مشاركة عبر


توجيه نسبة استخدام الشبكة الظاهرية

في هذه المقالة، ستتعرف على كيفية توجيه Azure لنسبة استخدام الشبكة بين Azure والموارد المحلية وموارد الإنترنت. يقوم Azure تلقائيًا بإنشاء جدول توجيه لكل شبكة فرعية داخل شبكة Azure افتراضية ويقوم بإضافة توجيهات النظام الافتراضية إلى الجدول. لمعرفة المزيد حول الشبكات الظاهرية والشبكات الفرعية، راجع نظرة عامة على الشبكة الظاهرية. يمكنك تجاوز بعض مسارات نظام Azure باستخدام مسارات مخصصة وإضافة المزيد من التوجيهات المخصصة لتوجيه الجداول. يوجه Azure عملية نقل البيانات الخارجية من شبكة فرعية استناداً إلى المسارات المحددة في جدول توجيه الشبكة الفرعية.

توجيهات النظام

يُنشئ Azure مسارات النظام تلقائياً وتُعين المسارات لكل شبكة فرعية في شبكة ظاهرية. لا يمكنك إنشاء مسارات النظام، ولا يمكنك إزالة مسارات النظام، ولكن يمكنك تجاوز بعض مسارات النظام باستخدام مسارات مخصصة. ينشئ Azure مسارات نظام افتراضية لكل شبكة فرعية ويضيف المزيد من التوجيهات الافتراضية الاختيارية إلى شبكات فرعية معينة، أو كل شبكة فرعية، عند استخدام قدرات Azure معينة.

الإعداد الافتراضي

يحتوي كل مسار على بادئة عنوان ونوع القفزة التالية. عند إرسال نسبة استخدام الشبكة التي تغادر شبكة فرعية إلى عنوان IP داخل بادئة عنوان المسار، يكون المسار الذي يحتوي على البادئة هو المسار الذي يستخدمه Azure. تعرف على المزيد حول كيفية تحديد Azure لمسار عندما تحتوي مسارات متعددة على نفس البادئات أو البادئات المتراكبة. كلما أنشئت شبكة ظاهرية، يُنشئ Azure مسارات النظام الافتراضية التالية تلقائياً لكل شبكة فرعية داخل الشبكة الظاهرية:

المصدر بادئات العناوين نوع القفزة التالية
الإعداد الافتراضي فريدة من نوعها بالنسبة إلى الشبكة الظاهرية الشبكة الظاهرية
الإعداد الافتراضي 0.0.0.0/0 الإنترنت
الإعداد الافتراضي 10.0.0.0/8 بلا
الإعداد الافتراضي 172.16.0.0/12 بلا
الإعداد الافتراضي 192.168.0.0/16 بلا
الإعداد الافتراضي 100.64.0.0/10 بلا

تمثل أنواع القفز التالية المدرجة في الجدول السابق كيفية توجيه Azure لعملية نقل البيانات الموجهة لبادئة العنوان المدرجة. فيما يلي تفسيرات أنواع القفزات التالية:

  • Virtual network: يوجِّه نقل البيانات بين نطاقات العناوين داخل مساحة عنوان الشبكة الظاهرية. يُنشئ Azure مساراً ببادئة عنوان تتوافق مع كل نطاق عنوان معرّف ضمن مساحة العنوان الخاصة بالشبكة الظاهرية. إذا كان لمساحة عنوان الشبكة الظاهرية نطاقات عناوين متعددة مُعرّفة، ينشئ Azure توجيهاً مفرداَ لكل نطاق عناوين. بشكل افتراضي، يوجه Azure نسبة استخدام الشبكة بين الشبكات الفرعية. لا تحتاج إلى تعريف جداول التوجيه أو البوابات ل Azure لتوجيه نسبة استخدام الشبكة بين الشبكات الفرعية. لا ينشئ Azure مسارات افتراضية لنطاقات عناوين الشبكة الفرعية. يقع كل نطاق عنوان شبكة فرعية ضمن نطاق عنوان مساحة العنوان لشبكة ظاهرية.

  • الإنترنت: توجيه نسبة استخدام الشبكة المحددة بواسطة بادئة العنوان إلى الإنترنت. يحدد التوجيه الافتراضي للنظام بادئة العنوان 0.0.0.0/0. إذا لم تتجاوز المسارات الافتراضية ل Azure، فإن Azure يوجه نسبة استخدام الشبكة لأي عنوان لم يتم تحديده بواسطة نطاق عناوين داخل شبكة ظاهرية إلى الإنترنت. هناك استثناء واحد لهذا التوجيه. إذا كان عنوان الوجهة لخدمة Azure، فإن Azure يوجه حركة المرور مباشرة إلى الخدمة عبر شبكة Azure الأساسية بدلا من توجيه حركة المرور إلى الإنترنت. لا تعبر نسبة استخدام الشبكة بين خدمات Azure الإنترنت. لا يهم منطقة Azure التي توجد بها الشبكة الظاهرية أو منطقة Azure التي يتم نشر مثيل خدمة Azure فيها. يمكنك تجاوز مسار النظام الافتراضي Azure لبادئة العنوان 0.0.0.0/0 مع مسار مخصص.

  • بلا: يتم إسقاط حركة المرور التي تم توجيهها إلى نوع الوثبة التالية بلا بدلا من توجيهها خارج الشبكة الفرعية. يُنشئ Azure المسارات الافتراضية لبادئات العناوين التالية تلقائياً:

    • 10.0.0.0/8 و172.16.0.0/12 و192.168.0.0/16: محجوز للاستخدام الخاص في RFC 1918.
    • 100.64.0.0/10: محجوز في RFC 6598.

    إذا عيّنت أياً من نطاقات العناوين السابقة ضمن مساحة العنوان لشبكة ظاهرية، فسيغير Azure نوع الوثب التالي للمسار تلقائياً من None إلى Virtual network. إذا عيّنت نطاق عناوين لمساحة عنوان الشبكة الظاهرية التي تتضمن، ولكن ليست مثل، واحدة من بادئات العنوان الأربعة المحجوزة، فسيزيل Azure توجيه البادئة ويضيف توجيهاً لبادئة العنوان التي أضفتها، مع تعيين Virtual network كنوع الوثب التالي.

