مجموعات أمان الشبكة مع Azure Site Recovery

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

يمكنك الحد من نسبة استخدام الشبكة إلى الموارد الموجودة في شبكة ظاهرية باستخدام مجموعة أمان الشبكة (NSG). تحتوي مجموعة أمان الشبكة (NSG) على قائمة بقواعد الأمان التي تسمح أو ترفض نسبة استخدام الشبكة الواردة أو الصادرة استناداً إلى عنوان IP والمنفذ والبروتوكول المصدر أو الوجهة.

وفي إطار نموذج توزيع Azure Resource Manager، يمكن ربط مجموعات أمان الشبكة NSGs بشبكات فرعية أو بواجهات شبكية فردية. عندما يتم ربط NSG بشبكة فرعية، تنطبق القواعد على جميع الموارد المتصلة بالشبكة الفرعية. ويمكن أيضاً تقييد نسبة استخدام الشبكة عن طريق ربط مجموعة أمان الشبكة NSG بواجهات شبكة فردية داخل شبكة فرعية لديها بالفعل مجموعة NSG مرتبطة بها.

توضح هذه المقالة كيفية استخدام مجموعات أمان الشبكة مع Azure Site Recovery.

استخدام مجموعات أمان الشبكة

يمكن ألا يكون لدى الشبكة الفرعية الفردية أي جهاز أو لديها جهاز واحد من أجهزة NSG المقترَنة. يمكن أن تكون واجهة شبكة الاتصال الفردية أيضاً 0 جهاز أو جهازاً واحداً من أجهزة NSG المقترنة. لذلك، يمكنك فعلياً تقييد نسبة استخدام الشبكة المزدوجة لجهاز ظاهري بواسطة ربط NSG أولاً إلى شبكة فرعية، ثم NSG آخر إلى واجهة شبكة الجهاز الظاهري. يعتمد تطبيق قواعد NSG في هذه الحالة على اتجاه نسبة استخدام الشبكة وأولوية قواعد الأمان المطبقة.

خذ بعين الاعتبار مثال بسيط مع جهاز ظاهري واحد كما يلي:

• يتم وضع الجهاز الظاهري داخل الشبكة الفرعية Contoso.
• ترتبط الشبكة الفرعية Contoso مع الشبكة الفرعية NSG.
• ترتبط واجهة شبكة الجهاز الظاهري أيضاً بالجهاز الظاهري NSG.

في هذا المثال، لنسبة استخدام الشبكة الواردة، يتم أولاً تقييم الشبكة الفرعية لـ NSG. ثم يتم تقييم أي نسبة استخدام شبكة مسموح بها من خلال الشبكة الفرعية NSG بواسطة الجهاز الظاهري لـ NSG. العكس ينطبق على نسبة استخدام الشبكة الصادرة، مع الجهاز الظاهري لـ NSG مع تقييمها أولاً. ثم يتم تقييم أي حركة المرور المسموح بها من خلال الجهاز الظاهري لـ NSG بواسطة الشبكة الفرعية NSG.

يسمح هذا لتطبيق قواعد الأمان الدقيق. على سبيل المثال، قد ترغب في السماح بالوصول إلى الإنترنت الداخلي لعدد قليل من الأجهزة الظاهرية للتطبيقات (مثل الأجهزة الظاهرية للواجهة الأمامية) ضمن شبكة فرعية ولكن تقيّد الوصول إلى الإنترنت الداخلي على أجهزة ظاهرية أخرى (مثل قاعدة البيانات والأجهزة الظاهرية الأخرى للخلفية). في هذه الحالة يمكن أن يكون لديك قاعدة أكثر تساهلاً على الشبكة الفرعية NSG، مما يسمح بنسبة استخدام الشبكة على الإنترنت، وتقييد الوصول إلى أجهزة ظاهرية محدّدة عن طريق منع الوصول على الأجهزة الظاهرية لـ NSG. ويمكن تطبيق الشيء نفسه على نسبة استخدام الشبكة الصادرة.

عند إعداد تكوينات NSG هذه، تأكد من تطبيق الأولويات الصحيحة على قواعد الأمان. تُعالج القواعد بترتيب الأولوية، إذ تٌعالج الأرقام الأقل قبل الأرقام الأعلى وذلك لأن الأرقام الأقل لها أولوية قُصوى. تتوقف المعالجة بمُجرد تطابق نسبة استخدام الشبكة مع القاعدة. ونتيجة لذلك، لا تتم معالجة أية قواعد موجودة ذات أولويات أقل (أرقام أعلى) والتي لها نفس سمات القواعد ذات الأولويات القُصوى.

قد لا تكون دائماً على دراية عند تطبيق مجموعات أمان الشبكة على واجهة الشبكة والشبكة الفرعية. يمكنك التحقق من القواعد المُجمعة المُطبقة على واجهة الشبكة من خلال عرض قواعد الأمان الفعالة لواجهة الشبكة. يمكنك أيضاً استخدام إمكانية التحقق من تدفق IP في Azure Network Watcher لتحديد ما إذا كان الاتصال مسموحاً به من أو إلى واجهة شبكة. تخبرك الأداة ما إذا كان الاتصال مسموحاً به، وما قاعدة أمان الشبكة التي تسمح بنسبة استخدام الشبكة أو ترفضها.

النسخ المتماثل المحلي لـ Azure مع NSG

يتيح Azure Site Recovery الإصلاح بعد كارثة والترحيل إلى Azure للأجهزة الظاهرية Hyper-V المحلية وأجهزة VMware الظاهريةوالخوادم الفعلية. بالنسبة لجميع سيناريوهات Azure المحلية، تُرسل بيانات النسخ المتماثل إلى حساب Azure Storage وتُخزن فيه. أثناء النسخ المتماثل، لا تدفع أي رسوم على الجهاز الظاهري. عند تشغيل تجاوز الفشل إلى Azure، يقوم Site Recovery تلقائياً بإنشاء أجهزة Azure IaaS الظاهرية.

