🎯 عن هذا المقال
1️⃣ ماذا ستتعلم؟ أساسيات Amazon VPC من تصميم الشبكات الفرعية وجداول التوجيه وبوابات الإنترنت وNAT إلى مجموعات الأمان وقوائم ACL.
2️⃣ لماذا هو مهم؟ الشبكة هي العمود الفقري الذي يربط كل مكونات بنيتك — تصميم VPC خاطئ قد يكلفك الأمان والأداء معاً.
3️⃣ كيف يرتبط بما سبق؟ بعد أن بنينا طبقات التخزين (S3) والحوسبة (EC2) وقواعد البيانات (RDS)، حان وقت إنشاء بيئة الشبكة الآمنة التي تحتضنها جميعاً.
📖 Amazon Virtual Private Cloud (VPC) هي شبكتك الافتراضية الخاصة في سحابة AWS — مساحة معزولة بالكامل تتحكم فيها بكل تفاصيل الشبكة.
تمنحك تحكماً كاملاً: تحدد نطاق عناوين IP، تنشئ شبكات فرعية، وتكوّن جداول التوجيه وبوابات الشبكة. كل حساب AWS يأتي مع VPC افتراضي جاهز للاستخدام الفوري.
📋 ما الذي تقدمه VPC؟
تمنحك تحكماً كاملاً: تحدد نطاق عناوين IP، تنشئ شبكات فرعية، وتكوّن جداول التوجيه وبوابات الشبكة. كل حساب AWS يأتي مع VPC افتراضي جاهز للاستخدام الفوري.
- شبكة افتراضية معزولة منطقياً في السحابة — بياناتك وتطبيقاتك منفصلة تماماً عن المستخدمين الآخرين.
- تحدد نطاق عناوين IP باستخدام CIDR (مثلاً 10.0.0.0/16) ويمكنك تقسيمه إلى شبكات فرعية أصغر.
- تتحكم بحركة المرور الداخلة والخارجة عبر جداول التوجيه وجدران الحماية (Security Groups وNACLs).
- يمكنك ربط VPC بمركز بياناتك المحلي عبر VPN أو Direct Connect لإنشاء شبكة هجينة.
- تدعم IPv4 وIPv6 مع إمكانية استخدام كليهما في نفس الشبكة.
شركة ناشئة تطلق تطبيق ويب على AWS.
تنشئ VPC بنطاق 10.0.0.0/16 — يوفر 65,536 عنوان IP.
تقسمه إلى 4 شبكات فرعية: اثنتان عامتان لخوادم الويب (في AZ1 وAZ2) واثنتان خاصتان لقواعد البيانات (في AZ1 وAZ2).
خوادم الويب تستقبل طلبات الإنترنت عبر Internet Gateway، وقواعد البيانات محمية تماماً لا يصلها أحد من الخارج.
النتيجة: بيئة آمنة ومعزولة تحاكي أفضل ممارسات مراكز البيانات الداخلية لكن بدون شراء أي جهاز.
تنشئ VPC بنطاق 10.0.0.0/16 — يوفر 65,536 عنوان IP.
تقسمه إلى 4 شبكات فرعية: اثنتان عامتان لخوادم الويب (في AZ1 وAZ2) واثنتان خاصتان لقواعد البيانات (في AZ1 وAZ2).
خوادم الويب تستقبل طلبات الإنترنت عبر Internet Gateway، وقواعد البيانات محمية تماماً لا يصلها أحد من الخارج.
النتيجة: بيئة آمنة ومعزولة تحاكي أفضل ممارسات مراكز البيانات الداخلية لكن بدون شراء أي جهاز.
📖 عند إنشاء حساب AWS جديد، تحصل تلقائياً على VPC افتراضي في كل منطقة مع شبكات فرعية جاهزة وInternet Gateway وبوابات NAT.
الـ VPC الافتراضي مصمم ليساعد المبتدئين على الانطلاق بسرعة — تطلق مثيل EC2 ويصبح متصلاً بالإنترنت فوراً دون أي إعدادات شبكة.
📋 مكونات الـ VPC الافتراضي
الـ VPC الافتراضي مصمم ليساعد المبتدئين على الانطلاق بسرعة — تطلق مثيل EC2 ويصبح متصلاً بالإنترنت فوراً دون أي إعدادات شبكة.
- نطاق CIDR: 172.31.0.0/16 — يوفر مساحة عنونة كافية لمعظم حالات الاستخدام.
- شبكة فرعية عامة واحدة في كل منطقة توفر (AZ) — جاهزة لاستقبال مثيلات ذات عناوين IP عامة.
- Internet Gateway مرفق تلقائياً — يسمح بالاتصال بالإنترنت من وإلى المثيلات العامة.
- إعدادات DNS تلقائية — المثيلات تحصل على أسماء DNS عامة وخاصة.
مطور مبتدئ يطلق أول مثيل EC2 له.
بفضل VPC الافتراضي، لا يحتاج لفهم CIDR أو الشبكات الفرعية أو جداول التوجيه.
يضغط "Launch Instance" ويختار VPC الافتراضي — يحصل فوراً على خادم ويب متصل بالإنترنت.
لاحقاً عندما تنمو احتياجاته، يبني VPC مخصص بمخطط شبكي دقيق يناسب تطبيقه.
بفضل VPC الافتراضي، لا يحتاج لفهم CIDR أو الشبكات الفرعية أو جداول التوجيه.
