ما هي نقطة النهاية الخاصة؟

نقطة النهاية الخاصة هي واجهة شبكة تستخدم عنوان IP خاصاً من شبكتك الظاهرية. واجهة الشبكة هذه تربطك بشكل خاص وآمن بخدمة مدعومة من Azure Private Link. عند قيامك بتمكين نقطة نهاية خاصة، فإنك تنقل الخدمة إلى شبكتك الظاهرية.

يمكن أن تكون الخدمة إحدى خدمات Azure مثل:

  • تخزين Azure
  • Azure Cosmos DB
  • قاعدة بيانات Azure SQL
  • الخدمة الخاصة بك التي تستخدم خدمة Private Link.

خصائص نقاط النهاية الخاصة

تحدد نقطة النهاية الخاصة ما يلي من الخصائص:

الخاصية الوصف
الاسم اسماً فريداً ضمن مجموعة الموارد.
الشبكة الفرعية الشبكة الفرعية المراد توزيعها، التي سيتم تعيين عنوان IP الخاص فيها. لمعرفة متطلبات الشبكة الفرعية، راجع قسم القيود الوارد في هذه المقالة.
مورد Private-link مورد Private Link للاتصال باستخدام معرف المورد أو الاسم المستعار، من قائمة الأنواع المتوفرة. سيتم إنشاء معرف شبكة فريد لكل نسبة استخدام الشبكة المرسلة إلى هذا المورد.
مصدر الهدف الفرعي المصدر الفرعي للاتصال. كل نوع Private Link خاص له خيارات متعددة لتحديدها استنادًا إلى التفضيل.
أسلوب الموافقة على الاتصال تلقائي أو يدوي. اعتمادا على أذونات التحكم في الوصول المستندة إلى دور Azure، يمكن الموافقة على نقطة النهاية الخاصة بك تلقائيا. إذا كنت تتصل بمورد ارتباط خاص بدون أذونات تستند إلى دور Azure، فاستخدم الأسلوب اليدوي للسماح لمالك المورد بالموافقة على الاتصال.
رسالة الطلب يمكنك تحديد رسالة للموافقة على الاتصالات المطلوبة يدوياً. يمكن استخدام هذه الرسالة لتعريف طلب معين.
حالة الاتصال خاصية للقراءة فقط تحدد ما إذا كانت نقطة النهاية الخاصة نشطة أم لا. لا يمكن استخدام سوى نقاط النهاية الخاصة التي في حالة الموافقة لإرسال نسبة استخدام الشبكة. المزيد من الحالات المتوفرة:
  • معتمد: تمت الموافقة تلقائياً أو يدوياً على الاتصال وهو جاهز للاستخدام.
  • معلق: تم إنشاء الاتصال يدويا وينتظر موافقة مالك مورد الارتباط الخاص.
  • مرفوض: تم رفض الاتصال من قبل مالك مورد الارتباط الخاص.
  • غير متصل: تمت إزالة الاتصال بواسطة مالك مورد الارتباط الخاص. تصبح نقطة النهاية الخاصة إعلامية ويجب حذفها للتنظيف.
  • في أثناء قيامك بإنشاء نقاط نهاية خاصة، ضع في اعتبارك ما يلي:

    • تتيح نقاط النهاية الخاصة الاتصال بين العملاء من نفس:

      • الشبكة الظاهرية
      • الشبكات الظاهرية النظيرة إقليمياً
      • شبكات ظاهرية نظيرة عالمياً
      • البيئات المحلية التي تستخدم VPN أو Express Route
      • الخدمات التي يتم تشغيلها بواسطة Private Link
    • ولا يمكن بدء اتصالات الشبكة إلا من خلال العملاء المتصلين بنقطة النهاية الخاصة. لا يمتلك مقدمو الخدمة تكوين توجيه لإنشاء اتصالات بعملاء الخدمة. يمكن إنشاء التوصيلات في اتجاه واحد فقط.

