تكوين إعدادات شبكة Azure virtual machine

  • 5 دقائق

لقد ثبّتنا برنامجنا المخصص، وأعددنا خادم FTP، وقمنا بتكوين الجهاز الظاهري لاستلام ملفات الفيديو الخاصة بنا. ولكن إذا حاولنا الاتصال بعنوان IP العام الخاص بنا باستخدام FTP، فسنكتشف أنه محظور.

من الشائع إجراء تعديلات على تكوين الخادم باستخدام أجهزة تتوفر في بيئتك الداخلية. وبذلك، يمكنك التفكير في أجهزة Azure VM لتُشكل امتداداً من هذه البيئة. يمكنك إجراء تغييرات على التكوين، وإدارة الشبكات، وفتح حركة مرور أو حظرها، وغير ذلك المزيد من خلال أدوات مدخل Azure، أو Azure CLI أو Azure PowerShell.

لقد رأيت بالفعل بعض المعلومات الأساسية وخيارات الإدارة في لوحة "Overview" الخاصة بالجهاز الظاهري. لنستكشف تكوين الشبكة بصورة أكبر قليلاً.

افتح المنافذ في Azure VMs

تُقفل أجهزة VM الجديدة بصورة افتراضية.

يمكن للتطبيقات إجراء الطلبات الصادرة، ولكن حركة المرور الواردة الوحيدة المسموح بها هي من الشبكة الظاهرية (على سبيل المثال، الموارد الأخرى على نفس الشبكة المحلية)، ومن موازن التحميل في Azure (فحوص التحقق).

توجد خطوتان لتعديل التكوين حتى يدعم FTP. عند إنشاء جهاز ظاهري جديد، تتوفر لديك فرصة لفتح عدد قليل من المنافذ الشائعة (RDP وHTTP وHTTPS وSSH). ولكن إذا تعين أن تجري تغييراً آخر على الجدار الناري، فستحتاج إلى فعل ذلك بنفسك.

تتضمن هذه العملية خطوتين هما:

  1. إنشاء مجموعة أمان الشبكة.
  2. إنشاء قاعدة واردة تُتيح حركة المرور على المنفذين 20 و21 لدعم FTP النشط.

ما مجموعة أمان الشبكة؟

الشبكات الظاهرية (VNets) هي أساس نموذج شبكة Azure وتوفر العزل والحماية. تُعد مجموعات أمان الشبكة (NSGs) الأداة الأساسية التي تستخدمها لتعزيز قواعد حركة مرور الشبكة والتحكم بها على مستوى الشبكات. تُمثل مجموعات NSG طبقة حماية اختيارية توفر جدار حماية للبرنامج من خلال تصفية حركة المرور الواردة والصادرة على VNet.

يمكن أن ترتبط مجموعات الأمان بواجهة شبكة (وفقاً لقواعد المضيف)، أو شبكة فرعية في الشبكة الظاهرية (لتطبيقها على موارد متعددة) أو المستويين كليهما.

قواعد مجموعة الأمان

تستخدم مجموعات أمان الشبكة القواعد للسماح بنسبة الاستخدام عبر الشبكة أو رفضها. تُحدد كل قاعدة عنوان الوجهة والمصدر (أو النطاق)، والبروتوكول، والمنفذ (أو النطاق)، والاتجاه (وارد أو صادر)، والأولوية الرقمية، وما إذا كان سيتم السماح بحركة المرور التي تتماشى مع القاعدة أم سيتم رفضها. يوضح الشكل التوضيحي التالي قواعد NSG المُطبقة على مستويات واجهات الشبكة والشبكة الفرعية.

An illustration showing the architecture of network security groups in two different subnets. In one subnet, there are two virtual machines, each with their own network interface rules. The subnet itself has a set of rules that applies to both the virtual machines.

تحتوي كل مجموعة أمان على مجموعة قواعد أمان افتراضية تُطبق على قواعد الشبكة الافتراضية الموضحة أعلاه. لا يمكن تعديل هذه القواعد الافتراضية، ولكن يمكن استبدالها.

كيف تستخدم Azure قواعد الشبكة

بالنسبة لحركة المرور الواردة، تعالج Azure مجموعة الأمان المرتبطة بالشبكة الفرعية، ثم مجموعة الأمان المُطبقة على واجهة الشبكة. بينما تُعالج حركة المرور الصادرة بالترتيب العكسي (واجهة الشبكة أولاً، ومن ثم الشبكة الفرعية).

تحذير

ضع في اعتبارك أن مجموعات الأمان اختيارية على المستويين كليهما. إذا لم يتم تطبيق مجموعة أمان، فستسمح Azure بجميع نسب استخدام الشبكة. إذا كان الجهاز الظاهري يحتوي على عنوان IP عام، فقد يُمثل هذا خطراً كبيراً ولا سيما إذا كان نظام التشغيل لا يوفر جدار حماية من أي نوع.

يتم تقييم القواعد وفقاً لترتيب الأولوية، ويبدأ بالقاعدة الأقل أولوية. دائماً ما توقف قواعد الرفض التقييم. فمثلاً، إذا حظرت قاعدة واجهة شبكة طلباً صادراً، فلن يتم فحص أي قاعدة مطبقة على الشبكة الفرعية. وللسماح بحركة المرور عبر مجموعة الأمان، يجب أن تمر من خلال جميع المجموعات المطبقة.

دائماً ما تكون القاعدة الأخيرة قاعدة رفض الجميع. هذه قاعدة افتراضية تُضاف إلى كل مجموعة أمان لحركة المرور الواردة والصادرة وتبلغ درجة أولويتها 65500. وهذا يعني أنه كي تمر نسبة استخدام الشبكة عبر مجموعة الأمان، ينبغي أن تمتلك قاعدة سماح أو ستحظرها القاعدة الأخيرة الافتراضية.

ملاحظة

SMTP (المنفذ 25) حالة خاصة. وفقاً لمستوى اشتراكك ووقت إنشاء حسابك، قد يتم حظر نسبة استخدام شبكة SMTP الصادرة. يمكنك تقديم طلب لإزالة هذا القيد من خلال تقديم مسوغ بالأعمال التجارية.