يضغط "Launch Instance" ويختار VPC الافتراضي — يحصل فوراً على خادم ويب متصل بالإنترنت.
لاحقاً عندما تنمو احتياجاته، يبني VPC مخصص بمخطط شبكي دقيق يناسب تطبيقه.
VPC تشبه قطعة أرض فارغة في مدينة رقمية.
تحدد أنت حدود الأرض (CIDR: 10.0.0.0/16).
تقسمها إلى أحياء (شبكات فرعية: public وprivate).
تبني طرقاً رئيسية بين الأحياء (جداول التوجيه).
تضع بوابات على مداخل المدينة (Internet Gateway).
وتبني جدراناً حول كل مبنى (Security Groups) وقوانين مرور للمدينة كاملة (NACLs).
كل شيء تحت سيطرتك — من حدود المدينة إلى قوانين السير داخلها.
تحدد أنت حدود الأرض (CIDR: 10.0.0.0/16).
تقسمها إلى أحياء (شبكات فرعية: public وprivate).
تبني طرقاً رئيسية بين الأحياء (جداول التوجيه).
تضع بوابات على مداخل المدينة (Internet Gateway).
وتبني جدراناً حول كل مبنى (Security Groups) وقوانين مرور للمدينة كاملة (NACLs).
كل شيء تحت سيطرتك — من حدود المدينة إلى قوانين السير داخلها.
📖 جدول المصطلحات
| المصطلح (English) | الترجمة | المفهوم |
|---|---|---|
| Amazon VPC | السحابة الافتراضية الخاصة | شبكة افتراضية معزولة تتحكم فيها بكل تفاصيل الشبكة. |
| CIDR Block | كتلة CIDR | نطاق عناوين IP مثل 10.0.0.0/16 يحدد مساحة العناوين. |
| Default VPC | VPC الافتراضي | شبكة جاهزة في كل منطقة مع شبكات فرعية وبوابة إنترنت. |
| DNS Hostname | اسم مضيف DNS | اسم DNS عام أو خاص يسند تلقائياً للمثيلات في VPC. |
🔢 تخطيط نطاق CIDR
📖 CIDR (Classless Inter-Domain Routing) هو الطريقة التي تحدد بها نطاق عناوين IP في VPC.
الصيغة: عنوان_القاعدة/البادئة — مثلاً 10.0.0.0/16 يعني أن أول 16 بت ثابتة والباقي متغير، مما يعطي 65,536 عنواناً.
📋 قواعد نطاقات CIDR في VPC
الصيغة: عنوان_القاعدة/البادئة — مثلاً 10.0.0.0/16 يعني أن أول 16 بت ثابتة والباقي متغير، مما يعطي 65,536 عنواناً.
- النطاق المسموح: /16 (65,536 عنوان) كحد أقصى إلى /28 (16 عنواناً) كحد أدنى.
- العناوين الخاصة الموصى بها (RFC 1918): 10.0.0.0/8، 172.16.0.0/12، 192.168.0.0/16.
- أول 4 عناوين وآخر عنوان في كل شبكة فرعية محجوزة تلقائياً من AWS: (10.0.0.0: الشبكة، 10.0.0.1: موجه VPC، 10.0.0.2: خادم DNS، 10.0.0.3: محجوز للمستقبل، 10.0.0.255: البث).
- يمكنك إضافة حتى 5 نطاقات CIDR إضافية لـ VPC بعد إنشائها (ثانوية).
مهندس شبكات يخطط VPC لتطبيق تجارة إلكترونية.
يختار 10.0.0.0/16 — مساحة كافية لـ 65 ألف عنوان.
يقسمها: 10.0.1.0/24 للشبكة العامة في AZ1 (251 عنواناً قابلاً للاستخدام).
10.0.2.0/24 للشبكة العامة في AZ2.
10.0.10.0/24 للشبكة الخاصة للتطبيق في AZ1.
10.0.20.0/24 للشبكة الخاصة للتطبيق في AZ2.
10.0.100.0/24 للشبكة الخاصة لقاعدة البيانات في AZ1.
10.0.200.0/24 للشبكة الخاصة لقاعدة البيانات في AZ2.
كل طبقة معزولة وآمنة — لو اختُرقت خوادم الويب العامة، لا تصل إلى قواعد البيانات في الشبكات الخاصة.
يختار 10.0.0.0/16 — مساحة كافية لـ 65 ألف عنوان.
يقسمها: 10.0.1.0/24 للشبكة العامة في AZ1 (251 عنواناً قابلاً للاستخدام).
10.0.2.0/24 للشبكة العامة في AZ2.
10.0.10.0/24 للشبكة الخاصة للتطبيق في AZ1.
10.0.20.0/24 للشبكة الخاصة للتطبيق في AZ2.
10.0.100.0/24 للشبكة الخاصة لقاعدة البيانات في AZ1.
10.0.200.0/24 للشبكة الخاصة لقاعدة البيانات في AZ2.
كل طبقة معزولة وآمنة — لو اختُرقت خوادم الويب العامة، لا تصل إلى قواعد البيانات في الشبكات الخاصة.
🌐 الشبكات الفرعية العامة والخاصة
📖 الشبكة الفرعية (Subnet) هي تقسيم منطقي داخل VPC يعيش في منطقة توفر واحدة ولا يمكن أن يمتد عبر AZs.
الفرق الأساسي بين الشبكة العامة والخاصة هو طريق التوجيه إلى الإنترنت: العامة لديها طريق إلى Internet Gateway، والخاصة لا تملكه.
📋 الشبكات العامة مقابل الخاصة
الفرق الأساسي بين الشبكة العامة والخاصة هو طريق التوجيه إلى الإنترنت: العامة لديها طريق إلى Internet Gateway، والخاصة لا تملكه.
- الشبكة العامة: جدول توجيهها يحتوي على مسار إلى Internet Gateway (0.0.0.0/0 → igw-xxxx). المثيلات فيها يمكن أن تحصل على IP عام وتتواصل مع الإنترنت.
- الشبكة الخاصة: لا يوجد مسار مباشر إلى الإنترنت. المثيلات فيها لا تحصل على IP عام ولا يمكن الوصول إليها من الإنترنت — مثالية لقواعد البيانات وخوادم التطبيقات الخلفية.
- للمثيلات في الشبكات الخاصة للوصول إلى الإنترنت (للتنزيلات والتحديثات)، تحتاج بوابة NAT في شبكة عامة.
- الشبكة الفرعية مرتبطة بمنطقة توفر واحدة — لتوفر عالٍ، أنشئ شبكات فرعية في AZs متعددة.
تطبيق مكون من 3 طبقات بتصميم شبكي آمن.
الطبقة الأولى (خوادم الويب): في شبكات عامة عبر AZ1 وAZ2 — تستقبل طلبات HTTP/HTTPS من الإنترنت.
الطبقة الثانية (خوادم التطبيق): في شبكات خاصة عبر AZ1 وAZ2 — تتواصل مع خوادم الويب داخلياً وتعالج منطق الأعمال.
الطبقة الثالثة (قاعدة البيانات RDS Multi-AZ): في شبكات خاصة عبر AZ1 وAZ2 — معزولة تماماً عن الإنترنت.
لا يوجد مسار من الإنترنت إلى الطبقتين الثانية والثالثة — أمان متعدد الطبقات بتصميم شبكي فقط.
الطبقة الأولى (خوادم الويب): في شبكات عامة عبر AZ1 وAZ2 — تستقبل طلبات HTTP/HTTPS من الإنترنت.
الطبقة الثانية (خوادم التطبيق): في شبكات خاصة عبر AZ1 وAZ2 — تتواصل مع خوادم الويب داخلياً وتعالج منطق الأعمال.
الطبقة الثالثة (قاعدة البيانات RDS Multi-AZ): في شبكات خاصة عبر AZ1 وAZ2 — معزولة تماماً عن الإنترنت.
لا يوجد مسار من الإنترنت إلى الطبقتين الثانية والثالثة — أمان متعدد الطبقات بتصميم شبكي فقط.
📍 عناوين IP في VPC
📖 تدعم VPC ثلاثة أنواع من عناوين IP: خاصة (private) دائمة، وعامة (public) متغيرة، وعامة مرنة (Elastic IP) ثابتة.
فهم الفرق بينها والوقت المناسب لاستخدام كل نوع أساسي لتصميم شبكة فعال.
📋 أنواع عناوين IP
فهم الفرق بينها والوقت المناسب لاستخدام كل نوع أساسي لتصميم شبكة فعال.
- الخاص (Private IPv4): عنوان داخلي من نطاق CIDR للشبكة الفرعية — يبقى مع المثيل طوال حياته ولا يتغير. يستخدم للتواصل الداخلي بين المثيلات والخدمات.
- العام (Public IPv4): عنوان قابل للتوجيه على الإنترنت — يتغير عند إيقاف المثيل وتشغيله. يُمنح تلقائياً للمثيلات في الشبكات العامة (إذا فعّلت الخيار).
- المرن (Elastic IP): عنوان IPv4 عام ثابت تملكه وتدفع مقابله — يبقى معك حتى تطلق سراحه. مثالي للخوادم التي تحتاج عنواناً ثابتاً (مثل NAT Gateway أو خادم VPN).
مثيل خادم بريد إلكتروني يحتاج عنوان IP ثابتاً.
يستخدم Elastic IP — حتى لو تعطل المثيل واستُبدل بآخر جديد، نفس الـ IP العام يُربط بالمثيل الجديد.
سجلات DNS لا تتغير، والعملاء لا يلاحظون أي فرق.
ملاحظة: AWS تفرض رسوماً صغيرة على عناوين Elastic IP غير المرتبطة بمثيل نشط — لا تتركها معلقة.
يستخدم Elastic IP — حتى لو تعطل المثيل واستُبدل بآخر جديد، نفس الـ IP العام يُربط بالمثيل الجديد.
سجلات DNS لا تتغير، والعملاء لا يلاحظون أي فرق.
ملاحظة: AWS تفرض رسوماً صغيرة على عناوين Elastic IP غير المرتبطة بمثيل نشط — لا تتركها معلقة.
📖 جدول المصطلحات
| المصطلح (English) | الترجمة | المفهوم |
|---|---|---|
| Route Table | جدول التوجيه | مجموعة قواعد تحدد مسارات الحزم من وإلى الشبكات الفرعية. |
| Internet Gateway | بوابة الإنترنت | مكون يسمح بالاتصال ثنائي الاتجاه بين VPC والإنترنت. |
| NAT Gateway | بوابة NAT | تسمح للمثيلات الخاصة بالخروج للإنترنت دون السماح بالدخول. |
| Egress-Only IGW | بوابة خروج فقط | نسخة IPv6 من NAT تمنع الاتصالات الواردة. |
| Local Route | المسار المحلي | مسار تلقائي يسمح بالتواصل بين شبكات VPC داخلياً. |
🧭 جداول التوجيه (Route Tables)
📖 جدول التوجيه يحتوي على مجموعة من القواعد (routes) التي تحدد أين تذهب حزم البيانات من الشبكات الفرعية المرتبطة به.
