快速入门:使用 Azure 门户创建虚拟网络
本快速入门展示了如何使用 Azure 门户创建虚拟网络。 然后,在网络中创建两个虚拟机(VM),部署 Azure Bastion 以从 Internet 安全连接到 VM,并在 VM 之间启动私下通信。
虚拟网络是 Azure 中专用网络的基本构建块。 Azure 虚拟网络能让 Azure 资源(例如 VM)互相安全通信以及与 Internet 通信。
先决条件
- 具有活动订阅的 Azure 帐户。 可创建试用帐户。
登录 Azure
使用 Azure 帐户登录到 Azure 门户。
创建虚拟网络和 Azure Bastion 主机
以下过程创建包含资源子网、Azure Bastion 子网和 Bastion 主机的虚拟网络:
在门户中,搜索并选择“虚拟网络”。
在“虚拟网络”页面上,选择“+ 创建”。
在创建虚拟网络的基本信息选项卡上输入或选择以下信息:
设置 值 项目详细信息 订阅 选择订阅。 资源组 选择“新建”。
输入“test-rg”作为名称。
选择“确定”。实例详细信息 名称 输入“vnet-1”。 区域 选择“(亚太)中国东部 2”。 选择“下一步”,转到“安全性”选项卡。
在“Azure Bastion”部分,选择“启用 Bastion”。
Bastion 使用浏览器通过安全外壳 (SSH) 或远程桌面协议 (RDP),通过使用其专用 IP 地址连接虚拟网络中的虚拟机。 虚拟机不需要公共 IP 地址、客户端软件或特殊配置。 有关详细信息,请参阅什么是 Azure Bastion?。
在“Azure Bastion”中,输入或选择以下信息:
设置 值 Azure Bastion 主机名 输入“堡垒”。 Azure Bastion 公共 IP 地址 选择“创建公共 IP 地址”。
在名称中输入 public-ip-bastion。
选择“确定”。选择下一步,转到IP 地址选项卡。
在“子网”的地址空间框中,选择“默认”子网。
在编辑子网中,输入或选择以下信息:
设置 值 子网详细信息 子网模板 保留默认值“默认”。 名称 输入“subnet-1”。 开始地址 保留默认值“10.0.0.0”。 子网大小 保留默认值“/24 (256 个地址)”。 选择“保存”。
在窗口底部选择“查看 + 创建”。 验证通过后,选择“创建”。
创建虚拟机
以下过程在虚拟网络中创建两个 VM,名称分别为“vm-1”和“vm-2”:
在门户中,搜索并选择虚拟机。
在“虚拟机”中,选择“+ 创建”,然后选择“Azure 虚拟机”。
在“创建虚拟机”的“基本信息”选项卡上,输入或选择以下信息:
设置 值 项目详细信息 订阅 选择订阅。 资源组 选择“test-rg”。 实例详细信息 虚拟机名称 输入“vm-1”。 区域 选择“中国北部 3”。 可用性选项 选择“无需基础结构冗余”。 安全类型 保留默认值标准。 映像 选择“Ubuntu Server 22.04 LTS - Gen2”。 大小 选择一个大小。 管理员帐户 身份验证类型 选择密码。 用户名 输入“azureuser”。 Password 输入密码。 确认密码 重新输入密码。 入站端口规则 公共入站端口 选择无。 选择“网络”选项卡。输入或选择以下信息:
设置 值 网络接口 虚拟网络 选择“vnet-1”。 子网 选择“subnet-1 (10.0.0.0/24)”。 公共 IP 选择无。 NIC 网络安全组 选择“高级”。 配置网络安全组 选择“新建”。
在“名称”中输入“nsg-1”。
将其余字段保留默认设置,然后选择“确定”。将其余设置保留为默认值,然后选择“查看 + 创建”。
检查设置,然后选择“创建”。
等待第一台虚拟机部署,然后重复前面的步骤,以使用以下设置创建第二台虚拟机:
设置 Value 虚拟机名称 输入“vm-2”。 虚拟网络 选择“vnet-1”。 子网 选择“subnet-1 (10.0.0.0/24)”。 公共 IP 选择无。 NIC 网络安全组 选择“高级”。 配置网络安全组 选择nsg-1。
注意
虚拟网络中具有 Azure Bastion 主机的虚拟机不需要公共 IP 地址。 Bastion 提供公共 IP,虚拟机使用专用 IP 在网络中进行通信。 可以从 Bastion 托管的虚拟网络的任何虚拟机中删除公共 IP。 有关详细信息,请参阅 将公共 IP 地址与 Azure VM 取消关联。
注意
Azure 会为未分配公共 IP 地址的 VM 或位于内部基本 Azure 负载均衡器的后端池中的 VM 提供默认出站访问 IP。 默认出站访问 IP 机制会提供不可配置的出站 IP 地址。
发生以下事件之一时,将禁用默认出站访问 IP:
- 将公共 IP 地址分配给 VM。
- 虚拟机被放置在标准负载平衡器的后端池中,有无出站规则均可。
- 向虚拟机的子网分配了 Azure 虚拟网络 NAT 网关 资源。
在灵活业务流程模式下通过使用虚拟机规模集创建的 VM 没有默认的出站访问权限。
有关 Azure 中的出站连接的详细信息,请参阅 Azure 中的默认出站访问,使用源网络地址转换(SNAT)进行出站连接。
连接到虚拟机
在门户中,搜索并选择“虚拟机”。
在“虚拟机”页上,选择“vm-1”。
在 vm-1 的“概述”信息中,选择“连接”。
在“连接到虚拟机”页面上,选择“Bastion”选项卡。
选择“使用 Bastion”。
输入在创建虚拟机时指定的用户名和密码,然后选择“连接”。
开始在 VM 之间进行通信
在“vm-1”的 bash 提示符下,输入
ping -c 4 vm-2
。你会收到类似于以下消息的回复:
azureuser@vm-1:~$ ping -c 4 vm-2 PING vm-2.3bnkevn3313ujpr5l1kqop4n4d.cx.internal.chinacloudapp.cn (10.0.0.5) 56(84) bytes of data. 64 bytes from vm-2.internal.chinacloudapp.cn (10.0.0.5): icmp_seq=1 ttl=64 time=1.83 ms 64 bytes from vm-2.internal.chinacloudapp.cn (10.0.0.5): icmp_seq=2 ttl=64 time=0.987 ms 64 bytes from vm-2.internal.chinacloudapp.cn (10.0.0.5): icmp_seq=3 ttl=64 time=0.864 ms 64 bytes from vm-2.internal.chinacloudapp.cn (10.0.0.5): icmp_seq=4 ttl=64 time=0.890 ms
关闭与vm-1的 Bastion 连接。
重复连接到虚拟机中的步骤以连接到 VM2。
在“vm-2”的 bash 提示符下,输入
ping -c 4 vm-1
。你会收到类似于以下消息的回复:
azureuser@vm-2:~$ ping -c 4 vm-1 PING vm-1.3bnkevn3313ujpr5l1kqop4n4d.cx.internal.chinacloudapp.cn (10.0.0.4) 56(84) bytes of data. 64 bytes from vm-1.internal.chinacloudapp.cn (10.0.0.4): icmp_seq=1 ttl=64 time=0.695 ms 64 bytes from vm-1.internal.chinacloudapp.cn (10.0.0.4): icmp_seq=2 ttl=64 time=0.896 ms 64 bytes from vm-1.internal.chinacloudapp.cn (10.0.0.4): icmp_seq=3 ttl=64 time=3.43 ms 64 bytes from vm-1.internal.chinacloudapp.cn (10.0.0.4): icmp_seq=4 ttl=64 time=0.780 ms
关闭与vm-2的 Bastion 连接。
清理资源
使用创建的资源之后,可以删除资源组及其所有资源:
在 Azure 门户中,搜索并选择“资源组”。
在“资源组”页上,选择“test-rg”资源组。
在“test-rg”页上,选择“删除资源组”。
在“输入资源组名称以确认删除”中输入“test-rg”,然后选择“删除”。
后续步骤
在本快速入门中,你创建了包含两个子网的虚拟网络,其中一个子网包含两个 VM,另一个子网用于 Bastion。 你部署了 Bastion,使用了它连接到 VM 并在 VM 之间建立通信。 若要详细了解虚拟网络设置,请参阅创建、更改或删除虚拟网络。
VM 之间的专用通信在虚拟网络中不受限制。 若要详细了解如何配置不同类型的 VM 网络通信,请继续查看下一篇文章: