الأسئلة المتداولة عن Azure Virtual Network

أساسيات

ماذا تعني الشبكة الافتراضية؟

الشبكة الظاهرية هي تمثيل للشبكة الخاصة بك في السحابة، كما توفرها خدمة شبكة Azure الظاهرية. الشبكة الظاهرية هي عزل منطقي لشبكة Azure السحابية المخصصة لاشتراكك.

يمكنك استخدام الشبكات الظاهرية لتوفير وإدارة الشبكات الخاصة الظاهرية (VPNs) في Azure. اختياريا، يمكنك ربط الشبكات الظاهرية بالشبكات الظاهرية الأخرى في Azure، أو مع البنية الأساسية المحلية تكنولوجيا المعلومات، لإنشاء حلول مختلطة أو عبر أماكن العمل.

كل شبكة ظاهرية تقوم بإنشائها لها كتلة CIDR الخاصة بها. يمكنك ربط شبكة ظاهرية بالشبكات الظاهرية الأخرى والشبكات المحلية طالما أن كتل CIDR لا تتداخل. يمكنك أيضا التحكم في إعدادات خادم DNS للشبكات الظاهرية، بالإضافة إلى تقسيم الشبكة الظاهرية إلى شبكات فرعية.

استخدم الشبكات الظاهرية من أجل:

• إنشاء شبكة ظاهرية مخصصة وخاصة وسحابة فقط. في بعض الأحيان لا تحتاج إلى تكوين متعدد الأماكن للحل الخاص بك. عند إنشاء شبكة ظاهرية، يمكن للخدمات والأجهزة الظاهرية (VMs) داخل شبكتك الظاهرية الاتصال مباشرة وأمانا مع بعضها البعض في السحابة. كما بإمكانك تكوين اتصالات نقطة النهاية لأجهزة VMs والخدمات التي تتطلب الاتصال بالإنترنت، كجزء من الحل.

• توسيع مركز البيانات بشكل آمن. باستخدام الشبكات الظاهرية، يمكنك إنشاء شبكات ظاهرية تقليدية من موقع إلى موقع (S2S) لتوسيع نطاق سعة مركز البيانات بشكل آمن. تستخدم شبكات S2S الظاهرية الخاصة IPsec لتوفير اتصال آمن بين بوابة VPN الخاصة بالشركة وAzure.

• تفعيل سيناريوهات السحابة المختلطة. يمكنك توصيل التطبيقات المستندة إلى السحابة بأمان بأي نوع من الأنظمة المحلية، بما في ذلك أجهزة الكمبيوتر المركزية وأنظمة Unix.

كيف أبدأ العمل؟

قم بزيارة وثائق شبكة Azure الظاهرية للبدء. يوفر هذا المحتوى نظرة عامة ومعلومات النشر لجميع ميزات الشبكة الظاهرية.

هل يمكنني استخدام الشبكات الظاهرية دون اتصال عبر أماكن العمل؟

نعم. يمكنك استخدام شبكة ظاهرية دون توصيلها بمبانيك. على سبيل المثال، يمكنك تشغيل وحدات تحكم مجال Microsoft Windows Server Active Directory ومزارع SharePoint فقط في شبكة Azure الظاهرية.

هل يمكنني إجراء تحسين WAN بين الشبكات الظاهرية أو بين شبكة ظاهرية ومركز البيانات المحلي؟

نعم. يمكنك نشر جهاز ظاهري للشبكة لتحسين WAN من العديد من الموردين من خلال Azure Marketplace.

التكوين

ما هي الأدوات التي أستخدمها لإنشاء شبكة ظاهرية؟

يمكنك استخدام الأدوات التالية لإنشاء شبكة ظاهرية أو تكوينها:

• مدخل Azure
• PowerShell
• Azure CLI
• ملف تكوين الشبكة (netcfgللشبكات الظاهرية الكلاسيكية فقط)

ما نطاقات العناوين التي يمكنني استخدامها في شبكاتي الظاهرية؟

نوصي باستخدام نطاقات العناوين التالية، والتي يتم تعدادها في RFC 1918. وضع IETF جانبا هذه النطاقات لمساحات العناوين الخاصة غير القابلة للتوجيه.

• 10.0.0.0 إلى 10.255.255.255 (بادئة 10/8)
• 172.16.0.0 إلى 172.31.255.255 (بادئة 172.16/12)
• 192.168.0.0 إلى 192.168.255.255 (بادئة 192.168/16)

يمكنك أيضا نشر مساحة العنوان المشتركة المحجوزة في RFC 6598، والتي يتم التعامل معها كمساحة عنوان IP خاصة في Azure:

• 100.64.0.0 إلى 100.127.255.255 (بادئة 100.64/10)

قد تعمل مساحات العناوين الأخرى، بما في ذلك جميع مساحات العناوين الخاصة غير القابلة للتوجيه المعترف بها من قبل IETF، ولكن لها آثار جانبية غير مرغوب فيها.

بالإضافة إلى ذلك، لا يمكنك إضافة نطاقات العناوين التالية:

• 224.0.0.0/4 (الإرسال المتعدد)
• 255.255.255.255/32 (بث)
• 127.0.0.0/8 (التراجع)
• 169.254.0.0/16 (ارتباط محلي)
• 168.63.129.16/32 (DNS داخلي)

هل يمكنني الحصول على عناوين IP عامة في شبكاتي الظاهرية؟

نعم. لمزيد من المعلومات عن نطاقات عناوين IP العامة، راجع إنشاء شبكة ظاهرية. لا يمكن الوصول إلى عناوين IP العامة من الإنترنت مباشرة.

هل هناك حد لعدد الشبكات الفرعية في شبكتي الظاهرية؟

نعم. راجع حدود الشبكات للحصول على التفاصيل. لا يمكن أن تتداخل مسافات عناوين الشبكة الفرعية مع بعضها البعض.

هل هناك أي قيود على استخدام عناوين IP ضمن هذه الشبكات الفرعية؟

نعم. يحتفظ Azure بالعناوين الأربعة الأولى والعنوان الأخير، لما مجموعه خمسة عناوين IP داخل كل شبكة فرعية.

على سبيل المثال، يحتوي نطاق عناوين IP 192.168.1.0/24 على العناوين المحجوزة التالية:

• 192.168.1.0: عنوان الشبكة.
• 192.168.1.1: محجوز بواسطة Azure للبوابة الافتراضية.
• 192.168.1.2، 192.168.1.3: محجوز بواسطة Azure لتعيين عناوين IP ل Azure DNS إلى مساحة الشبكة الظاهرية.
• 192.168.1.255: عنوان بث الشبكة.

ما مدى صغر حجم الشبكات الظاهرية والشبكات الفرعية وكم حجمها؟

تعتبر أصغر شبكة فرعية لـ IPv4 معتمدة هي /29، وأكبرها هي /2 (باستخدام تعريفات الشبكة الفرعية CIDR). يجب أن يكون حجم الشبكات الفرعية IPv6 بالضبط /64.

هل يمكنني إحضار شبكات VLAN إلى Azure باستخدام الشبكات الظاهرية؟

‏‏لا. الشبكات الظاهرية هي تراكبات الطبقة 3. لا يدعم Azure أي دلالات من الطبقة 2.

هل يمكنني تحديد نهج التوجيه المخصصة على الشبكات الظاهرية والشبكات الفرعية؟

نعم. يمكنك إنشاء جدول توجيه وربطه بشبكة فرعية. لمزيد من المعلومات حول التوجيه في Azure، راجع التوجيهات المخصصة.

ما هو السلوك عند تطبيق كل من NSG وUDR في الشبكة الفرعية؟

بالنسبة لحركة المرور الواردة، تتم معالجة قواعد مجموعة أمان الشبكة (NSG) الواردة. بالنسبة لحركة المرور الصادرة، تتم معالجة قواعد NSG الصادرة، متبوعة بقواعد المسار المعرفة من قبل المستخدم (UDR).

