التشغيل السريع: إنشاء نقطة نهاية خاصة باستخدام مدخل Microsoft Azure

  • مقالة

ابدأ مع Azure Private Link باستخدام نقطة نهاية خاصة للاتصال بأمان بتطبيق Azure على الويب.

في هذا التشغيل السريع، أنشئ نقطة نهاية خاصة لتطبيق ويب Azure App Services ثم أنشئ جهازا ظاهريا (VM) وانشره لاختبار الاتصال الخاص.

يمكنك إنشاء نقاط نهاية خاصة لخدمات Azure المختلفة، مثل Azure SQL وAzure Storage.

رسم تخطيطي للموارد التي تم إنشاؤها في التشغيل السريع لنقطة النهاية الخاصة.

المتطلبات الأساسية

  • حساب Azure مع اشتراك نشط. إذا لم يكن لديك حساب Azure بالفعل، فأنشئ حسابًا مجانًا.

  • تطبيق ويب Azure App Services مع خطة خدمة تطبيق Basic وStandard وPremiumV2 وPremiumV3 و IsolatedV2 و Functions Premium (يشار إليها أحيانا باسم خطة Elastic Premium)، المنشورة في اشتراك Azure الخاص بك.

تسجيل الدخول إلى Azure

قم بتسجيل الدخول إلى بوابة Azure.

إنشاء شبكة ظاهرية ومضيف Azure Bastion

ينشئ الإجراء التالي شبكة ظاهرية مع شبكة فرعية لمورد وشبكة فرعية Azure Bastion ومضيف Bastion:

  1. في المدخل، ابحث عن Virtual networks وحددها.

  2. في صفحة ⁧⁩الشبكة الظاهرية⁧⁩، حدد ⁧+⁩ إنشاء⁧⁩.

  3. في علامة التبويب أساسياتلـ إنشاء شبكة ظاهرية، أدخل أو حدد المعلومات التالية:

    الإعداد القيمة‬
    تفاصيل المشروع
    الاشتراك حدد Subscription الخاص بك.
    مجموعة الموارد حدد إنشاء جديد.
    أدخل test-rg للاسم.
    حدد موافق.
    تفاصيل المثيل
    الاسم أدخل vnet-1.
    المنطقة حدد شرق الولايات المتحدة 2.

    لقطة شاشة لعلامة التبويب Basics لإنشاء شبكة ظاهرية في مدخل Microsoft Azure.

  4. حدد التالي للمتابعة إلى علامة التبويب الأمان .

  5. في قسم Azure Bastion ، حدد Enable Bastion.

    يستخدم Bastion المستعرض للاتصال بالأجهزة الظاهرية في شبكتك الظاهرية عبر Secure Shell (SSH) أو بروتوكول سطح المكتب البعيد (RDP) باستخدام عناوين IP الخاصة بها. لا تحتاج الأجهزة الظاهرية إلى عناوين IP عامة أو برامج عميل أو تكوين خاص. لمزيد من المعلومات، راجع ما هو Azure Bastion؟.

    إشعار

    يبدأ التسعير بالساعة من اللحظة التي يتم فيها نشر Bastion، بغض النظر عن استخدام البيانات الصادرة. لمزيد من المعلومات، راجع التسعير ووحدات SKU. إذا كنت تقوم بنشر Bastion كجزء من برنامج تعليمي أو اختبار، نوصي بحذف هذا المورد بعد الانتهاء من استخدامه.

  6. في Azure Bastion، أدخل المعلومات التالية أو حددها:

    الإعداد القيمة‬
    اسم مضيف Azure Bastion أدخل bastion.
    عنوان IP العام ل Azure Bastion حدد إنشاء عنوان IP عام.
    أدخل public-ip-bastion في Name.
    حدد موافق.

    لقطة شاشة لخيارات تمكين مضيف Azure Bastion كجزء من إنشاء شبكة ظاهرية في مدخل Microsoft Azure.

  7. حدد التالي للمتابعة إلى علامة التبويب عناوين IP.

  8. في مربع مساحة العنوان في الشبكات الفرعية، حدد الشبكة الفرعية الافتراضية.

  9. في تحرير الشبكة الفرعية، أدخل المعلومات التالية أو حددها:

    الإعداد القيمة‬
    تفاصيل الشبكة الفرعية
    قالب الشبكة الفرعية اترك الإعداد الافتراضي الافتراضي.
    الاسم أدخل subnet-1.
    عنوان البدء اترك الإعداد الافتراضي 10.0.0.0.
    حجم الشبكة الفرعية اترك القيمة الافتراضية ل /24 (256 عنوانا) .

    لقطة شاشة لتفاصيل التكوين لشبكة فرعية.

  10. حدد حفظ.

  11. حدد Review + create في أسفل النافذة. بعد تجاوز التحقق من الصحة، حدد Create.

