نظرة عامة على خدمات شبكات Azure
توفر خدمات الشبكات في Azure قدرات شبكات مختلفة يمكن استخدامها معا أو بشكل منفصل. حدد أيا من القدرات الرئيسية التالية لمعرفة المزيد عنها:
- الاتصال ivity services: الاتصال موارد Azure والموارد المحلية باستخدام أي أو مجموعة من خدمات الشبكات هذه في Azure - Virtual Network (VNet) وVirtual WAN وExpressRoute وVPN Gateway وNET Gateway وAzure DNS وخدمة Peering وAzure Virtual Network Manager و Route Server وAzure Bastion.
- خدمات حماية التطبيقات: حماية التطبيقات باستخدام أي أو مجموعة من هذه الخدمات الشبكات في Azure -- موازن التحميل، وصلة خاصة، حماية DDoS وFirewall، وNetwork Security Groups، Web Application Firewall ونقاط نهاية الشبكة الظاهرية.
- خدمات توصيل التطبيقات:تقديم التطبيقات في شبكة Azure باستخدام أي من خدمات الشبكات هذه أو مزيج منها في Azure - Content Delivery Network (CDN) وAzure Front Door Service وTraffic Manager وApplication Gateway وInternet Analyzer Load Balancer.
- مراقبة الشبكة: راقب موارد الشبكة باستخدام أي من خدمات الشبكات هذه أو مجموعة منها في Azure - مراقب الشبكة أو مراقب ExpressRoute أو Azure Monitor أو نقطة وصول محطة VNet الطرفية (TAP).
خدمات التوصيل
يصف هذا القسم الخدمات التي توفر الاتصال بين موارد Azure، والاتصال من شبكة محلية إلى موارد Azure، واتصال فرع إلى فرع في Azure - الشبكة الظاهرية (VNet) وExpressRoute وبوابة VPN وVirtual WAN وبوابة NAT للشبكة الظاهرية وAzure DNS وخدمة التناظر وخادم التوجيه وAzure Bastion.
الشبكة الظاهرية
Azure Virtual Network (VNet) هي لبنة الإنشاء الأساسية لشبكتك الخاصة في Azure. يمكنك استخدام الشبكات الظاهرية لـ:
- الاتصال بين موارد Azure: يمكنك نشر الأجهزة الظاهرية، والعديد من أنواع موارد Azure الأخرى إلى شبكة ظاهرية، مثل Azure App Service Environments وAzure Kubernetes Service (AKS) ومجموعات مقياس الجهاز الظاهري Azure. لعرض قائمة كاملة بموارد Azure التي يمكنك نشرها في شبكة افتراضية، راجع تكامل خدمة شبكة Virtual.
- التواصل بين بعضها البعض: يمكنك توصيل الشبكات الظاهرية ببعضها البعض، وتمكين الموارد في أي شبكة ظاهرية من الاتصال ببعضها البعض، باستخدام تناظر الشبكة الظاهرية أو Azure Virtual Network Manager. ويمكن أن تكون الشبكات الافتراضية التي تتصل بها في مناطق Azure نفسها أو مناطق مختلفة. لمزيد من المعلومات، راجع نظير الشبكة الظاهرية وAzure Virtual Network Manager.
- الاتصال بالإنترنت: يمكن لجميع الموارد في الشبكة الظاهرية الاتصال الصادر إلى الإنترنت، افتراضياً. يمكنك الاتصال داخلياً بمورد عن طريق تعيين عنوان IP عام أو موازن تحميل عام. يمكنك أيضاً استخدام عناوين IP العامة أو Load Balancer العام لإدارة الاتصالات الصادرة.
- التواصل مع الشبكات المحلية: يمكنك توصيل أجهزة الكمبيوتر والشبكات المحلية بشبكة افتراضية باستخدام بوابة VPN أو ExpressRoute.
- تشفير نسبة استخدام الشبكة بين الموارد: يمكنك استخدام تشفير الشبكة الظاهرية لتشفير نسبة استخدام الشبكة بين الموارد في شبكة ظاهرية.
