設定 Azure 虛擬機網路設定

我們已安裝自定義軟體、設定 FTP 伺服器，並設定 VM 以接收我們的視訊檔案。 不過，如果我們嘗試使用 FTP 連線到公用 IP 位址，我們會發現它遭到封鎖。

對伺服器組態進行調整通常會在內部部署環境中使用設備來執行。 從這個意義上說，您可以將 Azure VM 視為該環境的延伸模組。 您可以透過 Azure 入口網站、Azure CLI 或 Azure PowerShell 工具進行設定變更、管理網路、開啟或封鎖流量等等。

您已在虛擬機的 [概觀 ] 面板中看到 一些基本資訊和管理選項。 讓我們進一步探索網路設定。

在 Azure VM 中開啟埠

根據預設，新的 VM 會鎖定。

應用程式可以提出傳出要求，但唯一允許的輸入流量是來自虛擬網路（例如，相同局域網路上的其他資源），以及來自 Azure 的 Load Balancer（探查檢查）。

有兩個步驟可調整組態以支援 FTP。 當您建立新的 VM 時，有機會開啟幾個常見的埠（RDP、HTTP、HTTPS 和 SSH）。 不過，如果您需要對防火牆進行其他變更，則必須自行進行變更。

此程式包含兩個步驟：

1. 建立網路安全組。
2. 建立允許埠 20 和 21 上的流量使用中 FTP 支援的輸入規則。

什麼是網路安全組？

虛擬網路 （VNet） 是 Azure 網路模型的基礎，並提供隔離和保護。 網路安全組 （NSG） 是您在網路層級強制執行和控制網路流量規則的主要工具。 NSG 是選擇性的安全性層，可藉由篩選 VNet 上的輸入和輸出流量來提供軟體防火牆。

安全組可以與網路介面相關聯（適用於每部主機規則）、虛擬網路中的子網（適用於多個資源），或兩個層級。

安全組規則

NSG 會使用 規則 來允許或拒絕透過網路移動的流量。 每個規則都會識別來源和目的地位址（或範圍）、通訊協定、埠（或範圍）、方向（輸入或輸出）、數值優先順序，以及是否允許或拒絕符合規則的流量。 下圖顯示子網和網路介面層級所套用的NSG規則。

每個安全組都有一組預設安全性規則，以套用上述段落中所述的默認網路規則。 您無法修改這些默認規則，但 可以 覆寫它們。

Azure 如何使用網路規則

針對輸入流量，Azure 會處理與子網相關聯的安全組，然後處理套用至網路介面的安全組。 輸出流量會以相反的順序處理（網路介面首先，後面接著子網）。

規則會以 優先順序進行評估，從 最低優先順序 規則開始。 拒絕規則一律 會停止 評估。 例如，如果網路介面規則封鎖輸出要求，將不會檢查套用至子網的任何規則。 若要允許流量通過安全組，它必須通過 所有 套用的群組。

最後一個規則一律為 [全部拒絕 ] 規則。 這是針對優先順序為 65500 的輸入和輸出流量，新增至每個安全組的默認規則。 這表示要讓流量通過安全組， 您必須有允許規則 ，否則預設的最終規則將會封鎖它。 深入瞭解安全性規則。