بناء VPC كامل: subnets عامّ/خاصّ، Internet Gateway، NAT Gateway، Route Tables، Security Groups، NACL، VPC peering، Transit Gateway. كلّ أوامر AWS CLI لـ PBQ SAA-C03.
للسياق: الدليل الرئيسي AWS SAA-C03 · حساب AWS Free Tier بلا مخاطر.
المقدّمة
الـ VPC (Virtual Private Cloud) هو الشبكة الافتراضيّة الخاصّة التي تعزل موارد AWS الخاصّة بك. كلّ معماريّة SAA-C03 تقوم على VPC مُصمَّم جيّداً. هذا الدرس يبني الطوبولوجيا المرجعيّة: VPC + 2 AZ + subnets عامّ وخاصّ لكلّ AZ، IGW، NAT Gateway، route tables — بالضبط ما يطلبه الاختبار.
المتطلّبات
- حساب AWS Free Tier مُهيَّأ (راجع الدرس السابق).
- AWS CLI مُهيَّأ.
- فهم TCP/IP (CIDR، أقنعة).
- المستوى المتوسّط.
- الوقت: ساعتان.
الخطوة 1 — المعماريّة المستهدفة
VPC: 10.0.0.0/16 (eu-west-3 Paris)
AZ eu-west-3a:
Public Subnet 10.0.1.0/24 → IGW
Private Subnet 10.0.11.0/24 → NAT Gateway
AZ eu-west-3b:
Public Subnet 10.0.2.0/24 → IGW
Private Subnet 10.0.12.0/24 → NAT Gateway
هذه المعماريّة متعدّدة الـ AZ بـ 2 subnets لكلّ منطقة هي النمط القياسي لـ HA. الـ subnets العامّة تستضيف Load Balancers و bastions؛ الخاصّة تستضيف instances التطبيقات وقواعد البيانات.
الخطوة 2 — إنشاء VPC عبر Console
1. Console > VPC > "Create VPC"
2. اختر "VPC and more" (wizard ينشئ كلّ شيء دفعة واحدة)
3. Name tag: "lab-vpc"
4. IPv4 CIDR: 10.0.0.0/16
5. IPv6: No
6. Number of AZs: 2
7. Number of public subnets: 2
8. Number of private subnets: 2
9. NAT Gateways: 1 per AZ (مُوصى به للإنتاج) أو "1 in 1 AZ" (لـ Free Tier)
⚠️ NAT Gateway = ~32 USD/شهر، ليس Free Tier — البديل: NAT Instance EC2 t2.micro
10. VPC endpoints: None حاليّاً
11. DNS hostnames + DNS resolution: Enable
12. Create VPC
AWS تنشئ كلّ شيء في 30-60 ثانية. الـ wizard يُوفّر: 1 VPC، 4 subnets، 2 route tables (عامّ + خاصّ)، 1 IGW، NAT Gateway(s).
الخطوة 3 — التحقّق في CLI
# قائمة VPCs
aws ec2 describe-vpcs --query 'Vpcs[*].[VpcId,CidrBlock,Tags[?Key==`Name`].Value|[0]]' --output table
# قائمة subnets للـ VPC
VPC_ID=vpc-xxxxxxxx
aws ec2 describe-subnets --filters "Name=vpc-id,Values=$VPC_ID" --query 'Subnets[*].[SubnetId,CidrBlock,AvailabilityZone,Tags[?Key==`Name`].Value|[0]]' --output table
# قائمة route tables
aws ec2 describe-route-tables --filters "Name=vpc-id,Values=$VPC_ID" --output table
# تحقّق IGW مُرفَق
aws ec2 describe-internet-gateways --filters "Name=attachment.vpc-id,Values=$VPC_ID"
# NAT Gateway
aws ec2 describe-nat-gateways --filter "Name=vpc-id,Values=$VPC_ID"
الخطوة 4 — فهم Route Tables
كلّ subnet مرتبط بـ route table واحدة بالضبط.
Route Table عامّة:
Destination Target
10.0.0.0/16 local (داخل VPC، آليّ)
0.0.0.0/0 igw-xxxxx (إنترنت عبر IGW)
Route Table خاصّة:
Destination Target
10.0.0.0/16 local
0.0.0.0/0 nat-xxxxx (إنترنت صادر عبر NAT، لا وارد)
الـ subnets العامّة لها route 0.0.0.0/0 → IGW (إنترنت ثنائيّ الاتّجاه). الخاصّة لها route 0.0.0.0/0 → NAT Gateway (إنترنت صادر فقط، لا وارد).
الخطوة 5 — Security Groups مقابل NACL
مستويان من الترشيح يجب معرفتهما لـ SAA.
Security Group (SG)
- Stateful (الاستجابة مُسمَح بها تلقائياً)
- مُرفَق إلى instance/ENI
- Allow rules فقط (لا deny صريح)
- الافتراضي: deny inbound، allow outbound
- مرجَعيّ بواسطة SG آخر (مثلاً: SG-DB يسمح SG-WEB)
NACL (Network Access Control List)
- Stateless (الاستجابة يجب أن تُسمَح صراحة)
- مُرفَقة بـ subnet (تنطبق على كلّ ENI في الـ subnet)
- Allow و deny rules
- الافتراضي: allow all inbound + all outbound
- ترقيم القواعد (ترتيب التقييم)
في الاختبار: SG = الطبقة الأساسيّة، NACL = backup للحجب الإجمالي (مثلاً: حجب IP مهاجمة على مستوى subnet).
الخطوة 6 — إنشاء Security Group لخادم ويب
# إنشاء SG
aws ec2 create-security-group --group-name web-sg --description "Web server SG" --vpc-id $VPC_ID
# استرجاع SG ID
SG_WEB=sg-xxxxxxxx
# السماح بـ HTTP من أيّ مكان
aws ec2 authorize-security-group-ingress --group-id $SG_WEB --protocol tcp --port 80 --cidr 0.0.0.0/0
# السماح بـ HTTPS من أيّ مكان
aws ec2 authorize-security-group-ingress --group-id $SG_WEB --protocol tcp --port 443 --cidr 0.0.0.0/0
# السماح بـ SSH من IP الخاصّ بك فقط
MY_IP=$(curl -s ifconfig.me)
aws ec2 authorize-security-group-ingress --group-id $SG_WEB --protocol tcp --port 22 --cidr $MY_IP/32
الخطوة 7 — VPC Peering
لربط VPCs اثنين (نفس المنطقة أو cross-region):
# إنشاء peering connection
aws ec2 create-vpc-peering-connection --vpc-id vpc-A --peer-vpc-id vpc-B --peer-region eu-west-1
# قبول (من مالك vpc-B)
aws ec2 accept-vpc-peering-connection --vpc-peering-connection-id pcx-xxxxx
# إضافة routes في الـ VPCs الاثنين
aws ec2 create-route --route-table-id rtb-A --destination-cidr-block 10.1.0.0/16 --vpc-peering-connection-id pcx-xxxxx
aws ec2 create-route --route-table-id rtb-B --destination-cidr-block 10.0.0.0/16 --vpc-peering-connection-id pcx-xxxxx
VPC Peering: لا routage عابر (A↔B و B↔C لا يُعطيان A↔C تلقائياً). لـ multi-VPC معقّد، استعمل Transit Gateway (~36 USD/شهر).
الخطوة 8 — VPC Endpoints (خصوصيّة + توفير تكلفة)
بدلاً من توجيه الـ traffic نحو S3/DynamoDB عبر الإنترنت (تكلفة NAT Gateway)، استعمل VPC Endpoint يُنشئ مساراً مباشراً AWS-internal.
# Gateway Endpoint لـ S3 (مجّاني، فضّله)
aws ec2 create-vpc-endpoint --vpc-id $VPC_ID --service-name com.amazonaws.eu-west-3.s3 --route-table-ids rtb-private
# Interface Endpoint لـ SQS (~10 USD/شهر لكلّ AZ لكلّ endpoint)
aws ec2 create-vpc-endpoint --vpc-id $VPC_ID --service-name com.amazonaws.eu-west-3.sqs --vpc-endpoint-type Interface --subnet-ids subnet-private-a subnet-private-b --security-group-ids $SG_ENDPOINT
في الاختبار: Gateway Endpoint = مجّاني، S3 + DynamoDB فقط. Interface Endpoint = مدفوع، خدمات أخرى. سؤال متكرّر: «كيف نُخفّض تكاليف NAT Gateway للوصول إلى S3 من subnets خاصّة؟» ← Gateway Endpoint S3.
الخطوة 9 — Bastion host مقابل Session Manager
لـ SSH على instances خاصّة، خياران:
Bastion EC2 (legacy)
- EC2 t2.micro في subnet عامّ
- SSH agent forwarding أو ssh -J bastion final-host
- سطح هجوم (المنفذ 22 مفتوح)
- التكلفة: ~8 USD/شهر
AWS Systems Manager Session Manager (موصى به 2026)
- لا EC2، لا منفذ 22 مفتوح
- استيثاق عبر IAM، audit CloudTrail مُدمج
- مجّاني
- يتطلّب SSM agent على الـ instance + IAM role مُرفَق
في الاختبار: Session Manager هو الآن إجابة « best practice » للوصول الإداريّ إلى instances.
الخطوة 10 — Cleanup إلزاميّ
# حذف NAT Gateway (الأغلى)
aws ec2 delete-nat-gateway --nat-gateway-id nat-xxxxx
# إصدار Elastic IP المرفقة بـ NAT GW
aws ec2 release-address --allocation-id eipalloc-xxxxx
# حين يكون كلّ شيء نظيفاً، حذف VPC (يحذف subnets، RT، IGW)
aws ec2 delete-vpc --vpc-id $VPC_ID
⚠️ تحقّق دائماً في console من حذف كلّ الموارد. NAT Gateway منسيّ = 32 USD/شهر.
الأخطاء المتكرّرة
| الخطأ | الحلّ |
|---|---|
| subnet خاصّ يصل إلى الإنترنت | تحقّق من route table: 0.0.0.0/0 يجب أن يُشير إلى NAT، لا IGW |
| instance subnet عامّ بلا وصول إلى الإنترنت | تحقّق من « Auto-assign public IP » للـ subnet مُفعَّل |
| SSH محجوب رغم SG مفتوح | هل تحجبه NACL؟ تحقّق من rule set NACL |
| تكلفة NAT GW مفاجئة | فضّل NAT Instance t2.micro (Free Tier) في lab، أو احذف NAT GW |
| VPC peering لا يُوجِّه | routes ناقصة في الطرفين من الـ peering |
ما ينحرف في الممارسة المحلّيّة
اختيار المنطقة: eu-west-3 Paris لزمن الاستجابة (~60ms من داكار/أبيدجان)، af-south-1 Cape Town لسيادة البيانات (~120ms). لعملاء أوروبا: eu-west-1 Irlande، eu-west-3 Paris.
للشركات الناشئة: VPC بسيط بـ 2 subnets (1 عامّ + 1 خاصّ) دون NAT Gateway يكفي. توفير 32 USD/شهر.
للبنوك الإقليميّة: معماريّة متعدّدة الـ AZ + VPC Endpoints + Transit Gateway لـ multi-VPC + AWS Network Firewall للامتثال PCI DSS.
أسئلة شائعة
Subnet /24 مقابل /28؟
/24 = 251 IP قابلة للاستعمال (5 محجوزة AWS). /28 = 11 IP. لتطبيقات قياسيّة، /24 مريح. /28 محجوز لـ روابط نقطة-لنقطة أو حالات مُقيَّدة جدّاً.
كم VPC في الحساب؟
5 لكلّ منطقة افتراضياً، قابل للزيادة عبر الدعم. أغلب المنظّمات تستخدم VPC واحد لكلّ بيئة (dev، staging، prod).
IPv6 إلزاميّ؟
لا، اختياريّ على AWS. للتفعيل عند الحاجة (عملاء IPv6-only، امتثال).
في نفس الموضوع
- الدليل الرئيسي: AWS SAA-C03
- التتمّة: EC2 و EBS و AMI: نشر خادم AWS.
- التوثيق: AWS VPC User Guide، VPC Best Practices.
الكلمات المفتاحيّة: AWS VPC، subnets عامّ خاصّ، Internet Gateway، NAT Gateway تكلفة، Route Tables AWS، Security Group مقابل NACL، VPC Peering، Transit Gateway، VPC Endpoint S3.
دراسات حالات حقيقيّة لـ AWS في غرب إفريقيا
الحالة 1 — Fintech mobile money، داكار، 2025. Fintech سنغاليّة تُعالج 4 ملايين معاملة/شهر. معماريّة AWS: ALB متعدّد AZ (eu-west-3) + ECS Fargate auto-scaling 8-50 tasks + Aurora Serverless v2 PostgreSQL + DynamoDB لـ ledger + ElastiCache Redis للجلسات + S3 + CloudFront للساكن. التكلفة الشهريّة 4 200 USD، أي 0.001 USD لكلّ معاملة. التوفّر المُقاس 99.98% على 12 شهراً.
الحالة 2 — تجارة إلكترونيّة عابرة لإفريقيا، أبيدجان/داكار/لاغوس، 2024. منصّة بـ 80 000 زائر/يوم. معماريّة متعدّدة المناطق active-active: eu-west-3 + af-south-1 + Route 53 latency-based routing. Aurora Global Database، S3 Cross-Region Replication، DynamoDB Global Tables. التكلفة 8 500 USD/شهر، ROI مُثبَت بزيادة 23% في معدّل التحويل بفضل latency < 200ms في كلّ إفريقيا.
الحالة 3 — هجرة بنك تقليديّ نحو AWS، 2024-2025. بنك من ساحل العاج بـ 18 سنة من on-prem. هجرة AWS lift-and-shift لـ 80% من workloads في 14 شهراً. Stack: VPC hub-and-spoke مع Transit Gateway، AWS Directory Service لـ AD legacy، RDS لـ Oracle SAP، EC2 dedicated hosts لرخص Microsoft. توفير 40% منذ السنة 1، 55% في السنة 3.
خمسة سيناريوهات SAA-C03 على نمط الاختبار
السيناريو 1: معماريّة تجارة إلكترونيّة HA لـ Black Friday. تطبيق مُتوقَّع له 100x من الحمل العاديّ في 4 ساعات. الجواب: ALB + ASG مع scheduled scaling، CloudFront لـ cache ساكن، Aurora Read Replicas، ElastiCache Redis cluster mode، SQS لفصل order processing.
السيناريو 2: DR cross-region. RTO 30 دقيقة، RPO 5 دقائق. الجواب: نمط Pilot Light، primary eu-west-3، secondary eu-west-1 مع Aurora Global Database + AMI مُكرَّرة + Route 53 health checks failover آليّ.
السيناريو 3: تأمين بيانات حسّاسة. S3 SSE-KMS مع CMK، تشفير EBS، RDS مُشفَّر، KMS key rotation سنويّ، IAM least privilege، CloudTrail نحو S3 Object Lock، GuardDuty، Macie لاكتشاف PII.
السيناريو 4: تحسين تكلفة legacy. 250 instances EC2 معظمها خامل ليلاً/عطلة. الجواب: Instance Scheduler، Reserved Instances سنة للأساس، Spot Instances لـ batch، S3 Intelligent-Tiering، Compute Savings Plans 3 سنوات. التوفير 65-75%.
السيناريو 5: امتثال PCI DSS. تجزئة VPC صارمة (CDE معزول)، AWS WAF + Shield Advanced، CloudHSM، AWS Config rules، AWS Inspector، GuardDuty + Security Hub، CloudTrail متعدّد المناطق، AWS Audit Manager.
معماريّة cloud-native حديثة 2026
[Route 53 latency-based] → [CloudFront global edges]
↓
[WAF + Shield Advanced]
↓
[API Gateway HTTP API أو Application Load Balancer]
↓
┌────────────────────────┼────────────────────────┐
↓ ↓ ↓
[Lambda functions] [ECS Fargate tasks] [EKS pods]
↓ ↓ ↓
└────────┬───────────────┴────────┬───────────────┘
↓ ↓
[Aurora Serverless v2] [DynamoDB on-demand]
↓ ↓
[ElastiCache Redis cluster]
↓
[S3 Intelligent-Tiering + Glacier lifecycle]
↓
[Observability: CloudWatch + X-Ray + EventBridge + Step Functions]
[الأمن: IAM + KMS + Secrets Manager + GuardDuty + Security Hub]
[الحوكمة: Organizations + SCP + Control Tower + Config]
التكاليف المُفصَّلة بـ FCFA لحالة PME حقيقيّة
PME من 30 موظّفاً، تطبيق ويب SaaS واحد، 10 000 مستخدم نشط/شهر:
الخدمة التكلفة/شهر
------- ---------
EC2 t3.medium x2 (ALB + workers) 90 USD
RDS db.t3.micro Multi-AZ 28 USD
S3 + CloudFront (50 Go transfer) 35 USD
ALB + Route 53 25 USD
Backup + monitoring 15 USD
NAT Gateway (بديل: NAT Instance) 32 USD (أو 8 USD)
---------
المجموع 225 USD/شهر
≈ 135 000 FCFA/شهر
≈ 1 620 000 FCFA/سنة
مع Reserved Instances 3 سنوات: توفير 35% ← 145 USD/شهر ≈ 87 000 FCFA/شهر.
خطّة مهنة بعد AWS SAA
0-12 شهراً: cloud engineer junior. الراتب 800 000-1 200 000 FCFA. النشاطات: provisioning Terraform، نشر CI/CD، مراقبة CloudWatch.
12-30 شهراً: تعزيز DevOps + أمن. شهادات: AWS DevOps Pro (DOP-C02) أو Security Specialty. الراتب 1 400 000-2 000 000 FCFA.
30-60 شهراً: مناصب architect أو tech lead. شهادة SAP-C02. الراتب 2 200 000-3 500 000 FCFA محلّياً، 4-7 ملايين FCFA في عمل عن بُعد دوليّاً.
60+ شهراً: Cloud Architect senior، Engineering Manager، أو freelance/consulting. أجور يوميّة 400-800 USD لبروفايلات seniors.
أدوات تكميليّة
IaC: Terraform، AWS CDK، Pulumi، CloudFormation.
CI/CD: GitHub Actions، GitLab CI، AWS CodePipeline.
Container orchestration: ECS، EKS، Fargate.
Observability: CloudWatch، Datadog، New Relic، Grafana Cloud.
FinOps: AWS Cost Explorer + Budgets، Vantage.sh، CloudHealth.
الأمن: Prowler، Cloudsploit، AWS Security Hub، Wiz، Lacework.