تكوين الشبكات الظاهرية للخدمات المعرفية ل Azure

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

يوفر Azure Cognitive Services نموذج أمان متعدد الطبقات. يمكنك هذا النموذج من تأمين حسابات الخدمات المعرفية الخاصة بك إلى مجموعة فرعية محددة من الشبكات. عند تكوين قواعد الشبكة، يمكن فقط للتطبيقات التي تطلب البيانات عبر مجموعة محددة من الشبكات الوصول إلى الحساب. يمكنك تقييد الوصول إلى مواردك باستخدام تصفية الطلبات. السماح فقط بالطلبات التي تنشأ من عناوين IP محددة أو نطاقات IP أو من قائمة من الشبكات الفرعية في شبكات Azure الظاهرية.

يتطلب التطبيق الذي يصل إلى مورد الخدمات المعرفية عندما تكون قواعد الشبكة سارية المفعول تفويضا. يتم دعم التخويل باستخدام بيانات اعتماد Azure Active Directory (Azure AD) أو باستخدام مفتاح API صالح.

هام

يؤدي تشغيل قواعد جدار الحماية لحساب الخدمات المعرفية إلى حظر الطلبات الواردة للبيانات بشكل افتراضي. من أجل السماح بمرور الطلبات ، يجب استيفاء أحد الشروط التالية:

• يجب أن ينشأ الطلب من خدمة تعمل داخل شبكة Azure الظاهرية (VNet) في قائمة الشبكات الفرعية المسموح بها لحساب الخدمات المعرفية الهدف. يجب تعيين نقطة النهاية في الطلبات التي نشأت من VNet كنطاق فرعي مخصص لحساب الخدمات المعرفية الخاص بك.
• أو يجب أن ينشأ الطلب من قائمة مسموح بها من عناوين IP.

تتضمن الطلبات المحظورة الطلبات الواردة من خدمات Azure الأخرى ومن مدخل Microsoft Azure ومن خدمات التسجيل والقياسات وما إلى ذلك.

ملاحظة

تستخدم هذه المقالة الوحدة النمطية Azure Az PowerShell، وهي الوحدة النمطية PowerShell الموصى بها للتفاعل مع Azure. لبدء استخدام الوحدة النمطية Az PowerShell، راجع تثبيت Azure PowerShell. لمعرفة كيفية الترحيل إلى الوحدة النمطية Az PowerShell، راجع ترحيل Azure PowerShell من AzureRM إلى Az.

السيناريوهات

لتأمين مورد الخدمات المعرفية، يجب عليك أولا تكوين قاعدة لرفض الوصول إلى حركة المرور من جميع الشبكات (بما في ذلك حركة مرور الإنترنت) بشكل افتراضي. بعد ذلك ، يجب عليك تكوين القواعد التي تمنح حق الوصول إلى حركة المرور من VNets محددة. يمكنك هذا التكوين من إنشاء حدود شبكة آمنة لتطبيقاتك. يمكنك أيضا تكوين القواعد لمنح حق الوصول إلى حركة المرور من نطاقات عناوين IP العامة المحددة للإنترنت، مما يتيح الاتصالات من إنترنت معين أو عملاء محليين.

يتم فرض قواعد الشبكة على جميع بروتوكولات الشبكة الخاصة بخدمات Azure المعرفية، بما في ذلك REST وWebSocket. للوصول إلى البيانات باستخدام أدوات مثل وحدات تحكم اختبار Azure، يجب تكوين قواعد الشبكة الصريحة. يمكنك تطبيق قواعد الشبكة على موارد الخدمات المعرفية الموجودة، أو عند إنشاء موارد خدمات معرفية جديدة. بمجرد تطبيق قواعد الشبكة، يتم فرضها على جميع الطلبات.

المناطق المدعومة وعروض الخدمات

يتم دعم الشبكات الافتراضية (VNETs) في المناطق التي تتوفر فيها الخدمات المعرفية. لا يدعم المورد متعدد الخدمات حاليا VNET. تدعم الخدمات المعرفية علامات الخدمة لتكوين قواعد الشبكة. يتم تضمين الخدمات المدرجة أدناه في علامة خدمة CognitiveServicesManagement .

• Anomaly Detector
• رؤية الكمبيوتر
• مشرف المحتوى
• Custom Vision
• وجه
• فهم اللغة (LUIS)
• Personalizer
• خدمة الكلام
• خدمة اللغة
• QnA Maker
• نص Translator

ملاحظة

إذا كنت تستخدم LUIS أو خدمات الكلام، فإن علامة CognitiveServicesManagement تمكنك فقط من استخدام الخدمة باستخدام SDK أو واجهة برمجة تطبيقات REST. للوصول إلى مدخل LUIS و/أو Speech Studio واستخدامهما من شبكة ظاهرية، ستحتاج إلى استخدام العلامات التالية:

• AzureActiveDirectory
• AzureFrontDoor.Frontend
• AzureResourceManager
• CognitiveServicesManagement

تغيير قاعدة الوصول إلى الشبكة الافتراضية

بشكل افتراضي، تقبل موارد الخدمات المعرفية الاتصالات من العملاء على أي شبكة. لتقييد الوصول إلى الشبكات المحددة، يجب أولاً تغيير الإجراء الافتراضي.

تحذير

يمكن أن يؤثر إجراء تغييرات على قواعد الشبكة على قدرة تطبيقاتك على الاتصال بخدمات Azure المعرفية. يؤدي تعيين قاعدة الشبكة الافتراضية لرفض حظر كل الوصول إلى البيانات ما لم يتم أيضا تطبيق قواعد شبكة معينة تمنح الوصول. تأكد من منح حق الوصول إلى أي شبكات مسموح بها باستخدام قواعد الشبكة قبل تغيير القاعدة الافتراضية لرفض الوصول. إذا كنت تسمح بإدراج عناوين IP لشبكتك المحلية، فتأكد من إضافة جميع عناوين IP العامة الصادرة الممكنة من شبكتك المحلية.

إدارة قواعد الوصول إلى الشبكة الافتراضية

يمكنك إدارة قواعد الوصول إلى الشبكة الافتراضية لموارد الخدمات المعرفية من خلال مدخل Azure أو PowerShell أو Azure CLI.

مدخل Microsoft Azure

1. انتقل إلى مورد الخدمات المعرفية الذي تريد تأمينه.

2. حدد قائمة إدارة المواردالمسماة الشبكة الظاهرية.

   

3. لرفض الوصول بشكل افتراضي، اختر السماح بالوصول من الشبكات المحددة. باستخدام إعداد الشبكات المحددة وحدها، غير المصحوب بشبكات افتراضية أو نطاقات عناوين تم تكوينها - يتم رفض كل الوصول بشكل فعال. عند رفض كل الوصول، لا يسمح بالطلبات التي تحاول استهلاك مورد الخدمات المعرفية. لا يزال من الممكن استخدام مدخل Azure أو Azure PowerShell أو Azure CLI لتكوين مورد الخدمات المعرفية.

4. للسماح بحركة المرور من جميع الشبكات، اختر السماح بالوصول من جميع الشبكات.

   

5. حدد «حفظ» لتطبيق التغييرات الخاصة بك.

PowerShell

1. قم بتثبيت Azure PowerShellوقم بتسجيل الدخول، أو حدد تجربته.

2. عرض حالة القاعدة الافتراضية لمورد الخدمات المعرفية.

   $parameters = @{
       -ResourceGroupName "myresourcegroup"
       -Name "myaccount"
   }
   (Get-AzCognitiveServicesAccountNetworkRuleSet @parameters).DefaultAction
   

3. قم بتعيين القاعدة الافتراضية لرفض الوصول إلى الشبكة بشكل افتراضي.

   $parameters = @{
       -ResourceGroupName "myresourcegroup"
       -Name "myaccount"
       -DefaultAction Deny
   }
   Update-AzCognitiveServicesAccountNetworkRuleSet @parameters
   

4. قم بتعيين القاعدة الافتراضية للسماح بالوصول إلى الشبكة بشكل افتراضي.