المسارات الافتراضية الاختيارية

يضيف Azure المزيد من مسارات النظام الافتراضية لإمكانيات Azure المختلفة، ولكن فقط إذا قمت بتمكين الإمكانات. اعتمادا على القدرة، يضيف Azure مسارات افتراضية اختيارية إما إلى شبكات فرعية معينة داخل الشبكة الظاهرية أو إلى جميع الشبكات الفرعية داخل شبكة ظاهرية. يسرد الجدول التالي مسارات النظام الأخرى وأنواع القفزات التالية التي قد يضيفها Azure عند تمكين قدرات مختلفة.

المصدر بادئات العناوين نوع القفزة التالية الشبكة الفرعية داخل الشبكة الظاهرية التي أُضيف المسار إليها
الإعداد الافتراضي تقتصر على الشبكة الظاهرية، على سبيل المثال: 10.1.0.0/16 تناظر الشبكة الظاهرية الكل
بوابة الشبكة الظاهرية البادئات المعلن عنها من أماكن العمل عبر بروتوكول بوابة الحدود (BGP) أو تم تكوينها في بوابة الشبكة المحلية بوابة الشبكة الظاهرية الكل
الإعداد الافتراضي متعدد VirtualNetworkServiceEndpoint الشبكة الفرعية التي تم تمكين نقطة تقديم خدمة لها فقط
  • تناظر الشبكة الظاهرية: عند إنشاء شبكة ظاهرية نظيرة بين شبكتين ظاهريتين، يضيف النظام مسارا لكل نطاق عناوين ضمن مساحة العنوان لكل شبكة ظاهرية تشارك في التناظر. تعرّف على المزيد حول إنشاء نظير شبكة ظاهرية.

  • Virtual network gateway: تتم إضافة مسار واحد أو أكثر مع Virtual network gateway المُعينة كنوع الوثب التالي عند إضافة بوابة شبكة ظاهرية إلى شبكة ظاهرية. المصدر هو أيضا بوابة الشبكة الظاهرية لأن البوابة تضيف التوجيهات إلى الشبكة الفرعية. إذا كانت بوابة الشبكة المحلية تتبادل مسارات BGP مع بوابة شبكة ظاهرية، يضيف النظام مسارا لكل مسار. يتم نشر هذه التوجيهات من بوابة الشبكة المحلية. نوصي بتلخيص المسارات المحلية إلى أكبر نطاق عناوين ممكن بحيث تقوم بنشر أقل عدد من المسارات إلى بوابة شبكة Azure الظاهرية. هناك حدود لعدد التوجيهات التي يمكنك نشرها إلى بوابة الشبكة الظاهرية لـ Azure. لمزيد من المعلومات، راجع حدود Azure.

  • VirtualNetworkServiceEndpoint: تتم إضافة عناوين IP العامة لخدمات معينة إلى جدول التوجيه بواسطة Azure عند تمكين نقطة نهاية خدمة إلى الخدمة. يتم تمكين نقاط نهاية الخدمة للشبكات الفرعية الفردية داخل شبكة ظاهرية، لذلك تتم إضافة المسار فقط إلى جدول التوجيه لشبكة فرعية يتم تمكين نقطة نهاية الخدمة لها. عناوين IP العامة لخدمات Azure تتغير بشكل دوري. يقوم Azure بإدارة العناوين في جدول التوجيه تلقائياً عند تغيير العناوين. تعرف على المزيد حول نقاط نهاية خدمة الشبكة الظاهرية والخدمات التي يمكنك إنشاء نقاط نهاية الخدمة لها.

    إشعار

    وأنواع الوثب التالية فقط لتوجيه جداول الشبكات الفرعية داخل الشبكات الظاهرية التي تم إنشاؤها من خلال نموذج توزيع Azure Resource Manager. لا تتم إضافة أنواع القفزات التالية إلى جداول التوجيه المرتبطة بالشبكات الفرعية للشبكة الظاهرية التي تم إنشاؤها من خلال نموذج التوزيع الكلاسيكي. تعرّف على المزيد حول نماذج التوزيع لـ Azure.

مسارات مخصصة

يمكنك إنشاء مسارات مخصصة إما عن طريق إنشاء مسارات معرفة من قبل المستخدم (UDRs) أو تبادل مسارات BGP بين بوابة الشبكة المحلية وبوابة شبكة Azure الظاهرية.

معرّف بواسطة المستخدم

لتخصيص مسارات حركة المرور الخاصة بك، يجب عدم تعديل المسارات الافتراضية. يجب إنشاء مسارات مخصصة أو معرفة من قبل المستخدم (ثابتة)، والتي تتجاوز مسارات النظام الافتراضية ل Azure. في Azure، يمكنك إنشاء جدول توجيه ثم إقران جدول التوجيه إلى صفر أو أكثر من الشبكات الفرعية للشبكة الظاهرية. يمكن أن يكون لكل شبكة فرعية جدول توجيه واحد مقترن بها أو أن تكون بدون جداول توجيه. للتعرف على الحد الأقصى لعدد المسارات التي يمكنك إضافتها إلى جدول التوجيه والحد الأقصى لعدد جداول UDR التي يمكنك إنشاؤها لكل اشتراك Azure، راجع حدود Azure.

بشكل افتراضي، يمكن أن يحتوي جدول التوجيه على ما يصل إلى 400 UDRs. باستخدام تكوين توجيه Azure Virtual Network Manager، يمكن توسيع هذا الرقم إلى 1000 UDRs لكل جدول توجيه. يدعم هذا الحد المتزايد إعدادات التوجيه الأكثر تقدما. مثال على ذلك هو توجيه نسبة استخدام الشبكة من مراكز البيانات المحلية من خلال جدار حماية لكل شبكة ظاهرية محورية في تخطيط الشبكة المحورية عندما يكون لديك عدد أكبر من الشبكات الظاهرية المحورية.

عند إنشاء جدول توجيه وإقرانه بشبكة فرعية، يتم دمج مسارات الجدول مع المسارات الافتراضية للشبكة الفرعية. إذا كانت هناك تعيينات توجيه متعارضة، تتجاوز UDRs المسارات الافتراضية.

يمكنك تحديد أنواع الوثب التالية عند إنشاء UDR:

  • Virtual appliance: الجهاز الظاهري أداة ظاهرية عادة ما تُشغل تطبيق شبكة مثل جدار الحماية. للتعرف على مختلف الأجهزة الظاهرية للشبكة التي تم تكوينها مسبقا والتي يمكنك نشرها في شبكة ظاهرية، راجع Azure Marketplace. عند إنشاء مسار بنوع قفزة الجهاز الظاهري، يمكنك أيضا تحديد عنوان IP للوثبة التالية. يمكن أن يكون عنوان IP:

    • عنوان IP خاص لواجهة شبكة متصلة بجهاز ظاهري. لأي واجهة شبكة متصلة بجهاز ظاهري يعيد توجيه نقل البيانات إلى عنوان آخر غير عنوانه، يجب أن يكون خيار Azure Enable IP forwarding ممكناً. يعطل الإعداد التحقق من المصدر والوجهة لواجهة شبكة اتصال بواسطة Azure. تعرّف على المزيد حول تمكين إعادة توجيه IP لواجهة الشبكة. تمكين إعادة توجيه IP هو إعداد Azure.

      قد تحتاج إلى تمكين إعادة توجيه IP داخل نظام تشغيل الجهاز الظاهري للجهاز لإعادة توجيه نسبة استخدام الشبكة بين عناوين IP الخاصة المعينة لواجهات شبكة Azure. إذا كان الجهاز بحاجة إلى توجيه نسبة استخدام الشبكة إلى عنوان IP عام، فيجب عليه إما وكيل حركة المرور أو إجراء ترجمة عنوان الشبكة (NAT) من عنوان IP الخاص بالمصدر إلى عنوان IP الخاص به. يقوم Azure بعد ذلك بإجراء NAT إلى عنوان IP عام قبل إرسال نسبة استخدام الشبكة إلى الإنترنت. لتحديد الإعدادات المطلوبة داخل الجهاز الظاهري، راجع الوثائق المتعلقة بنظام التشغيل أو تطبيق الشبكة. لفهم الاتصالات الصادرة في Azure، راجع فهم الاتصالات الصادرة.

      إشعار

      نشر جهاز ظاهري في شبكة فرعية مختلفة عن الموارد التي توجه عبر الجهاز الظاهري. يمكن أن يؤدي نشر الجهاز الظاهري إلى نفس الشبكة الفرعية ثم تطبيق جدول توجيه على الشبكة الفرعية التي توجه نسبة استخدام الشبكة عبر الجهاز الظاهري إلى حلقات توجيه حيث لا تغادر نسبة استخدام الشبكة الشبكة الفرعية أبدا.

      يجب أن يكون لعنوان IP الخاص للوثبة التالية اتصال مباشر دون الحاجة إلى التوجيه من خلال بوابة Azure ExpressRoute أو من خلال Azure Virtual WAN. يؤدي تعيين القفزة التالية إلى عنوان IP دون اتصال مباشر إلى تكوين UDR غير صالح.

    • عنوان IP الخاص لـ موازن التحميل الداخلي لـ Azure. غالبا ما يتم استخدام موازن التحميل كجزء من استراتيجية قابلية وصول عالية للأجهزة الظاهرية للشبكة.

    يمكنك تعريف مسار مع 0.0.0.0/0 كبادئة العنوان ونوع الوثب التالي للجهاز الظاهري. يسمح هذا التكوين للجهاز بفحص حركة المرور وتحديد ما إذا كان يجب إعادة توجيه حركة المرور أو إسقاطها. إذا كنت تنوي إنشاء UDR يحتوي على بادئة العنوان 0.0.0.0/0، فاقرأ بادئة العنوان 0.0.0.0/0 أولا.

  • بوابة الشبكة الظاهرية: تسمح لك المسارات المعرفة من قبل المستخدم بنوع الوثبة التالية Virtual Network Gateway بتوجيه نسبة استخدام الشبكة إلى بوابة الشبكة الظاهرية. تحتوي الشبكة الظاهرية على بوابة واحدة يتم تعيينها تلقائيا بواسطة النظام الأساسي للشبكات المعرفة بالبرامج الأساسية استنادا إلى التوزيع الخاص بك. يتم دعم المسارات المعرفة من قبل المستخدم مع بوابة الشبكة الظاهرية التالية فقط عندما تكون بوابة الشبكة الظاهرية عبارة VPN (وليس ExpressRoute أو RouteServer أو موجه مركز Virtual WAN).

    • بالنسبة للشبكات الظاهرية مع بوابة VPN وبوابة ExpressRoute و/أو ملقم التوجيه:

      • إذا تم نشر RouteServer في VNET، يتم تعيين RouteServer كبوابة الشبكة الظاهرية.
      • إذا تم نشر بوابة VPN وبوابة ExpressRoute في نفس VNET (بدون RouteServer)، يتم تعيين بوابة ExpressRoute كبوابة الشبكة الظاهرية.
      • إذا كانت بوابة VPN أو بوابة ExpressRoute هي البوابة الوحيدة في VNET (بدون RouteServer)، فإن البوابة المنشورة هي بوابة الشبكة الظاهرية.
    • بالنسبة للشبكات الظاهرية المقترنة بشبكة ظاهرية أخرى مع بوابات أو RouteServer ويتم تمكين إعداد "استخدام بوابة الشبكة الظاهرية البعيدة أو خادم التوجيه":

      • إذا تم نشر RouteServer في VNET النظير، يتم تعيين RouteServer البعيد كبوابة الشبكة الظاهرية.
      • إذا تم نشر بوابة VPN وبوابة ExpressRoute في شبكة ظاهرية نظيرة (بدون RouteServer)، يتم تعيين بوابة ExpressRoute البعيدة كبوابة الشبكة الظاهرية.
      • إذا كانت بوابة VPN أو بوابة ExpressRoute هي البوابة الوحيدة في الشبكة الظاهرية النظيرة (بدون RouteServer)، يتم تعيين البوابة البعيدة كبوابة الشبكة الظاهرية.
    • بالنسبة للشبكات الظاهرية المتصلة بمركز Virtual WAN:

      • يتم تعيين بوابة الشبكة الظاهرية دائما إلى موجه مركز Virtual WAN.

      قد يكون لديك جهاز في مكان عملك يفحص نقل البيانات ويحدد ما إذا كنت تريد إعادة توجيهه أو إفلاته. إذا كنت تنوي إنشاء UDR لبادئة العنوان 0.0.0.0/0، فاقرأ بادئة العنوان 0.0.0.0/0 أولا. بدلا من تكوين UDR لبادئة العنوان 0.0.0.0/0، يمكنك الإعلان عن مسار مع بادئة 0.0.0.0/0 عبر BGP إذا تم تمكين BGP لبوابة شبكة ظاهرية VPN.

