توجيه نسبة استخدام الشبكة الظاهرية
تعرف على كيفية توجيه Azure لنقل البيانات بين Azure والموارد المحلية وموارد الإنترنت. يقوم Azure تلقائيًا بإنشاء جدول توجيه لكل شبكة فرعية داخل شبكة Azure افتراضية ويقوم بإضافة توجيهات النظام الافتراضية إلى الجدول. لمعرفة المزيد حول الشبكات الظاهرية والشبكات الفرعية، راجع نظرة عامة على الشبكة الظاهرية. يمكنك تجاوز بعض مسارات نظام Azure باستخدام custom routes، وإضافة المزيد من المسارات المخصصة إلى جداول التوجيه. يوجه Azure عملية نقل البيانات الخارجية من شبكة فرعية استناداً إلى المسارات المحددة في جدول توجيه الشبكة الفرعية.
توجيهات النظام
يُنشئ Azure مسارات النظام تلقائياً وتُعين المسارات لكل شبكة فرعية في شبكة ظاهرية. لا يمكنك إنشاء توجيهات للنظام أو إزالتها، ولكن يمكنك تجاوز بعض توجيهات النظام باستخدام التوجيهات المخصصة. يقوم Azure بإنشاء مسارات نظام افتراضية لكل شبكة فرعية، ويضيف المزيد من optional default routes إلى شبكات فرعية محددة، أو كل شبكة فرعية، عند استخدام إمكانات Azure معينة.
الإعداد الافتراضي
يحتوي كل مسار على بادئة عنوان ونوع القفزة التالية. عند إرسال عملية نقل بيانات مغادرة لشبكة فرعية إلى عنوان IP داخل بادئة العنوان لمسار ما، يكون المسار الذي يحتوي على البادئة هو المسار الذي يستخدمه Azure. تعرف على المزيد حول كيفية تحديد Azure لتوجيه عندما تحتوي توجيهات متعددة على نفس البادئات أو بادئات متداخلة. كلما أنشئت شبكة ظاهرية، يُنشئ Azure مسارات النظام الافتراضية التالية تلقائياً لكل شبكة فرعية داخل الشبكة الظاهرية:
| المصدر | بادئات العناوين | نوع القفزة التالية |
|---|---|---|
| الإعداد الافتراضي | فريدة من نوعها بالنسبة إلى الشبكة الظاهرية | الشبكة الظاهرية |
| الإعداد الافتراضي | 0.0.0.0/0 | الإنترنت |
| الإعداد الافتراضي | 10.0.0.0/8 | بلا |
| الإعداد الافتراضي | 172.16.0.0/12 | بلا |
| الإعداد الافتراضي | 192.168.0.0/16 | بلا |
| الإعداد الافتراضي | 100.64.0.0/10 | بلا |
تمثل أنواع القفز التالية المدرجة في الجدول السابق كيفية توجيه Azure لعملية نقل البيانات الموجهة لبادئة العنوان المدرجة. فيما يلي شرح لأنواع الوثب التالية:
Virtual network: يوجِّه نقل البيانات بين نطاقات العناوين داخل مساحة عنوان الشبكة الظاهرية. يُنشئ Azure مساراً ببادئة عنوان تتوافق مع كل نطاق عنوان معرّف ضمن مساحة العنوان الخاصة بالشبكة الظاهرية. إذا كان لمساحة عنوان الشبكة الظاهرية نطاقات عناوين متعددة مُعرّفة، ينشئ Azure توجيهاً مفرداَ لكل نطاق عناوين. يوجه Azure نسبة استخدام الشبكة بين الشبكات الفرعية تلقائياً باستخدام المسارات التي تم إنشاؤها لكل نطاق عناوين. أنت لست بحاجة إلى تحديد بوابات لـ Azure لتوجيه نسبة استخدام الشبكة بين الشبكات الفرعية. على الرغم من أن الشبكة الظاهرية تحتوي على شبكات فرعية، ولكل شبكة فرعية نطاق عناوين محدد، لا يقوم Azure بإنشاء مسارات ظاهرية لنطاقات عناوين الشبكة الفرعية. يقع كل نطاق عنوان شبكة فرعية ضمن نطاق عنوان مساحة العنوان لشبكة ظاهرية.
Internet: يوجِّه نقل البيانات المُحدد من قبل بادئة العنوان إلى الإنترنت. يحدد التوجيه الافتراضي للنظام بادئة العنوان 0.0.0.0/0. إذا لم تتجاوز المسارات الافتراضية ل Azure، يوجه Azure نسبة استخدام الشبكة لأي عنوان لم يتم تحديده بواسطة نطاق عناوين داخل شبكة ظاهرية إلى الإنترنت. هناك استثناء واحد لهذا التوجيه. إذا كان عنوان الوجهة إحدى خدمات Azure، فإن Azure يوجِّه نقل البيانات مباشرةً إلى الخدمة عبر شبكة تجميع Azure، بدلاً من توجيه نقل البيانات إلى Internet. لا يعبر نقل البيانات بين خدمات Azure الإنترنت، بغض النظر عن منطقة Azure التي توجد بها الشبكة الظاهرية، أو منطقة Azure التي يتم توزيع مثيل خدمة Azure فيها. يمكنك تجاوز توجيه النظام الافتراضي الخاص بـ Azure لبادئة العنوان 0.0.0.0/0 باستخدام توجيه مُخصص.
None: يتم إفلات نقل البيانات الموجَّه إلى نوع الوثب التالي None، بدلاً من الموجَّهة إلى خارج الشبكة الفرعية. يُنشئ Azure المسارات الافتراضية لبادئات العناوين التالية تلقائياً:
10.0.0.0/8 و172.16.0.0/12 و192.168.0.0/16: محجوز للاستخدام الخاص في RFC 1918.
100.64.0.0/10: محجوز في RFC 6598.
إذا عيّنت أياً من نطاقات العناوين السابقة ضمن مساحة العنوان لشبكة ظاهرية، فسيغير Azure نوع الوثب التالي للمسار تلقائياً من None إلى Virtual network. إذا عيّنت نطاق عناوين لمساحة عنوان الشبكة الظاهرية التي تتضمن، ولكن ليست مثل، واحدة من بادئات العنوان الأربعة المحجوزة، فسيزيل Azure توجيه البادئة ويضيف توجيهاً لبادئة العنوان التي أضفتها، مع تعيين Virtual network كنوع الوثب التالي.
