التشغيل السريع: إنشاء نقطة نهاية خاصة باستخدام Azure CLI
ابدأ مع Azure Private Link باستخدام نقطة نهاية خاصة للاتصال بأمان بتطبيق Azure على الويب.
في هذا التشغيل السريع، أنشئ نقطة نهاية خاصة لتطبيق ويب Azure App Services ثم أنشئ جهازا ظاهريا (VM) وانشره لاختبار الاتصال الخاص.
يمكنك إنشاء نقاط نهاية خاصة لخدمات Azure المختلفة، مثل Azure SQL وAzure Storage.
المتطلبات الأساسية
حساب Azure مع اشتراك نشط. إذا لم يكن لديك حساب Azure بالفعل، فأنشئ حسابًا مجانًا.
تطبيق ويب Azure مع خطة خدمة تطبيق PremiumV2-tier أو أعلى، تم توزيعه في اشتراك Azure الخاص بك.
لمزيد من المعلومات والتوضيح، يرجى مراجعة التشغيل السريع: إنشاء تطبيق ويب ASP.NET Core في Azure.
يسمى مثال webapp في هذه المقالة webapp-1. استبدل المثال باسم تطبيق الويب الخاص بك.
استخدم بيئة Bash في Azure Cloud Shell. لمزيد من المعلومات، راجع التشغيل السريع ل Bash في Azure Cloud Shell.
إذا كنت تفضل تشغيل أوامر مرجع CLI محلياً قم بتثبيت CLI Azure. إذا كنت تعمل على نظام تشغيل Windows أو macOS، ففكر في تشغيل Azure CLI في حاوية Docker. لمزيد من المعلومات، راجع كيفية تشغيل Azure CLI في حاوية Docker.
إذا كنت تستخدم تثبيت محلي، يُرجى تسجيل الدخول إلى Azure CLI مستخدمًا أمر az login. لإنهاء عملية المصادقة، اتبع الخطوات المعروضة في جهازك. للحصول على خيارات أخرى لتسجيل دخول، راجع تسجيل الدخول باستخدام Azure CLI.
عندما يُطلب منك، قم بتثبيت ملحق Azure CLI عند الاستخدام لأول مرة. لمزيد من المعلومات بشأن الامتدادات، راجع استخدام امتدادات مع Azure CLI.
يُرجى تشغيل إصدار az للوصول إلى الإصدار والمكتبات التابعة التي تم تثبيتها. للتحديث لآخر إصدار، يُرجى تشغيل تحديث az.
إنشاء مجموعة موارد
مجموعة موارد Azure عبارة عن حاوية منطقية يتم فيها توزيع موارد Azure وإدارتها.
أولاً، قم بإنشاء مجموعة موارد باستخدام az group create:
az group create \
--name test-rg \
--location eastus2
إنشاء شبكة افتراضية ومضيف موقع معقل
مطلوب شبكة ظاهرية وشبكة فرعية لاستضافة عنوان IP الخاص لنقطة النهاية الخاصة. يمكنك إنشاء مضيف bastion للاتصال بأمان بالجهاز الظاهري لاختبار نقطة النهاية الخاصة. يمكنك إنشاء الجهاز الظاهري في قسم لاحق.
إشعار
يبدأ التسعير بالساعة من اللحظة التي يتم فيها نشر Bastion، بغض النظر عن استخدام البيانات الصادرة. لمزيد من المعلومات، راجع التسعير ووحدات SKU. إذا كنت تقوم بنشر Bastion كجزء من برنامج تعليمي أو اختبار، نوصي بحذف هذا المورد بعد الانتهاء من استخدامه.
قم بإنشاء شبكة ظاهرية باستخدام az network vnet create.
az network vnet create \
--resource-group test-rg \
--location eastus2 \
--name vnet-1 \
--address-prefixes 10.0.0.0/16 \
--subnet-name subnet-1 \
--subnet-prefixes 10.0.0.0/24
أنشئ شبكة فرعية أساسية باستخدام az network vnet subnet create.
az network vnet subnet create \
--resource-group test-rg \
--name AzureBastionSubnet \
--vnet-name vnet-1 \
--address-prefixes 10.0.1.0/26
قم بإنشاء عنوان IP عام لمضيف الأساس باستخدام az network public-ip create.
az network public-ip create \
--resource-group test-rg \
--name public-ip \
--sku Standard \
--zone 1 2 3
قم بإنشاء مضيف الأساس باستخدام az network bastion create.
az network bastion create \
--resource-group test-rg \
--name bastion \
--public-ip-address public-ip \
--vnet-name vnet-1 \
--location eastus2
قد يستغرق الأمر بضع دقائق حتى يتم نشر مضيف Azure Bastion.
قم بإنشاء نقطة نهاية خاصة
مطلوب خدمة Azure التي تدعم نقاط النهاية الخاصة لإعداد نقطة النهاية الخاصة والاتصال بالشبكة الظاهرية. للحصول على الأمثلة الواردة في هذه المقالة، استخدم Azure WebApp من المتطلبات الأساسية. لمزيد من المعلومات حول خدمات Azure التي تدعم نقطة نهاية خاصة، راجع توفر Azure Private Link.
يمكن أن يكون لنقطة النهاية الخاصة عنوان IP ثابت أو معين ديناميكيا.
هام
يجب أن يكون لديك تطبيق ويب لخدمات تطبيقات Azure تم نشره مسبقا لمتابعة الخطوات الواردة في هذه المقالة. لمزيد من المعلومات، راجع «المتطلبات الأساسية».
ضع معرف مورد تطبيق الويب الذي أنشأته مسبقاً في متغير shell باستخدام az webapp list. أنشئ نقطة نهاية خاصة باستخدام az network private-endpoint create.
id=$(az webapp list \
--resource-group test-rg \
--query '[].[id]' \
--output tsv)
az network private-endpoint create \
--connection-name connection-1 \
--name private-endpoint \
--private-connection-resource-id $id \
--resource-group test-rg \
--subnet subnet-1 \
--group-id sites \
--vnet-name vnet-1
قم بتكوين منطقة خادم أسماء المجالات الخاصة
يتم استخدام منطقة DNS خاصة لحل اسم DNS لنقطة النهاية الخاصة في الشبكة الظاهرية. في هذا المثال، نستخدم معلومات DNS لتطبيق Azure WebApp، لمزيد من المعلومات حول تكوين DNS لنقاط النهاية الخاصة، راجع تكوين Azure Private Endpoint DNS].
أنشئ منطقة Azure DNS خاصة جديدة باستخدام az network private-dns zone create.
az network private-dns zone create \
--resource-group test-rg \
--name "privatelink.azurewebsites.net"
اربط منطقة DNS بالشبكة الظاهرية التي أنشأتها مسبقاً باستخدام az network private-dns link vnet create.
az network private-dns link vnet create \
--resource-group test-rg \
--zone-name "privatelink.azurewebsites.net" \
--name dns-link \
--virtual-network vnet-1 \
--registration-enabled false
قم بإنشاء مجموعة منطقة DNS باستخدام az network private-endpoint dns-zone-group create.
az network private-endpoint dns-zone-group create \
--resource-group test-rg \
--endpoint-name private-endpoint \
--name zone-group \
--private-dns-zone "privatelink.azurewebsites.net" \
--zone-name webapp
إنشاء جهاز ظاهري للاختبار
للتحقق من عنوان IP الثابت ووظيفة نقطة النهاية الخاصة، يلزم وجود جهاز ظاهري تجريبي متصل بشبكتك الظاهرية.
قم بإنشاء جهاز ظاهري باستخدام az vm create.
az vm create \
--resource-group test-rg \
--name vm-1 \
--image Win2022Datacenter \
--public-ip-address "" \
--vnet-name vnet-1 \
--subnet subnet-1 \
--admin-username azureuser
إشعار
لا تحتاج الأجهزة الظاهرية في شبكة ظاهرية مع مضيف معقل إلى عناوين IP عامة. يوفر Bastion عنوان IP العام، وتستخدم الأجهزة الظاهرية عناوين IP الخاصة للاتصال داخل الشبكة. يمكنك إزالة عناوين IP العامة من أي أجهزة ظاهرية في الشبكات الظاهرية المستضافة الأساسية. لمزيد من المعلومات، راجع فصل عنوان IP عام من جهاز Azure الظاهري.
إشعار
يوفر Azure عنوان IP افتراضيا للوصول الصادر للأجهزة الظاهرية التي لم يتم تعيين عنوان IP عام لها أو الموجودة في تجمع الواجهة الخلفية لموازن تحميل Azure الأساسي الداخلي. توفر آلية IP للوصول الصادر الافتراضي عنوان IP صادر غير قابل للتكوين.
يتم تعطيل عنوان IP الافتراضي للوصول الصادر عند حدوث أحد الأحداث التالية:
- يتم تعيين عنوان IP عام إلى الجهاز الظاهري.
- يتم وضع الجهاز الظاهري في تجمع الواجهة الخلفية لموازن التحميل القياسي، مع قواعد صادرة أو بدونها.
- يتم تعيين مورد Azure NAT Gateway إلى الشبكة الفرعية للجهاز الظاهري.
لا تتمتع الأجهزة الظاهرية التي تقوم بإنشائها باستخدام مجموعات مقياس الجهاز الظاهري في وضع التنسيق المرن بالوصول الصادر الافتراضي.
لمزيد من المعلومات حول الاتصالات الصادرة في Azure، راجع الوصول الصادر الافتراضي في Azure واستخدام ترجمة عنوان الشبكة المصدر (SNAT) للاتصالات الصادرة.
اختبر الاتصال بنقطة النهاية الخاصة
استخدم الجهاز الظاهري الذي قمت بإنشائه سابقا للاتصال بتطبيق الويب عبر نقطة النهاية الخاصة.
في مربع البحث الموجود أعلى المدخل، أدخل Virtual machine. حدد "Virtual machines".
حدد vm-1.
في صفحة النظرة العامة ل vm-1، حدد Connect، ثم حدد علامة التبويب Bastion .
حدد "Use Bastion".
أدخل اسم المستخدم وكلمة المرور اللذين استخدمتهما عند إنشاء الجهاز الظاهري.
حدد اتصال.
بعد الاتصال، افتح PowerShell على الخادم.
أدخل
nslookup webapp-1.azurewebsites.net. تتلقى رسالة مشابهة للمثال التالي:Server: UnKnown Address: 168.63.129.16 Non-authoritative answer: Name: webapp-1.privatelink.azurewebsites.net Address: 10.0.0.10 Aliases: webapp-1.azurewebsites.netيتم إرجاع عنوان IP خاص 10.0.0.10 لاسم تطبيق الويب إذا اخترت عنوان IP ثابت في الخطوات السابقة. هذا العنوان موجود في الشبكة الفرعية للشبكة الظاهرية التي تم إنشاؤها مسبقًا.
في اتصال bastion إلى vm-1، افتح مستعرض الويب.
أدخل عنوان URL لتطبيق الويب الخاص بك،
https://webapp-1.azurewebsites.net.إذا لم يتم نشر تطبيق الويب الخاص بك، فستحصل على صفحة تطبيق الويب الافتراضية التالية:
أغلق الاتصال ب vm-1.
تنظيف الموارد
عندما لا تعود هناك حاجة إليها، استخدم الأمر az group delete لإزالة مجموعة الموارد وخدمة الارتباط الخاص وموازن التحميل وجميع الموارد ذات الصلة.
az group delete \
--name test-rg
الخطوات التالية
لمزيد من المعلومات حول الخدمات التي تدعم نقطة نهاية خاصة، راجع: