استخدم تطبيقات Azure Spring في شبكة ظاهرية

إشعار

يعد Azure Spring Apps هو الاسم الجديد لخدمة Azure Spring Cloud. رغم أن الخدمة تحمل اسماً جديداً، سترى الاسم القديم في بعض الأماكن لفترة من الوقت بينما نعمل على تحديث الأصول مثل لقطات الشاشة، ومقاطع الفيديو، والرسوم التخطيطية.

تنطبق هذه المقالة على: ✔️ Java ✔️ C#‎

تنطبق هذه المقالة على:❌ Basic ✔️ Standard ✔️ Enterprise

هذا البرنامج التعليمي يشرح كيفية نشر مثيل Azure Spring Apps في شبكتك الافتراضية. يسمى هذا النشر أحيانا إدخال VNet.

التوزيع يتيح ما يلي:

• اعزل تطبيقات Azure Spring Apps ووقت تشغيل الخدمة من الإنترنت على شبكة شركتك.
• تفاعل Azure Spring Apps مع الأنظمة في مراكز البيانات المحلية أو خدمات Azure في الشبكات الافتراضية الأخرى.
• تمكين العملاء من التحكم في اتصالات الشبكة الواردة والصادرة لـ Azure Spring Cloud.

يصف الفيديو التالي كيفية تأمين تطبيقات Spring Boot باستخدام الشبكات الافتراضية المدارة.

إشعار

يمكنك تحديد شبكة Azure الافتراضية فقط عند إنشاء مثيل خدمة Azure Spring Apps جديد. لا يمكنك التغيير لاستخدام شبكة ظاهرية أخرى بعد إنشاء Azure Spring Apps.

المتطلبات الأساسية

سجل موفر Microsoft.AppPlatformMicrosoft.ContainerService موارد Azure Spring Apps ووفقا للإرشادات الواردة في تسجيل موفر الموارد على مدخل Microsoft Azure أو عن طريق تشغيل أمر Azure CLI التالي:

az provider register --namespace Microsoft.AppPlatform
az provider register --namespace Microsoft.ContainerService

متطلبات الشبكة الافتراضية

يجب أن تفي الشبكة الافتراضية التي توزع مثيل Azure Spring Apps بها بالمتطلبات التالية:

• الموقع: يجب أن تتواجد الشبكة الافتراضية في نفس موقع مثيل Azure Spring Apps.
• الاشتراك: يجب أن تكون الشبكة الافتراضية في نفس اشتراك مثيل Azure Spring Apps.
• الشبكات الفرعية: يجب أن تتضمن الشبكة الظاهرية شبكتين فرعيتين مخصصتين لمثيل Azure Spring Apps:
  • واحد لوقت تشغيل الخدمة.
  • واحد لتطبيقات Spring الخاصة بك.
  • هناك علاقة واحد لواحد بين هذه الشبكات الفرعية ومثيل Azure Spring Apps. استخدم شبكة فرعية جديدة لكل مثيل خدمة تقوم بتوزيعه. يمكن أن تتضمن كل شبكة فرعية مثيل خدمة واحد فقط.
• مساحة العنوان: يقوم CIDR بحظر ما يصل إلى /28 لكل من الشبكة الفرعية لوقت تشغيل الخدمة والشبكة الفرعية لتطبيقات Spring.
• جدول التوجيه: بشكل افتراضي، لا تحتاج الشبكات الفرعية إلى جداول توجيه موجودة مقترنة. يمكنك إحضار جدول التوجيه الخاص بك.

استخدم الخطوات التالية لإعداد الشبكة الظاهرية لاحتواء مثيل Azure Spring Apps.

إنشاء شبكة ظاهرية

مدخل Microsoft Azure

إذا كان لديك بالفعل شبكة افتراضية لاستضافة مثيل Azure Spring Apps، فتخط الخطوات 1 و2 و3. يمكنك البدء من الخطوة 4 لإعداد الشبكات الفرعية للشبكة الافتراضية.

1. في قائمة مدخل Azure، حدد "Create a resource". من Azure Marketplace، حدد الشبكة>الشبكة الافتراضية.

2. في علامة التبويب إنشاء بوابة شبكة افتراضية، أدخِل المعلومات التالية أو حددها:

   الإعداد	القيمة‬
   الاشتراك	حدد Subscription الخاص بك.
   مجموعة الموارد	حدد مجموعة موارد أو قم بإنشاء مجموعة جديدة.
   الاسم	Enter azure-spring-apps-vnet.
   ‏‏الموقع	حدد East US.

3. حدد "Next: IP addresses".

4. بالنسبة لمساحة عنوان IPv4، أدخل 10.1.0.0/16.

5. حدد Add subnet. ثم أدخل service-runtime-subnetلاسم الشبكة الفرعية وأدخل 10.1.0.0/24لنطاق عناوين الشبكة الفرعية. بعد ذلك، حدد إضافة.

6. حدد إضافة شبكة فرعية مرة أخرى، ثم أدخل اسم الشبكة الفرعية ونطاق عنوان الشبكة الفرعية. على سبيل المثال، أدخل apps-subnet و10.1.1.0/24. بعد ذلك، حدد إضافة.

7. حدد "Review + create". اترك بقية الإعدادات الافتراضية وحدد إنشاء.

Azure CLI

إذا كان لديك بالفعل شبكة افتراضية لاستضافة مثيل Azure Spring Apps، تخط الخطوات 1 و2 و3 و4. يمكنك البدء من الخطوة 5 لإعداد الشبكات الفرعية للشبكة الافتراضية.

1. استخدم الأمر التالي لتعريف المتغيرات للاشتراك ومجموعة الموارد ومثيل Azure Spring Apps. خصص القيم استناداً إلى بيئتك الحقيقية.

   export SUBSCRIPTION='<subscription-id>'
   export RESOURCE_GROUP='<resource-group-name>'
   export LOCATION='eastus'
   export AZURE_SPRING_APPS_INSTANCE_NAME='<Azure-Spring-Apps-Instance-name>'
   export VIRTUAL_NETWORK_NAME='azure-spring-apps-vnet'
   

2. استخدم الأمر التالي لتسجيل الدخول إلى Azure CLI واختر اشتراكك النشط.

   az login
   az account set --subscription ${SUBSCRIPTION}
   

3. استخدم الأمر التالي لإنشاء مجموعة موارد للموارد الخاصة بك:

   az group create --name $RESOURCE_GROUP --location $LOCATION
   

4. استخدم الأمر التالي لإنشاء الشبكة الظاهرية:

   az network vnet create \
       --resource-group $RESOURCE_GROUP \
       --name $VIRTUAL_NETWORK_NAME \
       --location $LOCATION \
       --address-prefix 10.1.0.0/16
   

5. استخدم الأمر التالي لإنشاء شبكتين فرعيتين في هذه الشبكة الظاهرية:

   az network vnet subnet create \
       --resource-group $RESOURCE_GROUP \
       --vnet-name $VIRTUAL_NETWORK_NAME \
       --address-prefixes 10.1.0.0/24 \
       --name service-runtime-subnet 
   az network vnet subnet create \
       --resource-group $RESOURCE_GROUP \
       --vnet-name $VIRTUAL_NETWORK_NAME \
       --address-prefixes 10.1.1.0/24 \
       --name apps-subnet 
   

امنح إذن الخدمة للشبكة الافتراضية

يوضح لك هذا القسم منح Azure Spring Apps إذن المالك على شبكتك الظاهرية. يمكنك هذا الإذن من منح كيان خدمة مخصص وديناميكي على الشبكة الظاهرية لمزيد من النشر والصيانة.

إشعار

الحد الأدنى من الأذونات المطلوبة هو المستخدم Access مسؤول istrator وNetwork Contributor. يمكنك منح تعيينات الأدوار لكليهما إذا لم تتمكن من منح Owner الإذن.

