转#微软Azure开启ping端口的方法

转自 https://www.huing.cn/archives/azureping.html

一、建立虚拟机

Azure中虚拟机称为VM,下文我用更通俗的VPS代替。

按照厂商属性分类,Azure属于面向企业的,所以后台比较复杂,创立VPS其实是创立一个资源组,所有的储存、子网等与该VPS有关的项目都在资源组中单列出来,便于企业管理,对于个人使用,一切默认就行,注意删除的时候删除资源组而不是删除VPS。

过程不多说,推荐储存选择托管,而不是自己建立储存账号,注意硬盘I/O与硬盘大小正相关,B1s的机器只有3M/s。

配置与地点根据VPS的用法自己调整,B系列不能长期占用CPU,不然你ssh看到CPU满载但是控制台只有4%,另外亚洲地区韩国最便宜(不是韩国中部)。

其他选项默认,最后创建,大概要几分钟。

二、开启ping端口

微软禁止了ICMP导致你去ping新建立的VPS是不通的,开启ping端口有两种办法:

1. 端口全开(简单)
(1)打开网络面板,点添加入站规则
《转#微软Azure开启ping端口的方法》
(2)在端口范围这里填“ * ”
《转#微软Azure开启ping端口的方法》
(3)添加完成后
《转#微软Azure开启ping端口的方法》
这种方法的优点是极为简便,缺点是极度不安全。适合你创完VPS之后ping一下看看延迟和路线,弄完立马删除这条规则。

2.自定义端口(复杂)
来自官方文档

更安全的做法是,分别配置两条针对 TCP 和 UDP 的 DenyAll 的规则,优先级采用 4094 和 4095 ,然后为虚拟网络和 Azure 负载均衡器分别添加两条 AllowAll 的规则,优先级采用 4092 和 4093。最后为需要开放的端口配置更高优先级的规则。
这样既开放了需要的端口和 ICMP 规则,也又避免了其他端口被攻击的危险。如下图所示,我开放了 TCP-22 端口和 ICMP,同时允许虚拟网络和 Azure 负载均衡器与虚拟机的内部通信,其他所有访问都被 NSG 规则拒绝。如果还要添加新的端口,新建优先级高于 4092 的规则就可以了。

如果你不需要内网连接与负载均衡,前两条规则可以不用创建(即优先级为4092和4093的规则)

添加入站规则 → 高级

(1)允许内网入站(可不创)
选择Service Tag,分别创立源服务标记为VirtualNetwork、AzureLoadBalancer的规则
源端口目标端口都填“ * ”,
目标Any,
协议Any,
操作都选允许,
优先级分别填4092、4093,
命名分别为portvn、portload
《转#微软Azure开启ping端口的方法》
《转#微软Azure开启ping端口的方法》
(2)拒绝TCP,UDP入站(低优先级,80等常用端口设置优先级比这个高就行)
选择Any,
源端口目标端口都填“ * ”,
目标Any,
协议分别为TCP、UDP,
操作都选拒绝,
优先级分别填4094、4095,
命名分别为denytcp、denyudp
《转#微软Azure开启ping端口的方法》《转#微软Azure开启ping端口的方法》
(3)开放所有端口(低于拒绝TCP、UDP入站,安全性有保证)
参考方法1,
优先级设置4096,
命名为allowall

设置完毕,ping一下试试吧

点赞