تأمين الوصول إلى شبكة الاتصال إلى خدمات PaaS مع نقاط نهاية خدمة الشبكة الظاهرية

  • 5 دقائق

لقد قمت بترحيل خوادم التطبيقات وقاعدة البيانات الحالية لنظام ERP الخاص بك إلى Azure على شكل أجهزة ظاهرية. والآن، لتقليل التكاليف والمتطلبات الإدارية، فكر في استخدام بعض خدمات النظام الأساسي Azure كخدمة (PaaS). ستحتفظ خدمات التخزين ببعض أصول الملفات الكبيرة، مثل الرسومات التخطيطية الهندسية. تحتوي هذه المخططات الهندسية على معلومات خاصة، ويجب أن تظل آمنة من الوصول غير المصرَّح به. ينبغي الوصول إلى هذه الملفات من أنظمة معينة فقط.

سنلقي في هذه الوحدة نظرة على كيفية استخدام نقاط نهاية خدمة الشبكة الظاهرية لتأمين خدمات Azure المدعومة.

نقاط نهاية خدمة الشبكة الظاهرية

استخدم نقاط نهاية خدمة الشبكة الظاهرية لتوسيع مساحة العنوان الخاص بك في Azure من خلال توفير اتصال مباشر بخدمات Azure الخاصة بك. تتيح لك نقاط نهاية الخدمة تأمين موارد Azure إلى الشبكة الظاهرية فقط. وستظل نسبة استخدام الخدمة على العمود الفقري لـ Azure، ولا تخرج إلى الإنترنت.

Diagram of a service endpoint on a private network.

بشكل افتراضي، تم تصميم جميع خدمات Azure للوصول المباشر إلى الإنترنت. تحتوي جميع موارد Azure على عناوين IP العامة، ومنها خدمات PaaS مثل Azure SQL Database وAzure Storage. ونظرًا إلى عرض هذه الخدمات على الإنترنت، يمكن لأي شخص الوصول إلى خدمات Azure.

ويمكن لنقاط نهاية الخدمة توصيل خدمات معينة من خدمات PaaS مباشرة بمساحة العناوين الخاصة في Azure، بحيث تتصرف كما لو كانت على نفس الشبكة الظاهرية. استخدم مساحة العنوان الخاص بك للوصول إلى خدمات PaaS مباشرة. لا تؤدي إضافة نقاط نهاية الخدمة إلى إزالة نقطة النهاية العامة. إنه يوفر إعادة توجيه نسبة الاستخدام ببساطة.

وتتوفر نقاط نهاية خدمة Azure للعديد من الخدمات، مثل:

  • تخزين Azure
  • قاعدة بيانات Azure SQL
  • Azure Cosmos DB
  • Azure Key Vault
  • ناقل خدمة Azure
  • Azure Data Lake

بالنسبة إلى خدمة مثل قاعدة بيانات SQL، والتي لا يمكن الوصول إليها حتى تقوم بإضافة عناوين IP إلى جدار الحماية الخاص بها، فلا بد من وضع نقاط نهاية الخدمة بعين الاعتبار. ويؤدي استخدام نقطة نهاية خدمة لقاعدة بيانات SQL إلى تقييد الوصول إلى شبكات ظاهرية معينة، ما يوفر عزلاً أكبر وتقليل الأجزاء المعرضة للهجوم.

كيف تعمل نقاط نهاية الخدمة؟

لتمكين نقطة نهاية خدمة، يجب عليك:

  1. إيقاف وصول الجمهور إلى الخدمة.
  2. إضافة نقطة نهاية الخدمة إلى شبكة ظاهرية.

عند تمكين نقطة نهاية خدمة، يمكنك تقييد تدفق نسبة الاستخدام، وتمكين أجهزة Azure الظاهرية الخاصة بك من الوصول إلى الخدمة مباشرة من مساحة العنوان الخاص بك. لا يمكن للأجهزة الوصول إلى الخدمة من شبكة عامة. في جهاز ظاهري ذي واجهة شبكة ظاهرية المنشور، إذا نظرت إلى ⁧⁩المسارات الفعالة⁧⁩، فستلاحظ نقطة نهاية الخدمة على أنها ⁧⁩نوع الوثب التالي⁧⁩.

هذا مثال لجدول توجيه، قبل تمكين نقطة نهاية خدمة:

المصدر الحالة بادئات العناوين نوع الوثب التالي
افتراضي نشط 10.1.1.0/24 الشبكة الظاهرية
افتراضي نشط 0.0.0.0./0 الإنترنت
افتراضي نشط 10.0.0.0/8 بلا
افتراضي نشط 100.64.0.0./10 بلا
افتراضي نشط 192.168.0.0/16 بلا

وفيما يلي مثال لجدول التوجيه بعد إضافة نقطتي نهاية الخدمة إلى الشبكة الظاهرية:

المصدر الحالة بادئات العناوين نوع الوثب التالي
افتراضي نشط 10.1.1.0/24 الشبكة الظاهرية
افتراضي نشط 0.0.0.0./0 الإنترنت
افتراضي نشط 10.0.0.0/8 بلا
افتراضي نشط 100.64.0.0./10 بلا
افتراضي نشط 192.168.0.0/16 بلا
افتراضي نشط 20.38.106.0/23، 10 أكثر VirtualNetworkServiceEndpoint
افتراضي نشط 20.150.2.0/23، 9 أكثر VirtualNetworkServiceEndpoint

يتم توجيه كافة نسبة الاستخدام للخدمة الآن إلى ⁧⁩VirtualNetworkServiceEndpoint⁧⁩، ويبقى داخلي إلى Azure.

نقاط نهاية الخدمة والشبكات المختلطة

موارد الخدمة التي قمت بتأمينها باستخدام نقاط نهاية خدمة الشبكة الظاهرية غير قابلة للوصول، بشكل افتراضي، من الشبكات المحلية. للوصول إلى الموارد من شبكة اتصال محلي، استخدم NAT IPs. إذا كنت تستخدم ExpressRoute للاتصال من أماكن العمل إلى Azure، فيجب عليك تحديد عناوين IP الخاصة بـ NAT التي يستخدمها ExpressRoute. افتراضيًا، تستخدم كل دائرة عنواني IP NAT للاتصال بشبكة Azure الأساسية. ثم تحتاج بعد ذلك إلى إضافة عناوين IP هذه إلى تكوين جدار حماية IP الخاصة بمورد خدمة Azure (مثل Azure Storage).

يوضح الرسم التخطيطي التالي كيف يمكنك استخدام نقطة نهاية الخدمة وتكوين جدار الحماية لتمكين الأجهزة المحلية من الوصول إلى موارد Azure Storage.

Diagram of a service endpoint for on-premises access to Azure resources.