دمج تطبيقك مع شبكة Azure الافتراضية
إشعار
بدءا من 1 يونيو 2024، سيكون لجميع تطبيقات App Service التي تم إنشاؤها حديثا خيار إنشاء اسم مضيف افتراضي فريد باستخدام اصطلاح <app-name>-<random-hash>.<region>.azurewebsites.net
التسمية . ستظل أسماء التطبيقات الحالية دون تغيير.
مثال: myapp-ds27dh7271aah175.westus-01.azurewebsites.net
لمزيد من التفاصيل، راجع اسم المضيف الافتراضي الفريد لمورد App Service.
توضح هذه المقالة ميزة تكامل الشبكة الظاهرية في Azure App Service وكيفية إعدادها مع التطبيقات في App Service. باستخدام شبكات Azure الظاهرية، يمكنك وضع العديد من موارد Azure في شبكة غير قابلة للتوجيه عبر الإنترنت. تتيح ميزة تكامل الشبكة الظاهرية لـ App Service لتطبيقاتك الوصول إلى الموارد في شبكة ظاهرية أو من خلالها.
خدمة التطبيقات لها نوعان مختلفان:
- مستويات أسعار الحوسبة المخصصة، والتي تشمل Basic وStandard وPremium وPremium v2 وPremium v3.
- بيئة App Service التي يتم توزيعها مباشرة في الشبكة الظاهرية لديك مع بنية أساسية داعمة مخصصة وتستخدم مستويات أسعار الإصدار 2 المعزول والمعزول.
تُستخدم ميزة تكامل الشبكة الظاهرية في مستويات أسعار الحوسبة المخصصة لـ Azure App Service. إذا كان تطبيقك في بيئة خدمة التطبيقات، فإنه يتكامل بالفعل مع شبكة ظاهرية ولا يتطلب منك تكوين ميزة تكامل الشبكة الظاهرية للوصول إلى الموارد في نفس الشبكة الظاهرية. لمزيد من المعلومات حول جميع ميزات الشبكة، راجع ميزات شبكة App Service.
يمنح تكامل الشبكة الظاهرية للتطبيق لديك إمكانية الوصول إلى الموارد الموجودة في الشبكة الظاهرية، لكنه لا يمنح وصولاً خاصاً وواردًا إلى التطبيق من الشبكة الظاهرية. يشير الوصول إلى الموقع الخاص إلى جعل التطبيق متاحًا فقط من شبكة خاصة، مثل من داخل Azure virtual network. يتم استخدام تكامل الشبكة الظاهرية لإجراء استدعاءات صادرة من التطبيق إلى الشبكة الظاهرية لديك فحسب. راجع نقطة النهاية الخاصة للوصول الخاص الوارد.
ميزة تكامل الشبكة الظاهرية:
- يتطلب مستوى أسعار App Service التي تتضمن Basic أو Standard المدعوم أو Premium أو Premium v2 أو Premium v3 أو Elastic Premium.
- يدعم TCP وUDP.
- يعمل مع تطبيقات App Service وتطبيقات الوظائف وتطبيقات المنطق.
هناك بعض الأشياء التي لا يدعمها تكامل الشبكة الظاهرية مثل:
- تركيب محرك أقراص.
- الانضمام إلى مجال Windows Server Active Directory.
- NetBIOS.
يدعم تكامل الشبكة الظاهرية الاتصال بشبكة ظاهرية في نفس المنطقة. يتيح استخدام تكامل الشبكة الظاهرية لتطبيقك الوصول إلى:
- الموارد في الشبكة الظاهرية التي تتكامل معها.
- الموارد الموجودة في الشبكات الظاهرية المناظرة على الشبكة الظاهرية التي يتكامل معها تطبيقك بما في ذلك اتصالات النظراء العالمية.
- الموارد عبر اتصالات Azure ExpressRoute.
- الخدمات المؤمنة لنقطة النهاية للخدمة.
- الخدمات الخاصة التي تدعم نقطة النهاية.
عند استخدام تكامل الشبكة الظاهرية، يمكنك استخدام ميزات شبكة Azure التالية:
- مجموعات أمان الشبكة (NSGs): يمكنك حظر نسبة استخدام الشبكة الصادرة باستخدام مجموعة أمان الشبكة التي تستخدمها على الشبكة الفرعية للتكامل. لا تنطبق القواعد الواردة حيث لا يمكنك استخدام تكامل الشبكة الظاهرية لتوفير وصول وارد إلى التطبيق.
