دمج خدمات Azure مع الشبكات الظاهرية لعزل الشبكة

يمكنك تكامل شبكة Azure الظاهرية من عزل الوصول إلى خدمات Azure والتحكم فيه بشكل آمن داخل البنية الأساسية للشبكة الظاهرية. من خلال دمج الخدمات مع الشبكات الظاهرية، يمكنك التخلص من التعرض للإنترنت العام، وتقييد الوصول إلى الشبكات المعتمدة بما في ذلك الشبكات الظاهرية النظيرة والاتصالات المحلية، وتحسين وضع الأمان العام. يساعد هذا النهج الشامل لعزل الشبكة على حماية الموارد الهامة ويضمن الامتثال لمتطلبات الأمان التنظيمية.

يوفر تكامل الشبكة الظاهرية لخدمات Azure أمانا محسنا وعزل الشبكة من خلال واحدة أو أكثر من طرق التكامل التالية:

نشر الخدمة المخصصة: نشر مثيلات مخصصة للخدمة في شبكة ظاهرية لتمكين الوصول الخاص داخل الشبكة الظاهرية ومن الشبكات المحلية. توفر طريقة النشر هذه تحكما كاملا في حركة مرور الشبكة والتوجيه.
الاتصال الخاص: استخدام نقطة النهاية الخاصة التي تربطك بشكل خاص وآمن بخدمة مدعومة من Azure Private Link. تستخدم نقطة النهاية الخاصة عنوان IP خاص من شبكتك الظاهرية، مما يؤدي إلى جلب الخدمة بشكل فعال إلى شبكتك الظاهرية والقضاء على التعرض للإنترنت.
تكامل نقطة نهاية الخدمة: الوصول إلى الخدمة باستخدام نقاط النهاية العامة عن طريق توسيع شبكة ظاهرية إلى الخدمة، من خلال نقاط نهاية الخدمة. تسمح نقاط نهاية الخدمة بتأمين موارد الخدمة بالشبكة الظاهرية مع الحفاظ على التوجيه المحسن عبر العمود الفقري ل Azure.
التحكم في الوصول إلى الشبكة: استخدم علامات الخدمة للسماح بنسبة استخدام الشبكة أو رفضها إلى موارد Azure من وإلى نقاط نهاية IP العامة. توفر علامات الخدمة تحكما دقيقا في الوصول إلى الشبكة دون الحاجة إلى معرفة عناوين IP محددة.

توزيع خدمات Azure المخصصة في الشبكات الظاهرية

عند توزيع خدمات Azure المخصصة في شبكة ظاهرية، يمكنك الاتصال بموارد الخدمة بشكل خاص من خلال عناوين IP خاصة.

لقطة شاشة لنشر خدمات Azure المخصصة في الشبكات الظاهرية.

يوفر توزيع خدمة Azure مخصصة في شبكتك الظاهرية الإمكانات التالية:

يمكن للموارد الموجودة داخل الشبكة الظاهرية الاتصال بعضها ببعض بشكل خاص من خلال عناوين IP الخاصة. على سبيل المثال، نقل البيانات مباشرةً بين HDInsight وSQL Server المُشغَّل على جهاز ظاهري في الشبكة الظاهرية.
يمكن للموارد المحلية الوصول إلى الموارد في أي شبكة ظاهرية باستخدام عناوين IP خاصة عبر شبكة ظاهرية خاصة من موقع إلى موقع (بوابة VPN) أو ExpressRoute.
يمكن ربط الشبكات الظاهرية لتمكين الموارد الموجودة في الشبكات الظاهرية من الاتصال بعضها ببعض باستخدام عناوين IP الخاصة.
تدير خدمة Azure مثيلات الخدمة بالكامل في شبكة ظاهرية. وتشمل هذه الإدارة مراقبة صحة الموارد والتحجيم باستخدام التحميل.
يتم توزيع مثيلات الخدمة في إحدى الشبكات الفرعية لأي شبكة ظاهرية. يجب فتح الوصول إلى الشبكة الواردة والصادرة للشبكة الفرعية من خلال مجموعات أمان الشبكة، وفقًا للإرشادات التي توفرها الخدمة.
تفرض خدمات معينة قيوداً على الشبكة الفرعية التي يتم توزيعها فيها. تحد هذه القيود من تطبيق السياسات أو المسارات أو الجمع بين الأجهزة الظاهرية وموارد الخدمة داخل الشبكة الفرعية نفسها. تحقق مع كل خدمة من القيود المحددة لأنها قد تتغير بمرور الوقت. ومن أمثلة هذه الخدمات ملفات Azure NetApp، وHSM المخصص، ومثيلات Azure Container، وخدمة التطبيقات.
بشكل اختياري، قد تتطلب الخدمات شبكة فرعية مفوَّضة كمعرف صريح حتى تتمكن الشبكة الفرعية من استضافة خدمة معينة. تتمتع خدمات Azure بإذن صريح لإنشاء موارد خاصة بالخدمة في الشبكة الفرعية المفوضة مع التفويض.
شاهد مثالاً على استجابة واجهة برمجة تطبيقات REST على شبكة ظاهرية مع شبكة فرعية مفوَّضة. ويمكن الحصول على قائمة شاملة بالخدمات التي تستخدم نموذج الشبكة الفرعية المفوضة عبر واجهة برمجة تطبيقات التفويضات المتاحة.

الخدمات التي يمكن توزيعها في أي شبكة ظاهرية

Category	Service	Dedicated¹ Subnet
Compute	الأجهزة الظاهرية: Linux أو Windows مجموعات مقياس الجهاز الظاهري خدمة السحابة: الشبكة الظاهرية (الكلاسيكية) فقط Azure Batch البنية الأساسية للمعادن العارية من Azure	No No No رقم² لا
Network	بوابة التطبيق - WAF Azure Bastion Azure Firewall خادم مسار Azure ExpressRoute Gateway الأجهزة الظاهرية للشبكة VPN Gateway بوابة بيانات الشبكة الظاهرية ل Azure DNS Private Resolver للنسيج وPower BI	Yes Yes Yes Yes Yes No نعم لا نعم
Data	Redis cache مثيل Azure SQL المدار قاعدة بيانات Azure ل MySQL - خادم مرنقاعدة بيانات Azure ل PostgreSQL - خادم مرن	Yes Yes نعم نعم
Analytics	Azure HDInsight Azure Databricks	No² No²
Identity	خدمات مجال Microsoft Entra	No
Containers	خدمة Azure Kubernetes (AKS) مثيل حاوية Azure (ACI) محرك خدمة Azure Container مع المكون الإضافي لـ Azure Virtual Network CNI Azure Functions	No² Yes No Yes
Web	API Management Web Apps بيئة خدمة التطبيق تطبيقات Azure Logic بيئات Azure Container Apps	Yes Yes Yes Yes Yes
Hosted	Azure HSM المخصص ملفات Azure NetApp	Yes Yes
Azure Spring Apps	التوزيع في شبكة Azure الظاهرية (حقن الشبكة الظاهرية)	Yes
البنية الأساسية لسطح المكتب الظاهري	خدمات مختبر Azure	Yes
DevOps	اختبار تحميل Azure	Yes

¹ "مخصص" يعني أنه يمكن نشر موارد محددة للخدمة فقط في هذه الشبكة الفرعية ولا يمكن دمجها مع VM/VMSSs للعميل
² كأفضل ممارسة، يوصى بوجود هذه الخدمات في شبكة فرعية مخصصة، ولكنها ليست مطلبا إلزاميا تفرضه الخدمة.

الارتباط الخاص ونقاط النهاية الخاصة

تسمح نقاط النهاية الخاصة بدخول نسبة استخدام الشبكة من شبكتك الظاهرية إلى مورد Azure بشكل آمن. يتم إنشاء هذا الارتباط الخاص دون الحاجة إلى عناوين IP عامة. نقطة النهاية الخاصة هي واجهة شبكة خاصة لخدمة Azure في الشبكة الظاهرية. عند إنشاء نقطة نهاية خاصة لموردك، فإنها توفر اتصالاً آمناً بين العملاء على شبكتك الظاهرية ومورد Azure. يتم تعيين عنوان IP من نطاق عناوين IP لشبكتك الظاهرية إلى نقطة النهاية الخاصة. الاتصال بين نقطة النهاية الخاصة وخدمة Azure هو ارتباط خاص.

في الرسم التخطيطي، يعرض اليمين قاعدة بيانات Azure SQL باعتبارها خدمة PaaS الهدف. يمكن أن يكون الهدف أي خدمة تدعم نقاط النهاية الخاصة. هناك مثيلات متعددة من SQL Server المنطقي لعدة عملاء، والتي يمكن الوصول إليها جميعاً عبر عناوين IP العامة.

في هذه الحالة، يتم الكشف عن مثيل واحد من SQL Server منطقي بنقطة نهاية خاصة. تجعل نقطة النهاية SQL Server قابلاً للوصول إليه من خلال عنوان IP خاص في الشبكة الظاهرية للعميل. بسبب التغيير في تكوين DNS، يرسل تطبيق العميل الآن نسبة استخدام الشبكة الخاصة به مباشرة إلى نقطة النهاية الخاصة تلك. ترى الخدمة الهدف نسبة استخدام الشبكة التي تنشأ من عنوان IP خاص للشبكة الظاهرية.

يمثل السهم الأخضر ارتباطا خاصا. لا يزال من الممكن أن يوجد عنوان IP عام للمورد الهدف إلى جانب نقطة النهاية الخاصة. لم يعد تطبيق العميل يستخدم IP العام. يمكن لجدار الحماية الآن ألا يسمح بأي وصول لعنوان IP العام ذلك؛ ما يجعله قابلاً للوصول إليه فقط عبر نقاط النهاية الخاصة. تنشأ الاتصالات بخادم SQL بدون نقطة نهاية خاصة من الشبكة الظاهرية من عنوان IP عام. يمثل السهم الأزرق هذا التدفق.

لقطة شاشة للرسم التخطيطي لبنية نقاط النهاية الخاصة.

يستخدم تطبيق العميل عادة اسم مضيف DNS للوصول إلى الخدمة الهدف. لا توجد تغييرات مطلوبة على التطبيق. يجب تكوين دقة DNS في الشبكة الظاهرية لحل نفس اسم المضيف إلى عنوان IP الخاص للمورد الهدف بدلا من عنوان IP العام الأصلي. باستخدام مسار خاص بين العميل والخدمة الهدف، لا يعتمد العميل على عنوان IP العام. يمكن للخدمة الهدف إيقاف تشغيل الوصول العام.

يتيح لك هذا التعرض للمثيلات الفردية أن تمنع سرقة البيانات. لا يستطيع المستخدم الضار جمع المعلومات من قاعدة البيانات وتحميلها إلى قاعدة بيانات عامة أخرى أو حساب تخزين آخر. يمكنك منع الوصول إلى عناوين IP العامة لكل خدمات PaaS. لا يزال بإمكانك السماح بالوصول إلى مثيلات PaaS من خلال نقاط النهاية الخاصة فيها.

لمزيد من المعلومات حول الارتباط الخاص وقائمة خدمات Azure المدعومة، راجع ما هو الارتباط الخاص؟.

Service endpoints

توفر نقاط تقديم الخدمة اتصالاً آمنا ومباشراً لخدمات Azure عبر شبكة Azure الأساسية. تسمح لك نقاط النهاية بتأمين موارد Azure إلى شبكاتك الظاهرية فقط. تمكن نقاط نهاية الخدمة عناوين IP الخاصة في الشبكة الظاهرية من الوصول إلى خدمة Azure دون الحاجة إلى عنوان IP عام صادر.

بدون نقاط نهاية الخدمة، يمكن أن يكون تقييد الوصول إلى شبكتك الظاهرية فقط أمرا صعبا. يمكن أن يتغير عنوان IP المصدر أو يمكن مشاركته مع عملاء آخرين. على سبيل المثال، خدمات PaaS بعناوين IP الصادرة المشتركة. مع نقاط نهاية الخدمة، يصبح عنوان IP المصدر الذي تراه الخدمة الهدف عنوان IP خاصا من شبكتك الظاهرية. يسمح تغيير نسبة استخدام الشبكة عند الدخول هذا بتحديد الأصل بسهولة واستخدامه لتكوين قواعد جدار الحماية المناسبة. على سبيل المثال، السماح بنسبة استخدام الشبكة فقط من شبكة فرعية معينة داخل تلك الشبكة الظاهرية.

مع نقاط تقديم الخدمة، تظل إدخالات DNS لخدمات Azure كما هي، وتستمر في الحل إلى عناوين IP العامة المعينة لخدمة Azure.

في الرسم التخطيطي التالي، الجانب الأيمن هو نفس خدمة PaaS الهدف. على اليسار، هناك شبكة ظاهرية للعميل مع شبكتين فرعيتين: الشبكة الفرعية A التي تحتوي على نقطة نهاية خدمة نحو Microsoft.Sql، والشبكة الفرعية B، والتي لا تحتوي على نقاط نهاية الخدمة المعرفة.

عندما يحاول مورد في الشبكة الفرعية B الوصول إلى أي SQL Server، فإنه يستخدم عنوان IP عام للاتصال الصادر. يمثل السهم الأزرق نسبة استخدام الشبكة هذه. يجب أن يستخدم جدار حماية SQL Server عنوان IP العام ذلك للسماح بنسبة استخدام الشبكة أو حظرها.

عندما يحاول مورد في الشبكة الفرعية A الوصول إلى خادم قاعدة بيانات، ينظر إلى الاتصال على أنه عنوان IP خاص من داخل الشبكة الظاهرية. تمثل الأسهم الخضراء نسبة استخدام الشبكة هذه. يمكن لجدار حماية SQL Server الآن السماح على وجه التحديد بالشبكة الفرعية أ. ولا حاجة إلى معرفة عنوان IP العام للخدمة المصدر.

لقطة شاشة للرسم التخطيطي لبنية نقاط نهاية الخدمة.

تنطبق نقاط تقديم الخدمة على كل مثيلات الخدمة الهدف. على سبيل المثال، كل مثيلات SQL Server لعملاء Azure، وليس فقط مثيل العميل.

لمزيد من المعلومات، راجع نقاط نهاية خدمة الشبكة الظاهرية

Service tags

تمثل علامة الخدمة مجموعة من بادئات عنوان IP من خدمة Azure معينة. باستخدام علامات الخدمة، يمكنك تعريف عناصر التحكم في الوصول إلى الشبكة على مجموعات أمان الشبكة أو Azure Firewall. يمكنك السماح بنسبة استخدام الشبكة للخدمة أو رفضها. للسماح بنسبة استخدام الشبكة أو رفضها، حدد علامة الخدمة في حقل المصدر أو الوجهة في قاعدة ما.

رسم تخطيطي للسماح بنسبة استخدام الشبكة أو رفضها باستخدام علامات الخدمة.

تحقيق عزل الشبكة وحماية موارد Azure الخاصة بك من الإنترنت في أثناء الوصول إلى خدمات Azure التي تحتوي على نقاط نهاية عامة. قم بإنشاء قواعد مجموعة أمان الشبكة الواردة/الصادرة لرفض نسبة استخدام الشبكة إلى الإنترنت ومنه والسماح بنسبة استخدام الشبكة إلى/من AzureCloud. لمزيد من علامات الخدمة، راجع علامات الخدمة المتوفرة لخدمات Azure محددة.

لمزيد من المعلومات حول علامات الخدمة وخدمات Azure التي تدعمها، راجع نظرة عامة على علامات الخدمة

مقارنة نقاط النهاية الخاصة ونقاط نهاية الخدمة

Note

توصي Microsoft باستخدام ارتباط Azure الخاص. يوفر Private Link إمكانات أفضل للوصول إلى PaaS بشكل خاص من أماكن العمل ، ويوفر حماية مضمنة لاستخراج البيانات ، ويعين الخدمات إلى عناوين IP الخاصة في شبكتك الخاصة. لمزيد من المعلومات، راجع ارتباط Azure الخاص.

بدلاً من النظر فقط إلى اختلافاتهم، تجدر الإشارة إلى أن كلاً من نقاط تقديم الخدمة ونقاط النهاية الخاصة لها خصائص مشتركة.

يتم استخدام كلتا الميزتين من أجل تحكم أدق عبر جدار الحماية على الخدمة الهدف. على سبيل المثال، تقييد الوصول إلى قواعد بيانات SQL Server أو حسابات التخزين. لكن العملية مختلفة لكليهما، كما نوقش بمزيد من التفصيل في الأقسام السابقة.

يتغلب كلا النهجين على مشكلة استنفاد منفذ ترجمة عنوان الشبكة المصدر (SNAT). قد تجد الإرهاق عند نقل نسبة استخدام الشبكة عبر جهاز الشبكة الظاهري (NVA) أو الخدمة ذات قيود منفذ SNAT. عند استخدام نقاط تقديم الخدمة أو نقاط النهاية الخاصة، تأخذ نسبة استخدام الشبكة مسارًا محسناً مباشرة إلى الخدمة الهدف. يمكن أن يفيد كلا النهجين التطبيقات كثيفة النطاق الترددي؛ نظرًا لتقليل كل من زمن الانتقال والتكلفة.