المسارات الافتراضية الاختيارية
يضيف Azure المزيد من مسارات النظام الافتراضية لإمكانيات Azure المختلفة، ولكن فقط إذا قمت بتمكين الإمكانات. بناء على الإمكانيات، يضيف Azure المسارات الافتراضية الاختيارية إما لشبكات فرعية معينة داخل الشبكة الظاهرية، وإما لكافة الشبكات الفرعية داخل شبكة ظاهرية. مسارات النظام الأخرى وأنواع القفزات التالية التي قد يضيفها Azure عند تمكين إمكانات مختلفة هي:
| المصدر | بادئات العناوين | نوع القفزة التالية | الشبكة الفرعية داخل الشبكة الظاهرية التي أُضيف المسار إليها |
|---|---|---|---|
| الإعداد الافتراضي | تقتصر على الشبكة الظاهرية، على سبيل المثال: 10.1.0.0/16 | اقتران VNet | الكل |
| بوابة الشبكة الظاهرية | البادئات التي أُعلن عنها محلياً باستخدام BGP أو كُوِّنت في بوابة الشبكة المحلية | بوابة الشبكة الظاهرية | الكل |
| الإعداد الافتراضي | متعدد | VirtualNetworkServiceEndpoint | فقط الشبكة الفرعية التي تم تمكين نقطة تقديم الخدمة لها. |
تناظر الشبكة الظاهرية (VNet): عند إنشاء شبكة ظاهرية نظيرة بين شبكتين ظاهريتين، يضيف النظام مسارا لكل نطاق عناوين داخل مساحة العنوان لكل شبكة ظاهرية تشارك في التناظر. تعرّف على المزيد حول إنشاء نظير شبكة ظاهرية.
Virtual network gateway: تتم إضافة مسار واحد أو أكثر مع Virtual network gateway المُعينة كنوع الوثب التالي عند إضافة بوابة شبكة ظاهرية إلى شبكة ظاهرية. المصدر أيضاً بوابة شبكة ظاهرية، لأن البوابة تضيف التوجيهات إلى الشبكة الفرعية. إذا كانت بوابة الشبكة المحلية تتبادل مسارات بروتوكول بوابة الحدود (BGP) مع بوابة شبكة ظاهرية، يضيف النظام مسارا لكل مسار. يتم نشر هذه التوجيهات من بوابة الشبكة المحلية. نوصي بتلخيص المسارات المحلية إلى أكبر نطاق عناوين ممكن، لذلك يمكنك نشر أقل عدد من المسارات إلى بوابة شبكة Azure الظاهرية. هناك حدود لعدد التوجيهات التي يمكنك نشرها إلى بوابة الشبكة الظاهرية لـ Azure. للحصول على التفاصيل، راجع حدود Azure.
VirtualNetworkServiceEndpoint: تُضاف عناوين IP العامة لخدمات معينة إلى جدول التوجيه بواسطة Azure عند تمكين نقطة تقديم خدمة للخدمة. تُفعّل نقاط نهاية الخدمة للشبكات الفرعية الفردية داخل شبكة ظاهرية، لذا يُضاف المسار فقط إلى جدول مسارات الشبكة الفرعية التي تُمكن نقطة تقديم الخدمة لها. عناوين IP العامة لخدمات Azure تتغير بشكل دوري. يقوم Azure بإدارة العناوين في جدول التوجيه تلقائياً عند تغيير العناوين. تعرّف على المزيد حول نقاط تقديم الخدمة للشبكة الظاهرية، والخدمات التي يمكنك إنشاء نقاط تقديم خدمة لها.
إشعار
يُضاف الاقتران بين الشبكات الافتراضية و أنواع الوثبات التالية لـ VirtualNetworkServiceEndpoint لجدول مسارات الشبكة الفرعية داخل الشبكات الظاهرية التي أُنشئت من خلال نموذج نشرAzure Resource Manager. لا تتم إضافة أنواع القفزات التالية إلى جداول التوجيه المرتبطة بالشبكات الفرعية للشبكة الظاهرية التي تم إنشاؤها من خلال نموذج التوزيع الكلاسيكي. تعرّف على المزيد حول نماذج التوزيع لـ Azure.
مسارات مخصصة
يمكنك إنشاء مسارات مخصصة إما عن طريق إنشاء مسارات معرّفة من قبل المستخدم، أو عن طريق تبديل مسارات بروتوكول بوابة الحدود (BGP) بين بوابة الشبكة المحلية وبوابة شبكة Azure الظاهرية.
معرّف بواسطة المستخدم
يمكنك إنشاء مسارات مخصصة أو معرفة من قبل المستخدم (ثابتة) في Azure لتجاوز مسارات النظام الافتراضية لـ Azure، أو لإضافة المزيد من المسارات إلى جدول توجيه الشبكة الفرعية. في Azure، يمكنك إنشاء جدول توجيه، ثم إقران جدول التوجيه إلى صفر أو أكثر الشبكات الفرعية للشبكة الظاهرية. يمكن أن يكون لكل شبكة فرعية جدول توجيه واحد مقترن بها أو أن تكون بدون جداول توجيه. للتعرف على الحد الأقصى لعدد التوجيهات التي يمكنك إضافتها إلى جدول توجيه والحد الأقصى لعدد جداول التوجيه المُعرّفة من قبل المستخدم والتي يمكنك إنشاؤها لكل اشتراك Azure، راجع حدود Azure. عند إنشاء جدول توجيه وإقرانه بشبكة فرعية، يتم دمج مسارات الجدول مع المسارات الافتراضية للشبكة الفرعية. إذا كانت هناك تعيينات توجيه متعارضة، تتجاوز المسارات المعرفة من قبل المستخدم المسارات الافتراضية.
