البرنامج التعليمي: الاتصال بحساب التخزين باستخدام نقطة نهاية خاصة في Azure

  • مقالة

نقطة نهاية Azure الخاصة هي كتلة إنشائية أساسية للارتباط الخاص في Azure. إنها تمكن موارد Azure، مثل الأجهزة الظاهرية، من الاتصال بشكل خاص وآمن بموارد Private Link مثل Azure Storage.

رسم تخطيطي للموارد التي تم إنشاؤها في البرنامج التعليمي.

في هذا البرنامج التعليمي، تتعلم كيفية:

  • إنشاء شبكة ظاهرية ومضيف bastion.
  • إنشاء حساب تخزين وتعطيل الوصول العام.
  • إنشاء نقطة نهاية خاصة لحساب التخزين.
  • إنشاء جهاز ظاهري.
  • قم باختبار الاتصال بنقطة النهاية الخاصة بحساب التخزين.

المتطلبات الأساسية

تسجيل الدخول إلى Azure

قم بتسجيل الدخول إلى بوابة Azure.

إنشاء شبكة ظاهرية ومضيف Azure Bastion

ينشئ الإجراء التالي شبكة ظاهرية مع شبكة فرعية لمورد وشبكة فرعية Azure Bastion ومضيف Bastion:

  1. في المدخل، ابحث عن Virtual networks وحددها.

  2. في صفحة ⁧⁩الشبكة الظاهرية⁧⁩، حدد ⁧+⁩ إنشاء⁧⁩.

  3. في علامة التبويب أساسياتلـ إنشاء شبكة ظاهرية، أدخل أو حدد المعلومات التالية:

    الإعداد القيمة‬
    تفاصيل المشروع
    الاشتراك حدد Subscription الخاص بك.
    مجموعة الموارد حدد إنشاء جديد.
    أدخل test-rg للاسم.
    حدد موافق.
    تفاصيل المثيل
    الاسم أدخل vnet-1.
    المنطقة حدد شرق الولايات المتحدة 2.

    لقطة شاشة لعلامة التبويب Basics لإنشاء شبكة ظاهرية في مدخل Microsoft Azure.

  4. حدد التالي للمتابعة إلى علامة التبويب الأمان .

  5. في قسم Azure Bastion ، حدد Enable Bastion.

    يستخدم Bastion المستعرض للاتصال بالأجهزة الظاهرية في شبكتك الظاهرية عبر Secure Shell (SSH) أو بروتوكول سطح المكتب البعيد (RDP) باستخدام عناوين IP الخاصة بها. لا تحتاج الأجهزة الظاهرية إلى عناوين IP عامة أو برامج عميل أو تكوين خاص. لمزيد من المعلومات، راجع ما هو Azure Bastion؟.

    إشعار

    يبدأ التسعير بالساعة من اللحظة التي يتم فيها نشر Bastion، بغض النظر عن استخدام البيانات الصادرة. لمزيد من المعلومات، راجع التسعير ووحدات SKU. إذا كنت تقوم بنشر Bastion كجزء من برنامج تعليمي أو اختبار، نوصي بحذف هذا المورد بعد الانتهاء من استخدامه.

  6. في Azure Bastion، أدخل المعلومات التالية أو حددها:

    الإعداد القيمة‬
    اسم مضيف Azure Bastion أدخل bastion.
    عنوان IP العام ل Azure Bastion حدد إنشاء عنوان IP عام.
    أدخل public-ip-bastion في Name.
    حدد موافق.

    لقطة شاشة لخيارات تمكين مضيف Azure Bastion كجزء من إنشاء شبكة ظاهرية في مدخل Microsoft Azure.

  7. حدد التالي للمتابعة إلى علامة التبويب عناوين IP.

  8. في مربع مساحة العنوان في الشبكات الفرعية، حدد الشبكة الفرعية الافتراضية.

  9. في تحرير الشبكة الفرعية، أدخل المعلومات التالية أو حددها:

    الإعداد القيمة‬
    تفاصيل الشبكة الفرعية
    قالب الشبكة الفرعية اترك الإعداد الافتراضي الافتراضي.
    الاسم أدخل subnet-1.
    عنوان البدء اترك الإعداد الافتراضي 10.0.0.0.
    حجم الشبكة الفرعية اترك القيمة الافتراضية ل /24 (256 عنوانا) .

    لقطة شاشة لتفاصيل التكوين لشبكة فرعية.

  10. حدد حفظ.

  11. حدد Review + create في أسفل النافذة. بعد تجاوز التحقق من الصحة، حدد Create.

إنشاء حساب تخزين

إنشاء حساب Azure Storage للخطوات الواردة في هذه المقالة. إذا كان لديك حساب تخزين بالفعل، يمكنك استخدامه بدلا من ذلك.

  1. في مربع البحث أعلى المدخل، أدخل Storage account. حدّد Storage accounts في نتائج البحث.

  2. حدد + إنشاء.

  3. في علامة التبويب Basics في Create a storage account، أدخل المعلومات التالية أو حددها:

    الإعداد القيمة‬
    تفاصيل المشروع
    الاشتراك حدد اشتراك Azure الخاص بك.
    مجموعة الموارد حدد test-rg.
    تفاصيل المثيل
    Storage account name أدخل storage1. إذا كان الاسم غير متوفر، فأدخِل اسمًا فريدًا.
    الموقع حدد (US) Eeast US 2
    الأداء اترك Standardالافتراضي.
    التكرار حدد التخزين المتكرر محليًا (LRS).

  4. حدد "Review".

  5. حدد إنشاء.

تعطيل الوصول العام إلى حساب التخزين

قبل إنشاء نقطة النهاية الخاصة، يوصى بتعطيل الوصول العام إلى حساب التخزين. استخدم الخطوات التالية لتعطيل الوصول العام إلى حساب التخزين.

  1. في مربع البحث أعلى المدخل، أدخل Storage account. حدّد Storage accounts في نتائج البحث.

  2. حدد storage1 أو اسم حساب التخزين الحالي.

  3. في Security + networking، حدد Networking.

  4. في علامة التبويب جدران الحماية والشبكات الظاهرية في الوصول إلى الشبكة العامة، حدد معطل.

  5. حدد حفظ.

إنشاء نقطة نهاية خاصة

  1. في مربع البحث أعلى المدخل، أدخل Private endpoint. حدد Private endpoints.

  2. حدد Create + في Private endpoints.

  3. في علامة التبويب Basics في Create a private endpoint، أدخل المعلومات التالية أو حددها.

    الإعداد القيمة‬
    تفاصيل المشروع
    الاشتراك حدد Subscription الخاص بك.
    مجموعة الموارد حدد test-rg
    تفاصيل المثيل
    الاسم أدخل نقطة النهاية الخاصة.
    اسم واجهة الشبكة اترك الإعداد الافتراضي ل private-endpoint-nic.
    المنطقة حدد شرق الولايات المتحدة 2.

  4. حدد «التالي: المورد».

  5. في جزء Resource، أدخل المعلومات التالية أو حددها.

    الإعداد القيمة‬
    طريقة التوصيل اترك الإعداد الافتراضي Connect to an Azure resource in my directory.
    الاشتراك حدد Subscription الخاص بك.
    نوع المورد حدد Microsoft.Storage/storageAccounts.
    Resource حدد storage-1 أو حساب التخزين الخاص بك.
    مصدر الهدف الفرعي حدد blob.

  6. حدد Next: Virtual Network.

  7. في Virtual Network، أدخِل أو حدد المعلومات التالية.

    الإعداد القيمة‬
    التواصل الشبكي
    الشبكة الظاهرية حدد vnet-1 (test-rg).
    الشبكة الفرعية حدد subnet-1.
    نهج الشبكة لنقاط النهاية الخاصة حدد تحرير لتطبيق نهج الشبكة لنقاط النهاية الخاصة.
    في تحرير نهج الشبكة الفرعية، حدد خانة الاختيار بجوار مجموعات أمان الشبكة وجداولالتوجيه في إعداد نهج الشبكة لجميع نقاط النهاية الخاصة في هذه الشبكة الفرعية المنسدلة.
    حدد حفظ.

    لمزيد من المعلومات، راجع إدارة نهج الشبكة لنقاط النهاية الخاصة
    الإعداد القيمة‬
    تكوين عنوان IP خاص حدد تخصيص عنوان IP ديناميكيا.

    لقطة شاشة لتحديد عنوان IP ديناميكي.

  8. حدد Next: DNS.

  9. اترك الإعدادات الافتراضية في DNS. حدد التالي: العلامات، ثم التالي: مراجعة + إنشاء.

  10. حدد إنشاء.

إنشاء جهاز ظاهري للاختبار

ينشئ الإجراء التالي جهازا ظاهريا تجريبيا (VM) يسمى vm-1 في الشبكة الظاهرية.

