تخطيط الشبكات الظاهرية
يعد إنشاء شبكة ظاهرية لتجربتها أمراً سهلاً بما فيه الكفاية، ولكن من المحتمل أن توزع شبكات ظاهرية متعددة بمرور الوقت لدعم احتياجات الإنتاج لمؤسستك. مع بعض التخطيط، ستكون قادراً على نشر الشبكات الافتراضية، وتوصيل الموارد التي تحتاج إليها بشكل أكثر فعالية. المعلومات الواردة في هذه المقالة مفيدة للغاية إذا كنت على دراية بالفعل بالشبكات الظاهرية ولديك بعض الخبرة في العمل معها. إذا لم تكن معتاداً على الشبكات الظاهرية، فمن المستحسن أن تقرأ نظرة عامة على الشبكة الظاهرية.
التسمية
جميع موارد Azure لها اسم. يجب أن يكون الاسم فريداً ضمن نطاق، وقد يختلف لكل نوع مورد. على سبيل المثال، يجب أن يكون اسم الشبكة الظاهرية فريداً ضمن مجموعة موارد، ولكن يمكن تكراره ضمن اشتراك أو منطقة Azure. يعد تعريف اصطلاح التسمية الذي يمكنك استخدامه باستمرار عند تسمية الموارد مفيداً عند إدارة موارد شبكة الاتصال المتعددة بمرور الوقت. للاقتراحات، راجع تقاليد التسمية.
المناطق
يتم إنشاء جميع موارد Azure في منطقة Azure والاشتراك. يمكن إنشاء مورد فقط في شبكة اتصال ظاهرية موجودة في نفس المنطقة والاشتراك كمورد. ومع ذلك، يمكنك الاتصال بالشبكات الظاهرية الموجودة في الاشتراكات والمناطق المختلفة. لمزيد من المعلومات، راجع الاتصالية. عند تحديد المنطقة (المناطق) التي يجب توزيع الموارد فيها، ضع في اعتبارك مكان وجود مستهلكي الموارد فعلياً:
- عادةً ما يرغب مستهلكو الموارد في نهاية وقت وصول الشبكة إلى مواردهم. لتحديد زمن الانتقال النسبي بين موقع محدد ومناطق Azure، راجع عرض أزمنة الانتقال النسبية.
- هل لديك موقع البيانات أوسيادتها أوالامتثال، أو متطلبات المرونة؟ إذا كان الأمر كذلك، فإن اختيار المنطقة التي تتوافق مع المتطلبات أمر بالغ الأهمية. لمزيد من المعلومات، راجع مناطق Azure الجغرافية.
- هل تحتاج إلى مرونة عبر مناطق توفر Azure داخل منطقة Azure نفسها للموارد التي توزعها؟ يمكنك توزيع الموارد، مثل الأجهزة الظاهرية إلى مناطق توفر مختلفة داخل نفس الشبكة الظاهرية. ومع ذلك، لا تدعم جميع مناطق Azure مناطق التوفر. لمعرفة المزيد عن مناطق توافر الخدمات والمناطق التي تدعمها، راجع مناطق توافر الخدمات.
الاشتراكات
يمكنك نشر أكبر عدد من الشبكات الظاهرية التي تحتاج إليها داخل كل اشتراك، حتى تصل إلى حد الاشتراك. بعض المؤسسات لديها اشتراكات مختلفة لإدارات مختلفة، على سبيل المثال. لمزيد من المعلومات والاعتبارات عن الاشتراكات، راجع حوكمة الاشتراكات.
