使用经典部署模型在 Windows 虚拟机上设置终结点

使用经典部署模型在 Azure 中创建的 Windows 虚拟机（VM）可以自动通过专用网络通道与同一云服务或虚拟网络中的其他 VM 进行通信。 但是，Internet 或其他虚拟网络上的计算机需要终结点才能将入站网络流量定向到 VM。

还可以在 Linux 虚拟机上设置终结点。

在 Resource Manager 部署模型中，终结点是使用 网络安全组（NSG）配置的。 有关详细信息，请参阅 使用 Azure 门户允许外部访问 VM。

在 Azure 门户中创建 Windows VM 时，通常会自动创建常见终结点，例如远程桌面和 Windows PowerShell 远程处理终结点。 可以根据需要稍后配置其他终结点。

每个终结点都有 一个公共端口 和一个 专用端口：

• Azure 负载均衡器使用公共端口侦听来自 Internet 的虚拟机的传入流量。
• 虚拟机使用专用端口侦听传入流量，通常发往虚拟机上运行的应用程序或服务。

使用 Azure 门户创建终结点时，会提供已知网络协议的 IP 协议和 TCP 或 UDP 端口的默认值。 对于自定义终结点，请指定正确的 IP 协议（TCP 或 UDP）以及公共和专用端口。 若要在多个虚拟机之间随机分配传入流量，请创建一个由多个终结点组成的负载均衡集。

创建终结点后，可以使用访问控制列表（ACL）来定义规则，这些规则允许或拒绝传入到终结点的公共端口，具体取决于其源 IP 地址。 但是，如果虚拟机位于 Azure 虚拟网络中，请改用网络安全组。 有关详细信息，请参阅 “关于网络安全组”。

创建终结点

1. 登录到 Azure 门户。

2. 选择 虚拟机，然后选择要配置的虚拟机。

3. 在“设置”组中选择“终结点”。 此时会显示 “终结点 ”页，其中列出了虚拟机的所有当前终结点。 （此示例适用于 Windows VM。默认情况下，Linux VM 将显示 SSH 的终结点。

   

4. 在终结点条目上方的命令栏中，选择“ 添加”。 此时会显示 “添加终结点 ”页。

5. 对于 “名称”，请输入终结点的名称。

6. 对于 协议，请选择 TCP 或 UDP。

7. 对于 公共端口，请输入来自 Internet 的传入流量的端口号。

8. 对于 专用端口，请输入虚拟机正在侦听的端口号。 公共和专用端口号可能有所不同。 确保虚拟机上的防火墙已配置为允许与协议和专用端口对应的流量。

9. 选择“确定”。

新终结点列在 “终结点 ”页上。

管理终结点上的 ACL

若要定义可以发送流量的计算机集，终结点上的 ACL 可以基于源 IP 地址限制流量。 按照以下步骤在终结点上添加、修改或删除 ACL。

如果虚拟机位于 Azure 虚拟网络中，请使用网络安全组而不是 ACL。 有关详细信息，请参阅 “关于网络安全组”。

1. 登录到 Azure 门户。

2. 选择 虚拟机，然后选择要配置的虚拟机的名称。

3. 选择端点。 从终结点列表中选择相应的终结点。 ACL 列表位于页面底部。

   

4. 使用列表中的行添加、删除或编辑 ACL 的规则并更改其顺序。 REMOTE SUBNET 值是用于 Azure 负载均衡器根据源 IP 地址允许或拒绝来自 Internet 的流量的 IP 地址范围。 请务必以无类域间路由（CIDR）格式（也称为地址前缀格式）指定 IP 地址范围。 例如，10.1.0.0/8。

可以使用规则仅允许来自与 Internet 上的计算机对应的特定计算机的流量，或拒绝来自特定已知地址范围的流量。

规则的评估从第一个规则开始，到最后一个规则结束。 因此，规则应从限制最少到最严格的顺序进行排序。 有关详细信息，请参阅 什么是网络访问控制列表。

后续步骤

• 若要使用 Azure PowerShell cmdlet 设置 VM 终结点，请参阅 Add-AzureEndpoint。
• 若要使用 Azure PowerShell cmdlet 管理终结点上的 ACL，请参阅 使用 PowerShell 管理终结点的访问控制列表（ACL）。
• 如果在 Resource Manager 部署模型中创建了虚拟机，可以使用 Azure PowerShell 创建网络安全组 来控制发到 VM 的流量。