استكشاف شبكات Azure الظاهرية

  • 10 دقائق

تعتبر شبكات Azure الظاهرية هي كتلة الإنشاء الأساسية لشبكة الاتصال خاصتك في Azure. تمكنك الشبكات الظاهرية من إنشاء شبكات اتصال ظاهرية معقدة مشابهة لشبكة داخلية، مع فوائد إضافية للبنية التحتية Azure مثل الحجم والتوافر والعزلة.

كل شبكة ظاهرية تقوم بإنشائها لها كتلة CIDR الخاصة بها ويمكن ربطها بشبكات ظاهرية أخرى وشبكات محلية طالما أن كتل CIDR لا تتداخل. يمكنك أيضاً التحكم في إعدادات ملقم DNS لـ VNets و تجزئة VNet إلى شبكات فرعية.

قدرات شبكات Azure الظاهرية

تمكن موارد شبكات Azure الظاهرية في Azure من الاتصال ببعضها وبالإنترنت وبالشبكات الداخلية على نحوٍ آمن.

  • الاتصال بالإنترنت. يمكن لجميع الموارد في الشبكة الظاهرية الاتصال خارجياً بالإنترنت، افتراضياً. يمكنك الاتصال داخلياً بمورد عن طريق تعيين عنوان IP عام أو موازن تحميل عام. يمكنك أيضاً استخدام IP العام أو موازن التحميل العام لإدارة الاتصالات الخارجية.
  • الاتصال بين موارد Azure. هناك ثلاث آليات رئيسية يمكن من خلالها لمورد Azure الاتصال: الشبكات الظاهرية ونقاط نهاية خدمة الشبكة الظاهرية والشبكة الظاهرية النظيرة. يمكن للشبكات الظاهرية الاتصال ليس فقط بالأجهزة الظاهرية، ولكن موارد Azure الأخرى، مثل بيئة خدمة التطبيقات وخدمة Azure Kubernetes ومجموعات مقياس الجهاز الظاهري Azure. يمكن أن تقوم باستخدام نقاط نهاية الخدمة للتواصل مع أنواع موارد Azure أخرى، مثل قواعد بيانات Azure SQL وحسابات التخزين. عند إنشاء VNet، يمكن لخدماتك وأجهزة VMs داخل VNet الاتصال مباشرة وبأمان مع بعضها البعض في السحابة.
  • الاتصال بين الموارد المحلية. توسيع مركز البيانات بشكل آمن. يمكنك توصيل أجهزة الكمبيوتر والشبكات المحلية بشبكة ظاهرية باستخدام أي من الخيارات التالية: شبكة خاصة ظاهرية من نقطة إلى موقع،(VPN) وVPN من موقع إلى موقع وAzure ExpressRoute.
  • تصفية نقل بيانات الشبكة. يمكنك تصفية نقل بيانات الشبكة من بين الشبكات الفرعية باستخدام أي مجموعة من مجموعات أمان الشبكة والأجهزة الظاهرية للشبكة مثل جدران الحماية والبوابات والوكلاء وخدمات ترجمة عناوين الشبكة (NAT).
  • توجيه نقل بيانات الشبكة. وبشكل افتراضي، توجه Azure نقل بيانات الشبكة بين الشبكات الفرعية والشبكات الظاهرية المتصلة والشبكات المحلية و الإنترنت. يمكنك تنفيذ جداول التوجيه أو توجيهات بروتوكول البوابة الحدودية (BGP) لتجاوز التوجيهات الافتراضية التي تنشئها Azure.

اعتبارات التصميم لشبكات Azure الظاهرية

مساحة العنوان والشبكات الفرعية

يمكنك إنشاء شبكات ظاهرية متعددة لكل منطقة ولكل اشتراك. يمكنك إنشاء شبكات فرعية متعددة داخل كل شبكة ظاهرية.

الشبكات الظاهرية

عند إنشاء شبكة ظاهرية، يوصى باستخدام نطاقات العناوين التي تم تعدادها في RFC 1918، والتي تم تخصيصها بواسطة IETF لمسافات العناوين الخاصة غير القابلة للتوجيه:

  • 10.0.0.0 - 10.255.255.255 (10/8 بادئة)
  • 172.16.0.0 - 172.31.255.255 (172.16/12 بادئة)
  • 192.168.0.0 - 192.168.255.255 (192.168/16 بادئة)

بالإضافة إلى ذلك، لا يمكنك إضافة نطاقات العناوين التالية:

  • 224.0.0.0/4 (البث المتعدد)
  • 255.255.255.255/32 (بث)
  • 127.0.0.0/8 (الاسترجاع)
  • 169.254.0.0/16 (رابط محلي)
  • 168.63.129.16/32 (DNS داخلي)

يُعين Azure الموارد في شبكة اتصال ظاهرية لعنوان IP خاص من مساحة العنوان التي تقوم بتوفيرها. على سبيل المثال، إذا وزعت جهازاً ظاهرياً في شبكة ظاهرية بمساحة عنوان الشبكة الفرعية 192.168.1.0/24، فسيتم تعيين عنوان IP خاص للجهاز الظاهري مثل 192.168.1.4. يحتفظ Azure بأول أربعة عناوين IP وآخرها لإجمالي 5 عناوين IP داخل كل شبكة فرعية. وهم x.x.x.0-x.x.x.3 والعنوان الأخير من الشبكة الفرعية.

على سبيل المثال، يحتوي نطاق عناوين IP 192.168.1.0/24 على العناوين المحجوزة التالية:

  • 192.168.1.0 : عنوان الشبكة
  • 192.168.1.1 : محجوز من قبل Azure للبوابة الافتراضية
  • 192.168.1.2، و192.168.1.3 : محجوزة من قبل Azure لتعيين عناوين DNS IPs التابعة لـ Azure إلى مساحة «الشبكة الظاهرية»
  • 192.168.1.255 : عنوان بث الشبكة.

عند التخطيط لتنفيذ الشبكات الظاهرية، تحتاج إلى مراعاة ما يلي:

  • تأكد من عدم تداخل مسافات العناوين. تأكد من عدم تداخل مساحة عنوان VNet (كتلة CIDR) مع نطاقات الشبكة الأخرى لمؤسستك.
  • هل هناك حاجة إلى أي عزل أمني؟
  • هل تحتاج إلى التخفيف من أي قيود مفروضة على عنونة IP؟
  • هل ستكون هناك اتصالات بين شبكات Azure الظاهرية والشبكات المحلية؟
  • هل هناك أي عزل مطلوب للأغراض الإدارية؟
  • هل تستخدم أي خدمات Azure التي تنشئ الشبكات الظاهرية الخاصة بها؟

الشبكات الفرعية

تعتبر الشبكة الفرعية بمثابة مجموعة من عناوين IP في الشبكة الظاهرية. يمكنك تقسيم الشبكات الظاهرية إلى شبكات فرعية مختلفة الحجم، وإنشاء العديد من الشبكات الفرعية حسب احتياجك للمؤسسة والأمان ضمن حد الاشتراك. يمكنك بعد ذلك نشر موارد Azure في شبكة فرعية معينة. كما هو الحال في الشبكة التقليدية، تتيح لك الشبكات الفرعية تقسيم مساحة عنوان الشبكة الظاهرية إلى أجزاء مناسبة للشبكة الداخلية للمؤسسة. وهذا يُحسن أيضاً كفاءة تخصيص العنوان. تعتبر أصغر شبكة فرعية لـ IPv4 معتمدة هي /29، وأكبرها هي /2 (باستخدام تعريفات الشبكة الفرعية CIDR). يجب أن يكون حجم الشبكات الفرعية IPv6 بالضبط /64. عند التخطيط لتنفيذ الشبكات الفرعية، تحتاج إلى مراعاة ما يلي:

  • ولا بد أن يكون لكل شبكة فرعية نطاق عناوين مميز من نوعه، وهو ما يتم تحديده في تنسيق التوجيه بين النطاقات غير الفئوية (CIDR).
  • تتطلب بعض خدمات Azure شبكة فرعية خاصة بها.
  • يمكن استخدام الشبكات الفرعية لإدارة نقل البيانات. على سبيل المثال، يمكنك إنشاء شبكات فرعية لتوجيه نقل البيانات عبر جهاز ظاهري لشبكة اتصال.
  • يمكنك تقييد الوصول إلى موارد Azure ليكون لشبكات فرعية معينة مع نقطة نهاية خدمة شبكة اتصال ظاهرية. يمكنك إنشاء شبكات فرعية متعددة وتمكين نقطة نهاية خدمة لبعض الشبكات الفرعية، ولكن ليس لشبكات أخرى.

تحديد اصطلاح تسمية

كجزء من تصميم شبكة Azure، من المهم التخطيط لاصطلاح التسمية لمواردك. يجمع اصطلاح التسمية الفعال أسماء الموارد من المعلومات الهامة حول كل مورد. يساعدك الاسم المختار جيداً على التعرف بسرعة على نوع المورد وحمل العمل المقترن به وبيئة التوزيع الخاصة به ومنطقة Azure التي تستضيفه. على سبيل المثال، قد يكون مورد IP العام لحمل عمل إنتاج SharePoint للمقيمين في منطقة غرب الولايات المتحدة pip-sharepoint-prod-westus-001

Azure resource naming example.

تحتوي كافة أنواع موارد Azure على نطاق يحدد المستوى الذي يجب أن تكون فيه أسماء الموارد مميزة. يجب أن يكون للمورد اسم فريد في نطاقه. هناك أربعة مستويات يمكنك من خلالها تحديد النطاق: مجموعة الإدارة، والاشتراك، ومجموعة المورد،والمورد. تعتبر النطاقات هرمية، مع كل مستوى من مستويات التسلسل الهرمي مما يجعل النطاق أكثر تحديداً.

على سبيل المثال، شبكة ظاهرية لديها نطاق مجموعة موارد، مما يعني أنه يمكن أن تكون هناك شبكة واحدة فقط تسمى vnet-prod-westus-001 في كل مجموعة موارد. ويمكن أن يكون لمجموعات الموارد الأخرى شبكة ظاهرية خاصة بها تسمى vnet-prod-westus-001. يتم توسيع الشبكات الفرعية إلى شبكات ظاهرية، لذلك يجب أن يكون لكل شبكة فرعية داخل شبكة ظاهرية اسم مميز.

فهم المناطق والاشتراكات

يتم إنشاء جميع موارد Azure في منطقة Azure والاشتراك. يمكن إنشاء مورد فقط في شبكة اتصال ظاهرية موجودة في نفس المنطقة والاشتراك كمورد. ومع ذلك، يمكنك الاتصال بالشبكات الظاهرية الموجودة في الاشتراكات والمناطق المختلفة. تعتبر مناطق Azure مهمة للنظر أثناء تصميم شبكة Azure الخاصة بك فيما يتعلق بالبنية الأساسية والبيانات والتطبيقات والمستخدمين النهائيين.

يمكنك نشر أكبر عدد من الشبكات الافتراضية التي تحتاج إليها داخل كل اشتراك، حتى تصل إلى حد الاشتراك. تتمتع بعض المؤسسات الكبيرة ذات عمليات التوزيع العمومية بوجود شبكات ظاهرية متعددة متصلة بين المناطق، على سبيل المثال.

Screen capture of a World map showing Azure global network.

مناطق التوفر لـ Azure

تمكنك Azure Availability Zone من تحديد مواقع فعلية فريدة داخل منطقة ما. تتكون كل منطقة من مركز بيانات واحد أو أكثر مزود بمصدر طاقة وتبريد وشبكات مستقلة. تم تصميم الفصل الفعلي لـ Availability Zones ضمن منطقة لضمان توفر خدمات Azure بشكل كبير، ولحماية التطبيقات والبيانات من حالات فشل مراكز البيانات.

Azure region showing three availability zones.

يجب مراعاة مناطق التوفر عند تصميم شبكة Azure، والتخطيط للخدمات التي تدعم مناطق التوفر.

تندرج خدمات Azure التي تدعم مناطق التوفّر ضمن ثلاث فئات:

  • خدمات المناطق: يمكن تثبيت الموارد في منطقة معينة. على سبيل المثال، يمكن تثبيت الأجهزة الظاهرية أو الأقراص المدارة أو عناوين IP القياسية في منطقة معينة، مما يسمح بزيادة المرونة من خلال وجود مثيل واحد أو أكثر من الموارد المنتشرة عبر المناطق.
  • الخدمات المكررة للمنطقة: يتم نسخ الموارد نسخاً متماثلاً أو توزيعها عبر المناطق تلقائياً. يقوم Azure بنسخ البيانات عبر ثلاث مناطق بحيث لا يؤثر فشل المنطقة على توفرها.
  • الخدمات غير الإقليمية: تتوفر هذه الخدمات دائماً من مناطق Azure الجغرافية وهي قادرة على الصمود في وجه الانقطاعات على مستوى المنطقة وكذلك الانقطاعات على مستوى الإقليم.