السابق

التالي

تكامل الشبكة الداخلية في Azure

مكتمل

تخطط شركتك لترحيل أغلب مواردها الداخلية إلى Azure. ومع ذلك، يجب أن يبقى مركز بيانات صغير محليا للتكامل في شبكة Azure. يحتاج النموذج المعماري إلى التفكير في استخدام اتصال شبكة Azure لعدة مكاتب تابعة. تريد استخدام بنية شبكة مختلطة تمنح الوصول إلى كل من الموارد الداخلية والموارد المستندة إلى السحب.

لمعالجة الترحيل، يمكنك إنتاج خطة تكامل شبكة ل Azure تتضمن مجموعة مختارة من أفضل خيارات الشبكة المختلطة المتوفرة في Azure. يجب أن تفي الخيارات بمتطلبات المؤسسة لإجراء الاتصال المختلط.

في هذه الوحدة، يمكنك استكشاف الاتصال المحلي على النظام الأساسي ل Azure. يمكنك أيضا الحصول على نظرة عامة على شبكة Azure الظاهرية، ومعرفة كيفية استخدام بوابة Azure VPN لتأمين نسبة استخدام الشبكة إلى شبكة محلية.

حول شبكة Azure Virtual Network

تحتوي خدمة Azure Virtual Network على مجموعة محددة من الأدوات والموارد لإنشاء بنية شبكة مستندة إلى مجموعة السحابة. توفر شبكات Azure virtual قناة اتصال ظاهرية آمنة لكافة موارد Azure المسموح بها في الاشتراك.

مع شبكة Azure الظاهرية، يمكنك:

• توصيل الأجهزة الظاهرية بالإنترنت.
• توفير اتصالات آمنة بين موارد Azure المستضافة في مراكز البيانات والمناطق المختلفة.
• عزل وإدارة موارد Azure.
• التوصيل بأجهزة الكمبيوتر الداخلية.
• إدارة حركة المرور بالشبكة.

بشكلٍ افتراضي، كافة موارد Azure داخل شبكة افتراضية لديها اتصال صادر إلى الإنترنت. يجب أن يأتي الاتصال الخارجي الوارد من نقطة نهاية عامة. تُستخدم كافة الموارد الداخلية نقطة نهاية خاصة للوصول إلى الشبكة الظاهرية.

تتكون الشبكة الظاهرية من العديد من العناصر. بما في ذلك، على سبيل المثال لا الحصر، واجهات الشبكة وموازنات التحميل والشبكات الفرعية ومجموعات أمان الشبكة وعناوين IP العامة. تعمل هذه العناصر معًا وتمكِّن اتصال الشبكة الآمن والموثوق به بين موارد Azure والإنترنت والشبكات الداخلية.

توجيه حركة المرور على شبكة Azure الظاهرية

يجري توجيه حركة المرور الصادرة من شبكة فرعية استنادًا إلى عنوان IP للوجهة. يحدد جدول التوجيه طريقة توجيه حركة المرور وما سيحدث بعد ذلك. يمكن أن يوجد عنوان IP للوجهة عبر تعريفات بادئات جدول التوجيه المتعددة (على سبيل المثال، 10.0.0.0/16 و10.0.0.0.0/24). يستخدم جهاز التوجيه خوارزمية مبتكرة للعثور على أطول بادئة مطابقة. ستحل نسبة استخدام الشبكة التي تتجه إلى عنوان 10.0.0.6 إلى بادئة 10.0.0.0/24 ويتم توجيهها وفقا لذلك.

هناك جدولا توجيه أساسيان: النظام ومخصص.

جداول التوجيه الخاصة بالنظام

ينشئ Azure تلقائيًا مجموعة من جداول التوجيه الافتراضية لشبكة الاتصال الظاهرية وقناع كل شبكة فرعية داخل الشبكة الظاهرية. يجري إصلاح مسارات النظام هذه ولا يمكن تحريرها أو حذفها. ومع ذلك، يمكنك تجاوز الإعدادات الافتراضية مع استخدام جدول توجيه مخصص.

قد يبدو لك جدول توجيه افتراضي نموذجي كما يلي:

المصدر	بادئات العناوين	نوع القفزة التالية
الإعداد الافتراضي	فريدة من نوعها بالنسبة إلى الشبكة الظاهرية	الشبكة الظاهرية
الإعداد الافتراضي	0.0.0.0/0	الإنترنت
الإعداد الافتراضي	10.0.0.0/8	بلا
الإعداد الافتراضي	172.16.0.0/12	بلا
الإعداد الافتراضي	192.168.0.0/16	بلا
الإعداد الافتراضي	100.64.0.0/10	بلا

يتكون جدول التوجيه من مصدر وبادئة عنوان ونوع قفزة تالية. تستخدم كافة حركات المرور التي تترك الشبكة الفرعية جدول التوجيه لمعرفة المكان الذي يجب أن تذهب إليه بعد ذلك. في الواقع، تبحث حركة المرور عن القفزة التالية في رحلتها.

تحدد القفزة التالية ما يحدث لتدفق حركة المرور التالي، استنادًا إلى البادئة. لديك ثلاثة أنواع من القفزة التالية:

• الشبكة الظاهرية: يتم توجيه نسبة استخدام الشبكة وفقا لعنوان IP داخل الشبكة الظاهرية.
• الإنترنت: يتم توجيه حركة المرور إلى الإنترنت.
• بلا: يتم إسقاط نسبة استخدام الشبكة.

جداول التوجيه المخصصَّة

وبصرف النظر عن جداول التوجيه المعرفة من قِبل النظام، يمكنك أيضًا إنشاء جداول توجيه مخصصة. تتجاوز جداول التوجيه المعرفَّة من قِبل المستخدم جدول النظام الافتراضي. هناك قيود على عدد عناصر التوجيه التي يمكن أن تحوز عليها في جدول مخصص.

يسرد الجدول التالي بعض القيود العديدة التي تنطبق على الشبكات الظاهرية:

Resource	الرقم الافتراضي أو الرقم الأقصى
الشبكات الظاهرية	1,000
الشبكات الفرعية الخاصة بكل شبكة افتراضية	3,000
نظراء الشبكة الظاهرية لكل شبكة اتصال ظاهرية	500
عناوين IP الخاصة لكل شبكة افتراضية	65,536

مشابه لجدول توجيه النظام للغاية، وجداول التوجيه المخصصة تتمتع أيضًا بنوع القفزة المقبل. ولكن جداول التوجيه المخصصة تقدم بعض الخيارات أكثر:

• الجهاز الظاهري: عادة ما يكون هذا الخيار جهازا ظاهريا يقوم بتشغيل تطبيق شبكة معين، مثل جدار حماية.
• بوابة الشبكة الظاهرية: استخدم هذا الخيار عندما تريد إرسال نسبة استخدام الشبكة إلى بوابة شبكة ظاهرية. يجب أن يكون نوع بوابة شبكة اتصال ظاهرية VPN. لا يمكن للنوع أن يكون Azure ExpressRoute، والذي يتطلب إعداد عملية توجيه بوابة Border Gateway Protocol.
• بلا: يؤدي هذا الخيار إلى إسقاط حركة المرور بدلا من إعادة توجيهها.
• الشبكة الظاهرية: يتيح لك هذا الخيار تجاوز توجيه نظام افتراضي.
• الإنترنت: يتيح لك هذا الخيار تحديد أن أي بادئة تقوم بإعادة توجيه حركة المرور إلى الإنترنت.

توصيل شبكات Azure الظاهرية

يمكنك توصيل الشبكات الظاهرية الخاصة بك بأية من الطرق المتعددة. يمكنك استخدام بوابة VPN Azure أو ExpressRoute أو يمكنك استخدام أسلوب التناظر مباشرة.