- جداول التوجيه (UDRs): يمكنك وضع جدول توجيه على الشبكة الفرعية للتكامل لإرسال حركة المرور الصادرة حيثما تريد.
- بوابة NAT: يمكنك استخدام بوابة NAT للحصول على عنوان IP صادر مخصص والتخفيف من استنفاد منفذ SNAT.
تعرف على كيفية تمكين تكامل الشبكة الظاهرية.
كيفية عمل تكامل الشبكة الظاهرية
تتم استضافة التطبيقات في خدمة التطبيقات على أدوار العاملين. يعمل تكامل الشبكة الظاهرية عن طريق تحميل واجهات ظاهرية إلى أدوار العامل مع عناوين في الشبكة الفرعية المفوضة. الواجهات الظاهرية المستخدمة ليست موارد يمكن للعملاء الوصول إليها مباشرة. نظراً لأن عنوان from موجود في شبكتك الظاهرية، يمكنه الوصول إلى معظم الأشياء في أو من خلال شبكتك الظاهرية مثل VM في شبكتك الظاهرية.
عند تمكين تكامل الشبكة الظاهرية، يقوم تطبيقك بإجراء مكالمات صادرة من خلال شبكتك الظاهرية. العناوين الصادرة المدرجة في مدخل خصائص التطبيق هي العناوين التي لا يزال تطبيقك يستخدمها. ومع ذلك، إذا كانت المكالمة الصادرة إلى جهاز ظاهري أو نقطة نهاية خاصة في شبكة التكامل الظاهرية أو الشبكة الظاهرية النظيرة، فإن العنوان الصادر هو عنوان من الشبكة الفرعية للتكامل. يتم الكشف عن عنوان IP الخاص الذي تم تعيينه لمثيل عبر متغير البيئة WEBSITE_PRIVATE_IP.
عندما يتم تمكين توجيه نسبة استخدام الشبكة بالكامل، يتم إرسال كل نسبة استخدام الشبكة الصادرة إلى شبكتك الظاهرية. إذا لم يتم تمكين جميع توجيه نسبة استخدام الشبكة، يتم إرسال حركة المرور الخاصة (RFC1918) ونقاط نهاية الخدمة المكونة على الشبكة الفرعية للتكامل إلى الشبكة الظاهرية. يتم توجيه نسبة استخدام الشبكة الصادرة إلى الإنترنت مباشرة من التطبيق.
تدعم ميزة تكامل الشبكة الظاهرية واجهتين ظاهريتين لكل عامل. تعني واجهتان ظاهريتان لكل عامل تكاملين للشبكة الظاهرية لكل خطة App Service. بمعنى آخر، يمكن أن تحتوي خطة App Service على تكامل شبكة ظاهرية مع ما يصل إلى شبكتين فرعيتين/شبكات ظاهرية. يمكن للتطبيقات في نفس خطة App Service استخدام أحد عمليات تكامل الشبكة الظاهرية فقط لشبكة فرعية معينة، ما يعني أن التطبيق يمكن أن يكون له تكامل شبكة ظاهرية واحدة فقط في وقت معين.
متطلبات الشبكة الفرعية
يعتمد تكامل الشبكة الظاهرية على شبكة فرعية مخصصة. عند إنشاء شبكة فرعية، تستهلك الشبكة الفرعية Azure خمسة عناوين IP من البداية. يتم استخدام عنوان واحد من الشبكة الفرعية للتكامل لكل مثيل خطة App Service. إذا قمت بتوسيع نطاق تطبيقك إلى أربع حالات، فسيتم استخدام أربعة عناوين.
عند التحجيم لأعلى/لأسفل في حجم المثيل، يتم مضاعفة مقدار عناوين IP المستخدمة بواسطة خطة App Service مؤقتا أثناء اكتمال عملية التحجيم. يجب أن تكون المثيلات الجديدة تعمل بشكل كامل قبل إلغاء توفير المثيلات الموجودة. تؤثر عملية المقياس على المثيلات المدعومة الحقيقية والمتوفرة لحجم شبكة فرعية معينة. تحتاج ترقيات النظام الأساسي إلى عناوين IP مجانية لضمان إمكانية حدوث الترقيات دون انقطاع لحركة المرور الصادرة. وأخيرا، بعد التوسيع أو التقليص أو اكتمال العمليات، قد تكون هناك فترة زمنية قصيرة قبل إصدار عناوين IP. في حالات نادرة، يمكن أن تصل هذه العملية إلى 12 ساعة وإذا قمت بالتحجيم بسرعة داخل/خارج أو لأعلى/لأسفل، فأنت بحاجة إلى عناوين IP أكثر من الحد الأقصى للمقياس.
نظراً لأنه لا يمكن تغيير حجم الشبكة الفرعية بعد التعيين، استخدم شبكة فرعية كبيرة بما يكفي لاستيعاب النطاق الذي قد يصل إليه تطبيقك. يجب عليك أيضا حجز عناوين IP لترقيات النظام الأساسي. لتجنب أي مشكلات في سعة الشبكة الفرعية، نقوم بإعادة تخصيص ضعف عناوين IP للمقياس الأقصى المخطط له. يغطي /26
مع 64 عنوانا الحد الأقصى لمقياس خطة App Service متعددة المستأجرين واحدة. عند إنشاء شبكات فرعية في مدخل Microsoft Azure كجزء من التكامل مع الشبكة الظاهرية، يلزم الحد الأدنى لحجم /27
. إذا كانت الشبكة الفرعية موجودة بالفعل قبل التكامل من خلال المدخل، يمكنك استخدام شبكة فرعية /28
.
مع ربط الشبكة الفرعية متعددة الخطط (MPSJ)، يمكنك الانضمام إلى خطط App Service متعددة في نفس الشبكة الفرعية. يجب أن تكون جميع خطط App Service في نفس الاشتراك ولكن يمكن أن تكون الشبكة الظاهرية/الشبكة الفرعية في اشتراك مختلف. يتطلب كل مثيل من كل خطة App Service عنوان IP من الشبكة الفرعية واستخدام MPSJ مطلوب الحد الأدنى لحجم الشبكة الفرعية /26
. إذا كنت تخطط للانضمام إلى العديد من الخطط و/أو خطط واسعة النطاق، يجب التخطيط لنطاقات شبكة فرعية أكبر.
حدود محددة لحاويات Windows
تستخدم حاويات Windows عنوان IP إضافي لكل تطبيق لكل مثيل خطة App Service، وتحتاج إلى تغيير حجم الشبكة الفرعية وفقا لذلك. إذا كان لديك، على سبيل المثال، 10 مثيلات لخطة Windows Container App Service مع أربعة تطبيقات قيد التشغيل، فأنت بحاجة إلى 50 عنوان IP وعناوين إضافية لدعم المقياس الأفقي (داخل/خارج).
نموذج الحساب:
لكل مثيل خطة App Service، تحتاج إلى: 4 تطبيقات حاوية Windows = 4 عناوين IP عنوان IP واحد لكل مثيل خطة App Service 4 + 1 = 5 عناوين IP
بالنسبة إلى 10 مثيلات: 5 × 10 = 50 عنوان IP لكل خطة App Service
نظرا لأن لديك خطة App Service واحدة، 1 × 50 = 50 عنوان IP.
بالإضافة إلى ذلك، أنت مقيد بعدد الذاكرات الأساسية المتوفرة في مستوى العامل المستخدم. تضيف كل ذاكرة أساسية ثلاث وحدات شبكة. يستخدم العامل نفسه وحدة واحدة ويستخدم كل اتصال شبكة ظاهرية وحدة واحدة. يمكن استخدام الوحدات المتبقية للتطبيقات.
نموذج الحساب:
مثيل خطة App Service مع أربعة تطبيقات تعمل وتستخدم تكامل الشبكة الظاهرية. التطبيقات متصلة بشبكتين فرعيتين مختلفتين (اتصالات الشبكة الظاهرية). يتطلب هذا التكوين سبع وحدات شبكة (1 عامل + 2 اتصالات + 4 تطبيقات). سيكون الحد الأدنى لحجم تشغيل هذا التكوين هو I2v2 (أربعة ذاكرات أساسية × 3 وحدات = 12 وحدة).
باستخدام I1v2، يمكنك تشغيل أربعة تطبيقات كحد أقصى باستخدام نفس الاتصال (1) أو 3 تطبيقات باستخدام اتصالين.
الأذونات
يجب أن يكون لديك على الأقل أذونات التحكم في الوصول المستندة إلى الدور التالية على الشبكة الفرعية أو على مستوى أعلى لتكوين تكامل الشبكة الظاهرية من خلال مدخل Microsoft Azure أو CLI أو عند تعيين virtualNetworkSubnetId
خاصية الموقع مباشرة:
الإجراء | الوصف |
---|---|
Microsoft.Network/virtualNetworks/read | اقرأ تعريف الشبكة الظاهرية |
Microsoft.Network/virtualNetworks/subnets/read | اقرأ تعريف الشبكة الفرعية الظاهرية |
Microsoft.Network/virtualNetworks/subnets/join/action | ينضم إلى شبكة افتراضية |
إذا كانت الشبكة الظاهرية في اشتراك مختلف عن التطبيق، يجب عليك التأكد من تسجيل الاشتراك مع الشبكة الظاهرية لموفر موارد Microsoft.Web
. يمكنك تسجيل الموفر بشكل صريح باتباع هذه الوثائق، ولكنه يسجل أيضا تلقائيا عند إنشاء تطبيق الويب الأول في اشتراك.
مسارات
يمكنك التحكم في نسبة استخدام الشبكة التي تمر عبر تكامل الشبكة الظاهرية. هناك ثلاثة أنواع من التوجيه يجب مراعاتها عند تكوين تكامل الشبكة الظاهرية. يحدد توجيه التطبيق نسبة استخدام الشبكة التي يتم توجيهها من تطبيقك إلى الشبكة الظاهرية. يؤثر توجيه التكوين على العمليات التي تحدث قبل بدء تشغيل التطبيق أو خلاله. ومن الأمثلة على ذلك سحب صورة الحاوية وإعدادات التطبيق مع مرجع Key Vault. توجيه الشبكة هو القدرة على معالجة كيفية توجيه حركة مرور التطبيقات والتكوين من شبكتك الظاهرية وخارجها.
من خلال توجيه التطبيق أو خيارات توجيه التكوين، يمكنك تكوين حركة المرور التي يتم إرسالها من خلال تكامل الشبكة الظاهرية. تخضع نسبة استخدام الشبكة لتوجيه الشبكة فقط إذا تم إرسالها من خلال تكامل الشبكة الظاهرية.
توجيه استمارة التقديم
ينطبق توجيه التطبيق على حركة المرور التي يتم إرسالها من تطبيقك بعد بدء تشغيله. راجع توجيه التكوين لنسبة استخدام الشبكة خلال بدء التشغيل. عند تكوين توجيه التطبيق، يمكنك إما توجيه نسبة استخدام الشبكة بالكامل أو نسبة استخدام الشبكة الخاصة فقط (المعروفة أيضاً باسم حركة مرور RFC1918 ) إلى شبكتك الظاهرية. يمكنك تكوين هذا السلوك من خلال إعداد حركة مرور الإنترنت الصادرة. إذا تم تعطيل توجيه حركة مرور الإنترنت الصادرة، فإن تطبيقك يوجه نسبة استخدام الشبكة الخاصة فقط إلى شبكتك الظاهرية. إذا كنت تريد توجيه كل حركة مرور التطبيقات الصادرة إلى شبكتك الظاهرية، فتأكد من تمكين حركة مرور الإنترنت الصادرة.
- تخضع نسبة استخدام الشبكة التي تم تكوينها في توجيه التطبيق أو التكوين فقط لمجموعات NSG وUDRs التي يتم تطبيقها على الشبكة الفرعية للتكامل.
- عند تمكين توجيه حركة مرور الإنترنت الصادرة، يظل عنوان المصدر لنسبة استخدام الشبكة الصادرة من تطبيقك أحد عناوين IP المدرجة في خصائص التطبيق. إذا قمت بتوجيه نسبة استخدام الشبكة من خلال جدار حماية أو بوابة NAT، ينشأ عنوان IP المصدر من هذه الخدمة.
تعرف على كيفية تكوين توجيه التطبيق.
إشعار
يتم دعم اتصال SMTP الصادر (المنفذ 25) لخدمة التطبيقات عندما يتم توجيه نسبة استخدام SMTP عبر تكامل الشبكة الافتراضية. يتم تحديد إمكانية الدعم من خلال إعداد في الاشتراك حيث يتم توزيع الشبكة الظاهرية. بالنسبة للشبكات الظاهرية/الشبكة الفرعية التي تم إنشاؤها قبل 1. أغسطس 2022 تحتاج إلى بدء تغيير تكوين مؤقت إلى الشبكة الظاهرية/الشبكة الفرعية للإعداد المراد مزامنته من الاشتراك. قد يكون أحد الأمثلة على ذلك إضافة شبكة فرعية مؤقتة أو إقران/فصل NSG مؤقتًا أو تكوين نقطة نهاية خدمة مؤقتًا. للحصول على مزيد من المعلومات، راجع قسم استكشاف أخطاء مشكلات الاتصال الوارد بواسطة بروتوكول SMTP وإصلاحها في منصة Azure.
توجيه التكوين
عند استخدام تكامل الشبكة الظاهرية، يمكنك تكوين كيفية إدارة أجزاء من نسبة استخدام شبكة التكوين. بشكل افتراضي، تنتقل حركة مرور التكوين مباشرة عبر المسار العام، ولكن بالنسبة للمكونات الفردية المذكورة، يمكنك تكوينها بشكل نشط ليتم توجيهها من خلال تكامل الشبكة الظاهرية.
مشاركة المحتوى
بشكل افتراضي، تستخدم Azure Functions مشاركة محتوى كمصدر نشر عند تحجيم تطبيقات الوظائف في خطة Premium. يجب تكوين إعداد إضافي لضمان توجيه نسبة استخدام الشبكة إلى مشاركة المحتوى هذه من خلال تكامل الشبكة الظاهرية. لمزيد من المعلومات، راجع كيفية تكوين توجيه مشاركة المحتوى.
بالإضافة إلى تكوين التوجيه، يجب عليك أيضا التأكد من أن أي جدار حماية أو مجموعة أمان شبكة تم تكوينها على نسبة استخدام الشبكة من الشبكة الفرعية تسمح بحركة المرور إلى المنفذ 443 و445.
سحب صورة الحاوية
عند استخدام حاويات مخصصة، يمكنك سحب الحاوية عبر تكامل الشبكة الظاهرية. لتوجيه حركة مرور سحب الحاوية من خلال تكامل الشبكة الظاهرية، يجب التأكد من تكوين إعداد التوجيه. تعرف على كيفية تكوين توجيه سحب الصور.
الاستعادة/النسخ الاحتياطي
تحتوي App Service على نسخ احتياطي/استعادة مضمنة، ولكن إذا كنت تريد إجراء نسخ احتياطي لحساب التخزين الخاص بك، يمكنك استخدام ميزة النسخ الاحتياطي/الاستعادة المخصصة. إذا كنت ترغب في توجيه نسبة استخدام الشبكة إلى حساب التخزين من خلال تكامل الشبكة الظاهرية، يجب تكوين إعداد المسار. النسخ الاحتياطي لقاعدة البيانات غير مدعوم عبر تكامل الشبكة الظاهرية.
إعدادات التطبيق باستخدام مراجع Key Vault
تحاول إعدادات التطبيق التي تستخدم مراجع Key Vault الحصول على أسرار عبر المسار العام. إذا كان Key Vault يمنع حركة المرور العامة ويستخدم التطبيق تكامل الشبكة الظاهرية، يتم إجراء محاولة للحصول على الأسرار من خلال تكامل الشبكة الظاهرية.
إشعار
- تكوين شهادات SSL/TLS من خزانات المفاتيح الخاصة غير مدعوم حالياً.
- سجلات خدمة التطبيقات لحسابات التخزين الخاصة غير مدعومة حالياً. نوصي باستخدام بيانات التشخيص والسماح للخدمات الموثوقة لحساب التخزين.
إعدادات تطبيق التوجيه
تحتوي App Service على إعدادات تطبيق موجودة لتكوين توجيه التطبيق والتكوين. تتجاوز خصائص الموقع إعدادات التطبيق إذا كان كلاهما موجودا. تتمتع خصائص الموقع بميزة كونها قابلة للتدقيق باستخدام Azure Policy والتحقق من صحتها في وقت التكوين. نوصي باستخدام خصائص الموقع.
لا يزال بإمكانك استخدام إعداد التطبيق الموجود WEBSITE_VNET_ROUTE_ALL
لتكوين توجيه التطبيق.
توجد إعدادات التطبيق أيضا لبعض خيارات توجيه التكوين. يتم تسمية WEBSITE_CONTENTOVERVNET
إعدادات التطبيق هذه و WEBSITE_PULL_IMAGE_OVER_VNET
.
توجيه الشبكة
يمكنك استخدام جداول التوجيه لتوجيه نسبة استخدام الشبكة الصادرة من تطبيقك إلى أي مكان تريده. يمكن أن تتضمن الوجهات الشائعة أجهزة جدار الحماية أو البوابات. كما يمكنك استخدام مجموعة أمان الشبكة لحظر نسبة استخدام الشبكة الصادرة إلى الموارد الموجودة في شبكتك الظاهرية أو الإنترنت. NSG التي تطبقها على الشبكة الفرعية للتكامل سارية المفعول بغض النظر عن أي جداول توجيه مطبقة على الشبكة الفرعية للتكامل.
تنطبق جداول التوجيه ومجموعات أمان الشبكة فقط على نسبة استخدام الشبكة التي يتم توجيهها من خلال تكامل الشبكة الظاهرية. راجع توجيه التطبيق وتوجيه التكوين للحصول على التفاصيل. لا تنطبق المسارات على الردود من طلبات التطبيقات الواردة والقواعد الواردة في NSG التي لا تنطبق على تطبيقك. يؤثر تكامل الشبكة الظاهرية على نسبة استخدام الشبكة الصادرة فقط من تطبيقك. للتحكم في نسبة استخدام الشبكة الواردة إلى تطبيقك، استخدم ميزة قيود الوصول أو نقاط النهاية الخاصة.
عند تكوين مجموعات أمان الشبكة أو جداول التوجيه التي تنطبق على نسبة استخدام الشبكة الصادرة، يجب التأكد من مراعاة تبعيات التطبيق. تتضمن تبعيات التطبيق نقاط النهاية التي يحتاجها تطبيقك أثناء وقت التشغيل. إلى جانب واجهات برمجة التطبيقات والخدمات التي يتصل بها التطبيق، يمكن أن تكون نقاط النهاية هذه أيضا نقاط نهاية مشتقة مثل نقاط نهاية التحقق من قائمة إبطال الشهادات (CRL) ونقطة نهاية الهوية/المصادقة، على سبيل المثال معرف Microsoft Entra. إذا كنت تستخدم التوزيع المستمر في App Service، فقد تحتاج أيضًا إلى السماح بنقاط النهاية اعتمادًا على النوع واللغة. خصيصا للتوزيع المستمر ل Linux، تحتاج إلى السماح .oryx-cdn.microsoft.io:443
بالنسبة إلى Python، تحتاج بالإضافة إلى ذلك إلى السماح ب files.pythonhosted.org
، pypi.org
.
يستخدم Azure منفذ UDP 30,000 لإجراء عمليات التحقق من صحة الشبكة. إذا قمت بحظر حركة المرور هذه، فلن تؤثر مباشرة على تطبيقك، ولكن سيكون من الصعب على دعم Azure اكتشاف المشكلات المتعلقة بالشبكة واستكشاف الأخطاء وإصلاحها.
عندما تريد توجيه نسبة استخدام الشبكة الصادرة محلياً، يمكنك استخدام جدول توجيه لإرسال نسبة استخدام الشبكة الصادرة إلى مدخل Microsoft Azure ExpressRoute. إذا قمت بتوجيه نسبة استخدام الشبكة إلى بوابة، فقم بتعيين المسارات في الشبكة الخارجية لإرسال أي ردود مرة أخرى. تؤثر مسارات بروتوكول بوابة الحدود (BGP) أيضا على نسبة استخدام الشبكة للتطبيق. إذا كان لديك مسارات BGP من شيء مثل بوابة ExpressRoute، فإن نسبة استخدام الشبكة الصادرة للتطبيق تتأثر. على غرار المسارات المحددة من قبل المستخدم، تؤثر مسارات BGP على نسبة استخدام الشبكة وفقاً لإعداد نطاق التوجيه الخاص بك.
نقاط نهاية الخدمة
يتيح لك تكامل الشبكة الظاهرية الوصول إلى خدمات Azure المؤمنة بنقاط نهاية الخدمة. للوصول إلى خدمة مؤمنة بنقطة نهاية الخدمة، اتبع الخطوات التالية:
- تكوين تكامل الشبكة الظاهرية مع تطبيق الويب للاتصال بشبكة فرعية معينة للتكامل.
- انتقل إلى الخدمة الوجهة وتكوين نقاط تقديم الخدمة مقابل الشبكة الفرعية للتكامل.
نقاط النهاية الخاصة
إذا كنت تريد إجراء مكالمات إلى نقاط النهاية الخاصة، فتأكد من أن عمليات بحث نظام أسماء المجالات لديك تتجه إلى نقطة النهاية الخاصة. يمكنك فرض هذا السلوك بإحدى الطرق التالية:
- التكامل مع مناطق Azure DNS الخاصة. عندما لا تحتوي شبكتك الظاهرية على خادم DNS مخصص، يتم التكامل تلقائياً عندما تكون المناطق مرتبطة بالشبكة الظاهرية.
- قم بإدارة نقطة النهاية الخاصة في خادم DNS المستخدمة من قبل تطبيقك. لإدارة التكوين، يجب أن تعرف عنوان IP الخاص بنقطة النهاية. ثم أشر إلى نقطة النهاية التي تحاول الوصول إلى هذا العنوان باستخدام سجل A.
- قم بتكوين خادم DNS الخاص بك لإعادة التوجيه إلى مناطق خاصة لنظام أسماء المجالات في Azure.
مناطق Azure DNS الخاصة
بعد أن يتكامل تطبيقك مع شبكتك الظاهرية، فإنه يستخدم نفس خادم DNS الذي تم تكوين شبكتك الظاهرية به. إذا لم يتم تحديد DNS مخصص، فإنه يستخدم Azure الظاهري DNS وأي مناطق خاصة مرتبطة بالشبكة الظاهرية.
القيود
هناك بعض القيود على استخدام تكامل الشبكة الظاهرية:
- الميزة متاحة من جميع عمليات توزيع خدمة التطبيقات في الإصدارين Premium v2 وPremium v3. يتوفر أيضاً في المستوى الأساسي والقياسي ولكن فقط من عمليات توزيع خدمة التطبيقات الأحدث. إذا كنت تستخدم عملية توزيع أقدم، يمكنك فقط استخدام الميزة من خطة خدمة تطبيقات Premium v2. إذا كنت تريد التأكد من أنه يمكنك استخدام الميزة في خطة خدمة التطبيقات الأساسية أو القياسية، فقم بإنشاء تطبيقك في خطة خدمة التطبيق Premium v3. هذه الخطط مدعومة فقط في أحدث عمليات التوزيع لدينا. يمكنك تقليص حجمها إذا أردت بعد إنشاء الخطة.
- لا تتوفر الميزة لتطبيقات الخطة المعزولة في بيئة خدمة التطبيقات.
- لا يمكنك الوصول إلى الموارد عبر اتصالات النظراء مع الشبكات الظاهرية النموذج classic.
- تتطلب الميزة شبكة فرعية غير مستخدمة تكون عبارة عن كتلة IPv4
/28
أو أكبر في شبكة ظاهرية لـ Azure Resource Manager. يتطلب MPSJ كتلة/26
أو أكبر. - يجب أن يكون التطبيق والشبكة الظاهرية في نفس المنطقة.
- لا يمكن أن تحتوي الشبكة الظاهرية للتكامل على مساحات عناوين IPv6 محددة.
- لا يمكن لشبكة التكامل الفرعية تمكين نُهج نقطة نهاية الخدمة.
- لا يمكنك حذف شبكة ظاهرية باستخدام تطبيق متكامل. يمكنك إزالة التكامل قبل حذف الشبكة الظاهرية.
- لا يمكن أن يكون لديك أكثر من تكاملين للشبكة الظاهرية لكل خطة App Service. يمكن لتطبيقات متعددة في نفس خطة App Service استخدام نفس تكامل الشبكة الظاهرية.
- لا يمكنك تغيير اشتراك تطبيق أو خطة أثناء وجود تطبيق يستخدم تكامل الشبكة الظاهرية.
الوصول إلى الموارد المحلية
لا يلزم تكوين إضافي لميزة تكامل الشبكة الظاهرية للوصول من خلال شبكتك الظاهرية إلى الموارد المحلية. تحتاج ببساطة إلى توصيل شبكتك الظاهرية بالموارد المحلية باستخدام ExpressRoute أو VPN من موقع إلى موقع.
التناظر
إذا كنت تستخدم التناظر مع تكامل الشبكة الظاهرية، فلن تحتاج إلى إجراء أي تكوين إضافي.
إدارة تكامل الشبكة الظاهرية
يتم الاتصال بشبكة ظاهرية وفصلها على مستوى التطبيق. العمليات التي يمكن أن تؤثر على تكامل الشبكة الظاهرية عبر تطبيقات متعددة هي على مستوى خطة خدمة التطبيق. من مدخل التطبيق >Networking>VNet Integration، يمكنك الحصول على تفاصيل بشأن شبكتك الظاهرية. يمكنك الاطلاع على معلومات مماثلة على مستوى خطة خدمة التطبيق في مدخل خطة خدمة التطبيق>Networking>VNet Integration.
في طريقة عرض التطبيق لمثيل تكامل الشبكة الظاهرية، يمكنك قطع اتصال التطبيق بالشبكة الظاهرية ويمكنك تكوين توجيه التطبيق. لقطع اتصال تطبيقك بشبكة ظاهرية، حدد Disconnect. تتم إعادة تشغيل التطبيق الخاص بك عند قطع الاتصال بشبكة ظاهرية. قطع الاتصال لا يغير شبكتك الظاهرية. لم تتم إزالة الشبكة الفرعية. إذا كنت تريد بعد ذلك حذف شبكتك الظاهرية، فافصل تطبيقك أولا عن الشبكة الظاهرية.
يتم كشف عنوان IP الخاص المعين للمثيل عبر متغير البيئة WEBSITE_PRIVATE_IP. تعرض واجهة مستخدم وحدة التحكم Kudu أيضاً قائمة متغيرات البيئة المتاحة لتطبيق الويب. يتم تعيين عنوان IP هذا من نطاق عناوين الشبكة الفرعية المتكاملة. يستخدم تطبيق الويب هذا IP للاتصال بالموارد من خلال شبكة Azure الظاهرية.
إشعار
لا بد أن تتغير قيمة WEBSITE_PRIVATE_IP. ومع ذلك، سيكون عنوان IP ضمن نطاق عنوان الشبكة الفرعية للتكامل، لذلك ستحتاج إلى السماح بالوصول من نطاق العنوان بأكمله.
تفاصيل التسعير
لا تحتوي ميزة تكامل الشبكة الظاهرية على رسوم إضافية للاستخدام تتجاوز رسوم مستوى تسعير خطة App Service.
استكشاف الأخطاء وإصلاحها
من السهل إعداد الميزة، ولكن هذا لا يعني أن تجربتك خالية من المشاكل. إذا واجهت مشكلات في الوصول إلى نقطة النهاية المطلوبة، فهناك خطوات مختلفة يمكنك اتخاذها اعتمادا على ما تلاحظه. لمزيد من المعلومات، راجع دليل استكشاف أخطاء تكامل الشبكة الظاهرية وإصلاحها.
إشعار
- تكامل الشبكة الظاهرية غير مدعوم لسيناريوهات Docker Compose في خدمة التطبيقات.
- لا تنطبق قيود الوصول على حركة المرور القادمة من خلال نقطة نهاية خاصة.
حذف خطة أو تطبيق App Service قبل قطع اتصال تكامل الشبكة
إذا حذفت التطبيق أو خطة App Service دون قطع اتصال تكامل الشبكة الظاهرية أولا، فلن تتمكن من إجراء أي عمليات تحديث/حذف على الشبكة الظاهرية أو الشبكة الفرعية التي تم استخدامها للتكامل مع المورد المحذوف. يظل تفويض الشبكة الفرعية "Microsoft.Web/serverFarms" معينا إلى شبكتك الفرعية ويمنع عمليات التحديث والحذف.
للقيام بتحديث/حذف الشبكة الفرعية أو الشبكة الظاهرية مرة أخرى، تحتاج إلى إعادة إنشاء تكامل الشبكة الظاهرية، ثم قطع الاتصال:
- أعد إنشاء خطة App Service وتطبيقها (من الضروري استخدام نفس اسم تطبيق الويب تماما كما كان من قبل).
- انتقل إلى Networking على التطبيق في مدخل Microsoft Azure وقم بتكوين تكامل الشبكة الظاهرية.
- بعد تكوين تكامل الشبكة الظاهرية، حدد الزر "قطع الاتصال".
- حذف خطة أو تطبيق App Service.
- تحديث/حذف الشبكة الفرعية أو الشبكة الظاهرية.
إذا كنت لا تزال تواجه مشكلات في تكامل الشبكة الظاهرية بعد اتباع هذه الخطوات، فاتصل بدعم Microsoft.