نظرة عامة على خدمات شبكات Azure

  • مقالة

توفر خدمات الشبكات في Azure قدرات شبكات مختلفة يمكن استخدامها معا أو بشكل منفصل. حدد أيا من القدرات الرئيسية التالية لمعرفة المزيد عنها:

  • الاتصال ivity services: الاتصال موارد Azure والموارد المحلية باستخدام أي أو مجموعة من خدمات الشبكات هذه في Azure - Virtual Network (VNet) وVirtual WAN وExpressRoute وVPN Gateway وNET Gateway وAzure DNS وخدمة Peering وAzure Virtual Network Manager و Route Server وAzure Bastion.
  • خدمات حماية التطبيقات: حماية التطبيقات باستخدام أي أو مجموعة من هذه الخدمات الشبكات في Azure -- موازن التحميل، وصلة خاصة، حماية DDoS وFirewall، وNetwork Security Groups، Web Application Firewall ونقاط نهاية الشبكة الظاهرية.
  • خدمات توصيل التطبيقات:تقديم التطبيقات في شبكة Azure باستخدام أي من خدمات الشبكات هذه أو مزيج منها في Azure - Content Delivery Network (CDN) وAzure Front Door Service وTraffic Manager وApplication Gateway وInternet Analyzer Load Balancer.
  • مراقبة الشبكة: راقب موارد الشبكة باستخدام أي من خدمات الشبكات هذه أو مجموعة منها في Azure - مراقب الشبكة أو مراقب ExpressRoute أو Azure Monitor أو نقطة وصول محطة VNet الطرفية (TAP).

خدمات التوصيل

يصف هذا القسم الخدمات التي توفر الاتصال بين موارد Azure، والاتصال من شبكة محلية إلى موارد Azure، واتصال فرع إلى فرع في Azure - الشبكة الظاهرية (VNet) وExpressRoute وبوابة VPN وVirtual WAN وبوابة NAT للشبكة الظاهرية وAzure DNS وخدمة التناظر وخادم التوجيه وAzure Bastion.

الشبكة الظاهرية

Azure Virtual Network (VNet) هي لبنة الإنشاء الأساسية لشبكتك الخاصة في Azure. يمكنك استخدام الشبكات الظاهرية لـ:

  • الاتصال بين موارد Azure: يمكنك نشر الأجهزة الظاهرية، والعديد من أنواع موارد Azure الأخرى إلى شبكة ظاهرية، مثل Azure App Service Environments وAzure Kubernetes Service (AKS) ومجموعات مقياس الجهاز الظاهري Azure. لعرض قائمة كاملة بموارد Azure التي يمكنك نشرها في شبكة افتراضية، راجع تكامل خدمة شبكة Virtual.
  • التواصل بين بعضها البعض: يمكنك توصيل الشبكات الظاهرية ببعضها البعض، وتمكين الموارد في أي شبكة ظاهرية من الاتصال ببعضها البعض، باستخدام تناظر الشبكة الظاهرية أو Azure Virtual Network Manager. ويمكن أن تكون الشبكات الافتراضية التي تتصل بها في مناطق Azure نفسها أو مناطق مختلفة. لمزيد من المعلومات، راجع نظير الشبكة الظاهرية وAzure Virtual Network Manager.
  • الاتصال بالإنترنت: يمكن لجميع الموارد في الشبكة الظاهرية الاتصال الصادر إلى الإنترنت، افتراضياً. يمكنك الاتصال داخلياً بمورد عن طريق تعيين عنوان IP عام أو موازن تحميل عام. يمكنك أيضاً استخدام عناوين IP العامة أو Load Balancer العام لإدارة الاتصالات الصادرة.
  • التواصل مع الشبكات المحلية: يمكنك توصيل أجهزة الكمبيوتر والشبكات المحلية بشبكة افتراضية باستخدام بوابة VPN أو ExpressRoute.
  • تشفير نسبة استخدام الشبكة بين الموارد: يمكنك استخدام تشفير الشبكة الظاهرية لتشفير نسبة استخدام الشبكة بين الموارد في شبكة ظاهرية.

