تحديد قدرات التوجيه لشبكة اتصال Azure الظاهرية

10 دقائق

للتحكم في تدفق المرور داخل الشبكة الظاهرية خاصتك، يجب عليك معرفة الغرض من المسارات المخصصة وفوائدها. يجب عليك أيضًا معرفة كيفية تكوين المسارات لتوجيه تدفق المرور من خلال جهاز شبكة ظاهري (NVA).

توجيه Azure

يتم توجيه المرور في Azure تلقائيًا عبر الشبكات الفرعية Azure والشبكات الظاهرية والشبكات المحلية. تتحكم مسارات النظام في هذا التوجيه. يتم تعيينها افتراضيا لكل شبكة فرعية في شبكة ظاهرية. باستخدام مسارات النظام هذه، يمكن لأي جهاز ظاهري Azure يتم نشره في شبكة ظاهرية الاتصال بأي جهاز آخر في الشبكة. يمكن الوصول إلى هذه الأجهزة الظاهرية أيضًا بشكلٍ محلي من خلال شبكة هجينة أو الإنترنت.

لا يمكنك إنشاء مسارات النظام أو حذفها، لكن يمكنك تجاوزها عن طريق إضافة مسارات مخصصة للتحكم في تدفق نسبة استخدام الشبكة إلى الوثبة التالية.

تحتوي كل شبكة فرعية على مسارات النظام الافتراضية التالية:

بادئة العنوان	نوع القفزة التالية
فريدة من نوعها بالنسبة إلى الشبكة الظاهرية	الشبكة الظاهرية
0.0.0.0/0	الإنترنت
10.0.0.0/8	بلا
172.16.0.0/12	بلا
192.168.0.0/16	بلا
100.64.0.0/10	بلا

يعرض عمود Next hop type مسار الشبكة الذي تسلكه المرور المرسلة إلى كل بادئة عنوان. يمكن أن يكون المسار أحد أنواع الوثب التالية:

Virtual network: يتم تكوين المسار في بادئة العنوان. تمثل البادئة كل نطاق عنوان تم إنشاؤه على مستوى الشبكة الظاهرية. إذا تم تحديد نطاقات عناوين متعددة، يتم إنشاء مسارات متعددة لكل نطاق عنوان.
Internet: مسار النظام الافتراضي 0.0.0.0/0 يوجه مسار أي نطاق عنوان إلى الإنترنت، ما لم تتجاوز مسار Azure الافتراضي عبر مسار مخصص.
None: يتم قطع أي حركة مرور تم توجيهها إلى نوع الوثبة هذا ولا يتم توجيهها إلى خارج الشبكة الفرعية. بشكل افتراضي، يتم إنشاء بادئات العنوان الخاص IPv4 التالية: 10.0.0.0/8 و172.16.0.0/12 و192.168.0.0/16. تتم أيضًا إضافة البادئة 100.64.0.0/10 لمساحة عنوان مشتركة. ولا واحد من نطاقات العناوين هذه قابل للتوجيه على مستوى عمومي.

يعرض الرسم التخطيطي التالي نظرة عامة على مسارات النظام ويظهر كيفية تدفق المرور بين الشبكات الفرعية والإنترنت بشكل افتراضي. يمكنك أن ترى من الرسم التخطيطي أن المرور تتدفق بحرية بين الشبكات الفرعية والإنترنت.

رسم تخطيطي لحركة المرور المتدفقة بين الشبكات الفرعية والإنترنت.

في Azure، ثمة مسارات أخرى للنظام. ينشئ Azure هذه المسارات إذا تم تمكين الإمكانات التالية:

تناظر الشبكة الظاهرية
تسلسل الخدمة
بوابة الشبكة الظاهرية
نقطة نهاية خدمة الشبكة الظاهرية

قران الشبكة الظاهرية وتسلسل الخدمة

يتيح قران الشبكة الظاهرية وتسلسل الخدمة اتصال الشبكات الظاهرية داخل Azure ببعضها. بفضل هذا الاتصال، يمكن أن تتصل الأجهزة الظاهرية مع بعضها داخل نفس المنطقة أو عبر المناطق. ينشئ هذا الاتصال بدوره مسارات إضافية ضمن جدول التوجيه الافتراضي. يتيح لك تسلسل الخدمة تجاوز هذه المسارات عن طريق إنشاء مسارات محددة من قبل المستخدم بين الشبكات المقترنة.

