الوصول الصادر الافتراضي في Azure

في Azure، يتم تعيين عنوان IP عام افتراضي صادر للأجهزة الظاهرية التي تم إنشاؤها في شبكة ظاهرية من دون تعريف اتصالية صريحة صادرة. يُمكّن عنوان IP هذا الاتصالية الصادرة من الموارد إلى الإنترنت. يُشار إلى هذا الوصول باسم الوصول الصادر الافتراضي.

أمثلة على الاتصال الصادر الصريح للأجهزة الظاهرية هي:

• تم إنشاؤه داخل شبكة فرعية مقترنة ببوابة NAT.

• في المجموعة الخلفية لموازن تحميل قياسي مع تحديد القواعد الصادرة.

• في تجمع الواجهة الخلفية لموازن التحميل العام الأساسي.

• الأجهزة الظاهرية ذات عناوين IP العامة المقترنة بها صراحة.

كيف يتم توفير الوصول الصادر الافتراضي؟

يسمى عنوان IPv4 العام المستخدم للوصول إلى بروتوكول الإنترنت الوصول الصادر الافتراضي. بروتوكول الإنترنت هذا ضمني وينتمي إلى Microsoft. عنوان IP هذا عرضة للتغيير ولا يُنصح بالاعتماد عليه في أحمال عمل الإنتاج.

متى يتم توفير الوصول الصادر الافتراضي؟

إذا نشرت جهازاً ظاهرياً في Azure ولم يكن لديه اتصالية صادرة صريحة، يتم تعيين بروتوكول إنترنت للوصول الصادر الافتراضي.

هام

في 30 سبتمبر 2025، سيتم إيقاف الوصول الصادر الافتراضي للنشرات الجديدة. لمزيد من المعلومات، راجع الإعلان الرسمي. نوصي باستخدام أحد أشكال الاتصال الصريحة التي تمت مناقشتها في القسم التالي.

لماذا يوصى بتعطيل الوصول الصادر الافتراضي؟

• آمن بشكل افتراضي

  • لا يُنصح بفتح شبكة ظاهرية على الإنترنت بشكل افتراضي باستخدام مبدأ أمان شبكة الثقة الصفرية.

• الصريح مقابل الضمني

  • يوصى بأن يكون لديك أساليب اتصالية صريحة بدلاً من الضمنية عند منح حق الوصول إلى الموارد في شبكتك الظاهرية.

• فقدان عنوان IP

  • لا يمتلك العملاء عنوان IP الافتراضي للوصول الصادر. قد يتغير عنوان IP هذا، وقد تتسبب أي تبعية عليه في حدوث مشكلات في المستقبل.

بعض الأمثلة على التكوينات التي لن تعمل عند استخدام الوصول الصادر الافتراضي:

• عندما يكون لديك العديد من بطاقات NIC على نفس الجهاز الظاهري، لاحظ أن عناوين IP الصادرة الافتراضية لن تكون دائما هي نفسها عبر جميع بطاقات NIC.
• عند توسيع نطاق مجموعات تحجيم الجهاز الظاهري أو خفضها، يمكن وغالبا ما تتغير عناوين IP الصادرة الافتراضية المعينة إلى مثيلات فردية.
• وبالمثل، لا تكون عناوين IP الصادرة الافتراضية متسقة أو متقاربة عبر مثيلات الجهاز الظاهري في مجموعة مقياس الجهاز الظاهري.

كيف يمكنني الانتقال إلى طريقة صريحة للاتصال العام (وتعطيل الوصول الصادر الافتراضي)؟

هناك طرق متعددة لإيقاف تشغيل الوصول الصادر الافتراضي. تصف الأقسام التالية الخيارات المتاحة لك.

هام

الشبكة الفرعية الخاصة حاليا في المعاينة العامة. يتم توفيره دون اتفاقية على مستوى الخدمة، ولا يوصى به لأحمال عمل الإنتاج. بعض الميزات ربما لا تكون مدعمة أو بها بعض القدرات المقيدة. لمزيد من المعلومات، راجع ⁧⁩شروط الاستخدام التكميلية لمعاينات Microsoft Azure⁧⁩.

استخدام معلمة الشبكة الفرعية الخاصة

• يؤدي إنشاء شبكة فرعية لتكون خاصة إلى منع أي أجهزة ظاهرية على الشبكة الفرعية من استخدام الوصول الصادر الافتراضي للاتصال بنقاط النهاية العامة.

• يمكن تعيين المعلمة لإنشاء شبكة فرعية خاصة فقط أثناء إنشاء شبكة فرعية.

• لا يزال بإمكان الأجهزة الظاهرية على شبكة فرعية خاصة الوصول إلى الإنترنت باستخدام اتصال صادر صريح.

  إشعار

  لن تعمل بعض الخدمات على جهاز ظاهري في شبكة فرعية خاصة دون أسلوب خروج صريح (الأمثلة هي تنشيط Windows وWindows التحديثات).

إضافة ميزة الشبكة الفرعية الخاصة

• من مدخل Microsoft Azure، تأكد من تحديد خيار تمكين الشبكة الفرعية الخاصة عند إنشاء شبكة فرعية كجزء من تجربة إنشاء الشبكة الظاهرية كما هو موضح أدناه:

• باستخدام PowerShell، عند إنشاء شبكة فرعية باستخدام New-AzVirtualNetworkSubnetConfig، استخدم DefaultOutboundAccess الخيار واختر "$false"

• باستخدام CLI، عند إنشاء شبكة فرعية باستخدام az network vnet subnet create، استخدم --default-outbound الخيار واختر "false"

• باستخدام قالب Azure Resource Manager، قم بتعيين قيمة المعلمة defaultOutboundAccess لتكون "خطأ"

قيود الشبكة الفرعية الخاصة

• من أجل الاستفادة من تنشيط/تحديث أنظمة تشغيل الجهاز الظاهري، بما في ذلك Windows، من المتطلب أن يكون لديك أسلوب اتصال صادر صريح.

• لا يمكن وضع علامة خاص على الشبكات الفرعية المفوضة.

• لا يمكن حاليا تحويل الشبكات الفرعية الموجودة إلى خاص.

• في التكوينات التي تستخدم مسارا معرفا من قبل المستخدم (UDR) مع مسار افتراضي (0/0) يرسل نسبة استخدام الشبكة إلى جدار حماية المصدر/جهاز ظاهري للشبكة، أي حركة مرور تتجاوز هذا المسار (على سبيل المثال إلى الوجهات الموسومة بعلامة الخدمة) ستقطع في شبكة فرعية خاصة.

إضافة أسلوب اتصالية صادرة صريحة

• قم بإقران بوابة NAT بالشبكة الفرعية لجهازك الظاهري.

• إقران موازن تحميل قياسي تم تكوينه بقواعد صادرة.

• إقران عنوان IP عام قياسي بأي من واجهات شبكة الجهاز الظاهري (إذا كانت هناك واجهات شبكة متعددة، فإن وجود NIC واحد مع IP عام قياسي يمنع الوصول الصادر الافتراضي للجهاز الظاهري).

استخدام وضع التزامن المرن لمجموعات مقياس الجهاز الظاهري

• مجموعات المقاييس المرنة آمنة بشكل افتراضي. لا تحتوي أي مثيلات تم إنشاؤها عبر مجموعات المقياس المرنة على عنوان IP الافتراضي للوصول الصادر المرتبط بها، لذلك مطلوب أسلوب صادر صريح. لمزيد من المعلومات، راجع وضع التنسيق المرن لمجموعات مقياس الجهاز الظاهري

هام

عند تكوين تجمع الواجهة الخلفية لموازن التحميل بواسطة عنوان IP، فإنه سيستخدم الوصول الصادر الافتراضي بسبب مشكلة معروفة مستمرة. للتكوين والتطبيقات الآمنة بشكل افتراضي مع الاحتياجات الصادرة المطلوبة، قم بإقران بوابة NAT بالأجهزة الظاهرية في تجمع الواجهة الخلفية لموازن التحميل لتأمين نسبة استخدام الشبكة. اطلع على المزيد حول المشكلات المعروفة الموجودة.

إذا كنت بحاجة إلى الوصول إلى الصادر، فما هي الطريقة الموصى بها؟

بوابة NAT هي الطريقة الموصى بها للحصول على الاتصالية الصريحة الصادرة. يمكن أيضاً استخدام جدار حماية لتوفير هذا الوصول.

القيود

• الاتصال العام مطلوب لتنشيط Windows وWindows التحديثات. يوصى بإعداد شكل صريح من الاتصال الصادر العام.

• لا يدعم بروتوكول الإنترنت للوصول الصادر الافتراضي حزم البيانات المجزأة.

• لا يدعم IP الوصول الصادر الافتراضي عمليات اختبار اتصال ICMP.

الخطوات التالية

لمزيد من المعلومات حول الاتصالات الصادرة في Azure وAzure NAT Gateway، راجع:

• ترجمة عناوين شبكة المصدر (SNAT) للاتصالات الصادرة.

• ما هي بوابة Azure NAT؟

• الأسئلة المتداولة حول بوابة Azure NAT