Azure VPN Gateway

عندما تعمل على دمج شبكتك المحلية مع Azure، فأنت بحاجة إلى جسر بينهما. تعتبر بوابة VPN Gateway إحدى خدمات Azure التي توفر هذه الوظيفة. يمكن لبوابة VPN أن ترسل حركة مرور مشفرة بين الشبكتين. تدعم بوابات VPN اتصالات متعددة، والتي تتيح لها توجيه أنفاق VPN التي تستخدم أي عرض نطاق ترددي متاح. يمكن أن تتمتع شبكة اتصال ظاهرية ببوابة واحدة فقط معيّنة. كما يمكن استخدام بوابات VPN أيضًا للاتصالات بين الشبكات الظاهرية في Azure.

عند تنفيذ بوابة VPN، يطلب منك نشر جهازين ظاهريين أو أكثر إلى الشبكة الفرعية التي أنشأتها عند إعداد الشبكة الظاهرية. في هذا المثيل، تسمى الشبكة الفرعية أيضا الشبكة الفرعية للبوابة. يتم تعيين كل جهاز ظاهري باعتباره تكوينًا افتراضيًا لخدمات التوجيه والبوابة، بشكل صريح إلى العبارة التي تم توفيرها. لا يمكنك تكوين هذه الأجهزة الظاهرية بشكل مباشر.

عند إنشاء بوابة، تتوفر العديد من طبولوجيا. تحدد هذه المخططات، والمعروفة أيضا باسم أنواع البوابات، العناصر التي تم تكوينها ونوع الاتصال المتوقع.

اتصالات موقع إلى موقع

يمكنك استخدام اتصالات موقع إلى موقع للتكوينات الداخلية والشبكة المختلطة. يتطلب مخطط الاتصال هذا أن يكون لجهاز VPN المحلي عنوان IP يمكن الوصول إليه بشكلٍ عام، ويجب ألا يكون خلف ترجمة عناوين الشبكة (NAT). يستخدم الاتصال سلسلة ASCII سرية مكونة من 128 حرفًا، للمصادقة بين البوابة وجهاز VPN.

مواقع عديدة

اتصال المواقع المتعددة يشابه اتصالات موقع إلى موقع، ولكن مع تباين طفيف. يدعم الموقع المتعدد عديدًا من اتصالات VPN لأجهزة VPN الداخلية. تتطلب هذه طبولوجيا اتصال VPN RouteBased المعروفة باسم بوابة حيوية. من المهم ملاحظة، أن مع تكوين المواقع المتعددة، توجه جميع الاتصالات عبر جميع النطاق الترددي المتوفر ومشاركته.

الاتصال من نقطة إلى موقع

إن اتصال نقطة إلى موقع مناسب لجهاز عميل فردي بعيد يتصل بالشبكة. يجب مصادقة جهاز العميل إما من خلال معرف Microsoft Entra أو باستخدام مصادقة شهادة Azure. يتناسب هذا النموذج مع سيناريوهات العمل المنزلي.

من شبكة إلى شبكة

يمكنك استخدام اتصال من شبكة إلى شبكة لإنشاء اتصالات بين شبكات Azure الظاهرية المتعددة. لا تتطلب طبولوجيا الاتصال هذا، على عكس الأخريات، IP عام أو جهاز VPN. يمكنك أيضا استخدام اتصال من شبكة إلى شبكة في تكوين متعدد المواقع لإنشاء اتصالات مشتركة داخلية مع اتصال الشبكة الظاهرية.

ExpressRoute

ينشئ ExpressRoute اتصالاً مباشرًا بين الشبكة الداخلية والشبكة الظاهرية Azure التي لا تستخدم الإنترنت. يمكنك استخدام ExpressRoute لتوسيع شبكة الاتصال المحلية عبر مساحة شبكة الاتصال الظاهرية Azure بسلاسة. يقدم العديد من موفري الاتصال غير التابعين ل Microsoft خدمة ExpressRoute. تتوفر ثلاثة أنواع مختلفة من اتصال ExpressRoute:

• مواقع CloudExchange المشتركة
• اتصال Ethernet من نقطة إلى نقطة
• اتصال من أيها إلى أيها (IPVPN)