كل شبكة فرعية يجب أن ترتبط بجدول توجيه واحد — لكن جدول التوجيه الواحد يمكن أن يرتبط بعدة شبكات فرعية.
📋 قواعد التوجيه
كل شبكة فرعية يجب أن ترتبط بجدول توجيه واحد — لكن جدول التوجيه الواحد يمكن أن يرتبط بعدة شبكات فرعية.
- كل مسار يتكون من: الوجهة (destination CIDR) والهدف (target) — مثلاً 0.0.0.0/0 → igw-xxxxx (أي حزمة متجهة للإنترنت تُرسل إلى Internet Gateway).
- المسار المحلي (local route) يُضاف تلقائياً ويغطي نطاق CIDR للـ VPC بالكامل — يسمح بالتواصل بين جميع الشبكات الفرعية داخل نفس VPC.
- أولوية التوجيه: المسار الأكثر تحديداً (أطول بادئة / أكبر رقم) يُفضل على الأقل تحديداً. مثلاً 10.0.1.0/24 له أولوية على 10.0.0.0/16.
- جدول التوجيه الرئيسي (Main Route Table): افتراضي لكل VPC ويُستخدم للشبكات الفرعية غير المرتبطة بجدول مخصص.
VPC مصمم بجدولي توجيه منفصلين.
جدول التوجيه العام: يحتوي على المسار المحلي (10.0.0.0/16 → local) ومسار إلى Internet Gateway (0.0.0.0/0 → igw-xxx) — مرتبط بالشبكات العامة.
جدول التوجيه الخاص: يحتوي فقط على المسار المحلي — مرتبط بالشبكات الخاصة. لا يوجد طريق للإنترنت.
عند إطلاق مثيل في شبكة عامة، يحصل على IP عام ويتصل بالإنترنت. مثيل في الشبكة الخاصة لا يمكنه ذلك — حتى لو حاول أحدهم تعيين IP عام يدوياً، الشبكة الفرعية لا تملك طريقاً للخارج.
جدول التوجيه العام: يحتوي على المسار المحلي (10.0.0.0/16 → local) ومسار إلى Internet Gateway (0.0.0.0/0 → igw-xxx) — مرتبط بالشبكات العامة.
جدول التوجيه الخاص: يحتوي فقط على المسار المحلي — مرتبط بالشبكات الخاصة. لا يوجد طريق للإنترنت.
عند إطلاق مثيل في شبكة عامة، يحصل على IP عام ويتصل بالإنترنت. مثيل في الشبكة الخاصة لا يمكنه ذلك — حتى لو حاول أحدهم تعيين IP عام يدوياً، الشبكة الفرعية لا تملك طريقاً للخارج.
🌍 Internet Gateway (IGW)
📖 بوابة الإنترنت (Internet Gateway) هي مكون افتراضي يتيح الاتصال بين VPC والإنترنت العام.
تدعم IPv4 وIPv6، وهي عالية التوفر أفقياً ومُدارة بالكامل من AWS — لا حاجة لإدارتها أو توسيعها.
📋 خصائص Internet Gateway
تدعم IPv4 وIPv6، وهي عالية التوفر أفقياً ومُدارة بالكامل من AWS — لا حاجة لإدارتها أو توسيعها.
- مجرد بوابة: لا تمنع حركة المرور ولا تراقبها — مسؤولة فقط عن الترجمة بين عناوين VPC الداخلية والعناوين العامة.
- ترتبط بـ VPC واحد فقط: كل VPC يمكن أن يرتبط ببوابة إنترنت واحدة كحد أقصى.
- تعمل مع عناوين IPv4 عبر ترجمة 1:1 (NAT) ومع IPv6 بشكل مباشر (العناوين العامة مباشرة على واجهة المثيل).
- المثيل يحتاج أيضاً إلى عنوان IPv4 عام أو Elastic IP بالإضافة إلى وجود مسار في جدول التوجيه.
مثيل EC2 في شبكة عامة يتصل بالإنترنت.
الخطوة 1: المثيل له عنوان خاص 10.0.1.50 وعنوان عام 54.12.34.56.
الخطوة 2: يرسل حزمة للإنترنت عبر جدول التوجيه (0.0.0.0/0 → igw).
الخطوة 3: Internet Gateway تترجم عنوان المصدر من 10.0.1.50 إلى 54.12.34.56 وترسل الحزمة.
الخطوة 4: الرد يعود إلى 54.12.34.56 ← Internet Gateway تترجمه إلى 10.0.1.50 ويسلم للمثيل.
المثيل لا يعرف حتى أن له عنواناً عاماً — كله شفاف تماماً.
الخطوة 1: المثيل له عنوان خاص 10.0.1.50 وعنوان عام 54.12.34.56.
الخطوة 2: يرسل حزمة للإنترنت عبر جدول التوجيه (0.0.0.0/0 → igw).
الخطوة 3: Internet Gateway تترجم عنوان المصدر من 10.0.1.50 إلى 54.12.34.56 وترسل الحزمة.
الخطوة 4: الرد يعود إلى 54.12.34.56 ← Internet Gateway تترجمه إلى 10.0.1.50 ويسلم للمثيل.
المثيل لا يعرف حتى أن له عنواناً عاماً — كله شفاف تماماً.