التقسيم
يمكنك إنشاء شبكات ظاهرية متعددة لكل اشتراك وكل منطقة. يمكنك إنشاء شبكات فرعية متعددة داخل كل شبكة ظاهرية. تساعدك الاعتبارات التالية في تحديد عدد الشبكات الظاهرية والشبكات الفرعية التي تحتاج إليها:
الشبكات الظاهرية
الشبكة الظاهرية هو جزء ظاهري ومعزول من شبكة الاتصال العامة Azure. كل شبكة ظاهرية مخصصة للاشتراك الخاص بك. أشياء يجب مراعاتها عند تحديد ما إذا كنت تريد إنشاء شبكة ظاهرية واحدة أو شبكات ظاهرية متعددة في اشتراك:
- هل توجد أي متطلبات أمان تنظيمية لعزل نسبة استخدام الشبكة في شبكات ظاهرية منفصلة؟ يمكنك اختيار الاتصال بالشبكات الظاهرية أم لا. إذا قمت بتوصيل الشبكات الظاهرية، يمكنك تطبيق جهاز ظاهري شبكة مثل جدار حماية للتحكم في تدفق حركة المرور بين الشبكات الظاهرية. لمزيد من المعلومات، انظر "security" و"connectivity".
- هل توجد أي متطلبات تنظيمية لعزل الشبكات الظاهرية إلى اشتراكات أو مناطق منفصلة؟
- تمكن واجهة شبكة جهاز ظاهري من الاتصال بموارد أخرى. تحتوي كل واجهة شبكة اتصال على عنوان IP خاص واحد أو أكثر مخصص له. كم عدد واجهات الشبكة وعناوين IP الخاصة التي تحتاجها في شبكة ظاهرية؟ هناك حدود لعدد واجهات الشبكة وعناوين IP الخاصة التي يمكن أن يكون لديك داخل شبكة ظاهرية.
- هل تريد توصيل الشبكة الظاهرية بشبكة ظاهرية أخرى أو شبكة محلية أخرى؟ يمكنك اختيار توصيل بعض الشبكات الظاهرية ببعضها البعض أو الشبكات المحلية، ولكن ليس بشبكات أخرى. لمزيد من المعلومات، راجع الاتصالية. يجب أن يكون لكل شبكة اتصال ظاهرية تتصل بشبكة ظاهرية أخرى أو شبكة محلية مساحة عنوان فريدة. تحتوي كل شبكة ظاهرية على نطاق عناوين عام أو خاص أو أكثر مخصص لمساحة العنوان الخاصة بها. يتم تحديد نطاق عنوان بتنسيق توجيه مجال إنترنت (CIDR) من دون فئات، مثل 10.0.0.0/16. تعرف على المزيد عن نطاقات العناوين للشبكات الظاهرية.
- هل لديك أي متطلبات إدارة تنظيمية للموارد في الشبكات الظاهرية المختلفة؟ إذا كان الأمر كذلك، فقد تقوم بفصل الموارد إلى شبكة ظاهرية منفصلة لتبسيط تعيين الأذونات للأفراد في المؤسسة أو لتعيين نهج مختلفة إلى شبكات ظاهرية مختلفة.
- عند نشر بعض موارد خدمة Azure في شبكة ظاهرية، فإنها تقوم بإنشاء شبكة الاتصال الظاهرية الخاصة بها. لتحديد ما إذا كانت خدمة Azure تنشئ شبكة ظاهرية خاصة بها، راجع معلومات لكل خدمة Azure يمكن نشرها في شبكة ظاهرية.
الشبكات الفرعية
يمكن تقسيم شبكة ظاهرية إلى شبكة فرعية واحدة أو أكثر حتى الحدود. أشياء يجب مراعاتها عند تحديد ما إذا كنت تريد إنشاء شبكة فرعية واحدة أو شبكات ظاهرية متعددة في اشتراك:
- يجب أن يكون لكل شبكة فرعية نطاق عناوين فريد، محدد بتنسيق CIDR، ضمن مساحة العنوان للشبكة الظاهرية. لا يمكن أن يتداخل نطاق العنوان مع الشبكات الفرعية الأخرى في الشبكة الظاهرية.
