Azure 虚拟机 掌控Azure虚拟机网络设置

虚拟网络与子网：别让虚拟机变成孤岛

虚拟网络是什么？就像你的云上小区

想象一下，Azure里的虚拟网络（VNet）就像是你租下的一个云上小区。这个小区里有各种楼宇（虚拟机）、道路（网络连接），还有保安（NSG）和门牌号（IP地址）。如果不规划好小区，你的虚拟机就会变成孤岛，连个邻居都没有，更别说和外界沟通了。

创建VNet时，得先选个合适的地址范围，比如10.0.0.0/16。这个地址范围决定了整个小区有多大。如果地址空间太小，以后想扩小区就得拆楼重建，太麻烦。所以一开始别小气，给点空间，毕竟云上的地皮不花钱，多划点没问题。

子网划分：给不同部门分楼层

小区建好了，总不能让所有住户都挤在一层吧？子网就是给不同功能的虚拟机分楼层。比如，Web服务器在一层，数据库在地下三层，管理后台在顶层。每个子网有自己的地址段，比如10.0.1.0/24、10.0.2.0/24，这样隔离起来更安全。

划分子网时有个小技巧：别把所有机器都塞进一个子网。比如，把前端和后端分开，数据库单独一个子网。这样即使前端被黑了，黑客也摸不到数据库。想想看，要是所有机器都在同一个子网，那岂不是“一锅端”？安全系数直接归零。

安全第一：网络安全组（NSG）的正确打开方式

NSG规则：像保安，但比保安聪明

NSG就是VNet的保安系统，它负责检查每个进出小区的“人”（数据包）。默认情况下，NSG允许出站流量（你出小区没问题），但阻止所有入站流量（外人想进来得先过保安）。所以，如果你要对外提供服务，比如网站，得在NSG里开个口子，允许80端口（HTTP）或443端口（HTTPS）。

但千万别一股脑全开！比如，有人建议把22端口（SSH）全开放，这就像把小区大门焊死，谁都能进。正确做法是只允许特定IP访问，比如公司办公室的公网IP。这样既安全，又方便远程管理。记住，NSG规则是按优先级排序的，越高的优先级先匹配，所以得把最严格的规则放在前面。

常见误区：别把防火墙当“全封闭式监狱”

很多新手犯的错误是把NSG规则设置得过于严格，导致服务无法运行。比如，开个Web服务器，只允许80端口入站，结果数据库连不上，因为数据库需要和Web服务器通信，但NSG没允许内部流量。这时候得在NSG里允许子网间的通信。

另一个常见误区是忽略出站规则。虽然默认允许出站，但有时候需要限制，比如禁止虚拟机连接某些恶意IP。不过一般来说，出站规则不用太严，但入站必须谨慎。毕竟，外来的和尚会念经，但念的是什么经就不一定了。

公共IP与私有IP的微妙关系

静态还是动态？选对IP类型很重要

公共IP就像你的门牌号，别人要找到你得知道这个号。在Azure里，公共IP可以是静态的或动态的。静态IP一直不变，适合服务器；动态IP可能会变，适合临时实例。比如，你有个网站，IP一变，DNS就得更新，客户访问不了。所以网站服务器得用静态IP，这样稳定。

不过，动态IP也有用武之地。比如测试环境，或者临时跑个任务的虚拟机，IP变了无所谓。但要注意，动态IP在虚拟机重启后可能会变，所以如果需要固定IP，务必选静态。否则，某天重启后，你的服务突然没人能访问，那就尴尬了。

私有IP的“隐形”优势

私有IP是虚拟机内部用的，比如10.0.1.5，外面看不见。这就像你家的门牌号，只有小区内部的人知道。私有IP主要用于内部通信，比如Web服务器和数据库之间通过私有IP交互，这样既安全又快速，因为流量不用出公网。

有时候，新手会纠结“要不要给所有虚拟机配公共IP”。答案是：能不用就不用。比如，数据库完全用私有IP，只让Web服务器有公共IP。这样即使Web服务器被黑了，数据库还是安全的。记住，多一层隔离，多一份安全。

