تخطيط الشبكات الظاهرية

2025-04-17

إنشاء شبكة ظاهرية لتجربة أمر سهل بما فيه الكفاية، ولكن من المحتمل أن تقوم بنشر شبكات ظاهرية متعددة بمرور الوقت لدعم احتياجات الإنتاج لمؤسستك. مع بعض التخطيط، يمكنك نشر الشبكات الظاهرية وتوصيل الموارد التي تحتاج إليها بشكل أكثر فعالية. المعلومات الواردة في هذه المقالة مفيدة للغاية إذا كنت على دراية بالفعل بالشبكات الظاهرية ولديك بعض الخبرة في العمل معها. إذا لم تكن على دراية بالشبكات الظاهرية، نوصي بقراءة نظرة عامة على الشبكة الظاهرية.

التسمية

جميع موارد Azure لها اسم. يجب أن يكون الاسم فريدا داخل نطاق، والذي قد يختلف لكل نوع مورد. على سبيل المثال، يجب أن يكون اسم الشبكة الظاهرية فريدا داخل مجموعة موارد، ولكن يمكنك استخدام اسم مكرر داخل اشتراك أو منطقة Azure. يعد تعريف اصطلاح تسمية يمكنك استخدامه باستمرار عند تسمية الموارد مفيدا عند إدارة العديد من موارد الشبكة بمرور الوقت. للاقتراحات، راجع تقاليد التسمية.

المناطق

يتم إنشاء جميع موارد Azure في منطقة Azure والاشتراك. يمكنك إنشاء مورد فقط في شبكة ظاهرية موجودة في نفس المنطقة والاشتراك مثل المورد. ولكن يمكنك توصيل الشبكات الظاهرية الموجودة في اشتراكات ومناطق مختلفة. لمزيد من المعلومات، راجع الاتصال. عند تحديد المناطق التي سيتم نشر الموارد فيها، ضع في اعتبارك مكان وجود مستهلكي الموارد فعليا:

هل لديك زمن انتقال منخفض للشبكة؟ عادةً ما يرغب مستهلكو الموارد في نهاية وقت وصول الشبكة إلى مواردهم. لتحديد زمن الانتقال النسبي بين موقع محدد ومناطق Azure، راجع عرض أزمنة الانتقال النسبية.
هل لديك موقع البيانات أوسيادتها أوالامتثال، أو متطلبات المرونة؟ إذا كان الأمر كذلك، فإن اختيار المنطقة التي تتوافق مع المتطلبات أمر بالغ الأهمية. لمزيد من المعلومات، راجع مناطق Azure الجغرافية.
هل تحتاج إلى المرونة عبر مناطق توفر Azure داخل نفس منطقة Azure للموارد التي تنشرها؟ يمكنك نشر الموارد، مثل الأجهزة الظاهرية (VMs)، إلى مناطق توفر مختلفة داخل نفس الشبكة الظاهرية. لا تدعم جميع مناطق Azure مناطق التوفر. لمعرفة المزيد عن مناطق توافر الخدمات والمناطق التي تدعمها، راجع مناطق توافر الخدمات.

الاشتراكات

يمكنك نشر أكبر عدد من الشبكات الظاهرية التي تحتاج إليها داخل كل اشتراك، حتى تصل إلى حد الاشتراك. بعض المؤسسات لديها اشتراكات مختلفة لإدارات مختلفة، على سبيل المثال. لمزيد من المعلومات والاعتبارات عن الاشتراكات، راجع حوكمة الاشتراكات.

التقسيم

يمكنك إنشاء شبكات ظاهرية متعددة لكل اشتراك وكل منطقة. يمكنك إنشاء شبكات فرعية متعددة داخل كل شبكة ظاهرية. تساعدك الاعتبارات التالية على تحديد عدد الشبكات الظاهرية والشبكات الفرعية التي تحتاجها.

الشبكات الظاهرية

الشبكة الظاهرية هو جزء ظاهري ومعزول من شبكة الاتصال العامة Azure. كل شبكة ظاهرية مخصصة للاشتراك الخاص بك. عندما تقرر ما إذا كنت تريد إنشاء شبكة ظاهرية واحدة أو شبكات ظاهرية متعددة في اشتراك، ضع في اعتبارك النقاط التالية:

