الاتصال خطة معمل إلى شبكة ظاهرية مع شبكات متقدمة

  • مقالة

توضح هذه المقالة كيفية توصيل خطة مختبر بشبكة ظاهرية مع شبكات Azure Lab Services المتقدمة. مع الشبكات المتقدمة، لديك المزيد من التحكم في تكوين الشبكة الظاهرية لمختبراتك. على سبيل المثال، للاتصال بالموارد المحلية مثل خوادم الترخيص، أو لاستخدام المسارات المعرفة من قبل المستخدم (UDRs). تعرف على المزيد حول سيناريوهات الشبكات المدعومة والطوبولوجيا للشبكات المتقدمة.

تحل الشبكات المتقدمة لخطط المختبر محل نظير الشبكة الظاهرية ل Azure Lab Services المستخدم مع حسابات المختبر.

اتبع هذه الخطوات لتكوين الشبكات المتقدمة لخطة المختبر:

  1. تفويض الشبكة الفرعية للشبكة الظاهرية إلى خطط مختبر Azure Lab Services. يسمح التفويض ل Azure Lab Services بإنشاء قالب المختبر والأجهزة الظاهرية للمختبر في الشبكة الظاهرية.
  2. تكوين مجموعة أمان الشبكة للسماح بحركة مرور RDP أو SSH الواردة إلى الجهاز الظاهري لقالب المختبر والأجهزة الظاهرية للمختبر.
  3. إنشاء خطة معمل مع شبكة متقدمة لربطها بالشبكة الفرعية للشبكة الظاهرية.
  4. (اختياري) تكوين شبكتك الظاهرية.

يمكن تمكين الشبكات المتقدمة فقط عند إنشاء خطة مختبر. الشبكات المتقدمة ليست إعدادا يمكن تحديثه لاحقا.

يوضح الرسم التخطيطي التالي نظرة عامة على تكوين الشبكة المتقدمة ل Azure Lab Services. يتم تعيين عنوان IP لقالب المختبر والأجهزة الظاهرية للمختبر في شبكتك الفرعية، وتسمح مجموعة أمان الشبكة لمستخدمي المختبر بالاتصال بالأجهزة الظاهرية للمختبر باستخدام RDP أو SSH.

Diagram that shows an overview of the advanced networking configuration in Azure Lab Services.

إشعار

إذا كانت مؤسستك بحاجة إلى إجراء تصفية المحتوى، مثل الامتثال لقانون حماية إنترنت الأطفال (CIPA)، فستحتاج إلى استخدام برامج الجهات الخارجية. لمزيد من المعلومات، اقرأ إرشادات حول تصفية المحتوى في سيناريوهات الشبكات المدعومة.

المتطلبات الأساسية

  • حساب Azure مع اشتراك نشط. أنشئ حساباً مجاناً.
  • يحتوي حساب Azure الخاص بك على دور مساهم الشبكة، أو أحد أصل هذا الدور، على الشبكة الظاهرية.
  • شبكة Azure الظاهرية والشبكة الفرعية في نفس منطقة Azure حيث تقوم بإنشاء خطة المختبر. تعرف على كيفية إنشاء شبكة ظاهرية وشبكة فرعية.
  • تحتوي الشبكة الفرعية على عناوين IP مجانية كافية للأجهزة الظاهرية للقالب والأجهزة الظاهرية للمختبر لجميع المختبرات (يستخدم كل مختبر 512 عنوان IP) في خطة المختبر.

1. تفويض الشبكة الفرعية للشبكة الظاهرية

لاستخدام الشبكة الفرعية للشبكة الظاهرية للشبكات المتقدمة في Azure Lab Services، تحتاج إلى تفويض الشبكة الفرعية إلى خطط مختبر Azure Lab Services. يمنح تفويض الشبكة الفرعية أذونات صريحة ل Azure Lab Services لإنشاء موارد خاصة بالخدمة، مثل الأجهزة الظاهرية للمختبر، في الشبكة الفرعية.

يمكنك تفويض خطة مختبر واحدة فقط في كل مرة للاستخدام مع شبكة فرعية واحدة.

اتبع هذه الخطوات لتفويض شبكتك الفرعية لاستخدامها مع خطة مختبر:

  1. سجل الدخول إلى مدخل Azure.

  2. انتقل إلى شبكتك الظاهرية، وحدد الشبكات الفرعية.

  3. حدد شبكة فرعية مخصصة ترغب في تفويضها إلى Azure Lab Services.

    هام

    يجب عدم استخدام الشبكة الفرعية التي تستخدمها ل Azure Lab Services بالفعل لبوابة VNET أو Azure Bastion.

  4. في تفويض الشبكة الفرعية إلى خدمة، حدد Microsoft.LabServices/labplans، ثم حدد حفظ.

    Screenshot of the subnet properties page in the Azure portal, highlighting the Delegate subnet to a service setting.

  5. تحقق من ظهور Microsoft.LabServices/labplans في العمود Delegated to للشبكة الفرعية.

    Screenshot of list of subnets for a virtual network in the Azure portal, highlighting the Delegated to columns.

