السماح بالوصول إلى مساحات أسماء ناقل خدمة Microsoft Azure عبر نقاط النهاية الخاصة

تمكّنك Azure Private Link Service من الوصول إلى خدمات Azure (على سبيل المثال، ناقل خدمة Microsoft Azure وAzure Storage وAzure Cosmos DB) وخدمات العملاء/الشركاء المستضافة في Azure عبر نقطة نهاية خاصة في شبكتك الافتراضية.

نقطة النهاية الخاصة هي واجهة شبكة تربطك بشكل خاص وآمن بخدمة مدعومة من Azure Private Link. تستخدم نقطة النهاية الخاصة عنوان IP خاصًا من شبكتك الافتراضية، مما يؤدي إلى جلب الخدمة بشكل فعال إلى شبكتك الافتراضية. يمكن توجيه كافة حركة المرور إلى الخدمة من خلال نقطة النهاية الخاصة، لذلك لا توجد بوابات أو أجهزة NAT أو اتصالات ExpressRoute أو VPN أو عناوين IP عامة مطلوبة. قم بنقل البيانات بين شبكتك الظاهرية وخدمات الاجتياز عبر شبكة Microsoft الأساسية، مما يلغي التعرض للإنترنت العام. يمكنك الاتصال بمثيل مورد Azure، مما يمنحك أعلى مستوى من الدقة في التحكم في الوصول.

لمزيد من المعلومات، راجع ما هو ارتباط Azure الخاص؟

نقاط مهمة

• تُدعم هذه الميزة مع الطبقة المميزة من ناقل خدمة Microsoft Azure. لمزيد من المعلومات حول الطبقة المميزة، راجع مقالة ناقل خدمة Microsoft Azure Premium وStandard Messaging.

• يمكن أن يؤدي تنفيذ نقاط النهاية الخاصة إلى منع خدمات Azure الأخرى من التفاعل مع ناقل خدمة Microsoft Azures. استثناءً، يمكنك السماح بالوصول إلى موارد ناقل خدمة Microsoft Azure من خدمات موثوقة معينة حتى عند تمكين نقاط النهاية الخاصة. للحصول على قائمة بالخدمات الموثوقة، راجع الخدمات الموثوقة.

  يجب أن تكون خدمات Microsoft التالية على شبكة ظاهرية

  • Azure App Service
  • دالات Azure

• حدد قاعدة IP واحدة على الأقل أو قاعدة شبكة ظاهرية لمساحة الاسم للسماح بنسبة استخدام الشبكة فقط من عناوين IP المحددة أو الشبكة الفرعية لشبكة ظاهرية. إذا لم تكن هناك قواعد IP والشبكة الظاهرية، فيمكن الوصول إلى مساحة الاسم عبر الإنترنت العام (باستخدام مفتاح الوصول).

أضف نقطة نهاية خاصة باستخدام بوابة Azure

المتطلبات الأساسية

لدمج مساحة اسم ناقل خدمة Microsoft Azure مع Azure Private Link، تحتاج إلى الكيانات أو الأذونات التالية:

• مساحة اسم ناقل خدمة Microsoft Azure.
• شبكة ظاهرية Azure.
• شبكة فرعية في الشبكة الظاهرية. يمكنك استخدام الشبكة الفرعية الافتراضية.
• أذونات المالك أو المساهم لكلٍ من مساحة اسم ناقل خدمة Microsoft Azure والشبكة الظاهرية.

يجب أن تكون نقطة النهاية الخاصة والشبكة الظاهرية في نفس المنطقة. عندما تحدد منطقة لنقطة النهاية الخاصة باستخدام المدخل، ستقوم تلقائياً بتصفية الشبكات الافتراضية الموجودة في تلك المنطقة فقط. يمكن أن تكون مساحة اسم ناقل خدمة Microsoft Azure في منطقة مختلفة. وتستخدم نقطة النهاية الخاصة عنوان IP خاصاً في شبكتك الظاهرية.

تكوين الوصول الخاص عند إنشاء مساحة اسم

عند إنشاء مساحة اسم، يمكنك إما السماح بالوصول العام فقط (من جميع الشبكات) أو وصول خاص فقط (فقط عبر نقاط النهاية الخاصة) إلى مساحة الاسم.

إذا حددت خيار الوصول الخاص في صفحة الشبكات لمعالج إنشاء مساحة الاسم، يمكنك إضافة نقطة نهاية خاصة على الصفحة عن طريق تحديد الزر + نقطة النهاية الخاصة . راجع القسم التالي للاطلاع على الخطوات التفصيلية لإضافة نقطة نهاية خاصة.

تكوين وصول خاص لمساحة اسم موجودة

إذا كان لديك بالفعل مساحة اسم موجودة، فيمكنك إنشاء نقطة نهاية خاصة باتباع الخطوات التالية:

1. تسجيل الدخول إلى ⁧⁩مدخل Microsoft Azure⁧⁩.

2. في شريط البحث، اكتب ناقل خدمة Microsoft Azure.

3. حدد namespace من القائمة التي تريد إضافة نقطة نهاية خاصة إليها.

4. في القائمة اليمنى، حدد خيار Networking ضمن Settings.

   ملاحظة

   راجع علامة التبويب «Networking» لمساحات الأسماء المميزةفقط.

5. في صفحة Networking ، للوصول إلى الشبكة العامة، حدد Disabled إذا كنت تريد الوصول إلى مساحة الاسم فقط عبر نقاط النهاية الخاصة.

6. للسماح لخدمات Microsoft الموثوق بها بتجاوز جدار الحماية هذا، حدد نعم إذا كنت تريد السماح لخدمات Microsoft الموثوق بها بتجاوز جدار الحماية هذا.

   

7. للسماح بالوصول إلى مساحة الاسم عبر نقاط النهاية الخاصة، حدد علامة التبويب Private endpoint connections أعلى الصفحة

8. حدد الزر + Private Endpoint أعلى الصفحة.

   

9. في صفحة ⁧⁩ الأساسيات ⁧⁩، اتبع الخطوات التالية:

   1. حدد ⁧⁩ اشتراك Azure ⁧⁩ الذي تريد إنشاء نقطة النهاية الخاصة فيه.

   2. حدد ⁧⁩ مجموعة الموارد ⁧⁩ لمورد نقطة النهاية الخاصة.

   3. أدخل ⁧⁩ اسمًا ⁧⁩ لنقطة النهاية الخاصة.

   4. أدخل اسمًا لواجهة الشبكة.

   5. حدد ⁧⁩ منطقة ⁧⁩ لنقطة النهاية الخاصة. يجب أن تكون نقطة النهاية الخاصة بك في نفس منطقة الشبكة الظاهرية، ولكن يمكن أن تكون في منطقة مختلفة عن مورد الارتباط الخاص الذي تتصل به.

   6. اضغط زر Next: Resource > أسفل الصفحة.

      

10. في صفحة الموارد، راجع الإعدادات، وحدد التالي: الشبكة الظاهرية في أسفل الصفحة.

    

11. في صفحة Virtual Network، تحدد الشبكة الفرعية في شبكة ظاهرية حيث تريد توزيع نقطة النهاية الخاصة.

    1. حدد شبكة افتراضية. يتم سرد الشبكات الافتراضية فقط الموجودة في الاشتراك والموقع المحددين حاليًا في القائمة المنسدلة.
    2. حدد شبكة فرعية في الشبكة الظاهرية التي حددتها.
    3. لاحظ أن نهج الشبكة لنقاط النهاية الخاصة معطّل. إذا كنت تريد تمكينه، فحدد تحرير، وقم بتحديث الإعداد، وحدد حفظ.
    4. من أجل تكوين IP الخاص، بشكل افتراضي، يتم تحديد خيار تخصيص عنوان IP ديناميكيًا. إذا كنت تريد تعيين عنوان IP ثابت، فحدد تخصيص عنوان IP بشكل ثابت*.
    5. بالنسبة لمجموعة أمان التطبيق، حدد مجموعة أمان تطبيق موجودة أو أنشئ مجموعة سيتم إقرانها بنقطة النهاية الخاصة.
    6. حدد الزر التالي: DNS> أسفل الصفحة.

    

12. في صفحة DNS، حدد ما إذا كنت تريد دمج نقطة النهاية الخاصة مع منطقة DNS خاصة، ثم حدد التالي: العلامات.

    

13. في صفحة العلامات، أنشئ أي علامات (أسماء وقيم) تريد إقرانها بمورد نقطة النهاية الخاصة. ثم حدد زر مراجعة + إنشاء أسفل الصفحة.

14. في مراجعة + إنشاء، راجع جميع الإعدادات وحدد إنشاء لإنشاء نقطة النهاية الخاصة.

    

15. تأكد من إنشاء نقطة النهاية الخاصة. إذا كنت مالك المورد وحددت خيار الاتصال بمورد Azure في دليليلأسلوب الاتصال، فيجب الموافقة التلقائية على اتصال نقطة النهاية. إذا كان في حالة pending، فراجع قسم إدارة نقاط النهاية الخاصة باستخدام مدخل Microsoft Azure.

    

خدمات Microsoft الموثوق بها

عند تمكين الإعداد السماح لخدمات Microsoft الموثوقة لتجاوز جدار الحماية هذا، يتم منح الخدمات التالية حق الوصول إلى موارد ناقل الخدمة الخاص بك.

خدمة موثوقة	سيناريوهات الاستخدام المعتمدة
Azure Event Grid	يسمح لـ Azure Event Grid بإرسال الأحداث إلى قوائم الانتظار أو الموضوعات في مساحة اسم ناقل الخدمة الخاص بك. تحتاج أيضاً إلى القيام بالخطوات التالية: تمكين الهوية المعينة من قبل النظام لموضوع أو مجال إضافة الهوية إلى دور مرسل بيانات ناقل خدمة Azure على مساحة اسم ناقل خدمة Azure ثم، قم بتكوين اشتراك الحدث الذي يستخدم قائمة انتظار أو موضوع ناقل الخدمة كنقطة نهاية لاستخدام هوية النظام المعينة. لمزيد من المعلومات، راجع تسليم الأحداث بهوية مدارة
Azure Stream Analytics	يسمح لوظيفة Azure Stream Analytics لإخراج البيانات إلى قوائم انتظار ناقل خدمة Microsoft Azure إلى الموضوعات. هام: يجب تكوين مهمة Stream Analytics لاستخدام هوية مدارة للوصول إلى مساحة اسم ناقل خدمة Microsoft Azure. أضف الهوية إلى دور Azure Service Bus Data Sender على مساحة اسم ناقل الخدمة.
Azure IoT Hub	يسمح لمركز IoT بإرسال رسائل إلى قوائم الانتظار أو الموضوعات في مساحة اسم ناقل الخدمة. تحتاج أيضاً إلى القيام بالخطوات التالية: قم بتمكين الهوية المدارة المعينة من قبل النظام أو المعينة من قبل المستخدم لمركز IoT الخاص بك. أضف الهوية إلى دور Azure Service Bus Data Sender على مساحة اسم ناقل الخدمة. قم بتكوين مركز IoT الذي يستخدم كيان ناقل الخدمة كنقطة نهاية لاستخدام المصادقة المستندة إلى الهوية.
