当前位置：首页 > news >正文

【Microsoft Learn】Microsoft Azure 服务 - 教程

news 2026/3/27 2:50:03

虚拟网络文档
- 创建 Azure 虚拟网络
- - 创建虚拟网络和 Azure Bastion 主机
  - 创建虚拟机
  - 连接到虚拟机
  - 启动虚拟机之间的通信
- 网络安全组
虚拟网络 IP 服务文档
- 如何创建 Azure 公共 IP 地址，以用于与 Azure 资源建立公共连接？
- 为 Azure 网络接口配置 IP 地址

Microsoft Azure Global Edition 手艺文档网站

虚拟网络文档

参考虚拟网络文档

了解如何使用 Azure 虚拟网络。快速入门、教程和示例等等，显示了如何部署虚拟网络，如何控制流量筛选和路由，以及如何将虚拟网络连接到其他虚拟网络。

创建 Azure 虚拟网络

参考快速入门：创建 Azure 虚拟网络

这张图展示的是 Azure Bastion 远程登录 VM 的安全架构。它说明了：不需要给虚拟机暴露公网 IP，也许可安全登录 VM。

vnet-1：虚拟网络（Azure 的内部网络）

AzureBastionSubnet：放 Bastion 的专用子网（必须存在）

subnet-1：放 VM 的普通子网

NSG：网络安全组（防火墙规则）

public-ip仅用于 Bastion，不给 VM 用，VM 没有 Public IP。

步骤	流程	说明
1	用户打开 Azure 门户	用户通过浏览器访问 Azure Portal
2	门户运用 TLS 加密连接	HTTPS（TLS/443）安全访问 Portal
3	Portal 通过 Bastion 访问虚拟网络	Portal → Bastion 的连接也走 TLS/443
4	Bastion 远程连接 VM	运用 RDP 或 SSH 连接虚拟机（内部网络通信）
5	VM 之间可能互相通信	如 Ping、内网访问

Azure Bastion = 云上的跳板机（堡垒机）
：就是它的作用保护虚拟机：VM 不应该公网 IP 也能登录；替代开放 3389/22 端口：不暴露 RDP/SSH 端口到公网；更安全：浏览器直接访问，无需公网暴露。

创建虚拟机时，Azure 自动要求你：选择虚拟网络、选择子网，源于 VM 必须有私有网络环境。

创建虚拟网络和 Azure Bastion 主机

以下过程 创建包含资源子网、Azure Bastion 子网和 Bastion 主机的虚拟网络：

在门户中，搜索并选择 “虚拟网络”。
在“虚拟网络”页面上，选择“+创建”。
在“创建虚拟网络”的“基本信息”选项卡上，输入或选择以下信息：

在这里插入图片描述

选择 “下一步 ”以转到“安全”选项卡。在“Azure Bastion”部分，选择“启用 Azure Bastion”。
在“Azure Bastion”中，输入或选择以下信息：

在这里插入图片描述

选择 “下一步 ”以转到“IP 地址”选项卡。在子网中的地址空间框中，选择默认子网。在 “编辑子网”中，输入或选择以下信息：

在这里插入图片描述

选择“ 保存”。选择窗口底部的 “查看 + 创建 ”。验证通过后，选择“创建”。

创建虚拟机

以下过程在虚拟网络中创建两个 VM，名称分别为“vm-1”和“vm-2”：

在门户中，搜索并选择虚拟机。
在“虚拟机”中，选择“+创建”，然后选择“Azure 虚拟机”。
在“创建虚拟机”的“基本信息”选项卡上，输入或选择以下信息：

选择“网络”选项卡。输入或选择以下信息：
将其余设置保留为默认值，接着选择“查看 + 创建”。检查设置，然后选择“创建”。等待第一台虚拟机部署，然后重复前面的步骤，以采用以下设置创建第二台虚拟机（略）。

