Azure VM 管理

概述

Azure VM 管理（170条消息）涵盖了多个 Azure 订阅下虚拟机的创建、维护、费用控制和容器注册表管理。包括韩国、瑞典等多区域 VM 部署，以及 ACR（Azure Container Registry）的镜像管理。

关键事件

• 2026-03-03: 查询现有 VM 列表，切换 Azure 订阅
• 2026-03-07: 配置 externalacr.azurecr.io 容器注册表，推送 caddy:2-alpine 镜像
• 2026-03-10: 发现订阅费用超标被禁用，切换到备用订阅
• 2026-03-10: 获取 Azure CLI 登录码和地址进行重新认证
• 2026-03-12: ICM 安全事件——9个端点高风险端口暴露（详见下方）
• 2026-03-15: 在韩国区域创建新服务器；盘点全部 13 台 VM
• 2026-03-15: 将 transparent-n3 VM 重建为 mattermost-server（保留磁盘+网卡）
• 2026-03-19: giraffe 修复 claw-runtime 和 owl 双层 NSG 问题（子网级 NSG 拦截入站流量）
• 2026-03-21: 部署 Supabase 需要 Anon/Service Key
• 2026-04-02: 启用被暂停的订阅，处理费用超标问题
• 2026-05-06 ⭐ Tiger 频道大清理（详见下方「2026-05-06 清理」段）：删 3 个 AI Foundry 工作区（admin-4687 Project / hugging-face-project Project / admin-4121_ai Hub）+ 关联 Storage/KeyVault；清 12 个孤儿网络/磁盘残骸（Tiger/Koala/Panda VNET 系列）；删 paperclip VM 全套（B2als_v2，Public IP 4.193.219.191）。AzTS 安全合规进度从 0/18 → 6/18 (33%)

Quokka 运维事件

• 2026-03-18: quokka 全量 21 台机器信息采集（全球+中国区），生成 HTML 仪表盘；批量 SSH 密钥下发
• 2026-03-19: claw-runtime 从韩国迁移至新加坡 (wolfVNET → vnet-southeastasia)；非代理节点统一到 172.16.0.0/24 子网
• 2026-03-23: eagle 因 Microsoft Defender 安装挤爆 3.8G 内存导致 SSH 不响应；升级为 D2ads_v5 (7.7G)
• 2026-03-28: proxy-hydra/jaguar/bison 被 Azure 费用管控自动关机；批量打 CostControl: Ignore + SecurityControl: Ignore 标签后全部开机

技术要点

• 容器注册表: externalacr.azurecr.io（用于存储 Docker 镜像）
• 多订阅管理: 需要在不同订阅间切换，费用超标会自动暂停
• 域名: tiger-host.chinanorth3.cloudapp.chinacloudapi.cn
• Azure CLI: 使用 az login 进行认证，需要设备码登录

经验教训

• Azure 订阅费用超标会自动禁用，需要提前监控
• 切换订阅时确保 CLI 登录状态有效
• 容器注册表凭据（username/password）需要安全存储
• VM 部署前先确认目标区域的可用性和配额
• 双层 NSG 陷阱: Azure VM 可能同时绑定网卡级 NSG 和子网级 NSG，入站流量必须两层都放行。子网级 NSG 默认 DenyAllInBound，即使网卡级 NSG 放行了端口也会被拦截。使用 az network watcher test-ip-flow 验证。

双层 NSG 案例（2026-03-19）

服务器	NIC 级 NSG	子网级 NSG	修复
claw-runtime (20.214.152.42)	claw-runtimeNSG ✅	proxy-krVNET-…-koreacentral ❌	加 Allow18822/Allow80443 规则
owl (4.193.115.141)	owl-nsg ✅	wolfVNET-…-southeastasia ❌	加 Allow18822/AllowWeb 规则

• 中国区远程运维: quokka 通过 az vm run-command 远程管理 Azure China VM（海外直连 SSH 被 DPI 拦截）
• 费用管控标签: 给所有 VM 打 CostControl: Ignore / SecurityControl: Ignore 防止自动关机

相关主题

• vpn-proxy-management
• ssh-server-ops
• caddy-reverse-proxy
• packhorizon — PackHorizon-AI 部署（东亚区 VM）
• work-assistant — ICM 安全修复的执行代理
• quokka — 运维一号助手，管理全局 VM 资产
• azure-cloud-billing — Azure 费用查询与报表
• acr-mirror — Supabase 镜像批量推送到 ACR

ICM 安全事件：高风险端口暴露（2026-03-12）

以下信息来源于 work_assistant 的 Mattermost DM 聊天记录。

事件类型: Internet Exposed Endpoint（Sev 2） 服务: liwei_mcservice 订阅: Windows Azure 内部消耗 (6630b017…) 云环境: Mooncake (NonProd)

9 个端点暴露在公网：

资源组	主机	端口	协议	公网 IP
mc_rg	transparent-n3	18822	SSH	159.27.48.25
rg-openclaw	wukong-hostvmnic	18822	SSH	159.27.81.108
rg-media-east	pve2-nic	389	LDAP	52.130.194.239
rg-openclaw	otter-hostvmnic	18822	SSH	163.228.235.115
rg-openclaw	tiger-hostvmnic	18822	SSH	159.27.228.117
rg-htsc-k8s	docker-runtime54	18822	SSH	163.228.88.0
rg-media-north	dify-host227	18822	SSH	159.27.57.19
mc_rg	vnet-chinaeast2-1	18822	SSH	163.228.142.105
devops	dev-ubuntu-host23	18822	SSH	143.64.214.139

修复措施:

1. 8 个 SSH NSG 规则限制源 IP 为 4.194.153.244
2. LDAP 389 已确认关闭
3. 4 条 NSG 规则优先级从 100-119 调整到 200（满足 Simply Secure 要求）

VM 清单（2026-03-15 盘点）

名称	资源组	区域	规格	状态	公网 IP
TB001	APPRG	chinanorth	B1s	❌ 已停止	—
tp-03	MC_RG	chinaeast2	B1ms	✅ 运行	163.228.142.105
PVE2	RG-MEDIA-EAST	chinaeast2	F8s_v2	✅ 运行	52.130.194.239
dev-ubuntu-host	DEVOPS	chinanorth3	D4as_v5	✅ 运行	143.64.214.139
fw-n2	MC_RG	chinanorth3	B1s	✅ 运行	40.162.94.187
jumper-n3	MC_RG	chinanorth3	B1s	❌ 已停止	40.162.90.17
transparent-n3	MC_RG	chinanorth3	B2s	✅ 运行	159.27.48.25
docker-runtime	RG-HTSC-K8S	chinanorth3	B2ms	✅ 运行	163.228.88.0
HTSCGreenplum	RG-HTSC-K8S	chinanorth3	B2s	✅ 运行	40.162.16.210
dify-host	RG-MEDIA-NORTH	chinanorth3	B2ms	✅ 运行	159.27.57.19
otter-host	RG-OPENCLAW	chinanorth3	B2s	✅ 运行	163.228.235.115
tiger-host	RG-OPENCLAW	chinanorth3	B2s	✅ 运行	159.27.228.117
wukong-host	RG-OPENCLAW	chinanorth3	B2s	✅ 运行	159.27.81.108

VM 用途说明

机器	主要用途
otter-host	代理测试 + 闲置 OpenClaw（sing-box/naiveproxy）
transparent-n3 → mattermost-server	naiveproxy 代理节点 → 迁移为 Mattermost 服务器

PackHorizon VM 创建

以下信息来源于 bnef 的 Mattermost DM 聊天记录（2026-03-24）。

BNEF Bot 通过 az CLI 在东亚区创建了 PackHorizon VM：

属性	值
VM 名称	PackHorizon
规格	Standard_B2als_v2
区域	东亚 (East Asia)
IP	20.255.98.226
SSH 端口	18822
开放端口	80, 443, 18822
订阅	ME-MngEnvMCAP301562-liwei-1
Tenant	Contoso

配置了 Nginx + PM2 运行环境，Let’s Encrypt SSL 证书（域名 pack.restry.cn），以及 GitHub Webhook 自动部署。

2026-04-16 更新：Supabase China PG 远程访问 NSG 配置

来源：giraffe 频道 Clawline 聊天记录（2026-04-15~16）

新增 NSG 规则

在 supabase-china（tiger-host, 159.27.228.117）的 NSG 中新增规则：

端口	用途	备注
18543	PostgreSQL 远程访问（iptables 转发到 5432）	对所有 IP 开放

iptables 端口转发

# 18543 → 5432 转发
iptables -t nat -A PREROUTING -p tcp --dport 18543 -j REDIRECT --to-port 5432
# 持久化
netfilter-persistent save

临时 SSH 规则操作

操作过程中需要临时给当前出口 IP（4.193.113.50）开放 SSH 18822 端口，操作完毕后清理。这是因为 SSH NSG 白名单只允许 4.194.153.244 和 20.189.203.180。

经验教训

• az vm run-command invoke 可替代 SSH 直连（适用于 NSG 白名单不包含当前 IP 的场景）
• NSG 规则生效有延迟（几秒到几十秒）
• 即使 NSG 放行，sshd 可能有额外 IP 过滤（fail2ban、AllowUsers）

详见 Supabase配置与反向代理

2026-05-06 清理：AI Foundry 套装 + 孤儿残骸 + paperclip VM（Tiger 频道）

Tiger 频道一次性清掉一批不再使用的资源，并把 6 台东南亚 VM 的 NSG 现状盘清。

AI Foundry 工作区（订阅 ME-MngEnvMCAP301562-liwei-1，资源组 OctopusOps-RG）

admin-4121_ai 是 AI Studio Hub，下挂 admin-4687 和 hugging-face-project 两个 Project。删除顺序：先 Project 后 Hub，否则 Hub 删不掉。同时删了关联的 Storage stadmin4121a153029827707、KeyVault kv-admin412153029827707（KeyVault 走软删除 + Purge）。

孤儿网络/磁盘残骸（12 个）

Tiger（East Asia）残骸：TigerVMNic、Tiger_OsDisk_*、TigerPublicIP、PandaVNET、PandaNSG、PandaVNET-PandaSubnet-nsg-eastasia。 Koala（Southeast Asia）残骸：KoalaVMNic、Koala_disk1_* 等。VM 主体早已不存在，这些是历史遗留。

paperclip VM 全套删除

资源	状态
paperclip (VM, B2als_v2)	✅
paperclipVMNic	✅
paperclipPublicIP (4.193.219.191)	✅
paperclip_OsDisk_*	✅
paperclip-nsg	✅

⚠️ 磁盘删除偶有 leasing 未释放，重试一次即可。

6 台南东亚 VM NSG 全景（清理后保留的）

VM：owl / eagle / wolf / 其余 3 台，全 Southeast Asia (Singapore)，共享一个 VNet，Public IP 直接挂 NIC。owl/eagle/wolf 三台 VPN 节点的 NIC 没绑 NSG，靠子网 NSG 控访问。该全景图见原 ottor/tiger 5-06 raw。

详见 paperclip-agent-platform 标 deprecated（VM 删除后实体停用）。