توصيل شبكة محلية بAzure باستخدام ExpressRoute

توضح هذه البنية المرجعية كيفية توصيل شبكة محلية بشبكة Azure الظاهرية باستخدام Azure ExpressRoute، مع شبكة خاصة ظاهرية من موقع إلى موقع (VPN) كاتصال تجاوز الفشل.

بناء الأنظمة

قم بتنزيل ملف Visio لهذه البنية.

‏‏سير العمل‬

يتكون التصميم من المكونات التالية.

• شبكة محلية. شبكة محلية خاصة تعمل داخل منظمة.
• جهاز VPN. جهاز أو خدمة توفر اتصالاً خارجياً بالشبكة المحلية. يمكن أن يكون جهاز VPN جهازا، أو يمكن أن يكون حلا برمجيا مثل التوجيه وخدمة الوصول عن بعد (RRAS) في Windows Server 2012. للحصول على قائمة بأجهزة VPN المدعومة ومعلومات بشأن تكوين أجهزة VPN المحددة للاتصال بـ Azure، راجع معلومات عن أجهزة VPN لاتصالات Site-to-Site VPN Gateway.
• دائرة ExpressRoute. دائرة الطبقة 2 أو الطبقة 3 التي يوفرها موفر الاتصال الذي ينضم إلى الشبكة المحلية مع Azure من خلال أجهزة التوجيه الحافة. تستخدم الدائرة البنية الأساسية للأجهزة التي يديرها موفر الاتصال.
• بوابة الشبكة الظاهرية ExpressRoute. تمكن بوابة الشبكة الظاهرية ExpressRoute شبكة Azure الظاهرية من الاتصال بدوائرة ExpressRoute المستخدمة للاتصال بشبكتك المحلية.
• بوابة شبكة ظاهرية VPN. تمكن بوابة الشبكة الظاهرية VPN شبكة Azure الظاهرية من الاتصال بجهاز VPN في الشبكة المحلية. تم تكوين بوابة شبكة VPN الظاهرية لقبول الطلبات من الشبكة المحلية فقط من خلال جهاز VPN. لمزيد من المعلومات، راجع توصيل شبكة محلية بشبكة Microsoft Azure الظاهرية.
• اتصال VPN. يحتوي الاتصال على خصائص تحدد نوع الاتصال (IPSec) والمفتاح المشترك مع جهاز VPN المحلي لتشفير نسبة استخدام الشبكة.
• Azure Virtual Network. توجد كل شبكة ظاهرية في منطقة Azure واحدة، ويمكنها استضافة طبقات تطبيق متعددة. يمكن تقسيم طبقات التطبيق باستخدام الشبكات الفرعية في كل شبكة ظاهرية.
• الشبكة الفرعية للبوابة. يتم الاحتفاظ ببوابات الشبكة الظاهرية في نفس الشبكة الفرعية.

المكونات

• Azure ExpressRoute
• بوابة Azure VPN
• الشبكة الافتراضية في Azure

تفاصيل السيناريو

توضح هذه البنية المرجعية كيفية توصيل شبكة محلية بشبكة Azure الظاهرية باستخدام ExpressRoute، مع شبكة خاصة ظاهرية من موقع إلى موقع (VPN) كاتصال تجاوز الفشل. تتدفق نسبة استخدام الشبكة بين الشبكة المحلية وشبكة Azure الظاهرية من خلال اتصال ExpressRoute. إذا كان هناك فقدان في الاتصال في دائرة ExpressRoute، يتم توجيه نسبة استخدام الشبكة من خلال نفق IPSec VPN. توزيع هذا الحل.

لاحظ أنه إذا كانت دائرة ExpressRoute غير متوفرة، فسيتعامل مسار VPN مع اتصالات التناظر الخاصة فقط. تمر اتصالات النظير العام واتصالات نظير Microsoft عبر الإنترنت.

التوصيات

تنطبق التوصيات التالية على معظم السيناريوهات. اتبع هذه التوصيات ما لم يكن لديك متطلب محدد يلغيها.

الشبكة الظاهرية و GatewaySubnet

إنشاء اتصال بوابة الشبكة الظاهرية ExpressRoute واتصال بوابة الشبكة الظاهرية VPN في نفس الشبكة الظاهرية مع كائن بوابة موجود بالفعل. سيشارك كلاهما نفس الشبكة الفرعية المسماة GatewaySubnet.

إذا كانت الشبكة الظاهرية تتضمن بالفعل شبكة فرعية تسمى GatewaySubnet، فتأكد من أن لديها /27 أو مساحة عنوان أكبر. إذا كانت الشبكة الفرعية الحالية صغيرة جداً، فاستخدم أمر PowerShell التالي لإزالة الشبكة الفرعية:

$vnet = Get-AzVirtualNetwork -Name <your-vnet-name> -ResourceGroupName <your-resource-group>
Remove-AzVirtualNetworkSubnetConfig -Name GatewaySubnet -VirtualNetwork $vnet

إذا كانت الشبكة الظاهرية لا تحتوي على شبكة فرعية تسمى GatewaySubnet، قم بإنشاء شبكة جديدة باستخدام أمر PowerShell التالي:

$vnet = Get-AzVirtualNetwork -Name <your-vnet-name> -ResourceGroupName <your-resource-group>
Add-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet -AddressPrefix "10.200.255.224/27"
$vnet = Set-AzVirtualNetwork -VirtualNetwork $vnet

بوابات VPN وExpressRoute

تحقق من أن مؤسستك تلبي متطلبات ExpressRoute الأساسية للاتصال بـ Azure.

إذا كان لديك بالفعل بوابة شبكة ظاهرية VPN في شبكة Azure الظاهرية، فاستخدم أمر PowerShell التالي لإزالته:

Remove-AzVirtualNetworkGateway -Name <your-gateway-name> -ResourceGroupName <your-resource-group>

اتبع الإرشادات الواردة في تكوين بنية شبكة مختلطة باستخدام Azure ExpressRoute لإنشاء اتصال ExpressRoute.

اتبع الإرشادات الواردة في تكوين بنية شبكة مختلطة باستخدام Azure وVPN المحلي لإنشاء اتصال بوابة الشبكة الظاهرية الخاصة بك.

بعد إنشاء اتصالات بوابة الشبكة الظاهرية، اختبر البيئة كما يلي:

1. تأكد من أنه يمكنك الاتصال من شبكتك المحلية بشبكة Azure الظاهرية.
2. اتصل بمزودك لإيقاف اتصال ExpressRoute للاختبار.
3. تحقق من أنه لا يزال بإمكانك الاتصال من شبكتك المحلية بشبكة Azure الظاهرية باستخدام اتصال بوابة الشبكة الظاهرية VPN.
4. اتصل بمزودك لإعادة إنشاء اتصال ExpressRoute.

الاعتبارات

تنفذ هذه الاعتبارات ركائز Azure Well-Architected Framework، وهو عبارة عن مجموعة من المبادئ التوجيهية التي يمكن استخدامها لتحسين جودة حمل العمل. لمزيد من المعلومات، يرجى مراجعةMicrosoft Azure Well-Architected Framework.

الأمان

ويوفر عامل الأمان ضمانات للحماية من الهجمات المتعمدة واستغلال البيانات والأنظمة القيمة الخاصة بك. للمزيد من المعلومات، يرجى الرجوع إلى نظرة عامة على ركيزة الأمان.

للحصول على اعتبارات أمان Azure العامة، راجع خدمات السحابة من Microsoft وأمان الشبكة.

تحسين التكلفة

يركز تحسين التكلفة على البحث عن طرق للحد من النفقات غير الضرورية وتحسين الكفاءة التشغيلية. لمزيد من المعلومات، راجع نظرة عامة على ركيزة تحسين التكلفة.

للتعرف على اعتبارات تكلفة ExpressRoute، راجع هذه المقالات:

• اعتبارات التكلفة في تكوين بنية شبكة مختلطة باستخدام Azure ExpressRoute.

التميز التشغيلي

يغطي التميز التشغيلي عمليات التشغيل التي تحافظ على تشغيل التطبيق في الإنتاج. لمزيد من المعلومات، يرجى مراجعةنظرة عامة على ركيزة التميز التشغيلي.

للحصول على اعتبارات ExpressRoute DevOps، راجع إرشادات تكوين بنية شبكة مختلطة باستخدام Azure ExpressRoute .

للحصول على اعتبارات DEVOps VPN من موقع إلى موقع، راجع إرشادات تكوين بنية شبكة مختلطة باستخدام Azure وVPN المحلي.

نشر هذا السيناريو

المتطلبات الأساسية. يجب أن يكون لديك بنية أساسية محلية موجودة تم تكوينها بالفعل باستخدام جهاز شبكة مناسب.

لتوزيع الحل، قم بتنفيذ الخطوات التالية.

1. حدد الارتباط أدناه.

   

2. انتظر حتى يتم فتح الارتباط في مدخل Microsoft Azure، ثم حدد مجموعة الموارد التي ترغب في توزيع هذه الموارد فيها أو إنشاء مجموعة موارد جديدة. سيتم تغيير المنطقة والموقع تلقائيا لمطابقة مجموعة الموارد.

3. قم بتحديث الحقول المتبقية إذا كنت ترغب في تغيير أسماء الموارد أو الموفرين أو SKU أو عناوين IP للشبكة للبيئة الخاصة بك.

4. حدد Review + create ثم Create لنشر هذه الموارد.

5. انتظر حتى يكتمل التوزيع.

   إشعار

   نشر القالب هذا ينشر الموارد التالية فقط:

   • مجموعة موارد (إذا قمت بإنشاء جديد)
   • دائرة ExpressRoute
   • شبكة Azure الظاهرية
   • بوابة شبكة ظاهرية ExpressRoute

   لكي تتمكن من إنشاء اتصال نظير خاص بنجاح من أماكن العمل إلى دائرة ExpressRoute، ستحتاج إلى إشراك موفر الخدمة الخاص بك مع مفتاح خدمة الدائرة. يمكن العثور على مفتاح الخدمة في صفحة النظرة العامة لمورد دائرة ExpressRoute. لمزيد من المعلومات حول تكوين دائرة ExpressRoute، راجع إنشاء تكوين التناظر أو تعديله. بمجرد تكوين التناظر الخاص بنجاح، يمكنك ربط بوابة الشبكة الظاهرية ExpressRoute بالدائرة. لمزيد من المعلومات، راجع البرنامج التعليمي: توصيل شبكة ظاهرية إلى دائرة ExpressRoute باستخدام مدخل Microsoft Azure.

6. لإكمال نشر VPN من موقع إلى موقع كنسخة احتياطية إلى ExpressRoute، راجع إنشاء اتصال VPN من موقع إلى موقع.

7. بمجرد تكوين اتصال VPN بنفس الشبكة المحلية التي قمت بتكوينها ExpressRoute بنجاح، ستكون قد أكملت بعد ذلك الإعداد لنسخ اتصال ExpressRoute احتياطيا إذا كان هناك فشل تام في موقع التناظر.

المساهمون

تحتفظ Microsoft بهذه المقالة. وهي مكتوبة في الأصل من قبل المساهمين التاليين.

الكاتب الرئيسي:

• سارة باركس | مهندس حلول سحابي أول

لمشاهدة ملفات تعريف LinkedIn غير العامة، سجل الدخول إلى LinkedIn.

الخطوات التالية

• وثائق ExpressRoute
• أساس Azure Security لـ ExpressRoute
• كيفية إنشاء دائرة ExpressRoute
• مدونة Azure Networking
• تكوين ExpressRoute والاتصالات المتعايشة من موقع إلى موقع باستخدام PowerShell

الموارد ذات الصلة

• التصميم المختلط للعمارة
• خيارات Azure المختلطة
• مخطط شبكة النظام المحوري في Azure
• الشبكات بين المتحدثين
• اتصال شبكة محلية بـ Azure
• توسيع شبكة محلية باستخدام ExpressRoute
• تنفيذ شبكة مختلطة آمنة
• دمج مجالات التطبيق المحلية مع Microsoft Azure AD