  • بلا: حدد الوقت الذي تريد فيه إسقاط عملية نقل البيانات لبادئة عنوان، بدلاً من إعادة توجيه نقل البيانات لوجهة. قد يظهر Azure بلا لبعض مسارات النظام الاختيارية إذا لم يتم تكوين إمكانية. على سبيل المثال، إذا رأيت أن عنوان IP للوثبة التالية يعرض نوع الوثبة بلا والوثبة التالية يظهر بوابة الشبكة الظاهرية أو الجهاز الظاهري، فقد يكون ذلك بسبب عدم تشغيل الجهاز أو لم يتم تكوينه بالكامل. ينشئ Azure توجيهات افتراضية للنظام لبادئات العناوين المحجوزة بتعيين نوع الوثب التالي على None.

  • الشبكة الظاهرية: حدد خيار الشبكة الظاهرية عندما تريد تجاوز التوجيه الافتراضي داخل شبكة ظاهرية. للحصول على مثال حول سبب إنشاء مسار بنوع قفزة الشبكة الظاهرية، راجع مثال التوجيه.

  • الإنترنت: حدد خيار الإنترنت عندما تريد توجيه حركة المرور الموجهة بشكل صريح إلى بادئة عنوان إلى الإنترنت. أو استخدمه إذا كنت تريد نسبة استخدام الشبكة الموجهة لخدمات Azure مع عناوين IP العامة المحفوظة داخل شبكة Azure الأساسية.

لا يمكنك تحديد نظير الشبكة الظاهرية أو VirtualNetworkServiceEndpoint كنوع القفزة التالية في UDRs. ينشئ Azure مسارات مع تناظر الشبكة الظاهرية أو VirtualNetworkServiceEndpoint أنواع القفزات التالية فقط عند تكوين تناظر شبكة ظاهرية أو نقطة نهاية خدمة.

علامات الخدمة للمسارات المعرفة من قبل المستخدم

يمكنك الآن تحديد علامة خدمة كبادئة عنوان ل UDR بدلا من نطاق IP صريح. تمثل علامة الخدمة مجموعة من بادئات عناوين IP من خدمة Azure معينة. تُدير Microsoft بادئات العناوين التي تشملها علامة الخدمة، كما تُحدّث علامة الخدمة تلقائيًا مع تغيير العناوين. يقلل هذا الدعم من تعقيد التحديثات المتكررة لUDRs ويقلل من عدد المسارات التي تحتاج إلى إنشائها. يمكنك حاليا إنشاء 25 مسارا أو أقل باستخدام علامات الخدمة في كل جدول توجيه. في هذا الإصدار، يتوفر الدعم أيضاً لاستخدام علامات الخدمة في سيناريوهات التوجيه للحاويات.

تطابق تام

يعطي النظام تفضيلات للمسار مع البادئة الصريحة عند وجود تطابق تام للبادئة بين مسار ببادئة IP صريحة ومسار بعلامة خدمة. عندما تحتوي المسارات المتعددة ذات علامات الخدمة على بادئات IP مطابقة، يتم تقييم المسارات بالترتيب التالي:

  1. العلامات الإقليمية (على سبيل المثال، Storage.EastUS أو AppService.AustraliaCentral)

  2. علامات المستوى الأعلى (على سبيل المثال، Storage أو AppService)

  3. AzureCloud العلامات الإقليمية (على سبيل المثال، AzureCloud.canadacentral أو AzureCloud.eastasia)

  4. العلامة AzureCloud

لاستخدام هذه الميزة، حدد اسم علامة الخدمة لمعلمة بادئة العنوان في أوامر جدول التوجيه. على سبيل المثال، في PowerShell يمكنك إنشاء مسار جديد لتوجيه نسبة استخدام الشبكة المرسلة إلى بادئة AZURE Storage IP إلى جهاز ظاهري باستخدام هذا الأمر:

$param = @{
    Name = 'StorageRoute'
    AddressPrefix = 'Storage'
    NextHopType = 'VirtualAppliance'
    NextHopIpAddress = '10.0.100.4'
}
New-AzRouteConfig @param

نفس الأمر ل Azure CLI هو:

az network route-table route create \
    --resource-group MyResourceGroup \
    --route-table-name MyRouteTable \
    --name StorageRoute \
    --address-prefix Storage \
    --next-hop-type VirtualAppliance \
    --next-hop-ip-address 10.0.100.4

أنواع الوثب التالي عبر أدوات Azure

يختلف الاسم المعروض والمشار إليه إلى أنواع القفزات التالية بين مدخل Microsoft Azure وأدوات سطر الأوامر، و Resource Manager ونماذج النشر الكلاسيكية. يسرد الجدول التالي الأسماء المستخدمة للإشارة إلى كل نوع قفزة تالية مع الأدوات المختلفة ونماذج التوزيع.

نوع القفزة التالية Azure CLI وPowerShell (Resource Manager) Azure CLI الكلاسيكي وPowerShell (كلاسيكي)
بوابة الشبكة الظاهرية VirtualNetworkGateway VPNGateway
الشبكة الظاهرية VNetLocal VNETLocal (غير متوفر في CLI الكلاسيكي في وضع نموذج التوزيع الكلاسيكي)
الإنترنت الإنترنت الإنترنت (غير متوفر في CLI الكلاسيكي في وضع نموذج التوزيع الكلاسيكي)
جهاز ظاهري VirtualAppliance VirtualAppliance
بلا بلا Null (غير متوفر في CLI الكلاسيكي في وضع نموذج التوزيع الكلاسيكي)
تناظر الشبكة الظاهرية تناظر الشبكة الظاهرية غير قابل للتطبيق
نقطة نهاية خدمة الشبكة الظاهرية VirtualNetworkServiceEndpoint غير قابل للتطبيق

بروتوكول بوابة الحدود (BGP)

يمكن لبوابة الشبكة المحلية تبادل المسارات مع بوابة شبكة Azure الظاهرية باستخدام BGP. يعتمد استخدام BGP مع بوابة شبكة Azure الظاهرية على النوع الذي حددته عند إنشاء البوابة:

  • ExpressRoute: يجب عليك استخدام BGP للإعلان عن المسارات المحلية إلى موجه Microsoft edge. لا يمكنك إنشاء UDRs لفرض نسبة استخدام الشبكة إلى بوابة الشبكة الظاهرية ExpressRoute إذا قمت بنشر بوابة شبكة ظاهرية تم نشرها كنوع ExpressRoute. يمكنك استخدام UDRs لفرض حركة المرور من المسار السريع إلى جهاز ظاهري للشبكة على سبيل المثال.
  • VPN: اختياريا، يمكنك استخدام BGP. لمزيد من المعلومات، راجع BGP مع اتصالات VPN من موقع إلى موقع.