Azure Virtual Network Manager
Azure Virtual Network Manager هي خدمة إدارة تمكنك من تجميع الشبكات الظاهرية وتكوينها ونشرها وإدارتها عالميا عبر الاشتراكات. باستخدام Virtual Network Manager، يمكنك تعريف مجموعات الشبكة لتحديد شبكاتك الظاهرية وتقسيمها منطقيا. ثم يمكنك تحديد تكوينات الاتصال والأمان التي تريدها وتطبيقها عبر جميع الشبكات الظاهرية المحددة في مجموعات الشبكة في وقت واحد.
ExpressRoute
يمكنك ExpressRoute من توسيع شبكاتك المحلية إلى سحابة Microsoft عبر اتصال خاص يسهله موفر اتصال. الاتصال الخاص. لا تنتقل حركة المرور عبر الإنترنت. باستخدام ExpressRoute، يمكنك إنشاء اتصالات بخدمات Microsoft cloud، مثل Microsoft Azure وMicrosoft 365 وDynamics 365.
بوابة VPN
تساعدك بوابة VPN على إنشاء اتصالات مشفرة عبر أماكن العمل إلى شبكتك الظاهرية من مواقع محلية، أو إنشاء اتصالات مشفرة بين VNets. هناك تكوينات مختلفة متوفرة لاتصالات بوابة VPN. تتضمن بعض الميزات الرئيسية ما يلي:
- اتصال VPN من موقع إلى موقع
- اتصال VPN من نقطة إلى موقع
- اتصال VNet-to-VNet VPN
يوضح الرسم التخطيطي التالي اتصالات VPN متعددة من موقع إلى موقع بنفس الشبكة الظاهرية. لعرض المزيد من الرسومات التخطيطية للاتصال، راجع بوابة VPN - التصميم.
Virtual WAN
Azure Virtual WAN هي خدمة شبكة تجمع العديد من وظائف الشبكات والأمان والتوجيه معا لتوفير واجهة تشغيلية واحدة. ينشأ اتصال بـ Azure VNets باستخدام اتصالات الشبكة الظاهرية. تتضمن بعض الميزات الرئيسية ما يلي:
- اتصال الفرع (عبر أتمتة الاتصال من أجهزة شركاء WAN الظاهرية مثل SD-WAN أو VPN CPE)
- اتصال VPN من موقع إلى موقع
- اتصال VPN للمستخدم البعيد (من نقطة إلى موقع)
- الاتصال الخاص (ExpressRoute)
- الاتصال داخل السحابة (الاتصال العابر للشبكات الظاهرية)
- اتصال بيني VPN ExpressRoute
- التوجيه وجدار حماية Azure والتشفير للاتصال الخاص
Azure DNS
يوفر Azure DNS استضافة DNS وحلها باستخدام البنية الأساسية ل Microsoft Azure. يتكون Azure DNS من ثلاث خدمات:
- Azure Public DNS هي خدمة استضافة لمجالات DNS. من خلال استضافة المجالات الخاصة بك في Azure، يمكنك إدارة سجلات DNS باستخدام نفس بيانات الاعتماد وAPIs والأدوات والفوترة كأي خدمة من خدمات Azure الأخرى.
- Azure Private DNS هي خدمة DNS لشبكاتك الظاهرية. يقوم Azure Private DNS بإدارة وحل أسماء المجالات في الشبكة الافتراضية دون الحاجة إلى تكوين حل DNS مخصص.
- Azure DNS Private Resolver هي خدمة تمكنك من الاستعلام عن مناطق Azure DNS الخاصة من بيئة محلية والعكس بالعكس دون نشر خوادم DNS المستندة إلى الجهاز الظاهري.
باستخدام Azure DNS، يمكنك استضافة المجالات العامة وحلها، وإدارة دقة DNS في الشبكات الظاهرية، وتمكين تحليل الاسم بين Azure والموارد المحلية.
