快速入門:使用 Azure CLI 建立虛擬網路
本快速入門說明如何使用 Azure CLI、Azure 命令行介面來建立虛擬網路。 接著,您會在網路中建立兩部虛擬機(VM),安全地從因特網連線到 VM,並開始 VM 之間的私人通訊。
虛擬網路是 Azure 中私人網路的基礎建置區塊。 Azure 虛擬網路可讓 Azure 資源 (例如 VM) 彼此安全地通訊,以及與網際網路安全地通訊。
如果您沒有 Azure 訂閱,請在開始之前,先建立 Azure 免費帳戶。
必要條件
在 Azure Cloud Shell 中使用 Bash 環境。 如需詳細資訊,請參閱 Azure Cloud Shell 中的 Bash 快速入門。
若要在本地執行 CLI 參考命令,請安裝 Azure CLI。 若您在 Windows 或 macOS 上執行,請考慮在 Docker 容器中執行 Azure CLI。 如需詳細資訊,請參閱〈如何在 Docker 容器中執行 Azure CLI〉。
如果您使用的是本機安裝,請使用 az login 命令,透過 Azure CLI 來登入。 請遵循您終端機上顯示的步驟,完成驗證程序。 如需其他登入選項,請參閱使用 Azure CLI 登入。
出現提示時,請在第一次使用時安裝 Azure CLI 延伸模組。 如需擴充功能詳細資訊,請參閱使用 Azure CLI 擴充功能。
執行 az version 以尋找已安裝的版本和相依程式庫。 若要升級至最新版本,請執行 az upgrade。
建立資源群組
使用 az group create 來建立資源群組以裝載虛擬網路。 使用下列程序代碼在 eastus2 Azure 區域中建立名為 test-rg的資源群組:
az group create \
--name test-rg \
--location eastus2
建立虛擬網路和子網路
使用 az network vnet create 建立名為 vnet-1 的虛擬網路,並在 test-rg 資源群組中建立名為 subnet-1 的子網:
az network vnet create \
--name vnet-1 \
--resource-group test-rg \
--address-prefix 10.0.0.0/16 \
--subnet-name subnet-1 \
--subnet-prefixes 10.0.0.0/24
部署 Azure Bastion
Azure Bastion 會使用瀏覽器,透過安全殼層 (SSH) 或遠端桌面通訊協定 (RDP) 連線到虛擬網路中的 VM,方法是使用其私人 IP 位址。 VM 不需要公用 IP 位址、用戶端軟體或特殊設定。
每小時定價從 Bastion 部署的那一刻開始,不論輸出資料使用量為何。 如需詳細資訊,請參閱價格和 SKU。 如果您要將 Bastion 部署為教學課程或測試的一部分,建議您在完成使用之後刪除此資源。 如需 Bastion 的詳細資訊,請參閱 什麼是 Azure Bastion?。
使用 az network vnet subnet create 建立虛擬網路的 Bastion 子網。 此子網僅保留給 Bastion 資源,且必須命名為 AzureBastionSubnet。
az network vnet subnet create \ --name AzureBastionSubnet \ --resource-group test-rg \ --vnet-name vnet-1 \ --address-prefix 10.0.1.0/26建立 Bastion 的公用 IP 位址。 此 IP 位址可用來從網際網路連線至 Bastion 主機。 使用 az network public-ip create 在 test-rg 資源群組中建立名為 public-ip 的公用 IP 位址:
az network public-ip create \ --resource-group test-rg \ --name public-ip \ --sku Standard \ --location eastus2 \ --zone 1 2 3使用 az network bastion create 在 AzureBastionSubnet 中為您的虛擬網路建立 Bastion 主機:
az network bastion create \ --name bastion \ --public-ip-address public-ip \ --resource-group test-rg \ --vnet-name vnet-1 \ --location eastus2
部署 Bastion 資源大約需要 10 分鐘的時間。 當 Bastion 部署到您的虛擬網路時,您可以在下一節中建立 VM。
建立虛擬機器
使用 az vm create 在虛擬網路的 subnet-1 子網中建立名為 vm-1 和 vm-2 的兩部 VM。 提示您輸入認證時,請輸入 VM 的使用者名稱和密碼。
若要建立第一個 VM,請使用下列命令:
az vm create \ --resource-group test-rg \ --admin-username azureuser \ --authentication-type password \ --name vm-1 \ --image Ubuntu2204 \ --public-ip-address ""若要建立第二個 VM,請使用下列命令:
az vm create \ --resource-group test-rg \ --admin-username azureuser \ --authentication-type password \ --name vm-2 \ --image Ubuntu2204 \ --public-ip-address ""
提示
您也可以使用 --no-wait 選項在背景中建立 VM,同時繼續執行其他工作。
可能需要數分鐘才會建立虛擬機器。 在 Azure 建立每個 VM 之後,Azure CLI 會傳回類似下列訊息的輸出:
{
"fqdns": "",
"id": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/test-rg/providers/Microsoft.Compute/virtualMachines/vm-2",
"location": "eastus2",
"macAddress": "00-0D-3A-23-9A-49",
"powerState": "VM running",
"privateIpAddress": "10.0.0.5",
"publicIpAddress": "",
"resourceGroup": "test-rg"
"zones": ""
}
注意
具有 Bastion 主機的虛擬網路中的 VM 不需要公用 IP 位址。 Bastion 會提供公用 IP,而 VM 會使用私人 IP 在網路內通訊。 您可以從 Bastion 裝載的虛擬網路中的任何 VM 移除公用 IP。 如需詳細資訊,請參閱中斷公用 IP 位址與 Azure VM 的關聯。
注意
Azure 會針對未獲指派公用 IP 位址或位於內部基本 Azure 負載平衡器後端集區中的 VM,提供預設輸出存取 IP。 預設輸出存取 IP 機制能提供無法自行設定的輸出 IP 位址。
發生下列其中一個事件時,會停用預設輸出存取 IP:
- 系統會指派公用 IP 位址給 VM。
- 無論有沒有輸出規則,都會將 VM 放在標準負載平衡器的後端集區中。
- Azure NAT 閘道資源會指派給 VM 的子網。
在彈性協調流程模式中使用虛擬機器擴展集建立的 VM 不會有預設輸出存取。
如需 Azure 中輸出連線的詳細資訊,請參閱 Azure 中的預設對外存取與使用來源網路位址轉譯 (SNAT) 進行輸出連線。
連接到虛擬機器
在入口網站中,搜尋並選取 [虛擬機器]。
在 [虛擬機器] 頁面上,選取 [vm-1]。
在 vm-1 的 [概觀資訊] 中,選取 [連線]。
在 [連線 至虛擬機] 頁面上,選取 [Bastion] 索引卷標。
選取 [使用 Bastion]。
輸入您在建立 VM 時建立的使用者名稱和密碼,然後選取 [連線]。
開始 VM 之間的通訊
在 vm-1 的 Bash 提示中,輸入
ping -c 4 vm-2。您會收到類似下列訊息的回覆:
azureuser@vm-1:~$ ping -c 4 vm-2 PING vm-2.3bnkevn3313ujpr5l1kqop4n4d.cx.internal.cloudapp.net (10.0.0.5) 56(84) bytes of data. 64 bytes from vm-2.internal.cloudapp.net (10.0.0.5): icmp_seq=1 ttl=64 time=1.83 ms 64 bytes from vm-2.internal.cloudapp.net (10.0.0.5): icmp_seq=2 ttl=64 time=0.987 ms 64 bytes from vm-2.internal.cloudapp.net (10.0.0.5): icmp_seq=3 ttl=64 time=0.864 ms 64 bytes from vm-2.internal.cloudapp.net (10.0.0.5): icmp_seq=4 ttl=64 time=0.890 ms關閉與 vm-1 的 Bastion 連線。
在 vm-2 的 Bash 提示中,輸入
ping -c 4 vm-1。您會收到類似下列訊息的回覆:
azureuser@vm-2:~$ ping -c 4 vm-1 PING vm-1.3bnkevn3313ujpr5l1kqop4n4d.cx.internal.cloudapp.net (10.0.0.4) 56(84) bytes of data. 64 bytes from vm-1.internal.cloudapp.net (10.0.0.4): icmp_seq=1 ttl=64 time=0.695 ms 64 bytes from vm-1.internal.cloudapp.net (10.0.0.4): icmp_seq=2 ttl=64 time=0.896 ms 64 bytes from vm-1.internal.cloudapp.net (10.0.0.4): icmp_seq=3 ttl=64 time=3.43 ms 64 bytes from vm-1.internal.cloudapp.net (10.0.0.4): icmp_seq=4 ttl=64 time=0.780 ms關閉與 vm-2 的 Bastion 連線。
清除資源
當您完成虛擬網路和 VM 時,請使用 az group delete 來移除資源群組及其所有資源:
az group delete \
--name test-rg \
--yes
下一步
在本快速入門中,您已建立一個虛擬網路,其中包含的預設子網路有兩個 VM。 您已部署 Bastion,並用它來連線到 VM,並在 VM 之間建立通訊。 若要深入了解虛擬網路設定,請參閱建立、變更或刪除虛擬網路。
在虛擬網路中,VM 之間的私人通訊預設不受限制。 若要深入瞭解如何設定不同類型的 VM 網路通訊,請繼續進行下一篇文章: