【Microsoft Learn】Microsoft Azure 服务 - 教程
虚拟网络文档
参考 虚拟网络文档
了解如何使用 Azure 虚拟网络。 快速入门、教程和示例等等,显示了如何部署虚拟网络,如何控制流量筛选和路由,以及如何将虚拟网络连接到其他虚拟网络。
创建 Azure 虚拟网络
这张图展示的是 Azure Bastion 远程登录 VM 的安全架构。它说明了:不需要给虚拟机暴露公网 IP,也许可安全登录 VM。
vnet-1:虚拟网络(Azure 的内部网络)
AzureBastionSubnet:放 Bastion 的专用子网(必须存在)
subnet-1:放 VM 的普通子网
NSG:网络安全组(防火墙规则)
public-ip仅用于 Bastion,不给 VM 用,VM 没有 Public IP。
| 步骤 | 流程 | 说明 |
|---|---|---|
| 1 | 用户打开 Azure 门户 | 用户通过浏览器访问 Azure Portal |
| 2 | 门户运用 TLS 加密连接 | HTTPS(TLS/443)安全访问 Portal |
| 3 | Portal 通过 Bastion 访问虚拟网络 | Portal → Bastion 的连接也走 TLS/443 |
| 4 | Bastion 远程连接 VM | 运用 RDP 或 SSH 连接虚拟机(内部网络通信) |
| 5 | VM 之间可能互相通信 | 如 Ping、内网访问 |
Azure Bastion = 云上的跳板机(堡垒机)
:就是它的作用保护虚拟机:VM 不应该公网 IP 也能登录;替代开放 3389/22 端口:不暴露 RDP/SSH 端口到公网;更安全:浏览器直接访问,无需公网暴露。
创建虚拟机时,Azure 自动要求你:选择虚拟网络、选择子网,源于 VM 必须有私有网络环境。
创建虚拟网络和 Azure Bastion 主机
以下过程 创建包含资源子网、Azure Bastion 子网和 Bastion 主机的虚拟网络:
在门户中,搜索并选择 “虚拟网络”。
在“虚拟网络”页面上,选择“+创建”。
在“创建虚拟网络”的“基本信息”选项卡上,输入或选择以下信息:
选择 “下一步 ”以转到“安全”选项卡。在“Azure Bastion”部分,选择“启用 Azure Bastion”。
在“Azure Bastion”中,输入或选择以下信息:
选择 “下一步 ”以转到“IP 地址”选项卡。在 子网中的地址空间框中,选择默认子网。在 “编辑子网”中,输入或选择以下信息:
- 选择“ 保存”。选择窗口底部的 “查看 + 创建 ”。 验证通过后,选择“创建”。
创建虚拟机
以下过程在虚拟网络中创建两个 VM,名称分别为“vm-1”和“vm-2”:
在门户中,搜索并选择虚拟机。
在“虚拟机”中,选择“+创建”,然后选择“Azure 虚拟机”。
在“创建虚拟机”的“基本信息”选项卡上,输入或选择以下信息:
选择“网络”选项卡。输入或选择以下信息:
将其余设置保留为默认值,接着选择“查看 + 创建”。检查设置,然后选择“创建”。等待第一台虚拟机部署,然后重复前面的步骤,以采用以下设置创建第二台虚拟机(略)。
连接到虚拟机
在门户中,搜索并选择虚拟机。
在“虚拟机”页上,选择“vm-1”。
在 vm-1 的“概述”信息中,选择“连接”。
在“连接到虚拟机”页面上,选择“Bastion”选项卡。
选择“使用 Bastion”。
输入 创建虚拟机时创建的用户名和密码,然后选择 “连接”。
启动虚拟机之间的通信
在 vm-1 的 bash 提示符下,输入 ping -c 4 vm-2。
你会看到类似于以下消息的回复:
azureuser@vm-1:~$ ping -c 4 vm-2
PING vm-2.3bnkevn3313ujpr5l1kqop4n4d.cx.internal.cloudapp.net (10.0.0.5) 56(84) bytes of data.
64 bytes from vm-2.internal.cloudapp.net (10.0.0.5): icmp_seq=1 ttl=64 time=1.83 ms
64 bytes from vm-2.internal.cloudapp.net (10.0.0.5): icmp_seq=2 ttl=64 time=0.987 ms
64 bytes from vm-2.internal.cloudapp.net (10.0.0.5): icmp_seq=3 ttl=64 time=0.864 ms
64 bytes from vm-2.internal.cloudapp.net (10.0.0.5): icmp_seq=4 ttl=64 time=0.890 ms关闭 Bastion 与 vm-1 的连接。
网络安全组
可能使用 Azure 网络安全组来筛选 Azure 虚拟网络中 Azure 资源之间的网络流量。网络安全组包含安全规则,这些规则可允许或拒绝多种 Azure 资源的入站和出站网络流量。
虚拟网络 IP 服务文档
参考 虚拟网络 IP 服务文档
了解如何利用 Azure 虚拟网络 IP 服务。 飞快入门、教程、示例等介绍如何使用 Azure 中的 IP 服务。
如何创建 Azure 公共 IP 地址,以用于与 Azure 资源建立公共连接?
公共 IP 地址 允许 Internet 资源 与 Azure 资源 进行 入站通信。 公共 IP 地址使Azure 资源能够与 Internet 和面向公众的 Azure 服务进行出站 通信。
| 通信方向 | 解释 | 举例 |
|---|---|---|
| 入站通信 (Inbound) | 外面的人访问 Azure 上的服务 | 用户访问你的网站:http://公网IP |
| 出站通信 (Outbound) | Azure 里你的服务访问外部互联网 | Azure VM 访问 GitHub 或下载更新 |
这张图展示的是在 Azure 云上通过负载均衡器 (Load Balancer) 将公网流量分发到多台虚拟机 (VM)的典型架构。
| 图中名称 | 作用 | 理解方式 |
|---|---|---|
| vnet-1 | 虚拟网络 | 相当于云里的“内网” |
| subnet-1 | 子网 | 虚拟网络里的一个分隔区域 |
| public-ip | 公网 IP 地址 | 外部用户通过它访问系统 |
| load-balancer | 负载均衡器 | 接收来自公网的请求并分配给后端服务器 |
| vm-1、vm-2 | 虚拟机 | 用来献出 Web 服务的服务器 |
| Web 端口 80 | HTTP 默认端口 | Web 访问入口 |
工作流程:
- 用户在浏览器访问
http://公网IP:80 - 请求先到达 Public IP
- Public IP 与 Load Balancer 关联
- Load Balancer将请求分发到后端虚拟机vm-1 或 vm-2
- vm-1 / vm-2运行 Web 服务并返回结果给用户
为什么要这样设计?高可用:一台 VM 挂了另一台还能服务;负载分担:多台服务器一起处理更快;可扩展:业务大时许可加更多 VM。
Public IP= 商场的大门
Load Balancer= 商场门口的分流保安
vm-1 / vm-2= 不同柜台的服务人员顾客(用户)进入商场,通过保安(负载均衡),被分配到空闲的柜台(VM)服务。
公共 IP 地址在两种 SKU 中可用:根本和标准。 有两层公共 IP 地址可用:区域和全局。 还可以在创建公共 IP 地址时设置其路由首选项:Microsoft 网络或 Internet。
创建标准 SKU 公共 IP 地址的具体步骤如下(先决条件:具有活动订阅的 Azure 帐户):
将公共 IP 地址分配给 Azure 资源 时,需要启用以下操作:
从 Internet 到 Azure 资源的入站通信,如 Azure 虚拟机 (VM)、Azure 应用程序网关、Azure 负载均衡器、Azure VPN 网关等。
使用可预测的 IP 地址与 Internet 建立出站连接。
为 Azure 网络接口配置 IP 地址
专用和公共 IP 地址都可以分配给虚拟机的网络接口控制器(NIC)。
- 通过分配给网络接口的公共 IP 地址,可以实现从 Internet 到虚拟机的入站通信。通过此地址,还能够使用可预测的 IP 地址实现从虚拟机到 Internet 的出站通信。
- 通过分配给网络接口的专用 IP 地址,虚拟机能够与 Azure 虚拟网络和所连接的网络中的其他资源进行通信。 通过专用 IP 地址,还能够使用不可预测的 IP 地址完成到 Internet 的出站通信。
Azure 门户 (Azure Portal)是微软提供的一个 Web 管理界面,可以经过浏览器登录,然后对 Azure 的云资源进行可视化管理。只要有 Azure 账户,就许可登录。
在门户顶部的搜索框中,输入“网络接口”。 在搜索结果中,选择“网络接口”。
在网络接口列表中,选择要将 IP 地址添加到的网络接口。
在“设置”下选择“IP 配置”、然后选择“+ 添加”。
指定以下内容,随后选择“确定”:
浙公网安备 33010602011771号