設定 Azure 虛擬機器網路設定

我們已安裝自訂軟體、設定 FTP 伺服器、設定 VM 以接收我們的視訊檔案。但如果我們嘗試使用 FTP 連線至公用 IP 位址，便會發現連線遭到封鎖。

通常會使用內部部署環境中的設備來調整伺服器設定。在這種情況下，您可考慮使用 Azure VM 來擴充該環境。您可以變更設定、管理網路、開啟或封鎖流量，以及透過 Azure 入口網站、Azure CLI 或 Azure PowerShell 工具執行其他作業。

您已在虛擬機器的 [概觀] 窗格中，看到部分的基本資訊和管理選項。讓我們來探索更多的網路設定。

在 Azure VM 中開放連接埠

根據預設，新的 VM 是鎖定的。

應用程式可以建立輸出要求，但只允許來自虛擬網路 (例如，相同區域網路的其他資源) 和 Azure Load Balancer (探查檢查) 的輸入流量。

有兩個步驟可調整設定以支援 FTP。建立新的 VM 後，您可以開啟一些常見的連接埠 (RDP、HTTP、HTTPS 和 SSH)。但如果防火牆需要其他變更，則須自行調整。

此作業的程序包含兩個步驟：

虛擬網路 (VNet) 是 Azure 網路模型的基礎，並提供隔離和保護。網路安全性群組 (NSG) 是您用來強制執行和控制網路層級網路流量規則的主要工具。 NSG 是選擇性安全層，藉由篩選 VNet 上的輸入和輸出流量來提供軟體防火牆。

安全性群組可以與網路介面 (適用於每個主機規則)、虛擬網路中的子網路 (套用至多個資源) 或這兩個層級建立關聯。

NSG 使用規則來允許或拒絕在網路中移動的流量。每個規則都會識別來源與目的地位址 (或範圍)、通訊協定、連接埠 (或範圍)、方向 (連入或連出)、數值優先順序，以及要允許或拒絕符合該規則的流量。下圖顯示在子網路和網路介面層級套用的 NSG 規則。

圖例說明兩個不同子網路中網路安全性群組的架構。一個子網路中有兩部虛擬機器，各自有其自己的網路介面規則。子網路本身有一組規則，適用於這兩部虛擬機器。

每個安全性群組都有一套預設的安全性規則，以套用上一段的預設網路規則。您無法修改這些預設規則，但可以加以覆寫。

針對輸入流量，Azure 會處理與子網路建立關聯的安全性群組，然後將安全性群組套用至網路介面。輸出流量依完全相反的順序處理 (先網路介面，再子網路)。

警告

請記住，安全性群組在這兩個層級都是選擇性的。若未套用任何安全性群組，則 Azure 會允許所有流量。如果 VM 有公用 IP，則這可能會有嚴重風險，特別是作業系統未提供某種形式的防火牆時。

規則是以「優先順序」評估，從最低優先順序規則開始。拒絕規則一律會停止評估。例如，如果網路介面規則封鎖輸出要求，即不檢查子網路套用的規則。為了允許流量通過安全性群組，流量必須能通過「所有」套用的群組。

最後一個規則一律是全部拒絕規則。這是新增至每個安全性群組的預設規則，適用於優先順序為 65500 的輸入和輸出流量。這表示，若要讓流量通過安全性群組，您必須有允許規則，否則預設最終規則將會封鎖它。深入了解安全性規則。

注意

SMTP (連接埠 25) 是特殊情況。根據您的訂用帳戶層級和帳戶建立時間，可能會封鎖輸出 SMTP 流量。您可基於商務的考量，要求移除此項限制。