Share via

نُهُج نقطة تقديم خدمة الشبكة الظاهرية لـ Azure Storage

  • مقالة

تسمح لك نهج نقطة نهاية خدمة الشبكة الظاهرية بتصفية حركة مرور الشبكة الظاهرية الخارجة إلى حسابات Azure Storage عبر نقطة نهاية الخدمة، والسماح باختراق البيانات لحسابات Azure Storage المحددة فقط. توفر نُهج نقطة النهاية تحكماً دقيقاً في الوصول لحركة مرور الشبكة الظاهرية إلى Azure Storage عند الاتصال عبر نقطة تقديم الخدمة.

Diagram of Securing Virtual network outbound traffic to Azure Storage accounts.

تتوفر هذه الميزة بشكل عام لـ Azure Storage في جميع مناطق Azure العمومية.

المزايا الرئيسية

توفر نُهج نقطة تقديم خدمة الشبكة الظاهرية المزايا التالية:

  • أمان محسّن لحركة مرور الشبكة الظاهرية إلى Azure Storage

    تسمح لك علامات خدمة Azure لمجموعات أمان الشبكة بتقييد حركة المرور الصادرة للشبكة الظاهرية إلى مناطق Azure Storage معينة. ومع ذلك، تسمح هذه العملية بحركة المرور إلى أي حساب داخل منطقة تخزين Azure المحددة.

    تسمح لك نُهُج نقطة النهاية بتحديد حسابات Azure Storage المسموح لها بالوصول الصادر للشبكة الظاهرية وتقيد الوصول إلى جميع حسابات التخزين الأخرى. تمنح هذه العملية تحكما أمنيا أكثر دقة لحماية تسرب البيانات من شبكتك الظاهرية.

  • نُهج قابلة للتوسع ومتوفرة بدرجة كبيرة لتصفية حركة مرور خدمة Azure

    توفر نُهج نقطة النهاية حلاً قابلاً للتوسع أفقياً ومتوفر بدرجة كبيرة لتصفية حركة مرور خدمة Azure من الشبكات الظاهرية عبر نقاط تقديم الخدمة. لا يلزم أي نفقات إضافية للحفاظ على أجهزة الشبكة المركزية لنسبة استخدام الشبكة هذه في الشبكات الظاهرية.

كائن JSON لنُهُج نقطة نهاية الخدمة

دعونا نلقِ نظرة سريعة على كائن نهج نقطة تقديم الخدمة.

"serviceEndpointPolicyDefinitions": [
    {
            "description": null,
            "name": "MySEP-Definition",
            "resourceGroup": "MySEPDeployment",
            "service": "Microsoft.Storage",
            "serviceResources": [ 
                    "/subscriptions/subscriptionID/resourceGroups/MySEPDeployment/providers/Microsoft.Storage/storageAccounts/mystgacc"
            ],
            "type": "Microsoft.Network/serviceEndpointPolicies/serviceEndpointPolicyDefinitions"
    }
]

التكوين

  • يمكنك تكوين نُهج نقطة النهاية لتقييد حركة مرور الشبكة الظاهرية إلى حسابات Azure Storage معينة.

  • يتم تكوين نهج نقطة النهاية في أي شبكة فرعية موجودة في شبكة ظاهرية. يجب تمكين نقاط تقديم الخدمة لـ Azure Storage في الشبكة الفرعية لتطبيق النهج.

  • يسمح لك نهج نقطة النهاية بإضافة حسابات تخزين Azure معينة لقائمة السماح، باستخدام تنسيق resourceID. يمكنك تقييد الوصول إلى:

    • جميع حسابات التخزين في اشتراك
      E.g. /subscriptions/subscriptionId

    • جميع حسابات التخزين في مجموعة موارد
      E.g. subscriptions/subscriptionId/resourceGroups/resourceGroupName

    • حساب تخزين فردي عن طريق سرد Azure Resource Manager resourceId المطابق. يغطي هذا حركة المرور إلى الكائنات الثنائية كبيرة الحجم والجداول وقوائم الانتظار والملفات وAzure Data Lake Storage Gen2.
      E.g. /subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.Storage/storageAccounts/storageAccountName

  • بشكل افتراضي، إذا لم يتم إرفاق أي نُهج بشبكة فرعية تحتوي على نقاط نهاية، فيمكنك الوصول إلى جميع حسابات التخزين الموجودة ضمن الخدمة. بمجرد تكوين نهج على تلك الشبكة الفرعية، يمكن الوصول إلى الموارد المحددة في النهج من مثيلات الحساب في تلك الشبكة الفرعية فقط. تم رفض الوصول إلى جميع حسابات التخزين الأخرى.

