كيفية تصفية نسبة استخدام الشبكة باستخدام مجموعات أمان الشبكة
يمكنك استخدام مجموعة أمان شبكة Azure لتصفية نسبة استخدام الشبكة من موارد Azure وإليها في الشبكة الظاهرية لـ Azure. تحتوي مجموعة أمان الشبكة على قواعد أمان تسمح بـ (أو ترفض) نسبة استخدام الشبكة الواردة (أو الصادرة) إلى عدة أنواع من موارد Azure. يُمكنك تحديد، لكل قاعدة أمان، مصدر ووجهة ومنفذ وبروتوكول.
يمكنك نشر الموارد من العديد من خدمات Azure في شبكة Azure ظاهرية. للاطلاع على قائمة كاملة، راجع الخدمات التي يمكن نشرها في شبكة ظاهرية. يُمكنك إقران مجموعة أمان شبكة صفرية أو واحدة بكل شبكة فرعية وواجهة شبكة بالشبكة الظاهرية في أحد الأجهزة الظاهرية. يمكن أن تكون نفس مجموعة أمان الشبكة مقترنة بالعديد من الشبكات الفرعية وواجهات الشبكة التي تختارها.
توضح الصورة التالية سيناريوهات مختلفة لكيفية نشر مجموعات أمان الشبكة للسماح بنقل بيانات الشبكة من وإلى الإنترنت عبر منفذ TCP 80:
قم بالرجوع إلى الصورة السابقة، إلى جانب النص التالي، لفهم كيفية معالجة Azure للقواعد الواردة والصادرة لمجموعات أمان الشبكة:
نسبة استخدام الشبكة الواردة
بالنسبة لنسبة استخدام الشبكة الواردة، يقوم Azure بمعالجة القواعد في مجموعة أمان شبكة اتصال مقترنة بشبكة فرعية أولاً، إذا كان هناك شبكة فرعية، ثم القواعد الموجودة في مجموعة أمان شبكة اتصال مقترنة بواجهة الشبكة، إذا كان هناك شبكة اتصال.
- الجهاز الظاهري 1: تُعالج قواعد الأمان في NSG1 إذ إنها مُقترنة بالشبكة الفرعية 1 والجهاز الظاهري 1 في الشبكة الفرعية 1. إلا إذا أنشأت قاعدة تسمح بدخول المنفذ 80، يتم رفض نسبة استخدام الشبكة من قِبل قاعدة الأمان الافتراضي DenyAllInbound، ولم يتم تقييمها أبداً من قِبل NSG2، لأن NSG2 مقترن بواجهة الشبكة. إذا كان NSG1 لديه قاعدة أمان تسمح المنفذ 80، إذن فسيُعالج NSG2 نسبة استخدام الشبكة. للسماح للمنفذ 80 إلى الجهاز الظاهري، يجب أن يكون لكل من NSG1 وNSG2 قاعدة تسمح للمنفذ 80 من الإنترنت.
- الجهاز الظاهري2: تُعالج القواعد في NSG1 لأن الجهاز الظاهري2 في الشبكة الفرعية1. وبما أن الجهاز الظاهري2 ليس لديه مجموعة أمان الشبكة مُرتبطة بواجهة الشبكة الخاصة به، فإنه يتلقى جميع نسب استخدام الشبكة المسموح بها من خلال NSG1 أو يتم رفض جميع نسب استخدام الشبكة التي رفضها NSG1. نسبة استخدام الشبكة إما مسموح بها أو مرفوضة لكافة الموارد في نفس الشبكة الفرعية عندما تكون مجموعة أمان الشبكة مُقترنة بشبكة فرعية.
- الجهاز الظاهري3: نظراً لعدم وجود مجموعة أمان الشبكة مُرتبطة بشبكة فرعية2، يُسمح بنسبة استخدام الشبكة في الشبكة الفرعية ويُعالج بواسطة NSG2، لأن NSG2 مقترن بواجهة الشبكة المُرفقة بالشبكة الظاهرية3.
- الجهاز الظاهري 4: يُسمح بنسبة استخدام الشبكة إلى الجهاز الظاهري4، لأن مجموعة أمان الشبكة غير مقترنة بالشبكة الفرعية 3 أو واجهة الشبكة في الجهاز الظاهري. يُسمح لجميع نسب استخدام الشبكة من خلال شبكة فرعية وواجهة شبكة اتصال إذا لم يكن لديهم مجموعة أمان شبكة اتصال مُقترنة بهم.
نسبة استخدام الشبكة الصادرة
بالنسبة لـنسبة استخدام الشبكة الصادرة، يُعالج Azure القواعد في مجموعة أمان شبكة الاتصال المُقترنة بواجهة الشبكة أولًا، إذا وُجدت واحدة، ثم يُعالج القواعد في مجموعة أمان شبكة الاتصال المُقترنة بالشبكة الفرعية، إذا وُجدت واحدة.
