توصيل شبكة محلية بشبكة Microsoft Azure الظاهرية
يتم توصيل شبكة Azure الظاهرية عبر المباني بشبكتك المحلية، وتوسيع شبكتك لتشمل الشبكات الفرعية والأجهزة الظاهرية المستضافة في خدمات البنية الأساسية ل Azure. يتيح هذا الاتصال لأجهزة الكمبيوتر الموجودة على شبكتك المحلية الوصول مباشرة إلى الأجهزة الظاهرية في Azure والعكس صحيح.
على سبيل المثال، يحتاج خادم مزامنة الدليل الذي يعمل على جهاز Azure الظاهري إلى الاستعلام عن وحدات التحكم بالمجال المحلية للتغييرات في الحسابات ومزامنة هذه التغييرات مع اشتراك Microsoft 365. توضح لك هذه المقالة كيفية إعداد شبكة Azure الظاهرية عبر المباني باستخدام اتصال شبكة ظاهرية خاصة (VPN) من موقع إلى موقع جاهز لاستضافة أجهزة Azure الظاهرية.
تكوين شبكة Azure الظاهرية عبر المباني
لا يجب عزل أجهزتك الظاهرية في Azure عن بيئتك المحلية. لتوصيل أجهزة Azure الظاهرية بموارد الشبكة المحلية، يجب تكوين شبكة Azure الظاهرية عبر المباني. يوضح الرسم التخطيطي التالي المكونات المطلوبة لنشر شبكة Azure الظاهرية عبر أماكن العمل باستخدام جهاز ظاهري في Azure.
في الرسم التخطيطي، هناك شبكتان متصلتان بواسطة اتصال VPN من موقع إلى موقع: الشبكة المحلية وشبكة Azure الظاهرية. اتصال VPN من موقع إلى موقع هو:
- بين نقطتي نهاية يمكن معالجتها وتقعان على الإنترنت العام.
- تم إنهاؤه بواسطة جهاز VPN على الشبكة المحلية وبوابة Azure VPN على شبكة Azure الظاهرية.
تستضيف شبكة Azure الظاهرية الأجهزة الظاهرية. تتم إعادة توجيه نسبة استخدام الشبكة التي تنشأ من الأجهزة الظاهرية على شبكة Azure الظاهرية إلى بوابة VPN، والتي تقوم بعد ذلك بإعادة توجيه نسبة استخدام الشبكة عبر اتصال VPN من موقع إلى موقع إلى جهاز VPN على الشبكة المحلية. ثم تقوم البنية الأساسية للتوجيه للشبكة المحلية بإعادة توجيه نسبة استخدام الشبكة إلى وجهتها.
ملاحظة
يمكنك أيضا استخدام ExpressRoute، وهو اتصال مباشر بين مؤسستك وشبكة Microsoft. لا تنتقل نسبة استخدام الشبكة عبر ExpressRoute عبر الإنترنت العام. لا تصف هذه المقالة استخدام ExpressRoute.
لإعداد اتصال VPN بين شبكة Azure الظاهرية والشبكة المحلية، اتبع الخطوات التالية:
- محليا: حدد وأنشئ مسار شبكة محلي لمساحة العنوان لشبكة Azure الظاهرية التي تشير إلى جهاز VPN المحلي.
- Microsoft Azure: إنشاء شبكة Azure ظاهرية مع اتصال VPN من موقع إلى موقع.
- في أماكن العمل: قم بتكوين الأجهزة أو البرامج المحلية لجهاز VPN لإنهاء اتصال VPN، والذي يستخدم أمان بروتوكول الإنترنت (IPsec).
بعد إنشاء اتصال VPN من موقع إلى موقع، يمكنك إضافة أجهزة Azure الظاهرية إلى الشبكات الفرعية للشبكة الظاهرية.
تخطيط شبكة Azure الظاهرية
المتطلبات الأساسية
- اشتراك Azure. للحصول على معلومات حول اشتراكات Azure، انتقل إلى صفحة كيفية شراء Azure.
- مساحة عنوان IPv4 خاصة متاحة لتعيينها للشبكة الظاهرية وشبكاتها الفرعية، مع مساحة كافية للنمو لاستيعاب عدد الأجهزة الظاهرية المطلوبة الآن وفي المستقبل.
