توصيل الخدمات باستخدام تناظر الشبكة الظاهرية

  • 8 دقائق

يُمكنك استخدام تناظر الشبكة الظاهرية للاتصال مباشرةً بشبكات Azure الظاهرية معًا. عند استخدام التناظر للاتصال بالشبكات الظاهرية، تستطيع الأجهزة الظاهرية (VMs) الموجودة ضمن هذه الشبكات أن تتواصل مع بعضها البعض كما لو كانت في نفس الشبكة.

مع الشبكات الظاهرية النظيرة، يتم توجيه حركة المرور بين الأجهزة الظاهرية من خلال شبكة Azure. تقوم نسبة استخدام الشبكة باستخدام عنوان IP الخاصة فقط. وهي لا تعتمد فقط على الاتصال بالإنترنت أو البوابات أو الاتصالات المشفرة. دائمًا ما تكون نسبة استخدام الشبكة خاصة، وتستفيد من النطاق الترددي العالي وزمن الانتقال المنخفض من شبكة Azure الأساسية.

A basic diagram of two virtual networks that are connected by virtual network peering.

يتم إنشاء نوعين من اتصالات التناظر بنفس الطريقة:

  • يربط نظير الشبكة الظاهرية الشبكات الظاهرية في نفس منطقة Azure، مثل شبكتين ظاهريتين في شمال أوروبا.
  • يربط نظير الشبكة الظاهرية العالمية الشبكات الظاهرية الموجودة في مناطق Azure المختلفة، مثل شبكة ظاهرية في شمال أوروبا وشبكة ظاهرية في غرب أوروبا.

لا يؤثر تناظر الشبكة الظاهرية على أيّ موارد قمت بتوزيعها بالفعل على الشبكات الظاهرية أو تُعطّلها. عند استخدام تناظر الشبكة الظاهرية، ضع في اعتبارك الميزات الرئيسية المحددة في الأقسام التالية.

الاتصالات المتبادلة

عند إنشاء اتصال تناظر شبكة ظاهرية باستخدام Azure PowerShell أو Azure CLI، يتم إنشاء جانب واحد فقط من التناظر. لإكمال تكوين تناظر الشبكة الظاهرية، ستحتاج إلى تكوين التناظر في الاتجاه العكسي لإنشاء الاتصال. عند إنشاء اتصال تناظر الشبكة الظاهرية من خلال مدخل Microsoft Azure، يتم إكمال التكوين لكلا الجانبين في نفس الوقت.

فكر في كيفية توصيل اثنين من مفاتيح الشبكة معا. يمكنك توصيل كبل بكل مفتاح تبديل وربما تكوين بعض الإعدادات حتى تتمكن مفاتيح التبديل من الاتصال. يتطلب تناظر الشبكات الظاهرية اتصالات مشابهة في كل شبكة ظاهرية. توفر الاتصالات المتبادلة هذه الوظيفة.

تناظر الشبكات الظاهرية عبر الاشتراك

يُمكنك استخدام تناظر الشبكات الظاهرية حتى عندما تكون الشبكتان الظاهريتان في اشتراكات مختلفة. قد يكون هذا الإعداد ضروريا لعمليات الدمج والاستحواذ، أو لتوصيل الشبكات الظاهرية في الاشتراكات التي تديرها الأقسام المختلفة. يمكن أن تكون الشبكات الظاهرية في اشتراكات مختلفة، ويمكن للاشتراكات استخدام نفس مستأجري Microsoft Entra أو مختلفين.

عند استخدام شبكة ظاهرية نظيرة بين اشتراكات، قد تجد أن مسؤول أحد الاشتراكات لا يدير اشتراك شبكة النظير. قد لا يتمكن المسؤول من تكوين طرفي الاتصال. لنظير الشبكات الظاهرية عندما يكون كلا الاشتراكين في مستأجري Microsoft Entra مختلفين، يجب على مسؤولي كل اشتراك منح مسؤول Network Contributor اشتراك النظير الدور على شبكتهم الظاهرية.

الانتقالية

إن تناظر الشبكات الظاهرية غير قابل للانتقال. والشبكات الظاهرية التي تم إنشاء التناظر المباشر بينها هي فقط التي يمكنها التواصل مع بعضها البعض. لا يُمكن للشبكات الظاهرية أن تتواصل مع نظراء نظرائها.

لنفترض، على سبيل المثال، أن الشبكات الافتراضية الثلاث (A وB وC) تم تحديدها على النحو هذا: لا يمكن للموارد A <-> B <-> C. في A الاتصال بالموارد في C لأن حركة المرور هذه لا يمكن أن تمر عبر الشبكة الظاهرية B. إذا كنت بحاجة إلى الاتصال بين الشبكة الظاهرية A و شبكة الاتصال الظاهرية C، يجب أن تقوم بشكل صريح نظير هاتين الشبكتين الظاهريتين.

