Microsoft Cloud Server (VPS) การเปิดใช้งาน Azure VM และการสอนการตั้งค่าเครือข่าย
ในฐานะมือใหม่ที่เพิ่งย้ายจากผู้ผลิตในประเทศรายใหญ่ (Alibaba Cloud, Tencent Cloud) หรือห้องคอมพิวเตอร์ทางกายภาพแบบดั้งเดิมไปยัง Microsoft Azure สถานที่แรกที่ง่ายที่สุดในการได้รับการศึกษาคือ Azure
สถาปัตยกรรมเครือข่าย
。
ตามนิสัยเดิมหลายคนคลิกเมาส์เพื่อเปิดเครื่องเสมือน (VM) และพบว่าเครือข่ายสาธารณะไม่สามารถเชื่อมต่อได้หรืออินทราเน็ตไม่สามารถเชื่อมต่อกันได้เนื่องจากปรัชญาการออกแบบของ Azure คือ "ปิดโดยค่าเริ่มต้นที่ปลอดภัย" และตรรกะเครือข่าย (VNet, NSG) มีความเข้มงวดและเป็นรูปธรรมมากกว่าผู้ให้บริการระบบคลาวด์รายอื่น
วันนี้ฉันจะไม่ย้ายเครื่องสูงอย่างเป็นทางการเพื่อพลิกเอกสารมาใช้ภาษาพื้นถิ่นและตรรกะที่ใช้งานได้จริงเพื่อพาคุณไปเปิด Azure VM และเปิดเครือข่ายอย่างสมบูรณ์
แนวคิดหลัก: สามสิ่งที่ต้องมีเพื่อหลีกเลี่ยงหลุม
ก่อนที่คุณจะเริ่มคุณต้องสร้างภาพในหัวของคุณใน Azure เครื่องเสมือนไม่ได้แยกออกจากกันต้องรวมอยู่ในสามระดับเครือข่ายต่อไปนี้:
VNet (Virtual Network/Virtual Network): เทียบเท่ากับอาคารทั้งหมดที่คุณเช่าในระบบคลาวด์
Subnet (ซับเน็ต): ชั้นต่างๆในอาคาร (เช่นแผนกการเงินแผนก R & D) VM ต้องอาศัยอยู่ในบางชั้น
NSG (Network Security Group/Network Security Group): เทียบเท่ากับการรักษาความปลอดภัยที่ประตูชั้นเขามีคำพูดสุดท้ายว่า IP ใดสามารถเข้าได้และพอร์ตใดเปิดอยู่
หลังจากเข้าใจสิ่งนี้แล้วเราก็เริ่มปฏิบัติโดยตรง
ขั้นตอนที่1: สร้างเครื่องเสมือน (VM)
เข้าสู่ระบบ Azure Portal (คอนโซล) ป้อนในแถบค้นหา
Virtual machines
,คลิก
Create -> Azure virtual machine
。
1.การกำหนดค่าพื้นฐาน (Basics)
Project details (รายละเอียดโครงการ): เลือกการสมัครสมาชิก (Subscription) และกลุ่มทรัพยากร (กลุ่มทรัพยากร) ของคุณกลุ่มทรัพยากรเป็นเหมือนโฟลเดอร์นำทุกสิ่งในการทดสอบนี้มารวมกันเพื่อให้สามารถลบได้ในคลิกเดียวในอนาคต
รายละเอียดการติดตาม (รายละเอียดอินสแตนซ์): ชื่อเครื่องเสมือน: เลือกชื่อใดก็ได้เช่น my-web-vm ภูมิภาค (ภูมิภาค): การค้าต่างประเทศหรือข้ามพรมแดนเลือกสถานที่ที่ใกล้ที่สุดสำหรับลูกค้า (เช่น East US) การทดสอบในประเทศเลือก East Asia (ฮ่องกงจีน) ภาพ: เลือกระบบที่คุณคุ้นเคยเช่น Ubuntu Server 22.04 LTS หรือ Windows Server 2022。ขนาด (ขนาด): เลือก B1s หรือ B2s สำหรับการทดสอบส่วนบุคคล (ประหยัดเงิน) และแนะนำ D series (ชนิดสมดุลมาตรฐาน) สำหรับสภาพแวดล้อมการผลิต
2.ข้อมูลประจำตัวและพอร์ต (ง่ายต่อการเหยียบหลุม)
เอ
ประเภท uthentication: ขอแนะนำให้เลือกคีย์สาธารณะ SSH (ความปลอดภัย) หากเป็น Windows ให้เลือก Password
Public inbound ports (พอร์ตขาเข้าสาธารณะ):>⚠คำเตือนการหลีกเลี่ยงหลุม: ที่นี่ระบบจะถามว่าคุณต้องการเลือก "อนุญาต SSH (22)" หรือ "RDP (3389)" หรือไม่สามเณรสามารถตรวจสอบก่อนเพื่อความสะดวกในการทดสอบแต่ถ้าเป็นสภาพแวดล้อมการผลิตอย่าเปิดที่นี่มิฉะนั้นแฮกเกอร์ทั่วโลกจะเริ่มสแกนพอร์ตของคุณใน1วินาที
ขั้นตอนที่สอง: การตั้งค่าเครือข่ายหลัก (Networking)
คลิกที่ด้านล่างของหน้า
Next: Disks
แล้วคลิก
Next: Networking
。นี่คือไฮไลท์ของวันนี้
[อินเทอร์เน็ต (Your IP)]
│
▼ (อนุญาตให้22/80พอร์ต)
┌──────────────────────────────────────────────────────────────────────────────────────────────────────
│ NSG (Network Security Group/Security) │
└ ────────────────────────────────────────────────────────────────────────────────────────────────────
│
▼
┌──────────────────────────────────────────────────────────────────────────────────────────────────────
│VNet (เครือข่ายเสมือน) ──Subnet (เครือข่ายย่อย) │
│└ ─► [VM เครื่องเสมือนของคุณ (my-web-vm) ] │
└ ────────────────────────────────────────────────────────────────────────────────────────────────────
1.เครือข่ายเสมือนและเครือข่ายย่อย
เครือข่ายเสมือน: หากคุณใช้เป็นครั้งแรก Azure จะสร้างเครือข่ายใหม่ให้คุณโดยค่าเริ่มต้น (เช่น my-web-vm-vnet) จะแบ่งส่วนเครือข่ายขนาดใหญ่ที่คล้ายกับ10.0.0.0/16โดยอัตโนมัติ
Subnet: เครือข่ายย่อย10.0.0.0/24จะถูกตัดโดยค่าเริ่มต้นเพียงแค่ใช้ค่าเริ่มต้นโดยตรง
2.IP สาธารณะ (Public IP)
Public IP: Azure จะช่วยคุณสร้างไฟล์โปรดทราบว่า IP เครือข่ายสาธารณะของ Azure เป็นแบบคงที่ (คงที่) โดยค่าเริ่มต้นซึ่งหมายความว่าหากคุณปิดและเปิดเครื่อง IP มักจะไม่เปลี่ยนแปลงซึ่งดีกว่าผู้ให้บริการระบบคลาวด์รายอื่น
3.การกำหนดค่าเครือข่ายกลุ่มความปลอดภัย (NSG)
ใน
NIC network security group
ในตัวเลือกให้เลือก
พื้นฐาน
。
หากคุณอยู่ในขั้นตอนแรก (Basic
S) อนุญาตให้ใช้พอร์ต22หรือ3389 Azure จะสร้างกฎการเข้าถึงให้คุณโดยอัตโนมัติที่นี่
หลังจากการกำหนดค่าเสร็จสิ้นให้คลิกโดยตรง
Review create (ดูสร้าง)
รอ2-3นาทีเครื่องเสมือนของคุณจะถือกำเนิดขึ้น
ขั้นตอนที่สาม: เปิดเครือข่าย! จะปล่อยการจราจรอย่างปลอดภัยได้อย่างไร?
เครื่องเปิดอยู่และมี IP เครือข่ายสาธารณะสมมติว่าเราติดตั้งเว็บไซต์ Nginx พอร์ตเริ่มต้นคือ
80
。ตอนนี้คุณป้อน IP เครือข่ายสาธารณะในเบราว์เซอร์คุณไม่สามารถเปิดได้อย่างแน่นอนเพราะ "ความปลอดภัย" (NSG) หยุดพอร์ต80
เราจะไปแก้ไขกฎ NSG 。
การเปิดตัวจริง80พอร์ต (บริการเว็บไซต์):
ในแถบเมนูด้านซ้ายของ VM ให้ค้นหา Settings -> Networking (หรือ Network Settings)
คุณจะเห็นตารางที่คล้ายกับไฟร์วอลล์ให้คลิกกฎพอร์ต Add inbound ทางด้านขวา
กรอกพารามิเตอร์ต่อไปนี้: Source (Source): Any (อนุญาตให้ทุกคนเข้าถึงได้) Source port ranges (ช่วงพอร์ตต้นทาง): * เป้าหมาย: Any บริการ: คุณสามารถเลือก HTTP ได้โดยตรงในเมนูแบบเลื่อนลงซึ่งจะช่วยให้คุณเปลี่ยนพอร์ตเป็น80โดยอัตโนมัติการดำเนินการ: Allow (อนุญาต) Priority (ลำดับความสำคัญ): ป้อนตัวเลขเช่น300 (ยิ่งตัวเลขมีขนาดเล็กลำดับความสำคัญก็จะยิ่งสูงขึ้น) ชื่อ: ตั้งชื่อเช่น Allow-HTTP-80
คลิก Add. รอเพียง10วินาทีเพื่อให้กฎมีผลในขณะนี้คุณสามารถรีเฟรชเบราว์เซอร์ของคุณและเว็บไซต์จะเปิดได้ในไม่กี่วินาที!
ขั้นสูงขั้นสูง: ทหารผ่านศึกตัวจริงจะทำอย่างไร?
หากคุณกำลังวางแผนที่จะปรับใช้ธุรกิจของคุณบน Azure อย่างเป็นทางการมีสองสิ่งที่ฉันแนะนำให้คุณสร้างนิสัยในตอนนี้:
1.จำกัดแหล่งที่มาของพอร์ตการจัดการ IP
ไม่เคยเปิด22(Linux) หรือ3389(Windows) พอร์ตทั่วโลก (Any)
แนวทางของทหารผ่านศึก: ในกฎ NSG ให้เปลี่ยนแหล่งที่มาของกฎ SSH จาก Any เป็น IP Addresses
จากนั้นกรอก IP แบบคงที่ของเครือข่ายสาธารณะในบ้านของคุณหรือบริษัทของคุณในที่อยู่ IP ที่มาด้วยวิธีนี้ยกเว้นคุณไม่มีใครในโลกที่มีโอกาสพยายามระเบิดรหัสผ่านของคุณ
2.การทำงานร่วมกันของอินทราเน็ตไม่จำเป็นต้องข้ามเครือข่ายสาธารณะ
หากคุณเปิด VM สองเครื่อง (เช่นเว็บฐานข้อมูล) ภายใต้ VNet เดียวกัน (เครือข่ายเสมือน)
ฐานข้อมูล NSG ไม่จำเป็นต้องเปิดพอร์ตเครือข่ายสาธารณะ
เมื่อเว็บเซิร์ฟเวอร์เชื่อมต่อกับฐานข้อมูลจะเชื่อมต่อโดยตรงกับ IP อินทราเน็ตของฐานข้อมูล (
รูปร่างเช่น10.0.0 .X) VNet ของ Azure เป็นแบบ All-pass โดยค่าเริ่มต้นและการรับส่งข้อมูลไปยังอินทราเน็ตกระดูกสันหลังของ Microsoft ซึ่งไม่เพียงแต่ฟรีแต่ยังเร็วมากและปลอดภัยมาก
สรุป
กุญแจสำคัญในการรับเครือข่าย Azure คือ
ใช้ NSG เป็นบอดี้การ์ดของคุณ
。หลังจากเปิด VM แล้วอย่าเพิ่งรีบสงสัยว่าระบบเสียเหตุผล99% คือมี Rule น้อยกว่าหนึ่งตัวใน NSG
ใช้ตรรกะนี้และลองสร้าง Azure VM เครื่องแรกของคุณ!