مشاركة عبر

تكوين تكامل الشبكة الظاهرية المطلوبة من البوابة

  • مقالة

يدعم تكامل الشبكة الظاهرية الذي يتطلبه البوابة الاتصال بشبكة ظاهرية في منطقة أخرى أو بشبكة ظاهرية النموذج classic. يعمل تكامل الشبكة الظاهرية المطلوبة من البوابة فقط مع خطط Windows. نوصي باستخدام تكامل الشبكة الظاهرية الإقليمية للتكامل مع الشبكات الظاهرية.

تكامل الشبكة الظاهرية المطلوبة للبوابة:

  • يُمكّن التطبيق من الاتصال بشبكة ظاهرية واحدة فقط في كل مرة.
  • تمكن من دمج ما يصل إلى خمس شبكات ظاهرية في خطة خدمة التطبيق.
  • يسمح باستخدام نفس الشبكة الظاهرية بواسطة تطبيقات متعددة في خطة خدمة التطبيقات دون التأثير على العدد الإجمالي الذي يمكن استخدامه بواسطة خطة خدمة التطبيقات. إذا كانت لديك ستة تطبيقات تستخدم نفس الشبكة الظاهرية في نفس خطة App Service، فإن ذلك يعد بمثابة شبكة ظاهرية واحدة قيد الاستخدام.
  • يمكن أن تؤثر اتفاقية مستوى الخدمة على البوابة على اتفاقية مستوى الخدمة بشكل عام.
  • يمكّن تطبيقاتك من استخدام DNS الذي تم تكوين الشبكة الظاهرية به.
  • يتطلب بوابة ظاهرية مستندة إلى مسار الشبكة تم تكوينها باستخدام شبكة VPN من نقطة إلى موقع SSTP قبل أن يمكن توصيلها بأحد التطبيقات.

لا يمكنك استخدام تكامل الشبكة الظاهرية المطلوبة للبوابة:

  • مع شبكة ظاهرية متصلة بـ ExpressRoute.
  • من تطبيق Linux.
  • من حاوية Windows.
  • للوصول إلى الموارد المؤمنة بنقطة نهاية الخدمة.
  • لحل إعدادات التطبيق التي تشير إلى Key Vault المحمي بالشبكة.
  • مع بوابة التعايش التي تدعم كلًا من ExpressRoute والشبكات الظاهرية الخاصة من نقطة إلى موقع أو من موقع إلى موقع.

يقلل تكامل الشبكة الظاهرية الإقليمية من القيود المذكورة أعلاه.

قم بإعداد بوابة في Azure Virtual Network الخاصة بك

لإنشاء بوابة:

  1. أنشئ بوابة VPN والشبكة الفرعية. حدد نوع VPN المستند إلى المسار.

  2. قم بتعيين عناوين نقطة إلى موقع. إذا لم تكن البوابة في SKU الأساسي، يجب تعطيل IKEV2 في تكوين نقطة إلى موقع ويجب تحديد SSTP. يجب أن تكون مساحة العنوان من نقطة إلى موقع في كتل عناوين RFC 1918 10.0.0.0/8 و172.16.0.0/12 و192.168.0.0/16.

إذا قمت بإنشاء البوابة للاستخدام مع تكامل الشبكة الظاهرية المطلوبة للبوابة، فلن تحتاج إلى تحميل شهادة. يمكن أن يستغرق إنشاء البوابة 30 دقيقة. لن تتمكن من دمج تطبيقك مع شبكتك الظاهرية حتى يتم إنشاء البوابة.

كيف يعمل تكامل الشبكة الظاهرية المطلوبة للبوابة

تم إنشاء تكامل الشبكة الظاهرية المطلوب من البوابة على أعلى تقنية VPN من نقطة إلى موقع. تعمل شبكات VPN من نقطة إلى موقع على تقييد وصول الشبكة إلى الجهاز الظاهري الذي يستضيف التطبيق. تقتصر التطبيقات على إرسال نسبة استخدام الشبكة إلى الإنترنت فقط من خلال الاتصالات المختلطة أو من خلال تكامل الشبكة الظاهرية. عندما يتم تكوين التطبيق الخاص بك مع المدخل لاستخدام تكامل الشبكة الظاهرية المطلوبة للمدخل، تتم إدارة مفاوضات معقدة نيابة عنك لإنشاء وتعيين الشهادات على المدخل وجانب التطبيق. والنتيجة هي أن العمال الذين اعتادوا استضافة تطبيقاتك يمكنهم الاتصال مباشرة ببوابة الشبكة الظاهرية في الشبكة الظاهرية المحددة.