Azure Virtual Network Manager

Azure Virtual Network Manager هي خدمة إدارة تمكنك من تجميع الشبكات الظاهرية وتكوينها ونشرها وإدارتها عالميا عبر الاشتراكات. باستخدام Virtual Network Manager، يمكنك تعريف مجموعات الشبكة لتحديد شبكاتك الظاهرية وتقسيمها منطقيا. ثم يمكنك تحديد تكوينات الاتصال والأمان التي تريدها وتطبيقها عبر جميع الشبكات الظاهرية المحددة في مجموعات الشبكة في وقت واحد.

رسم تخطيطي للموارد المنشورة لطوبولوجيا شبكة ظاهرية شبكية مع مدير شبكة Azure الظاهرية.

ExpressRoute

يمكنك ExpressRoute من توسيع شبكاتك المحلية إلى سحابة Microsoft عبر اتصال خاص يسهله موفر اتصال. الاتصال الخاص. لا تنتقل حركة المرور عبر الإنترنت. باستخدام ExpressRoute، يمكنك إنشاء اتصالات بخدمات Microsoft cloud، مثل Microsoft Azure وMicrosoft 365 وDynamics 365.

Azure ExpressRoute

بوابة VPN

تساعدك بوابة VPN على إنشاء اتصالات مشفرة عبر أماكن العمل إلى شبكتك الظاهرية من مواقع محلية، أو إنشاء اتصالات مشفرة بين VNets. هناك تكوينات مختلفة متوفرة لاتصالات بوابة VPN. تتضمن بعض الميزات الرئيسية ما يلي:

  • اتصال VPN من موقع إلى موقع
  • اتصال VPN من نقطة إلى موقع
  • اتصال VNet-to-VNet VPN

يوضح الرسم التخطيطي التالي اتصالات VPN متعددة من موقع إلى موقع بنفس الشبكة الظاهرية. لعرض المزيد من الرسومات التخطيطية للاتصال، راجع بوابة VPN - التصميم.

رسم تخطيطي يوضح اتصالات متعددة لبوابة Azure VPN من موقع إلى موقع.

Virtual WAN

Azure Virtual WAN هي خدمة شبكة تجمع العديد من وظائف الشبكات والأمان والتوجيه معا لتوفير واجهة تشغيلية واحدة. ينشأ اتصال بـ Azure VNets باستخدام اتصالات الشبكة الظاهرية. تتضمن بعض الميزات الرئيسية ما يلي:

  • اتصال الفرع (عبر أتمتة الاتصال من أجهزة شركاء WAN الظاهرية مثل SD-WAN أو VPN CPE)
  • اتصال VPN من موقع إلى موقع
  • اتصال VPN للمستخدم البعيد (من نقطة إلى موقع)
  • الاتصال الخاص (ExpressRoute)
  • الاتصال داخل السحابة (الاتصال العابر للشبكات الظاهرية)
  • اتصال بيني VPN ExpressRoute
  • التوجيه وجدار حماية Azure والتشفير للاتصال الخاص

رسم تخطيطي افتراضي للشبكة الواسعة.

Azure DNS

يوفر Azure DNS استضافة DNS وحلها باستخدام البنية الأساسية ل Microsoft Azure. يتكون Azure DNS من ثلاث خدمات:

  • Azure Public DNS هي خدمة استضافة لمجالات DNS. من خلال استضافة المجالات الخاصة بك في Azure، يمكنك إدارة سجلات DNS باستخدام نفس بيانات الاعتماد وAPIs والأدوات والفوترة كأي خدمة من خدمات Azure الأخرى.
  • Azure Private DNS هي خدمة DNS لشبكاتك الظاهرية. يقوم Azure Private DNS بإدارة وحل أسماء المجالات في الشبكة الافتراضية دون الحاجة إلى تكوين حل DNS مخصص.
  • Azure DNS Private Resolver هي خدمة تمكنك من الاستعلام عن مناطق Azure DNS الخاصة من بيئة محلية والعكس بالعكس دون نشر خوادم DNS المستندة إلى الجهاز الظاهري.

باستخدام Azure DNS، يمكنك استضافة المجالات العامة وحلها، وإدارة دقة DNS في الشبكات الظاهرية، وتمكين تحليل الاسم بين Azure والموارد المحلية.

Azure Bastion

Azure Bastion هي خدمة يمكنك نشرها للسماح لك بالاتصال بجهاز ظاهري باستخدام المستعرض ومدخل Azure، أو عبر عميل SSH أو RDP الأصلي المثبت بالفعل على الكمبيوتر المحلي. خدمة Azure Bastion هي خدمة PaaS مدارة بالكامل من قبل النظام الأساسي تقوم بنشرها داخل شبكتك الظاهرية. كما توفر اتصال RDP/SSH آمن وسلس بأجهزتك الظاهرية من مدخل Azure مباشرةً عبر TLS. عند الاتصال عبر Azure Bastion، لا تحتاج أجهزتك الظاهرية إلى عنوان IP عام أو وكيل أو برنامج عميل خاص. هناك مجموعة متنوعة من SKU/المستويات المختلفة المتاحة ل Azure Bastion. يؤثر المستوى الذي تحدده على الميزات المتوفرة. لمزيد من المعلومات، راجع حول إعدادات تكوين Bastion.

رسم تخطيطي يظهر تصميم Azure Bastion.

بوابة NAT

تعمل الشبكة الظاهرية NAT (ترجمة عنوان الشبكة) على تبسيط الاتصال بالإنترنت الصادر فقط للشبكات الظاهرية. عند تكوينه على شبكة فرعية، يستخدم كل الاتصالات الصادرة عناوين IP العامة الثابتة المحددة. الاتصال الصادر ممكن من دون موازن التحميل أو عناوين IP العامة المرفقة مباشرةً بالأجهزة الظاهرية. لمزيد من المعلومات، راجع ما هي بوابة Azure NAT؟

بوابة NAT للشبكة الظاهرية

ملقم توجيه

يبسط Azure Route Server التوجيه الديناميكي بين الجهاز الظاهري للشبكة (NVA) والشبكة الظاهرية. يتيح لك تبادل معلومات التوجيه مباشرة من خلال بروتوكول التوجيه بروتوكول بوابة الحدود (BGP) بين أي NVA التي تدعم بروتوكول التوجيه BGP وشبكة تعريف البرامج Azure (SDN) في شبكة الظاهري Azure (VNET) دون الحاجة إلى تكوين أو الاحتفاظ بجداول التوجيه يدويًّا.

خدمة التناظر

تعزز Azure Peering Service اتصال العملاء بخدمات Microsoft السحابية مثل Microsoft 365 أو Dynamics 365 أو البرامج كخدمة (SaaS) أو Azure أو أي خدمات Microsoft يمكن الوصول إليها عبر الإنترنت العام.

خدمات حماية التطبيق

يصف هذا القسم خدمات الشبكات في Azure التي تساعد على حماية موارد الشبكة - حماية التطبيقات باستخدام أي أو مجموعة من خدمات الشبكات هذه فيAzure Azure - DDoS protection، Private Link و، Private Link، وFirewall، وWeb Application Firewall وNetwork Security Groups وVirtual Network Service Endpoints.

DDOS protection

توفر Azure DDoS Protection تدابير مضادة ضد تهديدات DDoS الأكثر تطوراً. توفر الخدمة قدرات محسنة للتخفيف من DDoS للتطبيق والموارد المنشورة في الشبكات الظاهرية. بالإضافة إلى ذلك، العملاء الذين يستخدمون Azure DDoS الحماية الوصول إلى دعم الاستجابة السريعة DDoS لإشراك خبراء DDoS أثناء هجوم نشط.

تتكون Azure DDoS Protection من طبقتين:

  • توفر حماية شبكة DDoS، جنبا إلى جنب مع أفضل ممارسات تصميم التطبيق، ميزات تخفيف DDoS محسنة للدفاع ضد هجمات DDoS. يتم ضبطها تلقائيًا للمساعدة في حماية موارد Azure المحددة في شبكة افتراضية.
  • DDoS IP Protection هو نموذج IP للدفع لكل حماية. تحتوي DDoS IP Protection على نفس الميزات الهندسية الأساسية مثل DDoS Network Protection، ولكنها ستختلف في الخدمات ذات القيمة المضافة التالية: دعم الاستجابة السريعة ل DDoS، وحماية التكلفة، والخصومات على WAF.

رسم تخطيطي للبنية المرجعية لتطبيق ويب PaaS محمي ل DDoS.

يتيح لك Azure Private Link الوصول إلى خدمات Azure PaaS (على سبيل المثال، Azure Storage وSQL Database) واستضافت Azure خدمات مملوكة للعميل/شريك عبر نقطة نهاية خاصة في الشبكة الظاهرية. تنتقل حركة البيانات بين شبكتك الظاهرية والخدمة عبر شبكة Microsoft الأساسية. لم يعد تعريض خدمتك للإنترنت العام ضروريًّا. ويمكنك أيضًا إنشاء خدمة Private Link في شبكتك الظاهرية وتقديمها إلى عملائك.

نظرة عامة على نقطة النهاية الخاصة

Azure Firewall

يُعد Azure Firewall هو خدمة أمان شبكة مدارة تعتمد على مجموعة النظراء تحمي موارد الشبكة الظاهرية لـ Azure. باستخدام Azure Firewall، يمكنك إنشاء تطبيق وسياسات اتصال الشبكة وفرضها وتسجيلها بشكل مركزي عبر الاشتراكات والشبكات الظاهرية. يستخدم Azure Firewall عنوان IP عام ثابت لمواردك على الشبكة الافتراضية مما يسمح لجُدر الحماية الخارجية إمكانية تحديد نسبة استخدام الشبكة الناشئة من شبكتك الظاهرية.

نظرة عامة على جدار الحماية

جدار حماية تطبيق الويب

يوفر Azure Web Application (WAF) الحماية لتطبيقات الويب الخاصة بك من مآثر الويب الشائعة ونقاط الضعف مثل إقحام SQL، والبرامج النصية عبر الموقع. يوفر Azure WAF الحماية من الثغرات الأمنية في OWASP من أعلى 10 عبر القواعد المدارة. بالإضافة إلى ذلك، يمكن للعملاء أيضا تكوين قواعد مخصصة، وهي قواعد يديرها العميل لتوفير حماية إضافية استنادا إلى نطاق IP المصدر، وسمات الطلب مثل الرؤوس أو ملفات تعريف الارتباط أو حقول بيانات النموذج أو معلمات سلسلة الاستعلام.

يمكن للعملاء اختيار توزيع Azure WAF مع Application Gateway، والتي توفر حماية إقليمية للكيانات في مساحة العنوان العام والخاص. يمكن للعملاء أيضا اختيار نشر Azure WAF مع الواجهة الأمامية الذي يوفر الحماية على حافة الشبكة لنقاط النهاية العامة.

جدار حماية تطبيق الويب

مجموعات أمان الشبكة

يمكنك تصفية حركة مرور الشبكة من وإلى موارد Azure في شبكة اتصال Azure الظاهرية مع مجموعة أمان شبكة اتصال. للحصول على مزيٍد من المعلومات، راجع مجموعة أمان الشبكة.

نقاط نهاية الخدمة

تعمل نقاط نهاية خدمة الشبكة الظاهرية (VNet) على توسيع مساحة العنوان الخاص بالشبكة الظاهرية وهوية الشبكة الظاهرية الخاصة بك إلى خدمات Azure، عبر اتصال مباشر. تسمح لك نقاط النهاية بتأمين موارد خدمة Azure الهامة إلى الشبكات الظاهرية فقط. دائمًا ما تبقى نسبة الاستخدام من VNet إلى خدمة Azure على الشبكة الأساسية لـ Microsoft Azure.

نقاط نهاية خدمة Virtual Network

خدمات توصيل الطلبات

يصف هذا القسم خدمات الشبكات في Azure التي تساعد على تقديم التطبيقات - Content Delivery Network وAzure Front Door Service وTraffic Manager وLoad Balancer وApplication Gateway.

الواجهة الأمامية لـ Azure

يتيح لك Azure Front Door تحديد التوجيه العالمي لحركة مرور الويب وإدارته ومراقبته من خلال تحسين أفضل أداء وتجاوز فشل عالمي فوري للحصول على قابلية وصول عالية. بفضل Front Door، يمكنك تحويل تطبيقات المؤسسات والعملاء العالمية (متعددة المناطق) إلى تطبيقات وAPI ومحتوى حديث ومخصص يتسم بالقوة والأداء المرتفع الذي يصل إلى جمهور عالمي عبر Azure.

رسم تخطيطي لخدمة Azure Front Door مع جدار حماية تطبيق الويب.

Traffic Manager

Azure Traffic Manager. هو موازن تحميل نسبة استخدام الشبكة المستند إلى DNS الذي يمكنك من توزيع نسبة استخدام الشبكة على النحو الأمثل على الخدمات عبر مناطق Azure العالمية، مع توفير قابلية وصول واستجابة عالية. يوفر Traffic Manager مجموعة من أساليب توجيه نسبة استخدام الشبكة لتوزيع نسبة استخدام الشبكة مثل الأولوية أو مرجح أو الأداء أو الجغرافي أو متعدد القيم أو الشبكة الفرعية.