يمكنك تحديد أنواع القفز التالية عند إنشاء مسار معرف من قبل المستخدم:
Virtual appliance: الجهاز الظاهري أداة ظاهرية عادة ما تُشغل تطبيق شبكة مثل جدار الحماية. للتعرف على مختلف الأجهزة الظاهرية للشبكة التي تم تكوينها مسبقا، يمكنك نشرها في شبكة ظاهرية ، راجع Azure Marketplace. عند إنشاء توجيه باستخدام نوع الوثب virtual appliance، يمكنك أيضاً تحديد عنوان IP لنوع الوثب التالي. يمكن أن يكون عنوان IP:
عنوان IP خاص لواجهة شبكة متصلة بجهاز ظاهري. لأي واجهة شبكة متصلة بجهاز ظاهري يعيد توجيه نقل البيانات إلى عنوان آخر غير عنوانه، يجب أن يكون خيار Azure Enable IP forwarding ممكناً. يعطل الإعداد فحص Azure للمصدر والوجهة لواجهة الشبكة. تعرّف على المزيد حول تمكين إعادة توجيه IP لواجهة الشبكة. على الرغم من أن Enable IP forwarding أحد إعدادات Azure، فقد تحتاج أيضاً إلى تمكين إعادة توجيه IP داخل نظام تشغيل الجهاز الظاهري حتى يتمكن الجهاز من إعادة توجيه نقل البيانات بين عناوين IP الخاصة المعينة لواجهات شبكة Azure. إذا كان الجهاز بحاجة إلى توجيه نسبة استخدام الشبكة إلى عنوان IP عام، فيجب عليه إما وكيل حركة المرور أو إجراء ترجمة عنوان الشبكة (NAT) من عنوان IP الخاص بالمصدر إلى عنوان IP الخاص به. ثم يقوم Azure بإجراء NAT إلى عنوان IP عام قبل إرسال نسبة استخدام الشبكة إلى الإنترنت. لتحديد الإعدادات المطلوبة داخل الجهاز الظاهري، راجع الوثائق المتعلقة بنظام التشغيل أو تطبيق الشبكة. لفهم الاتصالات الصادرة في Azure، راجع فهم الاتصالات الصادرة.
إشعار
نشر جهاز ظاهري في شبكة فرعية مختلفة عن الموارد التي توجه عبر الجهاز الظاهري. يمكن أن يؤدي نشر الجهاز الظاهري إلى نفس الشبكة الفرعية ثم تطبيق جدول توجيه على الشبكة الفرعية التي توجه نسبة استخدام الشبكة عبر الجهاز الظاهري إلى حلقات توجيه حيث لا تغادر نسبة استخدام الشبكة الشبكة الفرعية أبدا.
يجب أن يكون لعنوان IP الخاص للوثب التالي اتصال مباشر دون الحاجة إلى التوجيه عبر ExpressRoute Gateway أو Virtual WAN. يؤدي تعيين القفزة التالية إلى عنوان IP بدون اتصال مباشر إلى تكوين توجيه غير صالح معرف من قبل المستخدم.
عنوان IP الخاص لـ موازن التحميل الداخلي لـ Azure. يُستخدم موازن التحميل عادة كجزء من استراتيجية قابلية الوصول العالية للأجهزة الظاهرية للشبكة.
يمكنك تعريف مسار مع 0.0.0.0/0 كبادئة العنوان ونوع الوثب التالي للجهاز الظاهري. يسمح هذا التكوين للجهاز بفحص حركة المرور وتحديد ما إذا كان يجب إعادة توجيه حركة المرور أو إسقاطها. إذا كنت تنوي إنشاء توجيه مُعرّف من قبل المستخدم يحتوي على بادئة العنوان 0.0.0.0/0، فاطلع على بادئة العنوان 0.0.0.0/0 أولاً.
بوابة الشبكة الظاهرية: حدد الوقت الذي تريد فيه نقل البيانات الموجهة إلى بادئات عناوين مُحددة مُوجهة إلى بوابة الشبكة الظاهرية. يجب إنشاء بوابة الشبكة الظاهرية من نوع VPN. لا يمكنك تحديد بوابة شبكة ظاهرية تم إنشاؤها كنوع ExpressRoute في مسار محدد بواسطة المستخدم لأنه مع ExpressRoute، يجب عليك استخدام BGP للتوجيهات المخصصة. لا يمكنك تحديد Virtual Network Gateways إذا كانت لديك اتصالات VPN وExpressRoute موجودة أيضاً. يمكنك تحديد مسار يوجه نقل البيانات الموجَّه لبادئة العنوان 0.0.0.0/0 إلى بوابة شبكة ظاهرية تستند إلى المسار. قد يكون لديك جهاز في مكان عملك يفحص نقل البيانات ويحدد ما إذا كنت تريد إعادة توجيهه أو إفلاته. إذا كنت تنوي إنشاء توجيه مُعرّف من قبل المستخدم لبادئة العنوان 0.0.0.0/0، فاطلع على بادئة العنوان 0.0.0.0/0 أولاً. بدلاً من تكوين مسار مُعرّف من قبل المستخدم لبادئة العنوان 0.0.0.0/0، يمكنك الإعلان عن مسار بالبادئة 0.0.0.0/0 عبر BGP، إذا قمت بـ تمكين BGP لبوابة شبكة ظاهرية VPN.
بلا: حدد الوقت الذي تريد فيه إسقاط عملية نقل البيانات لبادئة عنوان، بدلاً من إعادة توجيه نقل البيانات لوجهة. إذا كنت لم تكوّن إحدى الإمكانات بالكامل، فقد يدرج Azure None لبعض توجيهات النظام الاختيارية. على سبيل المثال، إذا رأيت None مدرجاً كـ عنوان IP للوثب التالي مع نوع الوثب التالي لـ بوابة الشبكة الظاهرية أو الجهاز الظاهري، فربما يرجع ذلك إلى أن الجهاز لا يعمل أو لم يتم تكوينه بالكامل. ينشئ Azure توجيهات افتراضية للنظام لبادئات العناوين المحجوزة بتعيين نوع الوثب التالي على None.
الشبكة الظاهرية: حدد خيار الشبكة الظاهرية عندما تريد تجاوز التوجيه الافتراضي داخل شبكة ظاهرية. راجع Routing example، للاطلاع على مثال لأحد الأسباب الممكنة للحاجة إلى إنشاء توجيه باستخدام نوع الوثب Virtual network.
الإنترنت: حدد خيار الإنترنت عندما تريد توجيه نسبة استخدام الشبكة الموجهة بشكل صريح إلى بادئة عنوان إلى الإنترنت، أو إذا كنت تريد نقل البيانات الموجهة إلى خدمات Azure مع عناوين IP العامة المحفوظة داخل شبكة Azure الأساسية.
لا يمكنك تحديد نظير الشبكة الظاهرية أو VirtualNetworkServiceEndpoint كنوع القفزة التالية في المسارات المعرفة من قبل المستخدم. يتم إنشاء التوجيهات باستخدام نظير الشبكة الظاهرية أو أنواع الوثبة التالية VirtualNetworkServiceEndpoint فقط بواسطة Azure، عند تكوين تناظر شبكة ظاهرية، أو نقطة نهاية خدمة.
Service Tags للتوجيهات المُعرّفة من قبل المستخدم
يمكنك الآن تحديد علامة خدمة كبادئة عنوان لتوجيه مُعرّف من قبل المستخدم بدلاً من نطاق IP صريح. تمثل علامة الخدمة مجموعة من بادئات عنوان IP من خدمة Azure معينة. تُدير Microsoft بادئات العناوين التي تشملها علامة الخدمة، كما تُحدّث علامة الخدمة تلقائيًا مع تغيير العناوين. وبالتالي التقليل من تعقيد التحديثات المتكررة للطرق التي يحددها المستخدم وتقليل عدد المسارات التي تحتاج إلى إنشائها. يمكنك الآن إنشاء 25 توجيهاً أو أقل باستخدام علامات الخدمة في كل جدول توجيه. في هذا الإصدار، يتوفر الدعم أيضاً لاستخدام علامات الخدمة في سيناريوهات التوجيه للحاويات.
تطابق تام
يعطي النظام تفضيلا للمسار مع البادئة الصريحة عند وجود تطابق تام للبادئة بين مسار ببادئة IP صريحة ومسار مع علامة الخدمة. عندما تحتوي مسارات متعددة مع علامات الخدمة على بادئات IP مطابقة، يتم تقييم المسارات بالترتيب التالي:
العلامات الإقليمية (على سبيل المثال، Storage.EastUS وAppService.AustraliaCentral)
علامات المستوى الأعلى (على سبيل المثال، التخزين، AppService)
علامات AzureCloud الإقليمية (على سبيل المثال، AzureCloud.canadacentral وAzureCloud.eastasia)
علامة AzureCloud
لاستخدام هذه الميزة، حدد اسم علامة الخدمة لمعلمة بادئة العنوان في أوامر جدول التوجيه. على سبيل المثال، يمكنك في PowerShell إنشاء توجيه جديد لتوجيه نقل البيانات المُرسل إلى بادئة عنوان IP لـ Azure Storage إلى جهاز ظاهري باستخدام:
$param = @{
Name = 'StorageRoute'
AddressPrefix = 'Storage'
NextHopType = 'VirtualAppliance'
NextHopIpAddress = '10.0.100.4'
}
New-AzRouteConfig @param
الأمر نفسه ل CLI كما يلي:
az network route-table route create \
--resource-group MyResourceGroup \
--route-table-name MyRouteTable \
--name StorageRoute \
--address-prefix Storage \
--next-hop-type VirtualAppliance \
--next-hop-ip-address 10.0.100.4
أنواع الوثب التالي عبر أدوات Azure
يختلف الاسم المعروض والمشار إليه لأنواع الوثب التالي بين مدخل Azure وأدوات سطر الأوامر، وAzure Resource Manager ونماذج التوزيع الكلاسيكية. يوضح الجدول التالي الأسماء المستخدمة للإشارة إلى كل نوع وثب تالٍ باستخدام الأدوات ونماذج التوزيع المختلفة:
| نوع القفزة التالية | Azure CLI وPowerShell (Resource Manager) | Azure CLI الكلاسيكي وPowerShell (كلاسيكي) |
|---|---|---|
| بوابة الشبكة الظاهرية | VirtualNetworkGateway | VPNGateway |
| الشبكة الظاهرية | VNetLocal | VNETLocal (غير متوافر في CLI الكلاسيكي في وضع إدارة الخدمة) |
| الإنترنت | الإنترنت | الإنترنت (غير متوافر في CLI الكلاسيكي في وضع إدارة الخدمة) |
| جهاز ظاهري | VirtualAppliance | VirtualAppliance |
| بلا | بلا | Null (غير متوافر في CLI الكلاسيكي في وضع إدارة الخدمة) |
| تناظر الشبكة الظاهرية | اقتران VNet | غير قابل للتطبيق |
| نقطة نهاية خدمة الشبكة الظاهرية | VirtualNetworkServiceEndpoint | غير قابل للتطبيق |
بروتوكول بوابة الحدود (BGP)
يمكن لبوابة الشبكة المحلية تبديل التوجيهات مع بوابة شبكة Azure الظاهرية باستخدام بروتوكول بوابة الحدود (BGP). يعتمد استخدام BGP مع بوابة شبكة Azure الظاهرية على النوع الذي حددته عند إنشاء البوابة:
ExpressRoute: يجب عليك استخدام BGP للإعلان عن التوجيهات المحلية إلى جهاز التوجيه Microsoft Edge. لا يمكنك إنشاء مسارات معرّفة من قبل المستخدم لفرض نقل البيانات إلى بوابة الشبكة الظاهرية ExpressRoute إذا قمت بتوزيع بوابة شبكة ظاهرية تم توزيعها كنوع: ExpressRoute. يمكنك استخدام توجيهات مُعرّفة من قبل المستخدم لفرض نقل البيانات من Express Route إلى، على سبيل المثال، Network Virtual Appliance.
VPN: يمكنك اختيارياً استخدام BGP. للحصول على التفاصيل، راجع BGP مع اتصالات VPN بين موقعين.
عند تبديل التوجيهات مع Azure باستخدام BGP، يُضاف توجيه منفصل إلى جدول التوجيه لكل الشبكات الفرعية في الشبكة الظاهرية لكل بادئة مُعلن عنها. يُضاف التوجيه مع بوابة الشبكة الظاهرية المدرجة كمصدر ونوع الوثب التالي.
يمكن تعطيل نشر توجيه ER وVPN Gateway على شبكة فرعية باستخدام خاصية على جدول توجيه. عند تعطيل نشر المسار، لا يضيف النظام مسارات إلى جدول التوجيه لكافة الشبكات الفرعية مع تعطيل نشر مسار بوابة الشبكة الظاهرية. تنطبق هذه العملية على كل من المسارات الثابتة ومسارات BGP. ينجح الاتصال لاتصالات VPN باستخدام توجيهات مخصصة مع نوع الوثب التالي Virtual network gateway. لا ينبغي تعطيل انتشار المسار على GatewaySubnet. لن تعمل البوابة عندما يكون هذا الإعداد معطلاً. للحصول على التفاصيل، راجع كيفية تعطيل نشر التوجيه لبوابة الشبكة الظاهرية.
كيفية تحديد Azure لمسار
عند إرسال نقل البيانات الصادر من شبكة فرعية، يحدد Azure توجيهاً بناءً على عنوان IP الوجهة، باستخدام أطول خوارزمية مطابقة للبادئة. على سبيل المثال، يحتوي جدول التوجيه على توجيهين، أحدهما يحدد بادئة العنوان 10.0.0.0/24، في حين يحدد الآخر بادئة العنوان 10.0.0.0/16. يوجه Azure نسبة استخدام الشبكة الموجهة إلى 10.0.0.5 إلى نوع الوثب التالي المحدد في المسار مع بادئة العنوان 10.0.0.0/24. تحدث هذه العملية لأن 10.0.0.0/24 هي بادئة أطول من 10.0.0.0/16، على الرغم من أن 10.0.0.5 يقع ضمن بادئات العنوان. يوجه Azure نسبة استخدام الشبكة الموجهة إلى 10.0.1.5 إلى نوع القفزة التالي المحدد في المسار مع بادئة العنوان 10.0.0.0/16. تحدث هذه العملية لأن 10.0.1.5 غير مضمن في بادئة العنوان 10.0.0.0/24، مما يجعل المسار مع بادئة العنوان 10.0.0.0/16 أطول بادئة مطابقة.
إذا احتوت توجيهات متعددة على نفس بادئة العنوان، فسيحدد Azure نوع التوجيه، استناداً إلى الأولوية التالية:
مسارات محددة من قِبل المستخدم
توجيه BGP
مسار النظام
إشعار
توجيهات النظام لنقل البيانات المرتبطة بالشبكة الظاهرية أو نظائر الشبكة الظاهرية أو نقاط تقديم خدمة الشبكة الظاهرية توجيهات مفضلة، حتى وإن كانت توجيهات BGP أكثر تحديداً.
على سبيل المثال، يحتوي جدول التوجيه على المسارات التالية:
| المصدر | بادئات العناوين | نوع القفزة التالية |
|---|---|---|
| الإعداد الافتراضي | 0.0.0.0/0 | الإنترنت |
| المستخدم | 0.0.0.0/0 | بوابة الشبكة الظاهرية |
عندما يتم توجيه نقل البيانات إلى عنوان IP خارج بادئات العناوين لأي توجيهات أخرى في جدول التوجيه، يحدد Azure التوجيه باستخدام المصدر User، لأن التوجيهات المُعرّفة من قبل المستخدم تكون ذات أولوية أعلى من التوجيهات الافتراضية للنظام.
راجع Routing example للاطلاع على جدول التوجيه الشامل مع تفسيرات للمسارات في الجدول.
0.0.0.0/0 بادئة العنوان
يعطي المسار الذي يحتوي على بادئة العنوان 0.0.0.0/0 إرشادات إلى Azure. يستخدم Azure هذه الإرشادات لتوجيه نسبة استخدام الشبكة الموجهة إلى عنوان IP الذي لا يقع ضمن بادئة العنوان لأي مسار آخر في جدول توجيه الشبكة الفرعية. عند إنشاء شبكة فرعية، ينشئ Azure توجيهاً افتراضياً إلى بادئة العنوان 0.0.0.0/0، بتعيين نوع الوثب التالي على Internet. إذا لم تتجاوز هذا التوجيه، فسيوجِّه Azure نقل البيانات الموجَّه بالكامل إلى عناوين IP غير المضمنة في بادئة العنوان لأي توجيه آخر، إلى Internet. الاستثناء هو أن نقل البيانات إلى عناوين IP العامة لخدمات Azure تظل على شبكة Azure الأساسية، ولا يتم توجيهها إلى الإنترنت. عند تجاوز هذا المسار بمسار مخصص ، يتم توجيه حركة المرور الموجهة للعناوين غير الموجودة ضمن بادئات العناوين لأي مسار آخر في جدول التوجيه. تعتمد الوجهة على ما إذا كنت تحدد جهازا ظاهريا للشبكة أو بوابة شبكة ظاهرية في المسار المخصص.
عند تجاوز بادئة العنوان 0.0.0.0/0، لا يتم فقط نقل البيانات الصادرة من تدفق الشبكة الفرعية عبر بوابة الشبكة الظاهرية أو الجهاز الظاهري، ولكن تحدث التغييرات التالية أيضا مع التوجيه الافتراضي ل Azure:
يرسل Azure نقل البيانات بالكامل إلى نوع الوثب التالي المحدد في التوجيه، بما في ذلك نقل البيانات الموجَّه لعناوين IP العامة لخدمات Azure. عندما يكون نوع الوثب التالي للتوجيه الذي له بادئة العنوان 0.0.0.0/0 هو Internet، فإن نقل البيانات من الشبكة الفرعية الموجَّهة إلى عناوين IP العامة لخدمات Azure لا تغادر أبدًا شبكة تجميع Azure، بغض النظر عن منطقة Azure التي توجد فيها الشبكة الظاهرية أو مورد خدمة Azure. عند إنشاء توجيه معرّف من قبل المستخدم أو توجيه BGP باستخدام بوابة الشبكة الظاهرية أو نوع الوثب التالي لـ الجهاز الظاهري، يتم إرسال نسبة استخدام الشبكة بالكامل، بما في ذلك نسبة استخدام الشبكة المرسلة إلى عناوين IP العامة لخدمات Azure، والتي لم تقم بتمكين نقاط تقديم الخدمة لها، إلى نوع الوثب التالي المحدد في التوجيه. عند تمكين نقطة نهاية خدمة لخدمة ما، يقوم Azure بإنشاء مسار مع بادئات العنوان للخدمة. لا يتم توجيه حركة المرور إلى الخدمة إلى نوع القفزة التالية في مسار ببادئة العنوان 0.0.0.0/0. بادئات العنوان للخدمة أطول من 0.0.0.0/0.
