🎯 Creating a Networking Environment — إنشاء بيئة شبكات
الشبكات هي العمود الفقري لأي بنية سحابية، وفهم كيفية بناء وتكوين الشبكات الافتراضية أمر أساسي لكل مهندس سحابة. يصف هذا المقال إنشاء وإدارة شبكات Amazon VPC، بما في ذلك CIDR blocks والشبكات الفرعية وجدران الحماية (Security Groups) ونقاط النهاية (VPC Endpoints).
1️⃣ What is Amazon VPC? — ما هي Amazon VPC؟
📖 Amazon Virtual Private Cloud (VPC) هي شبكتك الافتراضية الخاصة في سحابة AWS — مساحة معزولة بالكامل تتحكم فيها بكل تفاصيل الشبكة.
تمنحك تحكماً كاملاً: تحدد نطاق عناوين IP، تنشئ شبكات فرعية، وتكوّن جداول التوجيه وبوابات الشبكة. كل حساب AWS يأتي مع VPC افتراضي جاهز للاستخدام الفوري.
📋 ما الذي تقدمه VPC؟
تمنحك تحكماً كاملاً: تحدد نطاق عناوين IP، تنشئ شبكات فرعية، وتكوّن جداول التوجيه وبوابات الشبكة. كل حساب AWS يأتي مع VPC افتراضي جاهز للاستخدام الفوري.
- شبكة افتراضية معزولة منطقياً في السحابة — بياناتك وتطبيقاتك منفصلة تماماً عن المستخدمين الآخرين.
- تحدد نطاق عناوين IP باستخدام CIDR (مثلاً 10.0.0.0/16) ويمكنك تقسيمه إلى شبكات فرعية أصغر.
- تتحكم بحركة المرور الداخلة والخارجة عبر جداول التوجيه وجدران الحماية (Security Groups وNACLs).
- يمكنك ربط VPC بمركز بياناتك المحلي عبر VPN أو Direct Connect لإنشاء شبكة هجينة.
- تدعم IPv4 وIPv6 مع إمكانية استخدام كليهما في نفس الشبكة.
شركة ناشئة تطلق تطبيق ويب على AWS.
تنشئ VPC بنطاق 10.0.0.0/16 — يوفر 65,536 عنوان IP.
تقسمه إلى 4 شبكات فرعية: اثنتان عامتان لخوادم الويب (في AZ1 وAZ2) واثنتان خاصتان لقواعد البيانات (في AZ1 وAZ2).
خوادم الويب تستقبل طلبات الإنترنت عبر Internet Gateway، وقواعد البيانات محمية تماماً لا يصلها أحد من الخارج.
النتيجة: بيئة آمنة ومعزولة تحاكي أفضل ممارسات مراكز البيانات الداخلية لكن بدون شراء أي جهاز.
تنشئ VPC بنطاق 10.0.0.0/16 — يوفر 65,536 عنوان IP.
تقسمه إلى 4 شبكات فرعية: اثنتان عامتان لخوادم الويب (في AZ1 وAZ2) واثنتان خاصتان لقواعد البيانات (في AZ1 وAZ2).
خوادم الويب تستقبل طلبات الإنترنت عبر Internet Gateway، وقواعد البيانات محمية تماماً لا يصلها أحد من الخارج.
النتيجة: بيئة آمنة ومعزولة تحاكي أفضل ممارسات مراكز البيانات الداخلية لكن بدون شراء أي جهاز.
2️⃣ Default VPC Components — مكونات الـ VPC الافتراضي
📖 عند إنشاء حساب AWS جديد، تحصل تلقائياً على VPC افتراضي في كل منطقة مع شبكات فرعية جاهزة وInternet Gateway وبوابات NAT.
الـ VPC الافتراضي مصمم ليساعد المبتدئين على الانطلاق بسرعة — تطلق مثيل EC2 ويصبح متصلاً بالإنترنت فوراً دون أي إعدادات شبكة.
📋 مكونات الـ VPC الافتراضي
الـ VPC الافتراضي مصمم ليساعد المبتدئين على الانطلاق بسرعة — تطلق مثيل EC2 ويصبح متصلاً بالإنترنت فوراً دون أي إعدادات شبكة.
- نطاق CIDR: 172.31.0.0/16 — يوفر مساحة عنونة كافية لمعظم حالات الاستخدام.
- شبكة فرعية عامة واحدة في كل منطقة توفر (AZ) — جاهزة لاستقبال مثيلات ذات عناوين IP عامة.
- Internet Gateway مرفق تلقائياً — يسمح بالاتصال بالإنترنت من وإلى المثيلات العامة.
- إعدادات DNS تلقائية — المثيلات تحصل على أسماء DNS عامة وخاصة.
مطور مبتدئ يطلق أول مثيل EC2 له.
بفضل VPC الافتراضي، لا يحتاج لفهم CIDR أو الشبكات الفرعية أو جداول التوجيه.
يضغط "Launch Instance" ويختار VPC الافتراضي — يحصل فوراً على خادم ويب متصل بالإنترنت.
لاحقاً عندما تنمو احتياجاته، يبني VPC مخصص بمخطط شبكي دقيق يناسب تطبيقه.
بفضل VPC الافتراضي، لا يحتاج لفهم CIDR أو الشبكات الفرعية أو جداول التوجيه.
يضغط "Launch Instance" ويختار VPC الافتراضي — يحصل فوراً على خادم ويب متصل بالإنترنت.
لاحقاً عندما تنمو احتياجاته، يبني VPC مخصص بمخطط شبكي دقيق يناسب تطبيقه.
✅ خلاصة مدخل إلى Amazon VPC:
- Amazon VPC هي شبكة خاصة افتراضية معزولة داخل AWS.
- CIDR blocks تحدد نطاق عناوين IP للشبكة.
- الشبكات الفرعية العامة تتصل بالإنترنت عبر Internet Gateway.
- الشبكات الفرعية الخاصة تتصل عبر NAT Gateway.
VPC تشبه قطعة أرض فارغة في مدينة رقمية.
تحدد أنت حدود الأرض (CIDR: 10.0.0.0/16).
تقسمها إلى أحياء (شبكات فرعية: public وprivate).
تبني طرقاً رئيسية بين الأحياء (جداول التوجيه).
تضع بوابات على مداخل المدينة (Internet Gateway).
وتبني جدراناً حول كل مبنى (Security Groups) وقوانين مرور للمدينة كاملة (NACLs).
كل شيء تحت سيطرتك — من حدود المدينة إلى قوانين السير داخلها.
تحدد أنت حدود الأرض (CIDR: 10.0.0.0/16).
تقسمها إلى أحياء (شبكات فرعية: public وprivate).
تبني طرقاً رئيسية بين الأحياء (جداول التوجيه).
تضع بوابات على مداخل المدينة (Internet Gateway).
وتبني جدراناً حول كل مبنى (Security Groups) وقوانين مرور للمدينة كاملة (NACLs).
كل شيء تحت سيطرتك — من حدود المدينة إلى قوانين السير داخلها.
📖 جدول المصطلحات
| المصطلح (English) | الترجمة | المفهوم |
|---|---|---|
| Amazon VPC | السحابة الافتراضية الخاصة | شبكة افتراضية معزولة تتحكم فيها بكل تفاصيل الشبكة. |
| CIDR Block | كتلة CIDR | نطاق عناوين IP مثل 10.0.0.0/16 يحدد مساحة العناوين. |
| Default VPC | VPC الافتراضي | شبكة جاهزة في كل منطقة مع شبكات فرعية وبوابة إنترنت. |
| Availability Zone | منطقة التوفر | مركز بيانات مستقل داخل منطقة AWS، يتيح التوفر العالي. |
| DNS Hostname | اسم مضيف DNS | اسم DNS عام أو خاص يسند تلقائياً للمثيلات في VPC. |
1️⃣ CIDR Block Planning — تخطيط نطاق CIDR
📖 CIDR (Classless Inter-Domain Routing) هو الطريقة التي تحدد بها نطاق عناوين IP في VPC.
الصيغة: عنوان_القاعدة/البادئة — مثلاً 10.0.0.0/16 يعني أن أول 16 بت ثابتة والباقي متغير، مما يعطي 65,536 عنواناً.
📋 قواعد نطاقات CIDR في VPC
الصيغة: عنوان_القاعدة/البادئة — مثلاً 10.0.0.0/16 يعني أن أول 16 بت ثابتة والباقي متغير، مما يعطي 65,536 عنواناً.
- النطاق المسموح: /16 (65,536 عنوان) كحد أقصى إلى /28 (16 عنواناً) كحد أدنى.
- العناوين الخاصة الموصى بها (RFC 1918): 10.0.0.0/8، 172.16.0.0/12، 192.168.0.0/16.
- أول 4 عناوين وآخر عنوان في كل شبكة فرعية محجوزة تلقائياً من AWS: (10.0.0.0: الشبكة، 10.0.0.1: موجه VPC، 10.0.0.2: خادم DNS، 10.0.0.3: محجوز للمستقبل، 10.0.0.255: البث).
- يمكنك إضافة حتى 5 نطاقات CIDR إضافية لـ VPC بعد إنشائها (ثانوية).
🔑 نصيحة أساسية: 5 عناوين محجوزة في كل شبكة فرعية
في كل كتلة CIDR للشبكة الفرعية، تحجز AWS أول 4 عناوين وآخر عنوان:
📍 10.0.0.0 — عنوان الشبكة (Network Address) للتعريف بالشبكة الفرعية.
📍 10.0.0.1 — عنوان الموجّه (VPC Router) يُستخدم كبوابة افتراضية (default gateway).
📍 10.0.0.2 — عنوان خادم DNS (VPC DNS Resolver) لحل أسماء النطاقات.
📍 10.0.0.3 — عنوان محجوز للمستقبل (Reserved for future use).
📍 10.0.0.255 — عنوان البث (Broadcast Address) — AWS لا تدعم البث لكنه محجوز.
في كل كتلة CIDR للشبكة الفرعية، تحجز AWS أول 4 عناوين وآخر عنوان:
📍 10.0.0.0 — عنوان الشبكة (Network Address) للتعريف بالشبكة الفرعية.
📍 10.0.0.1 — عنوان الموجّه (VPC Router) يُستخدم كبوابة افتراضية (default gateway).
📍 10.0.0.2 — عنوان خادم DNS (VPC DNS Resolver) لحل أسماء النطاقات.
📍 10.0.0.3 — عنوان محجوز للمستقبل (Reserved for future use).
📍 10.0.0.255 — عنوان البث (Broadcast Address) — AWS لا تدعم البث لكنه محجوز.
مهندس شبكات يخطط VPC لتطبيق تجارة إلكترونية.
يختار 10.0.0.0/16 — مساحة كافية لـ 65 ألف عنوان.
يقسمها: 10.0.1.0/24 للشبكة العامة في AZ1 (251 عنواناً قابلاً للاستخدام).
10.0.2.0/24 للشبكة العامة في AZ2.
10.0.10.0/24 للشبكة الخاصة للتطبيق في AZ1.
10.0.20.0/24 للشبكة الخاصة للتطبيق في AZ2.
10.0.100.0/24 للشبكة الخاصة لقاعدة البيانات في AZ1.
10.0.200.0/24 للشبكة الخاصة لقاعدة البيانات في AZ2.
كل طبقة معزولة وآمنة — لو اختُرقت خوادم الويب العامة، لا تصل إلى قواعد البيانات في الشبكات الخاصة.
يختار 10.0.0.0/16 — مساحة كافية لـ 65 ألف عنوان.
يقسمها: 10.0.1.0/24 للشبكة العامة في AZ1 (251 عنواناً قابلاً للاستخدام).
10.0.2.0/24 للشبكة العامة في AZ2.
10.0.10.0/24 للشبكة الخاصة للتطبيق في AZ1.
10.0.20.0/24 للشبكة الخاصة للتطبيق في AZ2.
10.0.100.0/24 للشبكة الخاصة لقاعدة البيانات في AZ1.
10.0.200.0/24 للشبكة الخاصة لقاعدة البيانات في AZ2.
كل طبقة معزولة وآمنة — لو اختُرقت خوادم الويب العامة، لا تصل إلى قواعد البيانات في الشبكات الخاصة.
2️⃣ Public and Private Subnets — الشبكات الفرعية العامة والخاصة
📖 الشبكة الفرعية (Subnet) هي تقسيم منطقي داخل VPC يعيش في منطقة توفر واحدة ولا يمكن أن يمتد عبر AZs.
الفرق الأساسي بين الشبكة العامة والخاصة هو طريق التوجيه إلى الإنترنت: العامة لديها طريق إلى Internet Gateway، والخاصة لا تملكه.
📋 الشبكات العامة مقابل الخاصة
الفرق الأساسي بين الشبكة العامة والخاصة هو طريق التوجيه إلى الإنترنت: العامة لديها طريق إلى Internet Gateway، والخاصة لا تملكه.
- الشبكة العامة: جدول توجيهها يحتوي على مسار إلى Internet Gateway (0.0.0.0/0 → igw-xxxx). المثيلات فيها يمكن أن تحصل على IP عام وتتواصل مع الإنترنت.
- الشبكة الخاصة: لا يوجد مسار مباشر إلى الإنترنت. المثيلات فيها لا تحصل على IP عام ولا يمكن الوصول إليها من الإنترنت — مثالية لقواعد البيانات وخوادم التطبيقات الخلفية.
- للمثيلات في الشبكات الخاصة للوصول إلى الإنترنت (للتنزيلات والتحديثات)، تحتاج بوابة NAT في شبكة عامة.
- الشبكة الفرعية مرتبطة بمنطقة توفر واحدة — لتوفر عالٍ، أنشئ شبكات فرعية في AZs متعددة.
تطبيق مكون من 3 طبقات بتصميم شبكي آمن.
الطبقة الأولى (خوادم الويب): في شبكات عامة عبر AZ1 وAZ2 — تستقبل طلبات HTTP/HTTPS من الإنترنت.
الطبقة الثانية (خوادم التطبيق): في شبكات خاصة عبر AZ1 وAZ2 — تتواصل مع خوادم الويب داخلياً وتعالج منطق الأعمال.
الطبقة الثالثة (قاعدة البيانات RDS Multi-AZ): في شبكات خاصة عبر AZ1 وAZ2 — معزولة تماماً عن الإنترنت.
لا يوجد مسار من الإنترنت إلى الطبقتين الثانية والثالثة — أمان متعدد الطبقات بتصميم شبكي فقط.
الطبقة الأولى (خوادم الويب): في شبكات عامة عبر AZ1 وAZ2 — تستقبل طلبات HTTP/HTTPS من الإنترنت.
الطبقة الثانية (خوادم التطبيق): في شبكات خاصة عبر AZ1 وAZ2 — تتواصل مع خوادم الويب داخلياً وتعالج منطق الأعمال.
الطبقة الثالثة (قاعدة البيانات RDS Multi-AZ): في شبكات خاصة عبر AZ1 وAZ2 — معزولة تماماً عن الإنترنت.
لا يوجد مسار من الإنترنت إلى الطبقتين الثانية والثالثة — أمان متعدد الطبقات بتصميم شبكي فقط.
3️⃣ IP Addresses in VPC — عناوين IP في VPC
📖 تدعم VPC ثلاثة أنواع من عناوين IP: خاصة (private) دائمة، وعامة (public) متغيرة، وعامة مرنة (Elastic IP) ثابتة.
فهم الفرق بينها والوقت المناسب لاستخدام كل نوع أساسي لتصميم شبكة فعال.
📋 أنواع عناوين IP
فهم الفرق بينها والوقت المناسب لاستخدام كل نوع أساسي لتصميم شبكة فعال.
- الخاص (Private IPv4): عنوان داخلي من نطاق CIDR للشبكة الفرعية — يبقى مع المثيل طوال حياته ولا يتغير. يستخدم للتواصل الداخلي بين المثيلات والخدمات.
- العام (Public IPv4): عنوان قابل للتوجيه على الإنترنت — يتغير عند إيقاف المثيل وتشغيله. يُمنح تلقائياً للمثيلات في الشبكات العامة (إذا فعّلت الخيار).
- المرن (Elastic IP): عنوان IPv4 عام ثابت تملكه وتدفع مقابله — يبقى معك حتى تطلق سراحه. مثالي للخوادم التي تحتاج عنواناً ثابتاً (مثل NAT Gateway أو خادم VPN).
مثيل خادم بريد إلكتروني يحتاج عنوان IP ثابتاً.
يستخدم Elastic IP — حتى لو تعطل المثيل واستُبدل بآخر جديد، نفس الـ IP العام يُربط بالمثيل الجديد.
سجلات DNS لا تتغير، والعملاء لا يلاحظون أي فرق.
ملاحظة: AWS تفرض رسوماً صغيرة على عناوين Elastic IP غير المرتبطة بمثيل نشط — لا تتركها معلقة.
يستخدم Elastic IP — حتى لو تعطل المثيل واستُبدل بآخر جديد، نفس الـ IP العام يُربط بالمثيل الجديد.
سجلات DNS لا تتغير، والعملاء لا يلاحظون أي فرق.
ملاحظة: AWS تفرض رسوماً صغيرة على عناوين Elastic IP غير المرتبطة بمثيل نشط — لا تتركها معلقة.
✅ خلاصة عنونة IP:
- Public IPs قابلة للوصول من الإنترنت، Private IPs داخل VPC فقط.
- Elastic IP هو عنوان IP ثابت يمكن ربطه بمثيل.
- ENI هي واجهة شبكة افتراضية يمكن نقلها بين المثيلات.
- اختيار CIDR المناسب يمنع مشاكل التوسع مستقبلاً.
📖 جدول المصطلحات
| المصطلح (English) | الترجمة | المفهوم |
|---|---|---|
| Route Table | جدول التوجيه | مجموعة قواعد تحدد مسارات الحزم من وإلى الشبكات الفرعية. |
| Internet Gateway | بوابة الإنترنت | مكون يسمح بالاتصال ثنائي الاتجاه بين VPC والإنترنت. |
| NAT Gateway | بوابة NAT | تسمح للمثيلات الخاصة بالخروج للإنترنت دون السماح بالدخول. |
| Egress-Only IGW | بوابة خروج فقط | نسخة IPv6 من NAT تمنع الاتصالات الواردة. |
| Local Route | المسار المحلي | مسار تلقائي يسمح بالتواصل بين شبكات VPC داخلياً. |
1️⃣ Route Tables — جداول التوجيه
📖 جدول التوجيه يحتوي على مجموعة من القواعد (routes) التي تحدد أين تذهب حزم البيانات من الشبكات الفرعية المرتبطة به.
كل شبكة فرعية يجب أن ترتبط بجدول توجيه واحد — لكن جدول التوجيه الواحد يمكن أن يرتبط بعدة شبكات فرعية.
📋 قواعد التوجيه
كل شبكة فرعية يجب أن ترتبط بجدول توجيه واحد — لكن جدول التوجيه الواحد يمكن أن يرتبط بعدة شبكات فرعية.
- كل مسار يتكون من: الوجهة (destination CIDR) والهدف (target) — مثلاً 0.0.0.0/0 → igw-xxxxx (أي حزمة متجهة للإنترنت تُرسل إلى Internet Gateway).
- المسار المحلي (local route) يُضاف تلقائياً ويغطي نطاق CIDR للـ VPC بالكامل — يسمح بالتواصل بين جميع الشبكات الفرعية داخل نفس VPC.
- أولوية التوجيه: المسار الأكثر تحديداً (أطول بادئة / أكبر رقم) يُفضل على الأقل تحديداً. مثلاً 10.0.1.0/24 له أولوية على 10.0.0.0/16.
- جدول التوجيه الرئيسي (Main Route Table): افتراضي لكل VPC ويُستخدم للشبكات الفرعية غير المرتبطة بجدول مخصص.
VPC مصمم بجدولي توجيه منفصلين.
جدول التوجيه العام: يحتوي على المسار المحلي (10.0.0.0/16 → local) ومسار إلى Internet Gateway (0.0.0.0/0 → igw-xxx) — مرتبط بالشبكات العامة.
جدول التوجيه الخاص: يحتوي فقط على المسار المحلي — مرتبط بالشبكات الخاصة. لا يوجد طريق للإنترنت.
عند إطلاق مثيل في شبكة عامة، يحصل على IP عام ويتصل بالإنترنت. مثيل في الشبكة الخاصة لا يمكنه ذلك — حتى لو حاول أحدهم تعيين IP عام يدوياً، الشبكة الفرعية لا تملك طريقاً للخارج.
جدول التوجيه العام: يحتوي على المسار المحلي (10.0.0.0/16 → local) ومسار إلى Internet Gateway (0.0.0.0/0 → igw-xxx) — مرتبط بالشبكات العامة.
جدول التوجيه الخاص: يحتوي فقط على المسار المحلي — مرتبط بالشبكات الخاصة. لا يوجد طريق للإنترنت.
عند إطلاق مثيل في شبكة عامة، يحصل على IP عام ويتصل بالإنترنت. مثيل في الشبكة الخاصة لا يمكنه ذلك — حتى لو حاول أحدهم تعيين IP عام يدوياً، الشبكة الفرعية لا تملك طريقاً للخارج.
2️⃣ Internet Gateway (IGW) — بوابة الإنترنت
📖 بوابة الإنترنت (Internet Gateway) هي مكون افتراضي يتيح الاتصال بين VPC والإنترنت العام.
تدعم IPv4 وIPv6، وهي عالية التوفر أفقياً ومُدارة بالكامل من AWS — لا حاجة لإدارتها أو توسيعها.
📋 خصائص Internet Gateway
تدعم IPv4 وIPv6، وهي عالية التوفر أفقياً ومُدارة بالكامل من AWS — لا حاجة لإدارتها أو توسيعها.
- مجرد بوابة: لا تمنع حركة المرور ولا تراقبها — مسؤولة فقط عن الترجمة بين عناوين VPC الداخلية والعناوين العامة.
- ترتبط بـ VPC واحد فقط: كل VPC يمكن أن يرتبط ببوابة إنترنت واحدة كحد أقصى.
- تعمل مع عناوين IPv4 عبر ترجمة 1:1 (NAT) ومع IPv6 بشكل مباشر (العناوين العامة مباشرة على واجهة المثيل).
- المثيل يحتاج أيضاً إلى عنوان IPv4 عام أو Elastic IP بالإضافة إلى وجود مسار في جدول التوجيه.
مثيل EC2 في شبكة عامة يتصل بالإنترنت.
الخطوة 1: المثيل له عنوان خاص 10.0.1.50 وعنوان عام 54.12.34.56.
الخطوة 2: يرسل حزمة للإنترنت عبر جدول التوجيه (0.0.0.0/0 → igw).
الخطوة 3: Internet Gateway تترجم عنوان المصدر من 10.0.1.50 إلى 54.12.34.56 وترسل الحزمة.
الخطوة 4: الرد يعود إلى 54.12.34.56 ← Internet Gateway تترجمه إلى 10.0.1.50 ويسلم للمثيل.
المثيل لا يعرف حتى أن له عنواناً عاماً — كله شفاف تماماً.
الخطوة 1: المثيل له عنوان خاص 10.0.1.50 وعنوان عام 54.12.34.56.
الخطوة 2: يرسل حزمة للإنترنت عبر جدول التوجيه (0.0.0.0/0 → igw).
الخطوة 3: Internet Gateway تترجم عنوان المصدر من 10.0.1.50 إلى 54.12.34.56 وترسل الحزمة.
الخطوة 4: الرد يعود إلى 54.12.34.56 ← Internet Gateway تترجمه إلى 10.0.1.50 ويسلم للمثيل.
المثيل لا يعرف حتى أن له عنواناً عاماً — كله شفاف تماماً.
3️⃣ NAT Gateway — بوابة ترجمة العناوين
📖 بوابة NAT (Network Address Translation) تسمح للمثيلات في الشبكات الخاصة بالوصول إلى الإنترنت (للتنزيلات والتحديثات) دون أن تكون قابلة للوصول من الإنترنت.
اتصال أحادي الاتجاه: المثيلات الخاصة تبدأ الاتصال بالإنترنت وتستقبل الردود، لكن لا يمكن لأي جهاز خارجي بدء اتصال معها.
📋 NAT Gateway مقابل NAT Instance
اتصال أحادي الاتجاه: المثيلات الخاصة تبدأ الاتصال بالإنترنت وتستقبل الردود، لكن لا يمكن لأي جهاز خارجي بدء اتصال معها.
- NAT Gateway (مُدارة): خدمة مُدارة بالكامل من AWS — لا حاجة لإدارة أو تصحيح. عالية التوفر داخل AZ واحدة (أنشئ واحدة في كل AZ لتوفر كامل). تتحمل حتى 100 جيجابت في الثانية. تدعم IPv4 فقط.
- NAT Instance (ذاتية الإدارة): مثيل EC2 تشغله وتديره بنفسك كبوابة NAT. أرخص لكن أقل موثوقية ويتطلب إدارة يدوية. مفيد للحالات الخاصة (مثل تصفية المحتوى أو التوجيه المتقدم).
- توضع NAT Gateway في شبكة عامة ولها Elastic IP خاص بها.
- الشبكات الخاصة تضيف مساراً: 0.0.0.0/0 → nat-xxxx.
🔑 نصيحة أساسية: NAT Gateway أم NAT Instance؟
AWS توصي باستخدام NAT Gateway (وليس NAT Instance) لمعظم حالات الاستخدام لأنها خدمة مُدارة بالكامل، عالية التوفر، وتتحمل حتى 100 Gbps دون تدخل منك. أنشئ NAT Gateway في كل منطقة توفر (AZ) لضمان توفر عالٍ — إذا تعطلت AZ واحدة، الشبكات الخاصة في الـ AZ الأخرى تستمر في الوصول للإنترنت عبر NAT Gateway الخاصة بها.
AWS توصي باستخدام NAT Gateway (وليس NAT Instance) لمعظم حالات الاستخدام لأنها خدمة مُدارة بالكامل، عالية التوفر، وتتحمل حتى 100 Gbps دون تدخل منك. أنشئ NAT Gateway في كل منطقة توفر (AZ) لضمان توفر عالٍ — إذا تعطلت AZ واحدة، الشبكات الخاصة في الـ AZ الأخرى تستمر في الوصول للإنترنت عبر NAT Gateway الخاصة بها.
مثيل EC2 في شبكة خاصة (10.0.10.25) يحتاج تنزيل تحديثات أمنية.
جدول توجيه الشبكة الخاصة يحتوي على: 0.0.0.0/0 → nat-xxx (موجودة في شبكة عامة).
المثيل يرسل طلباً لخادم التحديثات ← NAT Gateway تستلمه وتترجم عنوان المصدر إلى Elastic IP العام الخاص بها وترسله للإنترنت.
خادم التحديثات يرد على Elastic IP ← NAT Gateway تترجمه إلى 10.0.10.25 وتسلمه.
لكن لو حاول هاكر مسح الشبكة والاتصال بـ 10.0.10.25 مباشرة — الطلب يُرفض، لا يوجد مسار عكسي.
جدول توجيه الشبكة الخاصة يحتوي على: 0.0.0.0/0 → nat-xxx (موجودة في شبكة عامة).
المثيل يرسل طلباً لخادم التحديثات ← NAT Gateway تستلمه وتترجم عنوان المصدر إلى Elastic IP العام الخاص بها وترسله للإنترنت.
خادم التحديثات يرد على Elastic IP ← NAT Gateway تترجمه إلى 10.0.10.25 وتسلمه.
لكن لو حاول هاكر مسح الشبكة والاتصال بـ 10.0.10.25 مباشرة — الطلب يُرفض، لا يوجد مسار عكسي.
4️⃣ Egress-Only Internet Gateway — بوابة الخروج فقط
📖 بوابة الخروج فقط للإنترنت (Egress-Only Internet Gateway) هي نسخة IPv6 من NAT Gateway — تسمح للمثيلات بالاتصال بالإنترنت عبر IPv6 دون أن تكون قابلة للوصول من الخارج.
لأن IPv6 لا يستخدم NAT (كل عنوان فريد عالمياً)، تحتاج آلية مختلفة لمنع الاتصالات الواردة غير المرغوب فيها مع السماح بالخارجة.
📋 خصائص Egress-Only Internet Gateway
لأن IPv6 لا يستخدم NAT (كل عنوان فريد عالمياً)، تحتاج آلية مختلفة لمنع الاتصالات الواردة غير المرغوب فيها مع السماح بالخارجة.
- تدعم IPv6 فقط — المثيلات تحتفظ بعناوين IPv6 العامة لكن البوابة تمنع الاتصالات الواردة.
- عالية التوفر ومُدارة بالكامل — لا حاجة لإدارتها.
- تستخدم مع المثيلات في الشبكات الخاصة التي تحتاج الوصول للإنترنت عبر IPv6.
✅ خلاصة جداول التوجيه والبوابات:
- جداول التوجيه تحدد مسارات الحزم من الشبكات الفرعية إلى وجهاتها — المسار الأكثر تحديداً له الأولوية.
- Internet Gateway: بوابة ثنائية الاتجاه بين VPC والإنترنت للمثيلات العامة.
- NAT Gateway: بوابة أحادية الاتجاه تسمح للمثيلات الخاصة بالخروج للإنترنت دون السماح بالدخول.
- Egress-Only Internet Gateway: نفس مفهوم NAT لكن لـ IPv6.
📖 جدول المصطلحات
| المصطلح (English) | الترجمة | المفهوم |
|---|---|---|
| Route Table | جدول التوجيه | مجموعة قواعد تحدد مسارات الحزم من وإلى الشبكات الفرعية — المسار الأكثر تحديداً له الأولوية. |
| Internet Gateway | بوابة الإنترنت | مكون يسمح بالاتصال ثنائي الاتجاه بين VPC والإنترنت عبر ترجمة العناوين. |
| NAT Gateway | بوابة ترجمة العناوين | خدمة مُدارة تسمح للمثيلات الخاصة بالخروج للإنترنت دون السماح بالدخول. |
| Egress-Only IGW | بوابة الخروج فقط | نسخة IPv6 من NAT تمنع الاتصالات الواردة وتسمح بالخارجة فقط. |
| Local Route | المسار المحلي | مسار تلقائي في جدول التوجيه يسمح بالتواصل بين جميع الشبكات الفرعية داخل VPC. |
| Elastic IP | العنوان العام المرن | عنوان IPv4 عام ثابت تملكه وتربطه بمثيل أو بوابة — يبقى معك حتى تطلق سراحه. |
1️⃣ Two Firewall Layers in VPC — طبقتا جدار الحماية في VPC
📖 لديك طبقتان من جدار الحماية في VPC: Security Groups على مستوى المثيل (stateful)، وNetwork ACLs على مستوى الشبكة الفرعية (stateless).
كلاهما يعملان معاً لتوفير دفاع متعدد الطبقات — Security Groups كحارس شخصي لكل مثيل، وNACLs كبوابة تفتيش على مدخل الحي.
📋 مقارنة Security Groups وNetwork ACLs
كلاهما يعملان معاً لتوفير دفاع متعدد الطبقات — Security Groups كحارس شخصي لكل مثيل، وNACLs كبوابة تفتيش على مدخل الحي.
| الخاصية | Security Group | Network ACL |
|---|---|---|
| النطاق | مثيل (واجهة الشبكة) | شبكة فرعية كاملة |
| الحالة | Stateful (يحفظ الحالة) | Stateless (لا يحفظ الحالة) |
| القواعد | قواعد سماح فقط (allow) | قواعد سماح ومنع (allow & deny) |
| التقييم | تُقيّم جميع القواعد مجتمعة | تُقيّم حسب رقم الترتيب (الأصغر أولاً) |
| الإرجاع | مسموح تلقائياً (stateful) | يجب السماح به صراحة (stateless) |
| الارتباط | حتى 5 SG لكل مثيل | ACL واحد لكل شبكة فرعية |
2️⃣ Security Groups — مجموعات الأمان
📖 مجموعة الأمان هي جدار حماية افتراضي (stateful) يعمل على مستوى المثيل — تتحكم بالحركة الداخلة والخارجة من وإلى المثيل.
كل مثيل يجب أن يرتبط بمجموعة أمان واحدة على الأقل (حتى 5). إذا لم تحدد واحدة عند الإطلاق، تستخدم المجموعة الافتراضية للـ VPC.
📋 خصائص مجموعات الأمان
كل مثيل يجب أن يرتبط بمجموعة أمان واحدة على الأقل (حتى 5). إذا لم تحدد واحدة عند الإطلاق، تستخدم المجموعة الافتراضية للـ VPC.
- قواعد السماح فقط (Allow only): لا يمكنك إنشاء قواعد "منع" — كل ما لم يُسمح به صراحة يُمنع ضمنياً (implicit deny).
- الحالة (Stateful): إذا سمحت بحركة داخلة، الرد الخارج تلقائياً يُسمح به دون قاعدة إضافية — والعكس صحيح.
- المصدر/الوجهة: يمكن تحديدها كـ CIDR (مثلاً 0.0.0.0/0) أو كـ Security Group أخرى (مثلاً السماح لكل المثيلات المرتبطة بـ SG-web).
- التقييم التراكمي: إذا ربطت عدة مجموعات أمان بنفس المثيل، تُجمع كل القواعد معاً وتُطبق جميعها.
تطبيق من 3 طبقات بأمان شبكي دقيق.
SG-web: يسمح بـ HTTP (80) وHTTPS (443) من الإنترنت (0.0.0.0/0).
SG-app: يسمح بـ HTTP (8080) فقط من SG-web (وليس من الإنترنت).
SG-db: يسمح بـ MySQL (3306) فقط من SG-app.
النتيجة: خوادم الويب ترى التطبيقات، التطبيقات ترى قواعد البيانات، لكن الإنترنت لا يرى إلا خوادم الويب — وكل طبقة معزولة عن الأخرى.
SG-web: يسمح بـ HTTP (80) وHTTPS (443) من الإنترنت (0.0.0.0/0).
SG-app: يسمح بـ HTTP (8080) فقط من SG-web (وليس من الإنترنت).
SG-db: يسمح بـ MySQL (3306) فقط من SG-app.
النتيجة: خوادم الويب ترى التطبيقات، التطبيقات ترى قواعد البيانات، لكن الإنترنت لا يرى إلا خوادم الويب — وكل طبقة معزولة عن الأخرى.
3️⃣ Network ACLs — قوائم التحكم في الوصول
📖 Network ACL هي جدار حماية اختياري (stateless) على مستوى الشبكة الفرعية — يتحكم بالحركة الداخلة والخارجة من وإلى الشبكة الفرعية كاملة.
كل شبكة فرعية يجب أن ترتبط بـ NACL واحد. إذا لم تحدد، تستخدم NACL الافتراضي الذي يسمح بكل الحركة.
📋 خصائص NACLs
كل شبكة فرعية يجب أن ترتبط بـ NACL واحد. إذا لم تحدد، تستخدم NACL الافتراضي الذي يسمح بكل الحركة.
- قواعد السماح والمنع: يمكنك إنشاء قواعد ALLOW وDENY — تحكم دقيق في السماح والمنع.
- بدون حالة (Stateless): إذا سمحت بحركة داخلة، يجب أن تسمح صراحة بالحركة الخارجة المقابلة (والعكس).
- أرقام القواعد: كل قاعدة لها رقم (1–32766) — تُقيّم القواعد تصاعدياً، أول قاعدة تطابق تُطبق (حتى لو كانت هناك قاعدة لاحقة بسماح).
- NACL الافتراضي: يسمح بكل الحركة الداخلة والخارجة. مفيد عندما لا تحتاج تحكماً على مستوى الشبكة الفرعية.
حالة عملية لاستخدام NACL.
شبكة فرعية عامة لخوادم الويب تتعرض لهجوم DDoS من نطاق IP معين (203.0.113.0/24).
يمكنك إضافة قاعدة DENY في NACL برقم صغير (مثلاً 50): منع كل حركة من 203.0.113.0/24 قبل أن تصل حتى إلى Security Groups.
Security Groups لا تدعم قواعد المنع — لكن NACL تدعمها، مما يمنحك طبقة دفاع إضافية قوية.
شبكة فرعية عامة لخوادم الويب تتعرض لهجوم DDoS من نطاق IP معين (203.0.113.0/24).
يمكنك إضافة قاعدة DENY في NACL برقم صغير (مثلاً 50): منع كل حركة من 203.0.113.0/24 قبل أن تصل حتى إلى Security Groups.
Security Groups لا تدعم قواعد المنع — لكن NACL تدعمها، مما يمنحك طبقة دفاع إضافية قوية.
🔑 نصيحة أساسية: Security Group أم NACL؟
استخدم Security Groups كجدار حماية أساسي — فهي stateful وأسهل في الإدارة وتدعم الإشارة لمجموعات أخرى.
استخدم NACLs كطبقة دفاع إضافية لحالات خاصة: منع نطاقات IP ضارة، أو عزل شبكة فرعية بالكامل في حالات الطوارئ، أو فرض قيود على مستوى الشبكة الفرعية لا يمكن فرضها عبر SGs.
استخدم Security Groups كجدار حماية أساسي — فهي stateful وأسهل في الإدارة وتدعم الإشارة لمجموعات أخرى.
استخدم NACLs كطبقة دفاع إضافية لحالات خاصة: منع نطاقات IP ضارة، أو عزل شبكة فرعية بالكامل في حالات الطوارئ، أو فرض قيود على مستوى الشبكة الفرعية لا يمكن فرضها عبر SGs.
✅ خلاصة أمان الشبكة:
- Security Groups هي جدران نارية على مستوى المثيل تدعم القواعد فقط (allow).
- Network ACLs هي جدران نارية على مستوى الشبكة الفرعية تدعم allow/deny.
- Security Groups stateful (حالة الاتصال محفوظة)، NACLs stateless.
- AWS Network Firewall يضيف حماية متقدمة على مستوى VPC.
📖 جدول المصطلحات
| المصطلح (English) | الترجمة | المفهوم |
|---|---|---|
| Security Group | مجموعة الأمان | جدار حماية stateful على مستوى المثيل — قواعد سماح فقط. |
| Network ACL | قائمة التحكم بالوصول | جدار حماية stateless على مستوى الشبكة الفرعية — سماح ومنع. |
| Stateful | حفظ الحالة | تذكر حالة الاتصال — الردود تُسمح تلقائياً دون قاعدة. |
| Stateless | بدون حفظ حالة | لا يتذكر الاتصالات — يجب السماح بالدخول والخروج صراحة. |
| Implicit Deny | المنع الضمني | كل حركة غير مسموحة صراحة في SG تُمنع تلقائياً دون قاعدة منع. |
1️⃣ Interface VPC Endpoints (AWS PrivateLink) — نقاط نهاية واجهة VPC
📖 نقاط نهاية VPC من نوع Interface (تُعرف بـ AWS PrivateLink) تتيح اتصالاً خاصاً من VPC إلى خدمات AWS المُدارة وكأنها داخل VPC الخاص بك.
تنشئ AWS واجهة شبكة مرنة (ENI) في كل شبكة فرعية تختارها داخل VPC، مع عنوان IP خاص. يمكنك إرفاق سياسات IAM للتحكم بصلاحيات الوصول. تُسعّر هذه الخدمة بالساعة + لكل جيجابايت من البيانات المُعالجة.
📋 خطوات إعداد Interface VPC Endpoint
تنشئ AWS واجهة شبكة مرنة (ENI) في كل شبكة فرعية تختارها داخل VPC، مع عنوان IP خاص. يمكنك إرفاق سياسات IAM للتحكم بصلاحيات الوصول. تُسعّر هذه الخدمة بالساعة + لكل جيجابايت من البيانات المُعالجة.
- تحديد اسم خدمة AWS: اختر اسم خدمة AWS المُدارة التي تريد الاتصال بها (مثل com.amazonaws.region.sqs).
- اختيار VPC: حدد VPC الذي ستنشئ فيه نقطة النهاية.
- اختيار الشبكات الفرعية: اختر شبكات فرعية عبر مناطق توفر متعددة لضمان المرونة (توافر عالٍ).
- تحديد مجموعات الأمان: أرفق Security Groups للتحكم بحركة البيانات من وإلى نقطة النهاية.
تطبيق داخلي يحتاج إلى إرسال رسائل إلى SQS دون المرور عبر الإنترنت العام.
ينشئ Interface VPC Endpoint لـ SQS في شبكتين فرعيتين عبر AZ مختلفة.
يرفق SG يسمح فقط لمجموعة SG-app بالاتصال على المنفذ 443.
النتيجة: التطبيق يتصل بـ SQS عبر شبكة AWS الداخلية بالكامل — بدون Internet Gateway أو NAT Gateway، وأمان معزز عبر PrivateLink.
ينشئ Interface VPC Endpoint لـ SQS في شبكتين فرعيتين عبر AZ مختلفة.
يرفق SG يسمح فقط لمجموعة SG-app بالاتصال على المنفذ 443.
النتيجة: التطبيق يتصل بـ SQS عبر شبكة AWS الداخلية بالكامل — بدون Internet Gateway أو NAT Gateway، وأمان معزز عبر PrivateLink.
2️⃣ Gateway VPC Endpoints — نقاط نهاية البوابة
📖 نقاط نهاية VPC من نوع Gateway تستهدف خدمات S3 وDynamoDB فقط.
تُضاف كمسار (route) في جدول التوجيه وليس كواجهة شبكة. مجانية تماماً ولا توجد حدود للإنتاجية (throughput). تستخدم قوائم البادئات (prefix lists) كأهداف للتوجيه.
📋 خصائص Gateway VPC Endpoints
تُضاف كمسار (route) في جدول التوجيه وليس كواجهة شبكة. مجانية تماماً ولا توجد حدود للإنتاجية (throughput). تستخدم قوائم البادئات (prefix lists) كأهداف للتوجيه.
- الخدمات المدعومة: Amazon S3 وAmazon DynamoDB فقط — لا تدعم أي خدمات AWS أخرى.
- آلية العمل: تُضاف كمسار في جدول التوجيه باستخدام prefix list كهدف — ليست واجهة شبكة منفصلة.
- التكلفة: مجانية بالكامل — لا رسوم بالساعة ولا رسوم على البيانات.
- الإنتاجية: لا توجد حدود للإنتاجية — مناسبة لأحمال العمل الضخمة.
- النطاق: تعمل داخل نفس Region فقط — لا تدعم الوصول من مناطق أخرى أو من الشبكات المحلية (on-premises).
تطبيق تحليلات بيانات يقرأ ويكتب ملايين الملفات يومياً من S3.
يستخدم Gateway VPC Endpoint لـ S3 بدلاً من توجيه الحركة عبر NAT Gateway أو Internet Gateway.
النتيجة: توفير كامل في تكاليف NAT Gateway للبيانات (التي قد تصل لآلاف الدولارات شهرياً)، مع زمن وصول أقل لأن الحركة تبقى داخل شبكة AWS.
يستخدم Gateway VPC Endpoint لـ S3 بدلاً من توجيه الحركة عبر NAT Gateway أو Internet Gateway.
النتيجة: توفير كامل في تكاليف NAT Gateway للبيانات (التي قد تصل لآلاف الدولارات شهرياً)، مع زمن وصول أقل لأن الحركة تبقى داخل شبكة AWS.
3️⃣ Interface vs Gateway Endpoints for S3 — مقارنة نقاط النهاية لـ S3
📖 عند الوصول إلى S3 من VPC، لديك خياران: Interface Endpoint (عبر PrivateLink) أو Gateway Endpoint. لكل منهما استخداماته ومزاياه.
الاختيار بينهما يعتمد على متطلباتك من حيث الأمان، والنطاق، والتكلفة، والأداء.
📋 جدول المقارنة
الاختيار بينهما يعتمد على متطلباتك من حيث الأمان، والنطاق، والتكلفة، والأداء.
| الخاصية | Interface Endpoint (PrivateLink) | Gateway Endpoint |
|---|---|---|
| نقطة الوصول | عنوان IP خاص داخل VPC | عنوان IP عام (مسار في جدول التوجيه) |
| الوصول من الشبكات المحلية | مسموح (عبر VPN أو Direct Connect) | غير مدعوم |
| الوصول من مناطق أخرى | مسموح (عبر VPC Peering) | غير مدعوم |
| التكلفة | مدفوعة (بالساعة + لكل جيجابايت) | مجانية |
| عرض النطاق الترددي | حتى 100 Gbps | بدون حد أقصى |
| حجم الحزمة الأقصى | 8500 بايت (Jumbo Frames) | بدون حد |
مؤسسة تمتلك مراكز بيانات محلية وتريد الوصول إلى S3 بشكل آمن.
تحتاج إلى Interface VPC Endpoint لأن Gateway Endpoint لا يدعم الوصول من الشبكات المحلية عبر Direct Connect.
في المقابل، تطبيق Serverless داخل نفس الـ Region يقرأ من S3 بكثافة — Gateway Endpoint هو الخيار الأمثل لأنه مجاني وبدون حدود إنتاجية.
تحتاج إلى Interface VPC Endpoint لأن Gateway Endpoint لا يدعم الوصول من الشبكات المحلية عبر Direct Connect.
في المقابل، تطبيق Serverless داخل نفس الـ Region يقرأ من S3 بكثافة — Gateway Endpoint هو الخيار الأمثل لأنه مجاني وبدون حدود إنتاجية.
4️⃣ AWS Network Firewall and Bastion Hosts — جدار الحماية وخوادم الحصن
📖 AWS Network Firewall هو جدار حماية مُدار (stateful) وخدمة كشف ومنع الاختراق (IDS/IPS) لشبكة VPC.
يُنشر في شبكة فرعية مخصصة للجدار الناري (firewall subnet)، ويُوجّه حركة المرور الخارجية لـ VPC من خلاله لحماية موارد الشبكات الفرعية. يُضيف طبقة أمان إضافية تتجاوز Security Groups وNACLs.
📋 خصائص AWS Network Firewall
يُنشر في شبكة فرعية مخصصة للجدار الناري (firewall subnet)، ويُوجّه حركة المرور الخارجية لـ VPC من خلاله لحماية موارد الشبكات الفرعية. يُضيف طبقة أمان إضافية تتجاوز Security Groups وNACLs.
- جدار حماية Stateful: يتتبع حالة الاتصالات ويتخذ قرارات ذكية بناءً على سياق الحركة.
- كشف ومنع الاختراق (IDS/IPS): يفحص محتوى الحزم للكشف عن أنماط الهجمات المعروفة ومنعها قبل وصولها للموارد.
- تصفية النطاقات (Domain Filtering): يسمح أو يمنع الوصول إلى مواقع ويب بناءً على أسماء النطاقات.
- التكامل مع AWS: يعمل مع AWS Firewall Manager لإدارة مركزية، ويسجل في CloudWatch وS3.
📖 Bastion Host هو خادم يُنشر في شبكة فرعية عامة لتوفير وصول إداري آمن إلى موارد الشبكات الفرعية الخاصة.
يستخدم Security Group لتقييد وصول المسؤولين إلى نطاقات IP محددة فقط، مما يُقلل سطح الهجوم على الموارد الخاصة.
📋 خصائص Bastion Hosts
يستخدم Security Group لتقييد وصول المسؤولين إلى نطاقات IP محددة فقط، مما يُقلل سطح الهجوم على الموارد الخاصة.
- نقطة دخول وحيدة: كل حركة الإدارة (SSH/RDP) تمر عبر Bastion Host — مما يُسهل المراقبة والتدقيق.
- تقييد الوصول: Security Group على Bastion Host يسمح فقط من عناوين IP محددة (مكاتب المؤسسة أو نطاق VPN).
- تقليل سطح الهجوم: الموارد في الشبكات الفرعية الخاصة لا تملك عناوين IP عامة — لا يمكن مهاجمتها مباشرة من الإنترنت.
- بديل مُدار: يمكن استخدام AWS Systems Manager Session Manager كبديل لـ Bastion Hosts دون الحاجة لفتح منفذ 22.
فريق DevOps يحتاج للوصول إلى خوادم التطبيقات في الشبكات الفرعية الخاصة لإجراء صيانة دورية.
ينشئ Bastion Host في شبكة فرعية عامة مع Security Group يسمح بـ SSH فقط من عنوان IP مكتب الشركة (203.0.113.10/32).
خوادم التطبيقات في الشبكات الخاصة تسمح بـ SSH فقط من Security Group الخاصة بـ Bastion Host.
النتيجة: المسؤولون يتصلون عبر SSH إلى Bastion Host أولاً، ثم يقفزون إلى خوادم التطبيقات — الإنترنت لا يرى خوادم التطبيقات أبداً.
ينشئ Bastion Host في شبكة فرعية عامة مع Security Group يسمح بـ SSH فقط من عنوان IP مكتب الشركة (203.0.113.10/32).
خوادم التطبيقات في الشبكات الخاصة تسمح بـ SSH فقط من Security Group الخاصة بـ Bastion Host.
النتيجة: المسؤولون يتصلون عبر SSH إلى Bastion Host أولاً، ثم يقفزون إلى خوادم التطبيقات — الإنترنت لا يرى خوادم التطبيقات أبداً.
✅ خلاصة نقاط نهاية VPC:
- Interface Endpoints تستخدم AWS PrivateLink للاتصال بالخدمات عبر ENI.
- Gateway Endpoints تستخدم لـ S3 و DynamoDB فقط.
- Gateway Load Balancer Endpoint يستخدم لأجهزة الأمان.
- VPC Endpoints تمنع عبور حركة المرور عبر الإنترنت العام.
📖 جدول المصطلحات
| المصطلح (English) | الترجمة | المفهوم |
|---|---|---|
| VPC Endpoint | نقطة نهاية VPC | اتصال خاص بين VPC وخدمات AWS بدون المرور عبر الإنترنت العام. |
| AWS PrivateLink | الرابط الخاص | تقنية تُمكّن الاتصال الخاص والآمن بين VPC وخدمات AWS عبر واجهات شبكة ENI. |
| Interface Endpoint | نقطة نهاية من نوع Interface | نقطة نهاية VPC تُنشئ ENI بعنوان IP خاص — تدعم معظم خدمات AWS. |
| Gateway Endpoint | نقطة نهاية من نوع Gateway | نقطة نهاية VPC تُضاف كمسار في جدول التوجيه — لـ S3 وDynamoDB فقط. |
| Prefix List | قائمة البادئات | قائمة نطاقات عناوين IP تُستخدم كهدف في جداول التوجيه لـ Gateway Endpoints. |
| AWS Network Firewall | جدار الحماية الشبكي | جدار حماية مُدار stateful مع كشف ومنع الاختراق لشبكة VPC. |
| Bastion Host | خادم الحصن | خادم وسيط في شبكة فرعية عامة لتوفير وصول إداري آمن للموارد الخاصة. |
1️⃣ VPC Flow Logs — سجلات تدفق VPC
📖 سجلات تدفق VPC (Flow Logs) تلتقط معلومات عن حركة IP من وإلى واجهات الشبكة في VPC — أداة أساسية للتدقيق واستكشاف الأخطاء والأمان.
يمكنك تفعيلها على مستوى VPC كامل، أو شبكة فرعية، أو واجهة شبكة محددة — ونشر السجلات إلى CloudWatch Logs أو S3.
📋 استخدامات VPC Flow Logs
يمكنك تفعيلها على مستوى VPC كامل، أو شبكة فرعية، أو واجهة شبكة محددة — ونشر السجلات إلى CloudWatch Logs أو S3.
- استكشاف الأخطاء: لماذا لا يتصل المثيل أ بقاعدة البيانات ب؟ Flow Logs تظهر إذا كانت الحزمة مقبولة (ACCEPT) أو مرفوضة (REJECT) وعلى أي مستوى (SG أو NACL).
- التدقيق الأمني: اكتشاف محاولات الوصول المشبوهة من عناوين IP غير معروفة أو منافذ غير مسموحة.
- تحليل الأنماط: أكثر المنافذ استخداماً، أكثر المصادر اتصالاً، حجم البيانات المنقولة بين الطبقات.
- كل سجل يحتوي على: عنوان المصدر والهدف، المنفذ، البروتوكول، عدد الحزم والبايتات، الإجراء (ACCEPT/REJECT)، ومدة التدفق.
🔑 نصيحة أساسية: حقول سجل التدفق (Flow Log Fields)
كل سجل تدفق يحتوي على 14 حقلاً أساسياً تفيد في التحليل والتدقيق:
🔹 version — إصدار صيغة السجل (حالياً 2).
🔹 account-id — معرف حساب AWS المالك للواجهة.
🔹 interface-id — معرف واجهة الشبكة (ENI).
🔹 srcaddr / dstaddr — عنوان IP المصدر والهدف.
🔹 srcport / dstport — منفذ المصدر والهدف.
🔹 protocol — رقم بروتوكول IANA (6=TCP, 17=UDP, 1=ICMP).
🔹 packets / bytes — عدد الحزم والبايتات المنقولة أثناء التدفق.
🔹 start / end — وقت بداية ونهاية التدفق (Unix timestamp).
🔹 action — ACCEPT أو REJECT (هل سُمح بالحزمة أم رُفضت).
🔹 log-status — حالة السجل: OK (طبيعي)، NODATA (لا بيانات)، SKIPDATA (تخطي بعض البيانات).
كل سجل تدفق يحتوي على 14 حقلاً أساسياً تفيد في التحليل والتدقيق:
🔹 version — إصدار صيغة السجل (حالياً 2).
🔹 account-id — معرف حساب AWS المالك للواجهة.
🔹 interface-id — معرف واجهة الشبكة (ENI).
🔹 srcaddr / dstaddr — عنوان IP المصدر والهدف.
🔹 srcport / dstport — منفذ المصدر والهدف.
🔹 protocol — رقم بروتوكول IANA (6=TCP, 17=UDP, 1=ICMP).
🔹 packets / bytes — عدد الحزم والبايتات المنقولة أثناء التدفق.
🔹 start / end — وقت بداية ونهاية التدفق (Unix timestamp).
🔹 action — ACCEPT أو REJECT (هل سُمح بالحزمة أم رُفضت).
🔹 log-status — حالة السجل: OK (طبيعي)، NODATA (لا بيانات)، SKIPDATA (تخطي بعض البيانات).
فريق أمان يكتشف نشاطاً مريباً في VPC.
يفعل Flow Logs على مستوى VPC كامل وينشرها إلى CloudWatch Logs.
بعد ساعة، يراجع السجلات ويجد محاولات اتصال مرفوضة (REJECT) على منفذ SSH من 50 عنوان IP مختلف في الصين.
رغم أن Security Groups كانت تمنع هذه الاتصالات بالفعل، إلا أن Flow Logs أكدت وجود هجوم منسق.
يضيف قاعدة DENY في NACL لهذه النطاقات — دفاع استباقي قبل أن ينجح أي هجوم.
يفعل Flow Logs على مستوى VPC كامل وينشرها إلى CloudWatch Logs.
بعد ساعة، يراجع السجلات ويجد محاولات اتصال مرفوضة (REJECT) على منفذ SSH من 50 عنوان IP مختلف في الصين.
رغم أن Security Groups كانت تمنع هذه الاتصالات بالفعل، إلا أن Flow Logs أكدت وجود هجوم منسق.
يضيف قاعدة DENY في NACL لهذه النطاقات — دفاع استباقي قبل أن ينجح أي هجوم.
2️⃣ Well-Architected for Networking — تطبيق Well-Architected على طبقة الشبكة
📖 تطبيق ركائز Well-Architected على تصميم VPC يضمن شبكة آمنة وموثوقة وفعالة.
الشبكة هي الأساس الذي تبنى عليه كل الخدمات الأخرى — خطأ في التصميم هنا يؤثر على كل شيء فوقه.
📋 تطبيق الركائز الست على VPC
الشبكة هي الأساس الذي تبنى عليه كل الخدمات الأخرى — خطأ في التصميم هنا يؤثر على كل شيء فوقه.
- التميز التشغيلي: توثيق تصميم VPC في CloudFormation أو Terraform، استخدام Flow Logs للمراقبة المستمرة، تسمية الموارد بشكل واضح (tags).
- الأمان: مبدأ الامتياز الأقل في Security Groups (اسمح فقط بما هو ضروري)، عزل الطبقات في شبكات فرعية مختلفة، استخدام NACLs كطبقة دفاع إضافية، تفعيل Flow Logs للتدقيق.
- الموثوقية: توزيع الموارد عبر AZs متعددة (شبكات فرعية في AZ1 وAZ2 على الأقل)، استخدام NAT Gateway في كل AZ (وليس NAT Instance)، تجنب الاعتماد على مسار واحد للإنترنت.
- كفاءة الأداء: اختيار أنواع مثيلات محسنة للشبكة (مثل m5n مع Enhanced Networking)، وضع الموارد في نفس AZ لتقليل زمن الوصول والتكلفة (التواصل داخل AZ مجاني).
- تحسين التكلفة: التواصل داخل نفس AZ مجاني — صمم تدفق البيانات بين الطبقات ليبقى في نفس AZ قدر الإمكان. استخدام VPC Endpoints للوصول إلى خدمات AWS بدون تكلفة NAT Gateway.
- الاستدامة: اختيار مناطق AWS تعمل بالطاقة المتجددة، تصميم شبكات فعالة تقلل من حركة البيانات غير الضرورية.
مراجعة Well-Architected لـ VPC خاص بتطبيق SaaS.
الأمان: اكتشف أن SG-db يسمح بالاتصال من 0.0.0.0/0 — يصححه فوراً ليسمح فقط من SG-app.
الموثوقية: يلاحظ أن NAT Gateway واحدة فقط في AZ1 — إذا تعطلت AZ1، كل الشبكات الخاصة تفقد الإنترنت. يضيف NAT Gateway ثانية في AZ2 مع جدول توجيه خاص بكل AZ.
التكلفة: يكتشف أن 80% من بيانات التطبيق تمر عبر NAT Gateway (بتكلفة لكل جيجابايت) — يضيف VPC Endpoints لـ S3 وDynamoDB لتجنب رسوم NAT.
النتيجة: VPC أكثر أمناً وموثوقية وأقل تكلفة بنسبة 30%.
الأمان: اكتشف أن SG-db يسمح بالاتصال من 0.0.0.0/0 — يصححه فوراً ليسمح فقط من SG-app.
الموثوقية: يلاحظ أن NAT Gateway واحدة فقط في AZ1 — إذا تعطلت AZ1، كل الشبكات الخاصة تفقد الإنترنت. يضيف NAT Gateway ثانية في AZ2 مع جدول توجيه خاص بكل AZ.
التكلفة: يكتشف أن 80% من بيانات التطبيق تمر عبر NAT Gateway (بتكلفة لكل جيجابايت) — يضيف VPC Endpoints لـ S3 وDynamoDB لتجنب رسوم NAT.
النتيجة: VPC أكثر أمناً وموثوقية وأقل تكلفة بنسبة 30%.
✅ خلاصة مراقبة الشبكة:
- VPC Flow Logs تسجل كل حركة المرور في VPC.
- Flow Logs تساعد في تحليل الأمان واستكشاف الأخطاء.
- Reachability Analyzer يختبر الاتصال بين الموارد.
- Network Access Analyzer يحدد الوصول غير المقصود.
📖 جدول المصطلحات
| المصطلح (English) | الترجمة | المفهوم |
|---|---|---|
| Amazon VPC | السحابة الافتراضية الخاصة | شبكة افتراضية معزولة في AWS تتحكم فيها بكل تفاصيل الشبكة. |
| CIDR | التوجيه بين النطاقات غير الطبقية | طريقة تحديد نطاق عناوين IP مثل 10.0.0.0/16. |
| Route Table | جدول التوجيه | مجموعة قواعد تحدد مسارات الحزم من وإلى الشبكات الفرعية. |
| Internet Gateway | بوابة الإنترنت | مكون يسمح بالاتصال ثنائي الاتجاه بين VPC والإنترنت. |
| NAT Gateway | بوابة ترجمة العناوين | خدمة مُدارة تسمح للمثيلات الخاصة بالخروج للإنترنت دون السماح بالدخول. |
| Security Group | مجموعة الأمان | جدار حماية stateful على مستوى المثيل — قواعد سماح فقط. |
| Network ACL | قائمة التحكم في الوصول | جدار حماية stateless على مستوى الشبكة الفرعية — قواعد سماح ومنع. |
| VPC Flow Logs | سجلات تدفق VPC | تسجيل معلومات عن حركة IP من وإلى واجهات الشبكة للتدقيق والتحليل. |
1️⃣ VPC Network Analysis Tools — أدوات تحليل ومراقبة الشبكة في VPC
📖 توفر AWS ثلاث أدوات أساسية لتحليل مسارات الشبكة وكشف الثغرات ومراقبة حركة البيانات داخل VPC.
هذه الأدوات تُمكّنك من استكشاف الأخطاء وتدقيق الأمان وتحسين وضع الشبكة بشكل استباقي.
📋 أدوات تحليل الشبكة
هذه الأدوات تُمكّنك من استكشاف الأخطاء وتدقيق الأمان وتحسين وضع الشبكة بشكل استباقي.
- Reachability Analyzer (محلل قابلية الوصول): يختبر الاتصال بين مصدر ووجهة داخل VPC. يُنتج تفاصيل خطوة بخطوة (hop-by-hop) للمسار الافتراضي للشبكة عندما يكون الاتصال قابلاً للتحقيق. عند عدم قابلية الوصول، يُحدد المُكوّن المانع بدقة (ممنوع بواسطة Security Group، أو NACL، أو جدول التوجيه، أو Load Balancer). مثال: اختبار اتصال SSH من Internet Gateway إلى مثيل EC2 على المنفذ 22.
- Network Access Analyzer (محلل الوصول الشبكي): يُحدد مسارات الوصول غير المقصودة إلى موارد الشبكة. يساعد في التحقق من وضع الأمان الشبكي وتحسينه. يُظهر الامتثال من خلال إزالة مسارات الوصول غير المصرح بها. يُنشئ تقارير عن الثغرات المحتملة مثل: موارد في شبكات فرعية عامة يمكن الوصول إليها من الإنترنت دون قيود كافية.
- Traffic Mirroring (عكس حركة المرور): ينسخ نسخة من حركة بيانات الشبكة لإرسالها إلى أجهزة الأمان والمراقبة. مفيد لفحص الحزم العميق (Deep Packet Inspection) وكشف التهديدات. يُستخدم مع أدوات طرف ثالث مثل أنظمة كشف الاختراق (IDS) وأجهزة التحليل الجنائي للشبكة.
فريق أمني يحقق في سبب عدم قدرة تطبيق جديد على الاتصال بقاعدة البيانات.
يستخدم Reachability Analyzer لاختبار المسار بين شبكة التطبيق الفرعية وشبكة قاعدة البيانات الفرعية على المنفذ 3306.
الأداة تُبلغ أن الاتصال ممنوع بواسطة NACL في شبكة قاعدة البيانات — القاعدة رقم 100 تمنع حركة TCP على المنفذ 3306.
يُضيف الفريق قاعدة ALLOW في NACL للمنفذ 3306 من نطاق شبكة التطبيق — يُحل المشكلة في دقائق بدلاً من ساعات من التخمين.
بعد ذلك، يُفعّل Traffic Mirroring على واجهة شبكة خادم قاعدة البيانات لمراقبة كل حركة SQL الواردة للكشف عن أنماط استعلام مشبوهة.
يستخدم Reachability Analyzer لاختبار المسار بين شبكة التطبيق الفرعية وشبكة قاعدة البيانات الفرعية على المنفذ 3306.
الأداة تُبلغ أن الاتصال ممنوع بواسطة NACL في شبكة قاعدة البيانات — القاعدة رقم 100 تمنع حركة TCP على المنفذ 3306.
يُضيف الفريق قاعدة ALLOW في NACL للمنفذ 3306 من نطاق شبكة التطبيق — يُحل المشكلة في دقائق بدلاً من ساعات من التخمين.
بعد ذلك، يُفعّل Traffic Mirroring على واجهة شبكة خادم قاعدة البيانات لمراقبة كل حركة SQL الواردة للكشف عن أنماط استعلام مشبوهة.
✅ خلاصة أدوات استكشاف الأخطاء:
- أدوات استكشاف الأخطاء تساعد في تحليل مشاكل الشبكة.
- VPC Reachability Analyzer يتحقق من إمكانية الوصول.
- AWS Inspector يفحص الثغرات الأمنية.
- التشخيص المبكر يمنع تفاقم المشاكل.
📖 جدول المصطلحات
| المصطلح (English) | الترجمة | المفهوم |
|---|---|---|
| Reachability Analyzer | محلل قابلية الوصول | أداة تختبر الاتصال بين مصدر ووجهة في VPC وتُظهر المسار أو المُكوّن المانع. |
| Network Access Analyzer | محلل الوصول الشبكي | أداة تُحدد مسارات الوصول غير المقصودة وتساعد في تحسين وضع الأمان الشبكي. |
| Traffic Mirroring | عكس حركة المرور | نسخ حركة بيانات الشبكة لإرسالها إلى أجهزة الأمان والمراقبة للتحليل. |
| Hop-by-Hop | خطوة بخطوة | عرض تفصيلي لكل نقطة عبور في المسار الشبكي بين المصدر والوجهة. |
| Deep Packet Inspection | فحص الحزم العميق | تحليل محتوى حزم البيانات للكشف عن محتوى ضار أو أنماط مشبوهة. |
1️⃣ تخطيط طوبولوجيا الشبكة
📖 كيف تخطط لطوبولوجيا شبكتك؟
تخطيط طوبولوجيا الشبكة هو أساس تطبيق ركيزة Operational Excellence على الشبكات، ويشمل تخصيص نطاقات CIDR بشكل استراتيجي وتصميم هيكل الشبكات الفرعية.
📋 أفضل ممارسات تخصيص CIDR:
تخطيط طوبولوجيا الشبكة هو أساس تطبيق ركيزة Operational Excellence على الشبكات، ويشمل تخصيص نطاقات CIDR بشكل استراتيجي وتصميم هيكل الشبكات الفرعية.
- اختر نطاق CIDR كبيراً بما يكفي للنمو المستقبلي (مثلاً /16 يعطي 65,536 عنواناً).
- قسّم النطاق إلى شبكات فرعية أصغر (/24 = 256 عنواناً) لكل طبقة ولكل منطقة توفر.
- تأكد من عدم تداخل نطاقات CIDR عند التخطيط لربط VPCs متعددة في المستقبل.
- استخدم VPC IP Address Manager (IPAM) لإدارة وتتبع عناوين IP عبر حسابات ومناطق متعددة.
- خصص نطاقات منفصلة لبيئات الإنتاج والاختبار والتطوير.
- خطط لـ dual-stack (IPv4 + IPv6) لدعم التطبيقات الحديثة والامتثال للمعايير المستقبلية.
شركة متعددة الجنسيات تخطط لشبكة AWS عالمية.
تخصص 10.0.0.0/8 للمنطقة الأمريكية، و10.1.0.0/8 للمنطقة الأوروبية، و10.2.0.0/8 للمنطقة الآسيوية.
في كل منطقة: /20 للإنتاج، /20 للاختبار، /20 للتطوير — مع ترك مساحة فارغة للنمو.
النتيجة: شبكة عالمية منظمة تسمح بإضافة مناطق جديدة دون تعارض في العناوين.
تخصص 10.0.0.0/8 للمنطقة الأمريكية، و10.1.0.0/8 للمنطقة الأوروبية، و10.2.0.0/8 للمنطقة الآسيوية.
في كل منطقة: /20 للإنتاج، /20 للاختبار، /20 للتطوير — مع ترك مساحة فارغة للنمو.
النتيجة: شبكة عالمية منظمة تسمح بإضافة مناطق جديدة دون تعارض في العناوين.
2️⃣ حماية البنية التحتية للشبكة
📖 كيف تحمي البنية التحتية للشبكة؟
تطبيق ركيزة Security على الشبكات يتطلب الدفاع متعدد الطبقات (defense in depth) عبر 5 طبقات تحكم: البروتوكول → جدول التوجيه → NACL → الشبكة الفرعية → Security Group.
📋 طبقات الدفاع الخمس:
تطبيق ركيزة Security على الشبكات يتطلب الدفاع متعدد الطبقات (defense in depth) عبر 5 طبقات تحكم: البروتوكول → جدول التوجيه → NACL → الشبكة الفرعية → Security Group.
- البروتوكولات الآمنة: استخدام TLS 1.3 وHTTPS لتأمين البيانات أثناء النقل.
- جدول التوجيه: التأكد من أن جداول التوجيه لا تحتوي على مسارات غير مصرح بها.
- NACL: تطبيق قواعد عديمة الحالة (stateless) على مستوى الشبكة الفرعية كخط دفاع أول.
- الشبكة الفرعية: عزل الموارد في شبكات فرعية منفصلة (عامة/خاصة/قاعدة بيانات).
- Security Group: تطبيق قواعد ذات حالة (stateful) على مستوى المثيل كخط دفاع أخير.
تطبيق مصرفي يستخدم نموذج Zero Trust للشبكة.
الطبقة 1: يفرض TLS 1.3 على جميع الاتصالات.
الطبقة 2: جداول التوجيه لا تسمح إلا بالمسارات المصرح بها.
الطبقة 3: NACL يمنع جميع المنافذ عدا 443.
الطبقة 4: خوادم التطبيق في شبكة خاصة وخوادم البيانات في شبكة منفصلة تماماً.
الطبقة 5: Security Group يسمح فقط لخوادم التطبيق بالوصول لقاعدة البيانات على المنفذ 3306.
الطبقة 1: يفرض TLS 1.3 على جميع الاتصالات.
الطبقة 2: جداول التوجيه لا تسمح إلا بالمسارات المصرح بها.
الطبقة 3: NACL يمنع جميع المنافذ عدا 443.
الطبقة 4: خوادم التطبيق في شبكة خاصة وخوادم البيانات في شبكة منفصلة تماماً.
الطبقة 5: Security Group يسمح فقط لخوادم التطبيق بالوصول لقاعدة البيانات على المنفذ 3306.
3️⃣ اختيار بنية الشبكة المناسبة
📖 كيف تختار بنية الشبكة؟
ركيزة Performance Efficiency تتطلب اختيار هيكل الشبكة والتقنيات المناسبة بناءً على متطلبات زمن الانتقال (latency) وتقلقل التأخير (jitter) ونوع البروتوكول (TCP/UDP).
📋 اعتبارات اختيار البنية:
ركيزة Performance Efficiency تتطلب اختيار هيكل الشبكة والتقنيات المناسبة بناءً على متطلبات زمن الانتقال (latency) وتقلقل التأخير (jitter) ونوع البروتوكول (TCP/UDP).
- زمن الانتقال (Latency): بين Availability Zones يصل إلى أرقام أحادية بالميلي ثانية (single-digit ms)، وبين Regions يصل إلى عشرات الميلي ثانية (~10s ms).
- نوع البروتوكول: TCP للتطبيقات التي تحتاج موثوقية (مواقع، قواعد بيانات)، UDP للتطبيقات التي تحتاج سرعة (بث فيديو، ألعاب).
- عرض النطاق: اختر Direct Connect لنقل بيانات ضخم ومستمر (حتى 100 Gbps)، وVPN للاحتياجات الأقل أو المؤقتة.
- التكرار (Redundancy): انشر الموارد عبر AZs متعددة دائماً ولا تعتمد على منطقة توفر واحدة.
منصة ألعاب إلكترونية تحتاج زمن انتقال أقل من 20 ميلي ثانية للاعبين في الشرق الأوسط.
تختار المنصة Region البحرين (me-south-1) وتنشر خوادم اللعبة في 3 AZs مع Network Load Balancer لتوزيع حركة UDP.
النتيجة: زمن انتقال 8-12 ميلي ثانية فقط للاعبين في الخليج.
تختار المنصة Region البحرين (me-south-1) وتنشر خوادم اللعبة في 3 AZs مع Network Load Balancer لتوزيع حركة UDP.
النتيجة: زمن انتقال 8-12 ميلي ثانية فقط للاعبين في الخليج.
4️⃣ تحسين تكلفة الشبكة
📖 كيف تحسن تكلفة الشبكة؟
ركيزة Cost Optimization للشبكات تركز على اختيار المنطقة المناسبة وتقليل تكاليف نقل البيانات واستخدام نماذج التسعير الفعالة.
📋 أفضل ممارسات تحسين التكلفة:
ركيزة Cost Optimization للشبكات تركز على اختيار المنطقة المناسبة وتقليل تكاليف نقل البيانات واستخدام نماذج التسعير الفعالة.
- اختر AWS Region الأقل تكلفة من حيث تسعير نقل البيانات وسعر الخدمات.
- استخدم VPC Endpoints (Gateway/Interface) لتجنب تكاليف NAT Gateway لنقل البيانات عند الوصول لخدمات AWS مثل S3 وDynamoDB.
- قلل نقل البيانات عبر المناطق (cross-Region transfer) إلا للضرورة القصوى.
- استخدم Direct Connect للبيانات الضخمة لتوفير يصل إلى 60% مقارنة بنقل البيانات عبر الإنترنت.
- خطط لتكاليف عناوين IPv4 العامة (بدءاً من فبراير 2024، $0.005/ساعة لكل عنوان غير مرتبط بمثيل).
شركة تحليلات تنقل 50 تيرابايت شهرياً من S3 عبر NAT Gateway بتكلفة ~$2,500 شهرياً.
بعد تفعيل S3 Gateway Endpoint، تنخفض تكلفة نقل البيانات إلى $0 لأن البيانات تنتقل عبر شبكة AWS الداخلية.
التوفير: $30,000 سنوياً.
بعد تفعيل S3 Gateway Endpoint، تنخفض تكلفة نقل البيانات إلى $0 لأن البيانات تنتقل عبر شبكة AWS الداخلية.
التوفير: $30,000 سنوياً.
5️⃣ سيناريو التصميم الخاطئ والأنماط المضادة
📖 ما الأنماط المضادة في تصميم الشبكات؟
Anti-patterns هي قرارات تصميمية شائعة تؤدي إلى مشاكل في الأمان أو الأداء أو التكلفة. معرفتها تساعدك على تجنبها في تصاميمك.
📋 الأنماط المضادة الأربعة للشبكات:
Anti-patterns هي قرارات تصميمية شائعة تؤدي إلى مشاكل في الأمان أو الأداء أو التكلفة. معرفتها تساعدك على تجنبها في تصاميمك.
- VPC صغير جداً (Small VPC): استخدام /28 يعطي 16 عنواناً فقط — لن تتمكن من إضافة موارد جديدة مستقبلاً. الحل: استخدم /16 على الأقل مع تخطيط للنمو.
- Security Groups متساهلة (Permissive SG): فتح 0.0.0.0/0 على جميع المنافذ — يعرض مواردك للإنترنت بالكامل. الحل: افتح فقط المنافذ الضرورية وعناوين IP المحددة.
- وصول مباشر لقاعدة البيانات (Direct DB access): وضع قاعدة البيانات في شبكة فرعية عامة وجعلها قابلة للوصول من الإنترنت. الحل: قاعدة البيانات في شبكة فرعية خاصة، والتطبيق فقط هو من يصل إليها.
- اختيار منطقة خاطئة (Wrong Region): اختيار منطقة بعيدة عن المستخدمين يزيد زمن الانتقال والتكلفة. الحل: اختيار المنطقة الأقرب للمستخدمين مع مراعاة تكلفة الخدمات الإقليمية.
شركة ناشئة في أيرلندا اختارت VPC بنطاق 10.0.0.0/28 (16 عنواناً فقط) في منطقة us-east-1.
بعد 6 أشهر، احتاجت إضافة 10 مثيلات جديدة وقاعدة بيانات RDS بنسخة احتياطية Multi-AZ لكن لم تتبق عناوين كافية.
الحل: إنشاء VPC جديد بنطاق 10.0.0.0/16 في منطقة eu-west-1 (أيرلندا) مع ترحيل الموارد — عملية مكلفة كان يمكن تجنبها بالتخطيط المسبق.
بعد 6 أشهر، احتاجت إضافة 10 مثيلات جديدة وقاعدة بيانات RDS بنسخة احتياطية Multi-AZ لكن لم تتبق عناوين كافية.
الحل: إنشاء VPC جديد بنطاق 10.0.0.0/16 في منطقة eu-west-1 (أيرلندا) مع ترحيل الموارد — عملية مكلفة كان يمكن تجنبها بالتخطيط المسبق.
🔑 نصيحة أساسية: دائماً خطط للشبكة وكأن مؤسستك ستنمو 5 أضعاف خلال سنتين. تخصيص نطاق CIDR صغير الآن سيكلفك ترحيلاً كاملاً لاحقاً. استخدم VPC IPAM من اليوم الأول لتجنب تعارض العناوين بين الحسابات والمناطق.
مثلما تحتاج المدينة إلى تخطيط عمراني يخصص مساحات للشوارع والمباني والحدائق قبل البناء، هكذا تحتاج شبكة VPC إلى تخطيط مسبق لنطاقات CIDR والشبكات الفرعية قبل نشر الموارد.
وكما يحتاج كل مبنى إلى حارس أمن عند البوابة (NACL) ومفتاح لكل شقة (Security Group)، هكذا تحتاج البنية إلى طبقات دفاع متعددة.
وكما يحتاج كل مبنى إلى حارس أمن عند البوابة (NACL) ومفتاح لكل شقة (Security Group)، هكذا تحتاج البنية إلى طبقات دفاع متعددة.
✅ خلاصة: Well-Architected للشبكات
- تخطيط CIDR استراتيجي مع IPAM من البداية يمنع مشاكل التوسع لاحقاً.
- الدفاع متعدد الطبقات: 5 طبقات من الحماية من البروتوكول إلى Security Group.
- اختيار بنية الشبكة حسب زمن الانتقال ونوع البروتوكول واحتياجات عرض النطاق.
- VPC Endpoints واختيار المنطقة المناسبة يخفضان تكاليف نقل البيانات.
- تجنب الأنماط المضادة الأربعة: VPC صغير، SG متساهل، DB مباشر، منطقة خاطئة.
📖 جدول المصطلحات
| المصطلح (English) | الترجمة | المفهوم |
|---|---|---|
| Anti-pattern | نمط مضاد | قرار تصميمي شائع يؤدي إلى نتائج سلبية ويجب تجنبه. |
| Zero Trust | الثقة الصفرية | نموذج أمني يفترض عدم الثقة بأي جهة داخل الشبكة أو خارجها. |
| IPAM | مدير عناوين IP | أداة AWS لإدارة وتتبع ومراقبة عناوين IP عبر حسابات ومناطق متعددة. |
| Jitter | تقلقل التأخير | التباين في زمن انتقال الحزم بين نقطتين في الشبكة. |
| Dual-stack | المكدس المزدوج | دعم IPv4 وIPv6 معاً في نفس VPC والشبكات الفرعية. |
🚀 الخاتمة
في هذه الوحدة تعلمنا أن Amazon VPC هو أساس أي بنية سحابية آمنة — شبكتك الافتراضية الخاصة التي تتحكم فيها تحكماً كاملاً.
استكشفنا تخطيط نطاقات CIDR وتقسيمها إلى شبكات فرعية عامة وخاصة عبر مناطق توفر متعددة لضمان التوفر العالي.
تعلمنا كيف تعمل جداول التوجيه على توجيه الحزم بين الشبكات الفرعية وإلى الإنترنت عبر Internet Gateway (للمثيلات العامة) وNAT Gateway (للمثيلات الخاصة).
تعمقنا في طبقتين من جدران الحماية: Security Groups (stateful، على مستوى المثيل، قواعد سماح فقط) وNetwork ACLs (stateless، على مستوى الشبكة الفرعية، قواعد سماح ومنع).
تعرفنا على VPC Flow Logs كأداة أساسية لاستكشاف الأخطاء والتدقيق الأمني وتحليل أنماط حركة البيانات.
وأخيراً، طبقنا مبادئ Well-Architected الستة على تصميم الشبكة لضمان الأمان والموثوقية وكفاءة التكلفة.
تذكر: الشبكة المصممة جيداً هي الأساس الذي تقوم عليه كل طبقات البنية الأخرى — لا تختصر في تصميمها.