  • عند تطبيق نهج نقطة نهاية الخدمة على شبكة فرعية، تتم ترقية نطاق نقطة نهاية خدمة تخزين Azure من إقليمي إلى عمومي. تعني هذه العملية أن جميع حركة المرور إلى Azure Storage مؤمنة عبر نقطة نهاية الخدمة بعد ذلك. تنطبق نهج نقطة نهاية الخدمة أيضا عالميا. يتم رفض الوصول إلى أي حسابات تخزين غير مسموح بها بشكل صريح.

  • يمكنك تطبيق نُهُج متعددة على شبكة فرعية. عند إقران نهج متعددة بالشبكة الفرعية، يسمح بنسبة استخدام الشبكة الظاهرية إلى الموارد المحددة عبر أي من هذه النهج. يتم رفض الوصول إلى كافة موارد الخدمة الأخرى، غير المحددة في أي من النهج.

إشعار

نُهُج نقطة تقديم الخدمة هي سياسات السماح، لذلك، يتم تقييد جميع الموارد الأخرى، بصرف النظر عن الموارد المحددة. يُرجى التأكد من تعريف جميع تبعيات موارد الخدمة لتطبيقاتك وإدراجها في النهج.

  • يمكن تحديد حسابات التخزين التي تستخدم نموذج موارد Azure فقط في نهج نقطة النهاية. لا تدعم حسابات Azure Storage الكلاسيكية نهج نقطة نهاية خدمة Azure.

  • يسمح بالوصول الثانوي RA-GRS تلقائيا إذا كان الحساب الأساسي مدرجا.

  • يمكن أن تكون حسابات التخزين في نفس الاشتراك أو اشتراك مختلف أو مستأجر Microsoft Entra مثل الشبكة الظاهرية.

السيناريوهات

  • الشبكات الظاهرية النظيرة أو المتصلة أو المتعددة: لتصفية حركة المرور في الشبكات الظاهرية النظيرة، يجب تطبيق نُهُج نقطة النهاية بشكل فردي على هذه الشبكات الظاهرية.

  • تصفية حركة مرور الإنترنت باستخدام أجهزة الشبكة أو جدار حماية Azure: تصفية حركة مرور خدمة Azure باستخدام النُهج وعبر نقاط تقديم الخدمة وتصفية بقية حركة مرور الإنترنت أو Azure عبر الأجهزة أو جدار حماية Azure.

  • تصفية نسبة استخدام الشبكة على خدمات Azure الموزعة في الشبكات الظاهرية: في هذا الوقت، لا يتم دعم نهج نقطة نهاية خدمة Azure لأي خدمات Azure مدارة يتم نشرها في شبكتك الظاهرية.

  • تصفية حركة المرور إلى خدمات Azure محلياً: تنطبق نُهُج نقطة تقديم الخدمة فقط على حركة المرور من الشبكات الفرعية المقترنة بالنُهُج. للسماح بالوصول إلى موارد خدمة Azure معينة محلياً، يجب تصفية حركة المرور باستخدام الأجهزة الظاهرية للشبكة أو جدران الحماية.

تسجيل الدخول واستكشاف الأخطاء وإصلاحها

لا يتوفر تسجيل مركزي لنُهُج نقطة تقديم الخدمة. للحصول على سجلات موارد الخدمة، راجع تسجيل نقاط تقديم الخدمة.

سيناريوهات استكشاف الأخطاء وإصلاحها

  • تعذر الوصول إلى حسابات التخزين التي كانت مستخدمة في المعاينة (وليس في المنطقة المقترنة جغرافياً)

    • بعد ترقية Azure Storage لاستخدام علامات الخدمة العمومية، أصبح نطاق نقطة تقديم الخدمة وبالتالي نُهُج نقطة تقديم الخدمة الآن عموميين. لذلك، يتم تشفير أي حركة مرور إلى Azure Storage عبر نقاط تقديم الخدمة ولا يسمح إلا لحسابات التخزين المدرجة صراحةً في النهج بالوصول.

    • السماح صراحة بجميع حسابات التخزين المطلوبة لاستعادة الوصول.

    • اتصل بدعم Azure.

  • تعذر الوصول للحسابات المدرجة في نُهُج نقطة النهاية

    • قد تحظر مجموعات أمان الشبكة أو تصفية جدار الحماية الوصول

    • إذا أدت إزالة/ إعادة تطبيق النهج إلى فقدان الاتصال:

      • تحقق مما إذا تم تكوين خدمة Azure للسماح بالوصول من الشبكة الظاهرية عبر نقاط النهاية، أو أنه تم تعيين النهج الافتراضي للمورد إلى السماح بالكل.

      • تحقق من أن تشخيصات الخدمة تعرض حركة المرور عبر نقاط النهاية.

      • تحقق مما إذا كانت سجلات تدفق مجموعة أمان الشبكة تعرض الوصول وأن سجلات التخزين تعرض الوصول، كما هو متوقع، عبر نقاط تقديم الخدمة.

      • اتصل بدعم Azure.

  • تعذر الوصول للحسابات غير المدرجة في نُهُج نقطة تقديم الخدمة

    • تحقق مما إذا كان Azure Storage قد تم تكوينه للسماح بالوصول من الشبكة الظاهرية عبر نقاط النهاية، أو ما إذا كان النهج الافتراضي للمورد قد تم تعيينه إلى السماح بالكل.

    • تأكد من أن الحسابات ليست حسابات تخزين كلاسيكية مع نهج نقطة نهاية الخدمة على الشبكة الفرعية.

  • توقف خدمة Azure مدارة عن العمل بعد تطبيق نهج نقطة تقديم خدمة عبر الشبكة الفرعية

    • الخدمات المدارة بخلاف مثيل Azure SQL المدار غير مدعومة حاليا مع نقاط نهاية الخدمة.

  • توقف الوصول إلى حسابات التخزين المُدارة بعد تطبيق نهج نقطة تقديم خدمة عبر الشبكة الفرعية

    • حسابات التخزين المدارة غير مدعومة مع نهج نقطة نهاية الخدمة. إذا تم تكوينها، فإن النهج ترفض الوصول إلى جميع حسابات التخزين المدارة، بشكل افتراضي. إذا كان التطبيق الخاص بك يحتاج إلى الوصول إلى حسابات التخزين المدارة، فلا يجب استخدام نهج نقطة النهاية لحركة المرور هذه.

التزويد

يقوم المستخدم الذي لديه حق الوصول للكتابة إلى شبكة ظاهرية بتكوين نهج نقطة نهاية الخدمة على الشبكات الفرعية. تعرف على المزيد حول أدوار Azure المضمنة وتعيين أذونات محددة للأدوار المخصصة.

يمكن أن تكون الشبكات الظاهرية وحسابات تخزين Azure في نفس الاشتراكات أو اشتراكات مختلفة، أو مستأجري Microsoft Entra.

القيود

  • يمكنك فقط نشر نُهُج نقطة تقديم الخدمة في الشبكات الظاهرية التي تم نشرها من خلال نموذج نشر Azure Resource Manager.

  • يجب أن تكون الشبكات الظاهرية في نفس المنطقة التي توجد بها سياسة نقطة تقديم الخدمة.

  • يمكنك فقط تطبيق نهج نقطة تقديم الخدمة في أي شبكة فرعية إذا تم تكوين نقاط تقديم الخدمة لخدمات Azure المدرجة في النهج.

  • لا يمكنك استخدام نُهج نقطة تقديم الخدمة لحركة المرور من شبكتك المحلية إلى خدمات Azure.

  • لا تدعم الخدمات المدارة من Azure بخلاف مثيل Azure SQL المدار نهج نقطة النهاية حاليا. يتضمن هذا القيد الخدمات المدارة الموزعة في الشبكات الفرعية المشتركة (مثل Azure Batch وMicrosoft Entra Domain Services وAzure Application Gateway وAzure VPN Gateway وAzure Firewall) أو في شبكات فرعية مخصصة (مثل Azure App Service Environment وAzure Redis Cache وAzure API Management والخدمات المدارة الكلاسيكية).

التحذير

خدمات Azure المنشورة في شبكتك الظاهرية، مثل Azure HDInsight، تصل إلى خدمات Azure الأخرى، مثل Azure Storage، لمتطلبات البنية التحتية. قد يؤدي تقييد نهج نقطة النهاية إلى موارد معينة إلى قطع الوصول إلى موارد البنية الأساسية هذه لخدمات Azure المنشورة في شبكتك الظاهرية.

  • حسابات التخزين الكلاسيكية غير مدعومة في نهج نقطة النهاية. ترفض النهج الوصول إلى جميع حسابات التخزين الكلاسيكية، بشكل افتراضي. إذا كان التطبيق الخاص بك يحتاج إلى الوصول إلى Azure Resource Manager وحسابات التخزين الكلاسيكية، فلا ينبغي استخدام نهج نقطة النهاية لحركة المرور هذه.

التسعير والحدود

لا توجد رسوم إضافية لاستخدام نهج نقطة نهاية الخدمة. ينطبق نموذج التسعير الحالي لخدمات Azure (مثل Azure Storage)، كما هو الحال اليوم، على نقاط تقديم الخدمة.

يتم فرض القيود التالية على نُهُج نقطة تقديم الخدمة:

مورد الحد الافتراضي
ServiceEndpointPoliciesPerSubscription 500
ServiceEndpointPoliciesPerSubnet 100
نهج نقطة الخدمةPerVirtualNetwork 100
ServiceResourcesPerServiceEndpointPolicyDefinition 200

الخطوات التالية