- إذا كنت تخطط لنشر بعض موارد خدمة Azure في شبكة اتصال ظاهرية، فقد يطلبون أو ينشئون الشبكة الفرعية الخاصة بهم، لذلك يجب أن يكون هناك مساحة غير مخصصة كافية لهم للقيام بذلك. لتحديد ما إذا كانت خدمة Azure تنشئ الشبكة الفرعية الخاصة بها، راجع معلومات لكل خدمة Azure يمكن نشرها في شبكة اتصال ظاهرية. على سبيل المثال، إذا قمت بتوصيل شبكة ظاهرية بشبكة محلية باستخدام بوابة AZURE VPN، يجب أن يكون للشبكة الظاهرية شبكة فرعية مخصصة للبوابة. تعرف على المزيد عن الشبكات الفرعية للبوابة.
- يقوم Azure افتراضيًا بتوجيه حركة مرور الشبكة بين جميع الشبكات الفرعية في شبكة افتراضية. يمكنك تجاوز التوجيه الافتراضي لـ Azure لمنع توجيه Azure بين الشبكات الفرعية، أو لتوجيه حركة المرور بين الشبكات الفرعية عبر جهاز ظاهري لشبكة الاتصال، على سبيل المثال. لذلك، إذا كنت تريد حركة المرور بين الموارد في نفس تدفق الشبكة الافتراضية من خلال جهاز شبكة ظاهري (NVA)، فعليك نشر الموارد على شبكات فرعية مختلفة. تعرف على المزيد في مجال الأمان.
- يمكنك تقييد الوصول إلى موارد Azure مثل حساب تخزين Azure أو قاعدة بيانات Azure SQL، إلى شبكات فرعية معينة مع نقطة نهاية خدمة شبكة اتصال ظاهرية. علاوة على ذلك، يمكنك منع الوصول إلى الموارد من الإنترنت. يمكنك إنشاء شبكات فرعية متعددة وتمكين نقطة نهاية خدمة لبعض الشبكات الفرعية، ولكن ليس غيرها. تعرف على المزيد عن نقاط نهاية الموفر، وموارد Azure التي يمكنك تمكينها من أجلها.
- يمكنك ربط مجموعة أمان شبكة واحدة، أو عدم ربط أي مجموعة أمان، بكل شبكة فرعية في شبكة افتراضية. يمكنك إقران نفس العدد، أو مجموعة أمان شبكة مختلفة بكل شبكة فرعية. تحتوي كل مجموعة أمان شبكة على قواعد تسمح بالنقل إلى كل من المصادر والوجهات ومنها أو ترفضها. تعرف على المزيد عن مجموعات أمان الشبكة.
الأمان
يمكنك تصفية حركة مرور الشبكة من وإلى الموارد الموجودة في شبكة ظاهرية باستخدام مجموعات أمان الشبكة والأجهزة الظاهرية للشبكة. يمكنك التحكم في كيفية توجيه Azure حركة المرور من الشبكات الفرعية. يمكنك أيضاً تحديد الأشخاص الذين يمكنهم العمل مع الموارد في الشبكات الظاهرية في مؤسستك.
تصفية حركة المرور
- يمكنك تصفية حركة مرور الشبكة بين الموارد في شبكة ظاهرية باستخدام مجموعة أمان شبكة اتصال أو NVA يقوم بتصفية حركة مرور الشبكة أو كليهما. لتوزيع NVA، مثل جدار حماية، لتصفية حركة مرور الشبكة، راجع Azure Marketplace. عند استخدام NVA، يمكنك أيضاً إنشاء توجيهات مخصصة لتوجيه حركة المرور من الشبكات الفرعية إلى NVA. تعرف على المزيد عن توجيه نسبة استخدام الشبكة.
- تحتوي مجموعة أمان شبكة الاتصال على العديد من قواعد الأمان الافتراضية التي تسمح بحركة المرور من الموارد أو منها أو ترفضها. يمكن أن تكون مجموعة أمان شبكة الاتصال مقترنة بواجهة شبكة اتصال أو الشبكة الفرعية التي توجد بها واجهة الشبكة أو كليهما. لتبسيط إدارة قواعد الأمان، يوصى بربط مجموعة أمان شبكة بشبكات فرعية فردية، بدلاً من واجهات شبكة الاتصال الفردية داخل الشبكة الفرعية، كلما أمكن ذلك.
