نُهُج نقطة تقديم خدمة الشبكة الظاهرية لـ Azure Storage

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

تسمح لك نُهج نقطة تقديم خدمة الشبكة الظاهرية (VNet) بتصفية حركة مرور الشبكة الظاهرية الخارجة إلى حسابات Azure Storage عبر نقطة تقديم الخدمة، وتسمح بالنقل غير المصرّح به للبيانات إلى حسابات تخزين Azure معينة فقط. توفر نُهج نقطة النهاية تحكماً دقيقاً في الوصول لحركة مرور الشبكة الظاهرية إلى Azure Storage عند الاتصال عبر نقطة تقديم الخدمة.

تتوفر هذه الميزة بشكل عام لـ Azure Storage في جميع مناطق Azure العمومية.

المزايا الهامة

توفر نُهج نقطة تقديم خدمة الشبكة الظاهرية المزايا التالية:

• أمان محسّن لحركة مرور الشبكة الظاهرية إلى Azure Storage

  تسمح لك علامات خدمة Azure لمجموعات أمان الشبكة بتقييد حركة المرور الصادرة للشبكة الظاهرية إلى مناطق Azure Storage معينة. ومع ذلك، يسمح هذا بحركة المرور إلى أي حساب داخل منطقة Azure Storage المحددة.

  تسمح لك نُهُج نقطة النهاية بتحديد حسابات Azure Storage المسموح لها بالوصول الصادر للشبكة الظاهرية وتقيد الوصول إلى جميع حسابات التخزين الأخرى. ويوفر هذا تحكماً أمنياً أكثر دقة لحماية النقل غير المصرّح للبيانات من شبكتك الظاهرية.

• نُهج قابلة للتوسع ومتوفرة بدرجة كبيرة لتصفية حركة مرور خدمة Azure

  توفر نُهج نقطة النهاية حلاً قابلاً للتوسع أفقياً ومتوفر بدرجة كبيرة لتصفية حركة مرور خدمة Azure من الشبكات الظاهرية عبر نقاط تقديم الخدمة. لا يتطلب الأمر أي نفقات عامة إضافية للحفاظ على أجهزة الشبكة المركزية لحركة المرور هذه في شبكاتك الظاهرية.

كائن JSON لنُهُج نقطة نهاية الخدمة

دعونا نلقِ نظرة سريعة على كائن نهج نقطة تقديم الخدمة.

"serviceEndpointPolicyDefinitions": [
    {
            "description": null,
            "name": "MySEP-Definition",
            "resourceGroup": "MySEPDeployment",
            "service": "Microsoft.Storage",
            "serviceResources": [ 
                    "/subscriptions/subscriptionID/resourceGroups/MySEPDeployment/providers/Microsoft.Storage/storageAccounts/mystgacc"
            ],
            "type": "Microsoft.Network/serviceEndpointPolicies/serviceEndpointPolicyDefinitions"
    }
]

تهيئة

• يمكنك تكوين نُهج نقطة النهاية لتقييد حركة مرور الشبكة الظاهرية إلى حسابات Azure Storage معينة.

• يتم تكوين نهج نقطة النهاية في أي شبكة فرعية موجودة في شبكة ظاهرية. يجب تمكين نقاط تقديم الخدمة لـ Azure Storage في الشبكة الفرعية لتطبيق النهج.

• يسمح لك نهج نقطة النهاية بإضافة حسابات Azure Storage محددة لقائمة السماح، باستخدام تنسيق resourceID. يمكنك تقييد الوصول إلى

  • جميع حسابات التخزين في اشتراك ما
    E.g. /subscriptions/subscriptionId

  • جميع حسابات التخزين في مجموعة موارد
    E.g. subscriptions/subscriptionId/resourceGroups/resourceGroupName

  • حساب تخزين فردي عن طريق إدراج معرّف مورد Azure Resource Manager المقابل. يغطي هذا حركة المرور إلى الكائنات الثنائية كبيرة الحجم والجداول وقوائم الانتظار والملفات وAzure Data Lake Storage Gen2.
    E.g. /subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.Storage/storageAccounts/storageAccountName

• بشكل افتراضي، إذا لم يتم إرفاق أي نُهج بشبكة فرعية تحتوي على نقاط نهاية، فيمكنك الوصول إلى جميع حسابات التخزين الموجودة ضمن الخدمة. بمجرد تكوين نهج على تلك الشبكة الفرعية، يمكن الوصول إلى الموارد المحددة في النهج من مثيلات الحساب في تلك الشبكة الفرعية فقط. سيتم رفض الوصول إلى جميع حسابات التخزين الأخرى.

• عند تطبيق نُهُج نقطة تقديم الخدمة في شبكة فرعية، تتم ترقية نطاق نقطة تقديم خدمة Azure Storage من إقليمي إلى عمومي. وهذا يعني أن كل حركة المرور إلى Azure Storage يتم تأمينها عبر نقطة تقديم الخدمة فيما بعد. تنطبق نُهُج نقطة نهاية الخدمة أيضاً على مستوى عمومي، لذلك سيتم رفض الوصول إلى أي حسابات تخزين غير مسموح بها صراحةً.

• يمكنك تطبيق نُهُج متعددة على شبكة فرعية. عند اقتران نُهج متعددة بالشبكة الفرعية، سيتم السماح بحركة مرور الشبكة الظاهرية إلى الموارد المحددة عبر أي من هذه النُهُج. كما سيتم رفض الوصول إلى جميع موارد الخدمة الأخرى غير المحددة في أي من النُهُج.

  ملاحظة

  نُهُج نقطة تقديم الخدمة هي سياسات السماح، لذلك، يتم تقييد جميع الموارد الأخرى، بصرف النظر عن الموارد المحددة. يُرجى التأكد من تعريف جميع تبعيات موارد الخدمة لتطبيقاتك وإدراجها في النهج.

• يمكن تحديد حسابات التخزين التي تستخدم نموذج موارد Azure فقط في نهج نقطة النهاية. لن تدعم حسابات Azure Storage الكلاسيكية الخاصة بك نُهُج نقطة تقديم خدمة Azure.

• سيتم السماح بالوصول الثانوي لـ RA-GRS تلقائياً إذا تم إدراج الحساب الأساسي.

• يمكن أن تكون حسابات التخزين في نفس الاشتراك أو في اشتراك أو مستأجر Azure Active Directory مختلف مثل الشبكة الظاهرية.

السيناريوهات

• الشبكات الظاهرية النظيرة أو المتصلة أو المتعددة: لتصفية حركة المرور في الشبكات الظاهرية النظيرة، يجب تطبيق نُهُج نقطة النهاية بشكل فردي على هذه الشبكات الظاهرية.
• تصفية حركة مرور الإنترنت باستخدام أجهزة الشبكة أو جدار حماية Azure: تصفية حركة مرور خدمة Azure باستخدام النُهج وعبر نقاط تقديم الخدمة وتصفية بقية حركة مرور الإنترنت أو Azure عبر الأجهزة أو جدار حماية Azure.
• تصفية حركة المرور على خدمات Azure التي تم نشرها في الشبكات الظاهرية: في الوقت الحالي، لا يتم دعم نُهج نقطة تقديم خدمة Azure لأي خدمات Azure مُدارة يتم نشرها في شبكتك الظاهرية.
• تصفية حركة المرور إلى خدمات Azure محلياً: تنطبق نُهُج نقطة تقديم الخدمة فقط على حركة المرور من الشبكات الفرعية المقترنة بالنُهُج. للسماح بالوصول إلى موارد خدمة Azure معينة محلياً، يجب تصفية حركة المرور باستخدام الأجهزة الظاهرية للشبكة أو جدران الحماية.

تسجيل الدخول واستكشاف الأخطاء وإصلاحها

لا يتوفر تسجيل مركزي لنُهُج نقطة تقديم الخدمة. للحصول على سجلات موارد الخدمة، راجع تسجيل نقاط تقديم الخدمة.

سيناريوهات استكشاف الأخطاء وإصلاحها

• تعذر الوصول إلى حسابات التخزين التي كانت مستخدمة في المعاينة (وليس في المنطقة المقترنة جغرافياً)
  • بعد ترقية Azure Storage لاستخدام علامات الخدمة العمومية، أصبح نطاق نقطة تقديم الخدمة وبالتالي نُهُج نقطة تقديم الخدمة الآن عموميين. لذلك، يتم تشفير أي حركة مرور إلى Azure Storage عبر نقاط تقديم الخدمة ولا يسمح إلا لحسابات التخزين المدرجة صراحةً في النهج بالوصول.
  • قم بالسماح صراحةً بإدراج جميع حسابات التخزين المطلوبة لاستعادة الوصول.
  • اتصل بدعم Azure.
• تعذر الوصول للحسابات المدرجة في نُهُج نقطة النهاية
  • قد تحظر مجموعات أمان الشبكة أو تصفية جدار الحماية الوصول
  • إذا أدت إزالة/ إعادة تطبيق النهج إلى فقدان الاتصال:
    • تحقق مما إذا تم تكوين خدمة Azure للسماح بالوصول من الشبكة الظاهرية عبر نقاط النهاية، أو أنه تم تعيين النهج الافتراضي للمورد إلى السماح بالكل.
    • تحقق من أن تشخيصات الخدمة تعرض حركة المرور عبر نقاط النهاية.
    • تحقق مما إذا كانت سجلات تدفق مجموعة أمان الشبكة تعرض الوصول وأن سجلات التخزين تعرض الوصول، كما هو متوقع، عبر نقاط تقديم الخدمة.
    • اتصل بدعم Azure.
• تعذر الوصول للحسابات غير المدرجة في نُهُج نقطة تقديم الخدمة
  • تحقق مما إذا كان Azure Storage قد تم تكوينه للسماح بالوصول من الشبكة الظاهرية عبر نقاط النهاية، أو ما إذا كان النهج الافتراضي للمورد قد تم تعيينه إلى السماح بالكل.
  • تأكد من أن الحسابات ليست حسابات تخزين كلاسيكية ذات نُهُج نقطة تقديم خدمة على الشبكة الفرعية.
• توقف خدمة Azure مدارة عن العمل بعد تطبيق نهج نقطة تقديم خدمة عبر الشبكة الفرعية
  • الخدمات المدارة بخلاف Azure SQL المثيل المُدار غير مدعومة حالياً بنقاط تقديم الخدمة.
• توقف الوصول إلى حسابات التخزين المُدارة بعد تطبيق نهج نقطة تقديم خدمة عبر الشبكة الفرعية
  • حسابات التخزين المُدارة غير مدعومة بسياسات نقاط تقديم الخدمة. في حال تكوينها، سترفض النُهُج الوصول إلى جميع حسابات التخزين المُدارة بشكل افتراضي. إذا كان تطبيقك بحاجة إلى الوصول إلى حسابات التخزين المُدارة، فيجب عدم استخدام نُهُج نقطة النهاية لحركة المرور هذه.

التوفير

يمكن تكوين نهج نقطة تقديم الخدمة في الشبكات الفرعية بواسطة مستخدم لديه حق الوصول للكتابة إلى شبكة ظاهرية. تعرف على المزيد حول أدوار Azure المضمنة وتعيين أذونات محددة للأدوار المخصصة.

يمكن أن تكون الشبكات الظاهرية وحسابات Azure Storage في نفس الاشتراكات أو اشتراكات مختلفة أو في مستأجري Azure Active Directory مختلفين.

التقييدات

• يمكنك فقط نشر نُهُج نقطة تقديم الخدمة في الشبكات الظاهرية التي تم نشرها من خلال نموذج نشر Azure Resource Manager.
• يجب أن تكون الشبكات الظاهرية في نفس المنطقة التي توجد بها سياسة نقطة تقديم الخدمة.
• يمكنك فقط تطبيق نهج نقطة تقديم الخدمة في أي شبكة فرعية إذا تم تكوين نقاط تقديم الخدمة لخدمات Azure المدرجة في النهج.
• لا يمكنك استخدام نُهج نقطة تقديم الخدمة لحركة المرور من شبكتك المحلية إلى خدمات Azure.
• لا تدعم خدمات Azure المُدارة بخلاف Azure SQL Managed Instance حالياً نُهُج نقطة النهاية. ويشمل ذلك الخدمات المدارة التي تم نشرها في الشبكات الفرعية المشتركة (مثل Azure Batch وAzure ADDS وAzure Application Gateway وAzure VPN Gateway وAzure Firewall) أو في شبكات فرعية مخصصة (مثل Azure App Service Environment وAzure Redis Cache وAzure API Management والخدمات المُدارة الكلاسيكية).

تحذير

خدمات Azure المنشورة في شبكتك الظاهرية، مثل Azure HDInsight، تصل إلى خدمات Azure الأخرى، مثل Azure Storage، لمتطلبات البنية التحتية. قد يؤدي تقييد نهج نقطة النهاية إلى موارد معينة إلى قطع الوصول إلى موارد البنية الأساسية هذه لخدمات Azure المنشورة في شبكتك الظاهرية.

• حسابات التخزين الكلاسيكية غير مدعومة في نُهُج نقاط النهاية. ستحظر النُهُج الوصول إلى جميع حسابات التخزين الكلاسيكية بشكل افتراضي. إذا كان تطبيقك بحاجة إلى الوصول إلى حسابات Azure Resource Manager وحسابات التخزين الكلاسيكية، فيجب عدم استخدام نُهُج نقطة النهاية لحركة المرور هذه.

التسعير والحدود

لا توجد رسوم إضافية لاستخدام نُهُج نقاط تقديم الخدمة. ينطبق نموذج التسعير الحالي لخدمات Azure (مثل Azure Storage)، كما هو الحال اليوم، على نقاط تقديم الخدمة.

يتم فرض القيود التالية على نُهُج نقطة تقديم الخدمة:

المورد	الحد الافتراضي
ServiceEndpointPoliciesPerSubscription	500
ServiceEndpointPoliciesPerSubnet	100
ServiceResourcesPerServiceEndpointPolicyDefinition	200

الخطوات التالية

• تعرَّف على كيفية تكوين نُهُج نقطة تقديم خدمة الشبكة الظاهرية
• تعرَّف على المزيد حول نقاط تقديم خدمة الشبكة الظاهرية