微软云服务器（VPS）Azure VM 开通与网络设置教程

作为一个刚从国内大厂（阿里云、腾讯云）或者传统物理机房转到微软 Azure 的新手，最容易被教育的第一个地方，就是 Azure 的网络架构。

很多人按照以前的习惯，点点鼠标把虚拟机（VM）开起来，结果发现：要么公网死活连不上，要么内网互相拼不通。这是因为 Azure 的设计哲学是“安全默认关闭”，它的网络逻辑（VNet、NSG）比其他云厂商要更严密、更具象。

今天不搬官方那套高大上的机翻文档。咱就用大白话和纯实操逻辑，手把手带你开一台 Azure VM，并把网络彻底打通。

核心概念：避坑必备的三大件

在动手之前，你必须在脑子里建立一个画面。在 Azure 里，一台虚拟机不是孤立存在的，它必须被包裹在以下三个网络层级里：

1. VNet（虚拟网络 / Virtual Network）： 相当于你在云端租下的一整栋大楼。
2. Subnet（子网）： 大楼里的不同楼层（比如财务部、研发部）。VM 必须住进某一个具体的楼层里。
3. NSG（网络安全组 / Network Security Group）： 相当于楼层门口的保安。哪些 IP 能进、哪些端口开放，全由他说了算。

搞懂了这个，我们直接开始实操。

第一阶段：创建虚拟机（VM）

登录 Azure Portal（控制台），在搜索栏输入 Virtual machines，点击 Create -> Azure virtual machine。

1. 基础配置（Basics）

• Project details（项目详细信息）： 选择你的订阅（Subscription）和资源组（Resource group）。资源组就像个文件夹，把这次测试的所有东西放一起，方便以后一键删除。
• Instance details（实例详细信息）：Virtual machine name： 随便起个名字，比如 my-web-vm。Region（区域）： 外贸或跨境选客户最近的地方（如 East US），国内测试选 East Asia（中国香港）。Image（镜像）： 选你熟悉的系统，比如 Ubuntu Server 22.04 LTS 或 Windows Server 2022。Size（大小）： 个人测试选 B1s 或 B2s（省钱），生产环境推荐 D系列（标准平衡型）。

2. 凭据与端口（容易踩坑）

• Authentication type： 强烈建议选 SSH public key（安全），如果是 Windows 选 Password。
• Public inbound ports（公共入站端口）： > ⚠️ 避坑警告： 这里系统会问你要不要勾选“允许 SSH (22)”或“RDP (3389)”。新手为了测试方便可以先勾选。但如果是生产环境，千万别在这里开放，否则全世界的黑客1秒钟后就会开始扫你的端口。

第二阶段：核心网络设置（Networking）

点击页面下方的 Next: Disks，再点击 Next: Networking。这里是今天的重头戏。

[ 互联网 (Your IP) ] 
       │
       ▼ (允许 22/80 端口)
┌─────────────────────────────────────────┐
│ NSG (网络安全组 / 保安)                   │
└─────────────────────────────────────────┘
       │
       ▼
┌─────────────────────────────────────────┐
│ VNet (虚拟网络) ── Subnet (子网)         │
│   └─► [ 你的虚拟机 VM (my-web-vm) ]     │
└─────────────────────────────────────────┘

1. 虚拟网络与子网

• Virtual network： 如果你是第一次用，Azure 会默认帮你新建一个（比如 my-web-vm-vnet）。它会自动划分一个类似 10.0.0.0/16 的大网段。
• Subnet： 默认会切一个 10.0.0.0/24 的子网。直接用默认的就行。

2. 公网 IP（Public IP）

• Public IP： Azure 会默认帮你创建一个。请注意，Azure 的公网 IP 默认是 Static（静态的），这意味着你关机再开机，IP 通常也不会变，这点比其他云厂商厚道。

3. 配置网络安全组（NSG）

在 NIC network security group 选项中，选择 Basic。

• 如果你在第一步（Basics）里允许了 22 或 3389 端口，Azure 会自动在这里帮你生成一条入站规则。

配置完成后，直接点击 Review + create（查看 + 创建），等待 2-3 分钟，你的虚拟机就诞生了。

第三阶段：打通网络！如何安全地放行流量？

机器开起来了，公网 IP 也有了。假设我们在里面装了一个 Nginx 网站，默认端口是 80。现在你在浏览器里输入公网 IP，绝对是打不开的。因为“保安”（NSG）把 80 端口拦死了。

我们要去修改 NSG 规则。

实操放行 80 端口（网站服务）：

1. 在 VM 的左侧菜单栏，找到 Settings -> Networking（或者叫 Network settings）。
2. 你会看到一个类似防火墙的表格，点击右侧的 Add inbound port rule（添加入站端口规则）。
3. 填写以下参数：Source（源）： Any（允许任何人访问）。Source port ranges（源端口范围）： *。Destination（目标）： Any。Service： 可以在下拉菜单里直接选 HTTP，它会自动帮你把端口改成 80。Action（操作）： Allow（允许）。Priority（优先级）： 输入一个数字，比如 300（数字越小，优先级越高）。Name： 起个名字，比如 Allow-HTTP-80。
4. 点击 Add。稍等 10 秒钟规则生效，这时候你再去刷新浏览器，网站就能秒开了！

高级进阶：真正的老鸟会怎么做？

如果你准备把业务正式部署在 Azure 上，有两件事我建议你现在就养成习惯：

1. 限制管理端口的来源 IP

永远不要把 22（Linux）或 3389（Windows）端口对全球（Any）开放。

• 老鸟做法： 在 NSG 规则里，把 SSH 规则的 Source 从 Any 改为 IP Addresses。
• 然后在 Source IP addresses 里填入你家或者你公司当前的公网静态 IP。这样，除了你，全天下任何人连尝试爆破你密码的机会都没有。

2. 内网互通不需要绕道公网

如果你在同一个 VNet（虚拟网络）下开了两台 VM（比如一台 Web，一台数据库）。

• 数据库的 NSG 不需要开公网端口。
• Web 服务器连接数据库时，直接连接数据库的内网 IP（形如 10.0.0.X）。Azure 的 VNet 内部默认是全通的，流量走的是微软骨干内网，不仅免费，速度还极快，而且非常安全。

总结

搞定 Azure 网络的关键，就是把 NSG 当成你的贴身保镖。VM 开起来之后，连不上先别急着怀疑系统坏了，99% 的原因都是 NSG 里少配了一条放行的 Rule。

拿好这套逻辑，去建你的第一台 Azure VM 试试吧！