مشاركة عبر

كيفية إنشاء جهاز ظاهري للشبكة في مركز Azure Virtual WAN

  • مقالة

توضح هذه المقالة كيفية نشر جهاز ظاهري للشبكة المتكاملة (NVA) في مركز Azure Virtual WAN.

الخلفية.

عادة ما يتم تقسيم NVAs المنشورة في مركز Virtual WAN إلى ثلاث فئات:

  • أجهزة الاتصال: تستخدم لإنهاء اتصالات VPN وSD-WAN من أماكن العمل. تستخدم أجهزة الاتصال بروتوكول بوابة الحدود (BGP) لتبادل المسارات مع مركز Virtual WAN.
  • أجهزة جدار الحماية من الجيل التالي (NGFW): تستخدم مع هدف التوجيه لتوفير فحص الارتطام في السلك لحركة المرور التي تعبر مركز Virtual WAN.
  • الاتصال ثنائي الدور وأجهزة جدار الحماية: جهاز واحد يربط الأجهزة المحلية ب Azure ويفحص نسبة استخدام الشبكة التي تعبر مركز Virtual WAN مع هدف التوجيه.

للحصول على قائمة NVAs التي يمكن نشرها في مركز Virtual WAN والقدرات الخاصة بها، راجع شركاء Virtual WAN NVA.

آليات التوزيع

يمكن نشر الأجهزة الظاهرية للشبكة من خلال اثنين من مهام سير العمل المختلفة. يدعم شركاء الأجهزة الظاهرية للشبكة المختلفة آليات توزيع مختلفة. يدعم كل شريك NVA متكامل ل Virtual WAN سير عمل التطبيق المدار في Azure Marketplace. للحصول على معلومات حول أساليب النشر الأخرى، راجع وثائق موفر NVA.

  • Azure Marketplace Managed Application: يستخدم جميع شركاء Virtual WAN NVA تطبيقات Azure المدارة لنشر NVAs المتكاملة في مركز Virtual WAN. توفر لك تطبيقات Azure المدارة طريقة سهلة لنشر NVAs في مركز Virtual WAN عبر تجربة مدخل Azure التي تم إنشاؤها بواسطة موفر NVA. تجمع تجربة مدخل Azure معلمات التوزيع والتكوين الهامة اللازمة لنشر NVA وربطه بالتمهيد. لمزيد من المعلومات حول تطبيقات Azure المدارة، راجع وثائق التطبيق المدار. راجع وثائق الموفر الخاص بك حول سير عمل التوزيع الكامل عبر Azure Managed Application.
  • عمليات توزيع منسق NVA: يسمح لك بعض شركاء NVA بنشر NVAs في المركز مباشرة من برنامج تنسيق NVA أو الإدارة. عادة ما تتطلب عمليات توزيع NVA من برنامج تزامن NVA توفير كيان خدمة Azure لبرنامج تزامن NVA. يتم استخدام كيان خدمة Azure من قبل برنامج تنسيق NVA للتفاعل مع واجهات برمجة تطبيقات Azure لنشر NVAs وإدارتها في المركز. سير العمل هذا خاص بتنفيذ موفر NVA. راجع وثائق الموفر للحصول على مزيد من المعلومات.
  • آليات النشر الأخرى: قد يقدم شركاء NVA أيضا آليات أخرى لنشر NVAs في المركز مثل قوالب ARM وTerraform. راجع وثائق الموفر للحصول على مزيد من المعلومات حول آليات النشر الأخرى المدعومة.

المتطلبات الأساسية

يفترض البرنامج التعليمي التالي أنك قمت بنشر مورد Virtual WAN مع مركز Virtual WAN واحد على الأقل. يفترض البرنامج التعليمي أيضا أنك تقوم بنشر NVAs عبر تطبيق Azure Marketplace المدار.

الأذونات المطلوبة

لنشر جهاز ظاهري للشبكة في Virtual WAN Hub، يجب أن يكون لدى المستخدم أو كيان الخدمة الذي ينشئ ويدير NVA على الأقل الأذونات التالية:

  • Microsoft.Network/virtualHubs/read عبر مركز Virtual WAN الذي يتم نشر NVA فيه.
  • Microsoft.Network/networkVirtualAppliances/write عبر مجموعة الموارد حيث يتم نشر NVA فيها.
  • Microsoft.Network/publicIpAddresses/join عبر موارد عنوان IP العامة التي يتم نشرها مع الجهاز الظاهري للشبكة لحالات استخدام الإنترنت الواردة .

يجب منح هذه الأذونات لتطبيق Azure Marketplace المدار لضمان نجاح عمليات النشر. قد تكون هناك حاجة إلى أذونات أخرى استنادا إلى تنفيذ سير عمل التوزيع الذي طوره شريك NVA الخاص بك.

تعيين أذونات لتطبيق Azure المدار

يتم نشر الأجهزة الظاهرية للشبكة التي يتم نشرها عبر تطبيق Azure Marketplace المدار في مجموعة موارد خاصة في مستأجر Azure يسمى مجموعة الموارد المدارة. عند إنشاء تطبيق مدار في اشتراكك، يتم إنشاء مجموعة موارد مدارة مقابلة ومنفصلة في اشتراكك. يتم نشر جميع موارد Azure التي تم إنشاؤها بواسطة التطبيق المدار (بما في ذلك الجهاز الظاهري للشبكة) في مجموعة الموارد المدارة.

