マイクロソフトのクラウドサーバ (VPS)Azure VMの開通とネットワーク設定のチュートリアル

国内の大手工場 (阿里雲、腾讯雲) や伝統的な物理機械室からマイクロソフトAzureに移ったばかりの初心者として、最も教育されやすい最初の場所はAzureです

ネットワークアーキテクチャ

。

多くの人は以前の習慣に基づいて、マウスをクリックして仮想マシン (VM) を起動した結果、パブリックネットワークが死活しても接続できないか、イントラネットが通じないかを発見した。これは、Azureの設計哲学が「セキュリティ・デフォルト・シャットダウン」で、ネットワーク・ロジック (VNet、NSG) が他のクラウド・ベンダーよりも厳密で具体的であるからである。

今日は公式の机を持って書類をめくることはない。私たちは口語と純粋な実技論理を使って、手であなたをAzure VMに連れて行って、ネットワークを完全に貫通します。

核心概念: ピットを避けるために必要な三つの大きなもの

手を出す前に、頭の中に画面を作る必要があります。Azureでは、1台の仮想マシンは孤立していないので、次の3つのネットワークレベルにラップする必要があります

VNet (バーチャルネットワーク/バーチャルネットワーク): クラウドで借りたビル全体に相当します。

サブネット (サブネット): ビル内の異なる階 (経理部、研究開発部など)。VMは特定の階に住んでいなければなりません。

NSG (ネットワークセキュリティグループ/ネットワークセキュリティグループ): フロアの入り口に相当するセキュリティ。どのIPが入るか、どのポートが開放されているかは、彼が計算した。

これを理解して、私たちは直接実技を始めた。

第1段階: 仮想マシンの作成 (VM)

Azure Portal (コンソール) にログインし、検索バーに入力します

バーチャルマッチ

,クリック

Create -> Azure virtual machine

。

1.基礎構成 (Basics)

プロジェクト詳細: サブスクリプションとリソースグループを選択します。リソースグループはフォルダのようなもので、今回テストしたものをすべてまとめて、後で削除できるようにします。

インスタンス詳細 (インスタンスの詳細):Virtual machine name: my-web-vmなどの名前を付けてください。Region (地域): 対外貿易や国境を越えて客先に最も近い場所 (East USなど) 、国内のテストはEast Asia(中国香港) を選ぶ。Image (ミラー): Ubuntu Server 22.04 LTSやWindows Server 2022など、使い慣れたシステムを選択します。Size (サイズ): 個人テストでは、b 1sまたはb 2s (コストを節約する) を選択し、生産環境ではDシリーズ (標準バランスタイプ) を推奨します。

2.証明書とポート (穴を踏みやすい)

A

Uthentication type: SSH public key (セキュリティ) を選択することを強くお勧めします。Windowsの場合はPasswordを選択します。

Public in臨時ポート:>⚠ピット警告: ここでは「SSHを許可する (22) 」または「RDP (3389) 」をチェックするかどうか尋ねられます。初心者はテストのためにチェックしてください。しかし、生産環境であれば、ここで開放しないでください。そうしないと、世界中のハッカーが1秒後にポートをスキャンし始めます。

第2段階: コアネットワーク設定 (network)

ページの下のをクリックします。

Next: Disks

をクリックします

Next: ネットワーキング

。ここは今日のアプローチです。

[インターネット]

│

▼ (22/80ポート許可)

-- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- --

NSG (ネットワークセキュリティグループ/セキュリティ) のページをめくる

└ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─

│

▼

-- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- --

│ VNet (仮想ネットワーク) -- サブネット (サブネット) │

[あなたの仮想マシンVM (my-web-vm)]

└ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─

1.仮想ネットワークとサブネット

仮想ネットワーク: 初めて使用した場合、Azureはデフォルトでmy-web-vm-vnetなどの新しいネットワークを作成します。10.0.0.0/16のような大きなネットワークセグメントを自動的に分割します。

Subnet: デフォルトでは、10.0.0.0/24のサブネットが分割されます。直接デフォルトでいいです。

2.パブリックIP(Public IP)

Public IP: Azureはデフォルトで作成します。AzureのパブリックネットワークIPはデフォルトでStatic (静的) であることに注意してください。これは、電源を切ってから電源を入れても、IPは変わらないことを意味します。これは他のクラウドメーカーよりも優れています。

3.ネットワークセキュリティグループの構成 (NSG)

において

NICネットワークセキュリティグループ

オプションから選択します

ベーシック

。

最初のステップで

S) には22ポートまたは3389ポートが許可されています。Azureは自動的にここでインバウンドルールを生成します。

設定が完了したら、直接クリックします

Review create (表示作成)

、2 ~ 3分待つと、仮想マシンが誕生します。

第三段階: インターネットを通じます! どうやって安全に流量を出しますか?

機械が起動し、パブリックネットワークのIPもある。Nginxサイトを設置したとします。デフォルトのポートは

80

。今、ブラウザにパブリックネットワークのIPを入力すると、絶対に開けられません。「保安」 (NSG) が80ポートを止めたからです。

NSGルールを修正します。

実操作80ポート (webサイトサービス):

VMの左側のメニューバーで、設定-> Network (またはネットワーク設定) を見つけます。

ファイアウォールのようなテーブルが表示されます。右側のAdd inbound port ruleをクリックします。

次のパラメータを入力します。Source (ソース): Any (誰でもアクセスできるようにする)。Sourceポートレンジャーズ (ソースポート範囲): *。デスティネーション (ターゲット): Any。Service: ドロップダウンメニューから直接HTTPを選択すると、自動的にポートを80に変更できます。Action(操作): hash (許可)。Priority (優先度): 300などの数字を入力します (数字が小さいほど優先度が高くなります)。Name: 名前をつけます。例えば、Allow-HTTP-80です。

Addをクリックします。ちょっと待って、10秒でルールが有効になります。この時、ブラウザを更新すると、サイトが秒で開くことができます!

上級レベル: 本当の古い鳥はどうしますか?

業務をAzureに正式に導入する予定がある場合は、今すぐ習慣を身につけることをお勧めします

1.管理ポートのソースIPを制限する

22(Linux) または3389(Windows) ポートをグローバル (Any) に開放しないでください。

古い鳥のやり方: NSGルールでSSHルールのSourceをAnyからIP Addressesに変更する。

そして、Source IP addressesにあなたの家またはあなたの会社の現在のパブリックネットワークの静的IPを入力します。このように、あなたを除いて、世界中の誰もあなたのパスワードを爆破しようとする機会がない。

2.イントラネットの相互運用は、パブリックネットワークを迂回する必要はない

同じVNet (仮想ネットワーク) で2台のVM (Web、データベースなど) を開いた場合。

データベースのNSGはパブリックネットワークのポートを開く必要はありません。

Webサーバがデータベースに接続する場合、データベースに直接接続するイントラネットIP (

形は10.0.0.Xのようです。AzureのVNet内部はデフォルトで全通で、トラフィックはマイクロソフトの中堅イントラネットで、無料だけでなく、スピードも非常に速く、非常に安全である。

まとめ

Azureネットワークを処理する鍵は

NSGをあなたのボディーガードだと思っています

。VMが起動した後、システムが壊れたと疑うこともなく、99% の原因はNSGに解放されたRuleがないことである。

この論理を持って、最初のAzure VMを作ってみましょう!