يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
البرنامج التعليمي: توجيه نسبة استخدام الشبكة باستخدام جدول توجيه
مقالة
١١/٠٥/١٤٤٦ هـ
تقوم Azure بتوجيه نسبة استخدام الشبكة بين جميع الشبكات الفرعية في إطار الشبكة الظاهرية بشكل افتراضي. يُمكن إنشاء اتجاهات لتجاوز التوجيه الافتراضي لـ Azure. تُعد المسارات المخصصة مفيدة، على سبيل المثال، عندما ترغب في توجيه نسبة استخدام الشبكة بين الشبكات الفرعية عبر الجهاز الظاهري للشبكة (NVA).
في هذا البرنامج التعليمي، تتعلم كيفية:
قم بإنشاء شبكة اتصال ظاهرية وشبكات فرعية
إنشاء الجهاز الظاهري للشبكة الذي يُوجه نسبة استخدام الشبكة
نشر الأجهزة الظاهرية في الشبكات الفرعية المختلفة
إنشاء جدول توجيه
إنشاء مسار
توصيل جدول المسار بالشبكة الفرعية
توجيه نسبة استخدام الشبكة من شبكة فرعية إلى أخرى عبر الجهاز الظاهري للشبكة
Azure يستضيف Azure Cloud Shell، بيئة تفاعلية يمكن استخدامها من خلال المستعرض. يمكنك استخدام Bash أو PowerShell مع Cloud Shell للعمل مع خدمات Azure. يمكنك استخدام أوامر Cloud Shell المثبتة مسبقًا لتشغيل التعليمات البرمجية في هذه المقالة دون الحاجة إلى تثبيت أي شيء على البيئة المحلية.
لبدء Azure Cloud Shell:
خيار
مثال/ رابط
انقر فوق جربه في الزاوية العلوية اليسرى من التعليمة البرمجية أو كتلة الأمر. تحديد جربه لا يقوم بنسخ التعليمة البرمجية أو الأمر تلقائيًا إلى Cloud Shell.
انتقل إلى https://shell.azure.com، أو حدد زر تشغيل Cloud Shell لفتح Cloud Shell في المتصفح لديك.
حدد زر Cloud Shell على شريط القوائم في أعلى اليمين في مدخل Microsoft Azure.
لاستخدام Azure Cloud Shell:
ابدأ تشغيل Cloud Shell.
حدد الزر نسخ على كتلة التعليمات البرمجية (أو كتلة الأوامر) لنسخ التعليمات البرمجية أو الأمر.
ألصق التعليمة البرمجية أو الأمر في جلسة Cloud Shell بتحديد Ctrl+Shift+Vعلى Windows وLunix، أو بتحديد Cmd+Shift+Vعلى macOS.
حدد Enter لتشغيل التعليمات البرمجية أو الأمر.
إذا اخترت تثبيت PowerShell واستخدامه محليًا، فهذه المقالة تتطلب إصدار الوحدة النمطية 1.0.0 من Azure PowerShell، أو إصدارًا أحدث. بادر بتشغيل Get-Module -ListAvailable Az للعثور على الإصدار المثبت. إذا كنت بحاجة إلى الترقية، فراجع تثبيت الوحدة النمطية Azure PowerShell. في حالة تشغيل PowerShell محليًا، فأنت بحاجة أيضًا إلى تشغيل Connect-AzAccount لإنشاء اتصال مع Azure.
إذا كنت تفضل تشغيل أوامر مرجع CLI محلياً قم بتثبيت CLI Azure. إذا كنت تعمل على نظام تشغيل Windows أو macOS، ففكر في تشغيل Azure CLI في حاوية Docker. لمزيد من المعلومات، راجع كيفية تشغيل Azure CLI في حاوية Docker.
إذا كنت تستخدم تثبيت محلي، يُرجى تسجيل الدخول إلى Azure CLI مستخدمًا أمر az login. لإنهاء عملية المصادقة، اتبع الخطوات المعروضة في جهازك. للحصول على خيارات أخرى لتسجيل دخول، راجع تسجيل الدخول باستخدام Azure CLI.
