توصيل شبكة محلية ب Azure باستخدام ExpressRoute

Azure ExpressRoute

الشبكة الافتراضية في Azure

Azure VPN Gateway

توضح هذه البنية المرجعية كيفية توصيل شبكة محلية بشبكة Azure الظاهرية باستخدام Azure ExpressRoute، مع شبكة خاصة ظاهرية من موقع إلى موقع (VPN) كاتصال تجاوز الفشل.

بناء الأنظمة

قم بتنزيل ملف Visio لهذه البنية.

‏‏سير العمل‬

يتكون التصميم من المكونات التالية.

• شبكة محلية. شبكة محلية خاصة تعمل داخل منظمة.

• شبكات Azure الظاهرية. توجد كل شبكة ظاهرية في منطقة Azure واحدة ويمكنها استضافة طبقات تطبيق متعددة. يمكنك تقسيم طبقات التطبيق باستخدام الشبكات الفرعية في كل شبكة ظاهرية.

  • الشبكة الفرعية للبوابة. توجد بوابات الشبكة الظاهرية في نفس الشبكة الفرعية.

• جهاز VPN. جهاز أو خدمة توفر اتصالاً خارجياً بالشبكة المحلية. يمكن أن يكون جهاز VPN جهازا، أو يمكن أن يكون حلا برمجيا مثل التوجيه وخدمة الوصول عن بعد (RRAS) في Windows Server 2012. للحصول على قائمة بأجهزة VPN المدعومة ومعلومات بشأن تكوين أجهزة VPN المحددة للاتصال بـ Azure، راجع معلومات عن أجهزة VPN لاتصالات Site-to-Site VPN Gateway.

• دائرة ExpressRoute. دائرة الطبقة 2 أو الطبقة 3 التي يوفرها موفر الاتصال الذي ينضم إلى الشبكة المحلية مع Azure من خلال أجهزة التوجيه الحافة. تستخدم الدائرة البنية الأساسية للأجهزة التي يديرها موفر الاتصال.

  • أجهزة توجيه الحافة المحلية. أجهزة التوجيه التي تربط الشبكة المحلية بالدائرة التي يديرها الموفر. اعتمادا على كيفية توفير الاتصال الخاص بك، قد تحتاج إلى توفير عناوين IP العامة التي تستخدمها أجهزة التوجيه.

  • أجهزة توجيه الحافة من Microsoft. جهازا توجيه في تكوين نشط-نشط ومتاح بشكل كبير. تمكّن أجهزة التوجيه موفر الاتصال من توصيل دوائره مباشرة بمركز البيانات لديه. اعتمادا على كيفية توفير الاتصال الخاص بك، قد تحتاج إلى توفير عناوين IP العامة التي تستخدمها أجهزة التوجيه.

• بوابة الشبكة الظاهرية ExpressRoute. تمكن بوابة الشبكة الظاهرية ExpressRoute شبكة Azure الظاهرية من الاتصال بدوائرة ExpressRoute المستخدمة للاتصال بشبكتك المحلية.

• بوابة شبكة ظاهرية VPN. تمكن بوابة الشبكة الظاهرية VPN شبكة Azure الظاهرية من الاتصال بجهاز VPN في الشبكة المحلية. تم تكوين بوابة شبكة VPN الظاهرية لقبول الطلبات من الشبكة المحلية فقط من خلال جهاز VPN. لمزيد من المعلومات، راجع توصيل شبكة محلية بشبكة Microsoft Azure الظاهرية.

• اتصال VPN. يحتوي الاتصال على خصائص تحدد نوع الاتصال (IPSec) والمفتاح المشترك مع جهاز VPN المحلي لتشفير نسبة استخدام الشبكة.

• خدمات Azure العامة. خدمات Azure التي يمكن استخدامها في تطبيق مختلط. تتوفر هذه الخدمات أيضا عبر الإنترنت، ولكن الوصول إليها باستخدام دائرة ExpressRoute يوفر زمن انتقال منخفضا وأداء أكثر قابلية للتنبؤ، لأن نسبة استخدام الشبكة لا تمر عبر الإنترنت.

• خدمات Microsoft 365. تطبيقات وخدمات Microsoft 365 المتوفرة للجمهور والتي توفرها Microsoft. تستخدم الاتصالات نظير Microsoft والعناوين المملوكة لمؤسستك أو التي يوفرها موفر الاتصال. يمكنك أيضا الاتصال مباشرة ب Microsoft CRM Online باستخدام تناظر Microsoft.

• موفرو الاتصال (غير معروضين). الشركات التي توفر اتصالا باستخدام اتصال الطبقة 2 أو الطبقة 3 بين مركز البيانات ومركز بيانات Azure.

المكونات

• Azure ExpressRoute. يمكنك استخدام ExpressRoute لتوسيع شبكاتك المحلية إلى سحابة Microsoft عبر اتصال خاص، بمساعدة موفر اتصال. باستخدام ExpressRoute، يمكنك إنشاء اتصالات بخدمات Microsoft السحابية، مثل Azure وMicrosoft 365.

• شبكة Azure الظاهرية. تعد شبكة Azure الظاهرية اللبنة الأساسية لشبكتك الخاصة على Azure. تمكن الشبكة الظاهرية العديد من أنواع موارد Azure، مثل أجهزة Azure الظاهرية، من الاتصال ببعضها البعض والإنترنت والشبكات المحلية مع أمان محسن.

• Azure VPN Gateway. بوابة VPN عبارة عن بوابة شبكة ظاهرية تمكنك من توصيل شبكتك المحلية بشبكة Azure ظاهرية باستخدام اتصال شبكة ظاهرية خاصة (VPN) من موقع إلى موقع.

تفاصيل السيناريو

توضح هذه البنية المرجعية كيفية توصيل شبكة محلية بشبكة Azure الظاهرية باستخدام ExpressRoute، مع شبكة خاصة ظاهرية من موقع إلى موقع (VPN) كاتصال تجاوز الفشل. تتدفق نسبة استخدام الشبكة بين الشبكة المحلية وشبكة Azure الظاهرية من خلال اتصال ExpressRoute. إذا كان هناك فقدان في الاتصال في دائرة ExpressRoute، يتم توجيه نسبة استخدام الشبكة من خلال نفق IPSec VPN. توزيع هذا الحل.

إذا كانت دائرة ExpressRoute غير متوفرة، فإن مسار VPN يعالج اتصالات التناظر الخاصة فقط. تمر اتصالات النظير العام واتصالات نظير Microsoft عبر الإنترنت.

التوصيات

تنطبق التوصيات التالية على معظم السيناريوهات. اتبع هذه التوصيات ما لم يكن لديك متطلب محدد يلغيها.

موفرو الاتصال

حدد موفر اتصال ExpressRoute المناسب لموقعك. للحصول على قائمة بموفري الاتصال المتوفرين في موقعك، استخدم أمر PowerShell التالي:

Get-AzExpressRouteServiceProvider

يقوم موفرو اتصال ExpressRoute بتوصيل مركز البيانات بـ Microsoft بالطرق التالية:

• موقع مشترك للتبادل عبر السحابة. إذا كنت في موقع مشترك في منشأة لديها تبادل سحابي، يمكنك طلب اتصالات ظاهرية عبر Azure من خلال تبادل Ethernet لموفر الموقع المشترك. يمكن لموفري المواقع المشتركة تقديم اتصالات متقاطعة من الطبقة 2 أو اتصالات متقاطعة للطبقة 3 مدارة بين بنيتك الأساسية في مرفق الموقع المشترك وAzure.

• اتصالات Ethernet نقطة إلى نقطة. يمكنك توصيل مراكز البيانات/المكاتب المحلية ب Azure باستخدام ارتباطات Ethernet من نقطة إلى نقطة. يمكن لموفري Ethernet من نقطة إلى نقطة توفير اتصالات الطبقة 2 أو اتصالات الطبقة 3 المدارة بين موقعك وAzure.