负载均衡器：别让流量成单行道

基础配置：分摊压力

当访问量大的时候，一台服务器可能扛不住。这时候就需要负载均衡器，把流量分摊到多台服务器上。比如，把80端口的HTTP请求平均分配到三个Web服务器上，这样每台服务器都轻松点。

配置负载均衡器时，先创建一个负载均衡器，然后添加前端IP配置（通常是公共IP），后端地址池（把服务器加进去），再设置健康探测和负载均衡规则。比如，健康探测每15秒检查一次，如果某台服务器挂了，自动从池里移除，确保流量只发给活的服务器。

健康探测：及时发现“病号”

健康探测就像给服务器做体检。比如，HTTP探测会访问指定的URL，如果返回200，说明健康；否则认为挂了。可以设置探测路径，比如/check，专门做一个页面返回OK，这样探测更可靠。

如果探测间隔太短，可能误判；太长的话，出问题了也不能及时发现。建议默认15秒间隔，超时5秒，连续3次失败就认为不可用。这样既不会太频繁，又能及时发现故障。

NAT网关：私有子网的“出口”秘密

为什么需要NAT？让私有子网也能上网

有时候，你的虚拟机在私有子网里，没有公共IP，但又需要访问外网，比如下载更新、连接云服务。这时候，NAT网关就派上用场了。它让私有子网的虚拟机能通过一个公共IP上网，但外部无法直接访问它们，安全又省事。

比如，数据库服务器在私有子网，不需要公开访问，但需要从Azure的其他服务拉取数据。这时候配置NAT网关，数据库就能通过NAT网关的公共IP出站，而不需要给数据库配公共IP，减少暴露风险。

Azure 虚拟机 配置NAT网关的三步曲

配置NAT网关很简单：1. 创建NAT网关资源；2. 关联到子网；3. 配置出站规则。注意，NAT网关只能用于出站流量，入站流量还得用负载均衡器或者其他方式。

比如，创建一个NAT网关，关联到数据库所在的子网，这样数据库就能自动通过NAT网关访问外网。配置完后，记得检查路由表，确保流量正确路由到NAT网关。这一步很重要，否则私有子网可能上不了网，白白浪费了NAT网关。

DNS设置：让名字不再是谜

Azure DNS vs 自建DNS

Azure 虚拟机 DNS就像电话簿，把域名转换成IP地址。Azure提供DNS服务，你可以在上面创建区域和记录。比如，创建一个myapp.com的区域，然后添加A记录指向你的Web服务器IP。这样用户访问myapp.com就能找到你的服务。

如果你有多个虚拟机，用Azure DNS管理起来更方便。不过，如果公司已经有自己的DNS服务器，也可以自建，把Azure的虚拟机注册进去。但要注意，自建DNS需要额外维护，而Azure DNS是托管服务，省心。

自定义DNS后缀的实用技巧

在Azure里，你可以给虚拟机设置自定义DNS后缀，比如vm1.contoso.com。这样在内部网络里，通过这个域名就能访问，不用记IP。比如，数据库服务器叫db01.contoso.com，Web服务器连它的时候直接用这个名字，不需要改IP。

不过，自定义DNS后缀得在虚拟网络里配置，或者通过DNS服务器设置。如果使用Azure DNS，可以在区域里添加记录；如果用自建DNS，就在DNS服务器里配置。记得保持DNS记录更新，否则改了IP就找不到服务器了。

总结：网络设置不是难题，而是掌握关键点

掌握Azure虚拟机网络设置，其实没那么难。记住几个关键点：虚拟网络和子网要规划好，NSG规则别太死板，公共IP该用静态就用静态，私有IP用在该用的地方，负载均衡器分摊压力，NAT网关让私有子网安全上网，DNS让名字代替IP。

刚开始可能会有点混乱，但慢慢来，多练几次就熟悉了。别怕犯错，云上环境随时可以重置。重要的是理解每个组件的作用，这样在真正部署时才能游刃有余。毕竟，网络设置就像盖房子，基础打好了，房子才稳。