Azure لادارة واجهة برمجة التطبيقات API	تتيح لك خدمة API Management إرسال رسائل إلى قائمة انتظار/موضوع ناقل الخدمة في مساحة اسم ناقل الخدمة. يمكنك تشغيل مهام سير العمل المخصصة عن طريق إرسال الأحداث إلى قائمة انتظار/موضوع ناقل الخدمة الخاص بك عند استدعاء واجهة برمجة التطبيقات باستخدام نهج إرسال الطلب. يمكنك أيضاً التعامل مع قائمة انتظار/موضوع ناقل الخدمة كواجهة خلفية في واجهة برمجة التطبيقات. للحصول على نموذج نهج، راجع المصادقة باستخدام هوية مدارة للوصول إلى قائمة انتظار أو موضوع ناقل الخدمة. تحتاج أيضاً إلى القيام بالخطوات التالية: تمكين هوية معينة من قِبل النظام على مثيل APIM. للحصول على إرشادات، راجع استخدام الهويات المدارة في Azure APIM. إضافة الهوية إلى دور مرسل بيانات ناقل خدمة Azure على مساحة اسم ناقل خدمة Azure
Azure IoT Central	يسمح لـ IoT Central بتصدير البيانات إلى قوائم انتظار أو موضوعات ناقل الخدمة الموجودة في مساحة اسمه. تحتاج أيضاً إلى القيام بالخطوات التالية: تمكين الهوية المعينة من قبل النظام لتطبيق IoT Central أضف الهوية إلى دور Azure Service Bus Data Sender على مساحة اسم ناقل الخدمة. بعد ذلك، قم بتكوين وجهة تصدير ناقل خدمةعلى تطبيق IoT Central الخاص بك لاستخدام المصادقة المستندة إلى الهوية.
Azure Digital Twins	يسمح ل Azure Digital Twins بالدخول إلى البيانات إلى مواضيع ناقل خدمة Microsoft Azure في مساحة اسم ناقل خدمة Microsoft Azure. تحتاج أيضاً إلى القيام بالخطوات التالية: تمكين الهوية المعينة من قبل النظام لمثيل Azure Digital Twins. أضف الهوية إلى دور Azure Service Bus Data Sender على مساحة اسم ناقل الخدمة. بعد ذلك، قم بتكوين نقطة نهاية Azure Digital Twins أو اتصال محفوظات بيانات Azure Digital Twins الذي يستخدم الهوية المعينة من قبل النظام للمصادقة. لمزيد من المعلومات حول تكوين نقاط النهاية ومسارات الأحداث إلى موارد ناقل خدمة Microsoft Azure من Azure Digital Twins، راجع توجيه أحداث Azure Digital Twinsوإنشاء نقاط نهاية في Azure Digital Twins.
مراقب Azure (الإعدادات التشخيصي ومجموعات العمل)	يسمح ل Azure Monitor بإرسال معلومات التشخيص وإعلامات التنبيه إلى ناقل خدمة Microsoft Azure في مساحة اسم ناقل خدمة Microsoft Azure. يمكن ل Azure Monitor قراءة البيانات وكتابتها إلى مساحة اسم ناقل خدمة Microsoft Azure.
Azure Synapse	يسمح ل Azure Synapse بالاتصال بناقل الخدمة باستخدام الهوية المدارة لمساحة عمل Synapse. أضف ناقل خدمة Azure دور مرسل البيانات أو المستلم أو المالك إلى الهوية على مساحة اسم ناقل خدمة Microsoft Azure.

يمكن العثور على الخدمات الموثوق بها الأخرى ناقل خدمة Azure أدناه:

• Azure Data Explorer ‏(Kusto)
• Azure Health Data Services
• Azure Arc
• Azure Kubernetes
• التعلم الآلي من Azure
• Microsoft Purview

للسماح للخدمات الموثوق بها بالوصول إلى مساحة الاسم الخاصة بك، قم بالتبديل إلى علامة التبويب الوصول العام في صفحة الشبكات ، وحدد نعمللسماح لخدمات Microsoft الموثوق بها بتجاوز جدار الحماية هذا؟.

أضف نقطة نهاية خاصة باستخدام PowerShell

يوضح لك المثال التالي كيفية استخدام Azure PowerShell لإنشاء اتصال نقطة نهاية خاصة بمساحة اسم ناقل خدمة Microsoft Azure.

يجب أن تكون نقطة النهاية الخاصة والشبكة الظاهرية في نفس المنطقة. يمكن أن تكون مساحة اسم ناقل خدمة Microsoft Azure في منطقة مختلفة. وتستخدم نقطة النهاية الخاصة عنوان IP خاصاً في شبكتك الظاهرية.

$rgName = "<RESOURCE GROUP NAME>"
$vnetlocation = "<VNET LOCATION>"
$vnetName = "<VIRTUAL NETWORK NAME>"
$subnetName = "<SUBNET NAME>"
$namespaceLocation = "<NAMESPACE LOCATION>"
$namespaceName = "<NAMESPACE NAME>"
$peConnectionName = "<PRIVATE ENDPOINT CONNECTION NAME>"

# create resource group
New-AzResourceGroup -Name $rgName -Location $vnetLocation 

# create virtual network
$virtualNetwork = New-AzVirtualNetwork `
                    -ResourceGroupName $rgName `
                    -Location $vnetlocation `
                    -Name $vnetName `
                    -AddressPrefix 10.0.0.0/16

# create subnet with endpoint network policy disabled
$subnetConfig = Add-AzVirtualNetworkSubnetConfig `
                    -Name $subnetName `
                    -AddressPrefix 10.0.0.0/24 `
                    -PrivateEndpointNetworkPoliciesFlag "Disabled" `
                    -VirtualNetwork $virtualNetwork

# update virtual network
$virtualNetwork | Set-AzVirtualNetwork

# create premium service bus namespace
$namespaceResource = New-AzResource -Location $namespaceLocation -ResourceName $namespaceName -ResourceGroupName $rgName -Sku @{name = "Premium"; capacity = 1} -Properties @{} -ResourceType "Microsoft.ServiceBus/namespaces" -

# create a private link service connection
$privateEndpointConnection = New-AzPrivateLinkServiceConnection `
                                -Name $peConnectionName `
                                -PrivateLinkServiceId $namespaceResource.ResourceId `
                                -GroupId "namespace"

# get subnet object that you will use in the next step                                
$virtualNetwork = Get-AzVirtualNetwork -ResourceGroupName  $rgName -Name $vnetName
$subnet = $virtualNetwork | Select -ExpandProperty subnets `
                                | Where-Object  {$_.Name -eq $subnetName}  
   
# now, create private endpoint   
$privateEndpoint = New-AzPrivateEndpoint -ResourceGroupName $rgName  `
                                -Name $vnetName   `
                                -Location $vnetlocation `
                                -Subnet  $subnet   `
                                -PrivateLinkServiceConnection $privateEndpointConnection

(Get-AzResource -ResourceId $namespaceResource.ResourceId -ExpandProperties).Properties

إدارة نقاط النهاية الخاصة باستخدام مدخل Microsoft Azure

عند إنشاء نقطة نهاية خاصة، يجب الموافقة على الاتصال. إذا كان المورد الذي تقوم بإنشاء نقطة نهاية خاصة له موجودًا في دليلك، يمكنك الموافقة على طلب الاتصال بشرط أن تكون لديك أذونات كافية. لو كنت تتصل بمورد Azure في دليل آخر، فلا بد أن تنتظر حتى يوافق مالك هذا المورد على طلب الاتصال الخاص بك.

يوجد أربع حالات توفير:

عمل الخدمة	حالة نقطة النهاية الخاصة بالنسبة إلى مستهلك الخدمة	الوصف
بلا	معلق	يتم إنشاء الاتصال يدويًا وهو في انتظار الموافقة من مالك مورد الارتباط الخاص.
موافقة	مقبول	تمت الموافقة على الاتصال تلقائيًا أو يدويًا وهو جاهز للاستخدام.
نبذ ورفض	مرفوض وغير موافق عليه	تم رفض الاتصال من ناحية مالك مورد الارتباط الخاص.
إزالة	قطع اتصال	تمت إزالة الاتصال من قبل مالك مورد الارتباط الخاص، وتصبح نقطة النهاية الخاصة مفيدة ويجب حذفها للتنظيف.

قبول اتصال نقطة نهاية خاصة أو رفضه أو إزالته

1. سجّل الدخول إلى مدخل Microsoft Azure.
2. في شريط البحث، اكتب ناقل خدمة Microsoft Azure.
3. حدد namespace المراد إدارتها.
4. حدد علامة التبويب Networking
5. راجع القسم التالي المناسب استنادا إلى العملية التي تريدها: الموافقة أو الرفض أو الإزالة.

الموافقة على اتصال نقطة نهاية خاصة

1. إذا كانت هناك أي اتصالات معلقة، فسترى اتصالا مدرجا مع Pending في حالة التوفير.

2. حدد ⁧⁩ نقطة النهاية الخاصة ⁧⁩ التي تريد الموافقة عليها

3. حدد الزر ⁧⁩ موافقة ⁧⁩.