• شبكات Any-to-any (IPVPN). يمكنك دمج شبكة اتصال واسعة النطاق (WAN) مع Azure. يوفر موفرو الشبكة الخاصة الظاهرية لبروتوكول الإنترنت (IPVPN) اتصالا من أي إلى أي اتصال بين المكاتب الفرعية ومراكز البيانات. (IPVPN هو عادة VPN تبديل تسمية متعددة البروتوكولات.) يمكن ربط Azure بشبكة WAN لجعلها تبدو مثل أي مكتب فرعي آخر. يقدم موفرو WAN عادة اتصالاً مُداراً من الطبقة 3.

لمزيد من المعلومات حول موفري الاتصال، راجع مقدمة عن ExpressRoute.

دائرة ExpressRoute

يمكنك استخدام الخطوات التالية لإنشاء دائرة ExpressRoute.

1. تشغيل أمر PowerShell التالي:

   New-AzExpressRouteCircuit -Name <circuit-name> -ResourceGroupName <resource-group> -Location <location> -SkuTier <SKU-tier> -SkuFamily <SKU-family> -ServiceProviderName <service-provider-name> -PeeringLocation <peering-location> -BandwidthInMbps <bandwidth-in-Mbps>
   

2. أرسل ServiceKey للدائرة الجديدة إلى موفر الخدمة.

3. انتظر حتى يقوم الموفر بتوفير الدائرة. للتحقق من حالة توفير دائرة، يوصى بتشغيل أمر PowerShell التالي:

   Get-AzExpressRouteCircuit -Name <circuit-name> -ResourceGroupName <resource-group>
   

   Provisioning state يتغير الحقل في Service Provider قسم الإخراج من NotProvisioned إلى Provisioned عندما تكون الدائرة جاهزة.

   إشعار

   إذا كنت تستخدم اتصال الطبقة 3، يجب على الموفر تكوين التوجيه وإدارته نيابة عنك. يمكنك توفير المعلومات اللازمة لتمكين الموفر من تنفيذ المسارات المناسبة.

4. إذا كنت تستخدم اتصال الطبقة 2:

   1. احجز شبكتين فرعيتين /30 تتكونان من عناوين IP عامة صالحة لكل نوع من التناظرات التي تريد تنفيذها. يتم استخدام هذه الشبكات الفرعية /30 لتوفير عناوين IP للموجهات المستخدمة للدائرة. إذا كنت تقوم بتنفيذ تناظر خاص وMicrosoft، فأنت بحاجة إلى أربع شبكات فرعية /30 مع عناوين IP عامة صالحة.

   2. تكوين التوجيه لدائرة ExpressRoute. قم بتشغيل أوامر PowerShell التالية لكل من التناظر الخاص وMicrosoft. لمزيد من المعلومات، راجع إنشاء التوجيه وتعديله لدائرة ExpressRoute.

      Set-AzExpressRouteCircuitPeeringConfig -Name <peering-name> -ExpressRouteCircuit <circuit-name> -PeeringType <peering-type> -PeerASN <peer-ASN> -PrimaryPeerAddressPrefix <primary-peer-address-prefix> -SecondaryPeerAddressPrefix <secondary-peer-address-prefix> -VlanId <vlan-ID>
      
      Set-AzExpressRouteCircuit -ExpressRouteCircuit <circuit-name>
      

   3. احجز مجموعة أخرى من عناوين IP العامة الصالحة لاستخدامها في ترجمة عناوين الشبكة (NAT) لتناظر Microsoft. نوصي بأن يكون لديك تجمع مختلف لكل نظير. حدد التجمع لموفر الاتصال الخاص بك حتى يتمكنوا من تكوين إعلانات بروتوكول بوابة الحدود (BGP) لتلك النطاقات.

بوابات VPN وExpressRoute

إذا كان لديك بالفعل بوابة شبكة ظاهرية VPN موجودة في شبكة Azure الظاهرية، يمكنك إنشاء بوابة شبكة ظاهرية ExpressRoute دون الحاجة إلى حذف بوابة الشبكة الظاهرية الموجودة.

اتبع الإرشادات الواردة في تكوين بنية شبكة مختلطة باستخدام Azure ExpressRoute لإنشاء اتصال ExpressRoute.

اتبع الإرشادات الواردة في تكوين بنية شبكة مختلطة باستخدام Azure وVPN المحلي لإنشاء اتصال بوابة الشبكة الظاهرية الخاصة بك.

بعد إنشاء اتصالات بوابة الشبكة الظاهرية، اختبر البيئة باتباع الخطوات التالية:

1. تأكد من أنه يمكنك الاتصال من شبكتك المحلية بشبكة Azure الظاهرية.
2. اتصل بمزودك لإيقاف اتصال ExpressRoute للاختبار.
3. تحقق من أنه لا يزال بإمكانك الاتصال من شبكتك المحلية بشبكة Azure الظاهرية باستخدام اتصال بوابة الشبكة الظاهرية VPN.
4. اتصل بمزودك لإعادة إنشاء اتصال ExpressRoute.

استكشاف الأخطاء وإصلاحها

إذا فشلت دائرة ExpressRoute تعمل مسبقا في الاتصال ولم تكن هناك تغييرات في التكوين محليا أو داخل شبكتك الظاهرية الخاصة، فقد تحتاج إلى الاتصال بموفر الاتصال والعمل معه لتصحيح المشكلة. استخدم أوامر PowerShell التالية للتحقق من توفير دائرة ExpressRoute بشكل صحيح:

Get-AzExpressRouteCircuit -Name <circuit-name> -ResourceGroupName <resource-group>

يظهر إخراج هذا الأمر العديد من الخصائص للدائرة الخاصة بك، بما في ذلك ProvisioningStateو CircuitProvisioningStateو ServiceProviderProvisioningStateكما هو موضح هنا:

ProvisioningState                : Succeeded
Sku                              : {
                                     "Name": "Standard_MeteredData",
                                     "Tier": "Standard",
                                     "Family": "MeteredData"
                                   }
CircuitProvisioningState         : Enabled
ServiceProviderProvisioningState : NotProvisioned

إذا ProvisioningState لم يتم تعيين إلى Succeeded بعد محاولة إنشاء دائرة جديدة، فقم بإزالة الدائرة باستخدام الأمر التالي وحاول إنشائها مرة أخرى.

Remove-AzExpressRouteCircuit -Name <circuit-name> -ResourceGroupName <resource-group>

إذا كان الموفر الخاص بك قد قام بالفعل بتوفير الدائرة، وتم ProvisioningState تعيينه إلى Failed أو CircuitProvisioningState لم يكن Enabledكذلك، فاتصل بموفر الخدمة للحصول على المساعدة.

الاعتبارات

تنفذ هذه الاعتبارات ركائز Azure Well-Architected Framework، وهو عبارة عن مجموعة من المبادئ التوجيهية التي يمكن استخدامها لتحسين جودة حمل العمل. لمزيد من المعلومات، يرجى مراجعةMicrosoft Azure Well-Architected Framework.

قابلية التوسع

توفر دوائر ExpressRoute مسارا عالي النطاق الترددي بين الشبكات. بشكل عام، كلما ارتفع النطاق الترددي، ارتفعت التكلفة.

تقدم ExpressRoute خطتين للتسعير: خطة محدودة وخطة بيانات غير محدودة. تختلف التكاليف وفقا للنطاق الترددي للدائرة. من المحتمل أن يختلف النطاق الترددي المتوفر من موفر إلى آخر. استخدم cmdlet Get-AzExpressRouteServiceProvider لمعرفة الموفرين المتوفرين في منطقتك والنطاقات الترددية التي يقدمونها.

يمكن أن تدعم دائرة ExpressRoute واحدة عددا معينا من الأقران وارتباطات الشبكة الظاهرية. راجع حدود ExpressRoute للحصول على مزيد من المعلومات.

توفر الوظيفة الإضافية ExpressRoute Premium ما يلي:

• حدود مسار متزايدة للتناظر الخاص.
• زيادة عدد ارتباطات الشبكة الظاهرية لكل دائرة ExpressRoute.
• الاتصال العالمي للخدمات.

راجع أسعار ExpressRoute للحصول على التفاصيل.

على الرغم من أن بعض الموفرين يسمحون لك بتغيير النطاق الترددي الخاص بك، تأكد من اختيار عرض النطاق الترددي الأولي الذي يتجاوز احتياجاتك ويوفر مجالا للنمو. إذا كنت بحاجة إلى زيادة النطاق الترددي في المستقبل، فلديك خياران:

• زيادة النطاق الترددي. تجنب هذا الخيار قدر الإمكان. لا يسمح لك جميع الموفرين بزيادة النطاق الترددي ديناميكيا. ولكن إذا كنت بحاجة إلى زيادة عرض النطاق الترددي، فتحقق مع الموفر للتأكد من أنه يدعم تغيير خصائص عرض النطاق الترددي ExpressRoute باستخدام أوامر PowerShell. إذا فعلوا ذلك، فقم بتشغيل الأوامر التالية:

  $ckt = Get-AzExpressRouteCircuit -Name <circuit-name> -ResourceGroupName <resource-group>
  $ckt.ServiceProviderProperties.BandwidthInMbps = <bandwidth-in-Mbps>
  Set-AzExpressRouteCircuit -ExpressRouteCircuit $ckt
  

  يمكنك زيادة النطاق الترددي دون فقد الاتصال. يؤدي تخفيض النطاق الترددي إلى تعطيل الاتصال لأنك تحتاج إلى حذف الدائرة وإعادة إنشائها باستخدام التكوين الجديد.

• يوصى بتغيير خطة التسعير و/أو الترقية إلى Premium. لتنفيذ ذلك، قم بتشغيل أوامر التالية. يمكن أن تكون Standard الخاصية Sku.Tier أو Premium. يمكن أن تكون MeteredData الخاصية Sku.Name أو UnlimitedData.

  $ckt = Get-AzExpressRouteCircuit -Name <circuit-name> -ResourceGroupName <resource-group>
  
  $ckt.Sku.Tier = "Premium"
  $ckt.Sku.Family = "MeteredData"
  $ckt.Sku.Name = "Premium_MeteredData"
  
  Set-AzExpressRouteCircuit -ExpressRouteCircuit $ckt
  

  هام

  تأكد من أن الخاصية Sku.Name Sku.Tier تطابق و Sku.Family. إذا قمت بتغيير العائلة والطبقة ولكن ليس الاسم، تعطيل اتصالك.

  يمكنك ترقية SKU دون تعطيل، ولكن لا يمكنك التبديل من خطة التسعير غير المحدودة إلى الخطة المحدودة. إذا قمت بتخفيض SKU، يجب أن يظل استهلاك النطاق الترددي ضمن الحد الافتراضي لوحدة SKU القياسية.

التوافر

لا يدعم ExpressRoute بروتوكولات تكرار جهاز التوجيه مثل بروتوكول التوجيه الاحتياطي الساخن (HSRP) وبروتوكول تكرار جهاز التوجيه الظاهري (VRRP) للحصول على قابلية وصول عالية. يستخدم بدلا من ذلك زوجا متكررا من جلسات عمل BGP لكل تناظر. لتسهيل الاتصالات عالية التوفر بالشبكة الخاصة بك، توفر Azure منفذين متكررين على جهازي توجيه (جزء من Microsoft edge) في تكوين نشط-نشط.

تستخدم جلسات عمل BGP قيمة مهلة الخمول التي تبلغ 60 ثانية بشكل افتراضي. إذا انتهت مهلة جلسة العمل ثلاث مرات (إجمالي 180 ثانية)، يتم وضع علامة على الموجه غير متوفر ويتم إعادة توجيه كل حركة المرور إلى الموجه المتبقي. قد تكون هذه المهلة التي تبلغ 180 ثانية طويلة جدا للتطبيقات الهامة. إذا كنت بحاجة إلى ذلك، يمكنك تغيير إعدادات مهلة BGP على الموجه المحلي إلى مدة أقصر. يدعم ExpressRoute الكشف عن إعادة التوجيه ثنائي الاتجاه (BFD) عبر التناظر الخاص. من خلال تمكين BFD عبر ExpressRoute، يمكنك تسريع اكتشاف فشل الارتباط بين أجهزة Microsoft Enterprise edge (MSEE) وأجهزة التوجيه التي تقوم بإنهاء دائرة ExpressRoute عليها. يمكنك إنهاء ExpressRoute عبر أجهزة توجيه Customer Edge أو أجهزة توجيه Partner Edge (إذا كانت لديك خدمة اتصال الطبقة 3 المدارة).

يمكنك تكوين قابلية وصول عالية لاتصال Azure بطرق مختلفة، اعتمادا على نوع الموفر الذي تستخدمه وعدد دوائر ExpressRoute واتصالات بوابة الشبكة الظاهرية التي ترغب في تكوينها. فيما يلي ملخص لخيارات التوفر:

• إذا كنت تستخدم اتصال الطبقة 2، فوزع أجهزة توجيه زائدة عن الحاجة في الشبكة المحلية في تكوين نشط-نشط. قم بتوصيل الدائرة الأساسية بجهاز توجيه واحد والدائرة الثانوية بالأخرى. يوفر هذا التكوين اتصالا متوفرا للغاية في كلا الطرفين. هذا التكوين ضروري إذا كنت تحتاج إلى اتفاقية مستوى خدمة ExpressRoute (SLA). راجع اتفاقية مستوى الخدمة لـ Azure ExpressRoute للحصول على التفاصيل.

  يوضح الرسم التخطيطي التالي تكوينا لأجهزة توجيه محلية متكررة تتصل بالدوائر الأساسية والثانوية. تعالج كل دائرة نسبة استخدام الشبكة للتناظر الخاص. (يتم تعيين زوج من /30 مسافات عنوان لكل نظير، كما هو موضح في القسم السابق.)

  

• إذا كنت تستخدم اتصال الطبقة 3، فتحقق من أنه يوفر جلسات BGP زائدة عن الحاجة تتعامل مع التوفر لك.

• قم بتوصيل الشبكة الظاهرية بدوائر ExpressRoute متعددة يتم توفيرها من قبل موفري خدمات مختلفين. توفر هذه الاستراتيجية المزيد من التوافر العالي وقدرات التعافي من الكوارث.

• تكوين شبكة ظاهرية موقع إلى موقع كمسار تجاوز الفشل لـ ExpressRoute. لمزيد من المعلومات حول هذا الخيار، راجع توصيل شبكة محلية ب Azure باستخدام ExpressRoute مع تجاوز فشل VPN. ينطبق هذا الخيار فقط على التناظر الخاص. بالنسبة لخدمات Azure وMicrosoft 365، الإنترنت هو مسار تجاوز الفشل الوحيد.

الأمان

ويوفر عامل الأمان ضمانات للحماية من الهجمات المتعمدة واستغلال البيانات والأنظمة القيمة الخاصة بك. لمزيد من المعلومات، راجع نظرة عامة على ركيزة الأمان.

يمكنك تكوين خيارات الأمان لاتصال Azure بطرق مختلفة وفقا لدواعي الأمان واحتياجات التوافق.

يعمل ExpressRoute في الطبقة 3. يمكنك توفير الحماية من التهديدات في طبقة التطبيق باستخدام جهاز أمان شبكة يقيد نسبة استخدام الشبكة إلى الموارد المشروعة.

لتوفير أقصى قدر من الأمان، أضف أجهزة أمان الشبكة بين الشبكة المحلية وأجهزة توجيه حافة الموفر. يساعد هذا على تقييد تدفق حركة المرور غير المصرح بها من الشبكة الظاهرية:

للتدقيق أو التوافق، قد تحتاج إلى حظر الوصول المباشر إلى الإنترنت للمكونات التي تعمل في الشبكة الظاهرية وتنفيذ التوجيه النفقي القسري. في هذه الحالة، يجب إعادة توجيه حركة مرور الإنترنت مرة أخرى من خلال وكيل يعمل محليا، حيث يمكن تدقيقها. يمكنك تكوين الوكيل لمنع حركة المرور غير المصرح بها من التدفق وتصفية نسبة استخدام الشبكة الواردة التي يحتمل أن تكون ضارة.