- الجهاز الظاهري 1: تُعالج قواعد الأمان في NSG2. إلا إذا أنشأت قاعدة أمان ترفض المنفذ 80 الصادر إلى الإنترنت، تسمح قاعدة الأمان الافتراضية AllowInternetOutbound نسبة استخدام الشبكة في كل من NSG1 وNSG2. إذا كان NSG2 لديه قاعدة أمان ترفض المنفذ 80، تُرفض نسبة استخدام الشبكة، ولن يُقيمهما NSG1 مُطلقاً. لرفض المنفذ 80 من الجهاز الظاهري، يجب أن يكون لأي من مجموعات أمان الشبكة (أو لكليهما) قاعدة ترفض المنفذ 80 إلى الإنترنت.
- الجهاز الظاهري2: تُرسل نسبة استخدام الشبكة كافة عبر واجهة الشبكة إلى الشبكة الفرعية، حيث إن واجهة الشبكة المُرفقة بالجهاز الظاهري2 لا تحتوي على مجموعة أمان شبكة مرتبطة بها. تُعالج القواعد في NSG1.
- الجهاز الظاهري3: تُرفض نسبة استخدام الشبكة إذا كان لدى NSG2 قاعدة أمان ترفض المنفذ 80. إذا كان لدى NSG2 قاعدة أمان تسمح للمنفذ 80، إذن يُسمح للمنفذ 80 بالخروج إلى الإنترنت، حيث إن مجموعة أمان الشبكة غير مُقترنة مع الشبكة الفرعية 2.
- الجهاز الظاهري 4: يُسمح لنسبة استخدام الشبكة جميعها من الجهاز الظاهري 4، لأن مجموعة أمان الشبكة غير مقترنة بواجهة الشبكة المُرفقة بالجهاز الظاهري أو بالشبكة الفرعية 3.
نسبة استخدام الشبكة داخل الشبكة الفرعية
من المهم ملاحظة أن قواعد الأمان في NSG المقترنة بشبكة فرعية يمكن أن تؤثر على الاتصال بين داخل الجهاز الظاهري. على سبيل المثال، إذا تمت إضافة قاعدة إلى NSG1 التي ترفض جميع نسب استخدام الشبكة الواردة والصادرة، ولن يتمكن الجهاز الظاهري 1 والجهاز الظاهري 2 من الاتصال بعضهما بالبعض. ويتعين إضافة قاعدة أخرى خصوصاً للسماح بذلك.
يمكنك بسهولة استعراض القواعد المُجمعة المُطبقة على واجهة الشبكة من خلال عرض قواعد الأمان الفعالة لواجهة الشبكة. يمكنك أيضاً استخدام إمكانية التحقق من تدفق بروتوكول الإنترنت في Azure Network Watcher لتحديد ما إذا كان الاتصال مسموحاً به من أو إلى واجهة شبكة. يخبرك التحقق من تدفق بروتوكول الإنترنت بما إذا كان الاتصال مسموحاً به أو مرفوضاً، وما هي قاعدة أمان الشبكة التي تسمح بنسبة استخدام الشبكة أو ترفضها.
ملاحظة
تقترن مجموعات أمان الشبكة بالشبكات الفرعية أو بالأجهزة الظاهرية والخدمات السحابية المنشورة في نموذج النشر الكلاسيكي، وبالشبكات الفرعية أو واجهات الشبكة في نموذج نشر Resource Manager. لمعرفة المزيد حول نماذج نشر Azure، راجع فهم نماذج نشر Azure.
تلميح
ما لم يكن لديك سبب محدد لذلك، نوصي بربط مجموعة أمان الشبكة بشبكة فرعية أو واجهة شبكة الاتصال، ولكن ليس كليهما. بما أن القواعد في مجموعة أمان شبكة الاتصال مقترنة بشبكة فرعية يمكن أن تتعارض مع القواعد في مجموعة أمان الشبكة المرتبطة بواجهة شبكة اتصال، فقد تواجه مشكلات اتصال غير متوقعة تتطلب استكشاف الأخطاء وإصلاحها.
الخطوات التالية
- للتعرف على موارد Azure التي يمكن نشرها في شبكة ظاهرية ولديها مجموعات أمان شبكة مقترنة بها، راجع تكامل الشبكة الظاهرية لخدمات Azure.
- إذا كنت لم تقم أبداً بإنشاء مجموعة أمان شبكة، يمكنك إكمال برنامج تعليمي سريع لاكتساب بعض الخبرة في إنشاء واحدة.
- إذا كنت معتاداً على مجموعات أمان الشبكة وتحتاج إلى إدارتها، فراجع إدارة مجموعة أمان شبكة.
- إذا كنت تواجه مشاكل في الاتصال وتحتاج إلى استكشاف أخطاء مجموعات أمان الشبكة وإصلاحها، فراجع تشخيص مشكلة عامل تصفية حركة نسبة استخدام الشبكة على جهاز ظاهري.
- تعرّف على كيفية تمكين سجلات تدفق مجموعة أمان الشبكة لتحليل نسبة استخدام الشبكة من وإلى الموارد التي لديها مجموعة أمان شبكة اتصال مقترَنة.