التخطيط تعيين عنوان IP

  • مقالة

من المهم أن تخطط مؤسستك لمعالجة IP في Azure. يضمن التخطيط عدم تداخل مساحة عنوان IP عبر المواقع المحلية ومناطق Azure.

اعتبارات التصميم:

  • تنشئ مساحات عناوين IP المتداخلة عبر المناطق المحلية ومناطق Azure تحديات كبيرة في المنافسة.

  • يمكن لبوابة Azure VPN توصيل المواقع المحلية المتداخلة بمساحات عناوين IP متداخلة من خلال إمكانية ترجمة عناوين الشبكة (NAT). تتوفر هذه الميزة بشكل عام في Azure Virtual WANوبوابة Azure VPN المستقلة.

    {رسم تخطيطي يوضح كيفية عمل NAT مع بوابة VPN.}

  • يمكنك إضافة مساحة العنوان بعد إنشاء شبكة ظاهرية. لا تحتاج هذه العملية إلى انقطاع إذا كانت الشبكة الظاهرية متصلة بالفعل بشبكة ظاهرية أخرى عبر تناظر الشبكة الظاهرية. بدلا من ذلك، يحتاج كل نظير عن بعد إلى عملية إعادة مزامنة تتم بعد تغيير مساحة الشبكة.

  • يحتفظ Azure بخمسة عناوين IP داخل كل شبكة فرعية. ضع في الاعتبار هذه العناوين عندما تقوم بتحجيم الشبكات الظاهرية والشبكات الفرعية الشاملة.

  • تتطلب بعض خدمات Azure شبكات فرعية مخصصة. تتضمن هذه الخدمات Azure Firewall وAzure VPN Gateway.

  • يمكنك تفويض الشبكات الفرعية إلى خدمات معينة لإنشاء مثيلات خدمة داخل الشبكة الفرعية.

توصيات التصميم:

  • خطط لمساحات عناوين IP غير المتداخلة عبر مناطق Azure والمواقع المحلية مسبقا.

  • استخدم عناوين IP من تخصيص العناوين للإنترنت الخاص، والمعروفة باسم عناوين RFC 1918.

  • لا تستخدم نطاقات العناوين التالية:

    • 224.0.0.0/4 (الإرسال المتعدد)
    • 255.255.255.255/32 (بث)
    • 127.0.0.0/8 (الحفظ مع التحديث)
    • 169.254.0.0/16 (link-local)
    • 168.63.129.16/32 (DNS داخلي)

  • بالنسبة للبيئات التي لديها توفر محدود لعناوين IP الخاصة، ضع في اعتبارك استخدام IPv6. يمكن أن تكون الشبكات الظاهرية IPv4 فقط أو مكدسا مزدوجا IPv4+IPv6.

    رسم تخطيطي يوضح مكدس IPv4 وIPv6 المزدوج.

  • لا تقم بإنشاء شبكات ظاهرية كبيرة مثل /16. يضمن عدم إهدار مساحة عنوان IP. أصغر شبكة فرعية IPv4 مدعومة هي /29، وأكبرها عند /2 استخدام تعريفات الشبكة الفرعية للتوجيه بين المجالات (CIDR) دون فئة. يجب أن يكون حجم الشبكات الفرعية IPv6 بالضبط /64 .

  • لا تقم بإنشاء شبكات ظاهرية دون تخطيط مساحة العنوان المطلوبة مسبقا.

  • لا تستخدم عناوين IP العامة للشبكات الظاهرية، خاصة إذا كانت عناوين IP العامة لا تنتمي إلى مؤسستك.

  • خذ الخدمات التي ستستخدمها في الاعتبار، وهناك بعض الخدمات مع عناوين IP المحجوزة (عناوين IP)، مثل AKS مع شبكات CNI

أدوات إدارة عناوين IP (IPAM)

يمكن أن يساعدك استخدام أداة IPAM في تخطيط عنوان IP في Azure لأنه يوفر إدارة مركزية ورؤية، ما يمنع التداخلات والتعارضات في مساحات عناوين IP. يرشدك هذا القسم من خلال الاعتبارات والتوصيات الأساسية عند اعتماد أداة IPAM.