لتحقيق أقصى قدر من الأمان، لا تقم بتمكين عنوان IP عام للأجهزة الظاهرية الخاصة بك، واستخدم مجموعات أمان الشبكة للمساعدة في ضمان عدم إمكانية الوصول إلى هذه الأجهزة الظاهرية بشكل عام. يجب أن تكون الأجهزة الظاهرية متاحة فقط عبر عنوان IP الداخلي. يمكنك تسهيل الوصول إلى هذه العناوين من خلال شبكة ExpressRoute، والتي تمكن موظفي DevOps المحليين من إجراء التكوين أو الصيانة.

إذا كان يجب عرض نقاط نهاية الإدارة للأجهزة الظاهرية لشبكة خارجية، فاستخدم مجموعات أمان الشبكة أو قوائم التحكم بالوصول لتقييد رؤية هذه المنافذ إلى قائمة السماح لعناوين IP أو الشبكات.

إشعار

يمكن أن تتضمن أجهزة Azure الظاهرية المنشورة من خلال مدخل Microsoft Azure عنوان IP عام يوفر الوصول إلى تسجيل الدخول. ومع ذلك، من أفضل الممارسات حظر هذا الوصول.

للحصول على اعتبارات أمان Azure العامة، راجع خدمات السحابة من Microsoft وأمان الشبكة.

مراقبة الشبكة

استخدم Azure Network Watcher لمراقبة مكونات الشبكة واستكشاف الأخطاء وإصلاحها. تحدد أدوات مثل تحليلات نسبة استخدام الشبكة الأنظمة الموجودة في شبكاتك الظاهرية التي تولد أكبر قدر من نسبة استخدام الشبكة حتى تتمكن من تحديد الاختناقات بصريا قبل أن تصبح مشكلات. يمكن لمراقبة الاتصال مراقبة دوائر ExpressRoute.

يمكنك أيضا استخدام Azure Connectivity Toolkit (AzureCT) لمراقبة الاتصال بين مركز البيانات المحلي وAzure.

لمزيد من المعلومات، راجع مراقبة DevOps.

تحسين التكلفة

يتعلق تحسين التكلفة بخفض النفقات غير الضرورية وتحسين الكفاءة التشغيلية. لمزيد من المعلومات، راجع نظرة عامة على ركيزة تحسين التكلفة.

للتعرف على اعتبارات تكلفة ExpressRoute، راجع هذه المقالات:

• اعتبارات التكلفة في تكوين بنية شبكة مختلطة باستخدام Azure ExpressRoute.

ExpressRoute

يتم في هذا التصميم استخدام دائرة ExpressRoute للانضمام إلى الشبكة المحلية باستخدام Azure من خلال أجهزة توجيه الحافة.

تقدم ExpressRoute خططتين للتسعير. باستخدام خطة بيانات محدودة، تكون جميع عمليات نقل البيانات الواردة مجانية. يتم فرض رسوم على جميع عمليات نقل البيانات الصادرة استنادا إلى معدل محدد مسبقا.

مع خطة البيانات غير المحدودة، تكون جميع عمليات نقل البيانات الواردة والصادرة مجانية. يتم تحصيل رسوم منفذ شهرية ثابتة استنادا إلى المنافذ المزدوجة عالية التوفر.

احسب استخدامك واختر خطة الفوترة وفقا لذلك. نوصي بخطة بيانات غير محدودة إذا تجاوزت حوالي 68٪ من الاستخدام.

لمزيد من المعلومات، راجع تسعير Azure ExpressRoute.

الشبكة الافتراضية في Azure

تتم استضافة جميع مستويات التطبيق في شبكة ظاهرية واحدة ويتم تقسيمها إلى شبكات فرعية.

شبكة Azure الظاهرية مجانية. لكل اشتراك، يمكنك إنشاء ما يصل إلى 50 شبكة ظاهرية عبر جميع المناطق. جميع حركة المرور التي تحدث داخل حدود الشبكة الظاهرية مجانية، لذا فإن الاتصال بين جهازين ظاهريين في شبكة ظاهرية واحدة مجاني.

التميز التشغيلي

يغطي التميز التشغيلي العمليات التي تنشر تطبيقا وتبقيه قيد التشغيل في الإنتاج. لمزيد من المعلومات، راجع نظرة عامة على ركيزة التميز التشغيلي.

للحصول على اعتبارات ExpressRoute DevOps، راجع إرشادات تكوين بنية شبكة مختلطة باستخدام Azure ExpressRoute .

للحصول على اعتبارات DEVOps VPN من موقع إلى موقع، راجع إرشادات تكوين بنية شبكة مختلطة باستخدام Azure وVPN المحلي.

نشر هذا السيناريو

المتطلبات الأساسية. يجب أن يكون لديك بنية أساسية محلية موجودة تم تكوينها بالفعل باستخدام جهاز شبكة مناسب.

لتوزيع الحل، قم بتنفيذ الخطوات التالية.

1. حدد الارتباط التالي:

   

2. انتظر حتى يتم فتح الارتباط في مدخل Microsoft Azure، ثم حدد مجموعة الموارد التي ترغب في توزيع هذه الموارد فيها أو إنشاء مجموعة موارد جديدة. سيتم تغيير المنطقة والموقع تلقائيا لمطابقة مجموعة الموارد.

3. قم بتحديث الحقول المتبقية إذا كنت ترغب في تغيير أسماء الموارد أو الموفرين أو SKU أو عناوين IP للشبكة للبيئة الخاصة بك.

4. حدد Review + create ثم Create لنشر هذه الموارد.

5. انتظر حتى يكتمل التوزيع.

   إشعار

   نشر القالب هذا ينشر الموارد التالية فقط:

   • مجموعة موارد (إذا قمت بإنشاء جديد)
   • دائرة ExpressRoute
   • شبكة Azure الظاهرية
   • بوابة شبكة ظاهرية ExpressRoute

   لإنشاء اتصال نظير خاص من محلي إلى دائرة ExpressRoute، تحتاج إلى توفير مفتاح خدمة الدائرة لموفر الخدمة. يمكنك العثور على مفتاح الخدمة في صفحة النظرة العامة لمورد دائرة ExpressRoute. لمزيد من المعلومات حول تكوين دائرة ExpressRoute، راجع إنشاء تكوين التناظر أو تعديله. بعد تكوين التناظر الخاص، يمكنك ربط بوابة الشبكة الظاهرية ExpressRoute بالدائرة. لمزيد من المعلومات، راجع البرنامج التعليمي: توصيل شبكة ظاهرية إلى دائرة ExpressRoute باستخدام مدخل Microsoft Azure.

6. لإكمال نشر VPN من موقع إلى موقع كنسخة احتياطية إلى ExpressRoute، راجع إنشاء اتصال VPN من موقع إلى موقع.

7. بمجرد تكوين اتصال VPN بنفس الشبكة المحلية التي قمت بتكوينها ExpressRoute بنجاح، ستكون قد أكملت بعد ذلك الإعداد لنسخ اتصال ExpressRoute احتياطيا إذا كان هناك فشل تام في موقع التناظر.

المساهمون

تحتفظ Microsoft بهذه المقالة. وهي مكتوبة في الأصل من قبل المساهمين التاليين.

الكاتب الرئيسي:

• سارة باركس | مهندس حلول سحابي أول

لمشاهدة ملفات تعريف LinkedIn غير العامة، سجل الدخول إلى LinkedIn.

الخطوات التالية

وثائق المنتج:

• وثائق ExpressRoute
• أساس Azure Security لـ ExpressRoute
• كيفية إنشاء دائرة ExpressRoute
• مدونة Azure Networking
• تكوين ExpressRoute والاتصالات المتعايشة من موقع إلى موقع باستخدام PowerShell
• ما هي Azure Virtual Network؟
• خدمات Microsoft 365

وحدات Microsoft Learn:

• تكوين ExpressRoute وVirtual WAN
• تكوين تناظر الشبكة الظاهرية
• تصميم وتنفيذ Azure ExpressRoute
• استكشاف خدمات النظام الأساسي ل Microsoft 365

الموارد ذات الصلة

• التصميم المختلط للعمارة
• خيارات Azure المختلطة
• مخطط شبكة النظام المحوري في Azure
• الشبكات بين المتحدثين
• اتصال شبكة محلية بـ Azure
• تنفيذ شبكة مختلطة آمنة
• دمج مجالات التطبيق المحلية مع Microsoft Azure AD

توضح هذه البنية المرجعية كيفية توصيل شبكة محلية بشبكة Azure الظاهرية باستخدام Azure ExpressRoute، مع شبكة خاصة ظاهرية من موقع إلى موقع (VPN) كاتصال تجاوز الفشل.