- جهاز VPN متوفر في شبكتك المحلية لإنهاء اتصال VPN من موقع إلى موقع الذي يدعم متطلبات IPsec. لمزيد من المعلومات، راجع حول أجهزة VPN لاتصالات الشبكة الظاهرية من موقع إلى موقع.
- تتم إعادة توجيه التغييرات على البنية الأساسية للتوجيه بحيث تتم إعادة توجيه نسبة استخدام الشبكة الموجهة إلى مساحة العنوان لشبكة Azure الظاهرية إلى جهاز VPN الذي يستضيف اتصال VPN من موقع إلى موقع.
- وكيل ويب يمنح أجهزة الكمبيوتر المتصلة بالشبكة المحلية والوصول إلى شبكة Azure الظاهرية إلى الإنترنت.
افتراضات تصميم بنية الحل
تمثل القائمة التالية خيارات التصميم التي تم إجراؤها لبنية الحل هذه.
- يستخدم هذا الحل شبكة Azure ظاهرية واحدة مع اتصال VPN من موقع إلى موقع. تستضيف شبكة Azure الظاهرية شبكة فرعية واحدة يمكن أن تحتوي على أجهزة ظاهرية متعددة.
- يمكنك استخدام خدمة التوجيه والوصول عن بعد (RRAS) في Windows Server 2016 أو Windows Server 2012 لإنشاء اتصال VPN من موقع إلى موقع IPsec بين الشبكة المحلية وشبكة Azure الظاهرية. يمكنك أيضا استخدام خيارات أخرى، مثل أجهزة Cisco أو Juniper Networks VPN.
- قد لا تزال الشبكة المحلية تحتوي على خدمات شبكة مثل خدمات مجال Active Directory (AD DS) ونظام أسماء المجالات (DNS) والخوادم الوكيلة. اعتمادا على متطلباتك، قد يكون من المفيد وضع بعض موارد الشبكة هذه في شبكة Azure الظاهرية.
بالنسبة لشبكة Azure ظاهرية موجودة مع شبكة فرعية واحدة أو أكثر، حدد ما إذا كانت هناك مساحة عنوان متبقية لشبكة فرعية إضافية لاستضافة أجهزتك الظاهرية المطلوبة، بناء على متطلباتك. إذا لم يكن لديك مساحة عنوان متبقية لشبكة فرعية إضافية، فقم بإنشاء شبكة ظاهرية إضافية لها اتصال VPN خاص بها من موقع إلى موقع.
تخطيط تغييرات البنية الأساسية للتوجيه لشبكة Azure الظاهرية
يجب عليك تكوين البنية الأساسية للتوجيه المحلي لإعادة توجيه نسبة استخدام الشبكة الموجهة لمساحة عنوان شبكة Azure الظاهرية إلى جهاز VPN المحلي الذي يستضيف اتصال VPN من موقع إلى موقع.
تعتمد الطريقة الدقيقة لتحديث البنية الأساسية للتوجيه على كيفية إدارة معلومات التوجيه، والتي يمكن أن تكون:
- تحديثات جدول التوجيه استنادا إلى التكوين اليدوي.
- تحديثات جدول التوجيه استنادا إلى بروتوكولات التوجيه، مثل بروتوكول معلومات التوجيه (RIP) أو فتح أقصر مسار أولا (OSPF).
راجع أخصائي التوجيه للتأكد من إعادة توجيه نسبة استخدام الشبكة الموجهة لشبكة Azure الظاهرية إلى جهاز VPN المحلي.
التخطيط لقواعد جدار الحماية لنسبة استخدام الشبكة من وإلى جهاز VPN المحلي
إذا كان جهاز VPN الخاص بك على شبكة محيطية تحتوي على جدار حماية بين الشبكة المحيطة والإنترنت، فقد تضطر إلى تكوين جدار الحماية للقواعد التالية للسماح باتصال VPN من موقع إلى موقع.
