配置 Azure 虚拟机网络设置

已完成

我们已安装了自定义软件,设置了 FTP 服务器,并配置了 VM 以接收我们的视频文件。 但是,如果尝试使用 FTP 连接到公共 IP 地址,我们会发现它被阻止。

通常使用本地环境中的设备来执行对服务器配置的调整。 在此情况下,可以考虑将 Azure VM 视为该环境的扩展。 可以通过 Azure 门户、Azure CLI 或 Azure PowerShell 工具更改配置、管理网络、打开或阻止流量等。

你已在虚拟机的”概述”面板中看到了一些基本信息和管理选项。 让我们再探索一下网络配置。

在 Azure VM 中打开端口

默认情况下,新 VM 已被锁定。

应用可以发出传出请求,但唯一允许的入站流量来自于虚拟网络(如同一本地网络上的其他资源)和 Azure 负载均衡器(探测检查)。

调整配置以支持 FTP 有两个步骤。 新建 VM 时,可打开几个常见端口(RDP、HTTP、HTTPS 和 SSH)。 但是,如果需要对防火墙进行其他更改,则需要你自行完成。

此操作包括两个步骤:

  1. 创建网络安全组。
  2. 创建允许端口 20 和 21 上的流量的入站规则,以获取主动 FTP 支持。

什么是网络安全组?

虚拟网络 (VNet) 是 Azure 网络模型的基础,可提供隔离和保护服务。 网络安全组 (NSG) 是用于在网络级别上实施和控制网络流量规则的主要工具。 NSG 是可选的安全层,通过筛选 VNet 上的入站和出站流量来提供软件防火墙。

安全组可与网络接口(适用于每个主机规则)和/或虚拟网络中的子网(应用于多个资源)进行关联。

安全组规则

NSG 使用规则来允许或拒绝通过网络传输的流量。 每个规则确定源和目标地址(或范围)、协议、端口(或范围)、方向(入站或出站)、数值优先级以及是允许还是拒绝与规则匹配的流量。 下图显示了在子网和网络接口级别应用的 NSG 规则。

插图显示了两个不同子网中网络安全组的体系结构。在一个子网中,有两个虚拟机,每个虚拟机都有其自己的网络接口规则。子网本身有一组同时应用于这两个虚拟机的规则。

每个安全组都有一组默认的安全规则来应用上文所述的默认网络规则。 你无法修改这些默认规则,但可以替代它们。

Azure 如何使用网络规则

对于入站流量,Azure 处理与子网关联的安全组,然后处理应用于网络接口的安全组。 出站流量按相反的顺序处理(首先是网络接口,然后是子网)。

警告

请记住,安全组在两个级别都是可选的。 如果未应用任何安全组,则 Azure 允许所有流量。 如果 VM 具有公共 IP,这可能造成重大风险,尤其是在 OS 不提供防火墙的情况下。

规则按照优先级顺序进行评估,从最低优先级规则开始。 拒绝规则会始终停止评估。 例如,如果网络接口规则阻止出站请求,则不会检查应用于子网的任何规则。 若要允许流量通过安全组,它必须通过所有已应用的组进行传输。

最后一条规则始终是“全部拒绝”规则。 这是添加到每个安全组的默认规则,针对优先级为 65500 的入站和出站流量。 这意味着要让流量通过安全组传输,必须具有允许规则,否则默认最终规则将会阻止它详细了解安全规则

注意

SMTP(端口 25)是一种特殊情况。 根据订阅级别以及帐户的创建时间,可能会阻止出站 SMTP 流量。 出于业务理由,可以请求删除此限制。