ما هو السلوك عند تطبيق NSG في NIC وشبكة فرعية لجهاز ظاهري؟

عند تطبيق مجموعات أمان الشبكة على كل من محول شبكة (NIC) وشبكة فرعية لجهاز ظاهري:

• تتم معالجة NSG على مستوى الشبكة الفرعية، متبوعة ب NSG على مستوى NIC، لحركة المرور الواردة.
• تتم معالجة مجموعة أمان الشبكة على مستوى NIC، متبوعة ب NSG على مستوى الشبكة الفرعية، لحركة المرور الصادرة.

هل تدعم الشبكات الظاهرية الإرسال المتعدد أو البث؟

‏‏لا. البث المتعدد والبث غير مدعومين.

ما البروتوكولات التي يمكنني استخدامها في الشبكات الظاهرية؟

يمكنك استخدام بروتوكولات TCP وUDP و ESP و AH و ICMP TCP/IP في الشبكات الظاهرية.

يتم دعم Unicast في الشبكات الظاهرية. يتم حظر الحزم متعددة الإرسال والبث وIP-in-IP المغلفة وحزم تغليف التوجيه العام (GRE) في الشبكات الظاهرية. لا يمكنك استخدام بروتوكول تكوين المضيف الديناميكي (DHCP) عبر Unicast (منفذ المصدر UDP/68، منفذ الوجهة UDP/67). منفذ مصدر UDP 65330 محجوز للمضيف.

هل يمكنني نشر خادم DHCP في شبكة ظاهرية؟

توفر شبكات Azure الظاهرية خدمة DHCP وDNS لأجهزة Azure الظاهرية. ومع ذلك، يمكنك أيضا نشر خادم DHCP في جهاز Azure الظاهري لخدمة العملاء في الموقع عبر عامل ترحيل DHCP.

تم وضع علامة على خادم DHCP في Azure مسبقا على أنه غير مدعوم نظرا لأن نسبة استخدام الشبكة إلى المنفذ UDP/67 كانت محدودة المعدل في Azure. ومع ذلك، فقد أزالت تحديثات النظام الأساسي الأخيرة قيود المعدل، ما يتيح هذه الإمكانية.

إشعار

لا يزال العميل المحلي لخادم DHCP (منفذ المصدر UDP/68، منفذ الوجهة UDP/67) غير مدعوم في Azure، حيث يتم اعتراض نسبة استخدام الشبكة هذه ومعالجتها بشكل مختلف. لذلك، سيؤدي هذا إلى بعض رسائل المهلة في وقت تجديد DHCP في T1 عندما يحاول العميل مباشرة الوصول إلى خادم DHCP في Azure، ولكن يجب أن ينجح هذا عند إجراء محاولة تجديد DHCP في T2 عبر عامل ترحيل DHCP. لمزيد من التفاصيل حول مؤقتات تجديد T1 وT2 DHCP، راجع RFC 2131.

هل يمكنني اختبار اتصال بوابة افتراضية في شبكة ظاهرية؟

‏‏لا. لا تستجيب البوابة الافتراضية التي يوفرها Azure إلى اختبار اتصال. ولكن يمكنك استخدام pings في الشبكات الظاهرية للتحقق من الاتصال واستكشاف الأخطاء وإصلاحها بين الأجهزة الظاهرية.

هل يمكنني استخدام tracert لتشخيص الاتصالية؟

نعم.

هل يمكنني إضافة شبكات فرعية بعد إنشاء الشبكة الظاهرية؟

نعم. يمكنك إضافة شبكات فرعية إلى الشبكات الظاهرية في أي وقت، طالما أن كلا الشرطين موجودين:

• نطاق عنوان الشبكة الفرعية ليس جزءا من شبكة فرعية أخرى.
• هناك مساحة متوفرة في نطاق عناوين الشبكة الظاهرية.

هل يمكنني تعديل حجم شبكتي الفرعية بعد إنشائها؟

نعم. يمكنك إضافة شبكة فرعية أو إزالتها أو توسيعها أو تقليصها إذا لم يتم نشر أي أجهزة ظاهرية أو خدمات فيها.

هل يمكنني تعديل شبكة ظاهرية بعد إنشائها؟

نعم. يمكنك إضافة كتل CIDR التي تستخدمها شبكة ظاهرية وإزالتها وتعديلها.

إذا كنت أقوم بتشغيل خدماتي في شبكة ظاهرية، هل يمكنني الاتصال بالإنترنت؟

نعم. يمكن لجميع الخدمات المنشورة في شبكة ظاهرية الاتصال الصادر بالإنترنت. لمعرفة المزيد حول اتصالات الإنترنت الصادرة في Azure، راجع استخدام ترجمة عنوان الشبكة المصدر (SNAT) للاتصالات الصادرة.

إذا كنت ترغب في الاتصال الوارد بمورد تم نشره من خلال Azure Resource Manager، يجب أن يكون للمورد عنوان IP عام معين إليه. لمزيد من المعلومات، راجع إنشاء عنوان IP عام ل Azure أو تغييره أو حذفه.

تحتوي كل خدمة سحابية يتم نشرها في Azure على IP ظاهري قابل للعنوان العام (VIP) تم تعيينه إليه. يمكنك تحديد نقاط نهاية الإدخال لأدوار النظام الأساسي كخدمة (PaaS) ونقاط النهاية للأجهزة الظاهرية لتمكين هذه الخدمات من قبول الاتصالات من الإنترنت.

هل تدعم الشبكات الظاهرية IPv6؟

نعم. يمكن أن تكون الشبكات الظاهرية IPv4 فقط أو مكدسا مزدوجا (IPv4 + IPv6). للحصول على التفاصيل، راجع ما هو IPv6 لشبكة Azure الظاهرية؟.

هل يمكن للشبكة الظاهرية أن تمتد عبر المناطق؟

‏‏لا. تقتصر الشبكة الظاهرية على منطقة واحدة. ولكن الشبكة الظاهرية تمتد عبر مناطق التوفر. لمعرفة المزيد حول مناطق التوفر، راجع ما هي مناطق Azure ومناطق التوفر؟.

يمكنك توصيل الشبكات الظاهرية في مناطق مختلفة باستخدام تناظر الشبكة الظاهرية. للحصول على التفاصيل، راجع تناظر الشبكة الظاهرية.

هل يمكنني توصيل شبكة ظاهرية بشبكة ظاهرية أخرى في Azure؟

نعم. يمكنك توصيل شبكة ظاهرية واحدة بشبكة ظاهرية أخرى باستخدام إما:

• تناظر الشبكة الظاهرية. للحصول على التفاصيل، راجع تناظر الشبكة الظاهرية.
• بوابة Azure VPN. للحصول على التفاصيل، راجع تكوين اتصال بوابة VPN من شبكة إلى شبكة.

تحليل الاسم (DNS)

ما هي خيارات DNS الخاصة بي للشبكات الظاهرية؟

استخدم جدول القرار في تحليل الاسم للموارد في شبكات Azure الظاهرية لإرشادك خلال خيارات DNS المتوفرة.

هل يمكنني تحديد خوادم DNS لشبكة ظاهرية؟

نعم. يمكنك تحديد عناوين IP لخوادم DNS في إعدادات الشبكة الظاهرية. يتم تطبيق الإعداد كخادم DNS افتراضي أو خوادم لجميع الأجهزة الظاهرية في الشبكة الظاهرية.

كم عدد خوادم DNS التي يمكنني تحديدها؟

راجع حدود الشبكات.

هل يمكنني تعديل خوادم DNS بعد إنشاء الشبكة؟

نعم. يمكنك تغيير قائمة خوادم DNS لشبكتك الظاهرية في أي وقت.

إذا قمت بتغيير قائمة خوادم DNS، فستحتاج إلى تنفيذ تجديد عقد إيجار DHCP على جميع الأجهزة الظاهرية المتأثرة في الشبكة الظاهرية. تسري إعدادات DNS الجديدة بعد تجديد الإيجار. بالنسبة للأجهزة الظاهرية التي تعمل بنظام Windows، يمكنك تجديد عقد الإيجار عن طريق الدخول ipconfig /renew مباشرة على الجهاز الظاهري. بالنسبة إلى أنواع نظام التشغيل الأخرى، راجع وثائق تجديد عقد إيجار DHCP.

