前面的几篇文章中，已经简单介绍了管理Azure VM中的计算服务和存储服务，今天我们将介绍一下另一个重要组成元素-网络。

Azure虚拟机使用Azure网络进行内部和外部网络通信。要想Azure VM更好更稳健的对外提供服务，作为管理员也是必须要了解Azure VM网络的。

Azure 虚拟网络在虚拟机、Internet 与其他 Azure 服务（例如 Azure SQL 数据库）之间实现安全网络连接。虚拟网络分解为称作”子网”的逻辑段。 子网用于控制网络流，并充当安全边界。部署 VM 时，该 VM 通常包含一个附加到子网的虚拟网络接口。如下图所示

使用公共IP可在 Internet 上访问Azure 资源。公共IP地址的分配方法可以配置为动态或静态。默认情况下，将动态分配公共IP地址。解除分配VM时，释放动态IP地址。在执行涉及到VM解除分配的任何操作期间，此行为会导致IP 地址发生更改。

使用New-AzPublicIpAddress创建公共IP地址的Azure PowerShell语句

网络安全组 (NSG) 是Azure VM或者子网层面的一个有效且免费的安全组件，它含一系列安全规则，这些规则可以允许或拒绝流向连接到Azure虚拟网络 (VNet) 的资源的网络流量。NSG 可以关联到子网或单个网络接口。与网络接口关联的 NSG 只会应用到关联的 VM。将 NSG 关联到子网时，规则适用于连接到该子网的所有资源。

NSG 规则定义要允许或拒绝哪些网络端口上的流量。这些规则可以包括源和目标 IP 地址范围，以便控制特定系统或子网之间的流量。NSG 规则还包括优先级（介于 1 和 4096 之间）。将按优先级顺序来评估规则。优先级为 100 的规则会在优先级为200的规则之前评估。

所有 NSG 都包含一组默认规则。 默认规则无法删除，但由于给它们分配的优先级最低，可以用创建的规则来重写它们。

• 虚拟网络 – 从方向上来说，在虚拟网络中发起和结束的通信可以是入站通信，也可以是出站通信。
  
• Internet – 允许出站通信，但阻止入站通信。
  
• 负载均衡器 – 允许 Azure 的负载均衡器探测 VM 和角色实例的运行状况。 如果不使用负载均衡集，则可替代此规则。
  

使用 New-AzNetworkSecurityRuleConfig 创建名NSG入站规则，以允许传入 Web 流量。

为后端子网创建NSG流量限制为仅从 myFrontendVM 流向 myBackendVM

查看 VM 网络接口。可以查看当前附加到 VM 的网络接口，了解每个网络接口的配置，以及分配给每个网络接口的 IP 地址。

• IP配置：此处列出分配到IP配置的公共和专用 IPv4 及 IPv6 地址。如果向 IP 配置分配了 IPv6 地址，该地址不会显示。
  
• DNS服务器：可指定 Azure DHCP 服务器向网络接口分配哪个 DNS 服务器。 网络接口可从其连接到的虚拟网络继承设置，或使用自定义设置来替代其分配到的虚拟网络的设置。
  
• 网络安全组 (NSG)：显示与网络接口关联的 NSG（若有）。 NSG 包含用于筛选网络接口网络流量的入站和出站规则。如果网络接口关联有 NSG，会显示关联的 NSG 的名称。
  
• 属性：显示有关网络接口的关键设置，包括其 MAC 地址（若网络接口未附加到虚拟机，则为空）及其所在的订阅。
  
• 有效的安全规则： 如果网络接口已附加到正在运行的虚拟机，且某 NSG 已关联到该接口和/或其分配到的子网，则会列出安全规则。
  
• 有效的路由：如果网络接口已附加到正在运行的虚拟机，则会列出路由。路由是 Azure 默认路由、用户定义的任何路由以及网络接口分配到的子网可能存在的任何 BGP 路由的组合。
  