يعرض الرسم التخطيطي التالي شبكتين ظاهريتين مع تكوين القران. يتم تكوين المسارات المحددة من قبل المستخدم لتوجيه المرور من خلال NVA أو مدخل Azure VPN.

رسم تخطيطي لنظير الشبكة الظاهرية مع المسارات المعرفة من قبل المستخدم.

بوابة الشبكة الظاهرية

استخدم بوابة شبكة ظاهرية لإرسال حركة مرور مشفرة بين Azure والأماكن المحلية عبر الإنترنت ولإرسال حركة مرور مشفرة بين شبكات Azure. تحتوي بوابة الشبكة الظاهرية على جداول التوجيه وخدمات البوابة.

رسم تخطيطي لبنية بوابة شبكة ظاهرية.

نقطة نهاية خدمة الشبكة الظاهرية

تقوم نقاط نهاية الشبكة الظاهرية بتوسيع مساحة عنوانك الخاص في Azure عن طريق توفير اتصال مباشر لموارد Azure خاصتك. يقيد هذا الاتصال تدفق المرور: يمكن لأجهزة Azure الظاهرية الخاصة بك أن تصل لحساب التخزين الخاص بك مباشرة من مساحة العنوان الخاص وتمنع الوصول من جهاز ظاهري عام. حين تقوم بتمكين نقاط نهاية الخدمة، يقوم Azure بإنشاء المسارات في جدول التوجيه لتوجيه المرور هذه.

مسارات مخصصة

قد تسهّل عليك مسارات النظام عملية إعداد وتشغيل البيئة خاصتك بسرعة. ومع ذلك، هناك العديد من السيناريوهات التي تريد فيها التحكم بشكل وثيق في تدفق نسبة استخدام الشبكة داخل شبكتك. على سبيل المثال، قد ترغب في توجيه نسبة استخدام الشبكة عبر NVA أو جدار حماية. هذا النوع من التحكم ممكن من خلال المسارات المخصصة.

لديك خياران لتنفيذ المسارات المخصصة: إنشاء مسار يحدده المستخدم أو استخدام بروتوكول بوابة الحدود (BGP) لتبادل المسارات بين Azure والشبكات المحلية.

مسارات محددة من قِبل المستخدم

يمكنك استخدام مسار يحدده المستخدم لتجاوز مسارات النظام الافتراضية بحيث يمكن توجيه نسبة استخدام الشبكة من خلال جدران الحماية أو NVAs.

على سبيل المثال، قد تكون لديك شبكة مع شبكتين فرعيتين وتريد إضافة جهاز ظاهري في الشبكة الفرعية المراقَبة ليتم استخدامه كجدار حماية. يمكنك إنشاء مسار يحدده المستخدم بحيث تمر نسبة استخدام الشبكة عبر جدار الحماية ولا تنتقل مباشرة بين الشبكات الفرعية.

عند إنشاء مسارات محددة من قبل المستخدم، يمكنك تحديد أنواع الوثبة التالية هذه:

جهاز ظاهري Virtual Appliance: يكون الجهاز الظاهري عادةً جهاز جدار حماية يتم استخدامه لتحليل أو تصفية المرور التي تدخل أو تخرج من شبكتك. يمكنك تحديد عنوان IP الخاص لبطاقة واجهة الشبكة (NIC) المرفقة بجهاز ظاهري بحيث يمكن تمكين إعادة توجيه IP. أو يمكنك توفير عنوان IP الخاص بموازنة تحميل داخلية.
بوابة شبكة ظاهرية: تستخدم حين تريد توجيه مسارات عنوان محدد إلى بوابة شبكة ظاهرية. يتم تحديد بوابة الشبكة الظاهرية كـ VPN لنوع الوثبة التالية.
شبكة ظاهرية: تستخدم لتجاوز مسار النظام الظاهري ضمن شبكة ظاهرية.
الإنترنت: يستخدم لتوجيه المرور إلى بادئة عنوان محددة يتم توجيهها إلى الإنترنت.
ولا واحد منها: تستخدم لقطع المرور المرسلة إلى بادئة عنوان محددة.

مع المسارات المحددة من قِبل المستخدم، لا يمكنك تحديد نوع الوثبة التالية VirtualNetworkServiceEndpoint، الذي يشير إلى قران الشبكة الظاهرية.

علامات الخدمة للمسارات المعرفة من قبل المستخدم

يمكنك تحديد علامة خدمة كبادئة عنوان لمسار محدد من قبل المستخدم بدلا من نطاق IP صريح. تمثل علامة الخدمة مجموعة من بادئات عنوان IP من خدمة Azure معينة. تُدير Microsoft بادئات العناوين التي تشملها علامة الخدمة، كما تُحدّث علامة الخدمة تلقائيًا مع تغيير العناوين. وبالتالي التقليل من تعقيد التحديثات المتكررة للطرق التي يحددها المستخدم وتقليل عدد المسارات التي تحتاج إلى إنشائها.

بروتوكول بوابة الحدود (BGP)

يمكن لبوابة الشبكة في شبكتك المحلية تبادل المسارات مع بوابة شبكة اتصال ظاهرية في Azure باستخدام BGP. BGP هو بروتوكول التوجيه القياسي الذي يستخدم عادة لتبادل معلومات التوجيه بين شبكتين أو أكثر. يتم استخدام BGP لنقل البيانات والمعلومات بين الأنظمة المستقلة على الإنترنت، مثل بوابات المضيف المختلفة.

عادة ما تستخدم BGP للإعلان عن المسارات المحلية إلى Azure عند الاتصال بمركز بيانات Azure من خلال Azure ExpressRoute. يمكنك أيضًا تكوين BGP إذا قمت بالاتصال بشبكة Azure ظاهرية باستخدام اتصال VPN موقع إلى موقع.

يظهر الرسم التخطيطي التالي تخطيط الشبكة مع المسارات التي يمكنها تمرير البيانات بين Azure VPN Gateway والشبكات المحلية:

رسم تخطيطي يعرض مثالاً لاستخدام بروتوكول بوابة.

يوفر BGP استقرار الشبكة بسبب تمكّن أجهزة التوجيه من تغيير الاتصالات بسرعة لإرسال الحزم إذا تعرض أحد مسارات الاتصال لأعطال.

تحديد المسار والأولوية

إذا كانت هناك عدة مسارات متوفرة في جدول المسارات، يستخدم Azure المسار الذي يحوي أطول بادئة مطابقة. على سبيل المثال، يتم إرسال رسالة إلى عنوان IP 10.0.0.2، ولكن يتوفر مساران مع بادئات 10.0.0.0/16 و10.0.0.0/24. يحدد Azure المسار بالبادئة 10.0.0.0/24 لأنه أكثر تحديدا.

وكلما كانت بادئة المسار أطول، كانت قائمة عناوين IP المتوفرة من خلال تلك البادئة أقصر. عند استخدام بادئات أطول، يمكن لخوارزمية التوجيه تحديد العنوان المقصود بسرعة أكبر.

لا يمكنك تكوين مسارات متعددة محددة من قِبل المستخدم بنفس بادئة العنوان.

في حالة وجود عدة مسارات ببادئة العنوان نفسها، يختار Azure المسار استناداً إلى النوع حسب ترتيب الأولوية التالي:

مسارات محددة من قِبل المستخدم
مسارات BGP
توجيهات النظام

‏‫اختبر معلوماتك

لماذا تستخدم مسار مخصص في شبكة ظاهرية؟

لموازنة تحميل نسبة استخدام الشبكة في شبكتك الظاهرية.

للاتصال بأجهزة Azure الظاهرية باستخدام RDP أو SSH.

للتحكم في عملية سير نسبة استخدام الشبكة في شبكة Azure الظاهرية الخاصة بك.

للاتصال بالموارد في شبكة ظاهرية أخرى مستضافة في Azure.

لماذا قد تستخدم قران الشبكة الظاهرية؟

لتوصيل الشبكات الظاهرية معًا في نفس المنطقة أو عبر المناطق.

لتعيين عناوين IP عامة لكافة الموارد خاصتك عبر شبكات ظاهرية متعددة.

لكي تتمكن موازنات التحميل من التحكم في تدفق المرور عبر الشبكات الظاهرية الخاصة بك.

لتشغيل تقارير مخصصة تقوم بفحص وتحديد الموارد التي يتم تشغيلها عبر كافة شبكات الاتصال الظاهرية خاصتك، بدلاً من تشغيل التقارير على كل شبكة ظاهرية.

عليك الإجابة على كل الأسئلة قبل مراجعة عملك.

متابعة