共用方式為

如何在 Azure 中的 Linux 傳統虛擬機器上設定端點

  • 發行項

重要

傳統 VM 將於 2023 年 3 月 1 日淘汰。

如果您使用來自 ASM 的 IaaS 資源,請在 2023 年 3 月 1 日前完成移轉。 我們鼓勵您及早切換,以利用 Azure Resource Manager 的許多功能增強功能。

如需詳細資訊,請參閱請於 2023 年 3 月 1 日之前將您的 IaaS 資源遷移至 Azure Resource Manager

在 Azure 中使用傳統部署模型建立的所有 Linux 虛擬機器,都可以自動透過私人網路通道與同一雲端服務或虛擬網路中的其他虛擬機器通訊。 不過,網際網路或其他虛擬網路上的電腦需要端點,才能將傳入網路流量導向至虛擬機器。 本文也適用於 Windows 虛擬機器

注意

Azure 針對建立和使用資源方面,有二種不同的部署模型:Resource Manager 和傳統。 本文涵蓋之內容包括使用傳統部署模型。 Microsoft 建議讓大部分的新部署使用 Resource Manager 模式。

自 2017 年 11 月 15 日起,虛擬機器僅能於 Azure 入口網站中取得。

Resource Manager 部署模型中,是使用網路安全性群組 (NSG) 來設定端點。 如需詳細資訊,請參閱開啟連接埠和端點

當您在 Azure 入口網站中建立 Linux 虛擬機器時,通常會自動為您建立安全殼層 (SSH) 的端點。 建立虛擬機器或日後有需要時,您可以設定其他端點。

每個端點都有 公用埠私人埠

  • Azure 負載平衡器使用公用連接埠接聽從網際網路到虛擬機器的連入流量。
  • 虛擬機器使用私人連接埠接聽目的地通常為虛擬機器上執行的應用程式或服務的連入流量。

當您使用 Azure 入口網站建立端點時,會提供 IP 通訊協定的預設值以及已知網路通訊協定的 TCP 或 UDP 通訊埠。 針對自訂端點,請指定正確的 IP 通訊協定 (TCP 或 UDP) 以及公用和私人連接埠。 若要將連入流量隨機分散到多部虛擬機器,請建立包含多個端點的負載平衡集合。

建立端點之後,您可以使用存取控制清單 (ACL) 定義規則,根據來源 IP 位址允許或拒絕端點公用連接埠的連入流量。 不過,如果虛擬機器位於 Azure 虛擬網路中,請改用網路安全性群組。 如需詳細資訊,請參閱 關於網路安全性群組

注意

Azure 虛擬機器的防火牆組態會針對連接埠自動完成,該連接埠與 Azure 自動設定的遠端連線端點相關聯。 至於其他所有端點的指定連接埠,不會自動設定虛擬機器的防火牆。 您建立虛擬機器的端點時,請確定虛擬機器的防火牆也允許端點設定相對應通訊協定和私人連接埠的流量。 若要設定防火牆,請參閱文件或虛擬機器上執行之作業系統的線上說明。

建立端點

  1. 登入 Azure 入口網站

  2. 選取 [虛擬機器],然後選取您想要設定的虛擬機器。

  3. 選取 [設定] 群組中的 [端點]。 [端點] 頁面隨即出現,其中列出虛擬機器目前的所有端點。 (此範例適用于 Windows VM。Linux VM 預設會顯示 SSH.) 的端點

    端點

  4. 在端點項目上方的命令列中,選取 [新增]。 [新增端點] 頁面隨即出現。

  5. 對於 [名稱],輸入端點的名稱。

  6. 對於 [通訊協定],選擇 [TCP] 或 [UDP]

  7. 對於 [公用連接埠],輸入網際網路連入流量的連接埠號碼。

  8. 對於 [私人連接埠],輸入虛擬機器所接聽的連接埠號碼。 公用和私人連接埠號碼可以不同。 請確定已經設定虛擬機器的防火牆允許通訊協定和私人連接埠對應的流量。

  9. 選取 [確定]。

新的端點會列在 [端點] 頁面上。

端點建立成功

在端點上管理 ACL

為了定義可以傳送流量的電腦集合,端點上的 ACL 能夠根據來源 IP 位址限制流量。 請依照這些步驟,在端點上新增、修改或移除 ACL。

注意

如果端點屬於負載平衡集合,則對端點上的 ACL 所做的任何變更,都將套用至此集合的所有端點。

如果虛擬機器位於 Azure 虛擬網路中,請改用網路安全性群組,而不使用 ACL。 如需詳細資訊,請參閱 關於網路安全性群組

  1. 登入 Azure 入口網站。

  2. 選取 [虛擬機器],然後選取您想要設定之虛擬機器的名稱。

  3. 選取 [端點]。 從 [端點] 清單中,選取適當的端點。 ACL 清單位於頁面底部。

    指定 ACL 詳細資料

  4. 使用清單中的資料列來新增、刪除或編輯 ACL 的規則並變更奇順序。 [遠端子網路] 值是網際網路連入流量的 IP 位址範圍,Azure 負載平衡器會根據流量的來源 IP 位址允許或拒絕流量。 請務必使用「無類別網域間路由選擇」(CIDR) 格式來指定 IP 位址範圍,該格式又稱為「位址首碼」格式。 例如: 10.1.0.0/8

新增 ACL 項目

您可以使用規則僅允許網際網路上的特定電腦對應至您電腦的流量,或拒絕特定已知位址範圍的流量。

規則的評估順序是從第一個規則開始,一直到最後一個規則為止。 因此規則應會以最寬鬆到最嚴格的順序來排列。 如需詳細資訊,請參閱什麼是網路存取控制清單

後續步驟

  • 您也可以使用 Azure 命令列介面建立 VM 端點。 執行 azure vm endpoint create 命令。
  • 如果您已在 Resource Manager 部署模型中建立虛擬機器,您可以使用 Resource Manager 模式中的 Azure CLI 來 建立網路安全性群組 以控制 VM 的流量。