هل توجد أي متطلبات أمان تنظيمية لعزل نسبة استخدام الشبكة في شبكات ظاهرية منفصلة؟ يمكنك اختيار الاتصال بالشبكات الظاهرية أم لا. إذا قمت بتوصيل الشبكات الظاهرية، يمكنك تطبيق جهاز ظاهري شبكة مثل جدار حماية للتحكم في تدفق حركة المرور بين الشبكات الظاهرية. لمزيد من المعلومات، راجع الأمان والاتصال.
هل توجد أي متطلبات تنظيمية لعزل الشبكات الظاهرية إلى اشتراكات أو مناطق منفصلة؟
هل لديك متطلبات واجهة الشبكة؟ تمكن واجهة شبكة جهاز ظاهري من الاتصال بموارد أخرى. تحتوي كل واجهة شبكة اتصال على عنوان IP خاص واحد أو أكثر مخصص له. كم عدد واجهات الشبكة وعناوين IP الخاصة التي تحتاجها في شبكة ظاهرية؟ هناك حدود لعدد واجهات الشبكة وعناوين IP الخاصة التي يمكن أن يكون لديك داخل شبكة ظاهرية.
هل تريد توصيل الشبكة الظاهرية بشبكة ظاهرية أخرى أو شبكة محلية أخرى؟ قد تقرر توصيل بعض الشبكات الظاهرية ببعضها البعض أو بالشبكات المحلية، ولكن ليس بالشبكات الأخرى. لمزيد من المعلومات، راجع الاتصال. يجب أن يكون لكل شبكة ظاهرية تتصل بشبكة ظاهرية أخرى أو شبكة محلية مساحة عنوان فريدة. تحتوي كل شبكة ظاهرية على نطاق عناوين عام أو خاص أو أكثر مخصص لمساحة العنوان الخاصة بها. يتم تحديد نطاق عنوان بتنسيق توجيه مجال إنترنت (CIDR) من دون فئات، مثل 10.0.0.0/16. تعرف على المزيد عن نطاقات العناوين للشبكات الظاهرية.
هل لديك أي متطلبات إدارة تنظيمية للموارد في الشبكات الظاهرية المختلفة؟ إذا كان الأمر كذلك، يمكنك فصل الموارد إلى شبكات ظاهرية منفصلة لتبسيط تعيين الأذونات للأفراد في مؤسستك أو لتعيين نهج مختلفة إلى شبكات ظاهرية مختلفة.
هل لديك متطلبات للموارد التي يمكنها إنشاء شبكتها الظاهرية الخاصة؟ عند نشر بعض موارد خدمة Azure في شبكة ظاهرية، فإنها تقوم بإنشاء شبكة الاتصال الظاهرية الخاصة بها. لتحديد ما إذا كانت خدمة Azure تنشئ شبكتها الظاهرية الخاصة، راجع معلومات لكل خدمة Azure يمكنك نشرها في شبكة ظاهرية.

الشبكات الفرعية

يمكنك تقسيم شبكة ظاهرية إلى شبكة فرعية واحدة أو أكثر حتى الحدود. عندما تقرر ما إذا كنت تريد إنشاء شبكة فرعية واحدة أو شبكات ظاهرية متعددة في اشتراك، ضع في اعتبارك النقاط التالية:

لديك نطاق عنوان فريد لكل شبكة فرعية، محدد بتنسيق CIDR، ضمن مساحة العنوان للشبكة الظاهرية. لا يمكن أن يتداخل نطاق العنوان مع الشبكات الفرعية الأخرى في الشبكة الظاهرية.
إذا كنت تخطط لتوزيع بعض موارد خدمة Azure في شبكة ظاهرية، فقد تتطلب أو تنشئ شبكتها الفرعية الخاصة. يجب أن تكون هناك مساحة غير مخصصة كافية لهم للقيام بذلك. لتحديد ما إذا كانت خدمة Azure تنشئ شبكتها الفرعية الخاصة، راجع معلومات لكل خدمة Azure يمكنك نشرها في شبكة ظاهرية. على سبيل المثال، إذا قمت بتوصيل شبكة ظاهرية بشبكة محلية باستخدام بوابة Azure VPN، يجب أن تحتوي الشبكة الظاهرية على شبكة فرعية مخصصة للبوابة. تعرف على المزيد عن الشبكات الفرعية للبوابة.
تجاوز التوجيه الافتراضي لنسبة استخدام الشبكة بين جميع الشبكات الفرعية في شبكة ظاهرية. تريد منع توجيه Azure بين الشبكات الفرعية أو لتوجيه نسبة استخدام الشبكة بين الشبكات الفرعية عبر جهاز ظاهري للشبكة، على سبيل المثال. إذا كنت تتطلب أن تتدفق نسبة استخدام الشبكة بين الموارد في نفس الشبكة الظاهرية عبر جهاز ظاهري للشبكة (NVA)، فوزع الموارد على شبكات فرعية مختلفة. تعرف على المزيد في الأمان.
تقييد الوصول إلى موارد Azure، مثل حساب Azure Storage أو قاعدة بيانات Azure SQL، إلى شبكات فرعية معينة مع نقطة نهاية خدمة شبكة ظاهرية. يمكنك أيضا رفض الوصول إلى الموارد من الإنترنت. يمكنك إنشاء شبكات فرعية متعددة وتمكين نقطة نهاية خدمة لبعض الشبكات الفرعية، ولكن ليس لشبكات أخرى. تعرف على المزيد حول نقاط نهاية الخدمة وموارد Azure التي يمكنك تمكينها من أجلها.
إقران صفر أو مجموعة أمان شبكة واحدة بكل شبكة فرعية في شبكة ظاهرية. يمكنك إقران نفس العدد، أو مجموعة أمان شبكة مختلفة بكل شبكة فرعية. تحتوي كل مجموعة أمان شبكة على قواعد تسمح بالنقل إلى كل من المصادر والوجهات ومنها أو ترفضها. تعرف على المزيد عن مجموعات أمان الشبكة.