يمتلك Azure Marketplace كيان خدمة الطرف الأول الذي يقوم بنشر الموارد في مجموعة الموارد المدارة. لدى كيان الطرف الأول هذا أذونات لإنشاء موارد في مجموعة الموارد المدارة، ولكن ليس لديه أذونات لقراءة موارد Azure أو تحديثها أو إنشائها خارج مجموعة الموارد المدارة.

للتأكد من تنفيذ توزيع NVA الخاص بك بمستوى كاف من الأذونات، امنح أذونات إضافية إلى كيان خدمة نشر Azure Marketplace عن طريق نشر التطبيق المدار بهوية مدارة معينة من قبل المستخدم لها أذونات عبر مركز Virtual WAN وعنوان IP العام الذي تريد استخدامه مع الجهاز الظاهري للشبكة. يتم استخدام هذه الهوية المدارة المعينة من قبل المستخدم فقط للتوزيع الأولي للموارد في مجموعة الموارد المدارة ويتم استخدامها فقط في سياق نشر التطبيق المدار هذا.

إشعار

يمكن تعيين هويات النظام المعينة من قبل المستخدم فقط إلى تطبيقات Azure المدارة لنشر الأجهزة الظاهرية للشبكة في مركز Virtual WAN. الهويات المعينة من قبل النظام غير مدعومة.

  1. إنشاء هوية جديدة يعينها المستخدم. للحصول على خطوات حول إنشاء هويات جديدة يعينها المستخدم، راجع وثائق الهوية المدارة. يمكنك أيضا استخدام هوية حالية يعينها المستخدم.
  2. قم بتعيين أذونات للهوية المعينة من قبل المستخدم للحصول على الحد الأدنى من الأذونات الموضحة في قسم الأذونات المطلوبة إلى جانب أي أذونات يتطلبها موفر NVA. يمكنك أيضا منح الهوية المعينة من قبل المستخدم دورا مضمنا في Azure مثل مساهم الشبكة الذي يحتوي على مجموعة فائقة من الأذونات المطلوبة.

بدلا من ذلك، يمكنك أيضا إنشاء دور مخصص مع تعريف النموذج التالي وتعيين الدور المخصص للهوية المدارة المعينة من قبل المستخدم.

{  
"Name": "Virtual WAN NVA Operator", 
  "IsCustom": true,
  "Description": "Can perform deploy and manage NVAs in the Virtual WAN hub.",
  "Actions": [
    "Microsoft.Network/virtualHubs/read",
    "Microsoft.Network/publicIPAddresses/join",
    "Microsoft.Network/networkVirtualAppliances/*",
    "Microsoft.Network/networkVirtualAppliances/inboundSecurityRules/*"    
  ],
  "NotActions": [],
  "DataActions": [],
  "NotDataActions": [],
  "AssignableScopes": [
    "/subscriptions/{subscription where Virtual Hub and NVA is deployed}",
    "/subscriptions/{subscription where Public IP used for NVA is deployed}",
  ]
}

نشر NVA

يصف القسم التالي الخطوات اللازمة لنشر جهاز ظاهري للشبكة في مركز Virtual WAN باستخدام تطبيق Azure Marketplace المدار.

  1. انتقل إلى مركز Virtual WAN وحدد Network Virtual Appliance ضمن موفري الجهات الخارجية.

لقطة شاشة توضح كيفية الانتقال إلى قائمة NVA ضمن مركز Virtual WAN.

  1. حدد إنشاء جهاز ظاهري للشبكة.

لقطة شاشة توضح كيفية إنشاء NVA.

  1. اختر مورد NVA. في هذا المثال، يتم تحديد "fortinet-ngfw" وحدد Create. عند هذه النقطة، تتم إعادة توجيهك إلى تطبيق Azure Marketplace المدار لشريك NVA.

لقطة شاشة توضح كيفية تحديد مورد NVA.

  1. اتبع تجربة إنشاء التطبيق المدارة لنشر NVA الخاص بك والإشارة إلى وثائق الموفر الخاص بك. تأكد من تحديد هوية النظام المعينة من قبل المستخدم التي تم إنشاؤها في القسم السابق كجزء من سير عمل إنشاء التطبيق المدار.

أخطاء التوزيع الشائعة

أخطاء الأذونات

إشعار

تعرض رسالة الخطأ المقترنة ب LinkedAuthorizationFailed إذنا مفقودا واحدا فقط. ونتيجة لذلك، قد ترى إذنا مفقودا مختلفا بعد تحديث الأذونات المعينة إلى كيان الخدمة أو الهوية المدارة أو المستخدم.

  • إذا رأيت رسالة خطأ مع رمز الخطأ LinkedAuthorizationFailed، لم يتم تعيين الأذونات المناسبة للهوية المعينة من قبل المستخدم التي تم توفيرها كجزء من نشر التطبيق المدار. يتم وصف الأذونات المفقودة بالضبط في رسالة الخطأ. في المثال التالي، تحقق مرة أخرى من أن الهوية المدارة المعينة من قبل المستخدم لديها أذونات READ عبر مركز Virtual WAN الذي تحاول نشر NVA فيه.
The client with object id '<>' does not have authorization to perform action 'Microsoft.Network/virtualHubs/read' over scope '/subscriptions/<>/resourceGroups/<>/providers/Microsoft.Network/virtualHubs/<>' or the scope is invalid. If access was recently granted, please refresh your credentials

الخطوات التالية