连接到虚拟机

在门户中，搜索并选择虚拟机。
在“虚拟机”页上，选择“vm-1”。
在 vm-1 的“概述”信息中，选择“连接”。
在“连接到虚拟机”页面上，选择“Bastion”选项卡。
选择“使用 Bastion”。
输入 创建虚拟机时创建的用户名和密码，然后选择 “连接”。

启动虚拟机之间的通信

在 vm-1 的 bash 提示符下，输入 ping -c 4 vm-2。

你会看到类似于以下消息的回复：

azureuser@vm-1:~$ ping -c 4 vm-2
PING vm-2.3bnkevn3313ujpr5l1kqop4n4d.cx.internal.cloudapp.net (10.0.0.5) 56(84) bytes of data.
64 bytes from vm-2.internal.cloudapp.net (10.0.0.5): icmp_seq=1 ttl=64 time=1.83 ms
64 bytes from vm-2.internal.cloudapp.net (10.0.0.5): icmp_seq=2 ttl=64 time=0.987 ms
64 bytes from vm-2.internal.cloudapp.net (10.0.0.5): icmp_seq=3 ttl=64 time=0.864 ms
64 bytes from vm-2.internal.cloudapp.net (10.0.0.5): icmp_seq=4 ttl=64 time=0.890 ms

关闭 Bastion 与 vm-1 的连接。

网络安全组

参考 Azure 网络安全组概述

可能使用 Azure 网络安全组来筛选 Azure 虚拟网络中 Azure 资源之间的网络流量。网络安全组包含安全规则，这些规则可允许或拒绝多种 Azure 资源的入站和出站网络流量。

虚拟网络 IP 服务文档

参考虚拟网络 IP 服务文档

了解如何利用 Azure 虚拟网络 IP 服务。飞快入门、教程、示例等介绍如何使用 Azure 中的 IP 服务。

如何创建 Azure 公共 IP 地址，以用于与 Azure 资源建立公共连接？

参考快速入门：采用 Azure 门户创建公共 IP 地址
参考创建、更改或删除 Azure 公共 IP 地址

公共 IP 地址 允许 Internet 资源 与 Azure 资源 进行入站通信。公共 IP 地址使Azure 资源能够与 Internet 和面向公众的 Azure 服务进行出站通信。

通信方向	解释	举例
入站通信 (Inbound)	外面的人访问 Azure 上的服务	用户访问你的网站：`http://公网IP`
出站通信 (Outbound)	Azure 里你的服务访问外部互联网	Azure VM 访问 GitHub 或下载更新

在这里插入图片描述
这张图展示的是在 Azure 云上通过负载均衡器 (Load Balancer) 将公网流量分发到多台虚拟机 (VM)的典型架构。

图中名称	作用	理解方式
vnet-1	虚拟网络	相当于云里的“内网”
subnet-1	子网	虚拟网络里的一个分隔区域
public-ip	公网 IP 地址	外部用户通过它访问系统
load-balancer	负载均衡器	接收来自公网的请求并分配给后端服务器
vm-1、vm-2	虚拟机	用来献出 Web 服务的服务器
Web 端口 80	HTTP 默认端口	Web 访问入口

工作流程：

为什么要这样设计？高可用：一台 VM 挂了另一台还能服务；负载分担：多台服务器一起处理更快；可扩展：业务大时许可加更多 VM。
Public IP= 商场的大门
Load Balancer= 商场门口的分流保安
vm-1 / vm-2= 不同柜台的服务人员
顾客（用户）进入商场，通过保安（负载均衡），被分配到空闲的柜台（VM）服务。

公共 IP 地址在两种 SKU 中可用：根本和标准。有两层公共 IP 地址可用：区域和全局。还可以在创建公共 IP 地址时设置其路由首选项：Microsoft 网络或 Internet。

创建标准 SKU 公共 IP 地址的具体步骤如下（先决条件：具有活动订阅的 Azure 帐户）：