الانتقال عبر البوابات

يمكنك الاتصال بشبكتك المحلية من شبكة ظاهرية نظيرة إذا مكّنت عبور البوابات من شبكة ظاهرية تحتوي على بوابة VPN. باستخدام الانتقال عبر البوابات، يُمكنك تمكين الاتصال الداخلي دون توزيع بوابات الشبكة الظاهرية إلى كافة الشبكات الظاهرية. يمكن أن تقلل هذه الطريقة من التكلفة الإجمالية وتعقيد شبكتك. باستخدام تناظر شبكة ظاهرية مع عبور البوابة، يمكنك تكوين شبكة ظاهرية واحدة كشبكة مركز. قم بتوصيل شبكة المركز هذه إلى مركز البيانات الداخلي الخاص بك، ثم قم بمشاركة بوابة الشبكة الظاهرية مع النظراء.

لتمكين نقل البوابة، قم بتكوين خيار السماح بعبور البوابة في الشبكة الظاهرية المركزية حيث قمت بنشر اتصال البوابة إلى الشبكة المحلية. قم أيضا بتكوين الخيار Use remote gateways في أي شبكات ظاهرية محورية.

إشعار

إذا كنت تريد تمكين الخيار Use remote gateways في نظير شبكة محورية، فلا يمكنك نشر بوابة شبكة ظاهرية في الشبكة الظاهرية المحورية.

نطاقات العناوين المتداخلة

لا يُمكن أن تتداخل نطاقات عناوين IP للشبكات المتصلة داخل Azure بين Azure وشبكتك المحلية. وينطبق ذلك أيضًا على الشبكات الظاهرية المتناظرة. ضع هذه القاعدة في اعتبارك عند التخطيط لتصميم الشبكة. في أي شبكات تقوم بتوصيلها عبر تناظر الشبكة الظاهرية، أو الشبكة الظاهرية الخاصة (VPN) أو ExpressRoute، قم بتخصيص نطاقات عناوين مختلفة لا يحدث أي تداخل بينها.

Diagram of a comparison of overlapping and non-overlapping network addressing.

أساليب الاتصال البديلة

إن تناظر الشبكة الظاهرية هو أقل الطرق تعقيدًا من حيث توصيل الشبكات الظاهرية معًا. تركز الأساليب الأخرى بشكل أساسي على الاتصال بين الشبكات الداخلية وشبكات Azure بدلاً من الاتصالات بين الشبكات الظاهرية.

يمكنك أيضًا توصيل الشبكات الظاهرية معًا من خلال دائرة ExpressRoute. إن ExpressRoute اتصال خاص ومخصص بين مركز البيانات الداخلي وشبكة Azure الأساسية. الشبكات الظاهرية التي تتصل بدائرة ExpressRoute تشكل جزءًا من نفس مجال التوجيه ويمكنها الاتصال ببعضها البعض. لا يتم توصيل اتصالات ExpressRoute عبر الإنترنت العام، لذا فإن اتصالاتك مع خدمات Azure آمنة قدر الإمكان.

تستخدم الشبكات الظاهرية الخاصة (VPN) الإنترنت لتوصيل مركز البيانات الداخلي الخاص بك بشبكة Azure الأساسية من خلال نفق مشفّر. يُمكنك استخدام تكوين موقع إلى موقع لتوصيل الشبكات الظاهرية معًا من خلال بوابات الشبكة الظاهرية الخاصة (VPN). تمتلك بوابات الشبكة الظاهرية الخاصة (VPN) زمن انتقال أعلى من إعدادات تناظر الشبكات الظاهرية. وهي أكثر تعقيدًا وقد تكون تكلفة إدارتها أعلى.

عندما يتم توصيل الشبكات الظاهرية عبر بوابة وتناظر الشبكات الظاهرية، تتدفق نسبة استخدام الشبكة من خلال تكوين التناظر.

متى تختار تناظر الشبكات الظاهرية

قد يكون تناظر الشبكات الظاهرية طريقة رائعة لتمكين اتصال الشبكة بين الخدمات الموجودة في الشبكات الظاهرية المختلفة. نظرًا إلى سهولة تنفيذه وتوزيعه، ولأنه يعمل بشكل جيد عبر المناطق والاشتراكات، يجب أن يكون تناظر الشبكات الظاهرية هو خيارك الأول عندما تحتاج إلى دمج شبكات Azure الظاهرية.

قد لا يكون التناظر هو خيارك الأفضل إذا كان لديك existing VPN or ExpressRoute خلف Azure Basic Load Balancers والتي يمكن الوصول إليها من شبكة افتراضية متقنة. في هذه الحالات، يجب البحث عن بدائل.