عند تبادل المسارات مع Azure باستخدام BGP، تتم إضافة مسار منفصل إلى جدول التوجيه لجميع الشبكات الفرعية في شبكة ظاهرية لكل بادئة معلن عنها. يُضاف التوجيه مع بوابة الشبكة الظاهرية المدرجة كمصدر ونوع الوثب التالي.

يمكنك تعطيل نشر مسار ExpressRoute وAzure VPN Gateway على شبكة فرعية باستخدام خاصية على جدول توجيه. عند تعطيل نشر المسار، لا يضيف النظام مسارات إلى جدول التوجيه لكافة الشبكات الفرعية مع تعطيل نشر مسار بوابة الشبكة الظاهرية. تنطبق هذه العملية على كل من المسارات الثابتة ومسارات BGP. يتم تحقيق الاتصال باتصالات VPN باستخدام مسارات مخصصة مع نوع قفزة تالية من بوابة الشبكة الظاهرية. لمزيد من المعلومات، راجع تعطيل نشر مسار بوابة الشبكة الظاهرية.

إشعار

لا يجب تعطيل نشر المسار على GatewaySubnet. لن تعمل البوابة إذا تم تعطيل هذا الإعداد.

كيفية تحديد Azure لمسار

عند إرسال نسبة استخدام الشبكة الصادرة من شبكة فرعية، يحدد Azure مسارا استنادا إلى عنوان IP الوجهة باستخدام أطول خوارزمية مطابقة بادئة. على سبيل المثال، يحتوي جدول التوجيه على مسارين. يحدد أحد المسارات بادئة العنوان 10.0.0.0/24، ويحدد المسار الآخر بادئة العنوان 10.0.0.0/16.

يوجه Azure نسبة استخدام الشبكة الموجهة إلى 10.0.0.5 إلى نوع الوثب التالي المحدد في المسار مع بادئة العنوان 10.0.0.0/24. تحدث هذه العملية لأن 10.0.0.0/24 هي بادئة أطول من 10.0.0.0/16، على الرغم من أن 10.0.0.5 يقع ضمن بادئات العنوان.

يوجه Azure نسبة استخدام الشبكة الموجهة إلى 10.0.1.5 إلى نوع القفزة التالي المحدد في المسار مع بادئة العنوان 10.0.0.0/16. تحدث هذه العملية لأن 10.0.1.5 غير مضمن في بادئة العنوان 10.0.0.0/24، مما يجعل المسار مع بادئة العنوان 10.0.0.0/16 أطول بادئة مطابقة.

إذا احتوت مسارات متعددة على نفس بادئة العنوان، يحدد Azure نوع المسار استنادا إلى الأولوية التالية:

  1. مسارات محددة من قِبل المستخدم

  2. توجيه BGP

  3. مسار النظام

إشعار

مسارات النظام لنسبة استخدام الشبكة المتعلقة بالشبكة الظاهرية أو نظيرات الشبكة الظاهرية أو نقاط نهاية خدمة الشبكة الظاهرية هي المسارات المفضلة. يفضل استخدامها، حتى لو كانت مسارات BGP أكثر تحديدا. لا يمكن تجاوز المسارات التي بها نقطة نهاية خدمة شبكة ظاهرية كنوع القفزة التالية، حتى عند استخدام جدول توجيه.

على سبيل المثال، يحتوي جدول التوجيه على المسارات التالية:

المصدر بادئات العناوين نوع القفزة التالية
الإعداد الافتراضي 0.0.0.0/0 الإنترنت
المستخدم 0.0.0.0/0 بوابة الشبكة الظاهرية

عندما يتم توجيه نسبة استخدام الشبكة إلى عنوان IP خارج بادئات العنوان لأي مسارات أخرى في جدول التوجيه، يحدد Azure المسار مع مصدر المستخدم . يجعل Azure هذا الخيار لأن UDRs هي أولوية أعلى من المسارات الافتراضية للنظام.

للحصول على جدول توجيه شامل مع شرح المسارات في الجدول، راجع مثال التوجيه.

0.0.0.0/0 بادئة العنوان

يعطي المسار الذي يحتوي على بادئة العنوان 0.0.0.0/0 إرشادات إلى Azure. يستخدم Azure هذه الإرشادات لتوجيه نسبة استخدام الشبكة الموجهة إلى عنوان IP الذي لا يقع ضمن بادئة العنوان لأي مسار آخر في جدول توجيه الشبكة الفرعية. عند إنشاء شبكة فرعية، ينشئ Azure توجيهاً افتراضياً إلى بادئة العنوان 0.0.0.0/0، بتعيين نوع الوثب التالي على Internet. إذا لم تتجاوز هذا المسار، فإن Azure يوجه جميع نسبة استخدام الشبكة الموجهة إلى عناوين IP غير المضمنة في بادئة العنوان لأي مسار آخر إلى الإنترنت.

الاستثناء هو أن نسبة استخدام الشبكة إلى عناوين IP العامة لخدمات Azure تظل على شبكة Azure الأساسية ولا يتم توجيهها إلى الإنترنت. عند تجاوز هذا المسار بمسار مخصص ، يتم توجيه حركة المرور الموجهة للعناوين غير الموجودة ضمن بادئات العناوين لأي مسار آخر في جدول التوجيه. تعتمد الوجهة على ما إذا كنت تحدد جهازا ظاهريا للشبكة أو بوابة شبكة ظاهرية في المسار المخصص.

عند تجاوز بادئة العنوان 0.0.0.0/0، تتدفق نسبة استخدام الشبكة الصادرة من الشبكة الفرعية عبر بوابة الشبكة الظاهرية أو الجهاز الظاهري. تحدث التغييرات التالية أيضا مع التوجيه الافتراضي ل Azure:

  • يرسل Azure نقل البيانات بالكامل إلى نوع الوثب التالي المحدد في التوجيه، بما في ذلك نقل البيانات الموجَّه لعناوين IP العامة لخدمات Azure.

    عندما يكون نوع الوثبة التالي للمسار مع بادئة العنوان 0.0.0.0/0 هو الإنترنت، فإن نسبة استخدام الشبكة من الشبكة الفرعية الموجهة إلى عناوين IP العامة لخدمات Azure لا تترك أبدا شبكة Azure الأساسية، بغض النظر عن منطقة Azure التي توجد فيها الشبكة الظاهرية أو مورد خدمة Azure.

    عند إنشاء مسار UDR أو BGP باستخدام بوابة شبكة ظاهرية أو نوع القفزة التالية للجهاز الظاهري، يتم إرسال جميع حركة المرور إلى نوع القفزة التالي المحدد في المسار. يتضمن ذلك نسبة استخدام الشبكة المرسلة إلى عناوين IP العامة لخدمات Azure التي لم تقم بتمكين نقاط نهاية الخدمة لها.

    عند تمكين نقطة نهاية خدمة لخدمة ما، يقوم Azure بإنشاء مسار مع بادئات العنوان للخدمة. لا يتم توجيه حركة المرور إلى الخدمة إلى نوع القفزة التالية في مسار ببادئة العنوان 0.0.0.0/0. بادئات العنوان للخدمة أطول من 0.0.0.0/0.

  • لم يعد بإمكانك الوصول مباشرة إلى الموارد في الشبكة الفرعية من الإنترنت. يمكنك الوصول إلى الموارد في الشبكة الفرعية من الإنترنت بشكل غير مباشر. يجب أن يعالج الجهاز المحدد بواسطة نوع الوثبة التالي لمسار ذي بادئة العنوان 0.0.0.0/0 نسبة استخدام الشبكة الواردة. بعد اجتياز حركة المرور للجهاز، تصل نسبة استخدام الشبكة إلى المورد في الشبكة الظاهرية. إذا كان المسار يحتوي على القيم التالية لنوع الوثب التالي:

    • Virtual appliance: يجب أن يكون الجهاز:

      • يمكن الوصول إليها من الإنترنت.
      • تعيين عنوان IP عام إليه.
      • لا توجد قاعدة مجموعة أمان شبكة مقترنة بها تمنع الاتصال بالجهاز.
      • لا ترفض الاتصال.
      • القدرة على ترجمة عنوان الشبكة وإعادة توجيهها، أو وكيل نسبة استخدام الشبكة إلى المورد الوجهة في الشبكة الفرعية وإرجاع نسبة استخدام الشبكة مرة أخرى إلى الإنترنت.
    • بوابة الشبكة الظاهرية: إذا كانت البوابة عبارة عن بوابة شبكة ظاهرية ExpressRoute، يمكن لجهاز متصل بالإنترنت في الموقع ترجمة عنوان الشبكة وإعادة توجيهها، أو وكيل حركة المرور إلى مورد الوجهة في الشبكة الفرعية، عبر نظير ExpressRoute الخاص.

إذا كانت شبكتك الظاهرية متصلة بمدخل Microsoft Azure VPN، فلا تربط جدول التوجيه بـ gateway subnet التي تتضمن مساراً بوجهة 0.0.0.0/0. قد يؤدي القيام بذلك إلى منع البوابة من العمل بشكلٍ سليم. لمزيد من المعلومات، راجع لماذا يتم فتح منافذ معينة على بوابة VPN الخاصة بي؟.

للحصول على تفاصيل التنفيذ عند استخدام بوابات الشبكة الظاهرية بين الإنترنت وAzure، راجع DMZ بين Azure ومركز البيانات المحلي.

مثال التوجيه

لتوضيح المفاهيم الواردة في هذه المقالة، تصف الأقسام التالية:

  • سيناريو، مع متطلبات.
  • المسارات المخصصة الضرورية لتلبية المتطلبات.
  • جدول التوجيه الموجود لشبكة فرعية واحدة تتضمن المسارات الافتراضية والمخصصة الضرورية لتلبية المتطلبات.

إشعار

لا يقصد بهذا المثال أن يكون تطبيقا موصى به أو أفضل الممارسات. يتم توفيره فقط لتوضيح المفاهيم في هذه المقالة.

المتطلبات

  1. تنفيذ شبكتين ظاهريتين في نفس منطقة Azure وتمكين الموارد للاتصال بين الشبكات الظاهرية.

  2. تمكين شبكة محلية للاتصال بأمان مع كلتا الشبكتين الظاهريتين من خلال نفق VPN عبر الإنترنت. بدلا من ذلك، يمكنك استخدام اتصال ExpressRoute، ولكن يستخدم هذا المثال اتصال VPN.

  3. لشبكة فرعية واحدة في شبكة ظاهرية واحدة:

    • توجيه جميع نسبة استخدام الشبكة الصادرة من الشبكة الفرعية من خلال جهاز ظاهري للشبكة للفحص والتسجيل. استبعاد نسبة استخدام الشبكة إلى Azure Storage وداخل الشبكة الفرعية من هذا التوجيه.
    • لا تفحص حركة المرور بين عناوين IP الخاصة داخل الشبكة الفرعية. السماح بتدفق نسبة استخدام الشبكة مباشرة بين جميع الموارد.
    • إفلات أي نسبة استخدام شبكة صادرة موجَّهة إلى شبكة ظاهرية أخرى.
    • تمكين حركة المرور الصادرة إلى Azure Storage للتدفق مباشرة إلى التخزين، دون فرضها من خلال جهاز ظاهري للشبكة.
  4. السماح لنقل البيانات بالكامل بين جميع الشبكات الفرعية والشبكات الظاهرية الأخرى.

تنفيذ

يوضح الرسم التخطيطي التالي تنفيذا من خلال نموذج توزيع Resource Manager الذي يلبي المتطلبات السابقة.

رسم تخطيطي يوضح تنفيذ الشبكة.

أسهم تُظهر تدفق نقل البيانات.

جداول التوجيه

فيما يلي جداول التوجيه لمثال التوجيه السابق.

