مركز البيانات الظاهري: منظور شبكة

قد تستفيد التطبيقات التي تم ترحيلها من أماكن العمل من البنية الأساسية الآمنة الفعالة من حيث التكلفة في Azure، حتى مع الحد الأدنى من تغييرات التطبيق. قد ترغب المؤسسات في تكييف بنياتها لتحسين السرعة والاستفادة من قدرات Azure.

يقدم Microsoft Azure خدمات وبنية أساسية فائقة المقياس مع قدرات وموثوقية على مستوى المؤسسة. توفر هذه الخدمات والبنية الأساسية العديد من الخيارات في الاتصال المختلط، ما يسمح للعملاء بالوصول إليها عبر الإنترنت أو اتصال شبكة خاصة. يمكن لشركاء Microsoft أيضا توفير قدرات محسنة من خلال تقديم خدمات الأمان والأجهزة الظاهرية التي تم تحسينها للتشغيل في Azure.

يمكن للعملاء استخدام Azure لتوسيع بنيتهم الأساسية بسلاسة إلى السحابة وبناء بنيات متعددة المستويات.

ما هو مركز البيانات الظاهري؟

بدأت السحابة كمنصة لاستضافة التطبيقات العامة. أدركت الشركات قيمة السحابة وبدأت في ترحيل تطبيقات خط الأعمال الداخلية. جلبت هذه التطبيقات المزيد من اعتبارات الأمان والموثوقية والأداء والتكلفة التي تتطلب المزيد من المرونة عند تقديم الخدمات السحابية. وتم تصميم البنية التحتية الجديدة وخدمات الشبكات لتوفير المرونة. توفر الميزات الجديدة نطاقا مرنا، والإصلاح بعد كارثة، واعتبارات أخرى.

تم تصميم الحلول السحابية في البداية لاستضافة تطبيقات فردية ومعزولة نسبيا في الطيف العام، والتي عملت بشكل جيد لبضع سنوات. مع وضوح فوائد الحلول السحابية، تمت استضافة أحمال عمل واسعة النطاق متعددة على السحابة. تعد معالجة مخاوف الأمان والموثوقية والأداء والتكلفة أمرا حيويا لنشر دورة حياة الخدمة السحابية.

في مثال الرسم التخطيطي لتوزيع السحابة أدناه، يبرز المربع الأحمر فجوة أمان. يعرض المربع الأصفر فرصة لتحسين الأجهزة الظاهرية للشبكة عبر أحمال العمل.

رسم تخطيطي يوضح نشر السحابة ومركز البيانات الظاهري للشبكات.

تساعد مراكز البيانات الظاهرية في تحقيق المقياس المطلوب لأحمال عمل المؤسسة. يجب أن يعالج المقياس التحديات التي تم تقديمها عند تشغيل تطبيقات واسعة النطاق في السحابة العامة.

يتضمن تنفيذ مركز البيانات الظاهري أكثر من أحمال عمل التطبيق في السحابة. كما يوفر خدمات الشبكة والأمان والإدارة وDNS وActive Directory. بينما تقوم المؤسسات بترحيل المزيد من أحمال العمل إلى Azure، ضع في اعتبارك البنية الأساسية والعناصر التي تدعم أحمال العمل هذه. تساعد الإدارة الجيدة للموارد على تجنب زيادة "جزر حمل العمل" المدارة بشكل منفصل مع تدفقات البيانات المستقلة ونماذج الأمان وتحديات التوافق.

يوفر مفهوم مركز البيانات الظاهري توصيات وتصميمات عالية المستوى لتنفيذ مجموعة من الكيانات المنفصلة ولكن ذات الصلة. غالبا ما تحتوي هذه الكيانات على وظائف وميزات وبنية أساسية داعمة شائعة. يساعد عرض أحمال العمل الخاصة بك كمركز بيانات ظاهري على تحقيق انخفاض التكلفة من وفورات الحجم. كما أنه يساعد في تحسين الأمان عبر مركزية المكونات وتدفق البيانات، وأسهل العمليات والإدارة وتدقيقات التوافق.

ملاحظة

مركز البيانات الظاهري ليس خدمة Azure محددة. بدلا من ذلك، يتم دمج ميزات وقدرات Azure المختلفة لتلبية متطلباتك. مركز البيانات الظاهري هو طريقة للتفكير في أحمال العمل واستخدام Azure لتحسين مواردك وقدراتك في السحابة. يوفر نهجا نمطيا لتوفير خدمات تكنولوجيا المعلومات في Azure، مع احترام الأدوار والمسؤوليات التنظيمية للمؤسسة.

يساعد مركز البيانات الظاهري المؤسسات على نشر أحمال العمل والتطبيقات في Azure للسيناريوهات التالية:

  • استضافة أحمال عمل متعددة ذات صلة.
  • ترحيل أحمال العمل من بيئة محلية إلى Azure.
  • تنفيذ متطلبات الأمان والوصول المشتركة أو المركزية عبر أحمال العمل.
  • اخلط DevOps و تكنولوجيا المعلومات المركزية بشكل مناسب لمؤسسة كبيرة.

من الذي يجب أن ينفذ مركز بيانات ظاهريا؟

يمكن لأي عميل يقرر اعتماد Azure الاستفادة من كفاءة تكوين مجموعة من الموارد للاستخدام الشائع من قبل جميع التطبيقات. اعتمادا على الحجم، يمكن حتى للتطبيقات الفردية الاستفادة من استخدام الأنماط والمكونات المستخدمة لإنشاء تنفيذ VDC.

لدى بعض المؤسسات فرق أو أقسام مركزية ل تكنولوجيا المعلومات أو الشبكات أو الأمان أو التوافق. يمكن أن يساعد تنفيذ VDC في فرض نقاط النهج، وفصل المسؤوليات، وضمان اتساق المكونات المشتركة الأساسية. يمكن لفرق التطبيق الاحتفاظ بالحرية والتحكم المناسبين لمتطلباتهم.

يمكن للمؤسسات التي تتبع نهج DevOps أيضا استخدام مفاهيم VDC لتوفير جيوب معتمدة من موارد Azure. يضمن هذا الأسلوب أن مجموعات DevOps لديها تحكم كامل داخل هذا التجميع، إما على مستوى الاشتراك أو ضمن مجموعات الموارد في اشتراك مشترك. في الوقت نفسه، تظل حدود الشبكة والأمان متوافقة. يتم تعريف التوافق من خلال نهج مركزي في شبكة المركز ومجموعة الموارد المدارة مركزيا.

اعتبارات تنفيذ مركز بيانات ظاهري

عند تصميم مركز بيانات ظاهري، ضع في اعتبارك هذه المشكلات المحورية:

خدمة الهوية والدليل

خدمات الهوية والدليل هي قدرات رئيسية لكل من مراكز البيانات المحلية والسحابات. تغطي الهوية جميع جوانب الوصول والتخويل إلى الخدمات ضمن تنفيذ VDC. للتأكد من أن المستخدمين والعمليات المعتمدين فقط يصلون إلى موارد Azure الخاصة بك، يستخدم Azure عدة أنواع من بيانات الاعتماد للمصادقة، بما في ذلك كلمات مرور الحساب ومفاتيح التشفير والتوقيعات الرقمية والشهادات. توفر مصادقة Azure Active Directory متعددة العوامل طبقة إضافية من الأمان للوصول إلى خدمات Azure. تسمح المصادقة القوية مع مجموعة من خيارات التحقق السهلة (مكالمة هاتفية أو رسالة نصية أو إعلام تطبيق الأجهزة المحمولة) للعملاء باختيار الطريقة التي يفضلونها.

تحتاج المؤسسات الكبيرة إلى تحديد عمليات إدارة الهوية التي تصف إدارة الهويات الفردية ومصادقتها وتخويلها وأدوارها وامتيازاتها داخل أو عبر VDC الخاصة بها. قد تزيد أهداف هذه العملية من الأمان والإنتاجية، مع تقليل التكلفة ووقت التعطل والمهام اليدوية المتكررة.

قد تتطلب مؤسسات المؤسسة مزيجا تطلبيا من الخدمات لخطوط عمل مختلفة. غالبا ما يكون للموظفين أدوار مختلفة عند المشاركة في مشاريع مختلفة. يتطلب VDC تعاونا جيدا بين الفرق المختلفة، ولكل منها تعريفات أدوار محددة لتشغيل الأنظمة بحوكمة جيدة. يمكن أن تكون مصفوفة المسؤوليات والوصول والحقوق معقدة. يتم تنفيذ إدارة الهوية في VDC من خلال Azure Active Directory (Azure AD) والتحكم في الوصول المستند إلى الدور في Azure (Azure RBAC).

خدمة الدليل هي بنية أساسية للمعلومات المشتركة تحدد موقع العناصر اليومية وموارد الشبكة وتديرها وتديرها وتنظمها. يمكن أن تتضمن هذه الموارد وحدات التخزين والمجلدات والملفات والطابعات والمستخدمين والمجموعات والأجهزة والكائنات الأخرى. يعتبر كل مورد على الشبكة كائنا بواسطة خادم الدليل. يتم تخزين معلومات حول مورد كمجموعة من السمات المقترنة بهذا المورد أو الكائن.

تعتمد جميع خدمات الأعمال عبر الإنترنت من Microsoft على Azure Active Directory (Azure AD) لتسجيل الدخول واحتياجات الهوية الأخرى. Azure Active Directory هو حل سحابي شامل ومتاح للغاية لإدارة الهوية والوصول يجمع بين خدمات الدليل الأساسية وإدارة الهوية المتقدمة وإدارة الوصول إلى التطبيقات. يمكن أن يتكامل Azure AD مع Active Directory محلي لتمكين تسجيل الدخول الأحادي لجميع التطبيقات المحلية المستندة إلى السحابة والمستضافة محليا. يمكن مزامنة سمات المستخدم Active Directory محلي تلقائيا مع Azure AD.