نسبة استخدام الشبكة إلى جهاز VPN (الواردة من الإنترنت):
- عنوان IP الوجهة لجهاز VPN وبروتوكول IP 50
- عنوان IP الوجهة لجهاز VPN ومنفذ وجهة UDP 500
- عنوان IP الوجهة لجهاز VPN ومنفذ وجهة UDP 4500
نسبة استخدام الشبكة من جهاز VPN (الصادر إلى الإنترنت):
- عنوان IP المصدر لجهاز VPN وبروتوكول IP 50
- عنوان IP المصدر لجهاز VPN ومنفذ مصدر UDP 500
- عنوان IP المصدر لجهاز VPN ومنفذ مصدر UDP 4500
التخطيط لمساحة عنوان IP الخاصة لشبكة Azure الظاهرية
يجب أن تكون مساحة عنوان IP الخاصة لشبكة Azure الظاهرية قادرة على استيعاب العناوين المستخدمة من قبل Azure لاستضافة الشبكة الظاهرية ومع شبكة فرعية واحدة على الأقل تحتوي على عناوين كافية لأجهزة Azure الظاهرية.
لتحديد عدد العناوين المطلوبة للشبكة الفرعية، قم بحساب عدد الأجهزة الظاهرية التي تحتاجها الآن، وقم بتقدير النمو المستقبلي، ثم استخدم الجدول التالي لتحديد حجم الشبكة الفرعية.
| عدد الأجهزة الظاهرية المطلوبة | عدد وحدات بت المضيف المطلوبة | حجم الشبكة الفرعية |
|---|---|---|
| 1-3 |
3 |
/29 |
| 4-11 |
4 |
/28 |
| 12-27 |
5 |
/27 |
| 28-59 |
6 |
/26 |
| 60-123 |
7 |
/25 |
تخطيط ورقة عمل لتكوين شبكة Azure الظاهرية
قبل إنشاء شبكة Azure ظاهرية لاستضافة الأجهزة الظاهرية، يجب تحديد الإعدادات المطلوبة في الجداول التالية.
بالنسبة لإعدادات الشبكة الظاهرية، املأ الجدول V.
الجدول الخامس: تكوين الشبكة الظاهرية متعددة المباني
| العنصر | عنصر التكوين | الوصف | قيمه |
|---|---|---|---|
| 1. |
اسم الشبكة الظاهرية |
اسم لتعيينه إلى شبكة Azure الظاهرية (مثال DirSyncNet). |
 |
| 2. |
موقع الشبكة الظاهرية |
مركز بيانات Azure الذي سيحتوي على الشبكة الظاهرية (مثل غرب الولايات المتحدة). |
|
| 3. |
عنوان IP لجهاز VPN |
عنوان IPv4 العام لواجهة جهاز VPN الخاص بك على الإنترنت. اعمل مع قسم تكنولوجيا المعلومات لتحديد هذا العنوان. |
|
| 4. |
مساحة عنوان الشبكة الظاهرية |
مساحة العنوان (المعرفة في بادئة عنوان خاص واحد) للشبكة الظاهرية. اعمل مع قسم تكنولوجيا المعلومات لتحديد مساحة العنوان هذه. يجب أن تكون مساحة العنوان بتنسيق التوجيه بين المجالات (CIDR) بدون فئة، والمعروف أيضا باسم تنسيق بادئة الشبكة. مثال على ذلك هو 10.24.64.0/20. |
|
| 5. |
مفتاح IPsec المشترك |
سلسلة أبجدية رقمية عشوائية مكونة من 32 حرفا سيتم استخدامها لمصادقة كلا جانبي اتصال VPN من موقع إلى موقع. اعمل مع قسم تكنولوجيا المعلومات أو الأمان لتحديد قيمة المفتاح هذه ثم قم بتخزينها في موقع آمن. بدلا من ذلك، راجع إنشاء سلسلة عشوائية لمفتاح IPsec مسبق المشاركة. |
|
املأ الجدول S للشبكات الفرعية لهذا الحل.
بالنسبة للشبكة الفرعية الأولى، حدد مساحة عنوان 28 بت (بطول بادئة /28) للشبكة الفرعية لبوابة Azure. راجع حساب مساحة عنوان الشبكة الفرعية للبوابة لشبكات Azure الظاهرية للحصول على معلومات حول كيفية تحديد مساحة العنوان هذه.