🔄 NAT Gateway
📖 بوابة NAT (Network Address Translation) تسمح للمثيلات في الشبكات الخاصة بالوصول إلى الإنترنت (للتنزيلات والتحديثات) دون أن تكون قابلة للوصول من الإنترنت.
اتصال أحادي الاتجاه: المثيلات الخاصة تبدأ الاتصال بالإنترنت وتستقبل الردود، لكن لا يمكن لأي جهاز خارجي بدء اتصال معها.
📋 NAT Gateway مقابل NAT Instance
اتصال أحادي الاتجاه: المثيلات الخاصة تبدأ الاتصال بالإنترنت وتستقبل الردود، لكن لا يمكن لأي جهاز خارجي بدء اتصال معها.
- NAT Gateway (مُدارة): خدمة مُدارة بالكامل من AWS — لا حاجة لإدارة أو تصحيح. عالية التوفر داخل AZ واحدة (أنشئ واحدة في كل AZ لتوفر كامل). تتحمل حتى 100 جيجابت في الثانية. تدعم IPv4 فقط.
- NAT Instance (ذاتية الإدارة): مثيل EC2 تشغله وتديره بنفسك كبوابة NAT. أرخص لكن أقل موثوقية ويتطلب إدارة يدوية. مفيد للحالات الخاصة (مثل تصفية المحتوى أو التوجيه المتقدم).
- توضع NAT Gateway في شبكة عامة ولها Elastic IP خاص بها.
- الشبكات الخاصة تضيف مساراً: 0.0.0.0/0 → nat-xxxx.
مثيل EC2 في شبكة خاصة (10.0.10.25) يحتاج تنزيل تحديثات أمنية.
جدول توجيه الشبكة الخاصة يحتوي على: 0.0.0.0/0 → nat-xxx (موجودة في شبكة عامة).
المثيل يرسل طلباً لخادم التحديثات ← NAT Gateway تستلمه وتترجم عنوان المصدر إلى Elastic IP العام الخاص بها وترسله للإنترنت.
خادم التحديثات يرد على Elastic IP ← NAT Gateway تترجمه إلى 10.0.10.25 وتسلمه.
لكن لو حاول هاكر مسح الشبكة والاتصال بـ 10.0.10.25 مباشرة — الطلب يُرفض، لا يوجد مسار عكسي.
جدول توجيه الشبكة الخاصة يحتوي على: 0.0.0.0/0 → nat-xxx (موجودة في شبكة عامة).
المثيل يرسل طلباً لخادم التحديثات ← NAT Gateway تستلمه وتترجم عنوان المصدر إلى Elastic IP العام الخاص بها وترسله للإنترنت.
خادم التحديثات يرد على Elastic IP ← NAT Gateway تترجمه إلى 10.0.10.25 وتسلمه.
لكن لو حاول هاكر مسح الشبكة والاتصال بـ 10.0.10.25 مباشرة — الطلب يُرفض، لا يوجد مسار عكسي.
⬆️ Egress-Only Internet Gateway
📖 بوابة الخروج فقط للإنترنت (Egress-Only Internet Gateway) هي نسخة IPv6 من NAT Gateway — تسمح للمثيلات بالاتصال بالإنترنت عبر IPv6 دون أن تكون قابلة للوصول من الخارج.
لأن IPv6 لا يستخدم NAT (كل عنوان فريد عالمياً)، تحتاج آلية مختلفة لمنع الاتصالات الواردة غير المرغوب فيها مع السماح بالخارجة.
📋 خصائص Egress-Only Internet Gateway
لأن IPv6 لا يستخدم NAT (كل عنوان فريد عالمياً)، تحتاج آلية مختلفة لمنع الاتصالات الواردة غير المرغوب فيها مع السماح بالخارجة.
- تدعم IPv6 فقط — المثيلات تحتفظ بعناوين IPv6 العامة لكن البوابة تمنع الاتصالات الواردة.
- عالية التوفر ومُدارة بالكامل — لا حاجة لإدارتها.
- تستخدم مع المثيلات في الشبكات الخاصة التي تحتاج الوصول للإنترنت عبر IPv6.
✅ خلاصة جداول التوجيه والبوابات:
- جداول التوجيه تحدد مسارات الحزم من الشبكات الفرعية إلى وجهاتها — المسار الأكثر تحديداً له الأولوية.
- Internet Gateway: بوابة ثنائية الاتجاه بين VPC والإنترنت للمثيلات العامة.
- NAT Gateway: بوابة أحادية الاتجاه تسمح للمثيلات الخاصة بالخروج للإنترنت دون السماح بالدخول.
- Egress-Only Internet Gateway: نفس مفهوم NAT لكن لـ IPv6.
📖 لديك طبقتان من جدار الحماية في VPC: Security Groups على مستوى المثيل (stateful)، وNetwork ACLs على مستوى الشبكة الفرعية (stateless).
كلاهما يعملان معاً لتوفير دفاع متعدد الطبقات — Security Groups كحارس شخصي لكل مثيل، وNACLs كبوابة تفتيش على مدخل الحي.
📋 مقارنة Security Groups وNetwork ACLs
كلاهما يعملان معاً لتوفير دفاع متعدد الطبقات — Security Groups كحارس شخصي لكل مثيل، وNACLs كبوابة تفتيش على مدخل الحي.
| الخاصية | Security Group | Network ACL |
|---|---|---|
| النطاق | مثيل (واجهة الشبكة) | شبكة فرعية كاملة |
| الحالة | Stateful (يحفظ الحالة) | Stateless (لا يحفظ الحالة) |
| القواعد | قواعد سماح فقط (allow) | قواعد سماح ومنع (allow & deny) |
| التقييم | تُقيّم جميع القواعد مجتمعة | تُقيّم حسب رقم الترتيب (الأصغر أولاً) |
| الإرجاع | مسموح تلقائياً (stateful) | يجب السماح به صراحة (stateless) |
| الارتباط | حتى 5 SG لكل مثيل | ACL واحد لكل شبكة فرعية |
🛡️ Security Groups (مجموعات الأمان)
📖 مجموعة الأمان هي جدار حماية افتراضي (stateful) يعمل على مستوى المثيل — تتحكم بالحركة الداخلة والخارجة من وإلى المثيل.
كل مثيل يجب أن يرتبط بمجموعة أمان واحدة على الأقل (حتى 5). إذا لم تحدد واحدة عند الإطلاق، تستخدم المجموعة الافتراضية للـ VPC.
📋 خصائص مجموعات الأمان
كل مثيل يجب أن يرتبط بمجموعة أمان واحدة على الأقل (حتى 5). إذا لم تحدد واحدة عند الإطلاق، تستخدم المجموعة الافتراضية للـ VPC.
- قواعد السماح فقط (Allow only): لا يمكنك إنشاء قواعد "منع" — كل ما لم يُسمح به صراحة يُمنع ضمنياً (implicit deny).
- الحالة (Stateful): إذا سمحت بحركة داخلة، الرد الخارج تلقائياً يُسمح به دون قاعدة إضافية — والعكس صحيح.
- المصدر/الوجهة: يمكن تحديدها كـ CIDR (مثلاً 0.0.0.0/0) أو كـ Security Group أخرى (مثلاً السماح لكل المثيلات المرتبطة بـ SG-web).
- التقييم التراكمي: إذا ربطت عدة مجموعات أمان بنفس المثيل، تُجمع كل القواعد معاً وتُطبق جميعها.
تطبيق من 3 طبقات بأمان شبكي دقيق.
SG-web: يسمح بـ HTTP (80) وHTTPS (443) من الإنترنت (0.0.0.0/0).
SG-app: يسمح بـ HTTP (8080) فقط من SG-web (وليس من الإنترنت).
SG-db: يسمح بـ MySQL (3306) فقط من SG-app.
النتيجة: خوادم الويب ترى التطبيقات، التطبيقات ترى قواعد البيانات، لكن الإنترنت لا يرى إلا خوادم الويب — وكل طبقة معزولة عن الأخرى.
SG-web: يسمح بـ HTTP (80) وHTTPS (443) من الإنترنت (0.0.0.0/0).
SG-app: يسمح بـ HTTP (8080) فقط من SG-web (وليس من الإنترنت).
SG-db: يسمح بـ MySQL (3306) فقط من SG-app.
النتيجة: خوادم الويب ترى التطبيقات، التطبيقات ترى قواعد البيانات، لكن الإنترنت لا يرى إلا خوادم الويب — وكل طبقة معزولة عن الأخرى.
🛡️ Network ACLs (قوائم التحكم في الوصول)
📖 Network ACL هي جدار حماية اختياري (stateless) على مستوى الشبكة الفرعية — يتحكم بالحركة الداخلة والخارجة من وإلى الشبكة الفرعية كاملة.
كل شبكة فرعية يجب أن ترتبط بـ NACL واحد. إذا لم تحدد، تستخدم NACL الافتراضي الذي يسمح بكل الحركة.
📋 خصائص NACLs
كل شبكة فرعية يجب أن ترتبط بـ NACL واحد. إذا لم تحدد، تستخدم NACL الافتراضي الذي يسمح بكل الحركة.
- قواعد السماح والمنع: يمكنك إنشاء قواعد ALLOW وDENY — تحكم دقيق في السماح والمنع.
- بدون حالة (Stateless): إذا سمحت بحركة داخلة، يجب أن تسمح صراحة بالحركة الخارجة المقابلة (والعكس).
- أرقام القواعد: كل قاعدة لها رقم (1–32766) — تُقيّم القواعد تصاعدياً، أول قاعدة تطابق تُطبق (حتى لو كانت هناك قاعدة لاحقة بسماح).
- NACL الافتراضي: يسمح بكل الحركة الداخلة والخارجة. مفيد عندما لا تحتاج تحكماً على مستوى الشبكة الفرعية.
حالة عملية لاستخدام NACL.
شبكة فرعية عامة لخوادم الويب تتعرض لهجوم DDoS من نطاق IP معين (203.0.113.0/24).
يمكنك إضافة قاعدة DENY في NACL برقم صغير (مثلاً 50): منع كل حركة من 203.0.113.0/24 قبل أن تصل حتى إلى Security Groups.
Security Groups لا تدعم قواعد المنع — لكن NACL تدعمها، مما يمنحك طبقة دفاع إضافية قوية.
شبكة فرعية عامة لخوادم الويب تتعرض لهجوم DDoS من نطاق IP معين (203.0.113.0/24).
يمكنك إضافة قاعدة DENY في NACL برقم صغير (مثلاً 50): منع كل حركة من 203.0.113.0/24 قبل أن تصل حتى إلى Security Groups.
Security Groups لا تدعم قواعد المنع — لكن NACL تدعمها، مما يمنحك طبقة دفاع إضافية قوية.