في كلتا الحالتين، لا يزال بإمكانك التأكد من مرور نسبة استخدام الشبكة إلى الخدمة الهدف عبر جدار حماية شبكة أو جهاز ظاهري على الشبكة. يختلف هذا الإجراء لكلا النهجين. عند استخدام نقاط تقديم الخدمة، يجب تكوين نقطة تقديم الخدمة على الشبكة الفرعية لجدار الحماية بدلاً من الشبكة الفرعية حيث يتم توزيع الخدمة المصدر. عند استخدام نقاط النهاية الخاصة، يمكنك وضع مسار معرف من قبل المستخدم (UDR) لعنوان IP الخاص بنقطة النهاية الخاصة على الشبكة الفرعية المصدر. ليس في الشبكة الفرعية لنقطة النهاية الخاصة.

لمقارنة الاختلافات وفهمها، راجع الجدول التالي.

Consideration	Service Endpoints	Private Endpoints
نطاق الخدمة الذي ينطبق عليه التكوين	الخدمة بأكملها (على سبيل المثال، كل خوادم SQL أو حسابات التخزين لكل العملاء)	مثيل فردي (على سبيل المثال، مثيل SQL Server أو حساب تخزين معين تملكه أنت)
حماية استخراج البيانات المدمج - القدرة على نقل/نسخ البيانات من مورد PaaS المحمي إلى مورد PaaS آخر غير محمي بواسطة المطلع الضار	No	Yes
وصول خاص إلى مورد PaaS من أماكن العمل	No	Yes
تكوين مجموعة NSG مطلوب للوصول إلى الخدمة	نعم (باستخدام علامات الخدمة)	No
يمكن الوصول إلى الخدمة من دون استخدام أي عنوان IP عام	No	Yes
تظل نسبة استخدام الشبكة من Azure إلى Azure على شبكة Azure الأساسية	Yes	Yes
تستطيع الخدمة تعطيل عنوان IP العام الخاص بها	No	Yes
يمكنك بسهولة تقييد نسبة استخدام الشبكة القادمة من شبكة Azure ظاهرية	نعم (السماح بالوصول من شبكات فرعية محددة و/أو استخدام مجموعات NSG)	Yes
يمكنك بسهولة تقييد نسبة استخدام الشبكة القادمة من أماكن العمل (VPN/ExpressRoute)	N/A**	Yes
يتطلب تغييرات DNS	No	نعم (راجع تكوين DNS)
يؤثر في تكلفة الحل الخاص بك	No	نعم (راجع تسعير الارتباط الخاص)
يؤثر في الاتفاقية على مستوى الخدمة المركبة للحل الخاص بك	No	نعم (خدمة الارتباط الخاص نفسها لديها اتفاقية على مستوى الخدمة بنسبة 99.99٪)
الإعداد والصيانة	بسيطة لإعداد مع أقل إدارة النفقات العامة	مطلوب جهد إضافي
Limits	ليس هناك حد على إجمالي عدد نقاط نهاية الخدمة في شبكة ظاهرية. قد تفرض خدمات Azure قيودا على عدد الشبكات الفرعية المستخدمة لتأمين المورد. (راجع الأسئلة المتداولة حول الشبكة الظاهرية)	نعم (راجع حدود الارتباط الخاص)

**لا يمكن الوصول إلى موارد خدمة Azure المؤمَّنة للشبكات الظاهرية من الشبكات المحلية. إذا كنت ترغب في السماح بنسبة استخدام الشبكة من الموقع المحلي، فاسمح بعناوين IP العامة (عادة ما تكون NAT) من موقعك المحلي أو ExpressRoute. يمكن إضافة عناوين IP هذه من خلال تكوين جدار حماية IP لموارد خدمة Azure. لمزيد من المعلومات، راجع الأسئلة المتداولة حول الشبكة الظاهرية.

Next steps

تعرّف على كيفية دمج تطبيقك مع شبكة Azure.
تعرّف على كيفية تقييد الوصول إلى الموارد باستخدام علامات الخدمة.
تعرف على كيفية الاتصال بشكل خاص بحساب Azure Cosmos DB عبر Azure Private Link.

الملاحظات

هل كانت هذه الصفحة مفيدة؟

Last updated on 2025-07-29