لا يطلب من مسؤول عمومي واحد تعيين جميع الأذونات في تنفيذ VDC. بدلا من ذلك، يمكن أن يكون لكل قسم معين أو مجموعة من المستخدمين أو الخدمات في خدمة الدليل الأذونات المطلوبة لإدارة مواردهم الخاصة ضمن تنفيذ VDC. يتطلب هيكلة الأذونات الموازنة. يمكن أن يعيق عدد كبير جدا من الأذونات كفاءة الأداء، ويمكن أن يؤدي عدد قليل جدا من الأذونات أو فضفاضة إلى زيادة مخاطر الأمان. يساعد التحكم في الوصول المستند إلى الدور في Azure (Azure RBAC) على معالجة هذه المشكلة من خلال تقديم إدارة وصول دقيقة للموارد في تنفيذ VDC.

البنية الأساسية للأمان

تشير البنية الأساسية الأمنية إلى الفصل بين نسبة استخدام الشبكة في مقطع الشبكة الظاهرية المحدد لتنفيذ VDC. تحدد هذه البنية الأساسية كيفية التحكم في الدخول والخروج في تنفيذ VDC. يستند Azure إلى بنية متعددة المستأجرين تمنع نسبة استخدام الشبكة غير المصرح بها وغير المقصودة بين عمليات التوزيع. يتم ذلك باستخدام عزل الشبكة الظاهرية وقوائم التحكم في الوصول وموازنات التحميل وعوامل تصفية IP ونهج تدفق نسبة استخدام الشبكة. تفصل ترجمة عناوين الشبكة (NAT) نسبة استخدام الشبكة الداخلية عن نسبة استخدام الشبكة الخارجية.

يخصص Azure fabric موارد البنية الأساسية لأحمال عمل المستأجر ويدير الاتصالات من وإلى الأجهزة الظاهرية (VMs). يفرض Azure hypervisor فصل الذاكرة والمعالجة بين الأجهزة الظاهرية ويوجه حركة مرور الشبكة بأمان إلى مستأجري نظام التشغيل الضيف.

الاتصال بالسحابة

يتطلب مركز البيانات الظاهري الاتصال بالشبكات الخارجية لتقديم الخدمات للعملاء أو الشركاء أو المستخدمين الداخليين. لا تشير هذه الحاجة إلى الاتصال إلى الإنترنت فحسب، بل أيضا إلى الشبكات المحلية ومراكز البيانات.

يتحكم العملاء في الخدمات التي يمكن الوصول إليها والوصول إليها من الإنترنت العام. يتم التحكم في هذا الوصول باستخدام Azure Firewall أو أنواع أخرى من أجهزة الشبكة الظاهرية (NVAs) ونهج التوجيه المخصصة باستخدام المسارات المعرفة من قبل المستخدم وتصفية الشبكة باستخدام مجموعات أمان الشبكة. نوصي بحماية جميع الموارد التي تواجه الإنترنت بواسطة معيار حماية Azure DDoS.

قد تحتاج المؤسسات إلى توصيل مركز البيانات الظاهري الخاص بها بمراكز البيانات المحلية أو الموارد الأخرى. يعد هذا الاتصال بين Azure والشبكات المحلية جانبا حاسما عند تصميم بنية فعالة. لدى المؤسسات طريقتان مختلفتان لإنشاء هذا التوصيل البيني: النقل عبر الإنترنت أو عبر الاتصالات المباشرة الخاصة.

تقوم شبكة ظاهرية خاصة من موقع إلى موقع من Azure بتوصيل الشبكات المحلية بمركز البيانات الظاهري في Azure. يتم إنشاء الارتباط من خلال اتصالات مشفرة آمنة (أنفاق IPsec). تعد اتصالات Azure Site-to-Site VPN مرنة وسريعة الإنشاء ولا تتطلب عادة المزيد من عمليات شراء الأجهزة. استنادا إلى البروتوكولات القياسية للصناعة، يمكن لمعظم أجهزة الشبكة الحالية إنشاء اتصالات VPN ب Azure عبر الإنترنت أو مسارات الاتصال الحالية.

يتيح ExpressRoute الاتصالات الخاصة بين مركز البيانات الظاهري وأي شبكات محلية. لا تنتقل اتصالات ExpressRoute عبر الإنترنت العام، وتوفر أمانا أعلى وموثوقية وسرعات أعلى (تصل إلى 100 جيجابت في الثانية) جنبا إلى جنب مع زمن انتقال متسق. يوفر ExpressRoute فوائد قواعد التوافق المرتبطة بالاتصالات الخاصة. باستخدام ExpressRoute Direct، يمكنك الاتصال مباشرة بأوجه توجيه Microsoft بسرعة 10 جيجابت في الثانية أو 100 جيجابت في الثانية.

يتضمن توزيع اتصالات ExpressRoute عادة التعامل مع موفر خدمة ExpressRoute (ExpressRoute Direct هو الاستثناء). بالنسبة للعملاء الذين يحتاجون إلى البدء بسرعة، من الشائع استخدام VPN من موقع إلى موقع في البداية لإنشاء اتصال بين مركز بيانات ظاهري والموارد المحلية. بمجرد اكتمال الاتصال البيني الفعلي مع موفر الخدمة، قم بترحيل الاتصال عبر اتصال ExpressRoute.

بالنسبة إلى أعداد كبيرة من اتصالات VPN أو ExpressRoute، فإن Azure Virtual WAN هي خدمة شبكة توفر اتصالا محسنا وآليا من فرع إلى فرع من خلال Azure. تتيح لك شبكة WAN الظاهرية الاتصال بالأجهزة الفرعية وتكوينها للاتصال ب Azure. يمكن إجراء الاتصال والتكوين إما يدويا أو باستخدام أجهزة الموفر المفضلة من خلال شريك Virtual WAN. يتيح استخدام أجهزة موفر الخدمة المفضل سهولة الاستخدام، وتبسيط الاتصال، وإدارة التكوين. توفر لوحة معلومات Azure WAN المضمنة رؤى فورية لاستكشاف الأخطاء وإصلاحها يمكن أن تساعد في توفير الوقت، وتمنحك طريقة سهلة لعرض الاتصال من موقع إلى موقع على نطاق واسع. توفر شبكة WAN الظاهرية أيضا خدمات الأمان مع جدار حماية Azure الاختياري ومدير جدار الحماية في مركز Virtual WAN الخاص بك.

الاتصال داخل السحابة

شبكات Azure الظاهريةونظير الشبكة الظاهرية هي مكونات الشبكات الأساسية في مركز بيانات ظاهري. تضمن الشبكة الظاهرية حدود عزل لموارد مركز البيانات الظاهرية. يسمح التناظر بالترابط بين الشبكات الظاهرية المختلفة داخل نفس منطقة Azure وعبر المناطق وحتى بين الشبكات في اشتراكات مختلفة. يمكن التحكم في تدفقات نسبة استخدام الشبكة داخل الشبكات الظاهرية وفيما بينها من خلال مجموعات من قواعد الأمان المحددة لمجموعات أمان الشبكة، ونهج جدار الحماية (Azure Firewall أو الأجهزة الظاهرية للشبكةوالمسارات المخصصة المعرفة من قبل المستخدم.

الشبكات الظاهرية هي نقاط ارتساء لدمج منتجات Azure للنظام الأساسي كخدمة (PaaS) مثل Azure StorageوAzure SQL والخدمات العامة المتكاملة الأخرى التي تحتوي على نقاط نهاية عامة. باستخدام نقاط نهاية الخدمةوAzure Private Link، يمكنك دمج خدماتك العامة مع شبكتك الخاصة. يمكنك حتى أن تأخذ خدماتك العامة خاصة، ولكن لا تزال تتمتع بمزايا خدمات PaaS المدارة من Azure.

نظرة عامة على مركز البيانات الظاهري

الطوبولوجيا

يمكن إنشاء مركز بيانات ظاهري باستخدام أحد هذه الطوبولوجيا عالية المستوى، بناء على احتياجاتك ومتطلبات المقياس:

في تخطيط ثابت، يتم نشر جميع الموارد في شبكة ظاهرية واحدة. تسمح الشبكات الفرعية بالتحكم في التدفق والفصل.

11

في تخطيط الشبكة، يربط تناظر الشبكة الظاهرية جميع الشبكات الظاهرية مباشرة ببعضها البعض.

12

يعد مركز التناظر وطوبولوجيا المحاور مناسبا تماما للتطبيقات الموزعة والفرق ذات المسؤوليات المفوضة.

13

يمكن أن يدعم مخطط Azure Virtual WAN سيناريوهات المكاتب الفرعية واسعة النطاق وخدمات WAN العالمية.

14

يستخدم كل من مركز التناظر وطوبولوجيا المحاور وطوبولوجيا Azure Virtual WAN تصميما محوريا ومركزيا، وهو الأمثل للاتصال والموارد المشتركة ونهج الأمان المركزي. يتم إنشاء المراكز باستخدام إما مركز تناظر شبكة ظاهرية (يسمى كما هو الحال Hub Virtual Network في الرسم التخطيطي) أو مركز Virtual WAN (المسمى كما Azure Virtual WAN في الرسم التخطيطي). تم تصميم Azure Virtual WAN للاتصالات واسعة النطاق من فرع إلى فرع ومن فرع إلى Azure، أو لتجنب تعقيدات بناء جميع المكونات بشكل فردي في مركز تناظر الشبكات الظاهرية. في بعض الحالات، قد تتطلب متطلباتك تصميم مركز نظير للشبكة الظاهرية، مثل الحاجة إلى أجهزة ظاهرية للشبكة في المركز.