- إذا كانت الأجهزة الظاهرية مختلفة داخل شبكة فرعية تحتاج قواعد أمان مختلفة تطبيقها عليها، فيمكنك إقران واجهة الشبكة في الجهاز الظاهري إلى واحد أو أكثر من مجموعات أمان التطبيق. يمكن لقاعدة أمان تحديد مجموعة أمان تطبيق في المصدر أو الوجهة أو كليهما. ثم تنطبق هذه القاعدة فقط على واجهات شبكة الاتصال التي هي أعضاء في مجموعة أمان التطبيق. تعرف على المزيد عن تنفيذ مجموعات أمان الشبكة ومجموعات أمان التطبيقات.
- عندما ترتبط مجموعة أمان شبكة على مستوى الشبكة الفرعية، فإنها تنطبق على كل بطاقات واجهة الشبكة (NIC) في الشبكة الفرعية، وليس فقط على نسبة استخدام الشبكة القادمة من خارج الشبكة الفرعية. هذا يعني أن نسبة استخدام الشبكة بين الأجهزة الظاهرية الموجودة في الشبكة الفرعية يمكن أن تتأثر أيضاً.
- ينشئ Azure العديد من قواعد الأمان الافتراضية داخل كل مجموعة أمان شبكة. قاعدة افتراضية واحدة تسمح لجميع حركة المرور بالتدفق بين جميع الموارد في شبكة ظاهرية. لتجاوز هذا السلوك، استخدم مجموعات أمان الشبكة أو التوجيه المخصص لتوجيه حركة المرور إلى NVA أو كليهما. من المستحسن أن تتعرف على جميع قواعد الأمان الافتراضية لـAzure وأن تفهم كيفية تطبيق قواعد مجموعة أمان الشبكة على مورد.
يمكنك عرض نماذج من التصميمات لتنفيذ شبكة محيطة (تعرف أيضاً باسم DMZ) بين Azure والإنترنت باستخدام NVA.
توجيه حركة المرور
يقوم Azure بإنشاء عدة مسارات افتراضية لحركة المرور الصادرة من شبكة فرعية. يمكنك تجاوز التوجيه الافتراضي لـ Azure عن طريق إنشاء جدول توجيه وربطه بشبكة فرعية. الأسباب الشائعة لتجاوز التوجيه الافتراضي لـ Azure هي:
- لأنك تريد حركة المرور بين الشبكات الفرعية إلى التدفق عبر NVA. لمعرفة المزيد حول كيفية تكوين جداول التوجيه لفرض حركة المرور عبر NVA.
- لأنك تريد فرض جميع حركة المرور المرتبطة بالإنترنت من خلال NVA، أو في الموقع، من خلال بوابة Azure VPN. غالباً ما يشار إلى إجبار حركة المرور على الإنترنت في أماكن العمل للتفتيش وقطع الأشجار على أنه توجيه إجباري لأسفل. تعرف على المزيد حول كيفية تكوين forced tunneling.
إذا كنت بحاجة إلى تنفيذ توجيه مخصص، فمن المستحسن أن تتعرف على التوجيه في Azure.
قابلية التوصيل
يمكنك توصيل شبكة ظاهرية بشبكات ظاهرية أخرى باستخدام نظير الشبكة الظاهرية أو بشبكات الاتصال المحلية الخاصة بك باستخدام بوابة شبكة ظاهرية خاصة من Azure.
التناظر
عند استخدام تناظر الشبكة الظاهرية، يمكن أن تكون الشبكات الظاهرية في مناطق Azure المدعومة نفسها أو مناطق مختلفة. يمكن أن تكون الشبكات الظاهرية في نفس اشتراكات Azure أو اشتراكات مختلفة (حتى الاشتراكات التي تنتمي إلى مستأجري Microsoft Entra مختلفين). قبل إنشاء تناظر، يوصى بأن تتعرف على كل متطلبات التناظر والقيود. النطاق الترددي بين الموارد في الشبكات الظاهرية النظيرة في المنطقة نفسها هو نفسه كما لو كانت الموارد في الشبكة الظاهرية نفسها.
بوابة VPN
يمكنك استخدام بوابة Azure VPN لتوصيل شبكة ظاهرية بشبكتك المحلية باستخدام VPN من موقع إلى موقع، أو باستخدام اتصال مخصص مع Azure ExpressRoute.
يمكنك الجمع بين تناظر وبوابة VPN لإنشاء شبكات محورية، حيث تتصل الشبكات الظاهرية المحورية بشبكات ظاهرية على موزع، ويتصل الموزع بشبكة محلية، على سبيل المثال.
تحليل الاسم
لا يمكن للموارد الموجودة في شبكة ظاهرية واحدة تحليل أسماء الموارد في شبكة ظاهرية نظيرة باستخدام DNS المضمن في Azure. لتحليل الأسماء في شبكة ظاهرية نظيرة، قم بتوزيع خادم DNS الخاص بك، أو استخدم مجالات Azure DNS الخاصة. يتطلب تحليل الأسماء بين الموارد في شبكة ظاهرية والشبكات المحلية أيضاً توزيع خادم DNS الخاص بك.
الأذونات
يستخدم Azure التحكم في الوصول استناداً إلى الدور من Azure (Azure RBAC) إلى الموارد. يتم تعيين الأذونات إلى نطاق بالتدرج الهرمي التالي: مجموعة الإدارة والاشتراك ومجموعة الموارد والمورد الفردي. لمعرفة المزيد عن التدرج الهرمي، راجع تنظيم مواردك. للعمل مع شبكات Azure الظاهرية وكل الإمكانات المرتبطة بها مثل التناظر ومجموعات أمان الشبكة ونقاط نهاية الموفر وجداول التوزيع، يمكنك تعيين أعضاء مؤسستك إلى أدوار المالك، أو المساهم، أو مساهم الشبكة المدرجة، ثم تعيين الدور إلى النطاق المناسب. إذا كنت تريد تعيين أذونات محددة لمجموعة فرعية من إمكانات الشبكة الظاهرية، فقم بإنشاء دور مخصص وتعيين الأذونات المحددة المطلوبة للشبكات الظاهرية أو الشبكات الفرعية ونقاط نهاية الموفر أو واجهات الشبكة أو التناظر، أو الشبكة ومجموعات أمان التطبيقات، أو جداول التوجيه إلى الدور.
وثيقة تأمين
يمكّنك نهج Azure من إنشاء تعريفات النهج وتعيينها وإدارتها. تفرض تعريفات النهج قواعد مختلفة على مواردك، لذلك تظل الموارد متوافقة مع معاييرك المؤسسية واتفاقيات مستوى الخدمة. يقوم نهج Azure بإجراء تقييم لمواردك، والبحث عن الموارد غير المتوافقة مع تعريفات النهج لديك. على سبيل المثال، يمكنك تحديد وتطبيق نهج يسمح بإنشاء شبكات ظاهرية في مجموعة موارد أو منطقة معينة فقط. يمكن أن يتطلب نهج آخر أن تحتوي كل شبكة فرعية على مجموعة أمان شبكة مرتبطة بها. ثم يتم تقييم النُهُج عند إنشاء الموارد وتحديثها.
يتم تطبيق النهج على التدرج الهرمي التالي: مجموعة الإدارة والاشتراك ومجموعة الموارد. تعرف على المزيد عن نهج Azure أو قم بتوزيع بعض تعريفات نهج Azure للشبكة الظاهرية.
الخطوات التالية
تعرّف على كل المهام والإعدادات والخيارات الخاصة بالشبكة الظاهرية أو الشبكة الفرعية ونقطة نهاية الموفر أو واجهة الشبكة أو التناظر أو مجموعة أمان الشبكة والتطبيقات أو جدول التوجيه.