Azure Bastion
Azure Bastion هي خدمة يمكنك نشرها للسماح لك بالاتصال بجهاز ظاهري باستخدام المستعرض ومدخل Azure، أو عبر عميل SSH أو RDP الأصلي المثبت بالفعل على الكمبيوتر المحلي. خدمة Azure Bastion هي خدمة PaaS مدارة بالكامل من قبل النظام الأساسي تقوم بنشرها داخل شبكتك الظاهرية. كما توفر اتصال RDP/SSH آمن وسلس بأجهزتك الظاهرية من مدخل Azure مباشرةً عبر TLS. عند الاتصال عبر Azure Bastion، لا تحتاج أجهزتك الظاهرية إلى عنوان IP عام أو وكيل أو برنامج عميل خاص. هناك مجموعة متنوعة من SKU/المستويات المختلفة المتاحة ل Azure Bastion. يؤثر المستوى الذي تحدده على الميزات المتوفرة. لمزيد من المعلومات، راجع حول إعدادات تكوين Bastion.
بوابة NAT
تعمل الشبكة الظاهرية NAT (ترجمة عنوان الشبكة) على تبسيط الاتصال بالإنترنت الصادر فقط للشبكات الظاهرية. عند تكوينه على شبكة فرعية، يستخدم كل الاتصالات الصادرة عناوين IP العامة الثابتة المحددة. الاتصال الصادر ممكن من دون موازن التحميل أو عناوين IP العامة المرفقة مباشرةً بالأجهزة الظاهرية. لمزيد من المعلومات، راجع ما هي بوابة Azure NAT؟
ملقم توجيه
يبسط Azure Route Server التوجيه الديناميكي بين الجهاز الظاهري للشبكة (NVA) والشبكة الظاهرية. يتيح لك تبادل معلومات التوجيه مباشرة من خلال بروتوكول التوجيه بروتوكول بوابة الحدود (BGP) بين أي NVA التي تدعم بروتوكول التوجيه BGP وشبكة تعريف البرامج Azure (SDN) في شبكة الظاهري Azure (VNET) دون الحاجة إلى تكوين أو الاحتفاظ بجداول التوجيه يدويًّا.
خدمة التناظر
تعزز Azure Peering Service اتصال العملاء بخدمات Microsoft السحابية مثل Microsoft 365 أو Dynamics 365 أو البرامج كخدمة (SaaS) أو Azure أو أي خدمات Microsoft يمكن الوصول إليها عبر الإنترنت العام.
خدمات حماية التطبيق
يصف هذا القسم خدمات الشبكات في Azure التي تساعد على حماية موارد الشبكة - حماية التطبيقات باستخدام أي أو مجموعة من خدمات الشبكات هذه فيAzure Azure - DDoS protection، Private Link و، Private Link، وFirewall، وWeb Application Firewall وNetwork Security Groups وVirtual Network Service Endpoints.
DDOS protection
توفر Azure DDoS Protection تدابير مضادة ضد تهديدات DDoS الأكثر تطوراً. توفر الخدمة قدرات محسنة للتخفيف من DDoS للتطبيق والموارد المنشورة في الشبكات الظاهرية. بالإضافة إلى ذلك، العملاء الذين يستخدمون Azure DDoS الحماية الوصول إلى دعم الاستجابة السريعة DDoS لإشراك خبراء DDoS أثناء هجوم نشط.
تتكون Azure DDoS Protection من طبقتين:
- توفر حماية شبكة DDoS، جنبا إلى جنب مع أفضل ممارسات تصميم التطبيق، ميزات تخفيف DDoS محسنة للدفاع ضد هجمات DDoS. يتم ضبطها تلقائيًا للمساعدة في حماية موارد Azure المحددة في شبكة افتراضية.
- DDoS IP Protection هو نموذج IP للدفع لكل حماية. تحتوي DDoS IP Protection على نفس الميزات الهندسية الأساسية مثل DDoS Network Protection، ولكنها ستختلف في الخدمات ذات القيمة المضافة التالية: دعم الاستجابة السريعة ل DDoS، وحماية التكلفة، والخصومات على WAF.
Azure Private Link
يتيح لك Azure Private Link الوصول إلى خدمات Azure PaaS (على سبيل المثال، Azure Storage وSQL Database) واستضافت Azure خدمات مملوكة للعميل/شريك عبر نقطة نهاية خاصة في الشبكة الظاهرية. تنتقل حركة البيانات بين شبكتك الظاهرية والخدمة عبر شبكة Microsoft الأساسية. لم يعد تعريض خدمتك للإنترنت العام ضروريًّا. ويمكنك أيضًا إنشاء خدمة Private Link في شبكتك الظاهرية وتقديمها إلى عملائك.
Azure Firewall
يُعد Azure Firewall هو خدمة أمان شبكة مدارة تعتمد على مجموعة النظراء تحمي موارد الشبكة الظاهرية لـ Azure. باستخدام Azure Firewall، يمكنك إنشاء تطبيق وسياسات اتصال الشبكة وفرضها وتسجيلها بشكل مركزي عبر الاشتراكات والشبكات الظاهرية. يستخدم Azure Firewall عنوان IP عام ثابت لمواردك على الشبكة الافتراضية مما يسمح لجُدر الحماية الخارجية إمكانية تحديد نسبة استخدام الشبكة الناشئة من شبكتك الظاهرية.
جدار حماية تطبيق الويب
يوفر Azure Web Application (WAF) الحماية لتطبيقات الويب الخاصة بك من مآثر الويب الشائعة ونقاط الضعف مثل إقحام SQL، والبرامج النصية عبر الموقع. يوفر Azure WAF الحماية من الثغرات الأمنية في OWASP من أعلى 10 عبر القواعد المدارة. بالإضافة إلى ذلك، يمكن للعملاء أيضا تكوين قواعد مخصصة، وهي قواعد يديرها العميل لتوفير حماية إضافية استنادا إلى نطاق IP المصدر، وسمات الطلب مثل الرؤوس أو ملفات تعريف الارتباط أو حقول بيانات النموذج أو معلمات سلسلة الاستعلام.
يمكن للعملاء اختيار توزيع Azure WAF مع Application Gateway، والتي توفر حماية إقليمية للكيانات في مساحة العنوان العام والخاص. يمكن للعملاء أيضا اختيار نشر Azure WAF مع الواجهة الأمامية الذي يوفر الحماية على حافة الشبكة لنقاط النهاية العامة.
مجموعات أمان الشبكة
يمكنك تصفية حركة مرور الشبكة من وإلى موارد Azure في شبكة اتصال Azure الظاهرية مع مجموعة أمان شبكة اتصال. للحصول على مزيٍد من المعلومات، راجع مجموعة أمان الشبكة.
نقاط نهاية الخدمة
تعمل نقاط نهاية خدمة الشبكة الظاهرية (VNet) على توسيع مساحة العنوان الخاص بالشبكة الظاهرية وهوية الشبكة الظاهرية الخاصة بك إلى خدمات Azure، عبر اتصال مباشر. تسمح لك نقاط النهاية بتأمين موارد خدمة Azure الهامة إلى الشبكات الظاهرية فقط. دائمًا ما تبقى نسبة الاستخدام من VNet إلى خدمة Azure على الشبكة الأساسية لـ Microsoft Azure.
خدمات توصيل الطلبات
يصف هذا القسم خدمات الشبكات في Azure التي تساعد على تقديم التطبيقات - Content Delivery Network وAzure Front Door Service وTraffic Manager وLoad Balancer وApplication Gateway.
الواجهة الأمامية لـ Azure
يتيح لك Azure Front Door تحديد التوجيه العالمي لحركة مرور الويب وإدارته ومراقبته من خلال تحسين أفضل أداء وتجاوز فشل عالمي فوري للحصول على قابلية وصول عالية. بفضل Front Door، يمكنك تحويل تطبيقات المؤسسات والعملاء العالمية (متعددة المناطق) إلى تطبيقات وAPI ومحتوى حديث ومخصص يتسم بالقوة والأداء المرتفع الذي يصل إلى جمهور عالمي عبر Azure.
Traffic Manager
Azure Traffic Manager. هو موازن تحميل نسبة استخدام الشبكة المستند إلى DNS الذي يمكنك من توزيع نسبة استخدام الشبكة على النحو الأمثل على الخدمات عبر مناطق Azure العالمية، مع توفير قابلية وصول واستجابة عالية. يوفر Traffic Manager مجموعة من أساليب توجيه نسبة استخدام الشبكة لتوزيع نسبة استخدام الشبكة مثل الأولوية أو مرجح أو الأداء أو الجغرافي أو متعدد القيم أو الشبكة الفرعية.
يظهر الرسم التخطيطي التالي التوجيه المستند إلى أولوية نقطة النهاية باستخدام Traffic Manager:
لمزيد من المعلومات حول إدارة حركة المرور، راجع ما المقصود بإدارة نسبة استخدام الشبكة لـ Azure؟
موازن التحميل
يوفر Azure Load Balancer موازنة تحميل الطبقة 4 عالية الأداء وذات زمن انتقال منخفض لجميع بروتوكولات UDP وTCP. يدير الاتصالات الواردة والصادرة. يمكنك تكوين نقاط النهاية العامة والداخلية المتوازنة. يمكنك تعريف قواعد لتعيين الاتصالات الواردة إلى وجهات التجمع الخلفي باستخدام خيارات التحقق من صحة TCP وHTTP لإدارة توفر الخدمة.
يتوفر موازن التحميل لـ Azure في وحدات SKU القياسية والإقليمية والبوابة.
تعرض الصورة التالية تطبيق متعدد المستويات مواجه للإنترنت يستخدم موازنات التحميل الخارجية والداخلية:
Application Gateway
إن«بوابة تطبيق» Azure هي موازن تحميل نسبة استخدام الشبكة على الويب التي تتيح لك إدارة نسبة استخدام الشبكة إلى تطبيقات الويب الخاصة بك. إنها وحدة تحكم تسليم التطبيقات (ADC) كخدمة، تقدم إمكانات مختلفة لموازنة تحميل الطبقة 7 لتطبيقاتك.
يوضح الرسم التخطيطي التالي التوجيه المستند إلى مسار عنوان URL باستخدام بوابة التطبيق.
شبكة تسليم المحتوى
Azure Content Delivery Network (CDN). يقدم للمطورين حلا عالميا لتقديم محتوى عرض النطاق الترددي العالي بسرعة للمستخدمين عن طريق التخزين المؤقت لمحتواهم في العقد الفعلية الموضوعة استراتيجيا في جميع أنحاء العالم.
خدمات مراقبة الشبكة
يصف هذا القسم خدمات الشبكات في Azure التي تساعد في مراقبة موارد الشبكة - Azure Network Watcher وAzure Monitor Network Insights وAzure Monitor وExpressRoute Monitor.
Azure Network Watcher
يوفر Azure Network Watcher أدوات لمراقبة المقاييس وتشخيصها وعرضها وتمكين السجلات أو تعطيلها للموارد في الشبكة الظاهرية لـ Azure. لمزيد من المعلومات، راجع [ما هو Network Watcher؟
Azure Monitor
تعمل Azure Monitor على زيادة توفر التطبيقات وأدائها من خلال تقديم حل شامل لجمع بيانات تتبع الاستخدام وتحليلها والعمل عليها من البيئات السحابية والبيئات المحلية. يساعدك على فهم أداء تطبيقاتك وتحديد المشكلات التي تؤثر عليها والموارد التي تعتمد عليها بشكلٍ استباقي. لمزيد من المعلومات، راجع [نظرة عامة على Azure Monitor
مراقب ExpressRoute
للتعرف على كيفية عرض مقاييس دائرة ExpressRoute وسجلات الموارد والتنبيهات، راجع مراقبة ExpressRoute والمقاييس والتنبيهات.
نتائج تحليلات الشبكة
Azure Monitor for Networks (Network Insights). يوفر عرضا شاملا للصحة والمقاييس لجميع موارد الشبكة المنشورة، دون الحاجة إلى أي تكوين.
الخطوات التالية
- أنشئ شبكتك الظاهرية الأولى، وقم بتوصيل بعض الأجهزة الظاهرية بها، عن طريق إكمال الخطوات الواردة في مقالة إنشاء الشبكة الظاهرية الأولى.
- قم بتوصيل الكمبيوتر الخاص بك بشبكة ظاهرية عن طريق إكمال الخطوات الواردة في المقالة تكوين اتصال نقطة إلى موقع.
- تحميل توازن حركة مرور الإنترنت إلى الخوادم العامة عن طريق إكمال الخطوات الواردة في المقالة إنشاء موازن تحميل مواجه للإنترنت.