في تخطيطات المركز والتحدث، المركز هو منطقة الشبكة المركزية التي تتحكم في جميع نسبة استخدام الشبكة وتفحصها بين مناطق مختلفة مثل الإنترنت والأماكن المحلية والمحورات. يساعد تخطيط المركز والتحدث قسم تكنولوجيا المعلومات على فرض نهج الأمان مركزيا. كما أنه يقلل من إمكانية التكوين الخاطئ والتعرض.

غالبا ما يحتوي المركز على مكونات الخدمة الشائعة التي تستهلكها المحاور. الأمثلة التالية هي الخدمات المركزية الشائعة:

  • البنية الأساسية ل Windows Active Directory مطلوبة لمصادقة المستخدم لجهات خارجية يمكنها الوصول من الشبكات غير الموثوق بها قبل أن تتمكن من الوصول إلى أحمال العمل في المحور. يتضمن خدمات الأمان المشترك لـ Active Directory ذات الصلة (AD FS)
  • يتم استخدام خدمة نظام الأسماء الموزعة (DNS) لحل تسمية حمل العمل في المحاور والوصول إلى الموارد المحلية وعلى الإنترنت إذا لم يتم استخدام Azure DNS
  • يتم استخدام بنية أساسية للمفتاح العام (PKI) لتنفيذ أحمال عمل تسجيل الدخول الأحادي
  • التحكم في تدفق حركة مرور TCP وUDP بين مناطق الشبكة المحورية والإنترنت
  • التحكم في التدفق بين المحاور والأماكن المحلية
  • إذا لزم الأمر، التحكم في التدفق بين محور وآخر

يقلل مركز البيانات الظاهري من التكلفة الإجمالية باستخدام البنية الأساسية للمركز المشترك بين محاور متعددة.

يمكن أن يكون دور كل محور هو استضافة أنواع مختلفة من أحمال العمل. كما توفر المحاور نهجا نمطيا لعمليات النشر القابلة للتكرار لنفس أحمال العمل. تتضمن الأمثلة التطوير/الاختبار، واختبار قبول المستخدم، وما قبل الإنتاج، والإنتاج. يمكن للمتحدثين أيضا فصل المجموعات المختلفة وتمكينها داخل مؤسستك. تعد مجموعات DevOps مثالا جيدا لما يمكن أن تفعله المحاور. داخل محور، من الممكن نشر حمل عمل أساسي أو أحمال عمل متعددة المستويات معقدة مع التحكم في نسبة استخدام الشبكة بين المستويات.

حدود الاشتراك ومراكز متعددة

هام

استنادا إلى حجم عمليات توزيع Azure، قد تحتاج إلى استراتيجية مركز متعددة. عند تصميم استراتيجية المركز والتحدث، اسأل "هل يمكن أن يستخدم مقياس التصميم هذا شبكة ظاهرية مركزية أخرى في هذه المنطقة؟" و"هل يمكن أن يستوعب مقياس التصميم هذا مناطق متعددة؟" من الأفضل بكثير التخطيط لتصميم يتوسع ولا يحتاج إليه، بدلا من الفشل في التخطيط والحاجة إليه.

يعتمد متى يتم التحجيم إلى مركز ثانوي (أو أكثر) على عدة عوامل، عادة ما تستند إلى حدود متأصلة على المقياس. تأكد من مراجعة حدود الاشتراك والشبكة الظاهرية والجهاز الظاهري عند التصميم للمقياس.

في Azure، يتم نشر كل مكون، مهما كان النوع، في اشتراك Azure. يمكن أن يفي عزل مكونات Azure في اشتراكات Azure المختلفة بمتطلبات خطوط العمل المختلفة، مثل إعداد مستويات مختلفة من الوصول والتخويل.

يمكن أن يؤدي تنفيذ VDC واحد إلى توسيع نطاق عدد كبير من المحاور. على الرغم من أنه، كما هو الحال مع كل نظام تكنولوجيا المعلومات، هناك حدود للنظام الأساسي. يرتبط توزيع المركز باشتراك Azure معين، والذي يحتوي على قيود وحدود (على سبيل المثال، الحد الأقصى لعدد نظراء الشبكة الظاهرية. للحصول على التفاصيل، راجع اشتراك Azure وحدود الخدمة والحصص النسبية والقيود). في الحالات التي قد تكون فيها الحدود مشكلة، يمكن توسيع البنية بشكل أكبر عن طريق توسيع النموذج من محاور مركزية واحدة إلى مجموعة من المحاور والمحورات. يمكن توصيل مراكز متعددة في منطقة واحدة أو أكثر من مناطق Azure باستخدام نظير الشبكة الظاهرية أو ExpressRoute أو Virtual WAN أو VPN من موقع إلى موقع.

2

يؤدي إدخال مراكز متعددة إلى زيادة التكلفة والجهد الإداري للنظام. يتم تبريره فقط بسبب قابلية التوسع أو حدود النظام أو التكرار أو النسخ المتماثل الإقليمي لأداء المستخدم النهائي أو التعافي من الكوارث. في السيناريوهات التي تتطلب مراكز متعددة، يجب أن تسعى جميع المراكز جاهدة لتقديم نفس مجموعة الخدمات لتسهيل التشغيل.

التوصيل البيني بين المحاور

داخل محور واحد، أو تصميم شبكة مسطحة، من الممكن تنفيذ أحمال العمل المعقدة متعددة المستويات. يمكن تنفيذ التكوينات متعددة المستويات باستخدام الشبكات الفرعية، وهي واحدة لكل طبقة أو تطبيق في نفس الشبكة الظاهرية. يتم التحكم في نسبة استخدام الشبكة وتصفيتها باستخدام مجموعات أمان الشبكة والمسارات المعرفة من قبل المستخدم.

قد يرغب المهندس المعماري في نشر حمل عمل متعدد الأطياد عبر شبكات ظاهرية متعددة. باستخدام تناظر الشبكة الظاهرية، يمكن للمتحدثين الاتصال بمتحدثين آخرين في نفس المركز أو مراكز مختلفة. مثال نموذجي على هذا السيناريو هو الحالة التي تكون فيها خوادم معالجة التطبيقات في محور واحد، أو شبكة ظاهرية. يتم نشر قاعدة البيانات في شبكة اتصال أو شبكة ظاهرية مختلفة. في هذه الحالة، من السهل ربط المحاور مع نظير الشبكة الظاهرية، ما يتجنب المرور عبر المركز. أكمل بنية دقيقة ومراجعة أمان للتأكد من أن تجاوز المركز لا يتجاوز نقاط الأمان أو التدقيق المهمة التي قد تكون موجودة فقط في المركز.

3

يمكن للمتحدثين أيضا الاتصال بالتحدث الذي يعمل كمحور. ينشئ هذا الأسلوب تسلسلا هرميا من مستويين. يصبح المحور في المستوى الأعلى (المستوى 0) محور المحاور السفلية (المستوى 1) للتسلسل الهرمي. المحاور لتنفيذ VDC مطلوبة لإعادة توجيه نسبة استخدام الشبكة إلى المركز المركزي. يمكن لحركة المرور بعد ذلك العبور إلى وجهتها إما في الشبكة المحلية أو الإنترنت العام. تقدم البنية ذات مستويين من المراكز توجيها معقدا يزيل فوائد علاقة محورية بسيطة.

على الرغم من أن Azure يسمح بالطوبولوجيا المعقدة، فإن أحد المبادئ الأساسية لمفهوم VDC هو قابلية التكرار والبساطة. لتقليل جهود الإدارة، التصميم البسيط المحوري هو البنية المرجعية ل VDC التي نوصي بها.

المكونات

يتكون مركز البيانات الظاهري من أربعة أنواع مكونات أساسية: البنية الأساسيةوالشبكات المحيطةوأحمال العملوالمراقبة.

يتكون كل نوع مكون من ميزات وموارد Azure المختلفة. يتكون تنفيذ VDC الخاص بك من مثيلات أنواع مكونات متعددة وتباينات متعددة من نفس نوع المكون. على سبيل المثال، قد يكون لديك العديد من مثيلات حمل العمل المختلفة والمفصولة منطقيا والتي تمثل تطبيقات مختلفة. يمكنك استخدام أنواع المكونات والمثيلات المختلفة هذه لإنشاء VDC.

رسم

تعرض البنية المفاهيمية عالية المستوى السابقة ل VDC أنواع مكونات مختلفة مستخدمة في مناطق مختلفة من طبولوجيا المحاور المركزية. يوضح الرسم التخطيطي مكونات البنية الأساسية في أجزاء مختلفة من البنية.

كممارسة جيدة بشكل عام، يمكن أن تكون حقوق الوصول والامتيازات مستندة إلى المجموعة. يؤدي التعامل مع المجموعات بدلا من المستخدمين الفرديين إلى تسهيل صيانة نهج الوصول، من خلال توفير طريقة متسقة لإدارتها عبر الفرق، ما يساعد في تقليل أخطاء التكوين. يساعد تعيين المستخدمين وإزالتها من وإلى المجموعات المناسبة على الحفاظ على امتيازات مستخدم معين محدثة.

يمكن أن يكون لكل مجموعة دور بادئة فريدة على أسمائها. تسهل هذه البادئة تحديد حمل العمل الذي ترتبط به المجموعة. على سبيل المثال، قد يحتوي حمل العمل الذي يستضيف خدمة مصادقة على مجموعات تسمى AuthServiceNetOps و AuthServiceSecOps و AuthServiceDevOps و AuthServiceInfraOps. قد يتم تمهيد الأدوار المركزية، أو الأدوار غير المرتبطة بخدمة معينة، مع Corp. مثال على ذلك هو CorpNetOps.