   $parameters = @{
       -ResourceGroupName "myresourcegroup"
       -Name "myaccount"
       -DefaultAction Allow
   }
   Update-AzCognitiveServicesAccountNetworkRuleSet @parameters
   

Azure CLI

1. قم بتثبيت Azure CLIوتسجيل الدخول، أو حدد تجربته.

2. عرض حالة القاعدة الافتراضية لمورد الخدمات المعرفية.

   az cognitiveservices account show \
       -g "myresourcegroup" -n "myaccount" \
       --query networkRuleSet.defaultAction
   

3. قم بتعيين القاعدة الافتراضية لرفض الوصول إلى الشبكة بشكل افتراضي.

   az cognitiveservices account update \
       -g "myresourcegroup" -n "myaccount" \
       --default-action Deny
   

4. قم بتعيين القاعدة الافتراضية للسماح بالوصول إلى الشبكة بشكل افتراضي.

   az cognitiveservices account update \
       -g "myresourcegroup" -n "myaccount" \
       --default-action Allow
   

منح حق الوصول من شبكة اتصال ظاهرية

يمكنك تكوين موارد الخدمات المعرفية للسماح بالوصول فقط من شبكات فرعية محددة. قد تنتمي الشبكات الفرعية المسموح بها إلى VNet في نفس الاشتراك، أو في اشتراك مختلف، بما في ذلك الاشتراكات التي تنتمي إلى مستأجر Azure Active Directory مختلف.

تمكين نقطة نهاية خدمة لخدمات Azure المعرفية داخل VNet. تقوم نقطة نهاية الخدمة بتوجيه حركة المرور من VNet عبر مسار مثالي إلى خدمة Azure Cognitive Services. كما يتم إرسال هويات الشبكة الفرعية والشبكة الافتراضية مع كل طلب. يمكن للمسؤولين بعد ذلك تكوين قواعد الشبكة لمورد الخدمات المعرفية التي تسمح بتلقي الطلبات من شبكات فرعية محددة في VNet. يجب على العملاء الذين تم منحهم حق الوصول عبر قواعد الشبكة هذه الاستمرار في تلبية متطلبات التفويض الخاصة بمورد الخدمات المعرفية للوصول إلى البيانات.

يدعم كل مورد من موارد الخدمات المعرفية ما يصل إلى 100 قاعدة شبكة افتراضية، والتي يمكن دمجها مع قواعد شبكة IP.

الأذونات المطلوبة

لتطبيق قاعدة شبكة ظاهرية على مورد الخدمات المعرفية، يجب أن يكون لدى المستخدم الأذونات المناسبة للشبكات الفرعية التي تتم إضافتها. الإذن المطلوب هو دور المساهم الافتراضي أو دور مساهم الخدمات المعرفية . يمكن أيضا إضافة الأذونات المطلوبة إلى تعريفات الدور المخصصة.

قد يكون مورد الخدمات المعرفية والشبكات الظاهرية الممنوحة حق الوصول في اشتراكات مختلفة، بما في ذلك الاشتراكات التي تشكل جزءا من مستأجر Azure AD مختلف.

ملاحظة

يتم حاليا دعم تكوين القواعد التي تمنح حق الوصول إلى الشبكات الفرعية في الشبكات الظاهرية التي تشكل جزءا من مستأجر Azure Active Directory مختلف فقط من خلال واجهات برمجة تطبيقات PowerShell وCLI وREST. لا يمكن تكوين هذه القواعد من خلال مدخل Azure، على الرغم من أنه يمكن عرضها في البوابة الإلكترونية.

إدارة قواعد الشبكة الافتراضية

يمكنك إدارة قواعد الشبكة الظاهرية لموارد الخدمات المعرفية من خلال مدخل Azure أو PowerShell أو Azure CLI.

مدخل Microsoft Azure

1. انتقل إلى مورد الخدمات المعرفية الذي تريد تأمينه.

2. حدد قائمة إدارة المواردالمسماة الشبكة الظاهرية.

3. تحقق من أنك حددت للسماح بالوصول من الشبكات المحددة.

4. لمنح حق الوصول إلى شبكة ظاهرية باستخدام قاعدة شبكة موجودة، ضمن الشبكات الظاهرية، حدد إضافة شبكة ظاهرية موجودة.