بالنسبة للشبكة الفرعية الثانية، حدد اسما مألوفا ومساحة عنوان IP واحدة استنادا إلى مساحة عنوان الشبكة الظاهرية والغرض الوصفي.
اعمل مع قسم تكنولوجيا المعلومات لتحديد مساحات العناوين هذه من مساحة عنوان الشبكة الظاهرية. يجب أن تكون مساحات العناوين بتنسيق CIDR.
الجدول S: الشبكات الفرعية في الشبكة الظاهرية
| العنصر | اسم الشبكة الفرعية | مساحة عنوان الشبكة الفرعية | الغرض |
|---|---|---|---|
| 1. |
GatewaySubnet |
|
الشبكة الفرعية المستخدمة من قبل بوابة Azure. |
| 2. |
|
|
|
بالنسبة لخوادم DNS المحلية التي تريد أن تستخدمها الأجهزة الظاهرية في الشبكة الظاهرية، املأ الجدول D. امنح كل خادم DNS اسما مألوفا وعنوان IP واحدا. لا يحتاج هذا الاسم المألوف إلى مطابقة اسم المضيف أو اسم الكمبيوتر لخادم DNS. لاحظ أن إدخالين فارغين مدرجان، ولكن يمكنك إضافة المزيد. اعمل مع قسم تكنولوجيا المعلومات لتحديد هذه القائمة.
الجدول D: خوادم DNS المحلية
| العنصر | اسم خادم DNS المألوف | عنوان IP لخادم DNS |
|---|---|---|
| 1. |
|
|
| 2. |
|
|
لتوجيه الحزم من شبكة Azure الظاهرية إلى شبكة مؤسستك عبر اتصال VPN من موقع إلى موقع، يجب تكوين الشبكة الظاهرية مع شبكة محلية. تحتوي هذه الشبكة المحلية على قائمة بمساحات العناوين (بتنسيق CIDR) لجميع المواقع على الشبكة المحلية لمؤسستك التي يجب أن تصل إليها الأجهزة الظاهرية في الشبكة الظاهرية. يمكن أن يكون هذا كل المواقع على الشبكة المحلية أو مجموعة فرعية. يجب أن تكون قائمة مساحات العناوين التي تحدد شبكتك المحلية فريدة ويجب ألا تتداخل مع مساحات العناوين المستخدمة لهذه الشبكة الظاهرية أو الشبكات الظاهرية الأخرى عبر المباني.
بالنسبة لمجموعة مساحات عناوين الشبكة المحلية، املأ الجدول L. لاحظ أن ثلاثة إدخالات فارغة مدرجة ولكنك ستحتاج عادة إلى المزيد. اعمل مع قسم تكنولوجيا المعلومات لتحديد هذه القائمة.
الجدول L: بادئات العنوان للشبكة المحلية
| العنصر | مساحة عنوان الشبكة المحلية |
|---|---|
| 1. |
|
| 2. |
|
| 3. |
|
مخطط التوزيع
يتكون إنشاء الشبكة الظاهرية عبر المباني وإضافة الأجهزة الظاهرية في Azure من ثلاث مراحل:
- المرحلة 1: إعداد شبكتك المحلية.
- المرحلة 2: إنشاء شبكة ظاهرية متعددة المباني في Azure.
- المرحلة 3 (اختياري): إضافة أجهزة ظاهرية.
المرحلة 1: إعداد شبكتك المحلية
يجب تكوين شبكتك المحلية باستخدام مسار يشير إلى نسبة استخدام الشبكة الموجهة لمساحة عنوان الشبكة الظاهرية إلى الموجه على حافة الشبكة المحلية ويسلمها في نهاية المطاف. راجع مسؤول الشبكة لتحديد كيفية إضافة المسار إلى البنية الأساسية للتوجيه لشبكتك المحلية.
إليك التكوين الناتج.
المرحلة 2: إنشاء الشبكة الظاهرية عبر المباني في Azure
أولا، افتح موجه Azure PowerShell. إذا لم تقم بتثبيت Azure PowerShell، فشاهد بدء استخدام Azure PowerShell.
