通过

如何在 Azure 中的 Linux 经典虚拟机上设置端点

重要

经典 VM 将于 2023 年 3 月 1 日停用。

如果使用 ASM 中的 IaaS 资源,请在 2023 年 3 月 1 日完成迁移。 我们建议你尽快进行切换,以利用 Azure 资源管理器中的许多增强功能。

有关详细信息,请参阅在 2023 年 3 月 1 日前将 IaaS 资源迁移到 Azure 资源管理器

使用经典部署模型在 Azure 中创建的所有 Linux 虚拟机都可以通过专用网络通道与同一云服务或虚拟网络中的其他虚拟机自动通信。 但是,Internet 或其他虚拟网络上的计算机需要终结点才能将入站网络流量定向到虚拟机。 本文也适用于 Windows 虚拟机

注释

Azure 有两种不同的部署模型用于创建和使用资源: 资源管理器和经典部署模型。 本文介绍如何使用经典部署模型。 Microsoft 建议大多数新部署使用 Resource Manager 模型。

从 2017 年 11 月 15 日起,虚拟机仅在 Azure 门户中可用。

Resource Manager 部署模型中,终结点是使用 网络安全组(NSG)配置的。 有关详细信息,请参阅 打开端口和终结点

在 Azure 门户中创建 Linux 虚拟机时,通常会自动为您创建 SSH 终结点。 可以在创建虚拟机时或之后根据需要配置其他终结点。

每个终结点都有 一个公共端口 和一个 专用端口

  • Azure 负载均衡器使用公共端口侦听来自 Internet 的虚拟机的传入流量。
  • 虚拟机使用专用端口侦听传入流量,通常发往虚拟机上运行的应用程序或服务。

使用 Azure 门户创建终结点时,会提供已知网络协议的 IP 协议和 TCP 或 UDP 端口的默认值。 对于自定义终结点,请指定正确的 IP 协议(TCP 或 UDP)以及公共和专用端口。 若要在多个虚拟机之间随机分配传入流量,请创建一个由多个终结点组成的负载均衡集。

创建终结点后,可以使用访问控制列表(ACL)来定义规则,这些规则允许或拒绝传入到终结点的公共端口,具体取决于其源 IP 地址。 但是,如果虚拟机位于 Azure 虚拟网络中,请改用网络安全组。 有关详细信息,请参阅 “关于网络安全组”。

注释

Azure 虚拟机的防火墙配置会自动为通过 Azure 自动设置的远程连接端点关联的端口进行配置。 对于为所有其他终结点指定的端口,不会自动对虚拟机的防火墙执行任何配置。 为虚拟机创建终结点时,请确保虚拟机的防火墙还允许与终结点配置对应的协议和专用端口的流量。 若要配置防火墙,请参阅虚拟机上运行的作系统的文档或在线帮助。

创建终结点

  1. 登录到 Azure 门户

  2. 选择 虚拟机,然后选择要配置的虚拟机。

  3. “设置”组中选择“终结点”。 此时会显示 “终结点 ”页,其中列出了虚拟机的所有当前终结点。 (此示例适用于 Windows VM。默认情况下,Linux VM 将显示 SSH 的终结点。

    端点

  4. 在终结点条目上方的命令栏中,选择“ 添加”。 此时会显示 “添加终结点 ”页。

  5. 对于 “名称”,请输入终结点的名称。

  6. 对于 协议,请选择 TCPUDP

  7. 对于 公共端口,请输入来自 Internet 的传入流量的端口号。

  8. 对于 专用端口,请输入虚拟机正在侦听的端口号。 公共和专用端口号可能有所不同。 确保虚拟机上的防火墙已配置为允许与协议和专用端口对应的流量。

  9. 选择“ 确定”。

新终结点列在 “终结点 ”页上。

终结点创建成功

管理终结点上的 ACL

若要定义可以发送流量的计算机集,终结点上的 ACL 可以基于源 IP 地址限制流量。 按照以下步骤在终结点上添加、修改或删除 ACL。

注释

如果终结点是负载均衡集的一部分,则对终结点上的 ACL 所做的任何更改都会应用到集中的所有终结点。

如果虚拟机位于 Azure 虚拟网络中,请使用网络安全组而不是 ACL。 有关详细信息,请参阅 “关于网络安全组”。

  1. 登录到 Azure 门户。

  2. 选择 虚拟机,然后选择要配置的虚拟机的名称。

  3. 选择 终结点。 从终结点列表中选择相应的终结点。 ACL 列表位于页面底部。

    指定 ACL 详细信息

  4. 使用列表中的行添加、删除或编辑 ACL 的规则并更改其顺序。 REMOTE SUBNET 值是一个 IP 地址范围,用于处理来自互联网的传入流量,Azure 负载均衡器根据源 IP 地址来允许或拒绝这些流量。 请务必以无类域间路由(CIDR)格式(也称为地址前缀格式)指定 IP 地址范围。 例如,10.1.0.0/8

新建 ACL 条目

可以使用规则仅允许来自与 Internet 上的计算机对应的特定计算机的流量,或拒绝来自特定已知地址范围的流量。

规则的评估从第一个规则开始,到最后一个规则结束。 因此,规则应从限制最少到最严格的顺序进行排序。 有关详细信息,请参阅 什么是网络访问控制列表

后续步骤

  • 还可以使用 Azure Command-Line 接口创建 VM 终结点。 运行 azure vm 终端创建 命令。
  • 如果在 Resource Manager 部署模型中创建了虚拟机,则可以在 Resource Manager 模式下使用 Azure CLI 创建网络安全组 来控制发向 VM 的流量。