يظهر الرسم التخطيطي التالي التوجيه المستند إلى أولوية نقطة النهاية باستخدام Traffic Manager:

أسلوب

لمزيد من المعلومات حول إدارة حركة المرور، راجع ما المقصود بإدارة نسبة استخدام الشبكة لـ Azure؟

موازن التحميل

يوفر Azure Load Balancer موازنة تحميل الطبقة 4 عالية الأداء وذات زمن انتقال منخفض لجميع بروتوكولات UDP وTCP. يدير الاتصالات الواردة والصادرة. يمكنك تكوين نقاط النهاية العامة والداخلية المتوازنة. يمكنك تعريف قواعد لتعيين الاتصالات الواردة إلى وجهات التجمع الخلفي باستخدام خيارات التحقق من صحة TCP وHTTP لإدارة توفر الخدمة.

يتوفر موازن التحميل لـ Azure في وحدات SKU القياسية والإقليمية والبوابة.

تعرض الصورة التالية تطبيق متعدد المستويات مواجه للإنترنت يستخدم موازنات التحميل الخارجية والداخلية:

مثال على موازن التحميل Azure

Application Gateway

إن«بوابة تطبيق» Azure هي موازن تحميل نسبة استخدام الشبكة على الويب التي تتيح لك إدارة نسبة استخدام الشبكة إلى تطبيقات الويب الخاصة بك. إنها وحدة تحكم تسليم التطبيقات (ADC) كخدمة، تقدم إمكانات مختلفة لموازنة تحميل الطبقة 7 لتطبيقاتك.

يوضح الرسم التخطيطي التالي التوجيه المستند إلى مسار عنوان URL باستخدام بوابة التطبيق.

مثال على بوابة التطبيق

شبكة تسليم المحتوى

Azure Content Delivery Network (CDN). يقدم للمطورين حلا عالميا لتقديم محتوى عرض النطاق الترددي العالي بسرعة للمستخدمين عن طريق التخزين المؤقت لمحتواهم في العقد الفعلية الموضوعة استراتيجيا في جميع أنحاء العالم.

Azure CDN

خدمات مراقبة الشبكة

يصف هذا القسم خدمات الشبكات في Azure التي تساعد في مراقبة موارد الشبكة - Azure Network Watcher وAzure Monitor Network Insights وAzure Monitor وExpressRoute Monitor.

Azure Network Watcher

يوفر Azure Network Watcher أدوات لمراقبة المقاييس وتشخيصها وعرضها وتمكين السجلات أو تعطيلها للموارد في الشبكة الظاهرية لـ Azure. لمزيد من المعلومات، راجع [ما هو Network Watcher؟

Azure Monitor

تعمل Azure Monitor على زيادة توفر التطبيقات وأدائها من خلال تقديم حل شامل لجمع بيانات تتبع الاستخدام وتحليلها والعمل عليها من البيئات السحابية والبيئات المحلية. يساعدك على فهم أداء تطبيقاتك وتحديد المشكلات التي تؤثر عليها والموارد التي تعتمد عليها بشكلٍ استباقي. لمزيد من المعلومات، راجع [نظرة عامة على Azure Monitor

مراقب ExpressRoute

للتعرف على كيفية عرض مقاييس دائرة ExpressRoute وسجلات الموارد والتنبيهات، راجع مراقبة ExpressRoute والمقاييس والتنبيهات.

نتائج تحليلات الشبكة

Azure Monitor for Networks (Network Insights). يوفر عرضا شاملا للصحة والمقاييس لجميع موارد الشبكة المنشورة، دون الحاجة إلى أي تكوين.

الخطوات التالية

  • أنشئ شبكتك الظاهرية الأولى، وقم بتوصيل بعض الأجهزة الظاهرية بها، عن طريق إكمال الخطوات الواردة في مقالة إنشاء الشبكة الظاهرية الأولى.
  • قم بتوصيل الكمبيوتر الخاص بك بشبكة ظاهرية عن طريق إكمال الخطوات الواردة في المقالة تكوين اتصال نقطة إلى موقع.
  • تحميل توازن حركة مرور الإنترنت إلى الخوادم العامة عن طريق إكمال الخطوات الواردة في المقالة إنشاء موازن تحميل مواجه للإنترنت.