الشبكة الفرعية1

يحتوي جدول التوجيه للشبكة الفرعية1 في الرسم التخطيطي السابق على المسارات التالية:

بطاقة تعريف المصدر المنطقة بادئات العناوين نوع القفزة التالية عنوان IP الوثب التالي اسم UDR
1 الإعداد الافتراضي غير صالح 10.0.0.0/16 الشبكة الظاهرية
2 المستخدم نشط 10.0.0.0/16 جهاز ظاهري 10.0.100.4 Within-VNet1
3 المستخدم نشط 10.0.0.0/24 الشبكة الظاهرية Within-Subnet1
4 الإعداد الافتراضي غير صالح 10.1.0.0/16 تناظر الشبكة الظاهرية
5 الإعداد الافتراضي غير صالح 10.2.0.0/16 تناظر الشبكة الظاهرية
6 المستخدم نشط 10.1.0.0/16 بلا ToVNet2-1-Drop
7 المستخدم نشط 10.2.0.0/16 بلا ToVNet2-2-Drop
8 الإعداد الافتراضي غير صالح 10.10.0.0/16 بوابة الشبكة الظاهرية [X.X.X.X]
9 المستخدم نشط 10.10.0.0/16 جهاز ظاهري 10.0.100.4 To-On-Prem
10 الإعداد الافتراضي نشط [X.X.X.X] VirtualNetworkServiceEndpoint
11 الإعداد الافتراضي غير صالح 0.0.0.0/0 الإنترنت
12 المستخدم نشط 0.0.0.0/0 جهاز ظاهري 10.0.100.4 Default-NVA

فيما يلي شرح لكل معرف مسار:

  • المعرف 1: أضاف Azure هذا المسار تلقائيا لجميع الشبكات الفرعية داخل Virtual-network-1 لأن 10.0.0.0/16 هو نطاق العنوان الوحيد المحدد في مساحة العنوان للشبكة الظاهرية. إذا لم تقم بإنشاء UDR في معرف المسار 2، يتم توجيه نسبة استخدام الشبكة المرسلة إلى أي عنوان بين 10.0.0.1 و10.0.255.254 داخل الشبكة الظاهرية. تحدث هذه العملية لأن البادئة أطول من 0.0.0.0/0 ولا تقع ضمن بادئات العنوان لأي مسارات أخرى.

    قام Azure بتغيير الحالة تلقائيا من نشط إلى غير صالح، عند إضافة ID2، UDR. لها نفس البادئة مثل المسار الافتراضي، وتتجاوز UDRs المسارات الافتراضية. لا تزال حالة هذا المسار نشطة للشبكة الفرعية 2 لأن جدول التوجيه الذي يوجد فيه UDR، ID2، غير مقترن بالشبكة الفرعية 2.

  • المعرف 2: أضاف Azure هذا المسار عندما تم إقران UDR لبادئة العنوان 10.0.0.0/16 بالشبكة الفرعية Subnet1 في الشبكة الظاهرية Virtual-network-1 . يحدد UDR 10.0.100.4 كعنوان IP للجهاز الظاهري لأن العنوان هو عنوان IP الخاص المعين للجهاز الظاهري. جدول التوجيه الذي يوجد فيه هذا المسار غير مقترن بالشبكة الفرعية 2، لذلك لا يظهر المسار في جدول التوجيه للشبكة الفرعية 2.

    يعمل هذا المسار على تجاوز المسار الافتراضي للبادئة 10.0.0.0/16 (ID1)، التي تؤدي إلى التوجيه التلقائي لنقل البيانات الموجَّه إلى 10.0.0.1 و10.0.255.254 داخل الشبكة الظاهرية من خلال نوع الوثب التالي للشبكة الظاهرية. هذا المسار موجود لتلبية المتطلب 3، وهو فرض جميع حركة المرور الصادرة من خلال جهاز ظاهري.

  • المعرف 3: أضاف Azure هذا المسار عندما تم إقران UDR لبادئة العنوان 10.0.0.0/24 بالشبكة الفرعية Subnet1 . تظل نسبة استخدام الشبكة الموجهة للعناوين بين 10.0.0.1 و10.0.0.254 داخل الشبكة الفرعية. لا يتم توجيه نسبة استخدام الشبكة إلى الجهاز الظاهري المحدد في القاعدة السابقة (ID2) لأنه يحتوي على بادئة أطول من مسار ID2.

    لم يكن هذا المسار مرتبطاً بـ Subnet2، لذلك لا يظهر المسار في جدول التوجيه لـ Subnet2. يتجاوز هذا المسار بفعالية توجيه ID2 لنقل البيانات داخل Subnet1. يوجد هذا المسار لتلبية المطلب 3.

  • المعرف 4: أضاف Azure التوجيهات تلقائيا في المعرفين 4 و5 لجميع الشبكات الفرعية داخل Virtual-network-1 عندما تم إقران الشبكة الظاهرية مع Virtual-network-2.يحتوي Virtual-network-2 على نطاقين للعناوين في مساحة العنوان الخاصة به، 10.1.0.0/16 و10.2.0.0/16، لذا أضاف Azure مسارا لكل نطاق. إذا لم تقم بإنشاء UDRs في معرفي المسار 6 و7، يتم توجيه حركة المرور المرسلة إلى أي عنوان بين 10.1.0.1-10.1.255.254 و10.2.0.1-10.2.255.254 إلى الشبكة الظاهرية النظيرة. تحدث هذه العملية لأن البادئة أطول من 0.0.0.0/0 ولا تقع ضمن بادئات العنوان لأي مسارات أخرى.

    عند إضافة المسارات في المعرفين 6 و7، قام Azure تلقائيا بتغيير الحالة من نشط إلى غير صالح. تحدث هذه العملية لأن لها نفس البادئات مثل المسارات في المعرفين 4 و5، وتتجاوز UDRs المسارات الافتراضية. لا تزال حالة المسارات في المعرفين 4 و5 نشطة للشبكة الفرعية 2 لأن جدول التوجيه الذي لا يتم فيه إقران UDRs في المعرفين 6 و7 بالشبكة الفرعية 2. تم إنشاء نظير شبكة ظاهرية لتلبية المطلب 1.

  • ID5: نفس الشرح مثل ID4.

