配置 Azure 虚拟机网络设置

我们已安装自定义软件，设置 FTP 服务器，并将 VM 配置为接收视频文件。 但是，如果我们尝试使用 FTP 连接到公共 IP 地址，则会发现它被阻止。

通常使用本地环境中的设备来执行对服务器配置的调整。 从这个意义上说，可以将 Azure VM 视为该环境的扩展。 可以通过 Azure 门户、Azure CLI 或 Azure PowerShell 工具进行配置更改、管理网络、打开或阻止流量等。

已在虚拟机 的“概述 ”面板中看到一些基本信息和管理选项。 让我们进一步探索网络配置。

在 Azure 虚拟机中打开端口

默认情况下，新 VM 已锁定。

应用可以发出传出请求，但允许的唯一入站流量来自虚拟网络（例如，同一本地网络上的其他资源），以及来自 Azure 负载均衡器（探测检查）。

调整配置以支持 FTP 有两个步骤。 创建新 VM 时，有机会打开几个常见端口（RDP、HTTP、HTTPS 和 SSH）。 但是，如果需要对防火墙进行其他更改，则需要自行进行更改。

此过程涉及两个步骤：

1. 创建网络安全组。
2. 创建允许端口 20 和 21 上的流量的入站规则，以获取主动 FTP 支持。

什么是网络安全组？

虚拟网络（VNet）是 Azure 网络模型的基础，提供隔离和保护。 网络安全组（NSG）是用于在网络级别强制和控制网络流量规则的主要工具。 NSG 是一个可选的安全层，它通过筛选 VNet 上的入站和出站流量来提供软件防火墙。

安全组可以关联到网络接口（用于单个主机规则），虚拟网络中的子网（适用于多个资源），或者同时应用于这两个层级。

安全组规则

NSG 使用 规则 允许或拒绝通过网络移动的流量。 每个规则标识源地址和目标地址（或范围）、协议、端口（或范围）、方向（入站或出站）、数值优先级，以及是允许还是拒绝与规则匹配的流量。 下图显示了在子网和网络接口级别应用的 NSG 规则。

每个安全组都有一组默认安全规则，用于应用前面段落中所述的默认网络规则。 不能修改这些默认规则，但 可以 覆盖它们。

Azure 如何使用网络规则

对于入站流量，Azure 处理与子网关联的安全组，然后处理应用于网络接口的安全组。 出站流量按相反的顺序处理（网络接口首先，后跟子网）。

规则按 优先级顺序进行评估，从 最低优先级 规则开始。 拒绝规则会始终停止评估。 例如，如果网络接口规则阻止了出站请求，则不会检查应用于子网的任何规则。 若要允许流量通过安全组，它必须通过所有已应用的组进行传输。

最后一个规则始终是 “全部拒绝 ”规则。 这是添加到每个安全组的默认规则，针对优先级为 65500 的入站和出站流量。 这意味着要让流量通过安全组，必须具有允许规则，否则默认最终规则会阻止它。 详细了解安全规则。