使用傳統部署模型在 Windows 虛擬機上設定端點

這很重要

傳統 VM 將於 2023 年 3 月 1 日淘汰。

如果您使用 ASM 中的 IaaS 資源，請在 2023 年 3 月 1 日完成移轉。 我們鼓勵您及早切換，以利用 Azure Resource Manager 的許多功能增強功能。

如需詳細資訊，請參閱 將 IaaS 資源於 2023 年 3 月 1 日前遷移至 Azure Resource Manager。

您使用傳統部署模型在 Azure 中建立的 Windows 虛擬機，可以透過專用網通道自動與相同雲端服務或虛擬網路中的其他 VM 通訊。 不過，網際網路或其他虛擬網路上的電腦需要端點，才能將輸入網路流量導向虛擬機器 (VM)。

您也可以在 Linux 虛擬機上設定端點。

這很重要

Azure 針對建立和使用資源方面，有二種不同的的部署模型：Resource Manager 和傳統。 本文涵蓋傳統部署模型。 Microsoft建議大部分的新部署都使用 Resource Manager 模型。

從 2017 年 11 月 15 日起，虛擬機只能在 azure 入口網站 中使用。

在 Resource Manager 部署模型中，端點是使用 網路安全組 （NSG） 進行設定。 如需詳細資訊，請參閱 使用 Azure 入口網站允許外部存取 VM。

當您在 Azure 入口網站中建立 Windows VM 時，通常會為您自動建立常見的端點，例如遠端桌面和 Windows PowerShell 遠端的端點。 您可以視需要稍後設定其他端點。

每個端點都有 公用埠 和 私人埠：

• Azure 負載平衡器會使用公用埠來接聽從因特網傳送到虛擬機的連入流量。
• 虛擬機器使用私人埠來接聽傳入流量，通常是針對於在虛擬機器上運行的應用程式或服務。

當您使用 Azure 入口網站建立端點時，會提供已知網路協定的 IP 通訊協定和 TCP 或 UDP 連接埠預設值。 針對自定義端點，指定正確的IP通訊協定（TCP或UDP）和公用和私人埠。 若要隨機將連入流量分散到多部虛擬機，請建立由多個端點組成的負載平衡集。

建立端點之後，您可以使用存取控制清單 （ACL） 來定義規則，以根據端點的來源 IP 位址允許或拒絕端點公用埠的連入流量。 不過，如果虛擬機位於 Azure 虛擬網路中，請改用網路安全組。 如需詳細資訊，請參閱 關於網路安全組。

備註

Azure 虛擬機的防火牆設定會自動完成，涵蓋 Azure 自動建立的遠端連線端點相關聯的埠。 針對針對所有其他端點指定的埠，不會自動對虛擬機的防火牆執行任何設定。 當您建立虛擬機的端點時，請確定虛擬機的防火牆也允許對應至端點組態之通訊協定和私人埠的流量。 若要設定防火牆，請參閱在虛擬機器上執行的操作系統的文件或線上說明。

建立端點

1. 登入 Azure 入口網站。

2. 選取 [虛擬機]，然後選取您要設定的虛擬機。

3. 在 [設定] 群組中選取 [端點]。 [端點] 頁面隨即出現，其中會列出虛擬機的所有目前端點。 （此範例適用於 Windows VM。Linux VM 預設會顯示 SSH 的端點。

   

4. 在端點項目上方的指令列中，選取 新增。 [新增端點] 頁面隨即出現。

5. 針對 [名稱，輸入端點的名稱。

6. 針對 通訊協定，請選擇 [TCP ] 或 [UDP]。

7. 針對 公用埠，輸入來自網際網路的傳入流量埠號碼。

8. 針對 私人埠口，輸入虛擬機正在接聽的埠號碼。 公用和私人埠號碼可能不同。 請確定虛擬機上的防火牆已設定為允許對應至通訊協定和私人埠的流量。

9. 請選擇 [確定]。

新的端點會列在 [端點] 頁面上。

管理端點上的 ACL

若要定義可傳送流量的計算機集合，端點上的 ACL 可以根據來源 IP 位址來限制流量。 請遵循下列步驟，在端點上新增、修改或移除 ACL。

備註

如果端點是負載平衡集的一部分，您在端點上對 ACL 所做的任何變更都會套用至集合中的所有端點。

如果虛擬機位於 Azure 虛擬網路中，請使用網路安全組，而不是 ACL。 如需詳細資訊，請參閱 關於網路安全組。

1. 登入 Azure 入口網站。

2. 選取 [[虛擬機]，然後選取您要設定的虛擬機名稱。

3. 選取端點。 從端點清單中，選取適當的端點。 ACL 清單位於頁面底部。

   

4. 使用清單中的數據列來新增、刪除或編輯 ACL 的規則，並變更其順序。 REMOTE SUBNET 值是 Azure 負載平衡器用來根據來源 IP 位址允許或拒絕來自因特網的連入流量的 IP 位址範圍。 請務必以無類別網路變數間路由 （CIDR） 格式指定IP位址範圍，也稱為位址前綴格式。 例如： 10.1.0.0/8 。

您可以使用規則，只允許來自與您在網際網路上的計算機相對應的特定計算機的流量，或拒絕來自特定已知位址範圍的流量。

規則的評估順序從第一個規則開始，最後一個規則結束。 因此，規則應該從最不嚴格到最嚴格的排序。 如需詳細資訊，請參閱 什麼是網路存取控制清單。

後續步驟

• 若要使用 Azure PowerShell Cmdlet 來設定 VM 端點，請參閱 Add-AzureEndpoint。
• 若要使用 Azure PowerShell Cmdlet 來管理端點上的 ACL，請參閱使用 PowerShell 管理端點的訪問控制清單（ACL）。
• 如果您在 Resource Manager 部署模型中建立虛擬機，您可以使用 Azure PowerShell 建立網路安全組 來控制 VM 的流量。