إعداد نقاط النهاية على جهاز ظاهري Windows باستخدام نموذج النشر الكلاسيكي

هام

سيتم إيقاف الأجهزة الظاهرية الكلاسيكية في 1 مارس 2023.

إذا كنت تستخدم موارد IaaS من ASM، فيرجى إكمال عملية الترحيل بحلول 1 مارس 2023. نحن نشجعك على إجراء التبديل في وقت أقرب للاستفادة من العديد من تحسينات الميزات في Azure Resource Manager.

لمزيد من المعلومات، راجع ترحيل موارد IaaS إلى Azure Resource Manager بحلول 1 مارس 2023.

Windows يمكن للأجهزة الظاهرية (VMs) التي تقوم بإنشائها في Azure باستخدام نموذج النشر الكلاسيكي الاتصال تلقائيا عبر قناة شبكة خاصة مع الأجهزة الظاهرية الأخرى في نفس الخدمة السحابية أو الشبكة الظاهرية. ومع ذلك، تتطلب أجهزة الكمبيوتر الموجودة على الإنترنت أو الشبكات الظاهرية الأخرى نقاط نهاية لتوجيه حركة مرور الشبكة الواردة إلى جهاز ظاهري.

يمكنك أيضا إعداد نقاط النهاية على أجهزة Linux الظاهرية.

هام

لدى Azure نموذجان مختلفان للاستخدام لإنشاء الموارد والعمل معها: Resource Manager والكلاسيكي. تتناول هذه المقالة نموذج النشر الكلاسيكي. توصي Microsoft بأن تستخدم معظم عمليات النشر الجديدة نموذج Resource Manager.

اعتبارا من 15 نوفمبر 2017، ستتوفر الأجهزة الظاهرية فقط في مدخل Azure.

في نموذج نشر Resource Manager، يتم تكوين نقاط النهاية باستخدام مجموعات أمان الشبكة (NSGs). لمزيد من المعلومات، راجع السماح بالوصول الخارجي إلى الجهاز الظاهري باستخدام مدخل Azure.

عند إنشاء جهاز ظاهري Windows في مدخل Azure، عادة ما يتم إنشاء نقاط النهاية الشائعة، مثل نقاط النهاية لسطح المكتب البعيد Windows PowerShell Remoting، لك تلقائيا. يمكنك تكوين نقاط نهاية إضافية لاحقا حسب الحاجة.

تحتوي كل نقطة نهاية على منفذ عام ومنفذخاص:

• يتم استخدام المنفذ العام بواسطة موازن تحميل Azure للاستماع إلى حركة المرور الواردة إلى الجهاز الظاهري من الإنترنت.
• يتم استخدام المنفذ الخاص بواسطة الجهاز الظاهري للاستماع إلى حركة المرور الواردة، والتي عادة ما تكون موجهة إلى تطبيق أو خدمة تعمل على الجهاز الظاهري.

يتم توفير القيم الافتراضية لبروتوكول IP ومنافذ TCP أو UDP لبروتوكولات الشبكة المعروفة عند إنشاء نقاط نهاية باستخدام مدخل Azure. بالنسبة لنقاط النهاية المخصصة، حدد بروتوكول IP الصحيح (TCP أو UDP) والمنافذ العامة والخاصة. لتوزيع حركة المرور الواردة بشكل عشوائي عبر أجهزة ظاهرية متعددة، قم بإنشاء مجموعة متوازنة للتحميل تتكون من نقاط نهاية متعددة.

بعد إنشاء نقطة نهاية، يمكنك استخدام قائمة التحكم في الوصول (ACL) لتحديد القواعد التي تسمح أو ترفض حركة المرور الواردة إلى المنفذ العام لنقطة النهاية استنادا إلى عنوان IP المصدر الخاص بها. ومع ذلك، إذا كان الجهاز الظاهري في شبكة Azure الظاهرية، استخدم مجموعات أمان الشبكة بدلا من ذلك. لمزيد من المعلومات، راجع حول مجموعات أمان الشبكة.

ملاحظة

يتم تكوين جدار الحماية لأجهزة Azure الظاهرية تلقائيا للمنافذ المقترنة بنقاط نهاية الاتصال عن بعد التي يقوم Azure بإعدادها تلقائيا. بالنسبة للمنافذ المحددة لجميع نقاط النهاية الأخرى، لا يتم إجراء أي تكوين تلقائيا على جدار الحماية الخاص بالجهاز الظاهري. عند إنشاء نقطة نهاية للجهاز الظاهري، تأكد من أن جدار الحماية الخاص بالجهاز الظاهري يسمح أيضا بحركة مرور البروتوكول والمنفذ الخاص المقابل لتكوين نقطة النهاية. لتكوين جدار الحماية، راجع الوثائق أو التعليمات عبر الإنترنت لنظام التشغيل الذي يعمل على الجهاز الظاهري.