بعد ذلك، قم بتسجيل الدخول إلى حساب Azure الخاص بك باستخدام هذا الأمر.
Connect-AzAccount
احصل على اسم اشتراكك باستخدام الأمر التالي.
Get-AzSubscription | Sort SubscriptionName | Select SubscriptionName
قم بتعيين اشتراك Azure الخاص بك باستخدام هذه الأوامر. استبدل كل شيء ضمن علامات الاقتباس، بما في ذلك الأحرف < و > ، باسم الاشتراك الصحيح.
$subscrName="<subscription name>"
Select-AzSubscription -SubscriptionName $subscrName
بعد ذلك، قم بإنشاء مجموعة موارد جديدة لشبكتك الظاهرية. لتحديد اسم مجموعة موارد فريد، استخدم هذا الأمر لسرد مجموعات الموارد الموجودة.
Get-AzResourceGroup | Sort ResourceGroupName | Select ResourceGroupName
إنشاء مجموعة موارد جديدة باستخدام هذه الأوامر.
$rgName="<resource group name>"
$locName="<Table V - Item 2 - Value column>"
New-AzResourceGroup -Name $rgName -Location $locName
بعد ذلك، يمكنك إنشاء شبكة Azure الظاهرية.
# Fill in the variables from previous values and from Tables V, S, and D
$rgName="<name of your new resource group>"
$locName="<Azure location of your new resource group>"
$vnetName="<Table V - Item 1 - Value column>"
$vnetAddrPrefix="<Table V - Item 4 - Value column>"
$gwSubnetPrefix="<Table S - Item 1 - Subnet address space column>"
$SubnetName="<Table S - Item 2 - Subnet name column>"
$SubnetPrefix="<Table S - Item 2 - Subnet address space column>"
$dnsServers=@( "<Table D - Item 1 - DNS server IP address column>", "<Table D - Item 2 - DNS server IP address column>" )
$locShortName=(Get-AzResourceGroup -Name $rgName).Location
# Create the Azure virtual network and a network security group that allows incoming remote desktop connections to the subnet that is hosting virtual machines
$gatewaySubnet=New-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -AddressPrefix $gwSubnetPrefix
$vmSubnet=New-AzVirtualNetworkSubnetConfig -Name $SubnetName -AddressPrefix $SubnetPrefix
New-AzVirtualNetwork -Name $vnetName -ResourceGroupName $rgName -Location $locName -AddressPrefix $vnetAddrPrefix -Subnet $gatewaySubnet,$vmSubnet -DNSServer $dnsServers
$rule1=New-AzNetworkSecurityRuleConfig -Name "RDPTraffic" -Description "Allow RDP to all VMs on the subnet" -Access Allow -Protocol Tcp -Direction Inbound -Priority 100 -SourceAddressPrefix Internet -SourcePortRange * -DestinationAddressPrefix * -DestinationPortRange 3389
New-AzNetworkSecurityGroup -Name $SubnetName -ResourceGroupName $rgName -Location $locShortName -SecurityRules $rule1
$vnet=Get-AzVirtualNetwork -ResourceGroupName $rgName -Name $vnetName
$nsg=Get-AzNetworkSecurityGroup -Name $SubnetName -ResourceGroupName $rgName
Set-AzVirtualNetworkSubnetConfig -VirtualNetwork $vnet -Name $SubnetName -AddressPrefix $SubnetPrefix -NetworkSecurityGroup $nsg
$vnet | Set-AzVirtualNetwork
إليك التكوين الناتج.
بعد ذلك، استخدم هذه الأوامر لإنشاء بوابات لاتصال VPN من موقع إلى موقع.