ما هو DNS الذي يوفره Azure، وهل يعمل مع الشبكات الظاهرية؟

DNS المقدمة من Azure هي خدمة DNS متعددة المستأجرين من Microsoft. يسجل Azure كل الأجهزة الظاهرية ومثيلات دور خدمة السحابة في هذه الخدمة. توفر هذه الخدمة تحليل الاسم:

• حسب اسم المضيف للأجهزة الظاهرية ومثيلات الدور في نفس الخدمة السحابية.
• بواسطة المجال الرئيسي المؤهل بالكامل (FQDN) للأجهزة الظاهرية ومثيلات الأدوار في نفس الشبكة الظاهرية.

لمعرفة المزيد حول DNS، راجع تحليل الاسم للموارد في شبكات Azure الظاهرية.

هناك قيود على أول 100 خدمة سحابية في شبكة ظاهرية لتحليل اسم عبر المستأجرين من خلال DNS المقدم من Azure. إذا كنت تستخدم خادم DNS الخاص بك، فلا ينطبق هذا القيد.

هل يمكنني تجاوز إعدادات DNS لكل جهاز ظاهري أو خدمة سحابية؟

نعم. يمكنك تعيين خوادم DNS لكل جهاز ظاهري أو خدمة سحابية لتجاوز إعدادات الشبكة الافتراضية. ومع ذلك، نوصي باستخدام DNS على مستوى الشبكة قدر الإمكان.

هل يمكنني إحضار لاحقة DNS الخاصة بي؟

‏‏لا. لا يمكنك تحديد لاحقة DNS مخصصة لشبكاتك الظاهرية.

توصيل الأجهزة الظاهرية

هل يمكنني نشر الأجهزة الظاهرية إلى شبكة ظاهرية؟

نعم. يجب توصيل جميع محولات الشبكة (NICs) المرفقة بجهاز ظاهري يتم توزيعه من خلال نموذج توزيع Resource Manager بشبكة ظاهرية. اختياريا، يمكنك توصيل الأجهزة الظاهرية المنشورة من خلال نموذج التوزيع الكلاسيكي بشبكة ظاهرية.

ما هي أنواع عناوين IP التي يمكنني تعيينها إلى الأجهزة الظاهرية؟

• خاص: مخصص لكل NIC داخل كل جهاز ظاهري، من خلال الأسلوب الثابت أو الديناميكي. يتم تعيين عناوين IP الخاصة من النطاق الذي حددته في إعدادات الشبكة الفرعية لشبكتك الظاهرية.

  يتم تعيين عناوين IP خاصة للموارد التي تم نشرها من خلال نموذج التوزيع الكلاسيكي، حتى إذا لم تكن متصلة بشبكة ظاهرية. يختلف سلوك أسلوب التخصيص اعتمادا على ما إذا كنت قد نشرت موردا باستخدام Resource Manager أو نموذج التوزيع الكلاسيكي:

  • Resource Manager: يظل عنوان IP الخاص المعين من خلال الأسلوب الديناميكي أو الثابت معينا إلى جهاز ظاهري (Resource Manager) حتى يتم حذف المورد. الفرق هو أنك تحدد العنوان الذي تريد تعيينه عند استخدام الأسلوب الثابت، ويختار Azure عند استخدام الأسلوب الديناميكي.
  • كلاسيكي: قد يتغير عنوان IP الخاص المعين من خلال الأسلوب الديناميكي عند إعادة تشغيل جهاز ظاهري (كلاسيكي) بعد أن يكون في حالة الإيقاف (إلغاء التخصيص). إذا كنت بحاجة إلى التأكد من أن عنوان IP الخاص لمورد تم توزيعه من خلال نموذج التوزيع الكلاسيكي لا يتغير أبدا، فعين عنوان IP خاصا باستخدام الأسلوب الثابت.

• عام: يتم تعيينه اختياريا لNIC المرفقة بالأجهزة الظاهرية المنشورة من خلال نموذج توزيع Resource Manager. يمكنك تعيين العنوان باستخدام أسلوب التخصيص الثابت أو الديناميكي.

  توجد جميع مثيلات دور VMs وAzure Cloud Services المنشورة من خلال نموذج النشر الكلاسيكي داخل خدمة سحابية. يتم تعيين عنوان VIP ديناميكي عام للخدمة السحابية. يمكنك اختياريا تعيين عنوان IP ثابت عام، يسمى عنوان IP محجوز، ك VIP.

  يمكنك تعيين عناوين IP عامة لأجهزة ظاهرية فردية أو مثيلات دور خدمات السحابة التي تم توزيعها من خلال نموذج التوزيع الكلاسيكي. تسمى هذه العناوين عناوين IP العامة على مستوى المثيل ويمكن تعيينها ديناميكيا.

هل يمكنني حجز عنوان IP خاص لجهاز ظاهري سأنشئه في وقت لاحق؟

‏‏لا. لا يمكنك حجز عنوان IP خاص. إذا كان عنوان IP خاصا متوفرا، يقوم خادم DHCP بتعيينه إلى جهاز ظاهري أو مثيل دور. قد يكون الجهاز الظاهري أو لا يكون هو الجهاز الذي تريد تعيين عنوان IP الخاص إليه. ومع ذلك، يمكنك تغيير عنوان IP الخاص لجهاز ظاهري موجود إلى أي عنوان IP خاص متوفر.

هل تتغير عناوين IP الخاصة للأجهزة الظاهرية في شبكة ظاهرية؟

وهذا مشروط. إذا قمت بنشر الجهاز الظاهري باستخدام Resource Manager، فلا يمكن تغيير عناوين IP، بغض النظر عما إذا قمت بتعيين العناوين باستخدام أسلوب التخصيص الثابت أو الديناميكي. إذا قمت بنشر الجهاز الظاهري باستخدام نموذج التوزيع الكلاسيكي، يمكن تغيير عناوين IP الديناميكية عند بدء تشغيل جهاز ظاهري كان في حالة الإيقاف (إلغاء التخصيص).

يتم تحرير العنوان من جهاز ظاهري تم نشره من خلال نموذج التوزيع عند حذف الجهاز الظاهري.

هل يمكنني تعيين عناوين IP يدوياً إلى بطاقات NIC داخل نظام تشغيل الجهاز الظاهري؟

نعم، لكننا لا نوصي بذلك إلا إذا كان ذلك ضروريا، مثل عندما تقوم بتعيين عناوين IP متعددة إلى جهاز ظاهري. للحصول على التفاصيل، راجع تعيين عناوين IP متعددة للأجهزة الظاهرية.

إذا تغير عنوان IP المعين إلى Azure NIC المرفق بجهاز ظاهري، وكان عنوان IP داخل نظام تشغيل الجهاز الظاهري مختلفا، فستفقد الاتصال بالجهاز الظاهري.

إذا قمت بإيقاف فتحة توزيع خدمة سحابية أو إيقاف تشغيل جهاز ظاهري من داخل نظام التشغيل، فماذا يحدث لعناوين IP الخاصة بي؟

لا شيء. تظل عناوين IP (VIP العامة والعامة والخاصة) معينة إلى فتحة نشر الخدمة السحابية أو الجهاز الظاهري.

هل يمكنني نقل الأجهزة الظاهرية من شبكة فرعية إلى شبكة فرعية أخرى في شبكة ظاهرية دون إعادة النشر؟

نعم. يمكنك العثور على مزيد من المعلومات في نقل جهاز ظاهري أو مثيل دور إلى شبكة فرعية مختلفة.

هل يمكنني تكوين عنوان MAC ثابت لجهازي الظاهري؟

‏‏لا. لا يمكنك تكوين عنوان MAC بشكل ثابت.

هل يظل عنوان MAC كما هو بالنسبة لجهازي الظاهري بعد إنشائه؟

نعم. يظل عنوان MAC هو نفسه للجهاز الظاهري الذي قمت بنشره من خلال كل من Resource Manager ونماذج التوزيع الكلاسيكية حتى تقوم بحذفه.

في السابق، تم تحرير عنوان MAC إذا قمت بإيقاف (إلغاء تخصيص) الجهاز الظاهري. ولكن الآن، يحتفظ الجهاز الظاهري بعنوان MAC عندما يكون في حالة إلغاء التخصيص. يظل عنوان MAC معينا إلى محول الشبكة حتى تقوم بواحدة من هذه المهام:

• حذف محول الشبكة.
• تغيير عنوان IP الخاص الذي تم تعيينه إلى تكوين IP الأساسي لمحول الشبكة الأساسي.

هل يمكنني الاتصال بالإنترنت من جهاز ظاهري في شبكة ظاهرية؟

نعم. يمكن لجميع الأجهزة الظاهرية ومثيلات دور الخدمات السحابية المنشورة داخل شبكة ظاهرية الاتصال بالإنترنت.

خدمات Azure التي تتصل بالشبكات الظاهرية

هل يمكنني استخدام تطبيقات الويب مع شبكة ظاهرية؟

نعم. يمكنك نشر ميزة Web Apps في Azure App Service داخل شبكة ظاهرية باستخدام App Service Environment. ومن ثم يمكنك:

• الاتصال النهاية الخلفية لتطبيقاتك إلى شبكاتك الظاهرية باستخدام تكامل الشبكة الظاهرية.
• تأمين نسبة استخدام الشبكة الواردة إلى تطبيقك باستخدام نقاط نهاية الخدمة.

لمزيد من المعلومات، راجع المقالات التالية:

• ميزات شبكة خدمة التطبيقات
• استخدام بيئة خدمة التطبيقات
• دمج تطبيقك مع شبكة Azure الافتراضية
• إعداد قيود الوصول في Azure App Service

هل يمكنني نشر الخدمات السحابية مع أدوار الويب والعاملين (PaaS) في شبكة ظاهرية؟

نعم. يمكنك (اختياريا) نشر مثيلات دور الخدمات السحابية في الشبكات الظاهرية. للقيام بذلك، يمكنك تحديد اسم الشبكة الظاهرية وتعيينات الدور/الشبكة الفرعية في قسم تكوين الشبكة في تكوين الخدمة. لا تحتاج إلى تحديث أي من الثنائيات.

هل يمكنني توصيل مجموعة مقياس جهاز ظاهري بشبكة ظاهرية؟

نعم. يجب توصيل مقياس جهاز ظاهري تم تعيينه إلى شبكة ظاهرية.

هل هناك قائمة كاملة بخدمات Azure التي يمكنني توزيع الموارد منها في شبكة ظاهرية؟

نعم. للحصول على التفاصيل، راجع نشر خدمات Azure المخصصة في الشبكات الظاهرية.

كيف يمكنني تقييد الوصول إلى موارد Azure PaaS من شبكة ظاهرية؟

يمكن للموارد المنشورة من خلال بعض خدمات Azure PaaS (مثل Azure Storage وAzure SQL Database) تقييد الوصول إلى الشبكة إلى الشبكات الظاهرية من خلال استخدام نقاط نهاية خدمة الشبكة الظاهرية أو Azure Private Link. للحصول على التفاصيل، راجع نقاط نهاية خدمة الشبكة الظاهرية وما هو Azure Private Link؟.

هل يمكنني نقل خدماتي داخل وخارج الشبكات الظاهرية؟

‏‏لا. لا يمكنك نقل الخدمات داخل وخارج الشبكات الظاهرية. لنقل مورد إلى شبكة ظاهرية أخرى، يجب حذف المورد وإعادة نشره.

الأمان

ما هو نموذج الأمان للشبكات الظاهرية؟

يتم عزل الشبكات الظاهرية عن بعضها البعض وعن الخدمات الأخرى المستضافة في البنية الأساسية ل Azure. الشبكة الظاهرية هي حد ثقة.

هل يمكنني تقييد تدفق نسبة استخدام الشبكة الواردة أو الصادرة إلى الموارد المتصلة بشبكة ظاهرية؟

نعم. يمكنك تطبيق مجموعات أمان الشبكة على الشبكات الفرعية الفردية داخل شبكة ظاهرية أو بطاقات واجهة الشبكة المرفقة بشبكة ظاهرية أو كليهما.

هل يمكنني تنفيذ جدار حماية بين الموارد المتصلة بشبكة ظاهرية؟

نعم. يمكنك نشر جهاز ظاهري لشبكة جدار الحماية من العديد من الموردين من خلال Azure Marketplace.

هل تتوفر معلومات حول تأمين الشبكات الظاهرية؟

نعم. راجع نظرة عامة على أمان شبكة Azure.

هل تقوم الشبكات الظاهرية بتخزين بيانات العملاء؟

‏‏لا. لا تخزن الشبكات الظاهرية أي بيانات للعملاء.

هل يمكنني تعيين خاصية FlowTimeoutInMinutes لاشتراك كامل؟

‏‏لا. يجب تعيين الخاصية FlowTimeoutInMinutes في الشبكة الظاهرية. يمكن أن تساعدك التعليمات البرمجية التالية في تعيين هذه الخاصية تلقائيا للاشتراكات الأكبر:

$Allvnet = Get-AzVirtualNetwork
$time = 4 #The value should be 4 to 30 minutes (inclusive) to enable tracking, or null to disable tracking. 
ForEach ($vnet in $Allvnet)
{
    $vnet.FlowTimeoutInMinutes = $time
    $vnet | Set-AzVirtualNetwork
}

واجهات برمجة التطبيقات والمخططات والأدوات

هل يمكنني إدارة الشبكات الظاهرية من التعليمات البرمجية؟

نعم. يمكنك استخدام واجهات برمجة تطبيقات REST للشبكات الظاهرية في Azure Resource Manager ونماذج التوزيع الكلاسيكية .

هل هناك دعم أدوات للشبكات الظاهرية؟

نعم. تعرف على المزيد عن استخدام:

• مدخل Azure لنشر الشبكات الظاهرية من خلال Azure Resource Manager ونماذج التوزيع الكلاسيكية .
• PowerShell لإدارة الشبكات الظاهرية المنشورة من خلال نموذج توزيع Resource Manager .
• Azure CLI أو Azure CLI الكلاسيكي لنشر الشبكات الظاهرية المنشورة وإدارتها من خلال Resource Manager ونماذج التوزيع الكلاسيكية .

تناظر الشبكة الظاهرية

ما هو تناظر الشبكة الظاهرية؟

يتيح لك نظير الشبكة الظاهرية الاتصال بالشبكات الظاهرية. يتيح لك الاتصال النظير بين الشبكات الظاهرية توجيه نسبة استخدام الشبكة بينها بشكل خاص من خلال عناوين IPv4.

يمكن للأجهزة الظاهرية في الشبكات الظاهرية النظيرة التواصل مع بعضها البعض كما لو كانت داخل نفس الشبكة. يمكن أن تكون هذه الشبكات الظاهرية في نفس المنطقة أو في مناطق مختلفة (تعرف أيضا باسم نظير الشبكة الظاهرية العمومية).

يمكنك أيضا إنشاء اتصالات نظير الشبكة الظاهرية عبر اشتراكات Azure.

هل يمكنني إنشاء اتصال نظير بشبكة ظاهرية في منطقة مختلفة؟

نعم. يتيح لك نظير الشبكة الظاهرية العمومية تناظر الشبكات الظاهرية في مناطق مختلفة. يتوفر نظير الشبكة الظاهرية العالمية في جميع مناطق Azure العامة ومناطق السحابة الصينية ومناطق السحابة الحكومية. لا يمكنك التناظر عالميا من مناطق Azure العامة إلى مناطق السحابة الوطنية.

ما هي القيود المتعلقة بتناظر الشبكة الظاهرية العالمية وموازنات التحميل؟

إذا تم إقران الشبكتين الظاهريتين في منطقتين عبر نظير الشبكة الظاهرية العمومية، فلا يمكنك الاتصال بالموارد الموجودة خلف موازن التحميل الأساسي من خلال IP الأمامي لموازن التحميل. هذا التقييد غير موجود لموازن التحميل القياسي.

