微軟雲服務器(VPS)Azure VM 開通與網絡設置教程

作為一個剛從國內大廠(阿里雲、騰訊雲)或者傳統物理機房轉到微軟 Azure 的新手,最容易被教育的第一個地方,就是 Azure 的

網絡架構

。

很多人按照以前的習慣,點點鼠標把虛擬機(VM)開起來,結果發現:要麼公網死活連不上,要麼內網互相拼不通。 這是因為 Azure 的設計哲學是「安全默認關閉」,它的網絡邏輯(VNet、NSG)比其他雲廠商要更嚴密、更具象。

今天不搬官方那套高大上的機翻文檔。 咱就用大白話和純實操邏輯,手把手帶你開一台 Azure VM,並把網絡徹底打通。

核心概念:避坑必備的三大件

在動手之前,你必須在腦子裡建立一個畫面。 在 Azure 里,一台虛擬機不是孤立存在的,它必須被包裹在以下三個網絡層級里:

VNet(虛擬網絡 / Virtual Network): 相當於你在雲端租下的一整棟大樓。

Subnet(子網): 大樓裡的不同樓層(比如財務部、研發部)。 VM 必須住進某一個具體的樓層里。

NSG(網絡安全組 / Network Security Group): 相當於樓層門口的保安。 哪些 IP 能進、哪些端口開放,全由他說了算。

搞懂了這個,我們直接開始實操。

第一階段:創建虛擬機(VM)

登錄 Azure Portal(控制台),在搜索欄輸入

Virtual machines

,點擊

Create -> Azure virtual machine

。

1. 基礎配置(Basics)

Project details(項目詳細信息): 選擇你的訂閱(Subscription)和資源組(Resource group)。 資源組就像個文件夾,把這次測試的所有東西放一起,方便以後一鍵刪除。

Instance details(實例詳細信息):Virtual machine name: 隨便起個名字,比如 my-web-vm。 Region(區域): 外貿或跨境選客戶最近的地方(如 East US),國內測試選 East Asia(中國香港)。 Image(鏡像): 選你熟悉的系統,比如 Ubuntu Server 22.04 LTS 或 Windows Server 2022。 Size(大小): 個人測試選 B1s 或 B2s(省錢),生產環境推薦 D系列(標準平衡型)。

2. 憑據與端口(容易踩坑)

A

Uthentication type: 強烈建議選 SSH public key(安全),如果是 Windows 選 Password。

Public inbound ports(公共入站端口): >⚠��️ 避坑警告: 這裡系統會問你要不要勾選「允許 SSH (22)」或「 RDP (3389)」。新手為了測試方便可以先勾選。但如果是生產環境,千萬別在這裡開放,否則全世界的黑客1秒鐘後就會開始掃你的端口。

第二階段:核心網絡設置(Networking)

點擊頁面下方的

Next: Disks

,再點擊

Next: Networking

。 這裡是今天的重頭戲。

[ 互聯網 (Your IP) ]

│

▼ (允許 22/80 端口)

┌─────────────────────────────────────────┐

│ NSG (網絡安全組 / 保安) │

└─────────────────────────────────────────┘

│

▼

┌─────────────────────────────────────────┐

│ VNet (虛擬網絡) ── Subnet (子網) │

│ └─► [ 你的虛擬機 VM (my-web-vm) ] │

└─────────────────────────────────────────┘

1. 虛擬網絡與子網

Virtual network: 如果你是第一次用,azure 會默認幫你新建一個(比如 my-web-vm-vnet)。 它會自動劃分一個類似 10.0.0.0/16 的大網段。

Subnet: 默認會切一個 10.0.0.0/24 的子網。 直接用默認的就行。

2. 公網 IP(Public IP)

Public IP: Azure 會默認幫你創建一個。 請注意,Azure 的公網 IP 默認是 Static(靜態的),這意味著你關機再開機,IP 通常也不會變,這點比其他雲廠商厚道。

3. 配置網絡安全組(NSG)

在

NIC network security group

選項中,選擇

Basic

。

如果你在第一步(Basic

S)里允許了 22 或 3389 端口,azure 會自動在這裡幫你生成一條入站規則。

配置完成後,直接點擊

Review create(查看 創建)

,等待 2-3 分鐘,你的虛擬機就誕生了。

第三階段:打通網絡! 如何安全地放行流量?

機器開起來了,公網 IP 也有了。 假設我們在裡面裝了一個 Nginx 網站,默認端口是

八十

。 現在你在瀏覽器里輸入公網 IP,絕對是打不開的。 因為「保安」(NSG)把 80 端口攔死了。

我們要去修改 NSG 規則。

實操放行 80 端口(網站服務):

在 VM 的左側菜單欄,找到 Settings -> Networking(或者叫 Network settings)。

你會看到一個類似防火牆的表格,點擊右側的 Add inbound port rule(添加入站端口規則)。

填寫以下參數:Source(源): any(允許任何人訪問)。 Source port ranges(源端口範圍): *。 Destination(目標): Any。 Service: 可以在下拉菜單裡直接選 HTTP,它會自動幫你把端口改成 80。 Action(操作): Allow(允許)。 Priority(優先級): 輸入一個數字,比如 300(數字越小,優先級越高)。 Name: 起個名字,比如 Allow-HTTP-80。

點擊 Add。 稍等 10 秒鐘規則生效,這時候你再去刷新瀏覽器,網站就能秒開了!

高級進階:真正的老鳥會怎麼做?

如果你準備把業務正式部署在 Azure 上,有兩件事我建議你現在就養成習慣:

1. 限制管理端口的來源 IP

永遠不要把 22(Linux)或 3389(Windows)端口對全球(Any)開放。

老鳥做法: 在 NSG 規則里,把 SSH 規則的 Source 從 Any 改為 IP Addresses。

然後在 Source IP addresses 里填入你家或者你公司當前的公網靜態 IP。 這樣,除了你,全天下任何人連嘗試爆破你密碼的機會都沒有。

2. 內網互通不需要繞道公網

如果你在同一個 VNet(虛擬網絡)下開了兩台 VM(比如一台 Web,一台數據庫)。

數據庫的 NSG 不需要開公網端口。

Web 服務器連接數據庫時,直接連接數據庫的內網 IP(

形如 10.0.0.X)。 Azure 的 VNet 內部默認是全通的,流量走的是微軟骨幹內網,不僅免費,速度還極快,而且非常安全。

總結

搞定 Azure 網絡的關鍵,就是

把 NSG 當成你的貼身保鏢

。 VM 開起來之後,連不上先別急著懷疑系統壞了,99% 的原因都是 NSG 里少配了一條放行的 Rule。

拿好這套邏輯,去建你的第一台 Azure VM 試試吧!