إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
توفر قواعد جدار حماية Azure Storage تحكما دقيقا في الوصول إلى الشبكة إلى نقطة النهاية العامة لحساب التخزين الخاص بك. بشكل افتراضي، تسمح حسابات التخزين بالاتصالات من أي شبكة، ولكن يمكنك تقييد الوصول عن طريق تكوين قواعد الشبكة التي تحدد المصادر التي يمكنها الاتصال بحساب التخزين الخاص بك.
يمكنك تكوين أربعة أنواع من قواعد الشبكة:
- قواعد الشبكة الظاهرية: السماح بنسبة استخدام الشبكة من شبكات فرعية معينة داخل شبكات Azure الظاهرية
- قواعد شبكة IP: السماح بنسبة استخدام الشبكة من نطاقات عناوين IP عامة محددة
- قواعد مثيل المورد: السماح بنسبة استخدام الشبكة من مثيلات موارد Azure المحددة التي لا يمكن عزلها من خلال الشبكة الظاهرية أو قواعد IP
- استثناءات الخدمة الموثوق بها: السماح بنسبة استخدام الشبكة من خدمات Azure معينة تعمل خارج حدود الشبكة
عند تكوين قواعد الشبكة، يمكن فقط لنسبة استخدام الشبكة من المصادر المسموح بها بشكل صريح الوصول إلى حساب التخزين الخاص بك من خلال نقطة النهاية العامة الخاصة به. تم رفض جميع حركات المرور الأخرى.
Note
يجب على العملاء الذين يقدمون طلبات من المصادر المسموح بها أيضا تلبية متطلبات التخويل لحساب التخزين. لمعرفة المزيد حول تخويل الحساب، راجع تخويل الوصول إلى البيانات في Azure Storage.
قواعد الشبكة الظاهرية
يمكنك تمكين حركة المرور من الشبكات الفرعية في أي شبكة Azure ظاهرية. يمكن أن تكون الشبكة الظاهرية من أي اشتراك داخل أي مستأجر Microsoft Entra عبر أي منطقة Azure. لتمكين حركة المرور من شبكة فرعية، أضف قاعدة شبكة ظاهرية. يمكنك إضافة ما يصل إلى 400 قاعدة شبكة ظاهرية لكل حساب تخزين.
In the subnet's virtual network settings, you must also enable a Virtual Network service endpoint. تم تصميم نقطة النهاية هذه لتوفير اتصال آمن ومباشر بحساب التخزين الخاص بك.
عند إنشاء قواعد الشبكة باستخدام مدخل Microsoft Azure، يتم إنشاء نقاط نهاية الخدمة هذه تلقائيا عند تحديد كل شبكة فرعية مستهدفة. يوفر PowerShell وAzure CLI أوامر يمكنك استخدامها لإنشائها يدويا. لمعرفة المزيد حول نقاط نهاية الخدمة، راجع نقاط نهاية خدمة الشبكة الظاهرية.
يصف الجدول التالي كل نوع من أنواع نقاط نهاية الخدمة التي يمكنك تمكينها ل Azure Storage:
| Service endpoint | Resource name | Description |
|---|---|---|
| نقطة نهاية Azure Storage | Microsoft.Storage | Provides connectivity to storage accounts in the same region as the virtual network. |
| نقطة نهاية خدمة Azure Storage عبر المناطق | Microsoft.Storage.Global | Provides connectivity to storage accounts in any region. |
Note
يمكنك إقران نوع واحد فقط من أنواع نقاط النهاية هذه بشبكة فرعية. إذا كانت إحدى نقاط النهاية هذه مقترنة بالفعل بالشبكة الفرعية، فيجب حذف نقطة النهاية هذه قبل إضافة الأخرى.
لمعرفة كيفية تكوين قاعدة شبكة ظاهرية وتمكين نقاط نهاية الخدمة، راجع إنشاء قاعدة شبكة ظاهرية لتخزين Azure.
الوصول من منطقة مقترنة
Service endpoints also work between virtual networks and service instances in a paired region.
Configuring service endpoints between virtual networks and service instances in a paired region can be an important part of your disaster recovery plan. تمكن نقاط نهاية الخدمة الاستمرارية أثناء تجاوز الفشل الإقليمي وتوفر الوصول إلى مثيلات التخزين المتكرر جغرافيا للقراءة فقط (RA-GRS). تمنح قواعد الشبكة الظاهرية التي تمنح حق الوصول من شبكة ظاهرية إلى حساب تخزين أيضا حق الوصول إلى أي مثيل RA-GRS.
عند التخطيط للتعافي من الكوارث أثناء انقطاع إقليمي، قم بإنشاء الشبكات الظاهرية في المنطقة المقترنة مسبقا. تمكين نقاط نهاية الخدمة ل Azure Storage باستخدام قواعد الشبكة التي تمنح الوصول من هذه الشبكات الظاهرية البديلة. ثم طبق هذه القواعد على حسابات التخزين المكررة جغرافيًا.
قواعد شبكة IP
بالنسبة للعملاء والخدمات غير الموجودة في شبكة ظاهرية، يمكنك تمكين نسبة استخدام الشبكة عن طريق إنشاء قواعد شبكة IP. تمكن كل قاعدة شبكة IP نسبة استخدام الشبكة من نطاق عنوان IP عام معين. على سبيل المثال، إذا احتاج عميل من شبكة محلية إلى الوصول إلى بيانات التخزين، يمكنك إنشاء قاعدة تتضمن عنوان IP العام لهذا العميل. Each storage account supports up to 400 IP network rules.
لمعرفة كيفية إنشاء قواعد شبكة IP، راجع إنشاء قاعدة شبكة IP لتخزين Azure.
إذا قمت بتمكين نقطة نهاية خدمة لشبكة فرعية، فلن تستخدم نسبة استخدام الشبكة من تلك الشبكة الفرعية عنوان IP عاما للاتصال بحساب تخزين. بدلا من ذلك، تستخدم كافة حركة المرور عنوان IP خاصا كعنوان IP المصدر. ونتيجة لذلك، لم يعد لقواعد شبكة IP التي تسمح بحركة المرور من تلك الشبكات الفرعية أي تأثير.
تعمل رموز SAS المميزة التي تمنح الوصول إلى عنوان IP معين على الحد من وصول حامل الرمز المميز، ولكنها لا تمنح وصولا جديدا خارج قواعد الشبكة المكونة.
Important
تنطبق بعض القيود على نطاقات عناوين IP. للحصول على قائمة بالقيود، راجع قيود قواعد شبكة IP.
الوصول من شبكة محلية
يمكنك تمكين حركة المرور من شبكة محلية باستخدام قاعدة شبكة IP. أولا، يجب تحديد عناوين IP التي تواجه الإنترنت التي تستخدمها شبكتك. اتصل بمسؤول الشبكة للحصول على المساعدة.
If you're using Azure ExpressRoute from your premises, you need to identify the NAT IP addresses used for Microsoft peering. إما أن موفر الخدمة أو العميل يوفر عناوين IP NAT.
للسماح بالوصول إلى موارد الخدمة، يجب السماح بعناوين IP العامة هذه في إعداد جدار الحماية لعناوين IP للمورد.
قواعد مثيل مورد Azure
لا يمكن عزل بعض موارد Azure من خلال شبكة ظاهرية أو قاعدة عنوان IP. يمكنك تمكين نسبة استخدام الشبكة من تلك الموارد عن طريق إنشاء قاعدة شبكة مثيل مورد. تحدد تعيينات دور Azure لمثيل المورد أنواع العمليات التي يمكن لمثيل المورد تنفيذها على بيانات حساب التخزين. يجب أن تكون مثيلات الموارد من نفس المستأجر مثل حساب التخزين الخاص بك، ولكن يمكن أن تنتمي إلى أي اشتراك داخل المستأجر.
لمعرفة كيفية تكوين قاعدة مثيل مورد، راجع إنشاء قاعدة شبكة مثيل مورد لتخزين Azure.
استثناءات لخدمات Azure الموثوق بها
إذا كنت بحاجة إلى تمكين حركة المرور من خدمة Azure خارج حدود الشبكة، يمكنك إضافة استثناء أمان الشبكة. يمكن أن يكون هذا مفيدا عندما تعمل خدمة Azure من شبكة لا يمكنك تضمينها في الشبكة الظاهرية أو قواعد شبكة IP. على سبيل المثال، قد تحتاج بعض الخدمات إلى قراءة سجلات الموارد والمقاييس في حسابك. يمكنك السماح بالوصول للقراءة لملفات السجل أو جداول المقاييس أو كليهما عن طريق إنشاء استثناء قاعدة الشبكة. تتصل هذه الخدمات بحساب التخزين الخاص بك باستخدام مصادقة قوية.
لمعرفة المزيد حول كيفية إضافة استثناء أمان الشبكة، راجع إدارة استثناءات أمان الشبكة.
للحصول على قائمة كاملة بخدمات Azure التي يمكنك تمكين نسبة استخدام الشبكة لها، راجع خدمات Azure الموثوق بها.
القيود والاعتبارات
قبل تنفيذ أمان الشبكة لحسابات التخزين الخاصة بك، تأكد من مراجعة جميع القيود والاعتبارات. للحصول على قائمة كاملة، راجع القيود والقيود لجدار حماية Azure Storage وتكوين الشبكة الظاهرية.