# Fill in the variables from previous values and from Tables V and L
$vnetName="<Table V - Item 1 - Value column>"
$localGatewayIP="<Table V - Item 3 - Value column>"
$localNetworkPrefix=@( <comma-separated, double-quote enclosed list of the local network address prefixes from Table L, example: "10.1.0.0/24", "10.2.0.0/24"> )
$vnetConnectionKey="<Table V - Item 5 - Value column>"
$vnet=Get-AzVirtualNetwork -Name $vnetName -ResourceGroupName $rgName
# Attach a virtual network gateway to a public IP address and the gateway subnet
$publicGatewayVipName="PublicIPAddress"
$vnetGatewayIpConfigName="PublicIPConfig"
New-AzPublicIpAddress -Name $vnetGatewayIpConfigName -ResourceGroupName $rgName -Location $locName -AllocationMethod Dynamic
$publicGatewayVip=Get-AzPublicIpAddress -Name $vnetGatewayIpConfigName -ResourceGroupName $rgName
$vnetGatewayIpConfig=New-AzVirtualNetworkGatewayIpConfig -Name $vnetGatewayIpConfigName -PublicIpAddressId $publicGatewayVip.Id -SubnetId $vnet.Subnets[0].Id
# Create the Azure gateway
$vnetGatewayName="AzureGateway"
$vnetGateway=New-AzVirtualNetworkGateway -Name $vnetGatewayName -ResourceGroupName $rgName -Location $locName -GatewayType Vpn -VpnType RouteBased -IpConfigurations $vnetGatewayIpConfig
# Create the gateway for the local network
$localGatewayName="LocalNetGateway"
$localGateway=New-AzLocalNetworkGateway -Name $localGatewayName -ResourceGroupName $rgName -Location $locName -GatewayIpAddress $localGatewayIP -AddressPrefix $localNetworkPrefix
# Create the Azure virtual network VPN connection
$vnetConnectionName="S2SConnection"
$vnetConnection=New-AzVirtualNetworkGatewayConnection -Name $vnetConnectionName -ResourceGroupName $rgName -Location $locName -ConnectionType IPsec -SharedKey $vnetConnectionKey -VirtualNetworkGateway1 $vnetGateway -LocalNetworkGateway2 $localGateway
إليك التكوين الناتج.
بعد ذلك، قم بتكوين جهاز VPN المحلي للاتصال ببوابة Azure VPN. لمزيد من المعلومات، راجع حول أجهزة VPN لاتصالات شبكة Azure الظاهرية من موقع إلى موقع.
لتكوين جهاز VPN الخاص بك، ستحتاج إلى ما يلي:
- عنوان IPv4 العام لبوابة Azure VPN لشبكتك الظاهرية. استخدم الأمر Get-AzPublicIpAddress -Name $vnetGatewayIpConfigName -ResourceGroupName $rgName لعرض هذا العنوان.
- مفتاح IPsec المشترك مسبقا لاتصال VPN من موقع إلى موقع (الجدول V- العنصر 5 - عمود القيمة).
إليك التكوين الناتج.
المرحلة 3 (اختياري): إضافة أجهزة ظاهرية
إنشاء الأجهزة الظاهرية التي تحتاجها في Azure. لمزيد من المعلومات، راجع إنشاء جهاز ظاهري Windows باستخدام مدخل Microsoft Azure.
استخدم الإعدادات التالية:
- في علامة التبويب Basics ، حدد نفس الاشتراك ومجموعة الموارد مثل شبكتك الظاهرية. ستحتاج إلى هذه لاحقا لتسجيل الدخول إلى الجهاز الظاهري. في قسم Instance details ، اختر حجم الجهاز الظاهري المناسب. سجل اسم مستخدم حساب المسؤول وكلمة المرور في موقع آمن.
- في علامة التبويب Networking ، حدد اسم شبكتك الظاهرية والشبكة الفرعية لاستضافة الأجهزة الظاهرية (وليس GatewaySubnet). اترك جميع الإعدادات الأخرى عند قيمها الافتراضية.
تحقق من أن جهازك الظاهري يستخدم DNS بشكل صحيح عن طريق التحقق من DNS الداخلي للتأكد من إضافة سجلات العنوان (A) لجهازك الظاهري الجديد. للوصول إلى الإنترنت، يجب تكوين أجهزة Azure الظاهرية لاستخدام الخادم الوكيل للشبكة المحلية. اتصل بمسؤول الشبكة للحصول على خطوات تكوين إضافية لتنفيذها على الخادم.
إليك التكوين الناتج.
الخطوة التالية
توزيع Microsoft 365 Directory Synchronization في Microsoft Azure
الملاحظات
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.
إرسال الملاحظات وعرضها المتعلقة بـ