تستخدم العديد من المؤسسات اختلافا من المجموعات التالية لتوفير تصنيف رئيسي للأدوار:

  • يتمتع فريق تكنولوجيا المعلومات المركزي المسمى Corp بحقوق الملكية للتحكم في مكونات البنية الأساسية. ومن الأمثلة على ذلك الشبكات والأمان. يجب أن يكون للمجموعة دور المساهم في الاشتراك والتحكم في المركز وحقوق المساهم في الشبكة في المحاور. غالبا ما تقسم المؤسسات الكبيرة مسؤوليات الإدارة هذه بين فرق متعددة. ومن الأمثلة على ذلك مجموعة عمليات الشبكة CorpNetOps مع التركيز الحصري على الشبكات ومجموعة عمليات الأمان CorpSecOps المسؤولة عن جدار الحماية ونهج الأمان. في هذه الحالة المحددة، يجب إنشاء مجموعتين مختلفتين لتعيين هذه الأدوار المخصصة.
  • تتحمل مجموعة التطوير/الاختبار المسماة AppDevOps مسؤولية توزيع أحمال عمل التطبيق أو الخدمة. تأخذ هذه المجموعة دور مساهم الجهاز الظاهري لعمليات توزيع IaaS أو دور واحد أو أكثر من أدوار مساهم PaaS. لمزيد من المعلومات، راجع أدوار Azure المضمنة. اختياريا، قد يحتاج فريق التطوير/الاختبار إلى رؤية لنهج الأمان (مجموعات أمان الشبكة) ونهج التوجيه (المسارات المعرفة من قبل المستخدم) داخل المركز أو محور معين. بالإضافة إلى دور المساهم في أحمال العمل، ستحتاج هذه المجموعة أيضا إلى دور قارئ الشبكة.
  • تتحمل مجموعة التشغيل والصيانة المسماة CorpInfraOps أو AppInfraOps مسؤولية إدارة أحمال العمل في الإنتاج. يجب أن تكون هذه المجموعة مساهما في الاشتراك في أحمال العمل في أي اشتراكات إنتاج. قد تقيم بعض المؤسسات أيضا ما إذا كانت بحاجة إلى مجموعة فريق دعم تصعيد مع دور المساهم في الاشتراك في الإنتاج واشتراك المركز المركزي. تقوم المجموعة الأخرى بإصلاح مشكلات التكوين المحتملة في بيئة الإنتاج.

تم تصميم VDC بحيث تحتوي مجموعات فريق تكنولوجيا المعلومات المركزية التي تدير المركز على مجموعات مقابلة على مستوى حمل العمل. بالإضافة إلى إدارة موارد المركز، يمكن لفريق تكنولوجيا المعلومات المركزي التحكم في الوصول الخارجي وأذونات المستوى الأعلى على الاشتراك. يمكن لمجموعات حمل العمل أيضا التحكم في موارد وأذونات شبكتها الظاهرية بشكل مستقل عن فريق تكنولوجيا المعلومات المركزي.

يتم تقسيم مركز البيانات الظاهري لاستضافة مشاريع متعددة بأمان عبر خطوط عمل مختلفة. تتطلب جميع المشاريع بيئات معزولة مختلفة (التطوير و UAT والإنتاج). يمكن أن توفر اشتراكات Azure المنفصلة لكل من هذه البيئات عزلا طبيعيا.

5

يوضح الرسم التخطيطي السابق العلاقة بين مشاريع المؤسسة والمستخدمين والمجموعات والبيئات التي يتم فيها نشر مكونات Azure.

عادة ما تكون البيئة (أو الطبقة) في تكنولوجيا المعلومات عبارة عن نظام يتم فيه نشر تطبيقات متعددة وتنفيذها. تستخدم المؤسسات الكبيرة بيئة تطوير (حيث يتم إجراء التغييرات واختبارها) وبيئة إنتاج (ما يستخدمه المستخدمون النهائيون). يتم فصل هذه البيئات، غالبا مع العديد من بيئات التقسيم المرحلي فيما بينها، للسماح بالنشر المرحلي (الإطلاق) والاختبار والتراجع إذا ظهرت مشكلات. تختلف بنيات النشر بشكل كبير، ولكن عادة ما تستمر العملية الأساسية للبدء في التطوير (DEV) وتنتهي عند الإنتاج (PROD).

تتضمن البنية الشائعة لهذه الأنواع من البيئات متعددة المستويات DevOps للتطوير والاختبار وUAT لبيئات التشغيل المرحلي والإنتاج. يمكن للمؤسسات استخدام مستأجرين فرديين أو متعددين Azure AD لتحديد الوصول والحقوق إلى هذه البيئات. يوضح الرسم التخطيطي السابق حالة يتم فيها استخدام مستأجرين مختلفين Azure AD: أحدهما ل DevOps وUAT والآخر حصريا للإنتاج.

يفرض وجود مستأجرين Azure AD مختلفين الفصل بين البيئات. تحتاج نفس مجموعة المستخدمين، مثل فريق تكنولوجيا المعلومات المركزي، إلى المصادقة باستخدام URI مختلف للوصول إلى مستأجر Azure AD مختلف. يسمح هذا للفريق بتعديل أدوار أو أذونات إما DevOps أو بيئات الإنتاج للمشروع. يؤدي وجود مصادقات مستخدم مختلفة للوصول إلى بيئات مختلفة إلى تقليل الانقطاعات المحتملة والمشكلات الأخرى الناجمة عن الأخطاء البشرية.

نوع المكون: البنية الأساسية

نوع المكون هذا هو المكان الذي توجد فيه معظم البنية الأساسية الداعمة. كما أنه المكان الذي تقضي فيه فرق تكنولوجيا المعلومات والأمان والتوافق المركزية معظم وقتها.

6

توفر مكونات البنية الأساسية اتصالا متداخلا للمكونات المختلفة لتنفيذ VDC، وهي موجودة في كل من المركز والمحور. عادة ما يتم تعيين مسؤولية إدارة مكونات البنية الأساسية وصيانتها لفريق تكنولوجيا المعلومات المركزي أو فريق الأمان.

تتمثل إحدى المهام الأساسية لفريق البنية الأساسية تكنولوجيا المعلومات في ضمان اتساق مخططات عناوين IP عبر المؤسسة. يجب أن تكون مساحة عنوان IP الخاصة المعينة لتنفيذ VDC متسقة ولا تتداخل مع عناوين IP الخاصة المعينة على الشبكات المحلية.

بينما يمكن ل NAT على أجهزة توجيه الحافة المحلية أو في بيئات Azure تجنب تعارضات عنوان IP، فإنه يضيف مضاعفات لمكونات البنية الأساسية الخاصة بك. تعد بساطة الإدارة أحد الأهداف الرئيسية ل VDC. استخدام NAT للتعامل مع مخاوف IP، على الرغم من أنه حل صالح، ليس حلا موصى به.

تحتوي مكونات البنية الأساسية على الوظائف التالية:

  • خدمات الهوية والدليل: يتم التحكم في الوصول إلى كل نوع مورد في Azure بواسطة هوية مخزنة في خدمة دليل. لا تخزن خدمة الدليل قائمة المستخدمين فحسب، ولكن أيضا حقوق الوصول إلى الموارد في اشتراك Azure معين. يمكن أن توجد هذه الخدمات في السحابة، أو يمكن مزامنتها مع الهوية المحلية المخزنة في Active Directory.
  • الشبكات الظاهرية: الشبكات الظاهرية هي واحدة من المكونات الرئيسية ل VDC، وتمكنك من إنشاء حد عزل نسبة استخدام الشبكة على النظام الأساسي ل Azure. تتكون الشبكة الظاهرية من مقاطع شبكة ظاهرية واحدة أو متعددة، ولكل منها بادئة شبكة IP محددة (شبكة فرعية، إما IPv4 أو IPv4/IPv6 مكدس مزدوج). تحدد الشبكة الظاهرية منطقة محيطية داخلية حيث يمكن لأجهزة IaaS الظاهرية وخدمات PaaS إنشاء اتصالات خاصة. لا يمكن للأجهزة الظاهرية (وخدمات PaaS) في شبكة ظاهرية واحدة الاتصال مباشرة بالأجهزة الظاهرية (وخدمات PaaS) في شبكة ظاهرية مختلفة. هذا صحيح حتى إذا تم إنشاء كلتا الشبكتين الظاهريتين من قبل نفس العميل، ضمن نفس الاشتراك. العزل عبارة عن خاصية هامة تضمن بقاء الأجهزة الظاهرية للعميل والاتصال خاصًا داخل شبكة ظاهرية. حيثما يكون الاتصال عبر الشبكة مطلوبا، تصف الميزات التالية كيف يمكن إنجازه.
  • نظير الشبكة الظاهرية: الميزة الأساسية المستخدمة لإنشاء البنية الأساسية ل VDC هي تناظر الشبكة الظاهرية، والتي تربط شبكتين ظاهريتين في نفس المنطقة. يحدث هذا الاتصال من خلال شبكة مركز بيانات Azure أو باستخدام العمود الفقري ل Azure في جميع أنحاء العالم عبر المناطق.
  • نقاط نهاية خدمة الشبكة الظاهرية: تعمل نقاط نهاية الخدمة على توسيع مساحة العنوان الخاص بالشبكة الظاهرية لتضمين مساحة PaaS. تعمل نقاط النهاية أيضا على توسيع هوية شبكتك الظاهرية إلى خدمات Azure عبر اتصال مباشر. تسمح لك نقاط النهاية بتأمين موارد خدمة Azure المهمة لشبكاتك الظاهرية.
  • Private Link: يمكنك Azure Private Link من الوصول إلى خدمات Azure PaaS (على سبيل المثال، Azure StorageوAzure Cosmos DBوAzure SQL Database) وخدمات العملاء/الشركاء المستضافة من Azure عبر نقطة نهاية خاصة في شبكتك الظاهرية. قم بنقل البيانات بين شبكتك الظاهرية وخدمات الاجتياز عبر شبكة Microsoft الأساسية، مما يلغي التعرض للإنترنت العام. يمكنك أيضا إنشاء خدمة Private Link في شبكتك الظاهرية وتسليمها بشكل خاص لعملائك. تجربة الإعداد والاستهلاك باستخدام Azure Private Link متسقة عبر Azure PaaS وخدمات الشركاء المملوكة للعميل والشركاء المشتركة.
  • المسارات المعرفة من قبل المستخدم: يتم توجيه نسبة استخدام الشبكة في شبكة ظاهرية بشكل افتراضي استنادا إلى جدول توجيه النظام. المسار المعرف من قبل المستخدم هو جدول توجيه مخصص يمكن لمسؤولي الشبكة إقرانه بشبكة فرعية واحدة أو أكثر لتجاوز سلوك جدول توجيه النظام وتحديد مسار اتصال داخل شبكة ظاهرية. يضمن وجود المسارات المعرفة من قبل المستخدم نسبة استخدام الشبكة من النقل المحوري من خلال أجهزة ظاهرية مخصصة محددة أو أجهزة ظاهرية للشبكة وموازنات تحميل موجودة في كل من المركز والمحور.
  • مجموعات أمان الشبكة: مجموعة أمان الشبكة هي قائمة بقواعد الأمان التي تعمل كتصفية نسبة استخدام الشبكة على مصادر IP ووجهات IP والبروتوكولات ومنافذ مصدر IP ومنافذ وجهة IP (تسمى أيضا مجموعة الخمس من الطبقة 4). يمكن تطبيق مجموعة أمان الشبكة على شبكة فرعية أو شبكة ظاهرية NIC مقترنة بجهاز Azure الظاهري أو كليهما. مجموعات أمان الشبكة ضرورية لتنفيذ عنصر تحكم تدفق صحيح في المركز وفي المحاور. مستوى الأمان الذي توفره مجموعة أمان الشبكة هو دالة المنافذ التي تفتحها، وإلى أي غرض. يمكن للعملاء تطبيق المزيد من عوامل التصفية لكل جهاز ظاهري باستخدام جدران الحماية المستندة إلى المضيف مثل iptables أو جدار حماية Windows.
  • DNS: يوفر DNS تحليل الاسم للموارد في مركز بيانات ظاهري. يوفر Azure خدمات DNS لكل من تحليل الاسم العاموالخاص . توفر المناطق الخاصة تحليل الاسم داخل شبكة ظاهرية وعبر الشبكات الظاهرية. يمكن أن تمتد المناطق الخاصة عبر الشبكات الظاهرية في نفس المنطقة، وعبر المناطق والاشتراكات. للحل العام، يوفر Azure DNS خدمة استضافة لمجالات DNS، ما يوفر تحليل الاسم باستخدام البنية الأساسية ل Microsoft Azure. يمكنك، من خلال استضافة المجالات في Azure، إدارة سجلات DNS باستخدام نفس بيانات الاعتماد وواجهات برمجة التطبيقات والأدوات والفوترة مثل خدمات Azure الأخرى.
  • إدارة مجموعة الإدارةوالاشتراكوإدارة مجموعة الموارد . يحدد الاشتراك حدودا طبيعية لإنشاء مجموعات متعددة من الموارد في Azure. يمكن أن يكون هذا الفصل للوظيفة أو الفصل بين الأدوار أو الفوترة. يتم تجميع الموارد في الاشتراك معا في حاويات منطقية تعرف باسم مجموعات الموارد. تمثل مجموعة الموارد مجموعة منطقية لتنظيم الموارد في مركز بيانات ظاهري. إذا كان لدى مؤسستك العديد من الاشتراكات، فقد تحتاج إلى طريقة لإدارة الوصول والسياسات والامتثال لهذه الاشتراكات بكفاءة. توفر مجموعات إدارة Azure مستوى نطاق أعلى من الاشتراكات. يمكنك تنظيم الاشتراكات في حاويات تعرف باسم مجموعات الإدارة وتطبيق شروط الإدارة الخاصة بك على مجموعات الإدارة. ترث جميع الاشتراكات داخل مجموعة الإدارة الشروط المطبقة على مجموعة الإدارة تلقائياً. لمشاهدة هذه الميزات الثلاث في طريقة عرض التسلسل الهرمي، راجع تنظيم مواردك في Cloud Adoption Framework.
  • التحكم في الوصول المستند إلى الدور في Azure (Azure RBAC): يمكن ل Azure RBAC تعيين الأدوار والحقوق التنظيمية للوصول إلى موارد Azure معينة. يسمح لك هذا بتقييد المستخدمين على مجموعة فرعية معينة فقط من الإجراءات. إذا كنت تقوم بمزامنة Azure Active Directory مع Active Directory محلي، يمكنك استخدام نفس مجموعات Active Directory في Azure التي تستخدمها محليا. باستخدام Azure RBAC، يمكنك منح حق الوصول عن طريق تعيين الدور المناسب للمستخدمين والمجموعات والتطبيقات ضمن النطاق ذي الصلة. يمكن أن يكون نطاق تعيين الدور اشتراك Azure أو مجموعة موارد أو مورد واحد. يسمح Azure RBAC بتوارث الأذونات. يمنح الدور المعين في نطاق أصل أيضا الوصول إلى العناصر التابعة الموجودة فيه. باستخدام Azure RBAC، يمكنك فصل الواجبات، ومنح مقدار الوصول فقط للمستخدمين الذين يحتاجون إلى أداء وظائفهم. على سبيل المثال، يمكن لموظف واحد إدارة الأجهزة الظاهرية في اشتراك، بينما يمكن لموظف آخر إدارة قواعد بيانات SQL Server في نفس الاشتراك.

نوع المكون: الشبكات المحيطة

تقوم مكونات شبكة محيطية (تسمى أحيانا شبكة DMZ) بتوصيل شبكات مراكز البيانات المحلية أو الفعلية، جنبا إلى جنب مع أي اتصال بالإنترنت. يتطلب المحيط عادة استثمارا كبيرا في الوقت من فرق الشبكة والأمان.

يمكن أن تتدفق الحزم الواردة عبر أجهزة الأمان في المركز قبل الوصول إلى الخوادم والخدمات الخلفية في المحاور. تتضمن الأمثلة جدار الحماية و IDS و IPS. قبل أن يغادروا الشبكة، يمكن أن تتدفق الحزم المرتبطة بالإنترنت من أحمال العمل أيضا عبر أجهزة الأمان في الشبكة المحيطة. يتيح هذا التدفق فرض النهج والتفتيش والتدقيق.

تتضمن مكونات الشبكة المحيطة ما يلي:

عادة ما يكون فريق تكنولوجيا المعلومات المركزي وفرق الأمان مسؤولة عن تعريف المتطلبات وتشغيل الشبكات المحيطة.

7

يوضح الرسم التخطيطي السابق فرض محيطين مع إمكانية الوصول إلى الإنترنت وشبكة محلية، وكلاهما مقيم في مركز DMZ. في مركز DMZ، يمكن توسيع الشبكة المحيطة بالإنترنت لدعم العديد من خطوط العمل، باستخدام مزارع متعددة من جدران حماية تطبيقات الويب (WAFs) أو جدران حماية Azure. يسمح المركز أيضا بالاتصال المحلي عبر VPN أو ExpressRoute حسب الحاجة.

ملاحظة

في الرسم التخطيطي السابق، في DMZ Hub، يمكن تجميع العديد من الميزات التالية معا في مركز Azure Virtual WAN (مثل الشبكات الظاهرية والمسارات المعرفة من قبل المستخدم ومجموعات أمان الشبكة وبوابات VPN وبوابات ExpressRoute وموازنات تحميل Azure وجدران حماية Azure وإدارة جدار الحماية وDDOS). يمكن أن يجعل استخدام مراكز Azure Virtual WAN إنشاء الشبكة الظاهرية للمركز وVDC أسهل بكثير، نظرا لأن معظم التعقيد الهندسي يتم التعامل معه من قبل Azure عند نشر مركز Azure Virtual WAN.

الشبكات الظاهرية. عادة ما يتم إنشاء المركز على شبكة ظاهرية مع شبكات فرعية متعددة تستضيف أنواعا مختلفة من الخدمات. تقوم هذه الخدمات بتصفية وفحص نسبة استخدام الشبكة من أو إلى الإنترنت عبر مثيلات Azure Firewall وNVAs وWAF وAzure Application Gateway.

مسارات محددة من قِبل المستخدم. باستخدام المسارات المعرفة من قبل المستخدم، يمكن للعملاء نشر جدران الحماية و IDS/IPS والأجهزة الظاهرية الأخرى. يمكنهم توجيه حركة مرور الشبكة من خلال أجهزة الأمان هذه لفرض نهج حدود الأمان والتدقيق والتفتيش. يمكن إنشاء المسارات المعرفة من قبل المستخدم في كل من المركز والمتحدثين لضمان انتقال نسبة استخدام الشبكة عبر الأجهزة الظاهرية المخصصة المحددة والأجهزة الظاهرية للشبكة وموازنات التحميل المستخدمة من قبل تنفيذ VDC. لضمان أن نسبة استخدام الشبكة التي تم إنشاؤها من الأجهزة الظاهرية في المحور تنتقل إلى الأجهزة الظاهرية الصحيحة، يجب تعيين مسار محدد من قبل المستخدم في الشبكات الفرعية للمتحدث. يتم ذلك عن طريق تعيين عنوان IP للواجهة الأمامية لموازن التحميل الداخلي كوثبة تالية. يوزع موازن التحميل الداخلي نسبة استخدام الشبكة الداخلية على الأجهزة الظاهرية (تجمع الخلفية لموازن التحميل).

Azure Firewall هي خدمة أمان شبكة مدارة تحمي موارد شبكة Azure الظاهرية. إنه جدار حماية مدار ذي حالة مع قابلية وصول عالية وقابلية توسع سحابية. يمكنك إنشاء نُهج اتصال الشبكة والتطبيق وفرضها وتسجيلها عبر الاشتراكات والشبكات الظاهرية. يستخدم Azure Firewall عنوان IP عامًا ثابتًا من أجل موارد شبكتك الظاهرية. يسمح لجدار الحماية الخارجي بتحديد نسبة استخدام الشبكة التي تنشأ من شبكتك الظاهرية. تتكامل الخدمة بالكامل مع Azure Monitor للتسجيل والتحليلات.

إذا كنت تستخدم مخطط Azure Virtual WAN، فإن Azure Firewall Manager هي خدمة إدارة أمان توفر نهج الأمان المركزي وإدارة المسار لمحيطات الأمان المستندة إلى السحابة. وهو يعمل مع مركز Azure Virtual WAN، وهو مورد تديره Microsoft يتيح لك إنشاء بنيات محورية ومركزية بسهولة. عندما تكون نهج الأمان والتوجيه مقترنة بمركز، يشار إليه باسم مركز ظاهري آمن.

الأجهزة الظاهرية للشبكة. في المركز، تتم إدارة الشبكة المحيطة التي لها حق الوصول إلى الإنترنت عادة من خلال مثيل جدار حماية Azure أو مزرعة جدران الحماية أو جدار حماية تطبيق الويب (WAF).

تستخدم خطوط الأعمال المختلفة عادة العديد من تطبيقات الويب، والتي تميل إلى المعاناة من نقاط الضعف المختلفة والمآثر المحتملة. جدران حماية تطبيقات الويب هي نوع خاص من المنتجات المستخدمة للكشف عن الهجمات ضد تطبيقات الويب وHTTP/HTTPS بشكل أكثر فعالية من جدار حماية عام. بالمقارنة مع تقنية جدار الحماية التقليدية، تمتلك WAFs مجموعة من الميزات المحددة لحماية خوادم الويب الداخلية من التهديدات.

يستخدم جدار حماية Azure أو جدار حماية NVA مستوى إدارة شائعا، مع مجموعة من قواعد الأمان لحماية أحمال العمل المستضافة في المحاور، والتحكم في الوصول إلى الشبكات المحلية. يحتوي Azure Firewall على قابلية التوسع المضمنة، بينما يمكن توسيع جدران حماية NVA يدويا خلف موازن التحميل. بشكل عام، تحتوي مزرعة جدار الحماية على برامج أقل تخصصا مقارنة ب WAF، ولكنها تحتوي على نطاق تطبيق أوسع لتصفية وفحص أي نوع من نسبة استخدام الشبكة في الخروج والخروج. إذا تم استخدام نهج NVA، يمكن العثور عليها وتوزيعها من Azure Marketplace.

نوصي باستخدام مجموعة واحدة من مثيلات Azure Firewall، أو NVAs، لنسبة استخدام الشبكة التي تنشأ على الإنترنت. استخدم آخر لنسبة استخدام الشبكة التي تنشأ محليا. يعد استخدام مجموعة واحدة فقط من جدران الحماية لكليهما خطرا أمنيا لأنه لا يوفر محيط أمان بين مجموعتين من نسبة استخدام الشبكة. يقلل استخدام طبقات جدار الحماية المنفصلة من تعقيد التحقق من قواعد الأمان، ما يجعل من الواضح القواعد التي تتوافق مع طلب الشبكة الواردة.

يوفر Azure Load Balancer خدمة الطبقة 4 (TCP/UDP) عالية التوفر، والتي يمكنها توزيع نسبة استخدام الشبكة الواردة بين مثيلات الخدمة المحددة في مجموعة متوازنة التحميل. يمكن إعادة توزيع نسبة استخدام الشبكة المرسلة إلى موازن التحميل من نقاط النهاية الأمامية (نقاط نهاية IP العامة أو نقاط نهاية IP الخاصة) مع ترجمة العنوان أو بدونها إلى مجموعة من تجمعات عناوين IP الخلفية (مثل الأجهزة الظاهرية للشبكة أو الأجهزة الظاهرية).

يمكن ل Azure Load Balancer التحقق من صحة مثيلات الخادم المختلفة. عندما يفشل مثيل في الاستجابة لفحص، يتوقف موازن التحميل عن إرسال نسبة استخدام الشبكة إلى المثيل غير الصحي. في مركز بيانات ظاهري، يتم توزيع موازن تحميل خارجي إلى المركز والمحورات. في المركز، يتم استخدام موازن التحميل لتوجيه نسبة استخدام الشبكة بكفاءة عبر مثيلات جدار الحماية. في المحاور، يتم استخدام موازنات التحميل لإدارة نسبة استخدام الشبكة للتطبيق.

Azure Front Door (AFD) هو النظام الأساسي لتسريع تطبيق الويب عالي التوفر وقابل للتطوير من Microsoft، وموازن تحميل HTTP العالمي، وحماية التطبيق، وشبكة تسليم المحتوى. يمكنك AFD، الذي يعمل في أكثر من 100 موقع على حافة الشبكة العالمية من Microsoft، من إنشاء تطبيق الويب الديناميكي والمحتوى الثابت وتشغيله وتوسيع نطاقه. يوفر AFD للتطبيق الخاص بك أداء المستخدم النهائي على مستوى عالمي، وأتمتة الصيانة الإقليمية/المخصصة الموحدة، وأتمتة BCDR، ومعلومات العميل/المستخدم الموحدة، والتخزين المؤقت، ونتائج تحليلات الخدمة.

يوفر النظام الأساسي ما يلي:

  • اتفاقيات الأداء والموثوقية والدعم على مستوى الخدمة (SLAs).
  • شهادات التوافق.
  • ممارسات الأمان القابلة للتدقيق التي يتم تطويرها وتشغيلها ودعمها أصلا من قبل Azure.

يوفر Azure Front Door أيضا جدار حماية لتطبيق الويب (WAF)، والذي يحمي تطبيقات الويب من الثغرات الأمنية والتعرضات الشائعة.

Azure Application Gateway هو جهاز ظاهري مخصص يوفر وحدة تحكم تسليم تطبيق مدارة. يوفر إمكانات مختلفة لموازنة التحميل من الطبقة 7 لتطبيقك. يسمح لك بتحسين أداء مزرعة الويب عن طريق إلغاء تحميل إنهاء SSL المكثف لوحدة المعالجة المركزية إلى بوابة التطبيق. كما يوفر إمكانات توجيه الطبقة 7 الأخرى، مثل توزيع الترتيب الدوري لنسبة استخدام الشبكة الواردة، وترابط الجلسة المستندة إلى ملفات تعريف الارتباط، والتوجيه المستند إلى مسار URL، والقدرة على استضافة مواقع ويب متعددة خلف بوابة تطبيق واحدة. يتم أيضا توفير جدار حماية تطبيق الويب (WAF) كجزء من بوابة التطبيق WAF SKU. يوفر SKU هذا الحماية لتطبيقات الويب من الثغرات الأمنية والمآثر الشائعة على الويب. يمكن تكوين بوابة التطبيق كبوابة مواجهة للإنترنت أو بوابة داخلية فقط أو مزيج من كليهما.

عناوين IP العامة. باستخدام بعض ميزات Azure، يمكنك إقران نقاط نهاية الخدمة بعنوان IP عام بحيث يمكن الوصول إلى موردك من الإنترنت. تستخدم نقطة النهاية هذه NAT لتوجيه نسبة استخدام الشبكة إلى العنوان الداخلي والمنفذ على الشبكة الظاهرية في Azure. هذا المسار هو الطريقة الأساسية لنسبة استخدام الشبكة الخارجية لتمريرها إلى الشبكة الظاهرية. يمكنك تكوين عناوين IP العامة لتحديد نسبة استخدام الشبكة التي يتم تمريرها وكيفية ومكان ترجمتها إلى الشبكة الظاهرية.

يوفر Azure DDoS Protection Standard المزيد من قدرات التخفيف عبر طبقة الخدمة الأساسية التي تم ضبطها خصيصا لموارد شبكة Azure الظاهرية. تعد الخدمة القياسية لحماية DDoS بسيطة في تمكينها ولا تتطلب أي تغييرات في التطبيق. ويتم ضبط نُهج الحماية من خلال رصد نسبة استخدام الشبكة وخوارزميات التعلّم الآلي المخصصة. يتم تطبيق النهج على عناوين IP العامة المقترنة بالموارد المنشورة في الشبكات الظاهرية. تتضمن الأمثلة موازن تحميل Azure وبوابة تطبيق Azure ومثيلات نسيج خدمة Azure. تتوفر السجلات التي ينشئها النظام في الوقت الفعلي تقريبا من خلال طرق عرض Azure Monitor أثناء الهجوم وللمحفوظات. يمكن إضافة حماية طبقة التطبيق من خلال جدار حماية تطبيق الويب لبوابة تطبيق Azure. يتم توفير الحماية لعناوين IPv4 و IPv6 Azure العامة.

يستخدم تخطيط الشبكة المحورية نظير الشبكة الظاهرية والمسارات المعرفة من قبل المستخدم لتوجيه نسبة استخدام الشبكة بشكل صحيح.

8

في الرسم التخطيطي، يضمن المسار المعرف من قبل المستخدم تدفق نسبة استخدام الشبكة من المحور إلى جدار الحماية قبل المرور إلى أماكن العمل من خلال بوابة ExpressRoute (إذا كان نهج جدار الحماية يسمح بهذا التدفق).

نوع المكون: المراقبة

توفر مكونات المراقبة الرؤية والتنبيه من جميع أنواع المكونات الأخرى. يمكن لجميع الفرق الوصول إلى مراقبة المكونات والخدمات التي يمكنهم الوصول إليها. إذا كان لديك مكتب مساعدة مركزي أو فرق عمليات، فإنها تتطلب وصولا متكاملا إلى البيانات التي توفرها هذه المكونات.

يقدم Azure أنواعا مختلفة من خدمات التسجيل والمراقبة لتتبع سلوك الموارد المستضافة من Azure. لا تستند إدارة أحمال العمل والتحكم فيها في Azure فقط إلى جمع بيانات السجل، ولكن أيضا على القدرة على تشغيل الإجراءات استنادا إلى أحداث محددة تم الإبلاغ عنها.