إذا كنت تستخدم جدول التوجيه الخاص بك أو ميزة توجيه معرفة من قبل المستخدم، فستحتاج أيضا إلى منح Azure Spring Apps نفس تعيينات الدور لجداول التوجيه الخاصة بك. لمزيد من المعلومات، راجع قسم إحضار جدول التوجيه الخاص بك والتحكم في حركة الخروج لمثيل Azure Spring Apps.

مدخل Microsoft Azure

استخدم الخطوات التالية لمنح الإذن:

1. حدد الشبكة azure-spring-apps-vnet الظاهرية التي أنشأتها مسبقا.

2. حدد التحكم بالوصول (IAM) ثم حدد إضافة >إضافة تعيين دور.

   

3. Owner تعيين الدور إلى موفر موارد Azure Spring Apps. لمزيد من المعلومات، راجع تعيين أدوار Azure باستخدام مدخل Azure.

   إشعار

   إذا لم تعثر على موفر موارد Azure Spring Apps، فابحث عن موفر موارد Azure Spring Cloud.

   

Azure CLI

استخدم الأوامر التالية لمنح الإذن:

export VIRTUAL_NETWORK_RESOURCE_ID=$(az network vnet show \
    --resource-group $RESOURCE_GROUP \
    --name $VIRTUAL_NETWORK_NAME \
    --query "id" \
    --output tsv)

az role assignment create \
    --role "Owner" \
    --scope ${VIRTUAL_NETWORK_RESOURCE_ID} \
    --assignee e8de9221-a19c-4c81-b814-fd37c6caf9d2

--assignee تمثل الوسيطة كيان الخدمة الذي تستخدمه Azure Spring Apps للتفاعل مع الشبكة الظاهرية للعميل.

توزيع مثيل Azure Spring Apps

مدخل Microsoft Azure

استخدم الخطوات التالية لنشر مثيل Azure Spring Apps في الشبكة الظاهرية:

1. افتح مدخل Azure.

2. في مربع البحث العلوي، ابحث عن Azure Spring Apps. حدد Azure Spring Apps من النتائج.

3. في صفحة Azure Spring Apps حدد إضافة.

4. املأ النموذج في صفحة إنشاء من Azure Spring Apps.

5. حدد نفس مجموعة الموارد والمنطقة مثل الشبكة الافتراضية.

6. بالنسبة إلى الاسم ضمن تفاصيل الخدمة، حدد azure-spring-apps-vnet.

7. حدد علامة التبويب الشبكة، وحدد القيم التالية:

   الإعداد	القيمة‬
   أنشئ شبكتك الافتراضية	حدد نعم.
   الشبكة الظاهرية	حدد azure-spring-apps-vnet.
   الشبكة الفرعية لوقت تشغيل الخدمة	حدد service-runtime-subnet.
   الشبكة الفرعية لتطبيقات الخدمات المصغرة Spring Boot	حدد apps-subnet.

   

8. حدد مراجعة وإنشاء.

9. تحقق من مواصفاتك، وحدد إنشاء.

   

Azure CLI

لتوزيع مثيل Azure Spring Apps في الشبكة الافتراضية:

استخدم الأمر التالي لإنشاء مثيل Azure Spring Apps، مع تحديد الشبكة الظاهرية والشبكات الفرعية التي قمت بإنشائها مسبقا:

az spring create  \
    --resource-group "$RESOURCE_GROUP" \
    --name "$AZURE_SPRING_APPS_INSTANCE_NAME" \
    --vnet $VIRTUAL_NETWORK_NAME \
    --service-runtime-subnet service-runtime-subnet \
    --app-subnet apps-subnet \
    --enable-java-agent \
    --sku standard \
    --location $LOCATION

بعد التوزيع، يتم إنشاء مجموعتي موارد إضافيتين في اشتراكك لاستضافة موارد الشبكة لمثيل Azure Spring Apps. انتقل إلى الصفحة الرئيسية، ثم حدد مجموعات الموارد من عناصر القائمة العلوية للعثور على مجموعات الموارد الجديدة التالية.

تحتوي مجموعة الموارد المسماة باسم ap-svc-rt_{service instance name}_{service instance region} على موارد الشبكة لوقت تشغيل الخدمة لمثيل الخدمة.

تحتوي مجموعة الموارد المسماة باسم ap-app_{service instance name}_{service instance region} على موارد الشبكة لتطبيقات Spring لمثيل الخدمة.

يتم توصيل موارد الشبكة هذه بالشبكة الافتراضية التي تم إنشاؤها في الصورة السابقة.

هام

تُدار مجموعات الموارد بالكامل بواسطة خدمة Azure Spring Apps. لا تقم بحذف أو تعديل أي مورد بداخله يدويا.

استخدام نطاقات شبكة فرعية أصغر

هذا الجدول يعرض الحد الأقصى لعدد مثيلات التطبيق التي تدعمها Azure Spring Apps باستخدام نطاقات شبكات فرعية أصغر.

CIDR للشبكة الفرعية للتطبيق	إجمالي عناوين IP	عناوين IP المتوفرة	الحد الأقصى لمثيلات التطبيق
/28	16	8	تطبيق ذو 0.5 ذاكرة أساسية: 192 تطبيق ذو ذاكرة أساسية واحدة: 96 تطبيق ذو نواتين: 48 تطبيق ذو ثلاثة أنوية: 32 تطبيق ذو أربعة أنوية: 24
/27	32	24	تطبيق بذاكرة أساسية 0.5: 456 تطبيق ذو نواة واحدة: 228 تطبيق ذو نواتين: 144 تطبيق ذو ثلاثة أنوية: 96 تطبيق ذو أربعة أنوية: 72
/26	64	56	تطبيق بذاكرة أساسية 0.5: 500 تطبيق ذو نواة واحدة: 500 تطبيق ذو نواتين: 336 تطبيق ذو ثلاثة أنوية: 224 تطبيق ذو أربعة أنوية: 168
/25	128	120	تطبيق بذاكرة أساسية 0.5: 500 تطبيق ذو نواة واحدة: 500 تطبيق ذو نواتين: 500 تطبيق ذو ثلاثة أنوية: 480 تطبيق ذو أربعة أنوية: 360
/24	256	248	تطبيق بذاكرة أساسية 0.5: 500 تطبيق ذو نواة واحدة: 500 تطبيق ذو نواتين: 500 تطبيق ذو ثلاثة أنوية: 500 تطبيق ذو أربعة أنوية: 500

بالنسبة للشبكات الفرعية، يحتفظ Azure بخمسة عناوين IP، ويتطلب Azure Spring Apps ثلاثة عناوين IP على الأقل. مطلوب ثمانية عناوين IP على الأقل، لذلك /29 و/30 غير عملية.

بالنسبة للشبكة الفرعية لوقت تشغيل الخدمة، يكون الحد الأدنى للحجم /28.

إشعار

يؤثر نطاق الشبكة الفرعية الصغير على المورد الأساسي الذي يمكنك استخدامه لمكونات النظام مثل وحدة تحكم الدخول. تستخدم Azure Spring Apps وحدة تحكم دخول أساسية للتعامل مع إدارة نسبة استخدام الشبكة للتطبيق. يزداد عدد مثيلات وحدة تحكم الدخول تلقائيا مع زيادة نسبة استخدام الشبكة للتطبيق. احجز نطاق IP أكبر للشبكة الفرعية للشبكة الظاهرية إذا كان من الممكن زيادة نسبة استخدام الشبكة للتطبيق في المستقبل. عادة ما تحتفظ بعناوين IP واحدة لحركة مرور 10000 طلب في الثانية.

يمكنك إحضار جدول التوجيه الخاص بك

Azure Spring Apps تدعم استخدام الشبكات الفرعية الحالية وجداول التوجيه.