إنشاء نقطة النهاية

1. تسجيل الدخول إلى ⁧⁩مدخل Azure⁧⁩.

2. حدد الأجهزة الظاهرية، ثم حدد الجهاز الظاهري الذي تريد تكوينه.

3. حدد نقاط النهاية في المجموعة الإعدادات. تظهر صفحة نقاط النهاية، التي تسرد جميع نقاط النهاية الحالية للجهاز الظاهري. (هذا المثال مخصص لجهاز ظاهري Windows. سيعرض جهاز Linux الظاهري بشكل افتراضي نقطة نهاية ل SSH.)

   

4. في شريط الأوامر أعلى إدخالات نقطة النهاية، حدد إضافة. تظهر صفحة إضافة نقطة نهاية .

5. بالنسبة إلى الاسم، أدخل اسما لنقطة النهاية.

6. بالنسبة للبروتوكول، اختر إما TCP أو UDP.

7. بالنسبة إلى المنفذ العام، أدخل رقم المنفذ الخاص بحركة المرور الواردة من الإنترنت.

8. بالنسبة للمنفذ الخاص، أدخل رقم المنفذ الذي يستمع إليه الجهاز الظاهري. يمكن أن تكون أرقام المنافذ العامة والخاصة مختلفة. تأكد من تكوين جدار الحماية على الجهاز الظاهري للسماح بحركة المرور المقابلة للبروتوكول والمنفذ الخاص.

9. حدد "OK".

يتم سرد نقطة النهاية الجديدة في صفحة نقاط النهاية .

إدارة قائمة التحكم بالوصول (ACL) على نقطة نهاية

لتحديد مجموعة أجهزة الكمبيوتر التي يمكنها إرسال حركة المرور، يمكن لقائمة التحكم في الوصول على نقطة النهاية تقييد حركة المرور استنادا إلى عنوان IP المصدر. اتبع هذه الخطوات لإضافة قائمة تحكم بالوصول أو تعديلها أو إزالتها على نقطة نهاية.

ملاحظة

إذا كانت نقطة النهاية جزءا من مجموعة متوازنة الأحمال، تطبيق أي تغييرات تجريها على قائمة التحكم بالوصول على نقطة نهاية على جميع نقاط النهاية في المجموعة.

إذا كان الجهاز الظاهري في شبكة Azure ظاهرية، فاستخدم مجموعات أمان الشبكة بدلا من قوائم التحكم في الوصول. لمزيد من المعلومات، راجع حول مجموعات أمان الشبكة.

1. سجّل الدخول إلى مدخل Azure.

2. حدد الأجهزة الظاهرية، ثم حدد اسم الجهاز الظاهري الذي تريد تكوينه.

3. حدد "Endpoints". من قائمة نقاط النهاية، حدد نقطة النهاية المناسبة. توجد قائمة ACL في أسفل الصفحة.

   

4. استخدم الصفوف في القائمة لإضافة قواعد لقائمة التحكم في الوصول أو حذفها أو تحريرها وتغيير ترتيبها. قيمة الشبكة الفرعية REMOTE هي نطاق عنوان IP لحركة المرور الواردة من الإنترنت التي يستخدمها موازن تحميل Azure للسماح بحركة المرور أو رفضها استنادا إلى عنوان IP المصدر الخاص بها. تأكد من تحديد نطاق عنوان IP بتنسيق التوجيه بين المجالات (CIDR) بدون فئة، والمعروف أيضا باسم تنسيق بادئة العنوان. على سبيل المثال، ⁧10.1.0.0/8⁩.

يمكنك استخدام القواعد للسماح فقط بحركة المرور من أجهزة كمبيوتر معينة تتوافق مع أجهزة الكمبيوتر الخاصة بك على الإنترنت أو لرفض حركة المرور من نطاقات عناوين محددة ومعروفة.

يتم تقييم القواعد بالترتيب بدءا من القاعدة الأولى وتنتهي بالقاعدة الأخيرة. ولذلك، ينبغي ترتيب القواعد من الأقل تقييدا إلى الأكثر تقييدا. لمزيد من المعلومات، راجع ما هي قائمة التحكم في الوصول إلى الشبكة.

الخطوات التالية

• لاستخدام cmdlet Azure PowerShell لإعداد نقطة نهاية VM، راجع Add-AzureEndpoint.
• لاستخدام cmdlet Azure PowerShell لإدارة قائمة التحكم بالوصول على نقطة نهاية، راجع إدارة قوائم التحكم في الوصول (ACLs) لنقاط النهاية باستخدام PowerShell.
• إذا قمت بإنشاء جهاز ظاهري في نموذج نشر Resource Manager، فيمكنك استخدام Azure PowerShell لإنشاء مجموعات أمان الشبكة للتحكم في حركة المرور إلى الجهاز الظاهري.