Microsoft Cloud Server (VPS)Azure VM يفتح البرنامج التعليمي وإعداد الشبكة
كمبتدئ انتقل للتو من مصنع محلي كبير (Alibaba Cloud ، Tencent Cloud) أو غرفة الكمبيوتر المادية التقليدية إلى Microsoft Azure ، فإن أول مكان يتم تعليمه بسهولة هو Azure
بنية الشبكة
.
قام العديد من الأشخاص ، وفقًا للعادات السابقة ، بنقر الماوس لفتح الجهاز الظاهري (VM) ، ووجدوا أنه إما أن الشبكة العامة لا يمكن ربطها بالحياة أو الموت ، أو أن الشبكة الداخلية لا يمكنها القتال مع بعضها البعض. هذا لأن فلسفة تصميم Azure هي "الإغلاق الافتراضي للأمان" ، ومنطق الشبكة (VNet ، NSG) أكثر صرامة وأكثر دقة من الشركات المصنعة السحابية الأخرى.
اليوم ، لن ننقل المجموعة الرسمية من الوثائق الطويلة. دعونا نستخدم المنطق العامية والصدق لنقلك إلى Azure VM ونفتح الشبكة بالكامل.
المفهوم الأساسي: ثلاث قطع أساسية لتجنب الحفرة
قبل أن تفعل ذلك ، يجب عليك بناء صورة في رأسك. في Azure ، لا يوجد جهاز افتراضي في عزلة ، يجب أن يكون ملفوفًا في مستويات الشبكة الثلاثة التالية:
VNet (الشبكة الافتراضية/الشبكة الافتراضية): أي ما يعادل مبنى كامل تستأجره في السحابة.
Subnet (الشبكة الفرعية): طوابق مختلفة في المبنى (مثل قسم المالية وقسم البحث والتطوير). يجب أن يعيش VM في طابق معين.
NSG (مجموعة الأمن السيبراني/مجموعة أمن الشبكة): ما يعادل الأمن عند مدخل الطابق. الأمر متروك له لتحديد IP الذي يمكنه الدخول والموانئ المفتوحة.
بعد فهم هذا ، بدأنا مباشرة في الممارسة العملية.
المرحلة الأولى: إنشاء جهاز افتراضي (VM)
تسجيل الدخول إلى Azure Portal (وحدة التحكم) ، أدخل في شريط البحث
Virtual machines
، انقر فوق
Create -> Azure virtual machine
.
1-التكوين الأساسي (Basics)
Project details (تفاصيل المشروع): اختر اشتراكك (Subscription) ومجموعة الموارد (مجموعة الموارد). تشبه مجموعة الموارد مجلدًا ، ضع كل شيء في هذا الاختبار معًا لحذفه بنقرة واحدة لاحقًا.
تفاصيل المثيل: الاسم الافتراضي: اسم عشوائي ، مثل My-web-vm. المنطقة: التجارة الخارجية أو عبر الحدود لاختيار أقرب مكان للعملاء (مثل East US) ، والاختبار المحلي هو East Asia (هونغ كونغ ، الصين). الصورة: اختر الأنظمة التي تعرفها ، مثل Ubuntu Server 22.04 LTS أو Windows Server 2022. Size (الحجم): اختبار شخصي B1s أو B2s (توفير المال) ، بيئة الإنتاج الموصى بها سلسلة D (نوع التوازن القياسي).
2. بيانات الاعتماد والمنافذ (من السهل أن تخطو على الحفرة)
أ
نوع uthentication: يوصى بشدة باختيار SSH public key (الأمان) ، إذا كان Windows هو Password.
Public inbound ports (منافذ الدخول العامة):>⚠تحذير تجنب الحفرة: هنا سيطلب منك النظام ما إذا كنت تريد التحقق من "السماح SSH (22)" أو "RDP (3389)". يمكن للمبتدئين التحقق أولاً لراحة الاختبار. ولكن إذا كانت بيئة إنتاج ، فلا تفتح هنا ، وإلا سيبدأ المتسللون في جميع أنحاء العالم في مسح المنافذ الخاصة بك في غضون ثانية واحدة.
المرحلة الثانية: إعداد الشبكة الأساسية (Networking)
انقر أسفل الصفحة
Next: Disks
، انقر مرة أخرى
Next: Networking
. هنا هو أبرز ما في اليوم.
[الإنترنت (Your IP)]
│
▲ (السماح للمنافذ 22/80)
"──────────────────────────────
│ NSG (مجموعة الأمن السيبراني/الأمن) │
───────────────────────────────
│
▲
"──────────────────────────────
│ VNet (الشبكة الافتراضية) ─ Subnet (الشبكة الفرعية) │
│ ── ► [جهازك الافتراضي VM (my-web-vm) ] │
───────────────────────────────
1-الشبكات الافتراضية والشبكات الفرعية
Virtual network: إذا كنت تستخدمها لأول مرة ، فستساعدك Azure في إنشاء واحدة (مثل My-web-vm-vnet) افتراضيًا. سيقسم تلقائيًا مقطع شبكة كبير يشبه 10.0.0.0/16.
Subnet: سيتم قطع شبكة فرعية من 10.0.0.0/24 بشكل افتراضي. فقط استخدم الافتراضي مباشرة.
2. IP العام (IP العام)
Public IP: سوف يساعدك Azure على إنشاء واحدة افتراضيًا. يرجى ملاحظة أن IP العام لـ Azure هو Static (ثابت) افتراضيًا ، مما يعني أنه إذا قمت بإيقاف التشغيل ثم تشغيله ، فلن يتغير IP عادةً ، وهو أكثر سمكًا من الشركات المصنعة السحابية الأخرى.
3. تكوين مجموعة الأمن السيبراني (NSG)
في
NIC network security group
من بين الخيارات ، اختر
Basic
.
إذا كنت في الخطوة الأولى (Basic
S) يُسمح بالمنافذ 22 أو 3389 ، وسيساعدك Azure تلقائيًا على إنشاء قاعدة دخول هنا.
بعد اكتمال التكوين ، انقر مباشرة
Review create (عرض إنشاء)
، انتظر 2-3 دقائق ، وولادة الجهاز الظاهري الخاص بك.
المرحلة الثالثة: افتح الشبكة! كيفية الإفراج عن حركة المرور بأمان ؟
يتم تشغيل الجهاز ، كما تتوفر IP للشبكة العامة. لنفترض أننا قمنا بتثبيت موقع Nginx بالداخل ، المنفذ الافتراضي هو
80
. الآن تقوم بإدخال عنوان IP العام في المتصفح ، وهو بالتأكيد غير قابل للفتح. لأن "الأمن" (NSG) أوقف منفذ 80.
نحن ذاهبون لتعديل قواعد NSG.
التشغيل الفعلي للمنافذ 80 (خدمة الموقع):
في شريط القوائم الأيسر من VM ، ابحث عن Settings -> Networking (أو Network settings).
سترى جدولًا مشابهًا لجدار الحماية ، انقر فوق Add inbound port rule على اليمين (إضافة قاعدة المنفذ الوارد).
املأ المعلمات التالية: المصدر: Any (السماح لأي شخص بالوصول). مصدر مرفقات (نطاق منفذ المصدر): *. Destination (الهدف): Any. الخدمة: يمكنك تحديد HTTP مباشرة في القائمة المنسدلة ، وسوف تساعدك تلقائيًا على تغيير المنفذ إلى 80. Action (عملية): Allow (مسموح). الأولوية: أدخل رقمًا ، مثل 300 (كلما كان الرقم أصغر ، زادت الأولوية). الاسم: اسم ، مثل Allow-HTTP-80.
انقر على Add. انتظر 10 ثوانٍ حتى تصبح القاعدة سارية المفعول. في هذا الوقت ، يمكنك تحديث المتصفح مرة أخرى ، ويمكن فتح موقع الويب في ثوانٍ!
متقدم: ماذا سيفعل الطائر القديم الحقيقي ؟
إذا كنت على استعداد لنشر عملك رسميًا على Azure ، فهناك شيئان أنصحك بالاعتياد عليهما الآن:
1. تقييد مصدر IP للمنافذ الإدارية
لا تفتح منافذ 22(Linux) أو 3389(Windows) على مستوى العالم.
ممارسة الطائر القديم: في قواعد NSG ، قم بتغيير مصدر قاعدة SSH من Any إلى IP Addresses.
ثم املأ عنوان IP الثابت الحالي للشبكة العامة لمنزلك أو شركتك في Source IP addresses. بهذه الطريقة ، بصرف النظر عنك ، لا توجد فرصة لأي شخص في العالم لمحاولة تفجير كلمة المرور الخاصة بك.
2. لا يتطلب التشغيل البيني للشبكة الداخلية الالتفاف على الشبكة العامة
إذا قمت بتشغيل جهازي VM (مثل الويب ، قاعدة بيانات واحدة) تحت نفس VNet (الشبكة الافتراضية).
لا يتطلب NSG لقاعدة البيانات فتح منفذ شبكة عامة.
عندما يتصل خادم الويب بقاعدة البيانات ، يتصل مباشرة IP الخاص بالشبكة الداخلية لقاعدة البيانات
على شكل 10.0.0.X). إن VNet من Azure بالكامل افتراضيًا ، وحركة المرور هي الشبكة الداخلية الأساسية لـ Microsoft ، وهي ليست مجانية فحسب ، بل إنها سريعة للغاية وآمنة للغاية.
الخلاصة
مفتاح الحصول على شبكة Azure هو
تعامل مع NSG كحارس شخصي لك
. بعد تشغيل VM ، لا تتسرع في الشك في أن النظام معطل ، 99 ٪ من السبب هو أن هناك قاعدة أقل في NSG.
خذ هذا المنطق وحاول بناء أول Azure VM الخاص بك!