تأمين حركة المرور بين تطبيقات المنطق القياسي أحادية المستأجر وشبكات Azure الظاهرية باستخدام نقاط النهاية الخاصة وتكامل VNet

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

للتواصل بشكل آمن وخاص بين سير العمل في تطبيق المنطق القياسي وشبكة Azure الظاهرية، يمكنك إعداد نقاط نهاية خاصة لحركة المرور الواردة واستخدام تكامل VNet لحركة المرور الصادرة.

نقطة النهاية الخاصة هي واجهة شبكة تتصل بشكل خاص وآمن بخدمة مدعومة بواسطة Azure Private Link. يمكن أن تكون هذه الخدمة خدمة Azure مثل Azure Logic Apps أو Azure Storage أو Azure Cosmos DB أو SQL أو خدمة الارتباط الخاص بك. تستخدم نقطة النهاية الخاصة عنوان IP خاص من شبكتك الافتراضية ، مما يجلب الخدمة بشكل فعال إلى شبكتك الافتراضية.

توضح هذه المقالة كيفية إعداد الوصول من خلال نقاط النهاية الخاصة لحركة المرور الواردة وتكامل VNet لحركة المرور الصادرة.

لمعرفة مزيد من المعلومات، راجع الوثائق التالية:

• ما المقصود بنقطة نهاية Azure الخاصة؟ونقاط النهاية الخاصة - دمج تطبيقك مع شبكة Azure الظاهرية
• ما هي Azure Private Link ؟
• ما هو تكامل Vnet؟

المتطلبات الأساسية

يجب أن يكون لديك شبكة Azure ظاهرية جديدة أو حالية تتضمن شبكة فرعية بدون أي تفويضات. تستخدم هذه الشبكة الفرعية لنشر عناوين IP الخاصة وتخصيصها من الشبكة الظاهرية.

لمعرفة مزيد من المعلومات، راجع الوثائق التالية:

• التشغيل السريع: أنشئ شبكة ظاهرية باستخدام مدخل Azure
• ما هو تفويض الشبكة الفرعية؟
• إضافة تفويض شبكة فرعية أو إزالته

إعداد حركة المرور الواردة من خلال نقاط النهاية الخاصة

لتأمين حركة المرور الواردة إلى سير العمل، أكمل هذه الخطوات عالية المستوى:

1. ابدأ سير العمل باستخدام مشغل مضمن يمكنه تلقي الطلبات الواردة والتعامل معها، مثل مشغل الطلب أو مشغل HTTP + Webhook. يقوم هذا المشغل بإعداد سير العمل باستخدام نقطة نهاية قابلة للاستدعاء.

2. أضف نقطة نهاية خاصة لمورد التطبيق المنطقي إلى شبكتك الافتراضية.

3. قم بإجراء مكالمات تجريبية للتحقق من الوصول إلى نقطة النهاية. للاتصال بسير عمل التطبيق المنطقي بعد إعداد نقطة النهاية هذه، يجب أن تكون متصلا بالشبكة الظاهرية.

المتطلبات الأساسية لحركة المرور الواردة من خلال نقاط النهاية الخاصة

بالإضافة إلى إعداد الشبكة الظاهرية في المتطلبات الأساسية ذات المستوى الأعلى، يجب أن يكون لديك سير عمل تطبيق منطقي جديد أو موجود يستند إلى مستأجر واحد يبدأ بمشغل مضمن يمكنه تلقي الطلبات.

على سبيل المثال، ينشئ مشغل الطلب نقطة نهاية في سير العمل يمكنها تلقي الطلبات الواردة من المتصلين الآخرين ومعالجتها، بما في ذلك مهام سير العمل. توفر نقطة النهاية هذه عنوان URL يمكنك استخدامه للاتصال بسير العمل وتشغيله. على سبيل المثال، تستمر الخطوات مع مشغل الطلب.

لمعرفة مزيد من المعلومات، راجع الوثائق التالية:

• إنشاء مهام سير عمل تطبيق منطقي أحادي المستأجر في تطبيقات Azure Logic
• تلقي طلبات HTTP الواردة والاستجابة لها باستخدام تطبيقات Azure Logic

إنشاء سير العمل

1. إذا لم تكن قد قمت بذلك بالفعل، فقم بإنشاء تطبيق منطقي يستند إلى مستأجر واحد، وسير عمل فارغ.

2. بعد فتح المصمم، أضف مشغل الطلب كخطوة أولى في سير العمل.

3. استنادا إلى متطلبات السيناريو، أضف الإجراءات الأخرى التي تريد تشغيلها في سير العمل.

4. عند الانتهاء، احفظ سير العمل.

لمزيد من المعلومات، راجع إنشاء مهام سير عمل تطبيق منطقي أحادي المستأجر في Azure Logic Apps.

نسخ عنوان URL لنقطة النهاية

1. في قائمة سير العمل، حدد نظرة عامة.

2. في الصفحة نظرة عامة، انسخعنوان URL لسير العمل واحفظه لاستخدامه لاحقا.

   لتشغيل سير العمل، يمكنك الاتصال أو إرسال طلب إلى عنوان URL هذا.

3. تأكد من أن عنوان URL يعمل عن طريق الاتصال بعنوان URL أو إرسال طلب إليه. يمكنك استخدام أي أداة تريد إرسال الطلب ، على سبيل المثال ، ساعي البريد.

إعداد اتصال نقطة النهاية الخاص

1. في قائمة التطبيق المنطقي، ضمن الإعدادات، حدد الشبكات.

2. في صفحة الشبكة ، على بطاقة حركة المرور الواردة ، حدد نقاط النهاية الخاصة.

3. على اتصالات نقطة النهاية الخاصة، حدد إضافة.

4. في الجزء إضافة نقطة نهاية خاصة الذي يفتح، قم بتوفير المعلومات المطلوبة حول نقطة النهاية.

   لمزيد من المعلومات، راجع خصائص نقطة النهاية الخاصة.

5. بعد أن يقوم Azure بتوفير نقطة النهاية الخاصة بنجاح، حاول مرة أخرى استدعاء عنوان URL لسير العمل.

   هذه المرة ، تحصل على خطأ متوقع 403 Forbidden ، مما يعني أنه تم إعداد نقطة النهاية الخاصة وتعمل بشكل صحيح.

6. للتأكد من أن الاتصال يعمل بشكل صحيح، قم بإنشاء جهاز ظاهري في نفس الشبكة الظاهرية التي تحتوي على نقطة النهاية الخاصة، وحاول استدعاء سير عمل التطبيق المنطقي.

اعتبارات حركة المرور الواردة من خلال نقاط النهاية الخاصة

• إذا تم الوصول إليها من خارج شبكتك الافتراضية، فلن تتمكن طريقة عرض المراقبة من الوصول إلى المدخلات والمخرجات من المشغلات والإجراءات.

• لن تعمل مشغلات webhook لواجهة برمجة التطبيقات المدارة ( مشغلات الدفع) والإجراءات لأنها تعمل في السحابة العامة ولا يمكنها الاتصال بشبكتك الخاصة. وهي تتطلب نقطة نهاية عامة لتلقي المكالمات. على سبيل المثال، تتضمن هذه المشغلات مشغل Dataverse ومشغلة شبكة الأحداث.

• إذا كنت تستخدم مشغل Office 365 Outlook، تشغيل سير العمل كل ساعة فقط.

• يعمل النشر من Visual Studio Code أو Azure CLI فقط من داخل الشبكة الظاهرية. يمكنك استخدام "مركز النشر" لربط تطبيقك المنطقي بمرجع GitHub. يمكنك بعد ذلك استخدام البنية الأساسية ل Azure لإنشاء التعليمات البرمجية ونشرها.

  لكي يعمل تكامل GitHub، أزل WEBSITE_RUN_FROM_PACKAGE الإعداد من تطبيقك المنطقي أو اضبط القيمة على 0.

• لا يؤثر تمكين الرابط الخاص على حركة المرور الصادرة، التي لا تزال تتدفق عبر البنية الأساسية لخدمة التطبيقات.

إعداد حركة المرور الصادرة باستخدام تكامل VNet

لتأمين حركة المرور الصادرة من تطبيقك المنطقي، يمكنك دمج تطبيقك المنطقي مع شبكة افتراضية. أولا، قم بإنشاء سير عمل مثال واختباره. يمكنك بعد ذلك إعداد تكامل VNet.

هام

لا يمكنك تغيير حجم الشبكة الفرعية بعد التعيين، لذا استخدم شبكة فرعية كبيرة بما يكفي لاستيعاب المقياس الذي قد يصل إليه تطبيقك. لتجنب أي مشاكل تتعلق بسعة الشبكة الفرعية، استخدم شبكة فرعية تحتوي على /26 64 عنوانا. إذا قمت بإنشاء الشبكة الفرعية لتكامل الشبكة الظاهرية مع مدخل Azure، فيجب عليك استخدامها /27 كحد أدنى لحجم الشبكة الفرعية.

إنشاء سير العمل واختباره

1. إذا لم تكن قد قمت بذلك بالفعل، في مدخل Azure، قم بإنشاء تطبيق منطقي يستند إلى مستأجر واحد، وسير عمل فارغ.

2. بعد فتح المصمم، أضف مشغل الطلب كخطوة أولى في سير العمل.

3. أضف إجراء HTTP للاتصال بخدمة داخلية غير متوفرة عبر الإنترنت ويتم تشغيلها باستخدام عنوان IP خاص مثل 10.0.1.3.

4. عند الانتهاء، احفظ سير العمل.

5. من المصمم، قم بتشغيل سير العمل يدويا.

   يفشل إجراء HTTP ، وهو حسب التصميم ومتوقع لأن سير العمل يعمل في السحابة ولا يمكنه الوصول إلى الخدمة الداخلية.

إعداد تكامل VNet

1. في مدخل Azure، من قائمة موارد التطبيق المنطقي، ضمن الإعدادات، حدد الشبكات.

2. في جزء الشبكة ، على بطاقة حركة المرور الصادرة ، حدد تكامل VNet.

3. في جزء تكامل VNet ، حدد إضافة Vnet.

4. في الجزء إضافة تكامل VNet ، حدد الاشتراك والشبكة الظاهرية التي تتصل بالخدمة الداخلية.

5. إذا كنت تستخدم خادم اسم المجال (DNS) الخاص بك مع شبكتك الظاهرية، فقم WEBSITE_DNS_SERVER بتعيين إعداد تطبيق مورد التطبيق المنطقي إلى عنوان IP لنظام أسماء النطاقات. إذا كان لديك DNS ثانوي، فأضف إعداد تطبيق آخر باسم WEBSITE_DNS_ALT_SERVER، وقم بتعيين القيمة أيضا إلى IP لنظام أسماء النطاقات.

6. بعد أن يقوم Azure بتوفير تكامل VNet بنجاح، حاول تشغيل سير العمل مرة أخرى.

   يتم الآن تشغيل إجراء HTTP بنجاح.

هام

لكي يعمل وقت تشغيل Azure Logic Apps، يجب أن يكون لديك اتصال غير متقطع بوحدة التخزين الخلفية. لكي تعمل الموصلات المدارة التي يستضيفها Azure، يجب أن يكون لديك اتصال دون انقطاع بخدمة واجهة برمجة التطبيقات المدارة. مع تكامل VNet ، تحتاج إلى التأكد من عدم وجود جدار حماية أو سياسة أمان الشبكة تمنع هذه الاتصالات.

اعتبارات حركة المرور الصادرة من خلال تكامل VNet

يؤثر إعداد تكامل الشبكة الظاهرية على حركة المرور الصادرة فقط. لتأمين حركة المرور الواردة، التي تستمر في استخدام نقطة النهاية المشتركة لخدمة التطبيقات، راجع إعداد حركة المرور الواردة من خلال نقاط النهاية الخاصة.

لمعرفة مزيد من المعلومات، راجع الوثائق التالية:

• دمج تطبيقك مع شبكة Azure الافتراضية
• ⁧⁩مجموعات أمان الشبكة⁧⁩
• توجيه نسبة استخدام الشبكة الظاهرية

الخطوات التالية

• التطبيقات المنطقية في أي مكان: إمكانيات الشبكات باستخدام التطبيقات المنطقية (مستأجر واحد)