Diagram that shows how gateway-required virtual network integration works.

الوصول إلى الموارد المحلية

يمكن للتطبيقات الوصول إلى الموارد المحلية من خلال التكامل مع الشبكات الظاهرية التي لها اتصالات من موقع إلى موقع. إذا كنت تستخدم تكامل الشبكة الظاهرية المطلوبة للبوابة، فقم بتحديث مسارات بوابة VPN المحلية الخاصة بك باستخدام كتل عناوين من نقطة إلى موقع. عند إعداد VPN من موقع إلى موقع لأول مرة، يجب أن تقوم البرامج النصية المستخدمة لتكوينها بإعداد المسارات بشكل صحيح. إذا قمت بإضافة عناوين نقطة إلى موقع بعد إنشاء شبكة VPN من موقع إلى موقع، فستحتاج إلى تحديث المسارات يدوياً. تختلف تفاصيل كيفية القيام بذلك لكل بوابة ولا يتم وصفها هنا.

لن يتم نشر مسارات BGP من أماكن العمل تلقائيًا في App Service. تحتاج إلى نشرها يدويًا على تكوين نقطة إلى موقع باستخدام الخطوات الواردة في هذا المستند الإعلان عن التوجيهات المخصصة لعملاء P2S VPN.

إشعار

لا تدمج ميزة تكامل الشبكة الظاهرية المطلوبة البوابة تطبيقاً مع شبكة ظاهرية بها بوابة ExpressRoute. حتى إذا تم تكوين بوابة ExpressRoute في وضع التواجد، فلن يعمل تكامل الشبكة الظاهرية. إذا كنت بحاجة إلى الوصول إلى الموارد من خلال اتصال ExpressRoute، فاستخدم ميزة تكامل الشبكة الظاهرية الإقليمية أو بيئة خدمة التطبيق، والتي تعمل في شبكتك الظاهرية.

التناظر

إذا كنت تستخدم تكامل الشبكة الظاهرية مع البوابة المطلوبة، فستحتاج إلى تكوين بعض العناصر الإضافية. لتكوين التناظر للعمل مع تطبيقك:

  1. أضف اتصال نظير على الشبكة الظاهرية التي يتصل بها تطبيقك. عند إضافة اتصال نظير، قم بتمكين السماح بالوصول إلى الشبكة الظاهرية وحدد Allow forwarded traffic والسماح بنقل البوابة.
  2. أضف اتصال تناظري على الشبكة الظاهرية التي يتم تحديدها بالشبكة الظاهرية التي تتصل بها. عند إضافة اتصال نظير على الشبكة الظاهرية للوجهة، قم بتمكين السماح بالوصول إلى الشبكة الظاهرية وحدد Allow forwarded traffic والسماح بالبوابات البعيدة.
  3. انتقل إلى خطة خدمة التطبيق>الشبكات>تكامل VNet في المدخل. حدد الشبكة الظاهرية التي يتصل بها تطبيقك. ضمن قسم التوجيه، أضف نطاق عناوين الشبكة الظاهرية التي تم تحديدها بالشبكة الظاهرية التي يتصل بها تطبيقك.

إدارة تكامل الشبكة الظاهرية

يتم الاتصال بشبكة ظاهرية وفصلها على مستوى التطبيق. العمليات التي يمكن أن تؤثر على تكامل الشبكة الظاهرية عبر تطبيقات متعددة هي على مستوى خطة خدمة التطبيق. من مدخل التطبيق >Networking>VNet Integration، يمكنك الحصول على تفاصيل بشأن شبكتك الظاهرية. يمكنك الاطلاع على معلومات مماثلة على مستوى خطة خدمة التطبيق في مدخل خطة خدمة التطبيق>Networking>VNet Integration.

العملية الوحيدة التي يمكنك إجراؤها في عرض التطبيق لمثيل تكامل الشبكة الظاهرية هي فصل تطبيقك عن الشبكة الظاهرية التي يتصل بها حالياً. لقطع اتصال تطبيقك بشبكة ظاهرية، حدد Disconnect. تتم إعادة تشغيل التطبيق الخاص بك عند قطع الاتصال بشبكة ظاهرية. قطع الاتصال لا يغير شبكتك الظاهرية. لم تتم إزالة الشبكة الفرعية أو البوابة. إذا كنت تريد بعد ذلك حذف شبكتك الظاهرية، فافصل أولاً تطبيقك عن الشبكة الظاهرية واحذف الموارد الموجودة فيها، مثل البوابات.

تعرض لك واجهة مستخدم تكامل الشبكة الظاهرية لخطة خدمة التطبيقات جميع عمليات تكامل الشبكة الظاهرية التي تستخدمها التطبيقات في خطة خدمة التطبيق. لمعرفة التفاصيل بشأن كل شبكة ظاهرية، حدد الشبكة الظاهرية التي تهتم بها. هناك إجراءان يمكنك تنفيذهما هنا لتكامل الشبكة الظاهرية المطلوبة للبوابة:

  • شبكة المزامنة: تُستخدم عملية مزامنة الشبكة فقط لميزة تكامل الشبكة الظاهرية المطلوبة للبوابة. يضمن إجراء عملية مزامنة للشبكة مزامنة شهاداتك ومعلومات الشبكة. إذا قمت بإضافة DNS الخاص بشبكتك الظاهرية أو تغييره، فقم بإجراء عملية مزامنة للشبكة. تؤدي هذه العملية إلى إعادة تشغيل أي تطبيقات تستخدم هذه الشبكة الظاهرية. لن تعمل هذه العملية إذا كنت تستخدم تطبيقاً وشبكة ظاهرية تنتمي إلى اشتراكات مختلفة.
  • إضافة مسارات: تؤدي إضافة المسارات إلى توجيه نسبة استخدام الشبكة الصادرة إلى شبكتك الظاهرية.

يتم كشف عنوان IP الخاص المعين للمثيل عبر متغير البيئة WEBSITE_PRIVATE_IP. تعرض واجهة مستخدم وحدة التحكم Kudu أيضاً قائمة متغيرات البيئة المتاحة لتطبيق الويب. IP هذا هو IP من نطاق عنوان تجمع عناوين نقطة إلى موقع تم تكوينه على بوابة الشبكة الظاهرية. سيتم استخدام عنوان IP هذا بواسطة تطبيق الويب للاتصال بالموارد من خلال Azure Virtual Network.

إشعار

لا بد أن تتغير قيمة WEBSITE_PRIVATE_IP. ومع ذلك، سيكون عنوان IP ضمن نطاق العنوان لنطاق العنوان من نقطة إلى موقع، لذلك ستحتاج إلى السماح بالوصول من نطاق العنوان بأكمله.

بوابة توجيه تكامل الشبكة الظاهرية المطلوبة

تُستخدم المسارات المحددة في شبكتك الظاهرية لتوجيه نسبة استخدام الشبكة إلى شبكتك الظاهرية من تطبيقك. لإرسال المزيد من نسبة استخدام الشبكة الصادرة إلى الشبكة الظاهرية، أضف كتل العناوين هذه هنا. تعمل هذه الإمكانية فقط مع تكامل الشبكة الظاهرية المطلوبة للبوابة. لا تؤثر جداول التوجيه على حركة مرور التطبيق عند استخدام تكامل الشبكة الظاهرية المطلوبة من البوابة.

شهادات تكامل الشبكة الظاهرية المطلوبة للبوابة

عند تمكين تكامل الشبكة الظاهرية المطلوبة للبوابة، يكون هناك تبادل مطلوب للشهادات لضمان أمان الاتصال. إلى جانب الشهادات، يوجد تكوين DNS ومسارات وأشياء أخرى مماثلة تصف الشبكة.

إذا تم تغيير الشهادات أو معلومات الشبكة، فحدد Sync Network. عند تحديد Sync Network، فإنك تتسبب في انقطاع قصير في الاتصال بين التطبيق والشبكة الظاهرية. لم تتم إعادة تشغيل تطبيقك، ولكن فقد الاتصال قد يتسبب في عدم عمل موقعك بشكل صحيح.

تجديد الشهادة

الشهادة المستخدمة من قبل تكامل الشبكة الظاهرية المطلوبة من البوابة لها عمر 8 سنوات. إذا كان لديك تطبيقات مع تكاملات الشبكة الظاهرية المطلوبة من البوابة والتي تعيش لفترة أطول، يتعين عليك تجديد الشهادة. يمكنك التحقق مما إذا كانت شهادتك قد انتهت صلاحيتها أو أن صلاحيتها أقل من 6 أشهر عن طريق زيارة صفحة تكامل VNet في مدخل Microsoft Azure.

Screenshot that shows a near expiry gateway-required virtual network integration certificate.

يمكنك تجديد الشهادة عندما يعرض المدخل شهادة قريبة من انتهاء الصلاحية أو منتهية الصلاحية. لتجديد الشهادة، تحتاج إلى قطع اتصال الشبكة الظاهرية وإعادة توصيلها. ستؤدي إعادة الاتصال إلى انقطاع قصير في الاتصال بين التطبيق والشبكة الظاهرية. لم تتم إعادة تشغيل تطبيقك، ولكن فقد الاتصال قد يتسبب في عدم عمل موقعك بشكل صحيح.

تفاصيل التسعير

ترتبط ثلاث رسوم باستخدام ميزة تكامل الشبكة الظاهرية المطلوبة للبوابة:

  • رسوم فئة خطة خدمة التطبيق: يجب أن تكون تطبيقاتك في خطة خدمة التطبيقات Basic أو Standard أو Premium أو Premium v2 أو Premium v3. لمزيد من المعلومات بشأن هذه التكاليف، راجع أسعار خدمة التطبيقات.
  • تكاليف نقل البيانات: هناك رسوم على خروج البيانات، حتى إذا كانت الشبكة الظاهرية في نفس مركز البيانات. تم توضيح هذه الرسوم في تفاصيل أسعار نقل البيانات.
  • تكاليف بوابة VPN: هناك تكلفة على بوابة الشبكة الظاهرية المطلوبة لشبكة VPN من نقطة إلى موقع. لمزيد من المعلومات، راجع أسعار بوابة VPN.

استكشاف الأخطاء وإصلاحها

يمكن أن تمنع العديد من الأشياء تطبيقك من الوصول إلى مضيف ومنفذ معينين. يكون أحد هذه الأشياء في معظم الأحيان:

  • جدار الحماية في الطريق. إذا كان لديك جدار حماية في الطريق، فاضغط على مهلة TCP. تبلغ مهلة TCP 21 ثانية في هذه الحالة. استخدم أداة tcpping لاختبار الاتصال. يمكن أن تحدث مهلات TCP نتيجة إلى عدة أشياء بخلاف جدران الحماية لكنها تبدأ من هناك.
  • لا يمكن الوصول إلى DNS. تبلغ مهلة DNS 3 ثوانٍ لكل خادم DNS. إذا كان لديك خادمان DNS، فستكون المهلة 6 ثوانٍ. استخدم nameresolver لمعرفة ما إذا كان DNS يعمل. لا يمكنك استخدام nslookup لأنه لا يستخدم DNS الذي تم تكوين الشبكة الظاهرية به. إذا تعذر الوصول إليه، فقد يكون لديك جدار حماية أو NSG يحظر الوصول إلى DNS أو قد يكون متوقفا عن التشغيل.

إذا لم تقدم هذه العناصر إجابات لمشاكلك، فابحث أولاً عن أشياء مثل:

  • هل نطاق عنوان نقطة-إلى-موقع في نطاقات RFC 1918 (10.0.0.0-10.255.255.255/172.16.0.0-172.31.255.255/192.168.0.0-192.168.255.255)؟
  • هل تظهر البوابة كما هي موجودة في المدخل؟ إذا كانت البوابة الخاصة بك معطلة، فأعدها مرة أخرى.
  • هل تظهر الشهادات على أنها متزامنة أم أنك تشك في تغيير تكوين الشبكة؟ إذا كانت شهاداتك غير متزامنة أو كنت تشك في إجراء تغيير على تكوين الشبكة الظاهرية التي لم تتم مزامنتها مع ASP، فحدد Sync Network.
  • إذا كنت تستخدم VPN، فهل تم تكوين البوابة المحلية لتوجيه نسبة استخدام الشبكة احتياطياً إلى Azure؟ إذا كان بإمكانك الوصول إلى نقاط النهاية في الشبكة الظاهرية وليس محليًا، فتحقق من مساراتك.
  • هل تحاول استخدام بوابة توافق تدعم كلاً من نقطة إلى موقع وExpressRoute؟ لا يتم دعم بوابات التوافق مع تكامل الشبكة الظاهرية.

تعد مشكلات تتبع أخطاء الشبكات تحدياً، إذ لا يمكنك معرفة ما يمنع الوصول إلى مضيف محدد: مجموعة المنفذ. تتضمن بعض الأسباب ما يلي:

  • لديك جدار حماية على المضيف يمنع الوصول إلى منفذ التطبيق من نطاق IP من نقطة إلى موقع لديك. غالباً ما يتطلب عبور الشبكات الفرعية وصول عام.
  • المضيف المستهدف متوقف عن التشغيل.
  • التطبيق الخاص بك متوقف عن التشغيل.
  • كان عنوان IP أو اسم مضيف خاطئ.
  • التطبيق يستمع عبر منفذ مختلف عما توقعته. يمكنك مطابقة معرف العملية مع منفذ الاستماع باستخدام "netstat -aon" على مضيف نقطة النهاية.
  • يتم تكوين مجموعات أمان الشبكة بطريقة تمنع الوصول إلى مضيف التطبيق والمنفذ من نطاق IP من نقطة إلى موقع.

لا تعرف العنوان الذي يستخدمه التطبيق بالفعل. قد يكون أي عنوان في نطاق العنوان من نقطة إلى موقع، لذلك تحتاج إلى السماح بالوصول من نطاق العنوان بأكمله.

تتضمن المزيد من خطوات تتبع الأخطاء ما يلي:

  • اتصل بجهاز ظاهري في الشبكة الظاهرية وحاول الوصول إلى مضيف المورد: المنفذ من هناك. لاختبار وصول TCP، استخدم أمر PowerShell ​​Test-NetConnection. يتشكل بناء الجملة من:
Test-NetConnection hostname [optional: -Port]
  • يوصى بإحضار تطبيق على جهاز ظاهري واختبار الوصول إلى هذا المضيف والمنفذ من وحدة التحكم بالتطبيق لديك باستخدام tcpping.

الموارد المحلية

إذا تعذر على التطبيق الوصول إلى مورد محلي، فتحقق مما إذا كان بإمكانك الوصول إلى المورد من الشبكة الظاهرية. استخدم أمر PowerShell Test-NetConnectionللتحقق من وصول TCP. إذا لم يتمكن الجهاز الظاهري من الوصول إلى المورد الداخلي، فقد لا يتم تكوين اتصال VPN أو ExpressRoute بشكل صحيح.

إذا كان الجهاز الظاهري المستضاف على الشبكة الظاهرية بإمكانه الوصول إلى النظام الداخلي لكن لا يمكن للتطبيق تنفيذ هذا، فمن المحتمل أن يكون السبب أحد الأسباب التالية:

  • لم يتم تكوين المسارات باستخدام الشبكة الفرعية أو نطاقات العناوين من نقطة إلى موقع في البوابة المحلية.
  • تعمل مجموعات أمان الشبكة على حظر الوصول إلى نطاق IP من نقطة إلى موقع.
  • تمنع جدران الحماية الداخلية نسبة استخدام الشبكة من نطاق IP من نقطة إلى موقع.
  • أنت تحاول الوصول إلى عنوان غير-RFC 1918 باستخدام ميزة تكامل الشبكة الظاهرية الإقليمي.

لمزيد من المعلومات، راجع دليل استكشاف أخطاء تكامل الشبكة الظاهرية وإصلاحها.