    • يتم إنشاء واجهة شبكة للقراءة فقط تلقائيًا لدورة حياة نقطة النهاية الخاصة. يتم تعيين عنوان IP خاص ديناميكي للواجهة من الشبكة الفرعية التي تعين إلى مورد الارتباط الخاص. تظل قيمة عنوان IP الخاص دون تغيير طوال دورة الحياة الكاملة لنقطة النهاية الخاصة.

    • يجب نشر نقطة النهاية الخاصة في نفس المنطقة والاشتراك كشبكة ظاهرية.

    • يمكن نشر مورد الارتباط الخاص في منطقة مختلفة عن تلك الخاصة بالشبكة الافتراضية ونقطة النهاية الخاصة.

    • ويمكن إنشاء نقاط نهاية خاصة متعددة باستخدام نفس مورد الارتباط الخاص. بالنسبة إلى شبكة واحدة تستخدم تكوين خادم DNS شائعًا، فإن الممارسة الموصى بها هي استخدام نقطة نهاية خاصة واحدة لمورد ارتباط خاص محدد. استخدم هذه الممارسة لتجنب الإدخالات المكررة أو التعارضات في دقة DNS.

    • يمكن إنشاء نقاط نهاية خاصة متعددة على نفس الشبكة أو على شبكات فرعية مختلفة داخل نفس الشبكة الظاهرية. هناك حدود لعدد نقاط النهاية الخاصة التي يمكنك إنشاؤها في أي اشتراك. لمزيد من المعلومات، راجع حدود Azure.

    • يتعين تسجيل الاشتراك الذي يحتوي على مورد الارتباط الخاص لدى موفر موارد شبكة Microsoft. يتعين أيضًا تسجيل الاشتراك الذي يحتوي على نقطة النهاية الخاصة لدى موفر موارد شبكة Microsoft. لمزيد من المعلومات، راجع موفري موارد Azure.

    مورد الارتباط الخاص هو الهدف الوجهة لنقطة نهاية خاصة محددة. يسرد الجدول التالي الموارد المتاحة التي تدعم نقطة نهاية خاصة:

    اسم مورد الارتباط الخاص نوع المورد الموارد الفرعية
    Application Gateway Microsoft.Network/applicationgateways اسم تكوين IP للواجهة الأمامية
    البحث باستخدام الذكاء الاصطناعي في Azure Microsoft.Search/searchServices searchService
    خدماتالذكاء الاصطناعي في Azure Microsoft.CognitiveServices/accounts الحساب
    واجهة برمجة التطبيقات Azure لـ FHIR (موارد تبادلية الرعاية الصحية السريعة) Microsoft.HealthcareApis/services موارد تبادلية الرعاية الصحية السريعة
    إدارة Azure API Microsoft.ApiManagement/service البوابة
    تكوين Azure App Microsoft.Appconfiguration/configurationStores مخازن التكوين
    "Azure App Service" Microsoft.Web/hostingEnvironments بيئة الاستضافة
    "Azure App Service" Microsoft.Web/sites المَواقع
    خدمة Azure Attestation Microsoft.Attestation/attestationProviders/attestation/read قياسي
    التنفيذ التلقائي في Azure Microsoft.Automation/automationAccounts Webhook، DSCAndHybridWorker
    النسخ الاحتياطي في Azure Microsoft.RecoveryServices/vaults AzureBackup، AzureSiteRecovery
    Azure Batch Microsoft.Batch/batchAccounts batchAccount،‏ nodeManagement
    ذاكرة التخزين المؤقت في Azure لـ Redis Microsoft.Cache/Redis redisCache
    ذاكرة تخزين مؤقت في Azure لـ Redis Enterprise Microsoft.Cache/redisEnterprise redisEnterprise
    Azure Container Registry Microsoft.ContainerRegistry/registries السجل
    Azure Cosmos DB Microsoft.AzureCosmosDB/databaseAccounts SQL،‏ MongoDB،‏ Cassandra،‏ Gremlin، جدول
    Azure Cosmos DB ل MongoDB vCore Microsoft.DocumentDb/mongoClusters mongoCluster
    قاعدة بيانات Azure Cosmos لـ PostgreSQL Microsoft.DBforPostgreSQL/serverGroupsv2 منسق
    Azure Data Explorer ‏(Kusto) نظام مجموعة/مايكروسوفت.كوستو نظام مجموعة
    Azure Data Factory Microsoft.DataFactory/factories dataFactory
    قاعدة بيانات Azure لـ MariaDB Microsoft.DBforMariaDB/servers mariadbServer
    Azure Database for MySQL - Flexible Server Microsoft.DBforMySQL/flexibleServers mysqlServer
    Azure Database لـ MySQL - خادم واحد Microsoft.DBforMySQL/servers mysqlServer
    Azure Database for PostgreSQL - خادم Flexible Server Microsoft.DBforPostgreSQL/flexibleServers postgresqlServer
    Azure Database for PostgreSQL - خادم فردي Microsoft.DBforPostgreSQL/servers postgresqlServer
    Azure Databricks Microsoft.Databricks/workspaces databricks_ui_api، browser_authentication
    Azure Device Provisioning Service Microsoft.Devices/provisioningServices iotDps
    Azure Digital Twins Microsoft.DigitalTwins/digitalTwinsInstances واجهة برمجة التطبيقات (API)
    Azure Event Grid مجال خطوط شبكة الحدث لـ MICROSOFT المجال
    Azure Event Grid Microsoft.EventGrid/topics الموضوع
    Azure Event Hub Microsoft.EventHub/namespaces مساحة الاسم
    "Azure File Sync" مايكروسوفت.التخزينSync/خدمات التخرين خدمة مزامنة الملفات
    Azure HDInsight تفاصيل مجموعة أجهزة كمبيوتر HD Microsoft نظام مجموعة
    Azure IoT Central Microsoft.IoTCentral/IoTApps تطبيقات IoT
    Azure IoT Hub Microsoft.Devices/IotHubs iotHub
    Azure Key Vault Microsoft.KeyVault/vaults المخزن
    Azure Key Vault HSM (وحدة نمطية لأمان الأجهزة) Microsoft.Keyvault/managedHSMs HSM
    Azure Kubernetes Service - واجهة برمجة التطبيقات Kubernetes Microsoft.ContainerService/managedClusters الإدارة
    Azure Machine Learning   Microsoft.MachineLearningServices/registries amlregistry
    Azure Machine Learning   Microsoft.MachineLearningServices/workspaces amlworkspace
    أقراص مدارة من Azure Microsoft.Compute/diskAccesses القرص المُدار
    Azure Media Services الوسائط/خدمات الوسائط في مايكروسوفت keydelivery،‏ liveevent،‏ streamingendpoint
    Azure Migrate Microsoft.Migrate/assessmentProjects المشروع
    نطاق الارتباط الخاص ل Azure Monitor Microsoft.Insights/privatelinkscopes azuremonitor
    Azure Relay Microsoft.Relay/namespaces مساحة الاسم
    ناقل خدمة Azure ناقل الخدمة/مساحة الاسم الخاصة بـ Microsoft. مساحة الاسم
    Azure SignalR Service Microsoft.SignalRService/SignalR SignalR
    Azure SignalR Service Microsoft.SignalRService/webPubSub webpubsub
    قاعدة بيانات Azure SQL Microsoft.Sql/ خوادم SQL Server (sqlServer)
    مثيل Azure SQL المُدار Microsoft.Sql/managedInstances managedInstance
    تطبيقات الويب الثابتة Azure Microsoft.Web/staticSites المواقع الثابتة
    تخزين Azure Microsoft.Storage/storageAccounts كائن ثنائي كبير الحجم (blob, blob_secondary)
    الجدول (table, table_secondary)
    قائمة الانتظار (queue, queue_secondary)
    ملف (file, file_secondary)
    شبكة الإنترنت العالمية (web, web_secondary)
    Dfs (dfs, dfs_secondary)
    Azure Synapse Microsoft.Synapse/privateLinkHubs الويب
    Azure Synapse Analytics Microsoft.Synapse/workspaces Sql، SqlOnDemand، Dev
    Azure Virtual Desktop - تجمعات المضيف Microsoft.DesktopVirtualization/hostpools الاتصال
    Azure Virtual Desktop - مساحات العمل Microsoft.DesktopVirtualization/workspaces علف
    العمومي
    تحديث الأجهزة لـ IoT Hub Microsoft.DeviceUpdate/accounts تحديث الجهاز
    حساب التكامل (Premium) Microsoft.Logic/integrationAccounts حساب التكامل
    Microsoft Purview Microsoft.Purview/accounts الحساب
    Microsoft Purview Microsoft.Purview/accounts مدخل
    Power BI Microsoft.PowerBI/privateLinkServicesForPowerBI Power BI
    خدمة Private Link (خدمتك الخاصة) Microsoft.Network/privateLinkServices فارغ
    الارتباطات الخاصة بإدارة الموارد Microsoft.Authorization/resourceManagementPrivateLinks ResourceManagement