التناظر

يمكن للشبكات الافتراضية الاقتران عبر الاشتراكات ومناطق Azure. بعد أن يتم التعريف عن الشبكات الظاهرية، تتصل الموارد في هذه الشبكات ببعضها كما لو كانت في نفس الشبكة. يتم توجيه نسبة استخدام الشبكة بين الموارد باستخدام عناوين IP الخاصة فقط. توجه الشبكة الظاهرية النظيرة نسبة استخدام الشبكة عبر شبكة Azure وتحافظ على الاتصال الخاص كجزء من شبكة Azure الأساسية. توفر الشبكة الأساسية اتصالين بالشبكة ذات نطاق ترددي منخفض وعالٍ واتصالات شبكة اتصال ذات نطاق ترددي عالٍ.

هيكل مرجع بوابة VPN من الموقع إلى الموقع

على الرغم من أن العديد من بنيات المرجع متوفرة عند تصميم شبكة مختلطة، فإن بنية واحدة شائعة هي تكوين من الموقع إلى الموقع. توضح بنية المرجع المبسطة الموضحة في الرسم التخطيطي التالي كيفية توصيل شبكة اتصال محلي بمنصة Azure. يستخدم اتصال الإنترنت نفق IPsec VPN.

تضم البنية العديد من المكونات مثل:

• تمثل الشبكة المحلية Active Directory محلي وأي بيانات أو موارد.
• البوابة مسؤولة عن إرسال حركة مرور مشفرة إلى عنوان IP ظاهري عندما تستخدم اتصالا عاما.
• تحتفظ شبكة Azure الظاهرية بجميع تطبيقات السحابة وأي مكونات بوابة Azure VPN.
• توفر بوابة Azure VPN الارتباط المشفر بين شبكة Azure الظاهرية والشبكة المحلية. تتكون بوابة Azure VPN من هذه العناصر.
  • بوابة الشبكة الظاهرية
  • بوابة الشبكة المحلية
  • الاتصال
  • شبكة فرعية للبوابة
• التطبيقات السحابية هي تلك التي قمت بتوفيرها من خلال Azure.
• يقوم موازن التحميل الداخلي، الموجود في الواجهة الأمامية، بتوجيه حركة مرور السحابة إلى التطبيق أو المورد الصحيح المستند إلى السحابة.

استخدام هذا الهيكل يقدم العديد من الفوائد، بما في ذلك:

• يتم تبسيط التكوين والصيانة.
• يساعد استخدام بوابة VPN على ضمان تشفير جميع البيانات وحركة المرور بين البوابة المحلية وبوابة Azure.
• يمكن تغيير حجم البنية وتوسيعها لاستيفاء احتياجات شبكة الاتصال الخاصة بالمؤسسة.

لا تنطبق هذه البنية على جميع الحالات، لأنها تستخدم اتصال إنترنت موجود كوصلة بين نقطتي البوابة. يمكن أن تتسبب قيود النطاق الترددي في حدوث مشكلات في زمن الوصول تنتج عن إعادة استخدام البنية الأساسية الموجودة.

‏‫اختبر معلوماتك

1.

أين يحدث إنشاء اتصال VPN من نقطة إلى موقع؟

تهيئ بوابة VPN الاتصال.

يتم تأسيس الاتصال من الجهاز المضيف.

يتم تأسيس الاتصال من كمبيوتر عميل.

في شبكة Azure الظاهرية.

2.

كيف تجري مصادقة VPN موقع إلى موقع؟

لا توجد مصادقة مطلوبة.

باستخدام حساب مسؤول.

من خلال كيان الخدمة، في معرف Microsoft Entra.

باستخدام سر سلسلة ASCII.

3.

عند الاتصال بـ Azure باستخدام VPN، ما هي طريقة الاتصال التي سوف تستخدمها؟

بوابة لـ VPN

اتصالٌ مشفر

جهاز ظاهري AZURE

نفق VPN

عليك الإجابة على كل الأسئلة قبل مراجعة عملك.

متابعة