2. تكوين مجموعة أمان الشبكة

عند توصيل خطة المختبر الخاصة بك بشبكة ظاهرية، تحتاج إلى تكوين مجموعة أمان شبكة (NSG) للسماح بنسبة استخدام الشبكة RDP/SSH الواردة من كمبيوتر المستخدم إلى الجهاز الظاهري للقالب والأجهزة الظاهرية للمختبر. تحتوي مجموعة أمان الشبكة على قواعد التحكم في الوصول التي تسمح بنسبة استخدام الشبكة أو ترفضها استنادا إلى اتجاه حركة المرور والبروتوكول وعنوان المصدر والمنفذ وعنوان الوجهة والمنفذ.

يمكن تغيير قواعد NSG في أي وقت، ويتم تطبيق التغييرات على جميع المثيلات المقترنة. قد يستغرق الأمر ما يصل إلى 10 دقائق حتى تكون تغييرات NSG فعالة.

هام

إذا لم تقم بتكوين مجموعة أمان شبكة، فلن تتمكن من الوصول إلى قالب المختبر VM والأجهزة الظاهرية المختبرية عبر RDP أو SSH.

يتكون تكوين مجموعة أمان الشبكة للشبكات المتقدمة من خطوتين:

  1. إنشاء مجموعة أمان شبكة تسمح بحركة مرور RDP/SSH
  2. إقران مجموعة أمان الشبكة بالشبكة الفرعية للشبكة الظاهرية

يمكنك استخدام NSG للتحكم في نسبة استخدام الشبكة إلى جهاز ظاهري واحد أو أكثر (VMs) أو مثيلات الأدوار أو محولات الشبكة (NICs) أو الشبكات الفرعية في شبكتك الظاهرية. تحتوي مجموعة أمان الشبكة على قواعد التحكم في الوصول التي تسمح بنسبة استخدام الشبكة أو ترفضها استنادا إلى اتجاه حركة المرور والبروتوكول وعنوان المصدر والمنفذ وعنوان الوجهة والمنفذ. يمكن تغيير قواعد NSG في أي وقت، ويتم تطبيق التغييرات على جميع المثيلات المقترنة.

لمزيد من المعلومات حول مجموعات أمان الشبكة، تفضل بزيارة ما هو NSG.

يمكنك استخدام NSG للتحكم في نسبة استخدام الشبكة إلى جهاز ظاهري واحد أو أكثر (VMs) أو مثيلات الأدوار أو محولات الشبكة (NICs) أو الشبكات الفرعية في شبكتك الظاهرية. تحتوي مجموعة أمان الشبكة على قواعد التحكم في الوصول التي تسمح بنسبة استخدام الشبكة أو ترفضها استنادا إلى اتجاه حركة المرور والبروتوكول وعنوان المصدر والمنفذ وعنوان الوجهة والمنفذ. يمكن تغيير قواعد NSG في أي وقت، ويتم تطبيق التغييرات على جميع المثيلات المقترنة.

لمزيد من المعلومات حول مجموعات أمان الشبكة، تفضل بزيارة ما هو NSG.

إنشاء مجموعة أمان شبكة للسماح بنسبة استخدام الشبكة

اتبع هذه الخطوات لإنشاء NSG والسماح بنسبة استخدام الشبكة RDP أو SSH الواردة:

  1. إذا لم يكن لديك مجموعة أمان شبكة حتى الآن، فاتبع هذه الخطوات لإنشاء مجموعة أمان شبكة (NSG).

    تأكد من إنشاء مجموعة أمان الشبكة في نفس منطقة Azure مثل الشبكة الظاهرية وخطة المختبر.

  2. إنشاء قاعدة أمان واردة للسماح بنسبة استخدام الشبكة RDP وSSH.

    1. انتقل إلى مجموعة أمان الشبكة في مدخل Microsoft Azure.

    2. حدد قواعد الأمان الواردة، ثم حدد + إضافة.

    3. أدخل تفاصيل قاعدة الأمان الواردة الجديدة:

      الإعداد القيمة‬
      Source حدد "Any".
      نطاقات منافذ المصادر أدخل *.
      الوجهه حدد IP Addresses.
      عناوين IP الوجهة/نطاقات CIDR حدد نطاق الشبكة الفرعية للشبكة الظاهرية.
      الخدمة حدد مخصص.
      نطاقات منفذ الوجهة أدخل 22، 3389. المنفذ 22 هو لبروتوكول Secure Shell (SSH). المنفذ 3389 مخصص لبروتوكول سطح المكتب البعيد (RDP).
      البروتوكول حدد "Any".
      الإجراء حدد السماح.
      الأولوية أدخل 1000. يجب أن تكون الأولوية أعلى من قواعد الرفض الأخرى ل RDP أو SSH.
      الاسم أدخل AllowRdpSshForLabs.

    4. حدد Add لإضافة قاعدة الأمان الواردة إلى NSG.

إقران الشبكة الفرعية بمجموعة أمان الشبكة

بعد ذلك، قم بإقران NSG بالشبكة الفرعية للشبكة الظاهرية لتطبيق قواعد نسبة استخدام الشبكة على حركة مرور الشبكة الظاهرية.

  1. انتقل إلى مجموعة أمان الشبكة، وحدد الشبكات الفرعية.

  2. حدد + Associate من شريط القوائم العلوي.

  3. للشبكة الظاهرية، حدد الشبكة الظاهرية.

  4. بالنسبة للشبكة الفرعية، حدد الشبكة الفرعية للشبكة الظاهرية.

    Screenshot of the Associate subnet page in the Azure portal.

  5. حدد OK لربط الشبكة الفرعية للشبكة الظاهرية بمجموعة أمان الشبكة.

3. إنشاء خطة معمل مع شبكة متقدمة

الآن بعد أن قمت بتكوين الشبكة الفرعية ومجموعة أمان الشبكة، يمكنك إنشاء خطة المختبر مع الشبكات المتقدمة. عند إنشاء معمل جديد على خطة المختبر، تقوم Azure Lab Services بإنشاء قالب المختبر والأجهزة الظاهرية للمختبر في الشبكة الفرعية للشبكة الظاهرية.

هام

يجب تكوين شبكة متقدمة عند إنشاء خطة مختبر. لا يمكنك تمكين الشبكات المتقدمة في مرحلة لاحقة.

لإنشاء خطة مختبر مع شبكة متقدمة في مدخل Microsoft Azure:

  1. سجل الدخول إلى مدخل Azure.

  2. حدد Create a resource في الزاوية العلوية اليمنى من مدخل Microsoft Azure، وابحث عن خطة المختبر.

  3. أدخل المعلومات الموجودة في علامة التبويب Basics في صفحة Create a lab plan .

    لمزيد من المعلومات، راجع إنشاء خطة مختبر باستخدام Azure Lab Services.

  4. في علامة التبويب Networking ، حدد Enable advanced networking لتكوين الشبكة الفرعية للشبكة الظاهرية.

  5. للشبكة الظاهرية، حدد الشبكة الظاهرية. بالنسبة للشبكة الفرعية، حدد الشبكة الفرعية للشبكة الظاهرية.

    إذا لم تظهر شبكتك الظاهرية في القائمة، فتحقق من أن خطة المختبر موجودة في نفس منطقة Azure مثل الشبكة الظاهرية، ومن أنك قمت تفويض الشبكة الفرعية إلى Azure Lab Services، وأن حساب Azure الخاص بك لديه الأذونات اللازمة.

    Screenshot of the Networking tab of the Create a lab plan wizard.

  6. حدد Review + Create لإنشاء خطة المختبر مع الشبكات المتقدمة.

    يمكن لمستخدمي المختبر ومديري المختبر الآن الاتصال بأجهزتهم الظاهرية المعملية أو الجهاز الظاهري لقالب المختبر باستخدام RDP أو SSH.

    عند إنشاء معمل جديد، يتم إنشاء جميع الأجهزة الظاهرية في الشبكة الظاهرية وتعيين عنوان IP ضمن نطاق الشبكة الفرعية.

4. (اختياري) تحديث إعدادات تكوين الشبكة

يوصى باستخدام إعدادات التكوين الافتراضية للشبكة الظاهرية والشبكة الفرعية عند استخدام الشبكات المتقدمة في Azure Lab Services.

بالنسبة لسيناريوهات شبكة اتصال معينة، قد تحتاج إلى تحديث تكوين الشبكة. تعرف على المزيد حول بنيات الشبكات المدعومة والطوبولوجيا في Azure Lab Services وتكوين الشبكة المقابلة.

يمكنك تعديل إعدادات الشبكة الظاهرية بعد إنشاء خطة المختبر مع الشبكات المتقدمة. ومع ذلك، عند تغيير إعدادات DNS على الشبكة الظاهرية، تحتاج إلى إعادة تشغيل أي أجهزة ظاهرية معملية قيد التشغيل. إذا تم إيقاف الأجهزة الظاهرية للمختبر، فستتلقى تلقائيا إعدادات DNS المحدثة عند بدء تشغيلها.

تنبيه

تغييرات تكوين الشبكة التالية غير مدعومة بعد تكوين الشبكات المتقدمة :

  • احذف الشبكة الظاهرية أو الشبكة الفرعية المقترنة بخطة المختبر. يؤدي هذا إلى توقف المختبرات عن العمل.
  • تغيير نطاق عناوين الشبكة الفرعية عند وجود أجهزة ظاهرية تم إنشاؤها (جهاز ظاهري للقالب أو أجهزة ظاهرية معملية).
  • تغيير تسمية DNS على عنوان IP العام. يؤدي هذا إلى توقف زر الاتصال للأجهزة الظاهرية للمختبر عن العمل.
  • تغيير تكوين IP للواجهة الأمامية على موازن تحميل Azure. يؤدي هذا إلى توقف زر الاتصال للأجهزة الظاهرية للمختبر عن العمل.
  • تغيير FQDN على عنوان IP العام.
  • استخدم جدول توجيه مع مسار افتراضي للشبكة الفرعية (نفق إجباري). يؤدي هذا إلى فقدان المستخدمين الاتصال بمختبرهم.
  • استخدام Azure Firewall أو Azure Bastion غير مدعوم.

الخطوات التالية