【Microsoft Learn】Microsoft Azure 服务

Microsoft Azure Global Edition 技术文档网站

虚拟网络文档

参考 虚拟网络文档

了解如何使用 Azure 虚拟网络。 快速入门、教程和示例等等，显示了如何部署虚拟网络，如何控制流量筛选和路由，以及如何将虚拟网络连接到其他虚拟网络。

创建 Azure 虚拟网络

参考 快速入门：创建 Azure 虚拟网络

这张图展示的是 Azure Bastion 远程登录 VM 的安全架构。它说明了：不需要给虚拟机暴露公网 IP，也可以安全登录 VM。

vnet-1：虚拟网络（Azure 的内部网络）

AzureBastionSubnet：放 Bastion 的专用子网（必须存在）

subnet-1：放 VM 的普通子网

NSG：网络安全组（防火墙规则）

public-ip 仅用于 Bastion，不给 VM 用，VM 没有 Public IP。

Azure Bastion = 云上的跳板机（堡垒机）
它的作用是：保护虚拟机：VM 不需要公网 IP 也能登录；替代开放 3389/22 端口：不暴露 RDP/SSH 端口到公网；更安全：浏览器直接访问，无需公网暴露。

创建虚拟机时，Azure 自动要求你：选择虚拟网络、选择子网，因为 VM 必须有私有网络环境。

创建虚拟网络和 Azure Bastion 主机

以下过程 创建包含资源子网、Azure Bastion 子网和 Bastion 主机的虚拟网络：

• 在门户中，搜索并选择 “虚拟网络”。

• 在“虚拟网络”页面上，选择“+ 创建”。

• 在“创建虚拟网络”的“基本信息”选项卡上，输入或选择以下信息：

  

• 选择 “下一步 ”以转到“ 安全 ”选项卡。在“Azure Bastion”部分，选择“启用 Azure Bastion”。

• 在“Azure Bastion”中，输入或选择以下信息：
  

• 选择 “下一步 ”以转到“ IP 地址 ”选项卡。在 子网中的地址空间框中，选择 默认 子网。在 “编辑子网”中，输入或选择以下信息：

  

• 选择“ 保存”。选择窗口底部的 “查看 + 创建 ”。 验证通过后，选择“创建”。

创建虚拟机

以下过程在虚拟网络中创建两个 VM，名称分别为“vm-1”和“vm-2”：

• 在门户中，搜索并选择 虚拟机。

• 在“虚拟机”中，选择“+ 创建”，然后选择“Azure 虚拟机”。

• 在“创建虚拟机”的“基本信息”选项卡上，输入或选择以下信息：

• 选择“网络”选项卡。输入或选择以下信息：

  

• 将其余设置保留为默认值，然后选择“查看 + 创建”。检查设置，然后选择“创建”。等待第一台虚拟机部署，然后重复前面的步骤，以使用以下设置创建第二台虚拟机（略）。

连接到虚拟机

• 在门户中，搜索并选择 虚拟机。

• 在“虚拟机”页上，选择“vm-1”。

• 在 vm-1 的“概述”信息中，选择“连接”。

• 在“连接到虚拟机”页面上，选择“Bastion”选项卡。

• 选择“使用 Bastion”。

• 输入 创建虚拟机时创建的用户名和密码，然后选择 “连接”。

启动虚拟机之间的通信

在 vm-1 的 bash 提示符下，输入 ping -c 4 vm-2。

你会看到类似于以下消息的回复：

azureuser@vm-1:~$ ping -c 4 vm-2
PING vm-2.3bnkevn3313ujpr5l1kqop4n4d.cx.internal.cloudapp.net (10.0.0.5) 56(84) bytes of data.
64 bytes from vm-2.internal.cloudapp.net (10.0.0.5): icmp_seq=1 ttl=64 time=1.83 ms
64 bytes from vm-2.internal.cloudapp.net (10.0.0.5): icmp_seq=2 ttl=64 time=0.987 ms
64 bytes from vm-2.internal.cloudapp.net (10.0.0.5): icmp_seq=3 ttl=64 time=0.864 ms
64 bytes from vm-2.internal.cloudapp.net (10.0.0.5): icmp_seq=4 ttl=64 time=0.890 ms

关闭 Bastion 与 vm-1 的连接。

网络安全组

参考 Azure 网络安全组概述

可以使用 Azure 网络安全组来筛选 Azure 虚拟网络中 Azure 资源之间的网络流量。网络安全组包含 安全规则，这些规则可 允许或拒绝多种 Azure 资源的入站和出站网络流量。

虚拟网络 IP 服务文档

参考 虚拟网络 IP 服务文档

了解如何使用 Azure 虚拟网络 IP 服务。 快速入门、教程、示例等介绍如何使用 Azure 中的 IP 服务。

如何创建 Azure 公共 IP 地址，以用于与 Azure 资源建立公共连接？

参考 快速入门：使用 Azure 门户创建公共 IP 地址
参考 创建、更改或删除 Azure 公共 IP 地址

公共 IP 地址 允许 Internet 资源 与 Azure 资源 进行 入站 通信。 公共 IP 地址使 Azure 资源 能够与 Internet 和面向公众的 Azure 服务进行 出站 通信。

这张图展示的是 在 Azure 云上通过负载均衡器 (Load Balancer) 将公网流量分发到多台虚拟机 (VM) 的典型架构。

工作流程：

• 用户在浏览器访问 http://公网IP:80
• 请求先到达 Public IP
• Public IP 与 Load Balancer 关联
• Load Balancer 将请求分发到后端虚拟机 vm-1 或 vm-2
• vm-1 / vm-2 运行 Web 服务并返回结果给用户

为什么要这样设计？ 高可用：一台 VM 挂了另一台还能服务；负载分担：多台服务器一起处理更快；可扩展：业务大时可以加更多 VM。

Public IP = 商场的大门
Load Balancer = 商场门口的分流保安
vm-1 / vm-2 = 不同柜台的服务人员

顾客（用户）进入商场，通过保安（负载均衡），被分配到空闲的柜台（VM）服务。

公共 IP 地址在两种 SKU 中可用：基本和 标准。 有两层公共 IP 地址可用：区域 和全局。 还可以在创建公共 IP 地址时设置其路由首选项：Microsoft 网络 或 Internet。

创建标准 SKU 公共 IP 地址 的具体步骤如下（先决条件：具有活动订阅的 Azure 帐户）：

将公共 IP 地址分配给 Azure 资源 时，需要启用以下操作：

• 从 Internet 到 Azure 资源的入站通信，如 Azure 虚拟机 (VM)、Azure 应用程序网关、Azure 负载均衡器、Azure VPN 网关等。

• 使用可预测的 IP 地址与 Internet 建立出站连接。

为 Azure 网络接口配置 IP 地址

参考 为 Azure 网络接口配置 IP 地址

专用和公共 IP 地址都可以分配给 虚拟机的网络接口控制器 (NIC)。

• 通过分配给网络接口的 公共 IP 地址，可以实现从 Internet 到虚拟机的入站通信。通过此地址，还能够使用 可预测的 IP 地址 实现从虚拟机到 Internet 的出站通信。
• 通过分配给网络接口的 专用 IP 地址，虚拟机能够与 Azure 虚拟网络和所连接的网络中的其他资源进行通信。 通过专用 IP 地址，还能够使用 不可预测的 IP 地址 实现到 Internet 的出站通信。

Azure 门户 (Azure Portal) 是微软提供的一个 Web 管理界面，可以通过浏览器登录，然后对 Azure 的云资源进行可视化管理。只要有 Azure 账户，就可以登录。

• 在门户顶部的搜索框中，输入“网络接口”。 在搜索结果中，选择“网络接口”。

• 在网络接口列表中，选择要将 IP 地址添加到的网络接口。

• 在“设置”下选择“IP 配置”、然后选择“+ 添加”。

• 指定以下内容，然后选择“确定”：