إذا كانت الشبكات الفرعية المخصصة لا تحتوي على جداول توجيه، فإن Azure Spring Apps تنشئها لكل شبكة من الشبكات الفرعية وتضيف قواعد إليها طوال دورة حياة المثيل. إذا كانت الشبكات الفرعية المخصصة تحتوي على جداول توجيه، تقر Azure Spring Apps بجداول التوجيه الموجودة أثناء عمليات المثيل وتضيف/ تحديثات و/ أو قواعد وفقا لذلك للعمليات.

تحذير

يمكن إضافة قواعد مخصصة إلى جدول التوجيه المخصص وتحديثها. ومع ذلك، تتم إضافة القواعد بواسطة Azure Spring Apps ويجب عدم تحديثها أو إزالتها. يجب أن تتوفر قواعد مثل 0.0.0.0/0 دائمًا في جدول توجيه محدّد وأن يتم تعيين هدف بوابة الإنترنت الخاصة بك، مثل NVA أو بوابة أخرى لخروج البيانات. توخَّ الحذر عند تحديث القواعد التي لا يتم تعديل سوى قواعدك المخصصة من أجلها.

متطلبات جدول التوجيه

يجب أن تفي جداول التوجيه التي ترتبط بها الشبكة الظاهرية المخصصة بالمتطلبات التالية:

• يمكنك إقران جداول مسار Azure بشبكتك الظاهرية فقط عند إنشاء مثيل خدمة Azure Spring Apps جديد. لا يمكنك التغيير لاستخدام جدول توجيه آخر بعد إنشاء Azure Spring Apps.
• يجب أن يقترن كل من الشبكة الفرعية لتطبيق Spring والشبكة الفرعية لوقت تشغيل الخدمة بجداول توجيه مختلفة أو لا أحد منهما.
• يجب تعيين الأذونات قبل إنشاء المثيل. تأكد من منح موفر Owner موارد Azure Spring Apps الإذن (أو User Access Administrator الأذونات Network Contributor ) على جداول التوجيه.
• لا يمكنك تحديث مورد جدول التوجيه المقترن بعد إنشاء نظام المجموعة. بينما لا يمكنك تحديث مورد جدول التوجيه، يمكنك تعديل القواعد المخصصة على جدول التوجيه.
• لا يمكنك إعادة استخدام جدول توجيه مع مثيلات متعددة بسبب قواعد التوجيه المتعارضة المحتملة.

استخدام خوادم DNS المخصصة

تدعم Azure Spring Apps استخدام خوادم DNS المخصصة في شبكتك الظاهرية.

إذا لم تحدد خوادم DNS مخصصة في إعداد الشبكة الظاهرية لخادم DNS، فستستخدم Azure Spring Apps بشكل افتراضي Azure DNS لحل عناوين IP. إذا تم تكوين شبكتك الظاهرية باستخدام إعدادات DNS مخصصة، أضف عنوان IP 168.63.129.16 ل Azure DNS كخادم DNS المصدر في خادم DNS المخصص. يمكن ل Azure DNS حل عناوين IP لجميع FQDNs العامة المذكورة في مسؤوليات العملاء التي تشغل Azure Spring Apps في شبكة ظاهرية. يمكنه أيضا حل عنوان IP ل *.svc.private.azuremicroservices.io في شبكتك الظاهرية.

إذا تعذر على خادم DNS المخصص إضافة Azure DNS IP 168.63.129.16 كخادم DNS المصدر، فاستخدم الخطوات التالية:

• تأكد من أن خادم DNS المخصص الخاص بك يمكنه حل عناوين IP لجميع FQDNs العامة. لمزيد من المعلومات، راجع مسؤوليات العملاء التي تشغل Azure Spring Apps في شبكة ظاهرية.
• أضف سجل *.svc.private.azuremicroservices.io DNS إلى عنوان IP للتطبيق الخاص بك. لمزيد من المعلومات، راجع قسم البحث عن IP للتطبيق الخاص بك في الوصول إلى تطبيق في Azure Spring Apps في شبكة ظاهرية.

الخطوات التالية

• استكشاف أخطاء Azure Spring Apps في شبكة ظاهرية وإصلاحها
• مسؤوليات العميل لتشغيل Azure Spring Apps في شبكة ظاهرية