قم بإنشاء نقطة نهاية خاصة

بعد ذلك، يمكنك إنشاء نقطة نهاية خاصة لتطبيق الويب الذي قمت بإنشائه في قسم المتطلبات الأساسية .

هام

يجب أن يكون لديك تطبيق ويب Azure App Services تم نشره مسبقا لمتابعة الخطوات الواردة في هذه المقالة. لمزيد من المعلومات، راجع «المتطلبات الأساسية».

  1. في مربع البحث أعلى المدخل، أدخل Private endpoint. حدد Private endpoints.

  2. حدد Create + في Private endpoints.

  3. في علامة التبويب Basics في Create a private endpoint، أدخل المعلومات التالية أو حددها.

    الإعداد القيمة‬
    تفاصيل المشروع
    الاشتراك حدد Subscription الخاص بك.
    مجموعة الموارد حدد test-rg
    تفاصيل المثيل
    الاسم أدخل نقطة النهاية الخاصة.
    اسم واجهة الشبكة اترك الإعداد الافتراضي ل private-endpoint-nic.
    المنطقة حدد شرق الولايات المتحدة 2.

  4. حدد «التالي: المورد».

  5. في جزء Resource، أدخل المعلومات التالية أو حددها.

    الإعداد القيمة‬
    طريقة التوصيل اترك الإعداد الافتراضي Connect to an Azure resource in my directory.
    الاشتراك حدد Subscription الخاص بك.
    نوع المورد حدد Microsoft.Web/sites.
    Resource حدد webapp-1.
    مصدر الهدف الفرعي حدد المواقع.

  6. حدد Next: Virtual Network.

  7. في Virtual Network، أدخِل أو حدد المعلومات التالية.

    الإعداد القيمة‬
    التواصل الشبكي
    الشبكة الظاهرية حدد vnet-1 (test-rg).
    الشبكة الفرعية حدد subnet-1.
    نهج الشبكة لنقاط النهاية الخاصة حدد تحرير لتطبيق نهج الشبكة لنقاط النهاية الخاصة.
    في تحرير نهج الشبكة الفرعية، حدد خانة الاختيار بجوار مجموعات أمان الشبكة وجداولالتوجيه في إعداد نهج الشبكة لجميع نقاط النهاية الخاصة في هذه الشبكة الفرعية المنسدلة.
    حدد حفظ.

    لمزيد من المعلومات، راجع إدارة نهج الشبكة لنقاط النهاية الخاصة
    الإعداد القيمة‬
    تكوين عنوان IP خاص حدد تخصيص عنوان IP ديناميكيا.

    لقطة شاشة لتحديد عنوان IP ديناميكي.

  8. حدد Next: DNS.

  9. اترك الإعدادات الافتراضية في DNS. حدد التالي: العلامات، ثم التالي: مراجعة + إنشاء.

  10. حدد إنشاء.

إنشاء جهاز ظاهري للاختبار

ينشئ الإجراء التالي جهازا ظاهريا تجريبيا (VM) يسمى vm-1 في الشبكة الظاهرية.

  1. في المدخل، ابحث عن الأجهزة الظاهرية وحددها.

  2. في الأجهزة الظاهرية، حدد + إنشاء، ثم جهاز Azure الظاهري.

  3. في علامة التبويب أساسيات، قم بإنشاء جهاز ظاهري، وأدخل أو حدد المعلومات التالية:

    الإعداد القيمة‬
    تفاصيل المشروع
    الاشتراك حدد Subscription الخاص بك.
    مجموعة الموارد حدد test-rg.
    تفاصيل المثيل
    اسم الجهاز الظاهري أدخل vm-1.
    المنطقة حدد شرق الولايات المتحدة 2.
    خيارات التوفر حدد No infrastructure redundancy required.
    نوع الأمان اترك الإعداد الافتراضي "Standard".
    الصورة حدد Windows Server 2022 Datacenter - x64 Gen2.
    بنية الجهاز الظاهري اترك الإعداد الافتراضي x64.
    الحجم تحديد الحجم.
    حساب المسؤول
    نوع المصادقة اختر كلمة السر.
    اسم مستخدم أدخل azureuser.
    كلمة المرور إدخال «password».
    تأكيد كلمة المرور أعد إدخال كلمة المرور.
    قواعد المنفذ الوارد
    المنافذ العامة الواردة حدد لا شيء.

  4. حدد علامة التبويب Networking في أعلى الصفحة.

  5. أدخل المعلومات التالية أو حددها في علامة تبويب "Networking":

    الإعداد القيمة‬
    واجهة الشبكة
    الشبكة الظاهرية حدد vnet-1.
    الشبكة الفرعية حدد subnet-1 (10.0.0.0/24).
    عنوان IP عام حدد لا شيء.
    المجموعة الأمنية للشبكة NIC حدد خيارات متقدمة.
    تكوين مجموعة أمان الشبكة حدد إنشاء جديد.
    أدخل nsg-1 للاسم.
    اترك الباقي في الإعدادات الافتراضية وحدد موافق.

  6. اترك بقية الإعدادات في الإعدادات الافتراضية وحدد Review + create.

  7. راجع الإعدادات وحدد Create.

إشعار

لا تحتاج الأجهزة الظاهرية في شبكة ظاهرية مع مضيف معقل إلى عناوين IP عامة. يوفر Bastion عنوان IP العام، وتستخدم الأجهزة الظاهرية عناوين IP الخاصة للاتصال داخل الشبكة. يمكنك إزالة عناوين IP العامة من أي أجهزة ظاهرية في الشبكات الظاهرية المستضافة الأساسية. لمزيد من المعلومات، راجع فصل عنوان IP عام من جهاز Azure الظاهري.

إشعار

يوفر Azure عنوان IP افتراضيا للوصول الصادر للأجهزة الظاهرية التي لم يتم تعيين عنوان IP عام لها أو الموجودة في تجمع الواجهة الخلفية لموازن تحميل Azure الأساسي الداخلي. توفر آلية IP للوصول الصادر الافتراضي عنوان IP صادر غير قابل للتكوين.

يتم تعطيل عنوان IP الافتراضي للوصول الصادر عند حدوث أحد الأحداث التالية:

  • يتم تعيين عنوان IP عام إلى الجهاز الظاهري.
  • يتم وضع الجهاز الظاهري في تجمع الواجهة الخلفية لموازن التحميل القياسي، مع قواعد صادرة أو بدونها.
  • يتم تعيين مورد Azure NAT Gateway إلى الشبكة الفرعية للجهاز الظاهري.

لا تتمتع الأجهزة الظاهرية التي تقوم بإنشائها باستخدام مجموعات مقياس الجهاز الظاهري في وضع التنسيق المرن بالوصول الصادر الافتراضي.

لمزيد من المعلومات حول الاتصالات الصادرة في Azure، راجع الوصول الصادر الافتراضي في Azure واستخدام ترجمة عنوان الشبكة المصدر (SNAT) للاتصالات الصادرة.

اختبر الاتصال بنقطة النهاية الخاصة

استخدم الجهاز الظاهري الذي قمت بإنشائه سابقا للاتصال بتطبيق الويب عبر نقطة النهاية الخاصة.

  1. في مربع البحث الموجود أعلى المدخل، أدخل Virtual machine. حدد "Virtual machines".

  2. حدد vm-1.

  3. في صفحة النظرة العامة ل vm-1، حدد الاتصال، ثم حدد علامة التبويب Bastion.

  4. حدد "Use Bastion".

  5. أدخل اسم المستخدم وكلمة المرور اللذين استخدمتهما عند إنشاء الجهاز الظاهري.

  6. حدد اتصال.

  7. بعد الاتصال، افتح PowerShell على الخادم.

  8. أدخل nslookup webapp-1.azurewebsites.net. تتلقى رسالة مشابهة للمثال التالي:

    Server:  UnKnown
Address:  168.63.129.16

Non-authoritative answer:
Name:    webapp-1.privatelink.azurewebsites.net
Address:  10.0.0.10
Aliases:  webapp-1.azurewebsites.net

    يتم إرجاع عنوان IP خاص 10.0.0.10 لاسم تطبيق الويب إذا اخترت عنوان IP ثابت في الخطوات السابقة. هذا العنوان موجود في الشبكة الفرعية للشبكة الظاهرية التي تم إنشاؤها مسبقًا.

  9. في اتصال bastion إلى vm-1، افتح مستعرض الويب.

  10. أدخل عنوان URL لتطبيق الويب الخاص بك، https://webapp-1.azurewebsites.net.

    إذا لم يتم نشر تطبيق الويب الخاص بك، فستحصل على صفحة تطبيق الويب الافتراضية التالية:

    لقطة شاشة لصفحة تطبيق الويب الافتراضية على المستعرض.

  11. أغلق الاتصال ب vm-1.

تنظيف الموارد

عند الانتهاء من استخدام الموارد التي قمت بإنشائها، يمكنك حذف مجموعة الموارد وجميع مواردها:

  1. في مدخل Azure، ابحث عن مجموعة المواردوحددها.

  2. في صفحة Resource groups ، حدد مجموعة موارد test-rg .

  3. في صفحة test-rg ، حدد Delete resource group.

  4. أدخل test-rg في Enter resource group name لتأكيد الحذف، ثم حدد Delete.

الخطوات التالية

تم في هذا التشغيل السريع إنشاء:

  • الشبكة الافتراضية ومضيف bastion

  • جهاز ظاهري

  • نقطة نهاية خاصة لتطبيق الويب لـ Azure

تم استخدام الجهاز الظاهري لاختبار الاتصال بتطبيق الويب عبر نقطة النهاية الخاصة بشكل آمن.

لمزيد من المعلومات حول الخدمات التي تدعم نقطة نهاية خاصة، راجع:

ما هو Azure Private Link؟