لم يعد بإمكانك الوصول مباشرة إلى الموارد في الشبكة الفرعية من الإنترنت. يمكنك الوصول إلى الموارد في الشبكة الفرعية من الإنترنت بشكل غير مباشر. يجب أن يعالج الجهاز المحدد بواسطة نوع الوثبة التالي لمسار ذي بادئة العنوان 0.0.0.0/0 نسبة استخدام الشبكة الواردة. بعد اجتياز حركة المرور للجهاز، تصل نسبة استخدام الشبكة إلى المورد في الشبكة الظاهرية. إذا كان التوجيه يحتوي على القيم التالية لنوع الوثب التالي:
Virtual appliance: يجب أن يكون الجهاز:
قابلاً للوصول إليه من Internet
مُعيّن له عنوان IP عام،
لا ترتبط به قاعدة مجموعة أمان شبكة تمنع الاتصال بالجهاز
لا يرفض الاتصال
أن تكون قادراً على تحويل عنوان الشبكة وإعادة توجيه أو استخدام وكيل لتوجيه نقل البيانات إلى المورد الوجهة في الشبكة الفرعية، وإعادة نقل البيانات مرة أخرى إلى Internet.
بوابة الشبكة الظاهرية: إذا كانت البوابة بوابة شبكة ExpressRoute ظاهرية، فيمكن لجهاز متصل بالإنترنت محلياً تحويل عنوان الشبكة وإعادة توجيه، أو استخدام وكيل لتوجيه نقل البيانات إلى مورد الوجهة في الشبكة الفرعية، عبر النظير الخاص لـ ExpressRoute.
إذا كانت شبكتك الظاهرية متصلة بمدخل Microsoft Azure VPN، فلا تربط جدول التوجيه بـ gateway subnet التي تتضمن مساراً بوجهة 0.0.0.0/0. قد يؤدي القيام بذلك إلى منع البوابة من العمل بشكلٍ سليم. للحصول على التفاصيل، راجع السؤال لماذا يتم فتح منافذ معينة على بوابة VPN؟ في VPN Gateway FAQ.
راجع DMZ بين Azure ومركز البيانات المحلي للحصول على تفاصيل التنفيذ عند استخدام بوابات الشبكة الظاهرية بين Internet وAzure.
مثال التوجيه
لتوضيح المفاهيم في هذه المقالة، توضح المقاطع التالية التي:
سيناريو، مع المتطلبات
التوجيهات المخصصة اللازمة لتلبية المتطلبات
جدول التوجيه الموجود لشبكة فرعية واحدة تتضمن التوجيهات الافتراضية والمخصصة اللازمة لتلبية المتطلبات
إشعار
لا يُقصد بهذا المثال أن يكون تنفيذاً موصى به أو تطبيقاً لأفضل الممارسات. ولكن، تم توفيره فقط لتوضيح المفاهيم في هذه المقالة.
المتطلبات
تنفيذ شبكتين ظاهريتين في نفس منطقة Azure وتمكين الموارد للاتصال بين الشبكات الظاهرية.
تمكين شبكة محلية من الاتصال بأمان مع الشبكتين الظاهريتين عبر نفق VPN عبر Internet. أو بدلاً من ذلك، يمكن استخدام اتصال ExpressRoute، ولكن في هذا المثال، يستخدم اتصال VPN.
لشبكة فرعية واحدة في شبكة ظاهرية واحدة:
فرض تدفق نقل البيانات الصادر بالكامل من الشبكة الفرعية، باستثناء تلك الموجَّهة إلى Azure Storage وداخل الشبكة الفرعية، عبر جهاز ظاهري لشبكة للفحص والتسجيل.
لا تفحص نقل البيانات بين عناوين IP الخاصة داخل الشبكة الفرعية؛ اسمح لنقل البيانات بالتدفق مباشرة بين جميع الموارد.
إفلات أي نسبة استخدام شبكة صادرة موجَّهة إلى شبكة ظاهرية أخرى.
تمكين نقل البيانات الصادر إلى Azure storage من التدفق مباشرة إلى التخزين دون فرض ذلك من خلال جهاز ظاهري لشبكة.
السماح لنقل البيانات بالكامل بين جميع الشبكات الفرعية والشبكات الظاهرية الأخرى.
تنفيذ
توضح الصورة التالية تطبيقاً من خلال نموذج توزيع Azure Resource Manager الذي يفي بالمتطلبات السابقة:
أسهم تُظهر تدفق نقل البيانات.
جداول التوجيه
Subnet1
يحتوي جدول التوجيه Subnet1 في الصورة على المسارات التالية:
| المعرف | المصدر | الولاية | بادئات العناوين | نوع القفزة التالية | عنوان IP الوثب التالي | اسم المسار المُعرّف من قبل المستخدم |
|---|---|---|---|---|---|---|
| 1 | الإعداد الافتراضي | غير صالح | 10.0.0.0/16 | الشبكة الظاهرية | ||
| 2 | المستخدم | نشطة | 10.0.0.0/16 | جهاز ظاهري | 10.0.100.4 | Within-VNet1 |
| 3 | المستخدم | نشطة | 10.0.0.0/24 | الشبكة الظاهرية | Within-Subnet1 | |
| 4 | الإعداد الافتراضي | غير صالح | 10.1.0.0/16 | اقتران VNet | ||
| 5 | الإعداد الافتراضي | غير صالح | 10.2.0.0/16 | اقتران VNet | ||
| 6 | المستخدم | نشطة | 10.1.0.0/16 | بلا | ToVNet2-1-Drop | |
| 7 | المستخدم | نشطة | 10.2.0.0/16 | بلا | ToVNet2-2-Drop | |
| 8 | الإعداد الافتراضي | غير صالح | 10.10.0.0/16 | بوابة الشبكة الظاهرية | [X.X.X.X] | |
| 9 | المستخدم | نشطة | 10.10.0.0/16 | جهاز ظاهري | 10.0.100.4 | To-On-Prem |
| 10 | الإعداد الافتراضي | نشطة | [X.X.X.X] | VirtualNetworkServiceEndpoint | ||
| 11 | الإعداد الافتراضي | غير صالح | 0.0.0.0/0 | الإنترنت | ||
| 12 | المستخدم | نشطة | 0.0.0.0/0 | جهاز ظاهري | 10.0.100.4 | Default-NVA |
فيما يلي شرح لكل مُعرّف توجيه:
ID1: أضاف Azure هذا المسار تلقائياً لجميع الشبكات الفرعية ضمن Virtual-network-1، لأن 10.0.0.0/16 هو نطاق العنوان الوحيد المحدد في مساحة العنوان للشبكة الظاهرية. إذا لم تقم بإنشاء المسار المعرف من قبل المستخدم في معرف المسار 2، فسيتم توجيه نسبة استخدام الشبكة المرسلة إلى أي عنوان بين 10.0.0.1 و10.0.255.254 داخل الشبكة الظاهرية. هذه العملية لأن البادئة أطول من 0.0.0.0/0 ولا تقع ضمن بادئات العناوين لأي مسارات أخرى. قام Azure بتغيير الحالة تلقائياً من Active إلى Invalid، عندما أُضيف ID2، وهو مسار مُعرّف من قبل المستخدم، لأنه يحتوي على نفس بادئة المسار الافتراضي، والمسارات المُعرّفة من قبل المستخدم تتجاوز المسارات الافتراضية. لا تزال حالة هذا التوجيه Active لـ Subnet2، لأن جدول التوجيه الذي يعرّفه المستخدم، والذي يتضمن ID2، غير مقترن بـ Subnet2.
ID2: أضاف Azure هذا المسار عندما كان المسار المحدد من قبل المستخدم لبادئة العنوان 10.0.0.0/16 مقترناً بالشبكة الفرعية Subnet1 في الشبكة الظاهرية Virtual-network-1. يحدد المسار المُعرّف من قبل المستخدم 10.0.100.4 كعنوان IP للجهاز الظاهري، لأن العنوان هو عنوان IP خاص معيّن للجهاز الظاهري. جدول التوجيه الموجود فيه هذا المسار غير مرتبط بـ الشبكة الفرعية 2، لذلك لا يظهر في جدول التوجيه لـ الشبكة الفرعية 2. يعمل هذا المسار على تجاوز المسار الافتراضي للبادئة 10.0.0.0/16 (ID1)، التي تؤدي إلى التوجيه التلقائي لنقل البيانات الموجَّه إلى 10.0.0.1 و10.0.255.254 داخل الشبكة الظاهرية من خلال نوع الوثب التالي للشبكة الظاهرية. يوجد هذا المسار لتلبية المطلب 3، لفرض نقل البيانات الصادر بالكامل من خلال جهاز ظاهري.
المعرف 3: أضاف Azure هذا المسار عندما تم إقران مسار معرف من قبل المستخدم لبادئة العنوان 10.0.0.0/24 بالشبكة الفرعية Subnet1 . يظل نقل البيانات الموجهة للعناوين بين 10.0.0.1 و10.0.0.254 داخل الشبكة الفرعية، بدلاً من توجيهه إلى الجهاز الظاهري المحدد في القاعدة السابقة (ID2)، لأن له بادئة أطول من مسار ID2. لم يكن هذا المسار مرتبطاً بـ Subnet2، لذلك لا يظهر المسار في جدول التوجيه لـ Subnet2. يتجاوز هذا المسار بفعالية توجيه ID2 لنقل البيانات داخل Subnet1. يوجد هذا المسار لتلبية المطلب 3.
ID4: أضاف Azure تلقائياً المسارات في المعرّفين 4 و5 لجميع الشبكات الفرعية ضمن Virtual-network-1، عندما تم اختراق الشبكة الظاهرية بـ Virtual-network-2.Virtual-network-2 لها نطاقا عنوانين في مساحة العنوان الخاصة بها: 10.1.0.0/16 و10.2.0.0/16، لذلك أضاف Azure مساراً لكل نطاق. إذا لم تقم بإنشاء المسارات المعرفة من قبل المستخدم في معرفات المسار 6 و7، فسيتم توجيه حركة المرور المرسلة إلى أي عنوان بين 10.1.0.1-10.1.255.254 و10.2.0.1-10.2.255.254 إلى الشبكة الظاهرية النظيرة. هذه العملية لأن البادئة أطول من 0.0.0.0/0 ولا تقع ضمن بادئات العناوين لأي مسارات أخرى. عند إضافة المسارات في المعرفين 6 و7، قام Azure تلقائيا بتغيير الحالة من نشط إلى غير صالح. هذه العملية لأن لديهم نفس البادئات مثل المسارات في المعرفين 4 و5، والمسارات المعرفة من قبل المستخدم تتجاوز المسارات الافتراضية. لا تزال حالة المسارات في المُعرفين 4 و5 Active لـ Subnet2، لأن جدول التوجيه حيث توجد المسارات المُعرّفة من قبل المستخدم في المعرفين 6 و7 غير مقترن بـ Subnet2. تم إنشاء نظير شبكة ظاهرية لتلبية المطلب 1.
ID5: نفس الشرح مثل ID4.
ID6: أضاف Azure هذا المسار والمسار في ID7، عندما كانت المسارات المحددة من قبل المستخدم لبادئات العنوان 10.1.0.0/16 و10.2.0.0/16 مرتبطة بالشبكة الفرعية Subnet1 . يسقط Azure نسبة استخدام الشبكة الموجهة للعناوين بين 10.1.0.1-10.1.255.254 و10.2.0.1-10.2.255.254، بدلا من توجيهها إلى الشبكة الظاهرية النظيرة، لأن المسارات المعرفة من قبل المستخدم تتجاوز المسارات الافتراضية. المسارات غير مرتبطة بـ Subnet2، لذلك لا تظهر المسارات في جدول التوجيه لـ Subnet2. تتجاوز التوجيهات مسارات ID4 وID5 لنقل البيانات التي تغادر Subnet1. توجد مسارات ID6 وID7 لتلبية المطلب 3 لإفلات نقل البيانات الموجَّه إلى الشبكة الظاهرية الأخرى.
ID7: نفس الشرح مثل ID6.
ID8: أضاف Azure هذا المسار تلقائياً لجميع الشبكات الفرعية ضمن Virtual-network-1 عندما تم إنشاء بوابة شبكة ظاهرية من نوع VPN داخل الشبكة الظاهرية. أضاف Azure عنوان IP العام لبوابة الشبكة الظاهرية إلى جدول التوجيه. يتم توجيه نقل البيانات المرسَل إلى أي عنوان بين 10.10.0.1 و10.10.255.254 إلى بوابة الشبكة الظاهرية. البادئة أطول من 0.0.0.0/0 وليست ضمن بادئات العناوين لأي من التوجيهات الأخرى. تم إنشاء بوابة شبكة ظاهرية لتلبية المطلب 2.