   

5. حدد خيارات الشبكات الظاهريةوالشبكات الفرعية ، ثم حدد تمكين.

   

6. لإنشاء شبكة ظاهرية جديدة ومنحها حق الوصول، حدد إضافة شبكة ظاهرية جديدة.

   

7. قم بتوفير المعلومات اللازمة لإنشاء الشبكة الظاهرية الجديدة، ثم حدد إنشاء.

   

   ملاحظة

   إذا لم يتم تكوين نقطة نهاية خدمة ل Azure Cognitive Services مسبقا للشبكة الظاهرية والشبكات الفرعية المحددة، فيمكنك تكوينها كجزء من هذه العملية.

   في الوقت الحالي، يتم عرض الشبكات الظاهرية التي تنتمي إلى مستأجر Azure Active Directory نفسه فقط للتحديد أثناء إنشاء القاعدة. لمنح حق الوصول إلى شبكة فرعية في شبكة ظاهرية تابعة لمستأجر آخر، يرجى استخدام واجهات برمجة تطبيقات PowerShell أو CLI أو REST.

8. لإزالة قاعدة شبكة ظاهرية أو شبكة فرعية، حدد ... لفتح قائمة السياق للشبكة الظاهرية أو الشبكة الفرعية، وحدد إزالة.

   

9. حدد «حفظ» لتطبيق التغييرات الخاصة بك.

PowerShell

1. قم بتثبيت Azure PowerShellوقم بتسجيل الدخول، أو حدد تجربته.

2. سرد قواعد الشبكة الظاهرية.

   $parameters = @{
       -ResourceGroupName "myresourcegroup"
       -Name "myaccount"
   }
   (Get-AzCognitiveServicesAccountNetworkRuleSet @parameters).VirtualNetworkRules
   

3. تمكين نقطة نهاية الخدمة ل Azure Cognitive Services على شبكة ظاهرية وشبكة فرعية موجودة.

   Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" `
       -Name "myvnet" | Set-AzVirtualNetworkSubnetConfig -Name "mysubnet" `
       -AddressPrefix "10.0.0.0/24" `
       -ServiceEndpoint "Microsoft.CognitiveServices" | Set-AzVirtualNetwork
   

4. إضافة قاعدة شبكة اتصال لشبكة ظاهرية وشبكة فرعية.

   $subParameters = @{
       -ResourceGroupName "myresourcegroup"
       -Name "myvnet"
   }
   $subnet = Get-AzVirtualNetwork @subParameters | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
   
   $parameters = @{
       -ResourceGroupName "myresourcegroup"
       -Name "myaccount"
       -VirtualNetworkResourceId $subnet.Id
   }
   Add-AzCognitiveServicesAccountNetworkRule @parameters
   

   تلميح

   لإضافة قاعدة شبكة لشبكة فرعية في VNet ينتمي إلى مستأجر Azure AD آخر، استخدم معلمة VirtualNetworkResourceId مؤهلة بالكامل في النموذج "/subscriptions/subscription-ID/resourceGroups/resourceGroup-Name/providers/Microsoft.Network/virtualNetworks/vNet-name/subnets/subnet-name".

5. إزالة قاعدة شبكة لشبكة ظاهرية وشبكة فرعية.

   $subParameters = @{
       -ResourceGroupName "myresourcegroup"
       -Name "myvnet"
   }
   $subnet = Get-AzVirtualNetwork @subParameters | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
   
   $parameters = @{
       -ResourceGroupName "myresourcegroup"
       -Name "myaccount"
       -VirtualNetworkResourceId $subnet.Id
   }
   Remove-AzCognitiveServicesAccountNetworkRule @parameters
   

Azure CLI

1. قم بتثبيت Azure CLIوتسجيل الدخول، أو حدد تجربته.