   

4. في صفحة Approve connection، أدخل commentاختيارياً، وحدد Yes. إذا حددت No، فلن يحدث شيء.

   

5. من المفترض أن ترى حالة الاتصال في القائمة قد تغيرت إلى Approved.

   

رفض اتصال نقطة نهاية خاصة

1. إذا كانت هناك أي اتصالات نقطة نهاية خاصة تريد رفضها، سواء كان طلبا معلقا أو اتصالا موجودا تمت الموافقة عليه سابقا، فحدد اتصال نقطة النهاية وحدد الزر رفض .

   

2. في صفحة Reject connection، أدخل تعليقاً اختيارياً وحدد Yes. إذا حددت No، فلن يحدث شيء.

   

3. يجب أن تشاهد حالة الاتصال في القائمة المغيرة Rejected.

   

قم بإزالة اتصال نقطة نهاية خاصة

1. لإزالة اتصال نقطة نهاية خاصة، حدده في القائمة، وحدد ⁧⁩ إزالة ⁧⁩ من شريط الأدوات.

   

2. في صفحة ⁧⁩ حذف الاتصال ⁧⁩، حدد ⁧⁩ نعم ⁧⁩ لتأكيد حذف نقطة النهاية الخاصة. إذا حددت ⁧⁩ لا ⁧⁩، فلن يحدث شيء.

   

3. من المفترض أن ترى الحالة قد تغيرت إلى ⁧⁩ غير متصل ⁧⁩. ثم تختفي نقطة النهاية من القائمة.

تحقق من أن اتصال الارتباط الخاص يعمل

يجب عليك التحقق من أن الموارد الموجودة داخل الشبكة الظاهرية لنقطة النهاية الخاصة تتصل بمساحة اسم ناقل خدمة Microsoft Azure عبر عنوان IP خاص، وأن لديهم تكامل منطقة DNS الخاص الصحيح.

أولاً، أنشئ جهازاً افتراضياً باتباع الخطوات الواردة في إنشاء جهاز ظاهري في Windows في مدخل Microsoft Azure

في علامة التبويب ⁧⁩ الشبكات ⁧⁩:

1. حدد ⁧⁩ شبكة افتراضية ⁧⁩ و ⁧⁩ شبكة فرعية ⁧⁩. يجب عليك تحديد الشبكة الظاهرية التي قمت بنشر نقطة النهاية الخاصة عليها.
2. حدد مورد ⁧⁩ IP العام ⁧⁩.
3. بالنسبة إلى ⁧⁩ مجموعة أمان شبكة NIC ⁧⁩، حدد ⁧⁩ بلا ⁧⁩.
4. بالنسبة إلى ⁧⁩ موازنة التحميل ⁧⁩، حدد ⁧⁩ لا ⁧⁩.

قم بالاتصال بـ VM، وافتح سطر الأوامر، وقم بتشغيل الأمر التالي:

nslookup <service-bus-namespace-name>.servicebus.windows.net

يجب أن ترى نتيجة تشبه ما يلي.

Non-authoritative answer:
Name:    <service-bus-namespace-name>.privatelink.servicebus.windows.net
Address:  10.0.0.4 (private IP address associated with the private endpoint)
Aliases:  <service-bus-namespace-name>.servicebus.windows.net

القيود واعتبارات التصميم

• للحصول على معلومات التسعير، راجع تسعير Azure Private Link.
• تتوفر هذه الميزة في جميع مناطق Azure العامة.
• الحد الأقصى لعدد نقاط النهاية الخاصة لكل مساحة اسم لناقل خدمة Microsoft Azure: 120.
• يتم حظر نسبة استخدام الشبكة في طبقة التطبيق، وليس في طبقة TCP. لذلك، ترى اتصالات TCP أو nslookup عمليات ناجحة مقابل نقطة النهاية العامة على الرغم من تعطيل الوصول العام.

لمزيد من المعلومات، راجع ⁧⁩ خدمة الارتباط الخاص لـ Azure: القيود ⁧⁩

الخطوات التالية

• تعرف على المزيد حول ⁧⁩ ارتباط Azure الخاص ⁧⁩
• تعرف على المزيد حول ناقل خدمة Microsoft Azure