ID9: أضاف Azure هذا المسار عندما تمت إضافة مسار محدد بواسطة المستخدم لبادئة العنوان 10.10.0.0/16 إلى جدول التوجيه المرتبط بـ Subnet1. يتجاوز هذا المسار ID8. يرسل التوجيه نقل البيانات الموجَّه إلى الشبكة المحلية بالكامل إلى فحص NVA، بدلاً من توجيه نقل البيانات محلياً مباشرة. تم إنشاء هذا المسار لتلبية المطلب 3.
ID10: أضاف Azure هذا التوجيه تلقائياً إلى الشبكة الفرعية عندما تم تمكين نقطة نهاية الخدمة لخدمة Azure للشبكة الفرعية. يوجِّه Azure نقل البيانات من الشبكة الفرعية إلى عنوان IP عام للخدمة، عبر شبكة البنية الأساسية لـ Azure. البادئة أطول من 0.0.0.0/0 وليست ضمن بادئات العناوين لأي من التوجيهات الأخرى. تم إنشاء نقطة تقديم خدمة لتلبية المتطلب 3، لتمكين نقل البيانات الموجَّه إلى Azure Storage من التدفق مباشرة إلى Azure Storage.
ID11: أضاف Azure هذا التوجيه تلقائياً إلى جدول التوجيه لجميع الشبكات الفرعية داخل Virtual-network-1 و Virtual-network-2. 0.0.0.0/ 0 بادئة العنوان هي أقصر بادئة. يتم توجيه أي نسبة استخدام شبكة مرسلة إلى عناوين ضمن بادئة عنوان طويلة استناداً إلى التوجيهات الأخرى. بشكل افتراضي، يوجِّه Azure نقل البيانات الموجَّهة إلى عناوين أخرى غير العناوين المحددة في أحد التوجيهات الأخرى بالكامل إلى Internet. قام Azure بتغيير الحالة تلقائياً من Active إلى Invalid للشبكة الفرعية Subnet1 عندما تم إقران مسار مُعرّف من قبل المستخدم لبادئة العنوان 0.0.0.0/0 (ID12) بالشبكة الفرعية. لا تزال حالة هذا التوجيه Active لجميع الشبكات الفرعية الأخرى داخل كلتا الشبكتين الظاهريتين، لأن التوجيه غير مرتبط بأي شبكات فرعية أخرى داخل أي شبكات ظاهرية أخرى.
ID12: أضاف Azure هذا المسار عندما كان المسار المحدد من قبل المستخدم لبادئة العنوان 0.0.0.0/0 مقترناً بالشبكة الفرعية Subnet1. يحدد المسار المُعرّف من قبل المستخدم 10.0.100.4 كعنوان IP للجهاز الظاهري. هذا المسار غير مرتبط بـ Subnet2، لذلك لا يظهر المسار في جدول التوجيه لـ Subnet2. يُرسل نقل البيانات لأي عنوان غير مدرج في بادئات العناوين لأي من التوجيهات الأخرى بالكامل إلى الجهاز الظاهري. أدت إضافة هذا المسار إلى تغيير حالة المسار الافتراضي لبادئة العنوان 0.0.0.0/0 (ID11) من Active إلى Invalid لـ Subnet1، لأن المسار المُعرّف من قبل المستخدم يتجاوز مساراً افتراضياً. يوجد هذا المسار لتلبية المطلب الثالث.
Subnet2
يحتوي جدول التوجيه لـ Subnet2 في الصورة على المسارات التالية:
| المصدر | الولاية | بادئات العناوين | نوع القفزة التالية | عنوان IP الوثب التالي |
|---|---|---|---|---|
| الإعداد الافتراضي | نشطة | 10.0.0.0/16 | الشبكة الظاهرية | |
| الإعداد الافتراضي | نشطة | 10.1.0.0/16 | تناظر الشبكة الظاهرية | |
| الإعداد الافتراضي | نشطة | 10.2.0.0/16 | تناظر الشبكة الظاهرية | |
| الإعداد الافتراضي | نشطة | 10.10.0.0/16 | بوابة الشبكة الظاهرية | [X.X.X.X] |
| الإعداد الافتراضي | نشطة | 0.0.0.0/0 | الإنترنت | |
| الإعداد الافتراضي | نشطة | 10.0.0.0/8 | بلا | |
| الإعداد الافتراضي | نشطة | 100.64.0.0/10 | بلا | |
| الإعداد الافتراضي | نشطة | 192.168.0.0/16 | بلا |
يحتوي جدول التوجيه للشبكة الفرعية 2 على جميع المسارات الافتراضية التي تم إنشاؤها بواسطة Azure وتناظر الشبكة الظاهرية الاختيارية والمسارات الاختيارية لبوابة الشبكة الظاهرية. أضاف Azure المسارات الاختيارية إلى كل الشبكات الفرعية في الشبكة الظاهرية عند إضافة البوابة والنظير إلى الشبكة الظاهرية. أزال Azure مسارات بادئات العناوين 10.0.0.0/8 و192.168.0.0/16 و100.64.0.0/10 من جدول توجيه Subnet1 عند إضافة المسار المُعرّف من قبل المستخدم لبادئة العنوان 0.0.0.0/0 إلى Subnet1.
الخطوات التالية
إنشاء جدول توجيه مُعرّف من قبل المستخدم مع مسارات وجهاز ظاهري للشبكة
عرض جميع المسارات لشبكة فرعية. يعرض لك جدول التوجيه المُعرّف من قبل المستخدم المسارات المُعرّفة من قبل المستخدم فقط، وليس المسارات الافتراضية، ومسارات BGP لشبكة فرعية. عند عرض جميع المسارات، تظهر لك جميع المسارات الافتراضية ومسارات BGP والمسارات المُعرّفة من قبل المستخدم للشبكة الفرعية حيث توجد واجهة الشبكة.
تحدد نوع الوثب التالي بين جهاز ظاهري وعنوان IP الوجهة. تمكّنك ميزة الوثب التالي Azure Network Watcher من تحديد إذا ما كانت نسبة استخدام الشبكة تغادر شبكة فرعية وتُوجَّه إلى المكان الذي تتوقع أن تذهب إليه.