يمكن للموارد التالية استخدام موازنات التحميل الأساسية، ما يعني أنه لا يمكنك الوصول إليها من خلال IP الأمامي لموازن التحميل عبر نظير الشبكة الظاهرية العالمية. ولكن يمكنك استخدام تناظر الشبكة الظاهرية العمومية للوصول إلى الموارد مباشرة من خلال عناوين IP للشبكة الظاهرية الخاصة بها، إذا كان ذلك مسموحا به.

• الأجهزة الظاهرية خلف موازنات التحميل الأساسية
• مجموعات مقياس الجهاز الظاهري مع موازنات التحميل الأساسية
• ذاكرة التخزين المؤقت في Azure لـ Redis
• Azure Application Gateway v1
• Azure Service Fabric
• Azure API Management stv1
• خدمات مجال Microsoft Entra
• Azure Logic Apps
• Azure HDInsight
• Azure Batch
• App Service Environment v1 وv2

يمكنك الاتصال بهذه الموارد عبر Azure ExpressRoute أو اتصالات شبكة إلى شبكة من خلال بوابات الشبكة الظاهرية.

هل يمكنني تمكين تناظر الشبكة الظاهرية إذا كانت شبكاتي الظاهرية تنتمي إلى اشتراكات داخل مستأجري Microsoft Entra مختلفين؟

نعم. من الممكن إنشاء تناظر الشبكة الظاهرية (سواء كانت محلية أو عالمية) إذا كانت اشتراكاتك تنتمي إلى مستأجري Microsoft Entra مختلفين. يمكنك القيام بذلك عبر مدخل Microsoft Azure أو PowerShell أو Azure CLI.

اتصال تناظر الشبكة الظاهرية في حالة البدء. لماذا لا يمكنني الاتصال؟

إذا كان اتصال التناظر في حالة بدء ، فقد أنشأت ارتباطا واحدا فقط. يجب إنشاء ارتباط ثنائي الاتجاه لإنشاء اتصال ناجح.

على سبيل المثال، لنظير VNetA إلى VNetB، يجب إنشاء ارتباط من VNetA إلى VNetB ومن VNetB إلى VNetA. يؤدي إنشاء كلا الارتباطين إلى تغيير الحالة إلى الاتصال.

اتصال نظير الشبكة الظاهرية في حالة قطع الاتصال. لماذا لا يمكنني إنشاء اتصال نظير؟

إذا كان اتصال تناظر الشبكة الظاهرية في حالة قطع الاتصال ، فقد تم حذف أحد الارتباطات التي قمت بإنشائها. لإعادة إنشاء اتصال نظير، تحتاج إلى حذف الارتباط المتبقي وإعادة إنشاء كليهما.

هل يمكنني إقران شبكتي الظاهرية بشبكة ظاهرية في اشتراك مختلف؟

نعم. يمكنك تناظر الشبكات الظاهرية عبر الاشتراكات وعبر المناطق.

هل يمكنني إقران شبكتين ظاهريتين تحتويان على نطاقات عناوين مطابقة أو متداخلة؟

‏‏لا. لا يمكنك تمكين تناظر الشبكة الظاهرية إذا تداخلت مساحات العناوين.

هل يمكنني إقران شبكة ظاهرية بشبكتين ظاهريتين مع تمكين خيار استخدام البوابة البعيدة على كلا النظيرين؟

‏‏لا. يمكنك تمكين الخيار استخدام البوابة البعيدة على نظير واحد فقط إلى إحدى الشبكات الظاهرية.

ما تكلفة ارتباطات تناظر الشبكة الظاهرية؟

لا توجد رسوم لإنشاء اتصال نظير شبكة ظاهرية. يتم فرض رسوم على نقل البيانات عبر اتصالات التناظر. لمزيد من المعلومات، راجع صفحة تسعير شبكة Azure الظاهرية.

هل نسبة استخدام الشبكة الظاهرية المتناظرة مشفرة؟

عندما تنتقل حركة مرور Azure بين مراكز البيانات (خارج الحدود الفعلية التي لا تتحكم فيها Microsoft أو نيابة عن Microsoft)، تستخدم أجهزة الشبكة الأساسية تشفير طبقة ارتباط بيانات MACsec. ينطبق هذا التشفير على نسبة استخدام الشبكة الظاهرية النظيرة.

لماذا يكون اتصال التناظر الخاص بي بالحالة قطع الاتصال؟

تنتقل اتصالات تناظر الشبكة الظاهرية إلى حالة قطع الاتصال عند حذف ارتباط نظير شبكة ظاهرية واحد. يجب حذف كلا الارتباطين لإعادة إنشاء اتصال نظير ناجح.

إذا قمت بتنظير VNetA إلى VNetB وتنظير VNetB إلى VNetC، فهل هذا يعني أن VNetA وVNetC مرتبطتان؟

‏‏لا. التناظر العابر غير مدعوم. يجب أن تقوم يدويا بتناظر VNetA مع VNetC.

هل هناك أي قيود على النطاق الترددي لاتصالات التناظر؟

‏‏لا. لا يفرض نظير الشبكة الظاهرية، سواء كان محليا أو عالميا، أي قيود على عرض النطاق الترددي. يقتصر النطاق الترددي فقط على الجهاز الظاهري أو مورد الحوسبة.

كيف يمكنني استكشاف مشكلات تناظر الشبكة الظاهرية وإصلاحها؟

جرب دليل استكشاف الأخطاء وإصلاحها.

TAP للشبكة الظاهرية

ما مناطق Azure المتوفرة لـTAP للشبكة الظاهرية؟

تتوفر معاينة نقطة الوصول إلى محطة الشبكة الظاهرية (TAP) في جميع مناطق Azure. يجب نشر محولات الشبكة المراقبة، ومورد TAP للشبكة الظاهرية، وحل المجمع أو التحليلات في نفس المنطقة.

هل تدعم TAP للشبكة الظاهرية أي قدرات تصفية على الحزم المتطابقة؟

قدرات التصفية غير مدعومة مع معاينة TAP للشبكة الظاهرية. عند إضافة تكوين TAP إلى محول شبكة اتصال، يتم دفق نسخة عميقة من كل حركة مرور الدخول والخروج على محول الشبكة إلى وجهة TAP.

هل يمكنني إضافة تكوينات TAP متعددة إلى محول شبكة مراقبة؟

يمكن أن يحتوي محول الشبكة المراقبة على تكوين TAP واحد فقط. تحقق باستخدام حل الشريك الفردي للحصول على القدرة على بث نسخ متعددة من نسبة استخدام شبكة TAP إلى أدوات التحليلات التي تختارها.

هل يمكن لنفس الشبكة الظاهرية TAP تجميع نسبة استخدام الشبكة من محولات الشبكة المراقبة في أكثر من شبكة ظاهرية واحدة؟

نعم. يمكنك استخدام نفس مورد TAP للشبكة الظاهرية لتجميع نسبة استخدام الشبكة المتطابقة من محولات الشبكة المراقبة في الشبكات الظاهرية النظيرة في نفس الاشتراك أو اشتراك مختلف.

يجب أن يكون مورد TAP للشبكة الظاهرية وموازن تحميل الوجهة أو محول شبكة الوجهة في نفس الاشتراك. يجب أن تكون جميع الاشتراكات ضمن نفس مستأجر Microsoft Entra.

هل هناك أي اعتبارات للأداء على حركة مرور الإنتاج إذا قمت بتمكين تكوين TAP للشبكة الظاهرية على محول شبكة؟

TAP للشبكة الظاهرية قيد المعاينة. أثناء المعاينة، لا توجد اتفاقية على مستوى الخدمة. يجب عدم استخدام القدرة لأحمال عمل الإنتاج.

عند تمكين محول شبكة جهاز ظاهري مع تكوين TAP، يتم استخدام نفس الموارد على مضيف Azure المخصص للجهاز الظاهري لإرسال حركة مرور الإنتاج لتنفيذ وظيفة النسخ المتطابق وإرسال الحزم المتطابقة. حدد حجم الجهاز الظاهري الصحيح بنظام Linux أو Windows لضمان توفر موارد كافية للجهاز الظاهري لإرسال نسبة استخدام شبكة الإنتاج ونسبة استخدام الشبكة المتطابقة.