  1. في المدخل، ابحث عن الأجهزة الظاهرية وحددها.

  2. في الأجهزة الظاهرية، حدد + إنشاء، ثم جهاز Azure الظاهري.

  3. في علامة التبويب أساسيات، قم بإنشاء جهاز ظاهري، وأدخل أو حدد المعلومات التالية:

    الإعداد القيمة‬
    تفاصيل المشروع
    الاشتراك حدد Subscription الخاص بك.
    مجموعة الموارد حدد test-rg.
    تفاصيل المثيل
    اسم الجهاز الظاهري أدخل vm-1.
    المنطقة حدد شرق الولايات المتحدة 2.
    خيارات التوفر حدد No infrastructure redundancy required.
    نوع الأمان اترك الإعداد الافتراضي "Standard".
    الصورة حدد Windows Server 2022 Datacenter - x64 Gen2.
    بنية الجهاز الظاهري اترك الإعداد الافتراضي x64.
    الحجم تحديد الحجم.
    حساب المسؤول
    نوع المصادقة اختر كلمة السر.
    اسم مستخدم أدخل azureuser.
    كلمة المرور إدخال «password».
    تأكيد كلمة المرور أعد إدخال كلمة المرور.
    قواعد المنفذ الوارد
    المنافذ العامة الواردة حدد لا شيء.

  4. حدد علامة التبويب Networking في أعلى الصفحة.

  5. أدخل المعلومات التالية أو حددها في علامة تبويب "Networking":

    الإعداد القيمة‬
    واجهة الشبكة
    الشبكة الظاهرية حدد vnet-1.
    الشبكة الفرعية حدد subnet-1 (10.0.0.0/24).
    عنوان IP عام حدد لا شيء.
    المجموعة الأمنية للشبكة NIC حدد خيارات متقدمة.
    تكوين مجموعة أمان الشبكة حدد إنشاء جديد.
    أدخل nsg-1 للاسم.
    اترك الباقي في الإعدادات الافتراضية وحدد موافق.

  6. اترك بقية الإعدادات في الإعدادات الافتراضية وحدد Review + create.

  7. راجع الإعدادات وحدد Create.

إشعار

لا تحتاج الأجهزة الظاهرية في شبكة ظاهرية مع مضيف معقل إلى عناوين IP عامة. يوفر Bastion عنوان IP العام، وتستخدم الأجهزة الظاهرية عناوين IP الخاصة للاتصال داخل الشبكة. يمكنك إزالة عناوين IP العامة من أي أجهزة ظاهرية في الشبكات الظاهرية المستضافة الأساسية. لمزيد من المعلومات، راجع فصل عنوان IP عام من جهاز Azure الظاهري.

إشعار

يوفر Azure عنوان IP افتراضيا للوصول الصادر للأجهزة الظاهرية التي لم يتم تعيين عنوان IP عام لها أو الموجودة في تجمع الواجهة الخلفية لموازن تحميل Azure الأساسي الداخلي. توفر آلية IP للوصول الصادر الافتراضي عنوان IP صادر غير قابل للتكوين.

يتم تعطيل عنوان IP الافتراضي للوصول الصادر عند حدوث أحد الأحداث التالية:

  • يتم تعيين عنوان IP عام إلى الجهاز الظاهري.
  • يتم وضع الجهاز الظاهري في تجمع الواجهة الخلفية لموازن التحميل القياسي، مع قواعد صادرة أو بدونها.
  • يتم تعيين مورد Azure NAT Gateway إلى الشبكة الفرعية للجهاز الظاهري.

لا تتمتع الأجهزة الظاهرية التي تقوم بإنشائها باستخدام مجموعات مقياس الجهاز الظاهري في وضع التنسيق المرن بالوصول الصادر الافتراضي.

لمزيد من المعلومات حول الاتصالات الصادرة في Azure، راجع الوصول الصادر الافتراضي في Azure واستخدام ترجمة عنوان الشبكة المصدر (SNAT) للاتصالات الصادرة.

مفتاح اختصار التخزين

مفتاح الوصول إلى التخزين مطلوب للخطوات اللاحقة. انتقل إلى حساب التخزين الذي أنشأته مسبقا وانسخ سلسلة الاتصال باستخدام مفتاح الوصول لحساب التخزين.

  1. في مربع البحث أعلى المدخل، أدخل Storage account. حدّد Storage accounts في نتائج البحث.

  2. حدد حساب التخزين الذي أنشأته في الخطوات السابقة أو حساب التخزين الحالي.