  • ID6: أضاف Azure هذا المسار والمسار في ID7 عندما تم إقران بادئات عناوين UDRs ل 10.1.0.0/16 و10.2.0.0/16 بالشبكة الفرعية Subnet1 . يسقط Azure نسبة استخدام الشبكة الموجهة للعناوين بين 10.1.0.1-10.1.255.254 و10.2.0.1-10.2.255.254، بدلا من توجيهها إلى الشبكة الظاهرية النظيرة، لأن UDRs تتجاوز المسارات الافتراضية. المسارات غير مرتبطة بـ Subnet2، لذلك لا تظهر المسارات في جدول التوجيه لـ Subnet2. تتجاوز التوجيهات مسارات ID4 وID5 لنقل البيانات التي تغادر Subnet1. توجد مسارات ID6 وID7 لتلبية المطلب 3 لإفلات نقل البيانات الموجَّه إلى الشبكة الظاهرية الأخرى.

  • ID7: نفس الشرح مثل ID6.

  • ID8: أضاف Azure هذا المسار تلقائياً لجميع الشبكات الفرعية ضمن Virtual-network-1 عندما تم إنشاء بوابة شبكة ظاهرية من نوع VPN داخل الشبكة الظاهرية. أضاف Azure عنوان IP العام لبوابة الشبكة الظاهرية إلى جدول التوجيه. يتم توجيه نقل البيانات المرسَل إلى أي عنوان بين 10.10.0.1 و10.10.255.254 إلى بوابة الشبكة الظاهرية. البادئة أطول من 0.0.0.0/0 وليست ضمن بادئات العناوين لأي من التوجيهات الأخرى. تم إنشاء بوابة شبكة ظاهرية لتلبية المطلب 2.

  • المعرف9: أضاف Azure هذا المسار عند إضافة UDR لبادئة العنوان 10.10.0.0/16 إلى جدول التوجيه المقترن بالشبكة الفرعية 1. يتجاوز هذا المسار ID8. يرسل المسار جميع حركة المرور الموجهة للشبكة المحلية إلى جهاز ظاهري للشبكة للفحص، بدلا من توجيه نسبة استخدام الشبكة مباشرة محليا. تم إنشاء هذا المسار لتلبية المطلب 3.

  • ID10: أضاف Azure هذا التوجيه تلقائياً إلى الشبكة الفرعية عندما تم تمكين نقطة نهاية الخدمة لخدمة Azure للشبكة الفرعية. يوجِّه Azure نقل البيانات من الشبكة الفرعية إلى عنوان IP عام للخدمة، عبر شبكة البنية الأساسية لـ Azure. البادئة أطول من 0.0.0.0/0 وليست ضمن بادئات العناوين لأي من التوجيهات الأخرى. تم إنشاء نقطة نهاية خدمة لتلبية المتطلبات 3 لتمكين حركة المرور الموجهة إلى Azure Storage من التدفق مباشرة إلى Azure Storage.

  • ID11: أضاف Azure هذا التوجيه تلقائياً إلى جدول التوجيه لجميع الشبكات الفرعية داخل Virtual-network-1 و Virtual-network-2. 0.0.0.0/ 0 بادئة العنوان هي أقصر بادئة. يتم توجيه أي نسبة استخدام شبكة مرسلة إلى عناوين ضمن بادئة عنوان طويلة استناداً إلى التوجيهات الأخرى.

    بشكل افتراضي، يوجه Azure جميع نسبة استخدام الشبكة الموجهة لعناوين أخرى غير العناوين المحددة في أحد المسارات الأخرى إلى الإنترنت. قام Azure بتغيير الحالة تلقائيا من نشط إلى غير صالح للشبكة الفرعية Subnet1 عندما تم إقران UDR لبادئة العنوان 0.0.0.0/0 (ID12) بالشبكة الفرعية. لا تزال حالة هذا المسار نشطة لجميع الشبكات الفرعية الأخرى داخل كلتا الشبكتين الظاهريتين لأن المسار غير مقترن بأي شبكات فرعية أخرى داخل أي شبكات ظاهرية أخرى.

  • ID12: أضاف Azure هذا المسار عندما تم إقران UDR لبادئة العنوان 0.0.0.0/0 بالشبكة الفرعية Subnet1 . يحدد UDR 10.0.100.4 كعنوان IP للجهاز الظاهري. هذا المسار غير مرتبط بـ Subnet2، لذلك لا يظهر المسار في جدول التوجيه لـ Subnet2. يُرسل نقل البيانات لأي عنوان غير مدرج في بادئات العناوين لأي من التوجيهات الأخرى بالكامل إلى الجهاز الظاهري.

    غيرت إضافة هذا المسار حالة المسار الافتراضي لبادئة العنوان 0.0.0.0/0 (ID11) من نشط إلى غير صالح للشبكة الفرعية1 لأن UDR يتجاوز مسارا افتراضيا. يوجد هذا المسار لتلبية المطلب 3.

الشبكة الفرعية2

يحتوي جدول التوجيه للشبكة الفرعية 2 في الرسم التخطيطي السابق على المسارات التالية:

المصدر المنطقة بادئات العناوين نوع القفزة التالية عنوان IP الوثب التالي
الإعداد الافتراضي نشط 10.0.0.0/16 الشبكة الظاهرية
الإعداد الافتراضي نشط 10.1.0.0/16 تناظر الشبكة الظاهرية
الإعداد الافتراضي نشط 10.2.0.0/16 تناظر الشبكة الظاهرية
الإعداد الافتراضي نشط 10.10.0.0/16 بوابة الشبكة الظاهرية [X.X.X.X]
الإعداد الافتراضي نشط 0.0.0.0/0 الإنترنت
الإعداد الافتراضي نشط 10.0.0.0/8 بلا
الإعداد الافتراضي نشط 100.64.0.0/10 بلا
الإعداد الافتراضي نشط 192.168.0.0/16 بلا

يحتوي جدول التوجيه للشبكة الفرعية 2 على جميع المسارات الافتراضية التي تم إنشاؤها بواسطة Azure وتناظر الشبكة الظاهرية الاختيارية والمسارات الاختيارية لبوابة الشبكة الظاهرية. أضاف Azure المسارات الاختيارية إلى كل الشبكات الفرعية في الشبكة الظاهرية عند إضافة البوابة والنظير إلى الشبكة الظاهرية.

أزال Azure المسارات لبادئات العنوان 10.0.0.0/8 و192.168.0.0/16 و100.64.0.0/10 من جدول توجيه الشبكة الفرعية 1 عند إضافة UDR لبادئة العنوان 0.0.0.0/0 إلى الشبكة الفرعية1.