عندما يُطلب منك، قم بتثبيت ملحق Azure CLI عند الاستخدام لأول مرة. لمزيد من المعلومات بشأن الامتدادات، راجع استخدام امتدادات مع Azure CLI.
يُرجى تشغيل إصدار az للوصول إلى الإصدار والمكتبات التابعة التي تم تثبيتها. للتحديث لآخر إصدار، يُرجى تشغيل تحديث az.
تتطلب هذه المقالة الإصدار 2.0.28 أو إصدارًا أحدث من واجهة سطر الأوامر من Azure. إذا كنت تستخدم Azure Cloud Shell، يتم تثبيت أحدث إصدار بالفعل.
إنشاء شبكات فرعية
هناك حاجة إلى DMZ وشبكة فرعية خاصة لهذا البرنامج التعليمي.
الشبكة الفرعية DMZ هي المكان الذي تقوم فيه بنشر NVA، والشبكة الفرعية الخاصة هي المكان الذي تقوم فيه بتوزيع الأجهزة الظاهرية التي تريد توجيه حركة المرور إليها.
الشبكة الفرعية-1 هي الشبكة الفرعية التي تم إنشاؤها في الخطوات السابقة. استخدم subnet-1 للجهاز الظاهري العام.
ينشئ الإجراء التالي شبكة ظاهرية مع شبكة فرعية لمورد وشبكة فرعية Azure Bastion ومضيف Bastion:
في المدخل، ابحث عن Virtual networks وحددها.
في صفحة الشبكة الظاهرية، حدد + إنشاء.
في علامة التبويب Basics في Create virtual network، أدخل المعلومات التالية أو حددها:
الإعداد
القيمة
تفاصيل المشروع
الاشتراك
حدد Subscription الخاص بك.
مجموعة الموارد
حدد إنشاء جديد.
أدخل test-rg للاسم.
حدد موافق.
تفاصيل المثيل
الاسم
أدخل vnet-1.
المنطقة
حدد شرق الولايات المتحدة 2.
حدد التالي للمتابعة إلى علامة التبويب الأمان .
في قسم Azure Bastion ، حدد Enable Azure Bastion.
يستخدم Bastion المستعرض للاتصال بالأجهزة الظاهرية في شبكتك الظاهرية عبر Secure Shell (SSH) أو بروتوكول سطح المكتب البعيد (RDP) باستخدام عناوين IP الخاصة بها. لا تحتاج الأجهزة الظاهرية إلى عناوين IP عامة أو برامج عميل أو تكوين خاص. لمزيد من المعلومات، راجع ما هو Azure Bastion؟.
ملاحظة
يبدأ التسعير بالساعة من اللحظة التي يتم فيها نشر Bastion، بغض النظر عن استخدام البيانات الصادرة. لمزيد من المعلومات، راجع التسعير ووحدات SKU. إذا كنت تقوم بنشر Bastion كجزء من برنامج تعليمي أو اختبار، نوصي بحذف هذا المورد بعد الانتهاء من استخدامه.
في Azure Bastion، أدخل المعلومات التالية أو حددها:
الإعداد
القيمة
اسم مضيف Azure Bastion
أدخل bastion.
عنوان IP العام ل Azure Bastion
حدد إنشاء عنوان IP عام.
أدخل public-ip-bastion في Name.
حدد موافق.
حدد التالي للمتابعة إلى علامة التبويب عناوين IP.
في مربع مساحة العنوان في الشبكات الفرعية، حدد الشبكة الفرعية الافتراضية.
في تحرير الشبكة الفرعية، أدخل المعلومات التالية أو حددها:
الإعداد
القيمة
الغرض من الشبكة الفرعية
اترك الإعداد الافتراضي الافتراضي.
الاسم
أدخل subnet-1.
IPv4
نطاق عناوين IPv4
اترك الإعداد الافتراضي 10.0.0.0/16.
عنوان البدء
اترك الإعداد الافتراضي 10.0.0.0.
الحجم
اترك القيمة الافتراضية ل /24 (256 عنوانا) .
حدد حفظ.
حدد Review + create في أسفل النافذة. بعد تجاوز التحقق من الصحة، حدد Create.
في مربع البحث أعلى البوابة، أدخل Virtual network. حدد الشبكات الظاهرية في نتائج البحث.
في الشبكات الظاهرية، حدد vnet-1.
في vnet-1، حدد Subnets من قسم Settings .
في قائمة الشبكة الفرعية للشبكة الظاهرية، حدد + Subnet.
في إضافة شبكة فرعية، أدخل المعلومات التالية أو حددها:
الإعداد
القيمة
الغرض من الشبكة الفرعية
اترك الإعداد الافتراضي الافتراضي.
الاسم
أدخل subnet-private.
IPv4
نطاق عناوين IPv4
اترك الإعداد الافتراضي 10.0.0.0/16.
عنوان البدء
أدخل 10.0.2.0.
الحجم
اترك القيمة الافتراضية ل /24 (256 عنوانا) .
حدد إضافة.
حدد + الشبكة الفرعية.
في إضافة شبكة فرعية، أدخل المعلومات التالية أو حددها:
الإعداد
القيمة
الغرض من الشبكة الفرعية
اترك الإعداد الافتراضي الافتراضي.
الاسم
أدخل subnet-dmz.
IPv4
نطاق عناوين IPv4
اترك الإعداد الافتراضي 10.0.0.0/16.
عنوان البدء
أدخل 10.0.3.0.
الحجم
اترك القيمة الافتراضية ل /24 (256 عنوانا) .
حدد إضافة.
قم بإنشاء مجموعة موارد باستخدام New-AzResourceGroup. ينشئ المثال التالي مجموعة موارد تسمى test-rg لكافة الموارد التي تم إنشاؤها في هذه المقالة.
إنشاء أربع شبكات فرعية عن طريق إنشاء أربعة تكوينات شبكة فرعية باستخدام New-AzVirtualNetworkSubnetConfig. ينشئ المثال التالي أربعة تكوينات شبكة فرعية للشبكات الفرعية العامة والخاصة وDMZ وAzure Bastion.
اكتب تكوينات الشبكة الفرعية إلى الشبكة الظاهرية باستخدام Set-AzVirtualNetwork، الذي ينشئ الشبكات الفرعية في الشبكة الظاهرية:
$virtualNetwork | Set-AzVirtualNetwork
إنشاء Azure Bastion
إنشاء عنوان IP عام لمضيف Azure Bastion باستخدام New-AzPublicIpAddress. ينشئ المثال التالي عنوان IP عاما يسمى public-ip-bastion في الشبكة الظاهرية vnet-1 .
إنشاء مضيف Azure Bastion باستخدام New-AzBastion. ينشئ المثال التالي مضيف Azure Bastion المسمى bastion في الشبكة الفرعية AzureBastionSubnet للشبكة الظاهرية vnet-1 . يتم استخدام Azure Bastion لتوصيل أجهزة Azure الظاهرية بأمان دون تعريضها للإنترنت العام.
إنشاء عنوان IP عام لمضيف Azure Bastion باستخدام az network public-ip create. ينشئ المثال التالي عنوان IP عاما يسمى public-ip-bastion في الشبكة الظاهرية vnet-1 .
az network public-ip create \
--resource-group test-rg \
--name public-ip-bastion \
--location eastus2 \
--allocation-method Static \
--sku Standard
إنشاء مضيف Azure Bastion باستخدام az network bastion create. ينشئ المثال التالي مضيف Azure Bastion المسمى bastion في الشبكة الفرعية AzureBastionSubnet للشبكة الظاهرية vnet-1 . يتم استخدام Azure Bastion لتوصيل أجهزة Azure الظاهرية بأمان دون تعريضها للإنترنت العام.
تُعد الأجهزة الظاهرية للشبكة أجهزة ظاهرية تساعد في استخدام وظائف الشبكة، مثل التوجيه وتحسين جدار الحماية. في هذا القسم، قم بإنشاء NVA باستخدام جهاز ظاهري Ubuntu 24.04 .
ويستغرق إنشاء جهاز ظاهري بضع دقائق. لا تستمر إلى الخطوة التالية حتى ينتهي Azure من إنشاء الجهاز الظاهري وإرجاع الإخراج حول الجهاز الظاهري.
قم بإنشاء أجهزة ظاهرية عامة وخاصة
إنشاء جهازين ظاهريين في الشبكة الظاهرية vnet-1 . يوجد جهاز ظاهري واحد في الشبكة الفرعية 1 ، والجهاز الظاهري الآخر موجود في الشبكة الفرعية الخاصة بالشبكة الفرعية. استخدم نفس صورة الجهاز الظاهري لكلا الجهازين الظاهريين.
قم بإنشاء جهاز ظاهري عام
يتم استخدام الجهاز الظاهري العام لمحاكاة جهاز في الإنترنت العام. يتم استخدام الجهاز الظاهري العام والخاص لاختبار توجيه حركة مرور الشبكة من خلال الجهاز الظاهري NVA.
في مربع البحث الموجود أعلى المدخل، أدخل Virtual machine. حدد "Virtual machines" في نتائج البحث.
حدد + إنشاء ثم + جهاز Azure الظاهري.
في Create a virtual machine أدخل المعلومات التالية أو حددها في علامة التبويب Basics :
الإعداد
القيمة
تفاصيل المشروع
الاشتراك
حدد Subscription الخاص بك.
مجموعة الموارد
حدد test-rg.
تفاصيل المثيل
اسم الجهاز الظاهري
أدخل vm-public.
المنطقة
حدد (US) Eeast US 2
خيارات التوفر
حدد No infrastructure redundancy required.
نوع الأمان
حدد قياسي.
الصورة
حدد Ubuntu Server 24.04 LTS - x64 Gen2.
بنية الجهاز الظاهري
اترك الإعداد الافتراضي x64.
الحجم
تحديد الحجم.
حساب المسؤول
نوع المصادقة
اختر كلمة السر.
اسم مستخدم
أدخل username.
كلمة المرور
إدخال «password».
تأكيد كلمة المرور
اعادة ادخال كلمة السر.
قواعد المنفذ الوارد
المنافذ العامة الواردة
حدد لا شيء.
حدد Next: Disks ثم Next: Networking.
في علامة التبويب شبكة الاتصال، أدخل أو حدد المعلومات التالية:
الإعداد
القيمة
واجهة الشبكة
الشبكة الظاهرية
حدد vnet-1.
الشبكة الفرعية
حدد subnet-1 (10.0.0.0/24).
عنوان IP عام
حدد لا شيء.
المجموعة الأمنية للشبكة NIC
حدد لا شيء.
اترك بقية الخيارات في الإعدادات الافتراضية وحدد Review + create.
حدد إنشاء.
إنشاء جهاز ظاهري خاص
في مربع البحث الموجود أعلى المدخل، أدخل Virtual machine. حدد "Virtual machines" في نتائج البحث.
حدد + إنشاء ثم + جهاز Azure الظاهري.
في Create a virtual machine أدخل المعلومات التالية أو حددها في علامة التبويب Basics :
الإعداد
القيمة
تفاصيل المشروع
الاشتراك
حدد Subscription الخاص بك.
مجموعة الموارد
حدد test-rg.
تفاصيل المثيل
اسم الجهاز الظاهري
أدخل vm-private.
المنطقة
حدد (US) Eeast US 2
خيارات التوفر
حدد No infrastructure redundancy required.
نوع الأمان
حدد قياسي.
الصورة
حدد Ubuntu Server 24.04 LTS - x64 Gen2.
بنية الجهاز الظاهري
اترك الإعداد الافتراضي x64.
الحجم
تحديد الحجم.
حساب المسؤول
نوع المصادقة
اختر كلمة السر.
اسم مستخدم
أدخل username.
كلمة المرور
إدخال «password».
تأكيد كلمة المرور
اعادة ادخال كلمة السر.
قواعد المنفذ الوارد
المنافذ العامة الواردة
حدد لا شيء.
حدد Next: Disks ثم Next: Networking.
في علامة التبويب شبكة الاتصال، أدخل أو حدد المعلومات التالية:
الإعداد
القيمة
واجهة الشبكة
الشبكة الظاهرية
حدد vnet-1.
الشبكة الفرعية
حدد subnet-private (10.0.2.0/24).
عنوان IP عام
حدد لا شيء.
المجموعة الأمنية للشبكة NIC
حدد لا شيء.
اترك بقية الخيارات في الإعدادات الافتراضية وحدد Review + create.
حدد إنشاء.
إنشاء جهاز ظاهري في الشبكة الفرعية 1 مع New-AzVM. ينشئ المثال التالي جهازا ظاهريا يسمى vm-public في الشبكة الفرعية الفرعية العامة للشبكة الظاهرية vnet-1 .
# Create a credential object
$cred = Get-Credential
# Define the VM parameters
$vmParams = @{
ResourceGroupName = "test-rg"
Location = "EastUS2"
Name = "vm-public"
ImageName = "Canonical:ubuntu-24_04-lts:server-gen1:latest"
Size = "Standard_DS1_v2"
Credential = $cred
VirtualNetworkName = "vnet-1"
SubnetName = "subnet-1"
PublicIpAddressName = $null # No public IP address
}
# Create the VM
New-AzVM @vmParams
إنشاء جهاز ظاهري في الشبكة الفرعية الخاصة بالشبكة الفرعية.
# Create a credential object
$cred = Get-Credential
# Define the VM parameters
$vmParams = @{
ResourceGroupName = "test-rg"
Location = "EastUS2"
Name = "vm-private"
ImageName = "Canonical:ubuntu-24_04-lts:server-gen1:latest"
Size = "Standard_DS1_v2"
Credential = $cred
VirtualNetworkName = "vnet-1"
SubnetName = "subnet-private"
PublicIpAddressName = $null # No public IP address
}
# Create the VM
New-AzVM @vmParams
ويستغرق إنشاء جهاز ظاهري بضع دقائق. لا تستمر في الخطوة التالية حتى يتم إنشاء الجهاز الظاهري ويقوم Azure بإرجاع النتيجة إلى PowerShell.
إنشاء جهاز ظاهري في الشبكة الفرعية-1 مع az vm create. تمكّن المعلمة --no-wait Azure من تنفيذ الأمر في الخلفية حتى تتمكن من المتابعة إلى الأمر التالي.
لتوجيه نسبة استخدام الشبكة عبر NVA، قم بتشغيل إعادة توجيه IP في Azure وفي نظام التشغيل vm-nva. عند تمكين إعادة توجيه IP، لا يتم إسقاط أي حركة مرور تتلقاها vm-nva موجهة إلى عنوان IP مختلف، ويتم إعادة توجيهها إلى الوجهة الصحيحة.
تمكين إعادة توجيه IP في Azure
في هذا القسم، يمكنك تشغيل إعادة توجيه IP لواجهة الشبكة للجهاز الظاهري vm-nva .
في مربع البحث الموجود أعلى المدخل، أدخل Virtual machine. حدد "Virtual machines" في نتائج البحث.
في الأجهزة الظاهرية، حدد vm-nva.
في vm-nva، قم بتوسيع Networking ثم حدد Network settings.
حدد اسم الواجهة بجوار واجهة الشبكة:. يبدأ الاسم ب vm-nva ويحتوي على رقم عشوائي مخصص للواجهة. اسم الواجهة في هذا المثال هو vm-nva313.
في صفحة نظرة عامة حول واجهة الشبكة، حدد IP configurations من قسم Settings.
في تكوينات IP، حدد المربع بجوار تمكين إعادة توجيه IP.
حدد تطبيق.
تمكين إعادة توجيه IP لواجهة الشبكة للجهاز الظاهري vm-nva باستخدام Set-AzNetworkInterface. يتيح المثال التالي إعادة توجيه IP لواجهة الشبكة المسماة vm-nva313.
تمكين إعادة توجيه IP لواجهة الشبكة للجهاز الظاهري vm-nva مع تحديث شبكة az nic. يتيح المثال التالي إعادة توجيه IP لواجهة الشبكة المسماة vm-nvaVMNic.
az network nic update \
--name vm-nvaVMNic \
--resource-group test-rg \
--ip-forwarding true
تمكين إعادة توجيه IP في نظام التشغيل
في هذا القسم، قم بتشغيل إعادة توجيه IP لنظام التشغيل للجهاز الظاهري vm-nva لإعادة توجيه حركة مرور الشبكة. استخدم خدمة Azure Bastion للاتصال بالجهاز الظاهري vm-nva .
في مربع البحث الموجود أعلى المدخل، أدخل Virtual machine. حدد "Virtual machines" في نتائج البحث.
في الأجهزة الظاهرية، حدد vm-nva.
حدد Connect، ثم Connect via Bastion في قسم Overview .
أدخل اسم المستخدم وكلمة المرور التي أدخلتها عند إنشاء الجهاز الظاهري.
حدد اتصال.
أدخل المعلومات التالية في موجه الجهاز الظاهري لتمكين إعادة توجيه IP:
sudo vim /etc/sysctl.conf
في محرر Vim، قم بإزالة # من السطر net.ipv4.ip_forward=1:
اضغط على المفتاح Insert .
# Uncomment the next line to enable packet forwarding for IPv4
net.ipv4.ip_forward=1
اضغط على مفتاح Esc .
أدخل :wq واضغط على مفتاح الإدخال Enter.
أغلق جلسة Bastion.
أعد تشغيل الجهاز الظاهري.
إنشاء جدول توجيه
في هذا القسم، قم بإنشاء جدول توجيه لتعريف مسار حركة المرور من خلال الجهاز الظاهري NVA. يرتبط جدول التوجيه بالشبكة الفرعية subnet-1 حيث يتم نشر الجهاز الظاهري vm-public .
يمكنك أن ترى أن هناك قفزتين في الاستجابة أعلاه لحركة tracepath مرور ICMP من vm-public إلى vm-private. الوثبة الأولى هي vm-nva. الوثبة الثانية هي الوجهة vm-private.
أرسل Azure حركة المرور من الشبكة الفرعية-1 عبر NVA وليس مباشرة إلى الشبكة الفرعية الخاصة لأنك أضفت مسبقا مسار الشبكة الفرعية الخاصة إلى route-table-public وربطته بالشبكة الفرعية-1.
أغلق جلسة Bastion.
اختبار نسبة استخدام الشبكة من vm-private إلى vm-public
في مربع البحث الموجود أعلى المدخل، أدخل Virtual machine. حدد "Virtual machines" في نتائج البحث.
في الأجهزة الظاهرية، حدد vm-private.
حدد Connect ثم Connect via Bastion في قسم Overview .
أدخل اسم المستخدم وكلمة المرور التي أدخلتها عند إنشاء الجهاز الظاهري.
حدد اتصال.
في المطالبة، أدخل الأمر التالي لتتبع توجيه حركة مرور الشبكة من vm-private إلى vm-public:
يمكنك أن ترى أن هناك قفزة واحدة في الاستجابة أعلاه، وهي الوجهة vm-public.
أرسل Azure حركة المرور مباشرة من الشبكة الفرعية الخاصة إلى الشبكة الفرعية-1. بشكل افتراضي، تقوم Azure بتوجيه حركة المرور بشكل مباشر بين الشبكات الفرعية.