2. سرد قواعد الشبكة الظاهرية.

   az cognitiveservices account network-rule list \
       -g "myresourcegroup" -n "myaccount" \
       --query virtualNetworkRules
   

3. تمكين نقطة نهاية الخدمة ل Azure Cognitive Services على شبكة ظاهرية وشبكة فرعية موجودة.

   az network vnet subnet update -g "myresourcegroup" -n "mysubnet" \
   --vnet-name "myvnet" --service-endpoints "Microsoft.CognitiveServices"
   

4. إضافة قاعدة شبكة اتصال لشبكة ظاهرية وشبكة فرعية.

   $subnetid=(az network vnet subnet show \
       -g "myresourcegroup" -n "mysubnet" --vnet-name "myvnet" \
       --query id --output tsv)
   
   # Use the captured subnet identifier as an argument to the network rule addition
   az cognitiveservices account network-rule add \
       -g "myresourcegroup" -n "myaccount" \
       --subnet $subnetid
   

   تلميح

   لإضافة قاعدة لشبكة فرعية في VNet ينتمي إلى مستأجر Azure AD آخر، استخدم معرف شبكة فرعية مؤهلا بالكامل في النموذج "/subscriptions/subscription-ID/resourceGroups/resourceGroup-Name/providers/Microsoft.Network/virtualNetworks/vNet-name/subnets/subnet-name".

   يمكنك استخدام معلمة الاشتراك لاسترداد معرف الشبكة الفرعية ل VNet ينتمي إلى مستأجر Azure AD آخر.

5. إزالة قاعدة شبكة لشبكة ظاهرية وشبكة فرعية.

   $subnetid=(az network vnet subnet show \
       -g "myresourcegroup" -n "mysubnet" --vnet-name "myvnet" \
       --query id --output tsv)
   
   # Use the captured subnet identifier as an argument to the network rule removal
   az cognitiveservices account network-rule remove \
       -g "myresourcegroup" -n "myaccount" \
       --subnet $subnetid
   

هام

تأكد من تعيين القاعدة الافتراضية للرفض، وإلا فلن يكون لقواعد الشبكة أي تأثير.

منح حق الوصول من نطاق IP للإنترنت

يمكنك تكوين موارد الخدمات المعرفية للسماح بالوصول من نطاقات عناوين IP عامة محددة للإنترنت. يمنح هذا التكوين إمكانية الوصول إلى خدمات محددة وشبكات محلية ، مما يؤدي إلى حظر حركة المرور العامة على الإنترنت بشكل فعال.

توفير نطاقات عناوين الإنترنت المسموح بها باستخدام تدوين CIDR في النموذج 16.17.18.0/24 أو كعناوين IP فردية مثل 16.17.18.19.

تلميح

نطاقات العناوين الصغيرة التي تستخدم أحجام البادئة "/31" أو "/32" غير مدعومة. يجب تكوين هذه النطاقات باستخدام قواعد عنوان IP الفردية.

قواعد شبكة IP مسموح بها فقط لعناوين IP العامة للإنترنت . لا يسمح بنطاقات عناوين IP المحجوزة للشبكات الخاصة (كما هو محدد في RFC 1918) في قواعد IP. تتضمن الشبكات الخاصة عناوين تبدأ ب 10.*،172.31.*172.16.* - و .192.168.*

يتم دعم عناوين IPV4 فقط في الوقت الحالي. يدعم كل مورد من موارد الخدمات المعرفية ما يصل إلى 100 قاعدة شبكة IP، والتي يمكن دمجها مع قواعد الشبكة الافتراضية.

تكوين الوصول من الشبكات المحلية

لمنح حق الوصول من شبكاتك المحلية إلى مورد الخدمات المعرفية باستخدام قاعدة شبكة IP، يجب عليك تحديد عناوين IP التي تواجه الإنترنت والتي تستخدمها شبكتك. اتصل بمسؤول الشبكة للحصول على المساعدة.