🔑 نصيحة أساسية: Security Group أم NACL؟
استخدم Security Groups كجدار حماية أساسي — فهي stateful وأسهل في الإدارة وتدعم الإشارة لمجموعات أخرى.
استخدم NACLs كطبقة دفاع إضافية لحالات خاصة: منع نطاقات IP ضارة، أو عزل شبكة فرعية بالكامل في حالات الطوارئ، أو فرض قيود على مستوى الشبكة الفرعية لا يمكن فرضها عبر SGs.
استخدم Security Groups كجدار حماية أساسي — فهي stateful وأسهل في الإدارة وتدعم الإشارة لمجموعات أخرى.
استخدم NACLs كطبقة دفاع إضافية لحالات خاصة: منع نطاقات IP ضارة، أو عزل شبكة فرعية بالكامل في حالات الطوارئ، أو فرض قيود على مستوى الشبكة الفرعية لا يمكن فرضها عبر SGs.
📖 جدول المصطلحات
| المصطلح (English) | الترجمة | المفهوم |
|---|---|---|
| Security Group | مجموعة الأمان | جدار حماية stateful على مستوى المثيل — قواعد سماح فقط. |
| Network ACL | قائمة التحكم بالوصول | جدار حماية stateless على مستوى الشبكة الفرعية — سماح ومنع. |
| Stateful | حفظ الحالة | تذكر حالة الاتصال — الردود تُسمح تلقائياً دون قاعدة. |
| Stateless | بدون حفظ حالة | لا يتذكر الاتصالات — يجب السماح بالدخول والخروج صراحة. |
📋 VPC Flow Logs
📖 سجلات تدفق VPC (Flow Logs) تلتقط معلومات عن حركة IP من وإلى واجهات الشبكة في VPC — أداة أساسية للتدقيق واستكشاف الأخطاء والأمان.
يمكنك تفعيلها على مستوى VPC كامل، أو شبكة فرعية، أو واجهة شبكة محددة — ونشر السجلات إلى CloudWatch Logs أو S3.
📋 استخدامات VPC Flow Logs
يمكنك تفعيلها على مستوى VPC كامل، أو شبكة فرعية، أو واجهة شبكة محددة — ونشر السجلات إلى CloudWatch Logs أو S3.
- استكشاف الأخطاء: لماذا لا يتصل المثيل أ بقاعدة البيانات ب؟ Flow Logs تظهر إذا كانت الحزمة مقبولة (ACCEPT) أو مرفوضة (REJECT) وعلى أي مستوى (SG أو NACL).
- التدقيق الأمني: اكتشاف محاولات الوصول المشبوهة من عناوين IP غير معروفة أو منافذ غير مسموحة.
- تحليل الأنماط: أكثر المنافذ استخداماً، أكثر المصادر اتصالاً، حجم البيانات المنقولة بين الطبقات.
- كل سجل يحتوي على: عنوان المصدر والهدف، المنفذ، البروتوكول، عدد الحزم والبايتات، الإجراء (ACCEPT/REJECT)، ومدة التدفق.
فريق أمان يكتشف نشاطاً مريباً في VPC.
يفعل Flow Logs على مستوى VPC كامل وينشرها إلى CloudWatch Logs.
بعد ساعة، يراجع السجلات ويجد محاولات اتصال مرفوضة (REJECT) على منفذ SSH من 50 عنوان IP مختلف في الصين.
رغم أن Security Groups كانت تمنع هذه الاتصالات بالفعل، إلا أن Flow Logs أكدت وجود هجوم منسق.
يضيف قاعدة DENY في NACL لهذه النطاقات — دفاع استباقي قبل أن ينجح أي هجوم.
يفعل Flow Logs على مستوى VPC كامل وينشرها إلى CloudWatch Logs.
بعد ساعة، يراجع السجلات ويجد محاولات اتصال مرفوضة (REJECT) على منفذ SSH من 50 عنوان IP مختلف في الصين.
رغم أن Security Groups كانت تمنع هذه الاتصالات بالفعل، إلا أن Flow Logs أكدت وجود هجوم منسق.
يضيف قاعدة DENY في NACL لهذه النطاقات — دفاع استباقي قبل أن ينجح أي هجوم.
🏗️ تطبيق Well-Architected على طبقة الشبكة
📖 تطبيق ركائز Well-Architected على تصميم VPC يضمن شبكة آمنة وموثوقة وفعالة.
الشبكة هي الأساس الذي تبنى عليه كل الخدمات الأخرى — خطأ في التصميم هنا يؤثر على كل شيء فوقه.
📋 تطبيق الركائز الست على VPC
الشبكة هي الأساس الذي تبنى عليه كل الخدمات الأخرى — خطأ في التصميم هنا يؤثر على كل شيء فوقه.
- التميز التشغيلي: توثيق تصميم VPC في CloudFormation أو Terraform، استخدام Flow Logs للمراقبة المستمرة، تسمية الموارد بشكل واضح (tags).
- الأمان: مبدأ الامتياز الأقل في Security Groups (اسمح فقط بما هو ضروري)، عزل الطبقات في شبكات فرعية مختلفة، استخدام NACLs كطبقة دفاع إضافية، تفعيل Flow Logs للتدقيق.
- الموثوقية: توزيع الموارد عبر AZs متعددة (شبكات فرعية في AZ1 وAZ2 على الأقل)، استخدام NAT Gateway في كل AZ (وليس NAT Instance)، تجنب الاعتماد على مسار واحد للإنترنت.
