تأمين نسبة استخدام الشبكة بين تطبيقات المنطق القياسي وشبكات Azure الافتراضية باستخدام نقاط النهاية الخاصة
ينطبق على: Azure Logic Apps (قياسي)
للتواصل بشكل آمن وخاص بين سير عملك في تطبيق منطق قياسي وشبكة Azure الظاهرية، يمكنك إعداد نقاط نهاية خاصة لنسبة استخدام الشبكة الواردة واستخدام تكامل الشبكة الظاهرية لنسبة استخدام الشبكة الصادرة.
نقطة النهاية الخاصة هي واجهة شبكة تتصل بشكل خاص وآمن بخدمة مدعومة من قِبل Azure Private Link. يمكن أن تكون هذه الخدمة إحدى خدمات Azure مثل Azure Logic Apps أو Azure Storage أو Azure Cosmos DB أو SQL أو خدمة Private Link الخاصة بك. تستخدم نقطة النهاية الخاصة عنوان IP خاصاً من شبكتك الظاهرية، مما يؤدي بشكل فعال إلى جلب الخدمة إلى شبكتك الظاهرية.
توضح هذه المقالة كيفية إعداد الوصول من خلال نقاط النهاية الخاصة لنسبة استخدام الشبكة الواردة وتكامل الشبكة الظاهرية لنسبة استخدام الشبكة الصادرة.
لمعرفة مزيد من المعلومات، راجع الوثائق التالية:
- ما هي نقطة نهاية Azure الخاصة؟
- نقاط النهاية الخاصة - تكامل التطبيق مع شبكة Azure الظاهرية
- ما هو Azure Private Link؟
- تكامل الشبكة الظاهرية الإقليمي؟
المتطلبات الأساسية
شبكة Azure ظاهرية جديدة أو موجودة تتضمن شبكة فرعية دون أي تفويضات. تُستخدم هذه الشبكة الفرعية لتوزيع عناوين IP الخاصة وتخصيصها من الشبكة الظاهرية.
لمعرفة مزيد من المعلومات، راجع الوثائق التالية:
تثبيت أو استخدام أداة يمكنها إرسال طلبات HTTP لاختبار الحل الخاص بك، على سبيل المثال:
- Visual Studio Code مع ملحق من Visual Studio Marketplace
- استدعاء PowerShell-RestMethod
- Microsoft Edge - أداة وحدة تحكم الشبكة
- برونو
- curl
تنبيه
بالنسبة للسيناريوهات التي يكون لديك فيها بيانات حساسة، مثل بيانات الاعتماد والأسرار ورمز الوصول المميزة ومفاتيح واجهة برمجة التطبيقات ومعلومات أخرى مشابهة، تأكد من استخدام أداة تحمي بياناتك باستخدام ميزات الأمان الضرورية، وتعمل دون اتصال أو محليا، ولا تقوم بمزامنة بياناتك مع السحابة، ولا تتطلب تسجيل الدخول إلى حساب عبر الإنترنت. وبهذه الطريقة، يمكنك تقليل المخاطر المتعلقة بكشف البيانات الحساسة للجمهور.
قم بإعداد نسبة استخدام الشبكة الواردة من خلال نقاط النهاية الخاصة
لتأمين نسبة استخدام الشبكة الواردة إلى سير عملك، أكمل هذه الخطوات عالية المستوى:
ابدأ سير العمل باستخدام مشغل مضمن يمكنه تلقي الطلبات الواردة ومعالجتها، مثل مشغل الطلب أو مشغل HTTP + Webhook . يقوم هذا المشغل بإعداد سير العمل الخاص بك بنقطة نهاية قابلة للاستدعاء.
أضف نقطة نهاية خاصة لمورد تطبيقك المنطقي إلى شبكتك الظاهرية.
قم بإجراء مكالمات اختبار للتحقق من الوصول إلى نقطة النهاية. للاتصال بسير عمل التطبيق المنطقي بعد إعداد نقطة النهاية هذه، يجب أن تكون متصلاً بالشبكة الظاهرية.
اعتبارات لنسبة استخدام الشبكة الواردة من خلال نقاط النهاية الخاصة
إذا تم الوصول إليه من خارج شبكتك الظاهرية، فلن يتمكن عرض المراقبة من الوصول إلى المدخلات والمخرجات من المشغلات والإجراءات.
مشغلات الويب هوك لواجهة برمجة التطبيقات المُدارة (مشغلاتالدفع ) ولن تعمل الإجراءات لأنها تعمل في السحابة العامة ولا يمكنها الاتصال بشبكتك الخاصة. تتطلب نقطة نهاية عامة لتلقي المكالمات. على سبيل المثال، تتضمن هذه المشغلات مشغل Dataverse ومشغل Event Grid.
إذا كنت تستخدم مشغل Office 365 Outlook، فسيتم تشغيل سير العمل كل ساعة فقط.
لا يعمل التوزيع من Visual Studio Code أو Azure CLI إلا من داخل الشبكة الظاهرية. يمكنك استخدام Deployment Center لربط تطبيقك المنطقي بـ GitHub repo. يمكنك بعد ذلك استخدام البنية الأساسية لـ Azure لإنشاء التعليمة البرمجية وتوزيعها.
لكي يعمل تكامل GitHub، أزل الإعداد
WEBSITE_RUN_FROM_PACKAGE
من تطبيقك المنطقي أو اضبط القيمة على0
.لا يؤثر تمكين الرابط الخاص على نسبة استخدام الشبكة الصادرة، والتي لا تزال تتدفق عبر البنية الأساسية لخدمة التطبيقات.
المتطلبات الأساسية لنسبة استخدام الشبكة الواردة من خلال نقاط النهاية الخاصة
بالإضافة إلى إعداد الشبكة الظاهرية في المتطلبات الأساسية رفيعة المستوى، تحتاج إلى أن تمتلك سير عمل لتطبيق منطق "قياسي" جديد أو حالي يبدأ بمشغّل مضمن يمكنه تلقي الطلبات.
على سبيل المثال، ينشئ مشغل الطلب نقطة نهاية على سير العمل الخاص بك يمكنها تلقي الطلبات الواردة من المتصلين الآخرين ومعالجتها، بما في ذلك مهام سير العمل. توفر نقطة النهاية هذه عنوان URL يمكنك استخدامه لاستدعاء سير العمل وتشغيله. على سبيل المثال، تستمر الخطوات مع مشغل الطلب .
لمزيد من المعلومات، راجع تلقي طلبات HTTP الواردة والرد عليها باستخدام Azure Logic Apps.
قم بإنشاء سير العمل
إذا لم تكن قد قمت بذلك بالفعل، فقم بإنشاء تطبيق منطق مستند إلى مستأجر واحد وسير عمل فارغ.
بعد فتح المصمم، أضف مشغل الطلب كخطوة أولى في سير العمل.
بناءً على متطلبات السيناريو الخاصة بك، أضف الإجراءات الأخرى التي تريد تشغيلها في سير العمل الخاص بك.
عند الانتهاء، احفظ سير العمل الخاص بك.
لمزيد من المعلومات، راجع إنشاء مهام سير عمل تطبيق منطق المستأجر الفردي في Azure Logic Apps.
انسخ عنوان URL لنقطة النهاية
في قائمة سير العمل، حدد Overview.
في الصفحة نظرة عامة، انسخ عنوان URL لسير العمل واحفظه لاستخدامه لاحقاً.
لاختبار عنوان URL وتشغيل سير العمل، أرسل طلب HTTP إلى عنوان URL باستخدام أداة طلب HTTP والتعليمات الخاصة به.
قم بإعداد اتصال نقطة النهاية الخاصة
في قائمة مورد تطبيق المنطق، ضمن الإعدادات، قم بتحديد الشبكات.
في صفحة Networking ، في قسم Inbound traffic configuration ، حدد الارتباط بجوار نقاط النهاية الخاصة.
في صفحة Private Endpoint connections، حدد Add>Express أو Advanced.
لمزيد من المعلومات حول الخيار خيارات متقدمة، راجع إنشاء نقطة نهاية خاصة.
في جزء إضافة نقطة نهاية خاصة، قم بتوفير المعلومات المطلوبة حول نقطة النهاية.
لمزيد من المعلومات، راجع خصائص نقطة النهاية الخاصة.
بعد قيام Azure بتوفير نقطة النهاية الخاصة بنجاح، حاول مرة أخرى استدعاء عنوان URL الخاص بسير العمل.
هذه المرة، تحصل على خطأ متوقع
403 Forbidden
، مما يعني أنه تم إعداد نقطة النهاية الخاصة وتعمل بشكل صحيح.للتأكد من أن الاتصال يعمل بشكل صحيح، قم بإنشاء جهاز ظاهري في نفس الشبكة الظاهرية التي تحتوي على نقطة النهاية الخاصة، وحاول استدعاء سير عمل تطبيق المنطق.
إعداد نسبة استخدام الشبكة الصادرة باستخدام تكامل الشبكة الظاهرية
لتأمين نسبة استخدام الشبكة الصادرة من تطبيقك المنطقي، يمكنك تكامل تطبيقك المنطقي مع شبكة ظاهرية. أولاً، قم بإنشاء واختبار مثال لسير العمل. يمكنك بعد ذلك إعداد تكامل الشبكة الظاهرية.
اعتبارات لنسبة استخدام الشبكة الصادرة من خلال تكامل الشبكة الظاهرية
يؤثر إعداد تكامل الشبكة الظاهرية على نسبة استخدام الشبكة الصادرة فقط. لتأمين نسبة استخدام الشبكة الواردة، والتي تستمر في استخدام نقطة النهاية المشتركة لـ App Service، راجع إعداد نسبة استخدام الشبكة الواردة من خلال نقاط النهاية الخاصة.
لا يمكنك تغيير حجم الشبكة الفرعية بعد التعيين، لذا استخدم شبكة فرعية كبيرة بما يكفي لاستيعاب المقياس الذي قد يصل إليه تطبيقك. لتجنب أية مشكلات تتعلق بسعة الشبكة الفرعية، استخدم
/26
شبكة فرعية تحتوي على 64 عنواناً. إذا قمت بإنشاء الشبكة الفرعية لتكامل الشبكة الظاهرية مع مدخل Microsoft Azure، فيجب عليك استخدام/27
كالحد الأدنى لحجم الشبكة الفرعية.لكي يعمل وقت تشغيل Azure Logic Apps، يجب أن يكون لديك اتصال غير منقطع بوحدة تخزين الواجهة الخلفية. إذا عُرض تخزين الواجهة الخلفية للشبكة الظاهرية من خلال نقطة نهاية خاصة، فتأكد من فتح المنفذ التالي:
منفذ المصدر منفذ الوجهة المصدر الوجهة البروتوكول الغرض * 443 الشبكة الفرعية المتكاملة مع تطبيق المنطق القياسي حساب التخزين TCP حساب التخزين * 445 الشبكة الفرعية المتكاملة مع تطبيق المنطق القياسي حساب التخزين TCP مشاركة ملفات بروتوكول Server Message Block (SMB) لكي تعمل الموصلات المُدارة المستضافة من Azure، يجب أن يكون لديك اتصال غير منقطع بخدمة API المُدارة. مع تكامل الشبكة الظاهرية، تأكد من عدم وجود جدار حماية أو نهج أمان شبكة يمنع هذه الاتصالات. إذا كانت شبكتك الظاهرية تستخدم مجموعة أمان شبكة (NSG) أو جدول توجيه معرف من قبل المستخدم (UDR) أو جدار حماية، فتأكد من أن الشبكة الظاهرية تسمح بالاتصالات الصادرة إلى جميع عناوين IP للموصل المدارة في المنطقة المقابلة. وإلا، فلن تعمل الموصلات المدارة من Azure.
لمعرفة مزيد من المعلومات، راجع الوثائق التالية:
إنشاء واختبار سير العمل
إذا لم تكن قد قمت بذلك بالفعل، في مدخل Microsoft Azure، فأنشئ تطبيقاً منطقياً يستند إلى مستأجر واحد وسير عمل فارغ.
بعد فتح المصمم، أضف مشغل الطلب كخطوة أولى في سير العمل.
أضف إجراء HTTP لاستدعاء خدمة داخلية غير متوفرة عبر الإنترنت وتعمل بعنوان IP خاص مثل
10.0.1.3
.عند الانتهاء، احفظ سير العمل الخاص بك.
من المصمم، قم بتشغيل سير العمل يدوياً.
فشل إجراء HTTP، وهو حسب التصميم ومتوقع لأن سير العمل يعمل في السحابة ولا يمكنه الوصول إلى خدمتك الداخلية.
إعداد تكامل الشبكة الظاهرية
في مدخل Microsoft Azure، في قائمة مورد تطبيق المنطق، ضمن Settings، حدد Networking.
في صفحة Networking ، في قسم Outbound traffic configuration ، حدد الارتباط بجوار تكامل الشبكة الظاهرية.
في صفحة تكامل الشبكة الظاهرية، حدد إضافة تكامل الشبكة الظاهرية.
في جزء إضافة تكامل الشبكة الظاهرية، حدد الاشتراك والشبكة الظاهرية التي تتصل بالخدمة الداخلية والشبكة الفرعية حيث يمكنك إضافة تطبيق المنطق. عند الانتهاء، حدد اتصال.
في صفحة تكامل الشبكة الظاهرية، بشكل افتراضي، يتم تحديد إعداد نسبة استخدام شبكة الإنترنت الصادرة، والذي يوجه جميع نسبة استخدام الشبكة الصادرة عبر الشبكة الظاهرية. في هذا السيناريو، يتم تجاهل إعداد التطبيق المسمى WEBSITE_VNET_ROUTE_ALL .
للعثور على إعداد التطبيق هذا، في قائمة موارد التطبيق المنطقي، ضمن Settings، حدد Environment variables.
إذا كنت تستخدم خادم اسم المجال (DNS) الخاص بك مع شبكتك الظاهرية، أضف إعداد تطبيق WEBSITE_DNS_SERVER ، إذا لم يكن موجودا، وقم بتعيين القيمة إلى عنوان IP ل DNS الخاص بك. إذا كان لديك DNS ثانوي، فقم بإضافة إعداد تطبيق آخر يسمى WEBSITE_DNS_ALT_SERVER، ثم قم بتعيين القيمة إلى IP ل DNS الثانوي.
بعد أن يوفر Azure تكامل الشبكة الظاهرية بنجاح، حاول تشغيل سير العمل مرة أخرى.
يعمل إجراء HTTP الآن بنجاح.