إذا كنت تستخدم ExpressRoute محليا للمقارنة بين النظراء العامين أو نظير Microsoft، فستحتاج إلى تحديد عناوين IP ل NAT. بالنسبة للنظير العام، تستخدم كل دائرة ExpressRoute بشكل افتراضي عنواني IP NAT. يتم تطبيق كل منها على حركة مرور خدمة Azure عند دخول حركة المرور إلى العمود الفقري لشبكة Microsoft Azure. بالنسبة إلى نظير Microsoft، يتم توفير عناوين IP NAT المستخدمة إما من قبل العميل أو يتم توفيرها من قبل موفر الخدمة. للسماح بالوصول إلى موارد الخدمة الخاصة بك، يجب أن تسمح لعناوين IP العامة هذه في إعداد جدار حماية IP للمورد. للعثور على عناوين IP لدائرة ExpressRoute العامة، افتح بطاقة دعم مع ExpressRoute عبر مدخل Microsoft Azure. تعرف على المزيد حول NAT ل ExpressRoute العام ونظير Microsoft.

إدارة قواعد شبكة IP

يمكنك إدارة قواعد شبكة IP لموارد الخدمات المعرفية من خلال مدخل Azure أو PowerShell أو Azure CLI.

مدخل Microsoft Azure

1. انتقل إلى مورد الخدمات المعرفية الذي تريد تأمينه.

2. حدد قائمة إدارة المواردالمسماة الشبكة الظاهرية.

3. تحقق من أنك حددت للسماح بالوصول من الشبكات المحددة.

4. لمنح حق الوصول إلى نطاق IP للإنترنت، أدخل عنوان IP أو نطاق العناوين (بتنسيق CIDR) ضمن نطاق FirewallAddress>. يتم قبول عناوين IP العامة (غير المحجوزة) الصالحة فقط.

   

5. لإزالة قاعدة شبكة IP، حدد أيقونة سلة المهملات بجوار نطاق العناوين.

   

6. حدد «حفظ» لتطبيق التغييرات الخاصة بك.

PowerShell

1. قم بتثبيت Azure PowerShellوقم بتسجيل الدخول، أو حدد تجربته.

2. سرد قواعد شبكة IP.

   $parameters = @{
       -ResourceGroupName "myresourcegroup"
       -Name "myaccount"
   }
   (Get-AzCognitiveServicesAccountNetworkRuleSet @parameters).IPRules
   

3. إضافة قاعدة شبكة لعنوان IP فردي.

   $parameters = @{
       -ResourceGroupName "myresourcegroup"
       -Name "myaccount"
       -IPAddressOrRange "16.17.18.19"
   }
   Add-AzCognitiveServicesAccountNetworkRule @parameters
   

4. إضافة قاعدة شبكة لنطاق عنوان IP.

   $parameters = @{
       -ResourceGroupName "myresourcegroup"
       -Name "myaccount"
       -IPAddressOrRange "16.17.18.0/24"
   }
   Add-AzCognitiveServicesAccountNetworkRule @parameters
   

5. إزالة قاعدة شبكة لعنوان IP فردي.

   $parameters = @{
       -ResourceGroupName "myresourcegroup"
       -Name "myaccount"
       -IPAddressOrRange "16.17.18.19"
   }
   Remove-AzCognitiveServicesAccountNetworkRule @parameters
   

6. إزالة قاعدة شبكة لنطاق عنوان IP.

   $parameters = @{
       -ResourceGroupName "myresourcegroup"
       -Name "myaccount"
       -IPAddressOrRange "16.17.18.0/24"
   }
   Remove-AzCognitiveServicesAccountNetworkRule @parameters
   

Azure CLI

1. قم بتثبيت Azure CLIوتسجيل الدخول، أو حدد تجربته.

2. سرد قواعد شبكة IP.

   az cognitiveservices account network-rule list \
       -g "myresourcegroup" -n "myaccount" --query ipRules
   

3. إضافة قاعدة شبكة لعنوان IP فردي.

   az cognitiveservices account network-rule add \
       -g "myresourcegroup" -n "myaccount" \
       --ip-address "16.17.18.19"
   

4. إضافة قاعدة شبكة لنطاق عنوان IP.

   az cognitiveservices account network-rule add \
       -g "myresourcegroup" -n "myaccount" \
       --ip-address "16.17.18.0/24"
   

5. إزالة قاعدة شبكة لعنوان IP فردي.

   az cognitiveservices account network-rule remove \
       -g "myresourcegroup" -n "myaccount" \
       --ip-address "16.17.18.19"
   

6. إزالة قاعدة شبكة لنطاق عنوان IP.

   az cognitiveservices account network-rule remove \
       -g "myresourcegroup" -n "myaccount" \
       --ip-address "16.17.18.0/24"
   

هام

تأكد من تعيين القاعدة الافتراضية للرفض، وإلا فلن يكون لقواعد الشبكة أي تأثير.

استخدام نقاط نهاية خاصة

يمكنك استخدام نقاط النهاية الخاصة لموارد الخدمات المعرفية للسماح للعملاء على شبكة افتراضية (VNet) بالوصول الآمن إلى البيانات عبر ارتباط خاص. تستخدم نقطة النهاية الخاصة عنوان IP من مساحة عنوان VNet لمورد الخدمات المعرفية. تمر حركة مرور الشبكة بين العملاء على VNet والمورد عبر VNet وارتباط خاص على شبكة Microsoft الأساسية ، مما يلغي التعرض من الإنترنت العام.

تتيح لك نقاط النهاية الخاصة لموارد الخدمات المعرفية ما يلي:

• قم بتأمين مورد الخدمات المعرفية الخاص بك عن طريق تكوين جدار الحماية لحظر جميع الاتصالات على نقطة النهاية العامة لخدمة الخدمات المعرفية.
• قم بزيادة الأمان ل VNet، من خلال تمكينك من حظر استخراج البيانات من VNet.
• اتصل بأمان بموارد الخدمات المعرفية من الشبكات المحلية التي تتصل ب VNet باستخدام VPN أو ExpressRoutes مع نظير خاص.

نظرة عامة منطقية

نقطة النهاية الخاصة هي واجهة شبكة خاصة لمورد Azure في VNet. يوفر إنشاء نقطة نهاية خاصة لمورد الخدمات المعرفية اتصالا آمنا بين العملاء في VNet والمورد الخاص بك. يتم تعيين عنوان IP لنقطة النهاية الخاصة من نطاق عناوين IP الخاص بشبكة VNet لديك. يستخدم الاتصال بين نقطة النهاية الخاصة وخدمة الخدمات المعرفية رابطا خاصا آمنا.

يمكن للتطبيقات في VNet الاتصال بالخدمة عبر نقطة النهاية الخاصة بسلاسة ، باستخدام نفس سلاسل الاتصال وآليات التفويض التي قد تستخدمها بخلاف ذلك. الاستثناء هو خدمات الكلام، والتي تتطلب نقطة نهاية منفصلة. راجع القسم الخاص بنقاط النهاية الخاصة مع خدمات الكلام. يمكن استخدام نقاط النهاية الخاصة مع جميع البروتوكولات التي يدعمها مورد الخدمات المعرفية، بما في ذلك REST.

يمكن إنشاء نقاط نهاية خاصة في الشبكات الفرعية التي تستخدم نقاط نهاية الخدمة. يمكن للعملاء في شبكة فرعية الاتصال بمورد واحد من موارد الخدمات المعرفية باستخدام نقطة نهاية خاصة، أثناء استخدام نقاط نهاية الخدمة للوصول إلى الآخرين.

عند إنشاء نقطة نهاية خاصة لمورد الخدمات المعرفية في VNet، يتم إرسال طلب موافقة للموافقة عليه إلى مالك مورد الخدمات المعرفية. إذا كان المستخدم الذي يطلب إنشاء نقطة النهاية الخاصة هو أيضاً مالك المورد، تتم الموافقة على طلب الموافقة تلقائياً.

يمكن لمالكي موارد الخدمات المعرفية إدارة طلبات الموافقة ونقاط النهاية الخاصة، من خلال علامة التبويب "نقاط النهاية الخاصة" لمورد الخدمات المعرفية في مدخل Azure.

نقاط النهاية الخاصة

عند إنشاء نقطة النهاية الخاصة، يجب تحديد مورد الخدمات المعرفية الذي يتصل به. لمزيد من المعلومات حول إنشاء نقطة نهاية خاصة، راجع:

• إنشاء نقطة نهاية خاصة باستخدام "مركز الارتباط الخاص" في مدخل Azure
• إنشاء نقطة نهاية خاصة باستخدام Azure CLI
• إنشاء Private Endpoint باستخدام Azure PowerShell

الاتصال بنقاط النهاية الخاصة

يجب على العملاء على VNet باستخدام نقطة النهاية الخاصة استخدام نفس سلسلة الاتصال لمورد الخدمات المعرفية مثل العملاء الذين يتصلون بنقطة النهاية العامة. الاستثناء هو خدمات الكلام، والتي تتطلب نقطة نهاية منفصلة. راجع القسم الخاص بنقاط النهاية الخاصة مع خدمات الكلام. نحن نعتمد على دقة DNS لتوجيه الاتصالات تلقائيا من VNet إلى مورد الخدمات المعرفية عبر رابط خاص.

نقوم بإنشاء منطقة DNS خاصة متصلة ب VNet مع التحديثات اللازمة لنقاط النهاية الخاصة ، بشكل افتراضي. ومع ذلك، إذا كنت تستخدم خادم DNS الخاص بك، فقد تحتاج إلى إجراء تغييرات إضافية على تكوين DNS لديك. يصف القسم الخاص بتغييرات DNS أدناه التحديثات المطلوبة لنقاط النهاية الخاصة.

نقاط النهاية الخاصة مع خدمات الكلام

راجع استخدام خدمات الكلام مع نقاط النهاية الخاصة التي يوفرها Azure Private Link.

تغييرات DNS لنقاط النهاية الخاصة

عند إنشاء نقطة نهاية خاصة، يتم تحديث سجل مورد CNAME لنظام أسماء النطاقات لمورد الخدمات المعرفية إلى اسم مستعار في نطاق فرعي مع البادئة "رابط خاص". بشكل افتراضي، نقوم أيضا بإنشاء منطقة DNS خاصة، تتوافق مع النطاق الفرعي "privatelink"، مع سجلات مورد DNS A لنقاط النهاية الخاصة.

عند حل عنوان URL لنقطة النهاية من خارج VNet باستخدام نقطة النهاية الخاصة، يتم حله إلى نقطة النهاية العامة لمورد الخدمات المعرفية. عند حلها من VNet الذي يستضيف نقطة النهاية الخاصة ، يتم حل عنوان URL لنقطة النهاية إلى عنوان IP الخاص بنقطة النهاية الخاصة.

يتيح هذا النهج الوصول إلى مورد الخدمات المعرفية باستخدام نفس سلسلة الاتصال للعملاء في VNet الذين يستضيفون نقاط النهاية الخاصة والعملاء خارج VNet.

إذا كنت تستخدم خادم DNS مخصصا على شبكتك، فيجب أن يتمكن العملاء من حل اسم المجال المؤهل بالكامل (FQDN) لنقطة نهاية مورد الخدمات المعرفية إلى عنوان IP الخاص بنقطة النهاية. قم بتكوين خادم DNS الخاص بك لتفويض النطاق الفرعي للارتباط الخاص بك إلى منطقة DNS الخاصة ل VNet.

تلميح

عند استخدام خادم DNS مخصص أو محلي، يجب عليك تكوين خادم DNS لحل اسم مورد الخدمات المعرفية في النطاق الفرعي "privatelink" إلى عنوان IP الخاص بنقطة النهاية. يمكنك القيام بذلك عن طريق تفويض النطاق الفرعي "privatelink" إلى منطقة DNS الخاصة في VNet، أو تكوين منطقة DNS على خادم DNS وإضافة سجلات DNS A.

لمزيد من المعلومات حول تكوين ملقم DNS الخاص بك لدعم نقاط النهاية الخاصة، راجع المقالات التالية:

• تحليل الاسم للموارد في الشبكات الظاهرية لـ Azure
• تكوين DNS لنقاط النهاية الخاصة

التسعير

للحصول على تفاصيل التسعير، راجع تسعير Azure Private Link.

الخطوات التالية

• استكشف خدمات Azure المعرفية المختلفة
• تعرف على المزيد حول نقاط نهاية خدمة الشبكة الظاهرية ل Azure