الأمان

يمكنك تصفية حركة مرور الشبكة من وإلى الموارد في شبكة ظاهرية باستخدام مجموعات أمان الشبكة والأجهزة الظاهرية للشبكة. يمكنك التحكم في كيفية توجيه Azure حركة المرور من الشبكات الفرعية. يمكنك أيضاً تحديد الأشخاص الذين يمكنهم العمل مع الموارد في الشبكات الظاهرية في مؤسستك.

تصفية حركة المرور

لتصفية نسبة استخدام الشبكة بين الموارد في شبكة ظاهرية، استخدم مجموعة أمان الشبكة أو NVA الذي يقوم بتصفية نسبة استخدام الشبكة أو كليهما. لنشر NVA، مثل جدار حماية، لتصفية نسبة استخدام الشبكة، راجع Azure Marketplace. عند استخدام NVA، يمكنك أيضا إنشاء مسارات مخصصة لتوجيه نسبة استخدام الشبكة من الشبكات الفرعية إلى NVA. تعرف على المزيد عن توجيه نسبة استخدام الشبكة.
تحتوي مجموعة أمان شبكة الاتصال على العديد من قواعد الأمان الافتراضية التي تسمح بحركة المرور من الموارد أو منها أو ترفضها. يمكنك إقران مجموعة أمان شبكة بواجهة شبكة اتصال أو الشبكة الفرعية التي توجد بها واجهة الشبكة أو كليهما. لتبسيط إدارة قواعد الأمان، نوصي بربط مجموعة أمان شبكة بالشبكات الفرعية الفردية بدلا من واجهات الشبكة الفردية داخل الشبكة الفرعية كلما أمكن ذلك.
إذا كانت الأجهزة الظاهرية مختلفة داخل شبكة فرعية تحتاج قواعد أمان مختلفة تطبيقها عليها، فيمكنك إقران واجهة الشبكة في الجهاز الظاهري إلى واحد أو أكثر من مجموعات أمان التطبيق. يمكن لقاعدة أمان تحديد مجموعة أمان تطبيق في المصدر أو الوجهة أو كليهما. ثم تنطبق هذه القاعدة فقط على واجهات الشبكة التي هي أعضاء في مجموعة أمان التطبيق. تعرف على المزيد عن تنفيذ مجموعات أمان الشبكة ومجموعات أمان التطبيقات.
عندما تكون مجموعة أمان الشبكة مقترنة على مستوى الشبكة الفرعية، فإنها تنطبق على جميع وحدات تحكم واجهة الشبكة في الشبكة الفرعية، وليس فقط على نسبة استخدام الشبكة القادمة من خارج الشبكة الفرعية. قد تتأثر نسبة استخدام الشبكة بين الأجهزة الظاهرية المضمنة في الشبكة الفرعية أيضا.
ينشئ Azure العديد من قواعد الأمان الافتراضية داخل كل مجموعة أمان شبكة. قاعدة افتراضية واحدة تسمح لجميع حركة المرور بالتدفق بين جميع الموارد في شبكة ظاهرية. لتجاوز هذا السلوك، استخدم مجموعات أمان الشبكة أو التوجيه المخصص لتوجيه حركة المرور إلى NVA أو كليهما. نوصيك بالتعرف على جميع قواعد الأمان الافتراضية ل Azure وفهم كيفية تطبيق قواعد مجموعة أمان الشبكة على مورد.

يمكنك عرض نماذج التصميمات لتنفيذ شبكة محيطية (تعرف أيضا باسم DMZ) بين Azure والإنترنت باستخدام NVA.

توجيه حركة المرور

يقوم Azure بإنشاء عدة مسارات افتراضية لحركة المرور الصادرة من شبكة فرعية. يمكنك تجاوز التوجيه الافتراضي Azure عن طريق إنشاء جدول توجيه وربطه بشبكة فرعية. الأسباب الشائعة لتجاوز التوجيه الافتراضي ل Azure هي:

تريد تدفق نسبة استخدام الشبكة بين الشبكات الفرعية عبر NVA. تعرف على المزيد حول كيفية تكوين جداول التوجيه لفرض حركة المرور من خلال NVA.
تريد فرض جميع حركة المرور المرتبطة بالإنترنت من خلال NVA، أو محليا، من خلال بوابة Azure VPN. غالباً ما يشار إلى إجبار حركة المرور على الإنترنت في أماكن العمل للتفتيش وقطع الأشجار على أنه توجيه إجباري لأسفل. تعرف على المزيد حول كيفية تكوين forced tunneling.

إذا كنت بحاجة إلى تنفيذ توجيه مخصص، نوصيك بالتعرف على التوجيه في Azure.

قابلية التوصيل

يمكنك توصيل شبكة ظاهرية بالشبكات الظاهرية الأخرى باستخدام نظير الشبكة الظاهرية، أو بشبكتك المحلية، باستخدام بوابة Azure VPN.

التناظر

عند استخدام تناظر الشبكة الظاهرية، يمكن أن يكون لديك شبكات ظاهرية في مناطق Azure المدعومة نفسها أو المختلفة. يمكنك الحصول على شبكات ظاهرية في نفس اشتراكات Azure أو اشتراكات مختلفة (حتى الاشتراكات التي تنتمي إلى مستأجري Microsoft Entra مختلفين).

قبل إنشاء نظير، نوصيك بالتعرف على جميع متطلبات وقيود التناظر. النطاق الترددي بين الموارد في الشبكات الظاهرية النظيرة في المنطقة نفسها هو نفسه كما لو كانت الموارد في الشبكة الظاهرية نفسها.

بوابة VPN

يمكنك استخدام بوابة Azure VPN لتوصيل شبكة ظاهرية بشبكتك المحلية باستخدام VPN من موقع إلى موقع أو اتصال مخصص مع Azure ExpressRoute.

يمكنك الجمع بين التناظر وبوابة VPN لإنشاء شبكات محورية، حيث تتصل الشبكات الظاهرية المحورية بشبكة ظاهرية مركزية ويتصل المركز بشبكة محلية، على سبيل المثال.

تحليل الاسم

لا يمكن للموارد الموجودة في شبكة ظاهرية واحدة حل أسماء الموارد في شبكة ظاهرية نظيرة باستخدام نظام أسماء المجالات (DNS) المضمن في Azure. لحل الأسماء في شبكة ظاهرية نظيرة، انشر خادم DNS الخاص بك أو استخدم مجالات Azure DNS الخاصة. يتطلب تحليل الأسماء بين الموارد في شبكة ظاهرية والشبكات المحلية أيضاً توزيع خادم DNS الخاص بك.

الأذونات

يستخدم Azure التحكم في الوصول المستند إلى الدور في Azure. يتم تعيين الأذونات إلى نطاق في التسلسل الهرمي لمجموعة الإدارة والاشتراك ومجموعة الموارد والموارد الفردية. لمعرفة المزيد عن التدرج الهرمي، راجع تنظيم مواردك.

للعمل مع شبكات Azure الظاهرية وجميع قدراتها ذات الصلة، مثل التناظر ومجموعات أمان الشبكة ونقاط نهاية الخدمة وجداول التوجيه، قم بتعيين أعضاء مؤسستك إلى أدوار المالك أو المساهم أو المساهم في الشبكة المضمنة. ثم قم بتعيين الدور إلى النطاق المناسب. إذا كنت ترغب في تعيين أذونات محددة لمجموعة فرعية من إمكانات الشبكة الظاهرية، قم بإنشاء دور مخصص وتعيين الأذونات المحددة المطلوبة ل:

النهج

باستخدام نهج Azure، يمكنك إنشاء تعريفات النهج وتعيينها وإدارتها. تفرض تعريفات النهج قواعد مختلفة على مواردك، لذلك تظل الموارد متوافقة مع معاييرك المؤسسية واتفاقيات مستوى الخدمة. يقوم نهج Azure بتشغيل تقييم للموارد الخاصة بك. يقوم بفحص الموارد غير المتوافقة مع تعريفات النهج لديك.

على سبيل المثال، يمكنك تحديد وتطبيق نهج يسمح بإنشاء شبكات ظاهرية في مجموعة موارد أو منطقة معينة فقط. يمكن أن يتطلب نهج آخر أن تحتوي كل شبكة فرعية على مجموعة أمان شبكة مرتبطة بها. ثم يتم تقييم النهج عند إنشاء الموارد وتحديثها.

يتم تطبيق النهج على التدرج الهرمي التالي: مجموعة الإدارة والاشتراك ومجموعة الموارد. تعرف على المزيد عن نهج Azure أو قم بتوزيع بعض تعريفات نهج Azure للشبكة الظاهرية.

تعرف على جميع المهام والإعدادات والخيارات لموارد الشبكة الظاهرية وميزاتها في المقالات التالية: