الاشتراكات
إدارة مجموعة الموارد
حدود اشتراك Azure

الأمان
جدار حماية Azure
Firewall Manager
بوابة التطبيق WAF
الباب الأمامي WAF
Azure DDoS

خدمات Azure الأخرى
تخزين Azure
Azure SQL
Azure Web Apps
Azure Cosmos DB
HDInsight
مراكز الأحداث
ناقل الخدمة
Azure IoT
التعلم الآلي من Azure

الخطوات التالية

  • تعرف على المزيد حول نظير الشبكة الافتراضية ، والتكنولوجيا الأساسية للمركز والطبولوجيات الناطقة.
  • تنفيذ Azure Active Directory لاستخدام التحكم في الوصول المستند إلى دور Azure.
  • قم بتطوير نموذج إدارة الاشتراك والموارد باستخدام عنصر تحكم الوصول المستند إلى دور Azure الذي يناسب بنية مؤسستك ومتطلباتها وسياساتها. النشاط الأكثر أهمية هو التخطيط. حلل كيف ستؤثر عمليات إعادة التنظيم وعمليات الدمج وخطوط الإنتاج الجديدة والاعتبارات الأخرى على نماذجك الأولية لضمان قدرتك على التوسع لتلبية الاحتياجات والنمو في المستقبل.