بمجرد إنشاء الأجهزة الظاهرية بعد تجاوز الفشل إلى Azure، يمكن استخدام NSGs للحد من نسبة استخدام الشبكة للشبكة الظاهرية والأجهزة الظاهرية. لا يقوم Site Recovery بإنشاء NSGs كجزء من عملية تجاوز الفشل. نوصي بإنشاء مجموعات أمان الشبكة Azure NSGs المطلوبة قبل بدء تجاوز الفشل. يمكنك بعد ذلك ربط NSGs بالأجهزة الظاهرية لتجاوز الفشل تلقائياً أثناء تجاوز الفشل، باستخدام البرامج النصية التلقائية مع خطط الاسترداد القوية لـ Site Recovery.

على سبيل المثال، إذا كان تكوين الجهاز الظاهري بعد تجاوز الفشل مشابهاً لسيناريو المثال المفصل أعلاه:

• فيمكنك إنشاء شبكة ظاهرية Contoso وشبكة فرعية Contoso كجزء من تخطيط الإصلاح بعد كارثة في منطقة Azure الهدف.
• يمكنك أيضاً إنشاء وتكوين كل من شبكة فرعية NSG وكذلك جهاز ظاهري NSG كجزء من تخطيط الإصلاح بعد كارثة نفسه.
• يمكن بعد ذلك ربط الشبكة الفرعية NSG على الفوربشبكة Contoso الفرعية، نظراً لأن كلاً من NSG والشبكة الفرعية متاحان بالفعل.
• يمكن ربط VM NSG بالأجهزة الظاهرية أثناء تجاوز الفشل باستخدام خطط الاسترداد.

بمجرد إنشاء NSGs وتكوينها، نوصي بتشغيل اختبار تجاوز الفشل للتحقق من ارتباطات NSG النصية واتصال الجهاز الظاهري بعد تجاوز الفشل.

Azure إلى نسخ Azure المتماثل مع NSG

يتيح Azure Site Recovery الإصلاح بعد كارثة لأجهزة Azure الظاهرية. عند تمكين النسخ المتماثل لأجهزة Azure الظاهرية، يمكن لـ Site Recovery إنشاء الشبكات الظاهرية المتماثلة (بما في ذلك الشبكات الفرعية والشبكات الفرعية للبوابة) في المنطقة الهدف وإنشاء التعيينات المطلوبة بين الشبكات الظاهرية المصدر والشبكات الظاهرية الهدف. يمكنك أيضاً إنشاء الشبكات الجانبية والشبكات الفرعية المستهدفة مسبقاً، واستخدامها أثناء تمكين النسخ المتماثل. لا يقوم Site Recovery بإنشاء أي أجهزة ظاهرية على منطقة Azure المستهدفة قبل تجاوز الفشل.

بالنسبة للنسخ المتماثل لأجهزة Azure الظاهرية، تأكد من أن قواعد NSG على منطقة Azure المصدر تسمح بالاتصال الصادر لنسبة استخدام شبكة النسخ المتماثل. يمكنك أيضاً اختبار هذه القواعد المطلوبة والتحقق منها من خلال هذا المثال، تكوين NSG.

لا يقوم Site Recovery بإنشاء NSGs أو نسخها نسخاً متماثلاً كجزء من عملية تجاوز الفشل. نوصي بإنشاء NSGs المطلوبة على منطقة Azure المستهدفة قبل بدء تجاوز الفشل. يمكنك بعد ذلك ربط NSGs بالأجهزة الظاهرية لتجاوز الفشل تلقائياً أثناء تجاوز الفشل، باستخدام البرامج النصية التلقائية مع خطط الاسترداد القوية لـ Site Recovery.

بالنظر إلى سيناريو المثال الموضح سابقاً:

• يمكن لـ Site Recovery إنشاء نسخ متماثلة من شبكة ظاهرية Contoso وشبكة فرعية Contoso على منطقة Azure الهدف عند تمكين النسخ المتماثل للجهاز الظاهري.
• يمكنك إنشاء النسخ المتماثلة المطلوبة من شبكة فرعية NSG وجهاز ظاهري NSG (باسم على سبيل المثال، Target Subnet NSG وTarget VM NSG، على التوالي) على منطقة Azure المستهدفة، ما يسمح بأي قواعد إضافية مطلوبة في المنطقة الهدف.
• ويمكن بعد ذلك ربط الشبكة الفرعية المستهدفة NSG على الفور بالشبكة الفرعية للمنطقة المستهدفة، إذ إن كلاً من NSG والشبكة الفرعية متاحان بالفعل.
• يمكن ربط الجهاز الظاهري NSG المستهدف بالأجهزة الظاهرية أثناء تجاوز الفشل باستخدام خطط الاسترداد.

بمجرد إنشاء NSGs وتكوينها، نوصي بتشغيل اختبار تجاوز الفشل للتحقق من ارتباطات NSG النصية واتصال الجهاز الظاهري بعد تجاوز الفشل.

الخطوات التالية

• تعرف على المزيد حول مجموعات أمان الشبكة.
• تعرف على المزيد حول قواعد الأمان الخاصة بـ NSG.
• تعرف على المزيد حول قواعد الأمان الفعالة لـ NSG.
• تعرف على المزيد حول خطط الاسترداد التلقائية لتجاوز فشل التطبيق.