创建VM网络接口。使用 Azure 门户创建虚拟机时，门户将使用默认设置创建一个网络接口。如果想要指定所有网络接口设置，可使用自定义设置创建网络接口并在创建虚拟机（使用 PowerShell 或 Azure CLI）时向其附加此网络接口。 还可创建网络接口并将其添加到现有的虚拟机（使用 PowerShell 或 Azure CLI）。

需要注意的是，创建网络接口时不会提供向接口分配公共IP地址的选项，如有需要可以参考上述PowerShell或者在Azure门户中创建公共IP地址。

更改DNS 服务器。DNS 服务器由 Azure DHCP 服务器分配到虚拟机操作系统中的网络接口。 分配的 DNS 服务器设置就是网络接口的 DNS 服务器设置。

• 从虚拟网络继承：选择此选项可继承针对网络接口分配到的虚拟网络定义的 DNS 服务器设置。自定义 DNS 服务器或 Azure 提供的 DNS 服务器会在虚拟网络级别定义。Azure 提供的 DNS 服务器可解析分配到同一虚拟网络的资源的主机名。必须使用 FQDN 解析分配到不同虚拟网络的资源。
  
• 自定义：可自行配置 DNS 服务器来解析多个虚拟网络中的名称。 输入要用作 DNS 服务器的服务器的IP地址。指定的 DNS 服务器地址仅分配到此网络接口，并将替代该网络接口分配到的虚拟网络的任何 DNS 设置。
  

启用/禁用IP转发。IP转发使网络接口附加到的虚拟机能够：

• 接收未针对分配给任一网络接口 IP 配置的 IP 地址的网络流量。
  
• 使用与分配给某一网络接口 IP 配置的源 IP 地址不同的地址发送网络流量。
  

必须为附加到虚拟机并接收虚拟机需转发的流量的每个网络接口启用该设置。 无论虚拟机上附加了一个还是多个网络接口，该虚拟机都可转发流量。 尽管 IP 转发是一项 Azure 设置，但虚拟机也必须运行某个应用程序（例如防火墙、WAN 优化和负载均衡应用程序）才能转发流量。 运行网络应用程序的虚拟机通常称为网络虚拟设备（例如F5、CheckPoint），在 Azure 市场中查看可直接部署的网络虚拟设备列表。IP 转发通常与用户定义的路由配合使用。

删除网络接口。如果确定未附加或者不在需要使用该网络接口，就可以删除此网络接口。如果已将网络接口连接到虚拟机，必须先将虚拟机置于停止（解除分配）状态，然后才能将网络接口从虚拟机中拆离。若要从虚拟机中分离网络接口，请完成从虚拟机中分离网络接口中的步骤。 但是，如果这是连接到虚拟机的唯一网络接口，则无法从虚拟机中拆离网络接口。虚拟机必须始终附加有至少一个网络接口。删除虚拟机会分离其上附加的所有网络接口，但不会删除网络接口。

如果无法与虚拟机进行通信，则网络安全组安全规则或对网络接口有效的路由可能会导致问题。

• 查看有效的安全规则。
  

连接到虚拟机的每个网络接口的有效安全规则是网络安全组中已创建的规则和默认安全规则的组合。理解网络接口的有效安全规则有助于确定无法与虚拟机进行通信的原因。可查看连接到正在运行的虚拟机的任何网络接口的有效规则。

• 查看有效路由。
  

连接到虚拟机的网络接口的有效路由是默认路由、已创建的任何路由以及凭借 Azure 虚拟网络网关通过 BGP 从本地网络传播的任何路由的组合。 理解网络接口的有效路由有助于确定无法与虚拟机进行通信的原因。 可以查看已附加到运行中虚拟机的任何网络接口的有效路由。

Azure 网络观察程序，一款Azure自带且免费的NPM管理工具，其 IP 流验证功能和下一个跃点功能也有助于确定安全规则是否阻止虚拟机与终结点之间的通信。

本文固定链接: http://365vcloud.azurewebsites.net/2020/04/09/manage-virtual-machine-networks-in-azure/ | 365vCloud的云计算之旅