بناء الأنظمة

قم بتنزيل ملف Visio لهذه البنية.

‏‏سير العمل‬

يتكون التصميم من المكونات التالية.

• شبكة محلية. شبكة محلية خاصة تعمل داخل منظمة.

• شبكات Azure الظاهرية. توجد كل شبكة ظاهرية في منطقة Azure واحدة ويمكنها استضافة طبقات تطبيق متعددة. يمكنك تقسيم طبقات التطبيق باستخدام الشبكات الفرعية في كل شبكة ظاهرية.

  • الشبكة الفرعية للبوابة. توجد بوابات الشبكة الظاهرية في نفس الشبكة الفرعية.

• جهاز VPN. جهاز أو خدمة توفر اتصالاً خارجياً بالشبكة المحلية. يمكن أن يكون جهاز VPN جهازا، أو يمكن أن يكون حلا برمجيا مثل التوجيه وخدمة الوصول عن بعد (RRAS) في Windows Server 2012. للحصول على قائمة بأجهزة VPN المدعومة ومعلومات بشأن تكوين أجهزة VPN المحددة للاتصال بـ Azure، راجع معلومات عن أجهزة VPN لاتصالات Site-to-Site VPN Gateway.

• دائرة ExpressRoute. دائرة الطبقة 2 أو الطبقة 3 التي يوفرها موفر الاتصال الذي ينضم إلى الشبكة المحلية مع Azure من خلال أجهزة التوجيه الحافة. تستخدم الدائرة البنية الأساسية للأجهزة التي يديرها موفر الاتصال.

  • أجهزة توجيه الحافة المحلية. أجهزة التوجيه التي تربط الشبكة المحلية بالدائرة التي يديرها الموفر. اعتمادا على كيفية توفير الاتصال الخاص بك، قد تحتاج إلى توفير عناوين IP العامة التي تستخدمها أجهزة التوجيه.

  • أجهزة توجيه الحافة من Microsoft. جهازا توجيه في تكوين نشط-نشط ومتاح بشكل كبير. تمكّن أجهزة التوجيه موفر الاتصال من توصيل دوائره مباشرة بمركز البيانات لديه. اعتمادا على كيفية توفير الاتصال الخاص بك، قد تحتاج إلى توفير عناوين IP العامة التي تستخدمها أجهزة التوجيه.

• بوابة الشبكة الظاهرية ExpressRoute. تمكن بوابة الشبكة الظاهرية ExpressRoute شبكة Azure الظاهرية من الاتصال بدوائرة ExpressRoute المستخدمة للاتصال بشبكتك المحلية.

• بوابة شبكة ظاهرية VPN. تمكن بوابة الشبكة الظاهرية VPN شبكة Azure الظاهرية من الاتصال بجهاز VPN في الشبكة المحلية. تم تكوين بوابة شبكة VPN الظاهرية لقبول الطلبات من الشبكة المحلية فقط من خلال جهاز VPN. لمزيد من المعلومات، راجع توصيل شبكة محلية بشبكة Microsoft Azure الظاهرية.

• اتصال VPN. يحتوي الاتصال على خصائص تحدد نوع الاتصال (IPSec) والمفتاح المشترك مع جهاز VPN المحلي لتشفير نسبة استخدام الشبكة.

• خدمات Azure العامة. خدمات Azure التي يمكن استخدامها في تطبيق مختلط. تتوفر هذه الخدمات أيضا عبر الإنترنت، ولكن الوصول إليها باستخدام دائرة ExpressRoute يوفر زمن انتقال منخفضا وأداء أكثر قابلية للتنبؤ، لأن نسبة استخدام الشبكة لا تمر عبر الإنترنت.

• خدمات Microsoft 365. تطبيقات وخدمات Microsoft 365 المتوفرة للجمهور والتي توفرها Microsoft. تستخدم الاتصالات نظير Microsoft والعناوين المملوكة لمؤسستك أو التي يوفرها موفر الاتصال. يمكنك أيضا الاتصال مباشرة ب Microsoft CRM Online باستخدام تناظر Microsoft.

• موفرو الاتصال (غير معروضين). الشركات التي توفر اتصالا باستخدام اتصال الطبقة 2 أو الطبقة 3 بين مركز البيانات ومركز بيانات Azure.

المكونات

• Azure ExpressRoute. يمكنك استخدام ExpressRoute لتوسيع شبكاتك المحلية إلى سحابة Microsoft عبر اتصال خاص، بمساعدة موفر اتصال. باستخدام ExpressRoute، يمكنك إنشاء اتصالات بخدمات Microsoft السحابية، مثل Azure وMicrosoft 365.

• شبكة Azure الظاهرية. تعد شبكة Azure الظاهرية اللبنة الأساسية لشبكتك الخاصة على Azure. تمكن الشبكة الظاهرية العديد من أنواع موارد Azure، مثل أجهزة Azure الظاهرية، من الاتصال ببعضها البعض والإنترنت والشبكات المحلية مع أمان محسن.

• Azure VPN Gateway. بوابة VPN عبارة عن بوابة شبكة ظاهرية تمكنك من توصيل شبكتك المحلية بشبكة Azure ظاهرية باستخدام اتصال شبكة ظاهرية خاصة (VPN) من موقع إلى موقع.

تفاصيل السيناريو

توضح هذه البنية المرجعية كيفية توصيل شبكة محلية بشبكة Azure الظاهرية باستخدام ExpressRoute، مع شبكة خاصة ظاهرية من موقع إلى موقع (VPN) كاتصال تجاوز الفشل. تتدفق نسبة استخدام الشبكة بين الشبكة المحلية وشبكة Azure الظاهرية من خلال اتصال ExpressRoute. إذا كان هناك فقدان في الاتصال في دائرة ExpressRoute، يتم توجيه نسبة استخدام الشبكة من خلال نفق IPSec VPN. توزيع هذا الحل.

إذا كانت دائرة ExpressRoute غير متوفرة، فإن مسار VPN يعالج اتصالات التناظر الخاصة فقط. تمر اتصالات النظير العام واتصالات نظير Microsoft عبر الإنترنت.

التوصيات

تنطبق التوصيات التالية على معظم السيناريوهات. اتبع هذه التوصيات ما لم يكن لديك متطلب محدد يلغيها.

موفرو الاتصال

حدد موفر اتصال ExpressRoute المناسب لموقعك. للحصول على قائمة بموفري الاتصال المتوفرين في موقعك، استخدم أمر PowerShell التالي:

Get-AzExpressRouteServiceProvider

يقوم موفرو اتصال ExpressRoute بتوصيل مركز البيانات بـ Microsoft بالطرق التالية:

• موقع مشترك للتبادل عبر السحابة. إذا كنت في موقع مشترك في منشأة لديها تبادل سحابي، يمكنك طلب اتصالات ظاهرية عبر Azure من خلال تبادل Ethernet لموفر الموقع المشترك. يمكن لموفري المواقع المشتركة تقديم اتصالات متقاطعة من الطبقة 2 أو اتصالات متقاطعة للطبقة 3 مدارة بين بنيتك الأساسية في مرفق الموقع المشترك وAzure.

• اتصالات Ethernet نقطة إلى نقطة. يمكنك توصيل مراكز البيانات/المكاتب المحلية ب Azure باستخدام ارتباطات Ethernet من نقطة إلى نقطة. يمكن لموفري Ethernet من نقطة إلى نقطة توفير اتصالات الطبقة 2 أو اتصالات الطبقة 3 المدارة بين موقعك وAzure.

• شبكات Any-to-any (IPVPN). يمكنك دمج شبكة اتصال واسعة النطاق (WAN) مع Azure. يوفر موفرو الشبكة الخاصة الظاهرية لبروتوكول الإنترنت (IPVPN) اتصالا من أي إلى أي اتصال بين المكاتب الفرعية ومراكز البيانات. (IPVPN هو عادة VPN تبديل تسمية متعددة البروتوكولات.) يمكن ربط Azure بشبكة WAN لجعلها تبدو مثل أي مكتب فرعي آخر. يقدم موفرو WAN عادة اتصالاً مُداراً من الطبقة 3.

لمزيد من المعلومات حول موفري الاتصال، راجع مقدمة عن ExpressRoute.

دائرة ExpressRoute

يمكنك استخدام الخطوات التالية لإنشاء دائرة ExpressRoute.

1. تشغيل أمر PowerShell التالي:

   New-AzExpressRouteCircuit -Name <circuit-name> -ResourceGroupName <resource-group> -Location <location> -SkuTier <SKU-tier> -SkuFamily <SKU-family> -ServiceProviderName <service-provider-name> -PeeringLocation <peering-location> -BandwidthInMbps <bandwidth-in-Mbps>
   

2. أرسل ServiceKey للدائرة الجديدة إلى موفر الخدمة.

3. انتظر حتى يقوم الموفر بتوفير الدائرة. للتحقق من حالة توفير دائرة، يوصى بتشغيل أمر PowerShell التالي:

   Get-AzExpressRouteCircuit -Name <circuit-name> -ResourceGroupName <resource-group>
   

   Provisioning state يتغير الحقل في Service Provider قسم الإخراج من NotProvisioned إلى Provisioned عندما تكون الدائرة جاهزة.

   إشعار

   إذا كنت تستخدم اتصال الطبقة 3، يجب على الموفر تكوين التوجيه وإدارته نيابة عنك. يمكنك توفير المعلومات اللازمة لتمكين الموفر من تنفيذ المسارات المناسبة.

4. إذا كنت تستخدم اتصال الطبقة 2:

   1. احجز شبكتين فرعيتين /30 تتكونان من عناوين IP عامة صالحة لكل نوع من التناظرات التي تريد تنفيذها. يتم استخدام هذه الشبكات الفرعية /30 لتوفير عناوين IP للموجهات المستخدمة للدائرة. إذا كنت تقوم بتنفيذ تناظر خاص وMicrosoft، فأنت بحاجة إلى أربع شبكات فرعية /30 مع عناوين IP عامة صالحة.

   2. تكوين التوجيه لدائرة ExpressRoute. قم بتشغيل أوامر PowerShell التالية لكل من التناظر الخاص وMicrosoft. لمزيد من المعلومات، راجع إنشاء التوجيه وتعديله لدائرة ExpressRoute.

      Set-AzExpressRouteCircuitPeeringConfig -Name <peering-name> -ExpressRouteCircuit <circuit-name> -PeeringType <peering-type> -PeerASN <peer-ASN> -PrimaryPeerAddressPrefix <primary-peer-address-prefix> -SecondaryPeerAddressPrefix <secondary-peer-address-prefix> -VlanId <vlan-ID>
      
      Set-AzExpressRouteCircuit -ExpressRouteCircuit <circuit-name>
      

   3. احجز مجموعة أخرى من عناوين IP العامة الصالحة لاستخدامها في ترجمة عناوين الشبكة (NAT) لتناظر Microsoft. نوصي بأن يكون لديك تجمع مختلف لكل نظير. حدد التجمع لموفر الاتصال الخاص بك حتى يتمكنوا من تكوين إعلانات بروتوكول بوابة الحدود (BGP) لتلك النطاقات.

بوابات VPN وExpressRoute

إذا كان لديك بالفعل بوابة شبكة ظاهرية VPN موجودة في شبكة Azure الظاهرية، يمكنك إنشاء بوابة شبكة ظاهرية ExpressRoute دون الحاجة إلى حذف بوابة الشبكة الظاهرية الموجودة.

اتبع الإرشادات الواردة في تكوين بنية شبكة مختلطة باستخدام Azure ExpressRoute لإنشاء اتصال ExpressRoute.

اتبع الإرشادات الواردة في تكوين بنية شبكة مختلطة باستخدام Azure وVPN المحلي لإنشاء اتصال بوابة الشبكة الظاهرية الخاصة بك.

بعد إنشاء اتصالات بوابة الشبكة الظاهرية، اختبر البيئة باتباع الخطوات التالية:

1. تأكد من أنه يمكنك الاتصال من شبكتك المحلية بشبكة Azure الظاهرية.
2. اتصل بمزودك لإيقاف اتصال ExpressRoute للاختبار.
3. تحقق من أنه لا يزال بإمكانك الاتصال من شبكتك المحلية بشبكة Azure الظاهرية باستخدام اتصال بوابة الشبكة الظاهرية VPN.
4. اتصل بمزودك لإعادة إنشاء اتصال ExpressRoute.

استكشاف الأخطاء وإصلاحها

إذا فشلت دائرة ExpressRoute تعمل مسبقا في الاتصال ولم تكن هناك تغييرات في التكوين محليا أو داخل شبكتك الظاهرية الخاصة، فقد تحتاج إلى الاتصال بموفر الاتصال والعمل معه لتصحيح المشكلة. استخدم أوامر PowerShell التالية للتحقق من توفير دائرة ExpressRoute بشكل صحيح:

Get-AzExpressRouteCircuit -Name <circuit-name> -ResourceGroupName <resource-group>

يظهر إخراج هذا الأمر العديد من الخصائص للدائرة الخاصة بك، بما في ذلك ProvisioningStateو CircuitProvisioningStateو ServiceProviderProvisioningStateكما هو موضح هنا:

ProvisioningState                : Succeeded
Sku                              : {
                                     "Name": "Standard_MeteredData",
                                     "Tier": "Standard",
                                     "Family": "MeteredData"
                                   }
CircuitProvisioningState         : Enabled
ServiceProviderProvisioningState : NotProvisioned

إذا ProvisioningState لم يتم تعيين إلى Succeeded بعد محاولة إنشاء دائرة جديدة، فقم بإزالة الدائرة باستخدام الأمر التالي وحاول إنشائها مرة أخرى.

Remove-AzExpressRouteCircuit -Name <circuit-name> -ResourceGroupName <resource-group>

إذا كان الموفر الخاص بك قد قام بالفعل بتوفير الدائرة، وتم ProvisioningState تعيينه إلى Failed أو CircuitProvisioningState لم يكن Enabledكذلك، فاتصل بموفر الخدمة للحصول على المساعدة.

الاعتبارات

تنفذ هذه الاعتبارات ركائز Azure Well-Architected Framework، وهو عبارة عن مجموعة من المبادئ التوجيهية التي يمكن استخدامها لتحسين جودة حمل العمل. لمزيد من المعلومات، يرجى مراجعةMicrosoft Azure Well-Architected Framework.

قابلية التوسع

توفر دوائر ExpressRoute مسارا عالي النطاق الترددي بين الشبكات. بشكل عام، كلما ارتفع النطاق الترددي، ارتفعت التكلفة.

تقدم ExpressRoute خطتين للتسعير: خطة محدودة وخطة بيانات غير محدودة. تختلف التكاليف وفقا للنطاق الترددي للدائرة. من المحتمل أن يختلف النطاق الترددي المتوفر من موفر إلى آخر. استخدم cmdlet Get-AzExpressRouteServiceProvider لمعرفة الموفرين المتوفرين في منطقتك والنطاقات الترددية التي يقدمونها.

يمكن أن تدعم دائرة ExpressRoute واحدة عددا معينا من الأقران وارتباطات الشبكة الظاهرية. راجع حدود ExpressRoute للحصول على مزيد من المعلومات.

توفر الوظيفة الإضافية ExpressRoute Premium ما يلي:

• حدود مسار متزايدة للتناظر الخاص.
• زيادة عدد ارتباطات الشبكة الظاهرية لكل دائرة ExpressRoute.
• الاتصال العالمي للخدمات.

راجع أسعار ExpressRoute للحصول على التفاصيل.

على الرغم من أن بعض الموفرين يسمحون لك بتغيير النطاق الترددي الخاص بك، تأكد من اختيار عرض النطاق الترددي الأولي الذي يتجاوز احتياجاتك ويوفر مجالا للنمو. إذا كنت بحاجة إلى زيادة النطاق الترددي في المستقبل، فلديك خياران:

• زيادة النطاق الترددي. تجنب هذا الخيار قدر الإمكان. لا يسمح لك جميع الموفرين بزيادة النطاق الترددي ديناميكيا. ولكن إذا كنت بحاجة إلى زيادة عرض النطاق الترددي، فتحقق مع الموفر للتأكد من أنه يدعم تغيير خصائص عرض النطاق الترددي ExpressRoute باستخدام أوامر PowerShell. إذا فعلوا ذلك، فقم بتشغيل الأوامر التالية:

  $ckt = Get-AzExpressRouteCircuit -Name <circuit-name> -ResourceGroupName <resource-group>
  $ckt.ServiceProviderProperties.BandwidthInMbps = <bandwidth-in-Mbps>
  Set-AzExpressRouteCircuit -ExpressRouteCircuit $ckt
  

  يمكنك زيادة النطاق الترددي دون فقد الاتصال. يؤدي تخفيض النطاق الترددي إلى تعطيل الاتصال لأنك تحتاج إلى حذف الدائرة وإعادة إنشائها باستخدام التكوين الجديد.

• يوصى بتغيير خطة التسعير و/أو الترقية إلى Premium. لتنفيذ ذلك، قم بتشغيل أوامر التالية. يمكن أن تكون Standard الخاصية Sku.Tier أو Premium. يمكن أن تكون MeteredData الخاصية Sku.Name أو UnlimitedData.

  $ckt = Get-AzExpressRouteCircuit -Name <circuit-name> -ResourceGroupName <resource-group>
  
  $ckt.Sku.Tier = "Premium"
  $ckt.Sku.Family = "MeteredData"
  $ckt.Sku.Name = "Premium_MeteredData"
  
  Set-AzExpressRouteCircuit -ExpressRouteCircuit $ckt
  

  هام

  تأكد من أن الخاصية Sku.Name Sku.Tier تطابق و Sku.Family. إذا قمت بتغيير العائلة والطبقة ولكن ليس الاسم، تعطيل اتصالك.

  يمكنك ترقية SKU دون تعطيل، ولكن لا يمكنك التبديل من خطة التسعير غير المحدودة إلى الخطة المحدودة. إذا قمت بتخفيض SKU، يجب أن يظل استهلاك النطاق الترددي ضمن الحد الافتراضي لوحدة SKU القياسية.

التوافر

لا يدعم ExpressRoute بروتوكولات تكرار جهاز التوجيه مثل بروتوكول التوجيه الاحتياطي الساخن (HSRP) وبروتوكول تكرار جهاز التوجيه الظاهري (VRRP) للحصول على قابلية وصول عالية. يستخدم بدلا من ذلك زوجا متكررا من جلسات عمل BGP لكل تناظر. لتسهيل الاتصالات عالية التوفر بالشبكة الخاصة بك، توفر Azure منفذين متكررين على جهازي توجيه (جزء من Microsoft edge) في تكوين نشط-نشط.

تستخدم جلسات عمل BGP قيمة مهلة الخمول التي تبلغ 60 ثانية بشكل افتراضي. إذا انتهت مهلة جلسة العمل ثلاث مرات (إجمالي 180 ثانية)، يتم وضع علامة على الموجه غير متوفر ويتم إعادة توجيه كل حركة المرور إلى الموجه المتبقي. قد تكون هذه المهلة التي تبلغ 180 ثانية طويلة جدا للتطبيقات الهامة. إذا كنت بحاجة إلى ذلك، يمكنك تغيير إعدادات مهلة BGP على الموجه المحلي إلى مدة أقصر. يدعم ExpressRoute الكشف عن إعادة التوجيه ثنائي الاتجاه (BFD) عبر التناظر الخاص. من خلال تمكين BFD عبر ExpressRoute، يمكنك تسريع اكتشاف فشل الارتباط بين أجهزة Microsoft Enterprise edge (MSEE) وأجهزة التوجيه التي تقوم بإنهاء دائرة ExpressRoute عليها. يمكنك إنهاء ExpressRoute عبر أجهزة توجيه Customer Edge أو أجهزة توجيه Partner Edge (إذا كانت لديك خدمة اتصال الطبقة 3 المدارة).

يمكنك تكوين قابلية وصول عالية لاتصال Azure بطرق مختلفة، اعتمادا على نوع الموفر الذي تستخدمه وعدد دوائر ExpressRoute واتصالات بوابة الشبكة الظاهرية التي ترغب في تكوينها. فيما يلي ملخص لخيارات التوفر:

• إذا كنت تستخدم اتصال الطبقة 2، فوزع أجهزة توجيه زائدة عن الحاجة في الشبكة المحلية في تكوين نشط-نشط. قم بتوصيل الدائرة الأساسية بجهاز توجيه واحد والدائرة الثانوية بالأخرى. يوفر هذا التكوين اتصالا متوفرا للغاية في كلا الطرفين. هذا التكوين ضروري إذا كنت تحتاج إلى اتفاقية مستوى خدمة ExpressRoute (SLA). راجع اتفاقية مستوى الخدمة لـ Azure ExpressRoute للحصول على التفاصيل.

  يوضح الرسم التخطيطي التالي تكوينا لأجهزة توجيه محلية متكررة تتصل بالدوائر الأساسية والثانوية. تعالج كل دائرة نسبة استخدام الشبكة للتناظر الخاص. (يتم تعيين زوج من /30 مسافات عنوان لكل نظير، كما هو موضح في القسم السابق.)

  

• إذا كنت تستخدم اتصال الطبقة 3، فتحقق من أنه يوفر جلسات BGP زائدة عن الحاجة تتعامل مع التوفر لك.

• قم بتوصيل الشبكة الظاهرية بدوائر ExpressRoute متعددة يتم توفيرها من قبل موفري خدمات مختلفين. توفر هذه الاستراتيجية المزيد من التوافر العالي وقدرات التعافي من الكوارث.

• تكوين شبكة ظاهرية موقع إلى موقع كمسار تجاوز الفشل لـ ExpressRoute. لمزيد من المعلومات حول هذا الخيار، راجع توصيل شبكة محلية ب Azure باستخدام ExpressRoute مع تجاوز فشل VPN. ينطبق هذا الخيار فقط على التناظر الخاص. بالنسبة لخدمات Azure وMicrosoft 365، الإنترنت هو مسار تجاوز الفشل الوحيد.

الأمان

ويوفر عامل الأمان ضمانات للحماية من الهجمات المتعمدة واستغلال البيانات والأنظمة القيمة الخاصة بك. لمزيد من المعلومات، راجع نظرة عامة على ركيزة الأمان.

يمكنك تكوين خيارات الأمان لاتصال Azure بطرق مختلفة وفقا لدواعي الأمان واحتياجات التوافق.

يعمل ExpressRoute في الطبقة 3. يمكنك توفير الحماية من التهديدات في طبقة التطبيق باستخدام جهاز أمان شبكة يقيد نسبة استخدام الشبكة إلى الموارد المشروعة.

لتوفير أقصى قدر من الأمان، أضف أجهزة أمان الشبكة بين الشبكة المحلية وأجهزة توجيه حافة الموفر. يساعد هذا على تقييد تدفق حركة المرور غير المصرح بها من الشبكة الظاهرية:

للتدقيق أو التوافق، قد تحتاج إلى حظر الوصول المباشر إلى الإنترنت للمكونات التي تعمل في الشبكة الظاهرية وتنفيذ التوجيه النفقي القسري. في هذه الحالة، يجب إعادة توجيه حركة مرور الإنترنت مرة أخرى من خلال وكيل يعمل محليا، حيث يمكن تدقيقها. يمكنك تكوين الوكيل لمنع حركة المرور غير المصرح بها من التدفق وتصفية نسبة استخدام الشبكة الواردة التي يحتمل أن تكون ضارة.

لتحقيق أقصى قدر من الأمان، لا تقم بتمكين عنوان IP عام للأجهزة الظاهرية الخاصة بك، واستخدم مجموعات أمان الشبكة للمساعدة في ضمان عدم إمكانية الوصول إلى هذه الأجهزة الظاهرية بشكل عام. يجب أن تكون الأجهزة الظاهرية متاحة فقط عبر عنوان IP الداخلي. يمكنك تسهيل الوصول إلى هذه العناوين من خلال شبكة ExpressRoute، والتي تمكن موظفي DevOps المحليين من إجراء التكوين أو الصيانة.

إذا كان يجب عرض نقاط نهاية الإدارة للأجهزة الظاهرية لشبكة خارجية، فاستخدم مجموعات أمان الشبكة أو قوائم التحكم بالوصول لتقييد رؤية هذه المنافذ إلى قائمة السماح لعناوين IP أو الشبكات.

إشعار

يمكن أن تتضمن أجهزة Azure الظاهرية المنشورة من خلال مدخل Microsoft Azure عنوان IP عام يوفر الوصول إلى تسجيل الدخول. ومع ذلك، من أفضل الممارسات حظر هذا الوصول.

للحصول على اعتبارات أمان Azure العامة، راجع خدمات السحابة من Microsoft وأمان الشبكة.

مراقبة الشبكة

استخدم Azure Network Watcher لمراقبة مكونات الشبكة واستكشاف الأخطاء وإصلاحها. تحدد أدوات مثل تحليلات نسبة استخدام الشبكة الأنظمة الموجودة في شبكاتك الظاهرية التي تولد أكبر قدر من نسبة استخدام الشبكة حتى تتمكن من تحديد الاختناقات بصريا قبل أن تصبح مشكلات. يمكن لمراقبة الاتصال مراقبة دوائر ExpressRoute.

يمكنك أيضا استخدام Azure Connectivity Toolkit (AzureCT) لمراقبة الاتصال بين مركز البيانات المحلي وAzure.

لمزيد من المعلومات، راجع مراقبة DevOps.

تحسين التكلفة

يتعلق تحسين التكلفة بخفض النفقات غير الضرورية وتحسين الكفاءة التشغيلية. لمزيد من المعلومات، راجع نظرة عامة على ركيزة تحسين التكلفة.

للتعرف على اعتبارات تكلفة ExpressRoute، راجع هذه المقالات:

• اعتبارات التكلفة في تكوين بنية شبكة مختلطة باستخدام Azure ExpressRoute.

ExpressRoute

يتم في هذا التصميم استخدام دائرة ExpressRoute للانضمام إلى الشبكة المحلية باستخدام Azure من خلال أجهزة توجيه الحافة.

تقدم ExpressRoute خططتين للتسعير. باستخدام خطة بيانات محدودة، تكون جميع عمليات نقل البيانات الواردة مجانية. يتم فرض رسوم على جميع عمليات نقل البيانات الصادرة استنادا إلى معدل محدد مسبقا.

مع خطة البيانات غير المحدودة، تكون جميع عمليات نقل البيانات الواردة والصادرة مجانية. يتم تحصيل رسوم منفذ شهرية ثابتة استنادا إلى المنافذ المزدوجة عالية التوفر.

احسب استخدامك واختر خطة الفوترة وفقا لذلك. نوصي بخطة بيانات غير محدودة إذا تجاوزت حوالي 68٪ من الاستخدام.

لمزيد من المعلومات، راجع تسعير Azure ExpressRoute.

الشبكة الافتراضية في Azure

تتم استضافة جميع مستويات التطبيق في شبكة ظاهرية واحدة ويتم تقسيمها إلى شبكات فرعية.

شبكة Azure الظاهرية مجانية. لكل اشتراك، يمكنك إنشاء ما يصل إلى 50 شبكة ظاهرية عبر جميع المناطق. جميع حركة المرور التي تحدث داخل حدود الشبكة الظاهرية مجانية، لذا فإن الاتصال بين جهازين ظاهريين في شبكة ظاهرية واحدة مجاني.

التميز التشغيلي

يغطي التميز التشغيلي العمليات التي تنشر تطبيقا وتبقيه قيد التشغيل في الإنتاج. لمزيد من المعلومات، راجع نظرة عامة على ركيزة التميز التشغيلي.

للحصول على اعتبارات ExpressRoute DevOps، راجع إرشادات تكوين بنية شبكة مختلطة باستخدام Azure ExpressRoute .

للحصول على اعتبارات DEVOps VPN من موقع إلى موقع، راجع إرشادات تكوين بنية شبكة مختلطة باستخدام Azure وVPN المحلي.

نشر هذا السيناريو

المتطلبات الأساسية. يجب أن يكون لديك بنية أساسية محلية موجودة تم تكوينها بالفعل باستخدام جهاز شبكة مناسب.

لتوزيع الحل، قم بتنفيذ الخطوات التالية.

1. حدد الارتباط التالي:

   

2. انتظر حتى يتم فتح الارتباط في مدخل Microsoft Azure، ثم حدد مجموعة الموارد التي ترغب في توزيع هذه الموارد فيها أو إنشاء مجموعة موارد جديدة. سيتم تغيير المنطقة والموقع تلقائيا لمطابقة مجموعة الموارد.

3. قم بتحديث الحقول المتبقية إذا كنت ترغب في تغيير أسماء الموارد أو الموفرين أو SKU أو عناوين IP للشبكة للبيئة الخاصة بك.

4. حدد Review + create ثم Create لنشر هذه الموارد.

5. انتظر حتى يكتمل التوزيع.

   إشعار

   نشر القالب هذا ينشر الموارد التالية فقط:

   • مجموعة موارد (إذا قمت بإنشاء جديد)
   • دائرة ExpressRoute
   • شبكة Azure الظاهرية
   • بوابة شبكة ظاهرية ExpressRoute

   لإنشاء اتصال نظير خاص من محلي إلى دائرة ExpressRoute، تحتاج إلى توفير مفتاح خدمة الدائرة لموفر الخدمة. يمكنك العثور على مفتاح الخدمة في صفحة النظرة العامة لمورد دائرة ExpressRoute. لمزيد من المعلومات حول تكوين دائرة ExpressRoute، راجع إنشاء تكوين التناظر أو تعديله. بعد تكوين التناظر الخاص، يمكنك ربط بوابة الشبكة الظاهرية ExpressRoute بالدائرة. لمزيد من المعلومات، راجع البرنامج التعليمي: توصيل شبكة ظاهرية إلى دائرة ExpressRoute باستخدام مدخل Microsoft Azure.

6. لإكمال نشر VPN من موقع إلى موقع كنسخة احتياطية إلى ExpressRoute، راجع إنشاء اتصال VPN من موقع إلى موقع.

7. بمجرد تكوين اتصال VPN بنفس الشبكة المحلية التي قمت بتكوينها ExpressRoute بنجاح، ستكون قد أكملت بعد ذلك الإعداد لنسخ اتصال ExpressRoute احتياطيا إذا كان هناك فشل تام في موقع التناظر.

المساهمون

تحتفظ Microsoft بهذه المقالة. وهي مكتوبة في الأصل من قبل المساهمين التاليين.

الكاتب الرئيسي:

• سارة باركس | مهندس حلول سحابي أول

لمشاهدة ملفات تعريف LinkedIn غير العامة، سجل الدخول إلى LinkedIn.

الخطوات التالية

وثائق المنتج:

• وثائق ExpressRoute
• أساس Azure Security لـ ExpressRoute
• كيفية إنشاء دائرة ExpressRoute
• مدونة Azure Networking
• تكوين ExpressRoute والاتصالات المتعايشة من موقع إلى موقع باستخدام PowerShell
• ما هي Azure Virtual Network؟
• خدمات Microsoft 365

وحدات Microsoft Learn:

• تكوين ExpressRoute وVirtual WAN
• تكوين تناظر الشبكة الظاهرية
• تصميم وتنفيذ Azure ExpressRoute
• استكشاف خدمات النظام الأساسي ل Microsoft 365

الموارد ذات الصلة

• التصميم المختلط للعمارة
• خيارات Azure المختلطة
• مخطط شبكة النظام المحوري في Azure
• الشبكات بين المتحدثين
• اتصال شبكة محلية بـ Azure
• تنفيذ شبكة مختلطة آمنة
• دمج مجالات التطبيق المحلية مع Microsoft Azure AD