如何在 Azure 中的 Linux 经典虚拟机上设置终结点

  • 项目

重要

经典 VM 将于 2023 年 3 月 1 日停用。

如果从 ASM 使用 IaaS 资源,请在 2023 年 3 月 1 日之前完成迁移。 我们建议你尽快进行切换,以利用 Azure 资源管理器中的许多增强功能。

有关详细信息,请参阅在 2023 年 3 月 1 日之前将 IaaS 资源迁移到 Azure 资源管理器

在 Azure 中使用经典部署模型创建的所有 Linux 虚拟机都可以通过专用网络通道与同一云服务或虚拟网络中的其他虚拟机自动通信。 但是,Internet 上的计算机或其他虚拟网络需要终结点才能定向虚拟机的入站网络流量。 本文也适用于 Windows 虚拟机

注意

Azure 具有用于创建和处理资源的两个不同的部署模型:资源管理器部署模型和经典部署模型。 本文介绍如何使用经典部署模型。 Microsoft 建议大多数新部署使用资源管理器模型。

自 2017 年 11 月 15 日起,仅在 Azure 门户中提供虚拟机。

Resource Manager 部署模型中,终结点是使用网络安全组 (NSG) 配置的。 有关详细信息,请参阅 打开端口和终结点

在 Azure 门户中创建 Linux 虚拟机时,系统通常自动为安全外壳 (SSH) 创建一个终结点。 可以在创建虚拟机时或之后根据需要配置其他终结点。

每个终结点都拥有公用端口专用端口

  • Azure 负载均衡器使用公用端口侦听从 Internet 传入的虚拟机流量。
  • 虚拟机使用专用端口侦听传入流量(通常发送到虚拟机上运行的应用程序或服务)。

使用 Azure 门户创建终结点时,将为 IP 协议和众所周知的网络协议的 TCP 或 UDP 端口提供默认值。 对于自定义终结点,请指定正确的 IP 协议(TCP 或 UDP),以及公用和专用端口。 若要将传入流量随机分布到多个虚拟机,请创建包含多个终结点的负载均衡集。

创建终结点后,可以使用访问控制列表 (ACL) 定义规则,根据传入流量的源 IP 地址允许或拒绝终结点的公用端口的传入流量。 但是,如果虚拟机位于 Azure 虚拟网络中,请改用网络安全组。 有关详细信息,请参阅关于网络安全组

注意

将对与 Azure 自动设置的远程连接终结点关联的端口自动完成 Azure 虚拟机的防火墙配置。 对于为所有其他终结点指定的端口,不会自动对虚拟机防火墙进行任何配置。 为虚拟机创建终结点时,请确保虚拟机的防火墙也允许与终结点配置对应的协议和专用端口的流量。 若要配置防火墙,请参阅有关在虚拟机上运行的操作系统的文档或联机帮助。

创建终结点

  1. 登录 Azure 门户

  2. 选择“虚拟机”,然后选择要配置的虚拟机。

  3. 在“设置”组中选择“终结点”。 此时会显示“终结点”页,其中列出了虚拟机的所有当前终结点。 (此示例适用于 Windows VM。默认情况下,Linux VM 将显示 SSH.) 的终结点

    终结点

  4. 在终结点条目上方的命令栏中,选择“添加”。 此时会显示“添加终结点”页。

  5. 对于“名称”,请输入终结点的名称。

  6. 对于“协议”,请选择“TCP”或“UDP”。

  7. 对于“公共端口”,请输入来自 Internet 的传入流量的端口号。

  8. 对于“专用端口”,请输入虚拟机正在侦听的端口号。 公共和专用端口号可以不同。 确保已将虚拟机的防火墙配置为允许与协议和专用端口对应的流量。

  9. 选择“确定”。

新终结点将在“终结点”页上列出

成功创建终结点

管理终结点上的 ACL

若要定义一组可以发送流量的计算机,终结点上的 ACL 可以基于源 IP 地址限制流量。 按照下列步骤,在终结点上添加、修改或删除 ACL。

注意

如果终结点是负载均衡集的一部分,则会将对终结点上 ACL 作出的任何更改应用到该集中的所有终结点。

如果虚拟机位于 Azure 虚拟网络中,请使用网络安全组,而不要使用 ACL。 有关详细信息,请参阅关于网络安全组

  1. 登录到 Azure 门户。

  2. 选择“虚拟机”,然后选择要配置的虚拟机的名称。

  3. 选择“终结点”。 在终结点列表中选择相应的终结点。 ACL 列表位于页面底部。

    指定 ACL 详细信息

  4. 使用列表中的行为 ACL 添加、删除或编辑规则,并更改其顺序。 “远程子网”值是从 Internet 传入流量的 IP 地址范围,Azure 负载均衡器将使用该值根据流量的源 IP 地址允许或拒绝传入流量。 请务必以无类域间路由 (CIDR) 格式(也称为地址前缀格式)指定 IP 地址范围。 例如,10.1.0.0/8

新的 ACL 条目

可以使用规则只允许来自与 Internet 上计算机对应的特定计算机的流量,或拒绝来自特定已知地址范围的流量。

按照从第一个规则开始并以最后一个规则结束的顺序评估规则。 因此,规则应按最低限制到最高限制排序。 有关详细信息,请参阅什么是网络访问控制列表

后续步骤

  • 也可以使用 Azure 命令行接口创建 VM 终结点。 运行 azure vm endpoint create 命令。
  • 如果在 Resource Manager 部署模型中创建虚拟机,可以在 Resource Manager 模式下使用 Azure CLI 创建网络安全组,控制发往 VM 的流量。