هل اتصال الشبكات المتسارع لنظام التشغيل Linux أو Windows مدعوم بـTAP للشبكة الظاهرية؟

يمكنك إضافة تكوين TAP على محول شبكة متصل بجهاز ظاهري تم تمكينه مع الشبكات المتسارعة لنظام Linux أو Windows. ولكن إضافة تكوين TAP سيؤثر على الأداء وزمن الانتقال على الجهاز الظاهري لأن شبكة Azure المسرعة حاليا لا تدعم إلغاء التحميل لعكس نسبة استخدام الشبكة.

نقاط نهاية خدمة Virtual Network

ما هو التسلسل الصحيح للعمليات لإعداد نقاط نهاية الموفر لخدمة Azure؟

هناك خطوتان لتأمين مورد خدمة Azure من خلال نقاط نهاية الموفر:

1. قم بتشغيل نقاط نهاية الموفر لخدمة Azure.
2. إعداد قوائم التحكم في الوصول إلى الشبكة الظاهرية (ACLs) على خدمة Azure.

الخطوة الأولى هي عملية من جانب الشبكة، والخطوة الثانية هي عملية من جانب مورد الخدمة. يمكن لنفس المسؤول أو المسؤولين المختلفين تنفيذ الخطوات، استنادا إلى أذونات التحكم في الوصول المستندة إلى دور Azure (RBAC) الممنوحة لدور المسؤول.

نوصي بتشغيل نقاط نهاية الخدمة لشبكتك الظاهرية قبل إعداد قوائم ACL للشبكة الظاهرية على جانب خدمة Azure. لإعداد نقاط نهاية خدمة الشبكة الظاهرية، يجب تنفيذ الخطوات في التسلسل السابق.

إشعار

يجب إكمال كل من العمليات السابقة قبل أن تتمكن من تقييد وصول خدمة Azure إلى الشبكة الظاهرية والشبكة الفرعية المسموح بها. لا يمنحك تشغيل نقاط نهاية الخدمة لخدمة Azure على جانب الشبكة سوى الوصول المحدود. يجب عليك أيضا إعداد قوائم التحكم في الوصول للشبكة الظاهرية على جانب خدمة Azure.

تسمح بعض الخدمات (مثل Azure SQL وAzure Cosmos DB) باستثناءات للتسلسل السابق من خلال العلامة IgnoreMissingVnetServiceEndpoint . بعد تعيين العلامة إلى True، يمكنك إعداد قوائم ACL للشبكة الظاهرية على جانب خدمة Azure قبل تشغيل نقاط نهاية الخدمة على جانب الشبكة. توفر خدمات Azure هذه العلامة لمساعدة العملاء في الحالات التي يتم فيها تكوين جدران حماية IP المحددة على خدمات Azure.

يمكن أن يؤدي تشغيل نقاط نهاية الخدمة على جانب الشبكة إلى انخفاض الاتصال، لأن IP المصدر يتغير من عنوان IPv4 عام إلى عنوان خاص. يمكن أن يساعد إعداد قوائم التحكم في الوصول للشبكة الظاهرية على جانب خدمة Azure قبل تشغيل نقاط نهاية الخدمة على جانب الشبكة في تجنب انخفاض الاتصال.

إشعار

إذا قمت بتمكين نقطة نهاية الخدمة على خدمات معينة مثل "Microsoft.AzureActiveDirectory"، يمكنك مشاهدة اتصالات عنوان IPV6 على سجلات تسجيل الدخول. تستخدم Microsoft نطاق IPV6 خاص داخلي لهذا النوع من الاتصالات.

هل توجد جميع خدمات Azure في شبكة Azure الظاهرية التي يوفرها العميل؟ كيف تعمل نقطة نهاية خدمة الشبكة الظاهرية مع خدمات Azure؟

لا توجد جميع خدمات Azure في الشبكة الظاهرية للعميل. معظم خدمات بيانات Azure (مثل Azure Storage وAzure SQL وAzure Cosmos DB) هي خدمات متعددة المستأجرين يمكن الوصول إليها عبر عناوين IP العامة. لمزيد من المعلومات، راجع نشر خدمات Azure المخصصة في الشبكات الظاهرية.

عند تشغيل نقاط نهاية خدمة الشبكة الظاهرية على جانب الشبكة وإعداد قوائم التحكم في الوصول المناسبة للشبكة الظاهرية على جانب خدمة Azure، يتم تقييد الوصول إلى خدمة Azure من شبكة ظاهرية وشبكة فرعية مسموح بها.

كيف توفر نقاط نهاية خدمة الشبكة الظاهرية الأمان؟

تحد نقاط نهاية خدمة الشبكة الظاهرية من وصول خدمة Azure إلى الشبكة الظاهرية والشبكة الفرعية المسموح بها. وبهذه الطريقة، فإنها توفر أمان على مستوى الشبكة وعزل حركة مرور خدمة Azure.

تتدفق جميع حركات المرور التي تستخدم نقاط نهاية خدمة الشبكة الظاهرية عبر العمود الفقري ل Microsoft لتوفير طبقة أخرى من العزلة عن الإنترنت العام. يمكن للعملاء أيضا اختيار إزالة الوصول العام إلى الإنترنت بالكامل إلى موارد خدمة Azure والسماح بنسبة استخدام الشبكة فقط من شبكتهم الظاهرية من خلال مجموعة من جدار حماية IP وقوائم التحكم في الوصول للشبكة الظاهرية. تساعد إزالة الوصول إلى الإنترنت على حماية موارد خدمة Azure من الوصول غير المصرح به.

ما الذي تحميه نقطة نهاية خدمة الشبكة الظاهرية - موارد الشبكة الظاهرية أو موارد خدمة Azure؟

تساعد نقاط نهاية خدمة الشبكة الظاهرية في حماية موارد خدمة Azure. تتم حماية موارد الشبكة الظاهرية من خلال مجموعات أمان الشبكة.

هل هناك أي تكلفة لاستخدام نقاط نهاية خدمة الشبكة الظاهرية؟

‏‏لا. لا توجد تكلفة إضافية لاستخدام نقاط نهاية خدمة الشبكة الظاهرية.

هل يمكنني تشغيل نقاط نهاية خدمة الشبكة الظاهرية وإعداد قوائم التحكم في الوصول للشبكة الظاهرية إذا كانت الشبكة الظاهرية وموارد خدمة Azure تنتمي إلى اشتراكات مختلفة؟

نعم، يمكن ذلك. يمكن أن تكون الشبكات الظاهرية وموارد خدمة Azure في نفس الاشتراك أو في اشتراكات مختلفة. المطلب الوحيد هو أن كلا من الشبكة الظاهرية وموارد خدمة Azure يجب أن تكون ضمن نفس مستأجر Microsoft Entra.

هل يمكنني تشغيل نقاط نهاية خدمة الشبكة الظاهرية وإعداد قوائم التحكم في الوصول للشبكة الظاهرية إذا كانت الشبكة الظاهرية وموارد خدمة Azure تنتمي إلى مستأجري Microsoft Entra مختلفين؟

نعم، من الممكن عند استخدام نقاط نهاية الخدمة ل Azure Storage وAzure Key Vault. بالنسبة للخدمات الأخرى، لا يتم دعم نقاط نهاية خدمة الشبكة الظاهرية وقوائم التحكم في الوصول للشبكة الظاهرية عبر مستأجري Microsoft Entra.

هل يمكن لعنوان IP للجهاز المحلي المتصل من خلال بوابة شبكة Azure الظاهرية (VPN) أو بوابة ExpressRoute الوصول إلى خدمات Azure PaaS عبر نقاط نهاية خدمة الشبكة الظاهرية؟

بشكل افتراضي، لا يمكن الوصول إلى موارد خدمة Azure المؤمنة للشبكات الظاهرية من الشبكات المحلية. إذا كنت ترغب في السماح بنسبة استخدام الشبكة من أماكن العمل، فيجب عليك أيضا السماح بعناوين IP العامة (عادة، NAT) من أماكن العمل أو ExpressRoute. يمكنك إضافة عناوين IP هذه من خلال تكوين جدار حماية IP لموارد خدمة Azure.

هل يمكنني استخدام نقاط نهاية خدمة الشبكة الظاهرية لتأمين خدمات Azure إلى شبكات فرعية متعددة داخل شبكة ظاهرية أو عبر شبكات ظاهرية متعددة؟

لتأمين خدمات Azure إلى شبكات فرعية متعددة داخل شبكة ظاهرية أو عبر شبكات ظاهرية متعددة، قم بتمكين نقاط نهاية الخدمة على جانب الشبكة على كل من الشبكات الفرعية بشكل مستقل. ثم قم بتأمين موارد خدمة Azure لجميع الشبكات الفرعية عن طريق إعداد قوائم ACL للشبكة الظاهرية المناسبة على جانب خدمة Azure.

كيف يمكنني تصفية نسبة استخدام الشبكة الصادرة من شبكة ظاهرية إلى خدمات Azure والاستمرار في استخدام نقاط نهاية الموفر؟

إذا كنت تريد فحص أو تصفية نسبة استخدام الشبكة الموجهة إلى خدمة Azure من شبكة ظاهرية، يمكنك توزيع جهاز ظاهري للشبكة ضمن الشبكة الظاهرية. يمكنك بعد ذلك تطبيق نقاط نهاية الخدمة على الشبكة الفرعية حيث يتم نشر الجهاز الظاهري للشبكة وتأمين موارد خدمة Azure على هذه الشبكة الفرعية فقط من خلال قوائم التحكم في الوصول للشبكة الظاهرية.

قد يكون هذا السيناريو مفيدا أيضا إذا كنت تريد تقييد وصول خدمة Azure من شبكتك الظاهرية فقط إلى موارد Azure معينة باستخدام تصفية الأجهزة الظاهرية للشبكة. لمزيد من المعلومات، راجع نشر NVAs عالية التوفر.

ماذا يحدث عندما يصل شخص ما إلى حساب خدمة Azure الذي تم تمكين ACL للشبكة الظاهرية من خارج الشبكة الظاهرية؟

ترجع الخدمة خطأ HTTP 403 أو HTTP 404.

هل يُسمح للشبكات الفرعية لشبكة ظاهرية تم إنشاؤها في مناطق مختلفة بالوصول إلى حساب خدمة Azure في منطقة أخرى؟

نعم. بالنسبة لمعظم خدمات Azure، يمكن للشبكات الظاهرية التي تم إنشاؤها في مناطق مختلفة الوصول إلى خدمات Azure في منطقة أخرى من خلال نقاط نهاية خدمة الشبكة الظاهرية. على سبيل المثال، إذا كان حساب Azure Cosmos DB في منطقة غرب الولايات المتحدة أو شرق الولايات المتحدة، وكانت الشبكات الظاهرية في مناطق متعددة، يمكن للشبكات الظاهرية الوصول إلى Azure Cosmos DB.

تعد Azure Storage وAzure SQL استثناءات وهي إقليمية بطبيعتها. يجب أن تكون كل من الشبكة الظاهرية وخدمة Azure في نفس المنطقة.

هل يمكن أن تحتوي خدمة Azure على كل من ACL شبكة ظاهرية وجدار حماية IP؟

نعم. يمكن أن يتعايش ACL للشبكة الظاهرية وجدار حماية IP. تكمل الميزات بعضها البعض للمساعدة في ضمان العزل والأمان.

ماذا يحدث إذا حذفت شبكة ظاهرية أو شبكة فرعية تحتوي على نقاط نهاية خدمة قيد التشغيل لخدمات Azure؟

حذف الشبكات الظاهرية وحذف الشبكات الفرعية هي عمليات مستقلة. يتم دعمها حتى عند تشغيل نقاط نهاية الخدمة لخدمات Azure.

إذا قمت بإعداد قوائم ACL للشبكة الظاهرية لخدمات Azure، يتم تعطيل معلومات ACL المقترنة بخدمات Azure هذه عند حذف شبكة ظاهرية أو شبكة فرعية تحتوي على نقاط نهاية خدمة الشبكة الظاهرية قيد التشغيل.

ماذا يحدث إذا حذفت حساب خدمة Azure الذي يحتوي على نقطة نهاية خدمة شبكة ظاهرية قيد التشغيل؟

يعد حذف حساب خدمة Azure عملية مستقلة. يتم دعمه حتى إذا قمت بتشغيل نقطة نهاية الخدمة على جانب الشبكة وإعداد قوائم ACL للشبكة الظاهرية على جانب خدمة Azure.

ماذا يحدث لعنوان IP المصدر لمورد (مثل جهاز ظاهري في شبكة فرعية) يحتوي على نقاط نهاية خدمة الشبكة الظاهرية قيد التشغيل؟

عند تشغيل نقاط نهاية خدمة الشبكة الظاهرية، تتحول عناوين IP المصدر للموارد في الشبكة الفرعية للشبكة الظاهرية من استخدام عناوين IPv4 العامة إلى استخدام عناوين IP الخاصة بشبكة Azure الظاهرية لحركة المرور إلى خدمات Azure. يمكن أن يتسبب رمز التبديل هذا في فشل جدران حماية IP معينة تم تعيينها إلى عنوان IPv4 عام في وقت سابق على خدمات Azure.

هل يكون لمسار نقطة نهاية الموفر الأسبقية دائماً؟

تضيف نقاط نهاية الخدمة مسار نظام له الأسبقية على مسارات بروتوكول بوابة الحدود (BGP) ويوفر التوجيه الأمثل لحركة مرور نقطة نهاية الخدمة. تقوم نقاط نهاية الموفر دائماً بتحمل نسبة استخدام شبكة الخدمة مباشرة من الشبكة الظاهرية إلى الخدمة على شبكة Microsoft Azure الأساسية.

لمزيد من المعلومات حول كيفية تحديد Azure لمسار، راجع توجيه نسبة استخدام الشبكة الظاهرية.

هل تعمل نقاط نهاية الموفر مع ICMP؟

‏‏لا. لن تأخذ حركة مرور ICMP التي تم الحصول على مصدرها من شبكة فرعية مع تمكين نقاط نهاية الخدمة مسار نفق الخدمة إلى نقطة النهاية المطلوبة. تعالج نقاط نهاية الخدمة حركة مرور TCP فقط. إذا كنت ترغب في اختبار زمن الانتقال أو الاتصال بنقطة نهاية عبر نقاط نهاية الخدمة، فلن تظهر أدوات مثل ping و tracert المسار الحقيقي الذي ستتخذه الموارد داخل الشبكة الفرعية.

كيف تعمل مجموعات أمان الشبكة على شبكة فرعية مع نقاط نهاية الخدمة؟

للوصول إلى خدمة Azure، تحتاج مجموعات NSG إلى السماح بالاتصال الصادر. إذا تم فتح NSGs الخاصة بك لجميع نسبة استخدام الشبكة الصادرة عبر الإنترنت، يجب أن تعمل حركة مرور نقطة نهاية الخدمة. يمكنك أيضا تقييد نسبة استخدام الشبكة الصادرة إلى عناوين IP للخدمة فقط باستخدام علامات الخدمة.

ما الأذونات التي أحتاج إليها لإعداد نقاط نهاية الموفر؟

يمكنك تكوين نقاط نهاية الخدمة على شبكة ظاهرية بشكل مستقل إذا كان لديك حق الوصول للكتابة إلى تلك الشبكة.

لتأمين موارد خدمة Azure إلى شبكة ظاهرية، يجب أن يكون لديك إذن Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action للشبكات الفرعية التي تضيفها. يتم تضمين هذا الإذن في دور مسؤول الخدمة المضمن بشكل افتراضي ويمكن تعديله من خلال إنشاء أدوار مخصصة.

لمزيد من المعلومات حول الأدوار المضمنة وتعيين أذونات محددة للأدوار المخصصة، راجع أدوار Azure المخصصة.