Azure Monitor. يتضمن Azure خدمات متعددة تؤدي بشكل فردي دورًا أو مهمة محددة في مساحة المراقبة. تقدم هذه الخدمات معا حلا شاملا لجمع السجلات التي ينشئها النظام وتحليلها والعمل عليها من تطبيقاتك وموارد Azure التي تدعمها. كما يمكنهم العمل على مراقبة الموارد المحلية الهامة لتوفير بيئة مراقبة مختلطة. يعد فهم الأدوات والبيانات المتوفرة الخطوة الأولى في تطوير استراتيجية مراقبة كاملة لتطبيقاتك.

هناك نوعان أساسيان من السجلات في Azure Monitor:

  • المقاييس هي قيم عددية تصف بعض جوانب النظام في نقطة زمنية معينة. فهي خفيفة الوزن وقادرة على دعم سيناريوهات قريبة من الوقت الحقيقي. بالنسبة للعديد من موارد Azure، سترى البيانات التي تم جمعها بواسطة Azure Monitor مباشرة في صفحة النظرة العامة الخاصة بها في مدخل Microsoft Azure. على سبيل المثال، انظر إلى أي جهاز ظاهري وسترى العديد من المخططات تعرض مقاييس الأداء. حدد أي من الرسوم البيانية لفتح البيانات في مستكشف المقاييس في مدخل Microsoft Azure، والذي يسمح لك برسم قيم مقاييس متعددة بمرور الوقت. يمكنك عرض المخططات بشكل تفاعلي أو تثبيتها بلوحة معلومات لعرضها مع تصورات أخرى.

  • السجلات تحتوي على أنواع مختلفة من البيانات منظمة في سجلات بمجموعات مختلفة من الخصائص لكل نوع. يتم تخزين الأحداث والتتبعات كسجلات جنبا إلى جنب مع بيانات الأداء، والتي يمكن دمجها جميعا للتحليل. يمكن تحليل بيانات السجلات التي تجمعها Azure Monitor باستخدام الاستعلامات لاسترداد البيانات المجمَّعة ودمجها وتحليلها بسرعة. يتم تخزين السجلات والاستعلام عنها من تحليلات السجل. يمكنك إنشاء الاستعلامات واختبارها باستخدام تحليلات السجل في مدخل Microsoft Azure، وتحليل البيانات مباشرة باستخدام هذه الأدوات أو حفظ الاستعلامات لاستخدامها مع المرئيات أو قواعد التنبيه.

9

يمكن لـ Azure Monitor جمع البيانات من مصادر مختلفة. يمكنك التفكير في مراقبة البيانات لتطبيقاتك في مستويات تتراوح من التطبيق الخاص بك، وأي نظام تشغيل، والخدمات التي يعتمد عليها، وصولا إلى النظام الأساسي Azure نفسه. يجمع Azure Monitor البيانات من كل من المستويات التالية:

  • بيانات مراقبة التطبيق: بيانات حول أداء ووظائف التعليمات البرمجية التي كتبتها، بغض النظر عن نظامها الأساسي.
  • بيانات مراقبة نظام التشغيل الضيف: بيانات حول نظام التشغيل الذي يعمل عليه التطبيق الخاص بك. يمكن تشغيل نظام التشغيل هذا في Azure أو سحابة أخرى أو في مكان العمل.
  • ⁧⁧⁩⁩بيانات مراقبة موارد Azure: وبيانات عن تشغيل مورد Azure.
  • بيانات مراقبة اشتراك Azure: بيانات حول تشغيل وإدارة اشتراك Azure، وصحة وتشغيل Azure نفسه.
  • ⁧⁧⁩⁩⁧⁩بيانات مراقبة المستأجر على Azure:⁩⁧بيانات حول تشغيل خدمات Azure على مستوى المستأجر، مثل Azure Active Directory.
  • المصادر المخصصة: يمكن أيضا تضمين السجلات المرسلة من مصادر محلية. تتضمن الأمثلة أحداث الخادم المحلي أو إخراج سجل جهاز الشبكة.

مراقبة البيانات مفيدة فقط إذا كان يمكن أن تزيد من الرؤية في عملية بيئة الحوسبة الخاصة بك. يتضمن Azure Monitor العديد من الميزات والأدوات التي توفر رؤى قيمة لتطبيقاتك والموارد الأخرى التي تعتمد عليها. توفر حلول المراقبة والميزات مثل رؤى التطبيق وAzure Monitor للحاويات رؤى عميقة حول الجوانب المختلفة لتطبيقك وخدمات Azure المحددة.

حلول المراقبة في Azure Monitor هي مجموعات من المنطق التي توفر رؤى لتطبيق أو خدمة معينة. وهي تتضمن منطقا لجمع بيانات المراقبة للتطبيق أو الخدمة والاستعلامات لتحليل تلك البيانات وطرق العرض للتصور. تتوفر حلول المراقبة من Microsoft والشركاء لتوفير المراقبة لخدمات Azure المختلفة والتطبيقات الأخرى.

مع مثل هذه المجموعة من البيانات الغنية، من المهم اتخاذ إجراء استباقي بشأن الأحداث التي تحدث في بيئتك، خاصة عندما لا تكفي الاستعلامات اليدوية وحدها. تُعلِمك التنبيهات في Azure Monitor بشكل استباقي بالحالات الحرجة ومن المحتمل أن تحاول اتخاذ إجراء تصحيحي. توفر قواعد التنبيه المستندة إلى المقاييس تنبيها في الوقت الفعلي تقريبا استنادا إلى القيم الرقمية. تسمح قواعد التنبيه المستندة إلى السجلات بمنطق معقد عبر البيانات من مصادر متعددة. تستخدم قواعد التنبيه في Azure Monitor مجموعات إجراءات، والتي تتضمن مجموعات فريدة من المستلمين والإجراءات التي يمكن مشاركتها عبر عدة قواعد. استنادا إلى متطلباتك، يمكن لمجموعات الإجراءات استخدام خطافات الويب التي تتسبب في بدء التنبيهات في إجراءات خارجية أو التكامل مع أدوات ITSM الخاصة بك.

يسمح Azure Monitor أيضا بإنشاء لوحات معلومات مخصصة. تسمح لك لوحات معلومات Azure بدمج أنواع مختلفة من البيانات، بما في ذلك كل من المقاييس والسجلات، في جزء واحد في مدخل Microsoft Azure. يمكنك مشاركة لوحة المعلومات اختياريا مع مستخدمي Azure الآخرين. يمكن إضافة العناصر في جميع أنحاء Azure Monitor إلى لوحة معلومات Azure بالإضافة إلى إخراج أي استعلام سجل أو مخطط قياسات. على سبيل المثال، يمكنك إنشاء لوحة معلومات تجمع بين الإطارات المتجانبة التي تعرض رسما بيانيا للمقاييس وجدول سجلات النشاط ومخطط استخدام من رؤى التطبيق وإخراج استعلام السجل.

وأخيرا، تعد بيانات Azure Monitor مصدرا أصليا ل Power BI. Power BI هي خدمة تحليلات الأعمال التي توفر تصورات تفاعلية عبر مجموعة متنوعة من مصادر البيانات. كما أنها وسيلة فعالة لإتاحة البيانات للآخرين داخل مؤسستك وخارجها. يمكنك تكوين Power BI لاستيراد بيانات السجل تلقائيا من Azure Monitor للاستفادة من هذه المرئيات الأكثر.

يوفر Azure Network Watcher أدوات لمراقبة المقاييس وتشخيصها وعرضها وتمكين السجلات أو تعطيلها للموارد في شبكة ظاهرية في Azure. إنها خدمة متعددة الأوجه تسمح بالوظائف التالية والمزيد:

  • راقب الاتصال بين جهاز ظاهري ونقطة نهاية.
  • عرض الموارد في شبكة ظاهرية وعلاقاتها.
  • تشخيص مشاكل تصفية نسبة استخدام الشبكة من أو إلى جهاز ظاهري.
  • تشخيص مشكلات توجيه الشبكة من جهاز ظاهري.
  • تشخيص الاتصالات الصادرة من جهاز ظاهري.
  • التقاط الحزم من وإلى جهاز ظاهري.
  • تشخيص المشاكل المتعلقة ببوابة الشبكة الظاهرية والاتصالات.
  • تحديد زمن الانتقال النسبي بين مناطق Azure وموفري خدمة الإنترنت.
  • عرض قواعد الأمان لواجهة شبكة.
  • عرض مقاييس الشبكة.
  • تحليل نسبة استخدام الشبكة من أو إلى مجموعة أمان الشبكة.
  • عرض سجلات التشخيص لموارد الشبكة.

نوع المكون: أحمال العمل

مكونات حمل العمل هي المكان الذي توجد فيه تطبيقاتك وخدماتك الفعلية. إنه المكان الذي تقضي فيه فرق تطوير التطبيقات معظم وقتها.

إمكانيات حمل العمل لا نهاية لها. فيما يلي بعض أنواع حمل العمل المحتملة:

التطبيقات الداخلية: تعد تطبيقات خط الأعمال أمرا بالغ الأهمية لعمليات المؤسسة. هذه التطبيقات لها بعض الخصائص الشائعة:

  • التفاعليه: يتم إدخال البيانات، ويتم إرجاع النتائج أو التقارير.
  • يستند إلى البيانات: البيانات كثيفة مع الوصول المتكرر إلى قواعد البيانات أو التخزين الآخر.
  • المتكامله: عرض التكامل مع الأنظمة الأخرى داخل المؤسسة أو خارجها.

مواقع الويب التي تواجه العملاء (مواجهة الإنترنت أو مواجهة داخليا): معظم تطبيقات الإنترنت هي مواقع ويب. يمكن ل Azure تشغيل موقع ويب عبر جهاز ظاهري IaaS أو موقع Azure Web Apps (PaaS). تتكامل تطبيقات الويب Azure مع الشبكات الظاهرية لنشر تطبيقات الويب في منطقة شبكة محورية. لا تحتاج مواقع الويب المواجهة داخليا إلى كشف نقطة نهاية إنترنت عامة لأن الموارد يمكن الوصول إليها عبر عناوين خاصة غير قابلة للتوجيه عبر الإنترنت من الشبكة الظاهرية الخاصة.

تحليلات البيانات الضخمة: عندما تحتاج البيانات إلى توسيع نطاق وحدات التخزين الأكبر، قد لا تعمل قواعد البيانات الارتباطية بشكل جيد في ظل الحمل الشديد أو الطبيعة غير المنظمة للبيانات. Azure HDInsight هي خدمة تحليلات مُدارة كاملة الطيف ومفتوحة المصدر في السحابة للمؤسسات. يمكنك استخدام أطر عمل مفتوحة المصدر مثل Hadoop وApache Spark وApache Hive و LLAP وApache Kafka وApache Storm وR. HDInsight. يدعم هذا التوزيع في شبكة ظاهرية مستندة إلى الموقع، والتي يمكن نشرها إلى نظام مجموعة في محور مركز البيانات الظاهري.

الأحداث والمراسلة:Azure Event Hubs عبارة عن نظام أساسي لتدفق البيانات الضخمة وخدمة استيعاب الأحداث. ويمكن أن تتلقى ملايين الأحداث في الثانية ومعالجتها. يوفر زمن انتقال منخفضا واستبقاء وقت قابل للتكوين، مما يتيح لك استيعاب كميات هائلة من البيانات في Azure وقراءتها من تطبيقات متعددة. يمكن أن يدعم دفق واحد كلا من البنية الأساسية لبرنامج ربط العمليات التجارية في الوقت الحقيقي والمستندة إلى الدفعات.

يمكنك تنفيذ خدمة مراسلة سحابية موثوقة للغاية بين التطبيقات والخدمات من خلال ناقل خدمة Azure. يوفر المراسلة الوسيطة غير المتزامنة بين العميل والخادم، والمراسلة المنظمة أولا بأول (FIFO)، وتنشر إمكانات الاشتراك والاشتراك.

10

بالكاد تخدش هذه الأمثلة سطح أنواع أحمال العمل التي يمكنك إنشاؤها في Azure. يمكنك إنشاء كل شيء من تطبيق ويب وSQL أساسي إلى الأحدث في IoT والبيانات الضخمة والتعلم الآلي الذكاء الاصطناعي وغير ذلك الكثير.

قابلية وصول عالية: مراكز بيانات ظاهرية متعددة

حتى الآن، ركزت هذه المقالة على تصميم VDC واحد، ووصف المكونات والبنى الأساسية التي تساهم في المرونة. ميزات Azure مثل Azure Load Balancer وNVAs ومناطق التوفر ومجموعات التوفر ومجموعات المقاييس والقدرات الأخرى التي تساعدك على تضمين مستويات SLA الصلبة في خدمات الإنتاج الخاصة بك.

ومع ذلك، نظرا لأن مركز البيانات الظاهري يتم تنفيذه عادة داخل منطقة واحدة، فقد يكون عرضة للانقطاعات التي تؤثر على المنطقة بأكملها. يجب على العملاء الذين يحتاجون إلى توفر عال حماية الخدمات من خلال عمليات توزيع المشروع نفسه في تطبيقين أو أكثر من تطبيقات VDC الموزعة في مناطق مختلفة.

بالإضافة إلى مخاوف اتفاقية مستوى الخدمة، تستفيد العديد من السيناريوهات الشائعة من تشغيل مراكز بيانات ظاهرية متعددة:

  • التواجد الإقليمي أو العالمي للمستخدمين النهائيين أو الشركاء.
  • متطلبات التعافي من الكوارث.
  • آلية لتحويل نسبة استخدام الشبكة بين مراكز البيانات للتحميل أو الأداء.

التواجد الإقليمي/العالمي

توجد مراكز بيانات Azure في العديد من المناطق في جميع أنحاء العالم. عند تحديد مراكز بيانات Azure متعددة، ضع في اعتبارك عاملين مرتبطين: المسافات الجغرافية وا لزمن الانتقال. لتحسين تجربة المستخدم، قم بتقييم المسافة بين كل مركز بيانات ظاهري والمسافة من كل مركز بيانات ظاهري إلى المستخدمين النهائيين.

يجب أن تتوافق منطقة Azure التي تستضيف مركز البيانات الظاهري مع المتطلبات التنظيمية لأي ولاية قضائية قانونية تعمل بموجبها مؤسستك.

التعافي من الكوارث

يعتمد تصميم خطة الإصلاح بعد كارثة على أنواع أحمال العمل والقدرة على مزامنة حالة أحمال العمل هذه بين تطبيقات VDC المختلفة. من الناحية المثالية، يرغب معظم العملاء في آلية تجاوز الفشل السريع، وقد يحتاج هذا المطلب إلى مزامنة بيانات التطبيق بين عمليات التوزيع التي تعمل في تطبيقات VDC متعددة. ومع ذلك، عند تصميم خطط الإصلاح بعد كارثة، من المهم مراعاة أن معظم التطبيقات حساسة لزمن الانتقال الذي يمكن أن يحدث بسبب مزامنة البيانات هذه.

تتطلب المزامنة ومراقبة رسالة كشف أخطاء الاتصال للتطبيقات في تطبيقات VDC المختلفة الاتصال عبر الشبكة. يمكن توصيل تطبيقات VDC المتعددة في مناطق مختلفة من خلال:

  • الاتصال من مركز إلى مركز المضمن في مراكز Azure Virtual WAN عبر المناطق في نفس شبكة WAN الظاهرية.
  • تناظر الشبكة الظاهرية لتوصيل المراكز عبر المناطق.
  • نظير ExpressRoute الخاص، عندما تكون المراكز في كل تنفيذ VDC متصلة بنفس دائرة ExpressRoute.
  • دوائر ExpressRoute متعددة متصلة عبر العمود الفقري للشركات، وتنفيذات VDC المتعددة المتصلة بدوائر ExpressRoute.
  • اتصالات VPN من موقع إلى موقع بين منطقة المركز لتطبيقات VDC في كل منطقة Azure.

عادة ما يتم تفضيل مراكز Virtual WAN أو نظير الشبكة الظاهرية أو اتصالات ExpressRoute لاتصال الشبكة، بسبب النطاق الترددي العالي ومستويات زمن الانتقال المتسقة عند المرور عبر العمود الفقري ل Microsoft.

قم بتشغيل اختبارات تأهيل الشبكة للتحقق من زمن الانتقال وعرض النطاق الترددي لهذه الاتصالات، وتحديد ما إذا كان النسخ المتماثل للبيانات المتزامنة أو غير المتزامنة مناسبا بناء على النتيجة. من المهم أيضا الموازنة بين هذه النتائج نظرا لهدف وقت الاسترداد الأمثل (RTO).

الإصلاح بعد كارثة: تحويل نسبة استخدام الشبكة من منطقة إلى أخرى

يتحقق كل من Azure Traffic ManagerوAzure Front Door بشكل دوري من صحة الخدمة لنقاط نهاية الاستماع في تطبيقات VDC المختلفة. إذا فشلت نقاط النهاية هذه، فإن Azure Traffic Manager ومسار Azure Front Door تلقائيا إلى أقرب VDC التالي. يستخدم Traffic Manager قياسات المستخدم في الوقت الحقيقي وDNS لتوجيه المستخدمين إلى الأقرب (أو الأقرب بعد ذلك أثناء الفشل). Azure Front Door هو وكيل عكسي في أكثر من 100 موقع حافة عمودي من Microsoft، باستخدام anycast لتوجيه المستخدمين إلى أقرب نقطة نهاية استماع.

الملخص

نهج مركز البيانات الظاهري للترحيل هو إنشاء بنية قابلة للتطوير تعمل على تحسين استخدام موارد Azure وخفض التكاليف وتبسيط إدارة النظام. يعتمد مركز البيانات الظاهري نموذجيا على تخطيطات الشبكة المحورية (باستخدام تناظر الشبكة الظاهرية أو مراكز Virtual WAN). يتم نشر الخدمات المشتركة الشائعة المقدمة في المركز، وتطبيقات وأحمال عمل محددة في المحاور. يطابق مركز البيانات الظاهري أيضا بنية أدوار الشركة، حيث تعمل الأقسام المختلفة مثل تكنولوجيا المعلومات المركزية وDevOps والعمليات والصيانة معا أثناء أداء أدوارها المحددة. يدعم مركز البيانات الظاهري ترحيل أحمال العمل المحلية الحالية إلى Azure، ولكنه يوفر أيضا العديد من المزايا لعمليات التوزيع الأصلية على السحابة.

المراجع

تعرف على المزيد حول قدرات Azure التي تمت مناقشتها في هذا المستند.

الخطوات التالية

  • تعرف على المزيد حول تناظر الشبكة الظاهرية، والتكنولوجيا الأساسية لطوبولوجيا المركز والمتحدث.
  • تنفيذ Azure Active Directory لاستخدام التحكم في الوصول المستند إلى الدور في Azure.
  • تطوير نموذج إدارة الاشتراك والموارد باستخدام التحكم في الوصول المستند إلى الدور في Azure الذي يناسب بنية مؤسستك ومتطلباتها ونهجها. أهم نشاط هو التخطيط. تحليل كيفية تأثير عمليات إعادة التنظيم وعمليات الدمج وخطوط المنتجات الجديدة والاعتبارات الأخرى على نماذجك الأولية لضمان إمكانية التوسع لتلبية الاحتياجات والنمو في المستقبل.