  3. ضمن قسم Security + networking في حساب التخزين، حدد Access keys.

  4. حدد إظهار، ثم حدد نسخ على سلسلة الاتصال ion ل key1.

إضافة حاوية كائن ثنائي كبير الحجم

  1. في مربع البحث أعلى المدخل، أدخل Storage account. حدّد Storage accounts في نتائج البحث.

  2. حدد حساب التخزين الذي أنشأته في الخطوات السابقة.

  3. في قسم Data storage، حدد Containers.

  4. حدد + Container لإنشاء حاوية جديدة.

  5. أدخل الحاوية في الاسم وحدد خاص (بدون وصول مجهول) ضمن مستوى الوصول العام.

  6. حدد إنشاء.

اختبار الاتصال بنقطة النهاية الخاصة

في هذا القسم، يمكنك استخدام الجهاز الظاهري الذي أنشأته في الخطوات السابقة للاتصال بحساب التخزين عبر نقطة النهاية الخاصة باستخدام Microsoft Azure Storage Explorer.

  1. في مربع البحث الموجود أعلى المدخل، أدخل Virtual machine. حدد "Virtual machines" في نتائج البحث.

  2. حدد vm-1.

  3. في Operations، حدد Bastion.

  4. أدخل اسم المستخدم وكلمة المرور التي أدخلتها أثناء إنشاء الجهاز الظاهري.

  5. حدد اتصال.

  6. افتح Windows PowerShell على خادم الشبكة بعد الاتصال.

  7. أدخل nslookup <storage-account-name>.blob.core.windows.net. استبدل <اسم حساب التخزين> باسم حساب التخزين الذي قمت بإنشائه في الخطوات السابقة. يوضح المثال التالي إخراج الأمر .

    Server:  UnKnown
Address:  168.63.129.16

Non-authoritative answer:
Name:    storage1.privatelink.blob.core.windows.net
Address:  10.0.0.10
Aliases:  mystorageaccount.blob.core.windows.net

    يتم إرجاع عنوان IP خاص 10.0.0.10 لاسم حساب التخزين. هذا العنوان موجود في الشبكة الفرعية subnet-1 للشبكة الظاهرية vnet-1 التي قمت بإنشائها مسبقا.

  8. تثبيت Microsoft Azure Storage Explorer على الجهاز الظاهري.

  9. حدّد إنهاء بعد تثبيت Microsoft Azure Storage Explorer. اترك المربع مُحدد لفتح التطبيق.

  10. حدد رمز قابس الطاقة لفتح مربع الحوار تحديد المورد في شريط الأدوات الأيسر.

  11. في Select Resource ، حدد Storage account or service لإضافة اتصال في Microsoft Azure Storage Explorer إلى حساب التخزين الذي قمت بإنشائه في الخطوات السابقة.

  12. في شاشة Select Connection Method، حدد Connection string، ثم Next.

  13. في المربع ضمن الاتصال ion String، الصق سلسلة الاتصال من حساب التخزين الذي نسخته في الخطوات السابقة. يتم ملء اسم حساب التخزين تلقائيا في المربع ضمن اسم العرض.

  14. حدد التالي.

  15. تحقق من صحة الإعدادات في Summary.

  16. حدد اتصال

  17. حدد حساب التخزين الخاص بك من حسابات التخزين في قائمة المستكشف.

  18. قم بتوسيع حساب التخزين ثم حاويات Blob.

  19. يتم عرض الحاوية التي قمت بإنشائها مسبقا.

  20. أغلق الاتصال ب vm-1.

تنظيف الموارد

عند الانتهاء من استخدام الموارد التي قمت بإنشائها، يمكنك حذف مجموعة الموارد وجميع مواردها:

  1. في مدخل Azure، ابحث عن مجموعة المواردوحددها.

  2. في صفحة Resource groups ، حدد مجموعة موارد test-rg .

  3. في صفحة test-rg ، حدد Delete resource group.

  4. أدخل test-rg في Enter resource group name لتأكيد الحذف، ثم حدد Delete.

الخطوات التالية

في هذا البرنامج التعليمي، تعلمت طريقة:

  • شبكة افتراضية ومضيف معقل.

  • الجهاز الظاهري.

  • حساب تخزين وحاوية.

تعرف على كيفية الاتصال بحساب Azure Cosmos DB عبر نقطة نهاية Azure الخاصة:

الاتصال إلى Azure Cosmos DB باستخدام نقطة النهاية الخاصة