اعتبارات التصميم:

تتوفر العديد من أدوات IPAM للنظر فيها، اعتمادا على متطلباتك وحجم مؤسستك. تمتد الخيارات من وجود مخزون أساسي يستند إلى Excel إلى حل مفتوح المصدر يستند إلى المجتمع أو منتجات مؤسسة شاملة مع ميزات ودعم متقدمين.

  • ضع في اعتبارك هذه العوامل عند تقييم أداة IPAM التي يجب تنفيذها:

    • الحد الأدنى من الميزات المطلوبة من قبل مؤسستك
    • التكلفة الإجمالية للتملك (TCO)، بما في ذلك الترخيص والصيانة المستمرة
    • سجلات التدقيق والتسجيل وعناصر التحكم في الوصول المستندة إلى الأدوار
    • المصادقة والتخويل من خلال Azure AD (معرف Entra)
    • يمكن الوصول إليها عبر واجهة برمجة التطبيقات
    • عمليات التكامل مع أدوات وأنظمة إدارة الشبكات الأخرى
    • دعم المجتمع النشط أو مستوى الدعم من موفر البرامج

  • ضع في اعتبارك تقييم أداة IPAM مفتوحة المصدر مثل Azure IPAM. Azure IPAM هو حل خفيف الوزن مبني على النظام الأساسي ل Azure. يكتشف تلقائيا استخدام عنوان IP داخل مستأجر Azure الخاص بك ويمكنك من إدارته جميعا من واجهة مستخدم مركزية أو عبر واجهة برمجة تطبيقات RESTful.

  • ضع في اعتبارك نموذج تشغيل المؤسسات وملكية أداة IPAM. الهدف من تنفيذ أداة IPAM هو تبسيط عملية طلب مساحات عناوين IP جديدة لفرق التطبيقات دون تبعيات واختناقات.

  • جزء مهم من وظيفة أداة IPAM هو جرد استخدام مساحة عنوان IP وتنظيمه منطقيا.

توصيات التصميم:

  • يجب أن تدعم عملية حجز مساحات عناوين IP غير المتداخلة طلب أحجام مختلفة بناء على احتياجات المناطق المنتقل إليها للتطبيق الفردي.

    • على سبيل المثال، يمكنك اعتماد تغيير حجم القميص لتسهيل وصف فرق التطبيقات لاحتياجاتها:
      • صغير - /24 - 256 عنوان IP
      • متوسط - /22 - 1024 عنوان IP
      • كبير - /20 - 4096 عنوان IP

  • يجب أن تحتوي أداة IPAM على واجهة برمجة تطبيقات لحجز مساحات عناوين IP غير المتداخلة لدعم نهج البنية الأساسية كتعليمة برمجية (IaC). هذه الميزة ضرورية أيضا للتكامل السلس ل IPAM في عملية بيع اشتراكك، وبالتالي تقليل مخاطر الأخطاء والحاجة إلى التدخل اليدوي.

    • مثال على نهج IaC هو Bicep مع وظيفة البرنامج النصي للتوزيع أو مصادر بيانات Terraform لجلب البيانات ديناميكيا من واجهة برمجة تطبيقات IPAM.

  • قم بإنشاء ترتيب منهجي لمساحات عناوين IP الخاصة بك عن طريق هيكلتها وفقا لمناطق Azure والنماذج الأصلية لحمل العمل، ما يضمن مخزون شبكة نظيفا وقابلا للتتبع.

  • يجب أن تتضمن عملية إيقاف تشغيل أحمال العمل إزالة مساحات عناوين IP التي لم تعد مستخدمة، والتي يمكن إعادة استخدامها لاحقا لأحمال العمل الجديدة القادمة، ما يعزز الاستخدام الفعال للموارد.