    إشعار

    يمكنك إنشاء نقاط نهاية خاصة فقط على حساب تخزين للأغراض العامة v2 (GPv2).

    أمان الشبكة لنقاط النهاية الخاصة

    عند استخدام نقاط النهاية الخاصة، يتم تأمين نسبة استخدام الشبكة إلى مورد الارتباط الخاص. تتحقق المنصة من اتصالات الشبكة، مما يسمح فقط لتلك التي تصل إلى مورد الارتباط الخاص المحدد. للوصول إلى المزيد من الموارد الفرعية داخل نفس خدمة Azure، يلزم وجود المزيد من نقاط النهاية الخاصة مع الأهداف المقابلة. في حالة تخزين Azure، على سبيل المثال، ستحتاج إلى نقاط نهاية خاصة منفصلة للوصول إلى الملف والموردين الفرعيين للكائنات الثنائية كبيرة الحجم.

    وتوفر نقاط النهاية الخاصة عنوان IP يمكن الوصول إليه بشكل خاص لخدمة Azure، ولكنها لا تقيد بالضرورة وصول الشبكة العامة إليها. مع ذلك، تتطلب جميع خدمات Azure الأخرى عناصر تحكم وصول إضافية. توفر عناصر التحكم هذه طبقة أمان إضافية للشبكة لمواردك، ما يوفر الحماية التي تساعد على منع الوصول إلى خدمة Azure المرتبطة بمورد الارتباط الخاص.

    تدعم نقاط النهاية الخاصة نُهج الشبكة. تمكن نُهج الشبكة دعم مجموعات أمان الشبكة (NSG) والمسارات المعرفة من قبل المستخدم (UDR) ومجموعات أمان التطبيقات (ASG). لمزيد من المعلومات حول تمكين نُهج الشبكة لنقطة نهاية خاصة، راجع إدارة نُهج الشبكة لنقاط النهاية الخاصة. لاستخدام ASG مع نقطة نهاية خاصة، راجع تكوين مجموعة أمان تطبيقات (ASG) مع نقطة نهاية خاصة.

    يمكنك الاتصال بمورد الارتباط الخاص باستخدام طرق قبول الاتصال التالية:

    • الموافقة تلقائيًا: استخدم هذه الطريقة عندما تمتلك أو لديك أذونات لمورد الارتباط الخاص المحدد. تستند الأذونات المطلوبة إلى نوع مورد الارتباط الخاص بالتنسيق التالي:

      Microsoft.<Provider>/<resource_type>/privateEndpointConnectionsApproval/action

    • طلب يدويًا: استخدم هذه الطريقة عندما لا تكون لديك الأذونات المطلوبة وتريد طلب الوصول. تم بدء سير عمل الموافقة. يتم إنشاء نقطة النهاية الخاصة واتصالات نقطة النهاية الخاصة اللاحقة في حالة معلقة . يتحمل مالك مورد الارتباط الخاص مسؤولية الموافقة على الاتصال. بعد الموافقة عليها، يتم تمكين نقطة النهاية الخاصة لإرسال نسبة استخدام الشبكة بشكل طبيعي، كما هو موضح في الرسم التخطيطي لسير عمل الموافقة التالي:

    رسم تخطيطي لعملية الموافقة على سير العمل.

    وعبر اتصال نقطة نهاية خاصة، يمكن لمالك مورد الارتباط الخاص:

    • راجع كافة تفاصيل اتصال نقطة النهاية الخاصة.
    • الموافقة على اتصال نقطة نهاية خاصة. يتم تمكين نقطة النهاية الخاصة المقابلة لإرسال نسبة استخدام الشبكة إلى مورد الارتباط الخاص.
    • رفض اتصال نقطة نهاية خاصة. يتم تحديث نقطة النهاية الخاصة المقابلة لتعكس الحالة.
    • احذف اتصال نقطة نهاية خاصة في أي ولاية. يتم تحديث نقطة النهاية الخاصة المقابلة بحالة غير متصلة لتعكس الإجراء. ويمكن لمالك نقطة النهاية الخاصة حذف المورد فقط في هذه المرحلة.

    إشعار

    يمكن فقط لنقاط النهاية الخاصة في حالة الموافقة إرسال نسبة استخدام الشبكة إلى مورد ارتباط خاص محدد.

    قم بالاتصال باستخدام اسم مستعار

    الاسم المستعار عبارة عن لقب فريد يتم إنشاؤه عندما يقوم مالك الخدمة بإنشاء خدمة ارتباط خاص خلف موازن تحميل قياسي. يمكن لمالكي الخدمة مشاركة هذا الاسم المستعار في وضع عدم الاتصال مع مستهلكي خدمتك.

    يمكن للمستهلكين طلب اتصال بخدمة الارتباط الخاص باستخدام إما المورد URI أو الاسم المستعار. للاتصال باستخدام الاسم المستعار، قم بإنشاء نقطة نهاية خاصة باستخدام طريقة الموافقة اليدوية على الاتصال. لاستخدام طريقة الموافقة اليدوية على الاتصال، قم بتعيين معلمة الطلب اليدوي إلى حقيقي أثناء تدفق إنشاء نقطة النهاية الخاصة. للحصول على مزيدٍ من المعلومات، راجع نقطة نهاية خاصة جديدة في Azure، وإنشاء نقطة نهاية خاصة لشبكة Azure.

    إشعار

    يمكن الموافقة على هذا الطلب اليدوي تلقائيًا إذا كان اشتراك المستهلك مدرجًا بالسماح به من جانب المزود. ولمعرفة المزيد، انتقل إلى التحكم في الوصول إلى الخدمة.

    تكوين DNS

    تعد إعدادات DNS التي تستخدمها للاتصال بمورد الارتباط الخاص مهمة. قد تحتوي خدمات Azure الحالية بالفعل على تكوين DNS يمكنك استخدامه عند الاتصال عبر نقطة نهاية عامة. للاتصال بنفس الخدمة عبر نقطة نهاية خاصة، يلزم وجود إعدادات DNS منفصلة، يتم تكوينها غالبًا عبر مناطق DNS الخاصة. تأكد من صحة إعدادات DNS الخاصة بك عند استخدام اسم المجال المؤهل بالكامل (FQDN) للاتصال. يجب أن يتم حل الإعدادات إلى عنوان IP الخاص لنقطة النهاية الخاصة.

    وتحتوي واجهة الشبكة المرتبطة بنقطة النهاية الخاصة على المعلومات المطلوبة لتكوين DNS الخاص بك. تتضمن المعلومات FQDN وعنوان IP الخاص لمورد الارتباط الخاص.

    للحصول على معلومات كاملة ومفصلة حول التوصيات لتكوين DNS لنقاط النهاية الخاصة، راجع تكوين DNS الخاص بنقطة النهاية.

    القيود

    تسرد المعلومات التالية القيود المعروفة على استخدام نقاط النهاية الخاصة:

    عنوان IP ثابت

    القيد ‏‏الوصف
    تكوين عنوان IP الثابت غير مدعوم حاليا. Azure Kubernetes Service (AKS)
    Azure Application Gateway
    HD Insight
    Recovery Services Vaults
    Third party Private Link services

    مجموعة أمان الشبكة

    القيد ‏‏الوصف
    المسارات الفعالة وقواعد الأمان غير متوفرة لواجهة شبكة نقطة النهاية الخاصة. لن يتم عرض المسارات الفعالة وقواعد الأمان لنقطة النهاية الخاصة NIC في مدخل Azure.
    سجلات تدفق NSG غير مدعومة. سجلات تدفق NSG غير متوفرة لنسبة استخدام الشبكة الواردة الموجهة لنقطة النهاية الخاصة.
    لا يزيد عدد الأعضاء في مجموعة أمان التطبيقات عن 50 عضوًا. خمسون هو عدد تكوينات IP التي يمكن ربطها بكل مجموعة ASG ذات صلة مقترنة ب NSG على الشبكة الفرعية لنقطة النهاية الخاصة. قد تحدث حالات فشل الاتصال مع أكثر من 50 عضوًا.
    نطاقات منفذ الوجهة مدعومة حتى عامل 250 كيلو بايت. يتم دعم نطاقات منفذ الوجهة كحاصل ضرب SourceAddressPrefixes وDestinationAddressPrefixes وDestinationPortRanges.

    مثال على القاعدة الواردة:
    مصدر واحد * وجهة واحدة * 4K portRanges = 4K Valid
    10 sources * 10 وجهات * 10 portRanges = 1 K Valid
    50 sources * 50 وجهة * 50 portRanges = 125 K صالحة
    50 مصادر * 50 وجهات * 100 portRanges = 250 K صالحة
    100 مصدر * 100 وجهات * 100 portRanges = 1M غير صالح، NSG لديها عدد كبير جدا من المصادر / الوجهات / المنافذ.
    يتم تفسير تصفية منفذ المصدر على أنها * لا يتم استخدام تصفية منفذ المصدر بشكل نشط كسيناريو صالح لتصفية نسبة استخدام الشبكة من أجل نسبة استخدام الشبكة الموجهة إلى نقطة نهاية خاصة.
    الميزة غير متوفرة في مناطق محددة. غير متوفر حاليا في المناطق التالية:
    غرب الهند
    أستراليا الوسطى 2
    جنوب أفريقيا غرب
    البرازيل جنوب شرق
    جميع المناطق
    الحكومية جميع مناطق الصين

    اعتبارات إضافية لمجموعة أمان الشبكة

    • نسبة استخدام الشبكة الصادرة المرفوضة من نقطة نهاية خاصة ليست سيناريو صالحًا، حيث لا يمكن لموفر الخدمة إنشاء نسبة استخدام الشبكة.

    • قد تتطلب الخدمات التالية فتح جميع منافذ الوجهة عند استخدام نقطة نهاية خاصة وإضافة عوامل تصفية أمان NSG:

      • Azure Cosmos DB - لمزيد من المعلومات، راجع نطاقات منفذ الخدمة.

    UDR

    القيد ‏‏الوصف
    يوصى ب SNAT دائما. بسبب الطبيعة المتغيرة لمستوى بيانات نقطة النهاية الخاصة، يوصى باستخدام نسبة استخدام الشبكة SNAT الموجهة إلى نقطة نهاية خاصة لضمان قبول نسبة استخدام الشبكة الخاصة بالعودة.
    الميزة غير متوفرة في مناطق محددة. غير متوفر حاليا في المناطق التالية:
    غرب الهند
    أستراليا الوسطى 2
    جنوب أفريقيا غرب
    جنوب شرق البرازيل

    مجموعة أمان التطبيق

    القيد ‏‏الوصف
    الميزة غير متوفرة في مناطق محددة. غير متوفر حاليا في المناطق التالية:
    غرب الهند
    أستراليا الوسطى 2
    جنوب أفريقيا غرب
    جنوب شرق البرازيل

    الخطوات التالية