ما هي نقطة النهاية الخاصة؟
نقطة النهاية الخاصة هي واجهة شبكة تستخدم عنوان IP خاصاً من شبكتك الظاهرية. واجهة الشبكة هذه تربطك بشكل خاص وآمن بخدمة مدعومة من Azure Private Link. عند قيامك بتمكين نقطة نهاية خاصة، فإنك تنقل الخدمة إلى شبكتك الظاهرية.
يمكن أن تكون الخدمة إحدى خدمات Azure مثل:
- تخزين Azure
- Azure Cosmos DB
- قاعدة بيانات Azure SQL
- الخدمة الخاصة بك التي تستخدم خدمة Private Link.
خصائص نقاط النهاية الخاصة
تحدد نقطة النهاية الخاصة ما يلي من الخصائص:
| الخاصية | الوصف |
|---|---|
| الاسم | اسماً فريداً ضمن مجموعة الموارد. |
| الشبكة الفرعية | الشبكة الفرعية المراد توزيعها، التي سيتم تعيين عنوان IP الخاص فيها. لمعرفة متطلبات الشبكة الفرعية، راجع قسم القيود الوارد في هذه المقالة. |
| مورد Private-link | مورد Private Link للاتصال باستخدام معرف المورد أو الاسم المستعار، من قائمة الأنواع المتوفرة. سيتم إنشاء معرف شبكة فريد لكل نسبة استخدام الشبكة المرسلة إلى هذا المورد. |
| مصدر الهدف الفرعي | المصدر الفرعي للاتصال. كل نوع Private Link خاص له خيارات متعددة لتحديدها استنادًا إلى التفضيل. |
| أسلوب الموافقة على الاتصال | تلقائي أو يدوي. اعتمادا على أذونات التحكم في الوصول المستندة إلى دور Azure، يمكن الموافقة على نقطة النهاية الخاصة بك تلقائيا. إذا كنت تتصل بمورد ارتباط خاص بدون أذونات تستند إلى دور Azure، فاستخدم الأسلوب اليدوي للسماح لمالك المورد بالموافقة على الاتصال. |
| رسالة الطلب | يمكنك تحديد رسالة للموافقة على الاتصالات المطلوبة يدوياً. يمكن استخدام هذه الرسالة لتعريف طلب معين. |
| حالة الاتصال | خاصية للقراءة فقط تحدد ما إذا كانت نقطة النهاية الخاصة نشطة أم لا. لا يمكن استخدام سوى نقاط النهاية الخاصة التي في حالة الموافقة لإرسال نسبة استخدام الشبكة. المزيد من الحالات المتوفرة: |
في أثناء قيامك بإنشاء نقاط نهاية خاصة، ضع في اعتبارك ما يلي:
تتيح نقاط النهاية الخاصة الاتصال بين العملاء من نفس:
- الشبكة الظاهرية
- الشبكات الظاهرية النظيرة إقليمياً
- شبكات ظاهرية نظيرة عالمياً
- البيئات المحلية التي تستخدم VPN أو Express Route
- الخدمات التي يتم تشغيلها بواسطة Private Link
ولا يمكن بدء اتصالات الشبكة إلا من خلال العملاء المتصلين بنقطة النهاية الخاصة. لا يمتلك مقدمو الخدمة تكوين توجيه لإنشاء اتصالات بعملاء الخدمة. يمكن إنشاء التوصيلات في اتجاه واحد فقط.
يتم إنشاء واجهة شبكة للقراءة فقط تلقائيًا لدورة حياة نقطة النهاية الخاصة. يتم تعيين عنوان IP خاص ديناميكي للواجهة من الشبكة الفرعية التي تعين إلى مورد الارتباط الخاص. تظل قيمة عنوان IP الخاص دون تغيير طوال دورة الحياة الكاملة لنقطة النهاية الخاصة.
يجب نشر نقطة النهاية الخاصة في نفس المنطقة والاشتراك كشبكة ظاهرية.
يمكن نشر مورد الارتباط الخاص في منطقة مختلفة عن تلك الخاصة بالشبكة الافتراضية ونقطة النهاية الخاصة.
ويمكن إنشاء نقاط نهاية خاصة متعددة باستخدام نفس مورد الارتباط الخاص. بالنسبة إلى شبكة واحدة تستخدم تكوين خادم DNS شائعًا، فإن الممارسة الموصى بها هي استخدام نقطة نهاية خاصة واحدة لمورد ارتباط خاص محدد. استخدم هذه الممارسة لتجنب الإدخالات المكررة أو التعارضات في دقة DNS.
يمكن إنشاء نقاط نهاية خاصة متعددة على نفس الشبكة أو على شبكات فرعية مختلفة داخل نفس الشبكة الظاهرية. هناك حدود لعدد نقاط النهاية الخاصة التي يمكنك إنشاؤها في أي اشتراك. لمزيد من المعلومات، راجع حدود Azure.
يتعين تسجيل الاشتراك الذي يحتوي على مورد الارتباط الخاص لدى موفر موارد شبكة Microsoft. يتعين أيضًا تسجيل الاشتراك الذي يحتوي على نقطة النهاية الخاصة لدى موفر موارد شبكة Microsoft. لمزيد من المعلومات، راجع موفري موارد Azure.
مورد Private-link
مورد الارتباط الخاص هو الهدف الوجهة لنقطة نهاية خاصة محددة. يسرد الجدول التالي الموارد المتاحة التي تدعم نقطة نهاية خاصة:
| اسم مورد الارتباط الخاص | نوع المورد | الموارد الفرعية |
|---|---|---|
| Application Gateway | Microsoft.Network/applicationgateways | اسم تكوين IP للواجهة الأمامية |
| خدمات الذكاء الاصطناعي في Azure | Microsoft.CognitiveServices/accounts | الحساب |
| واجهة برمجة التطبيقات Azure لـ FHIR (موارد تبادلية الرعاية الصحية السريعة) | Microsoft.HealthcareApis/services | موارد تبادلية الرعاية الصحية السريعة |
| تكوين Azure App | Microsoft.Appconfiguration/configurationStores | مخازن التكوين |
| "Azure App Service" | Microsoft.Web/hostingEnvironments | بيئة الاستضافة |
| "Azure App Service" | Microsoft.Web/sites | المَواقع |
| التنفيذ التلقائي في Azure | Microsoft.Automation/automationAccounts | Webhook، DSCAndHybridWorker |
| النسخ الاحتياطي في Azure | Microsoft.RecoveryServices/vaults | AzureBackup، AzureSiteRecovery |
| Azure Batch | Microsoft.Batch/batchAccounts | batchAccount، nodeManagement |
| ذاكرة التخزين المؤقت في Azure لـ Redis | Microsoft.Cache/Redis | redisCache |
| ذاكرة تخزين مؤقت في Azure لـ Redis Enterprise | Microsoft.Cache/redisEnterprise | redisEnterprise |
| خدمة الذكاء الاصطناعي Azure AI Search | Microsoft.Search/searchServices | searchService |
| Azure Container Registry | Microsoft.ContainerRegistry/registries | السجل |
| Azure Cosmos DB | Microsoft.AzureCosmosDB/databaseAccounts | SQL، MongoDB، Cassandra، Gremlin، جدول |
| Azure Cosmos DB لـ PostgreSQL | Microsoft.DBforPostgreSQL/serverGroupsv2 | المنسق |
| Azure Cosmos DB ل MongoDB vCore | Microsoft.DocumentDb/mongoClusters | mongoCluster |
| Azure Data Explorer (Kusto) | نظام مجموعة/مايكروسوفت.كوستو | نظام مجموعة |
| Azure Data Factory | Microsoft.DataFactory/factories | dataFactory |
| قاعدة بيانات Azure لـ MariaDB | Microsoft.DBforMariaDB/servers | mariadbServer |
| Azure Database لـ MySQL - خادم واحد | Microsoft.DBforMySQL/servers | mysqlServer |
| قاعدة بيانات Azure لخادم MySQL المرن | Microsoft.DBforMySQL/flexibleServers | mysqlServer |
| Azure Database for PostgreSQL - خادم فردي | Microsoft.DBforPostgreSQL/servers | postgresqlServer |
| Azure Database for PostgreSQL - خادم Flexible Server | Microsoft.DBforPostgreSQL/flexibleServers | postgresqlServer |
| Azure Databricks | Microsoft.Databricks/workspaces | databricks_ui_api، browser_authentication |
| Azure Device Provisioning Service | Microsoft.Devices/provisioningServices | iotDps |
| Azure Digital Twins | Microsoft.DigitalTwins/digitalTwinsInstances | واجهة برمجة التطبيقات (API) |
| Azure Event Grid | مجال خطوط شبكة الحدث لـ MICROSOFT | المجال |
| Azure Event Grid | Microsoft.EventGrid/topics | الموضوع |
| Azure Event Hub | Microsoft.EventHub/namespaces | مساحة الاسم |
| "Azure File Sync" | مايكروسوفت.التخزينSync/خدمات التخرين | خدمة مزامنة الملفات |
| Azure HDInsight | تفاصيل مجموعة أجهزة كمبيوتر HD Microsoft | نظام مجموعة |
| Azure IoT Central | Microsoft.IoTCentral/IoTApps | تطبيقات IoT |
| Azure IoT Hub | Microsoft.Devices/IotHubs | iotHub |
| Azure Key Vault | Microsoft.KeyVault/vaults | المخزن |
| Azure Key Vault HSM (وحدة نمطية لأمان الأجهزة) | Microsoft.Keyvault/managedHSMs | HSM |
| Azure Kubernetes Service - واجهة برمجة التطبيقات Kubernetes | Microsoft.ContainerService/managedClusters | الإدارة |
| التعلم الآلي من Azure | Microsoft.MachineLearningServices/registries | amlregistry |
| التعلم الآلي من Azure | Microsoft.MachineLearningServices/workspaces | amlworkspace |
| أقراص مدارة من Azure | Microsoft.Compute/diskAccesses | القرص المُدار |
| Azure Media Services | الوسائط/خدمات الوسائط في مايكروسوفت | keydelivery، liveevent، streamingendpoint |
| Azure Migrate | Microsoft.Migrate/assessmentProjects | المشروع |
| نطاق الارتباط الخاص ل Azure Monitor | Microsoft.Insights/privatelinkscopes | azuremonitor |
| Azure Relay | Microsoft.Relay/namespaces | مساحة الاسم |
| ناقل خدمة Azure | ناقل الخدمة/مساحة الاسم الخاصة بـ Microsoft. | مساحة الاسم |
| Azure SignalR Service | Microsoft.SignalRService/SignalR | SignalR |
| Azure SignalR Service | Microsoft.SignalRService/webPubSub | webpubsub |
| قاعدة بيانات Azure SQL | Microsoft.Sql/ خوادم | SQL Server (sqlServer) |
| مثيل Azure SQL المُدار | Microsoft.Sql/managedInstances | managedInstance |
| تطبيقات الويب الثابتة Azure | Microsoft.Web/staticSites | المواقع الثابتة |
| تخزين Azure | Microsoft.Storage/storageAccounts | كائن ثنائي كبير الحجم (blob, blob_secondary) الجدول (table, table_secondary) قائمة الانتظار (queue, queue_secondary) ملف (file, file_secondary) شبكة الإنترنت العالمية (web, web_secondary) Dfs (dfs, dfs_secondary) |
| Azure Synapse | Microsoft.Synapse/privateLinkHubs | الويب |
| Azure Synapse Analytics | Microsoft.Synapse/workspaces | Sql، SqlOnDemand، Dev |
| Azure Virtual Desktop - تجمعات المضيف | Microsoft.DesktopVirtualization/hostpools | الاتصال |
| Azure Virtual Desktop - مساحات العمل | Microsoft.DesktopVirtualization/workspaces | موجز ويب العمومي |
| تحديث الأجهزة لـ IoT Hub | Microsoft.DeviceUpdate/accounts | تحديث الجهاز |
| Microsoft Purview | Microsoft.Purview/accounts | الحساب |
| Microsoft Purview | Microsoft.Purview/accounts | مدخل |
| Power BI | Microsoft.PowerBI/privateLinkServicesForPowerBI | Power BI |
| خدمة Private Link (خدمتك الخاصة) | Microsoft.Network/privateLinkServices | فارغ |
| الارتباطات الخاصة بإدارة الموارد | Microsoft.Authorization/resourceManagementPrivateLinks | ResourceManagement |
إشعار
يمكنك إنشاء نقاط نهاية خاصة فقط على حساب تخزين للأغراض العامة v2 (GPv2).
أمان الشبكة لنقاط النهاية الخاصة
عند استخدام نقاط النهاية الخاصة، يتم تأمين نسبة استخدام الشبكة إلى مورد الارتباط الخاص. تتحقق المنصة من اتصالات الشبكة، مما يسمح فقط لتلك التي تصل إلى مورد الارتباط الخاص المحدد. للوصول إلى المزيد من الموارد الفرعية داخل نفس خدمة Azure، يلزم وجود المزيد من نقاط النهاية الخاصة مع الأهداف المقابلة. في حالة تخزين Azure، على سبيل المثال، ستحتاج إلى نقاط نهاية خاصة منفصلة للوصول إلى الملف والموردين الفرعيين للكائنات الثنائية كبيرة الحجم.
وتوفر نقاط النهاية الخاصة عنوان IP يمكن الوصول إليه بشكل خاص لخدمة Azure، ولكنها لا تقيد بالضرورة وصول الشبكة العامة إليها. مع ذلك، تتطلب جميع خدمات Azure الأخرى عناصر تحكم وصول إضافية. توفر عناصر التحكم هذه طبقة أمان إضافية للشبكة لمواردك، ما يوفر الحماية التي تساعد على منع الوصول إلى خدمة Azure المرتبطة بمورد الارتباط الخاص.
تدعم نقاط النهاية الخاصة نُهج الشبكة. تمكن نُهج الشبكة دعم مجموعات أمان الشبكة (NSG) والمسارات المعرفة من قبل المستخدم (UDR) ومجموعات أمان التطبيقات (ASG). لمزيد من المعلومات حول تمكين نُهج الشبكة لنقطة نهاية خاصة، راجع إدارة نُهج الشبكة لنقاط النهاية الخاصة. لاستخدام ASG مع نقطة نهاية خاصة، راجع تكوين مجموعة أمان تطبيقات (ASG) مع نقطة نهاية خاصة.
الوصول إلى مورد الارتباط الخاص باستخدام سير عمل الموافقة
يمكنك الاتصال بمورد الارتباط الخاص باستخدام طرق قبول الاتصال التالية:
الموافقة تلقائيًا: استخدم هذه الطريقة عندما تمتلك أو لديك أذونات لمورد الارتباط الخاص المحدد. تستند الأذونات المطلوبة إلى نوع مورد الارتباط الخاص بالتنسيق التالي:
Microsoft.<Provider>/<resource_type>/privateEndpointConnectionsApproval/actionطلب يدويًا: استخدم هذه الطريقة عندما لا تكون لديك الأذونات المطلوبة وتريد طلب الوصول. تم بدء سير عمل الموافقة. يتم إنشاء نقطة النهاية الخاصة واتصالات نقطة النهاية الخاصة اللاحقة في حالة معلقة . يتحمل مالك مورد الارتباط الخاص مسؤولية الموافقة على الاتصال. بعد الموافقة عليها، يتم تمكين نقطة النهاية الخاصة لإرسال نسبة استخدام الشبكة بشكل طبيعي، كما هو موضح في الرسم التخطيطي لسير عمل الموافقة التالي:
وعبر اتصال نقطة نهاية خاصة، يمكن لمالك مورد الارتباط الخاص:
- راجع كافة تفاصيل اتصال نقطة النهاية الخاصة.
- الموافقة على اتصال نقطة نهاية خاصة. يتم تمكين نقطة النهاية الخاصة المقابلة لإرسال نسبة استخدام الشبكة إلى مورد الارتباط الخاص.
- رفض اتصال نقطة نهاية خاصة. يتم تحديث نقطة النهاية الخاصة المقابلة لتعكس الحالة.
- احذف اتصال نقطة نهاية خاصة في أي ولاية. يتم تحديث نقطة النهاية الخاصة المقابلة بحالة غير متصلة لتعكس الإجراء. ويمكن لمالك نقطة النهاية الخاصة حذف المورد فقط في هذه المرحلة.
إشعار
يمكن فقط لنقاط النهاية الخاصة في حالة الموافقة إرسال نسبة استخدام الشبكة إلى مورد ارتباط خاص محدد.
قم بالاتصال باستخدام اسم مستعار
الاسم المستعار عبارة عن لقب فريد يتم إنشاؤه عندما يقوم مالك الخدمة بإنشاء خدمة ارتباط خاص خلف موازن تحميل قياسي. يمكن لمالكي الخدمة مشاركة هذا الاسم المستعار في وضع عدم الاتصال مع مستهلكي خدمتك.
يمكن للمستهلكين طلب اتصال بخدمة الارتباط الخاص باستخدام إما المورد URI أو الاسم المستعار. للاتصال باستخدام الاسم المستعار، قم بإنشاء نقطة نهاية خاصة باستخدام طريقة الموافقة اليدوية على الاتصال. لاستخدام طريقة الموافقة اليدوية على الاتصال، قم بتعيين معلمة الطلب اليدوي إلى حقيقي أثناء تدفق إنشاء نقطة النهاية الخاصة. للحصول على مزيدٍ من المعلومات، راجع نقطة نهاية خاصة جديدة في Azure، وإنشاء نقطة نهاية خاصة لشبكة Azure.
إشعار
يمكن الموافقة على هذا الطلب اليدوي تلقائيًا إذا كان اشتراك المستهلك مدرجًا بالسماح به من جانب المزود. ولمعرفة المزيد، انتقل إلى التحكم في الوصول إلى الخدمة.
تكوين DNS
تعد إعدادات DNS التي تستخدمها للاتصال بمورد الارتباط الخاص مهمة. قد تحتوي خدمات Azure الحالية بالفعل على تكوين DNS يمكنك استخدامه عند الاتصال عبر نقطة نهاية عامة. للاتصال بنفس الخدمة عبر نقطة نهاية خاصة، يلزم وجود إعدادات DNS منفصلة، يتم تكوينها غالبًا عبر مناطق DNS الخاصة. تأكد من صحة إعدادات DNS الخاصة بك عند استخدام اسم المجال المؤهل بالكامل (FQDN) للاتصال. يجب أن يتم حل الإعدادات إلى عنوان IP الخاص لنقطة النهاية الخاصة.
وتحتوي واجهة الشبكة المرتبطة بنقطة النهاية الخاصة على المعلومات المطلوبة لتكوين DNS الخاص بك. تتضمن المعلومات FQDN وعنوان IP الخاص لمورد الارتباط الخاص.
للحصول على معلومات كاملة ومفصلة حول التوصيات لتكوين DNS لنقاط النهاية الخاصة، راجع تكوين DNS الخاص بنقطة النهاية.
القيود
تسرد المعلومات التالية القيود المعروفة على استخدام نقاط النهاية الخاصة:
عنوان IP ثابت
| القيد | الوصف |
|---|---|
| تكوين عنوان IP الثابت غير مدعوم حاليا. | Azure Kubernetes Service (AKS)Azure Application GatewayHD InsightRecovery Services VaultsThird party Private Link services |
مجموعة أمان الشبكة
| القيد | الوصف |
|---|---|
| المسارات الفعالة وقواعد الأمان غير متوفرة لواجهة شبكة نقطة النهاية الخاصة. | لن يتم عرض المسارات الفعالة وقواعد الأمان لنقطة النهاية الخاصة NIC في مدخل Azure. |
| سجلات تدفق NSG غير مدعومة. | سجلات تدفق NSG غير متوفرة لنسبة استخدام الشبكة الواردة الموجهة لنقطة النهاية الخاصة. |
| لا يزيد عدد الأعضاء في مجموعة أمان التطبيقات عن 50 عضوًا. | خمسون هو عدد تكوينات IP التي يمكن ربطها بكل مجموعة ASG ذات صلة مقترنة ب NSG على الشبكة الفرعية لنقطة النهاية الخاصة. قد تحدث حالات فشل الاتصال مع أكثر من 50 عضوًا. |
| نطاقات منفذ الوجهة مدعومة حتى عامل 250 كيلو بايت. | يتم دعم نطاقات منفذ الوجهة كحاصل ضرب SourceAddressPrefixes وDestinationAddressPrefixes وDestinationPortRanges. مثال على القاعدة الواردة: مصدر واحد * وجهة واحدة * 4K portRanges = 4K Valid 10 sources * 10 وجهات * 10 portRanges = 1 K Valid 50 sources * 50 وجهة * 50 portRanges = 125 K صالحة 50 مصادر * 50 وجهات * 100 portRanges = 250 K صالحة 100 مصدر * 100 وجهات * 100 portRanges = 1M غير صالح، NSG لديها عدد كبير جدا من المصادر / الوجهات / المنافذ. |
| يتم تفسير تصفية منفذ المصدر على أنها * | لا يتم استخدام تصفية منفذ المصدر بشكل نشط كسيناريو صالح لتصفية نسبة استخدام الشبكة من أجل نسبة استخدام الشبكة الموجهة إلى نقطة نهاية خاصة. |
| الميزة غير متوفرة في مناطق محددة. | غير متوفر حاليا في المناطق التالية: غرب الهند أستراليا الوسطى 2 جنوب أفريقيا غرب البرازيل جنوب شرق جميع المناطق الحكومية جميع مناطق الصين |
اعتبارات إضافية لمجموعة أمان الشبكة
نسبة استخدام الشبكة الصادرة المرفوضة من نقطة نهاية خاصة ليست سيناريو صالحًا، حيث لا يمكن لموفر الخدمة إنشاء نسبة استخدام الشبكة.
قد تتطلب الخدمات التالية فتح جميع منافذ الوجهة عند استخدام نقطة نهاية خاصة وإضافة عوامل تصفية أمان NSG:
- Azure Cosmos DB - لمزيد من المعلومات، راجع نطاقات منفذ الخدمة.
UDR
| القيد | الوصف |
|---|---|
| يوصى ب SNAT دائما. | بسبب الطبيعة المتغيرة لمستوى بيانات نقطة النهاية الخاصة، يوصى باستخدام نسبة استخدام الشبكة SNAT الموجهة إلى نقطة نهاية خاصة لضمان قبول نسبة استخدام الشبكة الخاصة بالعودة. |
| الميزة غير متوفرة في مناطق محددة. | غير متوفر حاليا في المناطق التالية: غرب الهند أستراليا الوسطى 2 جنوب أفريقيا غرب جنوب شرق البرازيل |
مجموعة أمان التطبيق
| القيد | الوصف |
|---|---|
| الميزة غير متوفرة في مناطق محددة. | غير متوفر حاليا في المناطق التالية: غرب الهند أستراليا الوسطى 2 جنوب أفريقيا غرب جنوب شرق البرازيل |
الخطوات التالية
لمزيد من المعلومات حول نقاط النهاية الخاصة والارتباط الخاص، راجع ما هو الارتباط الخاص لـ Azure؟.
ولبدء إنشاء نقطة نهاية خاصة لتطبيق ويب، راجع التشغيل السريع - إنشاء نقطة نهاية خاصة باستخدام مدخل Microsoft Azure.