هل يمكنني تصفية حركة مرور الشبكة الظاهرية إلى خدمات Azure عبر نقاط نهاية الخدمة؟

يمكنك استخدام نهج نقطة نهاية خدمة الشبكة الظاهرية لتصفية حركة مرور الشبكة الظاهرية إلى خدمات Azure، ما يسمح بموارد خدمة Azure محددة فقط عبر نقاط نهاية الخدمة. توفر سياسات نقطة النهاية تحكماً دقيقاً في الوصول من نسبة استخدام الشبكة الظاهرية إلى خدمات Azure.

لمعرفة المزيد، راجع نهج نقطة نهاية خدمة الشبكة الظاهرية ل Azure Storage.

هل يدعم معرف Microsoft Entra نقاط نهاية خدمة الشبكة الظاهرية؟

لا يدعم معرف Microsoft Entra نقاط نهاية الخدمة في الأصل. للحصول على قائمة كاملة بخدمات Azure التي تدعم نقاط نهاية خدمة الشبكة الظاهرية، راجع نقاط نهاية خدمة الشبكة الظاهرية.

في هذه القائمة، يتم استخدام علامة Microsoft.AzureActiveDirectory المدرجة ضمن الخدمات التي تدعم نقاط نهاية الخدمة لدعم نقاط نهاية الخدمة إلى Azure Data Lake Storage Gen1. يستخدم تكامل الشبكة الظاهرية ل Data Lake Storage Gen1 أمان نقطة نهاية خدمة الشبكة الظاهرية بين شبكتك الظاهرية ومعرف Microsoft Entra لإنشاء مطالبات أمان إضافية في الرمز المميز للوصول. ثم يتم استخدام هذه المطالبات لمصادقة شبكتك الافتراضية على حسابك على Data Lake Storage Gen1 والسماح بالوصول.

هل هناك أي حدود لعدد نقاط نهاية الخدمة التي يمكنني إعدادها من شبكتي الظاهرية؟

لا يوجد حد على العدد الإجمالي لنقاط نهاية الخدمة في شبكة ظاهرية. بالنسبة لمورد خدمة Azure (مثل حساب Azure Storage)، قد تفرض الخدمات حدودا على عدد الشبكات الفرعية التي تستخدمها لتأمين المورد. يعرض الجدول التالي بعض أمثلة القيود:

خدمة Azure	القيود المفروضة على قواعد الشبكة الظاهرية
تخزين Azure	200
عنوان SQL لـ Azure	128
Azure Synapse Analytics	128
Azure Key Vault	200
Azure Cosmos DB	64
مراكز أحداث Azure	128
ناقل خدمة Azure	128

إشعار

تخضع الحدود للتغيير وفقا لتقدير خدمات Azure. راجع وثائق الخدمة المعنية للحصول على التفاصيل.

ترحيل موارد الشبكة الكلاسيكية إلى Resource Manager

ما المقصود ب Azure Service Manager، وماذا يعني مصطلح "كلاسيكي"؟

Azure Service Manager هو نموذج التوزيع القديم ل Azure الذي كان مسؤولا عن إنشاء الموارد وإدارتها وحذفها. تشير كلمة كلاسيكي في خدمة اتصال شبكة إلى الموارد المدارة بواسطة نموذج Azure Service Manager. لمزيد من المعلومات، راجع مقارنة نماذج التوزيع.

ما Azure Resource Manager؟

Azure Resource Manager هو أحدث نموذج نشر وإدارة في Azure مسؤول عن إنشاء الموارد وإدارتها وحذفها في اشتراك Azure الخاص بك. لمزيد من المعلومات، راجع ما هو Azure Resource Manager؟.

هل يمكنني إعادة الترحيل بعد تثبيت الموارد لـResource Manager؟

يمكنك إيقاف الترحيل طالما كانت الموارد في الحالة الجاهزة. لا يتم دعم العودة إلى نموذج التوزيع السابق بعد ترحيل الموارد بنجاح من خلال عملية التثبيت.

هل يمكنني إعادة الترحيل إذا فشلت عملية التثبيت؟

لا يمكنك عكس الترحيل إذا فشلت عملية التثبيت. لا يمكن تغيير جميع عمليات الترحيل، بما في ذلك عملية التثبيت، بعد بدء تشغيلها. نوصي بإعادة محاولة العملية بعد فترة قصيرة. إذا استمر فشل العملية، فأرسل طلب دعم.

هل يمكنني التحقق من صحة اشتراكي أو مواردي لمعرفة ما إذا كانت قادرةً على الترحيل؟

نعم. الخطوة الأولى في التحضير للترحيل هي التحقق من إمكانية ترحيل الموارد. إذا فشل التحقق من الصحة، فستتلقى رسائل لجميع الأسباب التي تجعل الترحيل غير قادر على إكماله.

هل يتم ترحيل موارد Application Gateway كجزء من ترحيل الشبكة الظاهرية من الكلاسيكي إلى Resource Manager؟

لا يتم ترحيل موارد Azure Application Gateway تلقائيا كجزء من عملية ترحيل الشبكة الظاهرية. إذا كان أحدها موجوداً في الشبكة الظاهرية، فلن ينجح الترحيل. لترحيل مورد Application Gateway إلى Resource Manager، يجب عليك إزالة مثيل Application Gateway وإعادة إنشائه بعد اكتمال الترحيل.

هل يتم ترحيل موارد بوابة VPN كجزء من ترحيل الشبكة الظاهرية من الكلاسيكية إلى Resource Manager؟

يتم ترحيل موارد بوابة Azure VPN كجزء من عملية ترحيل الشبكة الظاهرية. يكتمل ترحيل شبكة ظاهرية واحدة في كل مرة دون أي متطلبات أخرى. خطوات الترحيل هي نفسها لترحيل شبكة ظاهرية بدون بوابة VPN.

هل انقطاع الخدمة مقترن بترحيل بوابات VPN الكلاسيكية إلى Resource Manager؟

لن تواجه أي انقطاع في الخدمة مع اتصال VPN الخاص بك عند الترحيل إلى Resource Manager. ستستمر أحمال العمل الحالية في العمل مع الاتصال المحلي الكامل أثناء الترحيل.

هل أحتاج إلى إعادة تكوين جهازي المحلي بعد ترحيل بوابة VPN إلى Resource Manager؟

يظل عنوان IP العام المقترن ببوابة VPN كما هو بعد الترحيل. لست بحاجة إلى إعادة تكوين جهاز التوجيه المحلي.

ما هي السيناريوهات المدعومة لترحيل بوابة VPN من الكلاسيكية إلى Resource Manager؟

يغطي الترحيل من الكلاسيكي إلى Resource Manager معظم سيناريوهات اتصال VPN الشائعة. تتضمن السيناريوهات المدعومة:

• الاتصال من نقطة إلى موقع.

• الاتصال من موقع إلى موقع باستخدام بوابة VPN متصلة بموقع محلي.

• الاتصال من شبكة إلى شبكة بين شبكتين ظاهريتين تستخدمان بوابات VPN.

• شبكات ظاهرية متعددة متصلة بنفس الموقع المحلي.

• اتصال متعدد المواقع.

• الشبكات الظاهرية مع تمكين الاتصال النفقي القسري.

ما هي السيناريوهات غير المدعومة لترحيل بوابة VPN من الكلاسيكية إلى Resource Manager؟

تتضمن السيناريوهات غير المدعومة ما يلي:

• شبكة ظاهرية مع كل من بوابة ExpressRoute وبوابة VPN.

• شبكة ظاهرية مع بوابة ExpressRoute متصلة بدوائرة في اشتراك مختلف.

• سيناريوهات النقل حيث يتم توصيل ملحقات الأجهزة الظاهرية بالخوادم المحلية.

أين يمكنني العثور على مزيد من المعلومات حول الترحيل من الإصدار الكلاسيكي إلى Resource Manager؟

راجع الأسئلة المتداولة حول ترحيل Azure Resource Manager الكلاسيكي.

كيف يمكنني الإبلاغ عن مشكلة؟

يمكنك نشر أسئلة حول مشاكل الترحيل إلى صفحة Microsoft Q&A . نوصي بنشر جميع أسئلتك في هذا المنتدى. إذا كان لديك عقد دعم، يمكنك أيضاً تقديم طلب دعم.