Tutorial pembukaan dan tetapan rangkaian pelayan awan Microsoft (VPS)Azure VM

Sebagai pemula yang baru sahaja berpindah dari pengeluar domestik utama (Alibaba Cloud, Tencent Cloud) atau bilik komputer fizikal tradisional ke Microsoft Azure, tempat pertama yang paling mudah dididik adalah Azure's

Senibina Rangkaian

。

Menurut kebiasaan sebelumnya, banyak orang mengklik tetikus untuk menghidupkan mesin maya (VM), dan mendapati bahawa rangkaian awam tidak dapat dihubungkan, atau intranet tidak dapat saling bertengkar. Ini kerana falsafah reka bentuk Azure adalah "keselamatan ditutup secara lalai", dan logik rangkaiannya (VNet, NSG) lebih ketat dan lebih konkrit daripada vendor awan lain.

Hari ini, saya tidak akan memindahkan dokumen flip-flip tinggi rasmi. Mari gunakan bahasa vernakular dan logik praktikal semata-mata untuk membawa anda membuka Azure VM dan membuka rangkaian sepenuhnya.

Konsep teras: tiga perkara penting untuk mengelakkan lubang

Sebelum anda melakukannya, anda perlu membina gambar di kepala anda. Di Azure, mesin maya tidak wujud secara terpisah, ia mesti dibungkus dalam tiga tahap rangkaian berikut:

VNet (Rangkaian Maya/Rangkaian Maya): Ia setara dengan seluruh bangunan yang anda sewa di awan.

Subnet (subnet): Lantai yang berbeza di bangunan (seperti jabatan kewangan, jabatan R & D). VM mesti tinggal di lantai tertentu.

NSG (Kumpulan Keselamatan Rangkaian/Kumpulan Keselamatan Rangkaian): Setara dengan keselamatan di pintu masuk lantai. Dia mempunyai pendapat terakhir mengenai IP mana yang boleh masuk dan pelabuhan mana yang terbuka.

Setelah memahami perkara ini, kami langsung memulakan operasi praktikal.

Peringkat pertama: mencipta mesin maya (VM)

Log masuk ke Portal Azure (konsol) dan masukkan di bar carian

Virtual machines

, Klik

Buat-> machine virtual Azure

。

1. Konfigurasi Asas (Asas)

Details Projek (butiran projek): Pilih langganan dan kumpulan sumber anda. Kumpulan sumber seperti folder. Letakkan semua perkara dalam ujian ini bersama-sama untuk penghapusan satu klik pada masa akan datang.

Pemasangan (perincian contoh): Nama perniagaan maya: Cukup beri nama, seperti my-web-vm. Wilayah (Wilayah): Pilih tempat terdekat pelanggan untuk perdagangan asing atau rentas sempadan (seperti East US), dan pilih East Asia (Hong Kong, China) untuk ujian domestik. Imej: Pilih sistem yang anda kenal, seperti Ubuntu Server 22.04 LTS atau Windows Server 2022. Saiz (ukuran): Pilih B1 atau B2s untuk ujian peribadi (menjimatkan wang), dan cadangkan siri D untuk persekitaran pengeluaran (jenis keseimbangan standard).

2. Kelayakan dan pelabuhan (mudah melangkah ke lubang)

A

Jenis penggunaan: Sangat disarankan untuk memilih kunci awam SSH (keselamatan), jika itu adalah Windows, pilih Password.

Portal inbound awam (port masuk awam):>⚠️ Amaran mengelakkan lubang: Di sini sistem akan bertanya kepada anda jika anda ingin memeriksa "Benarkan SSH (22)" atau "RDP (3389)". Pemula boleh memeriksa terlebih dahulu untuk kemudahan ujian. Tetapi jika ia adalah persekitaran pengeluaran, jangan buka di sini, jika tidak, penggodam di seluruh dunia akan mula mengimbas pelabuhan anda dalam satu saat.

Fasa 2: Tetapan Rangkaian Teras (Rangkaian)

Klik di bahagian bawah halaman

Next: Cakera

, Klik lagi

Next: Networking

。 Inilah kemuncak hari ini.

[Internet (Your IP)]

│

▼ (Benarkan port 22/80)

┌──────────────────────────────────────────────────────────────────────────────────────────────

│NSG (Kumpulan Keselamatan Rangkaian/Keselamatan) │

└ ──────────────────────────────────────────────────────────────────────────────────

│

▼

┌──────────────────────────────────────────────────────────────────────────────────────────────

│ VNet (Rangkaian Maya) ── Subnet (subnet) │

│ └ ─ ► [Mesin maya anda VM (my-web-vm) ] │

└ ──────────────────────────────────────────────────────────────────────────────────

1. Rangkaian maya dan subnet

Virtual network: Sekiranya anda menggunakannya untuk pertama kalinya, Azure akan membantu anda membuat yang baru secara lalai (seperti my-web-vm-vnet). Ia secara automatik akan membahagikan segmen rangkaian besar seperti 10.0.0.0/16.

Subnet: Secara lalai, subnet 10.0.0.0/24 akan dipotong. Cukup gunakan lalai secara langsung.

2. IP Awam (IP Awam)

Public IP: Azure akan membantu anda membuatnya secara lalai. Harap maklum bahawa IP rangkaian awam Azure adalah Static secara lalai, yang bermaksud bahawa jika anda mematikan dan menghidupkan semula, IP biasanya tidak berubah, yang lebih baik daripada vendor awan lain.

3. Konfigurasi Kumpulan Keselamatan Rangkaian (NSG)

Di dalam

Kumpulan keselamatan kerja NIC

Pilihan, pilih

Asas

。

Jika anda berada dalam langkah pertama (Basic

S) Port 22 atau 3389 dibenarkan, dan Azure secara automatik akan membantu anda menghasilkan peraturan masuk di sini.

Setelah konfigurasi selesai, klik terus

Review create (Lihat penciptaan)

, Tunggu 2-3 minit, dan mesin maya anda dilahirkan.

Tahap ketiga: buka rangkaian! Bagaimana cara melepaskan lalu lintas dengan selamat?

Mesin dihidupkan, dan IP rangkaian awam juga tersedia. Katakan kami memasang laman web Nginx di dalamnya, port lalai adalah

80

。 Sekarang anda memasukkan IP rangkaian awam di penyemak imbas anda, anda pasti tidak dapat membukanya. Kerana "Keselamatan" (NSG) menghentikan port 80.

Kami akan mengubah suai peraturan NSG.

Pelepasan praktikal 80 port (perkhidmatan laman web):

Di bar menu kiri VM, cari Settings -> Networking (atau rangkaian rangkaian).

Anda akan melihat jadual yang serupa dengan firewall, klik pada peraturan port masuk masuk di sebelah kanan (tambahkan peraturan port masuk).

Isi parameter berikut: Sumber: Any (membolehkan sesiapa sahaja untuk mengakses). Sumber port ranges (julat port sumber): *. Destination (Matlamat): Any. Perkhidmatan: Anda boleh memilih HTTP secara langsung di menu drop-down, secara automatik akan membantu anda menukar port ke 80. Tindakan (operasi): Allow (dibenarkan). Priority (keutamaan): Masukkan nombor, seperti 300 (semakin kecil bilangannya, semakin tinggi keutamaan). Nama: Beri nama, seperti Allow-HTTP-80.

Klik Tambah. Tunggu 10 saat untuk peraturan berlaku, kemudian anda memuat semula penyemak imbas dan laman web akan dibuka dalam beberapa saat!

Lanjutan: Apa yang akan dilakukan oleh veteran sebenar?

Sekiranya anda akan menggunakan perniagaan anda secara rasmi di Azure, ada dua perkara yang saya cadangkan anda mengembangkan kebiasaan sekarang:

1. Hadkan IP sumber port pengurusan

Jangan sekali-kali membuka port 22(Linux) atau 3389(Windows) ke seluruh dunia (Any).

Kaedah veteran: Dalam peraturan NSG, sumber peraturan SSH diubah dari Any menjadi IP Addresses.

Kemudian isikan IP statik rangkaian awam anda atau syarikat anda di sumber IP addresses. Dengan cara ini, kecuali anda, tidak ada seorang pun di dunia yang berpeluang mencuba kata laluan anda.

2. Interoperabiliti intranet tidak perlu memutar jalan ke rangkaian awam

Sekiranya anda membuka dua VM (seperti web, pangkalan data) di bawah VNet yang sama (rangkaian maya).

NSG pangkalan data tidak perlu membuka port rangkaian awam.

Apabila pelayan web menyambung ke pangkalan data, ia secara langsung menyambung ke IP intranet pangkalan data (

Berbentuk seperti 10.0.0.X). VNet Azure secara lalai adalah akses penuh, dan lalu lintas berada di intranet tulang belakang Microsoft, yang bukan hanya percuma, tetapi juga sangat cepat, dan sangat selamat.

Ringkasan

Kunci untuk mendapatkan rangkaian Azure adalah

Fikirkan NSG sebagai pengawal peribadi anda

。 Setelah VM dihidupkan, jangan tergesa-gesa untuk mengesyaki bahawa sistem itu rosak jika anda tidak dapat menyambung. 99% sebabnya ialah terdapat sedikit Rule di NSG.

Ambil set logik ini dan cuba bina Azure VM pertama anda!