الفرق بين System Routes و UDRs في Azure Virtual Networks
في عالم الشبكات السحابية، يعتمد نجاح أي بيئة Azure على فهم كيفية توجيه حركة المرور بين الخدمات المختلفة داخل الشبكات الافتراضية (VNets).
وتعد System Routes وUser Defined Routes (UDRs) من أهم العناصر التي تحدد كيفية انتقال البيانات داخل Azure وخارجها.
يهدف هذا المقال إلى تبسيط المفاهيم المرتبطة بالـ Routes في Azure، وتوضيح كيفية عملها، ومعرفة متى يجب عليك استخدام UDRs للتحكم الكامل في حركة المرور.
⭐ أولًا: ما هي System Routes؟
عندما تنشئ شبكة افتراضية (VNet) في Azure، يقوم النظام تلقائيًا بإنشاء مجموعة من مسارات التوجيه الافتراضية تُعرف باسم System Routes.
هذه المسارات تُسهّل الاتصال الداخلي والخارجي بدون الحاجة لأي إعداد إضافي منك.
كل Route يتكوّن من عنصرين:
- Address Prefix: نطاق العناوين الذي ينطبق عليه المسار
- Next Hop Type: الوجهة التي يُوجَّه إليها الترافيك
✔️ أنواع System Routes الافتراضية في كل Subnet:
| Address Prefix | Next Hop Type | الوصف |
|---|---|---|
| Address Space الخاص بالـ VNet | Virtual Network | يتيح الاتصال الداخلي بين Subnets |
| 0.0.0.0/0 | Internet | يوجّه الترافيك للإنترنت |
| 10.0.0.0/8 – 172.16.0.0/12 – 192.168.0.0/16 – 100.64.0.0/10 | None | يتم عمل Drop للترافيك الخاص بهذه النطاقات |
✔️ ماذا يعني Next Hop = None؟
يعني أن الترافيك ليس له وجهة، وبالتالي يتم إسقاطه (Drop).
السبب: هذه النطاقات تُعتبر Private ولا يجب توجيهها خارج الشبكة إلا إذا كانت جزءًا من Address Space الخاص بالـ VNet.
إذا قمت بإضافة Address Range من هذه النطاقات إلى الـ VNet، سيقوم Azure تلقائيًا بتغيير الـ Next Hop إلى Virtual Network.
⭐ ثانيًا: لماذا نحتاج User Defined Routes (UDRs)؟
على الرغم من أن System Routes تُقدّم توجيهًا تلقائيًا وذكيًا، إلا أن بعض السيناريوهات تتطلب تحكمًا أكبر في مسار الترافيك.
هنا يأتي دور UDRs.
تسمح لك UDRs بـ:
- تغيير المسار الافتراضي للإنترنت
- تمرير الترافيك عبر Firewall أو Network Virtual Appliance
- التحكم في الاتصال بين Subnets وSpokes
- فرض مرور الترافيك من خلال Hub في تصميمات Hub-and-Spoke
- منع الوصول إلى نطاقات معينة (Drop Routing)
يمكن لكل Route Table أن يحتوي على:
- حتى 400 Route افتراضيًا
- حتى 1000 Route عند استخدام Azure Virtual Network Manager
ثالثًا: أنواع Next Hop في UDR
- Virtual Appliance: يوجّه الترافيك إلى جهاز شبكي مثل Firewall في Azure (يجب تفعيل IP Forwarding على الـ NIC)
- Virtual Network Gateway: لتوجيه الترافيك إلى VPN Gateway (لا يعمل مع ExpressRoute أو Route Server)
- Internet: لتوجيه الترافيك للخارج مباشرة
- Virtual Network: للتحكم في التوجيه الداخلي
- None: لإسقاط الترافيك (Drop)
رابعًا: العلاقة بين UDR و Hub-and-Spoke
يُستخدم UDR بشكل أساسي في تصميم Hub-and-Spoke لأن:
- الـ Peering ليس Transitive
- Spoke A لا يستطيع التواصل مع Spoke B بدون تدخل
- UDR يجبر الترافيك على المرور عبر الـ Hub
حيث تتم عمليات:
- الفحص (Inspection)
- الحماية (Firewall Policies)
- التسجيل (Logging)
خامسًا: مثال بسيط على Route Table
لو أردت إجبار كل الترافيك على المرور بالـ Firewall:
Address Prefix: 0.0.0.0/0 Next Hop: Virtual Appliance IP: 10.0.2.4
هذا يعني:
“أي ترافيك خارج من الـ Subnet → يمر بالـ Firewall أولًا.”
في النهاية
- System Routes: توجيه افتراضي تلقائي يوفّره Azure
- UDRs: وسيلة للتحكم الكامل في مسار الترافيك
- Next Hop Types: تحدد إلى أين يذهب الترافيك
- Drop Routing: يمنع الوصول لعناوين غير مسموح بها
- Hub-and-Spoke + UDR: تصميم أساسي لبيئات المؤسسات المعقّدة
فهم هذين المفهومين ضروري لأي معماري شبكات أو Cloud Engineer يعمل على Azure.
#Azure #SystemRoutes #UDRS #Azure_Network #TheCloudWarrior #MFTawfik