- كفاءة الأداء: اختيار أنواع مثيلات محسنة للشبكة (مثل m5n مع Enhanced Networking)، وضع الموارد في نفس AZ لتقليل زمن الوصول والتكلفة (التواصل داخل AZ مجاني).
- تحسين التكلفة: التواصل داخل نفس AZ مجاني — صمم تدفق البيانات بين الطبقات ليبقى في نفس AZ قدر الإمكان. استخدام VPC Endpoints للوصول إلى خدمات AWS بدون تكلفة NAT Gateway.
- الاستدامة: اختيار مناطق AWS تعمل بالطاقة المتجددة، تصميم شبكات فعالة تقلل من حركة البيانات غير الضرورية.
مراجعة Well-Architected لـ VPC خاص بتطبيق SaaS.
الأمان: اكتشف أن SG-db يسمح بالاتصال من 0.0.0.0/0 — يصححه فوراً ليسمح فقط من SG-app.
الموثوقية: يلاحظ أن NAT Gateway واحدة فقط في AZ1 — إذا تعطلت AZ1، كل الشبكات الخاصة تفقد الإنترنت. يضيف NAT Gateway ثانية في AZ2 مع جدول توجيه خاص بكل AZ.
التكلفة: يكتشف أن 80% من بيانات التطبيق تمر عبر NAT Gateway (بتكلفة لكل جيجابايت) — يضيف VPC Endpoints لـ S3 وDynamoDB لتجنب رسوم NAT.
النتيجة: VPC أكثر أمناً وموثوقية وأقل تكلفة بنسبة 30%.
الأمان: اكتشف أن SG-db يسمح بالاتصال من 0.0.0.0/0 — يصححه فوراً ليسمح فقط من SG-app.
الموثوقية: يلاحظ أن NAT Gateway واحدة فقط في AZ1 — إذا تعطلت AZ1، كل الشبكات الخاصة تفقد الإنترنت. يضيف NAT Gateway ثانية في AZ2 مع جدول توجيه خاص بكل AZ.
التكلفة: يكتشف أن 80% من بيانات التطبيق تمر عبر NAT Gateway (بتكلفة لكل جيجابايت) — يضيف VPC Endpoints لـ S3 وDynamoDB لتجنب رسوم NAT.
النتيجة: VPC أكثر أمناً وموثوقية وأقل تكلفة بنسبة 30%.
📖 جدول المصطلحات
| المصطلح (English) | الترجمة | المفهوم |
|---|---|---|
| Amazon VPC | السحابة الافتراضية الخاصة | شبكة افتراضية معزولة في AWS تتحكم فيها بكل تفاصيل الشبكة. |
| CIDR | التوجيه بين النطاقات غير الطبقية | طريقة تحديد نطاق عناوين IP مثل 10.0.0.0/16. |
| Subnet | الشبكة الفرعية | تقسيم منطقي داخل VPC مرتبط بمنطقة توفر واحدة. |
| Route Table | جدول التوجيه | مجموعة قواعد تحدد مسارات الحزم من وإلى الشبكات الفرعية. |
| Internet Gateway | بوابة الإنترنت | مكون يسمح بالاتصال ثنائي الاتجاه بين VPC والإنترنت. |
| NAT Gateway | بوابة ترجمة العناوين | خدمة مُدارة تسمح للمثيلات الخاصة بالخروج للإنترنت دون السماح بالدخول. |
| Elastic IP | العنوان العام المرن | عنوان IPv4 عام ثابت تملكه وتربطه بمثيل أو بوابة. |
| Security Group | مجموعة الأمان | جدار حماية stateful على مستوى المثيل — قواعد سماح فقط. |
| Network ACL | قائمة التحكم في الوصول | جدار حماية stateless على مستوى الشبكة الفرعية — قواعد سماح ومنع. |
| VPC Flow Logs | سجلات تدفق VPC | تسجيل معلومات عن حركة IP من وإلى واجهات الشبكة للتدقيق والتحليل. |
| Egress-Only IGW | بوابة الخروج فقط | بوابة إنترنت لـ IPv6 تسمح بالخروج دون السماح بالدخول. |
🚀 الخاتمة
في هذه الوحدة تعلمنا أن Amazon VPC هو أساس أي بنية سحابية آمنة — شبكتك الافتراضية الخاصة التي تتحكم فيها تحكماً كاملاً.
استكشفنا تخطيط نطاقات CIDR وتقسيمها إلى شبكات فرعية عامة وخاصة عبر مناطق توفر متعددة لضمان التوفر العالي.
تعلمنا كيف تعمل جداول التوجيه على توجيه الحزم بين الشبكات الفرعية وإلى الإنترنت عبر Internet Gateway (للمثيلات العامة) وNAT Gateway (للمثيلات الخاصة).
تعمقنا في طبقتين من جدران الحماية: Security Groups (stateful، على مستوى المثيل، قواعد سماح فقط) وNetwork ACLs (stateless، على مستوى الشبكة الفرعية، قواعد سماح ومنع).
تعرفنا على VPC Flow Logs كأداة أساسية لاستكشاف الأخطاء والتدقيق الأمني وتحليل أنماط حركة البيانات.
وأخيراً، طبقنا مبادئ Well-Architected الستة على تصميم الشبكة لضمان الأمان والموثوقية وكفاءة التكلفة.
تذكر: الشبكة المصممة جيداً هي الأساس الذي تقوم عليه كل طبقات البنية الأخرى — لا تختصر في تصميمها.