🔮 Dora's Wiki

Azure VM 管理

5分钟阅读

概述

Azure VM 管理(170条消息)涵盖了多个 Azure 订阅下虚拟机的创建、维护、费用控制和容器注册表管理。包括韩国、瑞典等多区域 VM 部署,以及 ACR(Azure Container Registry)的镜像管理。

关键事件

  • 2026-03-03: 查询现有 VM 列表,切换 Azure 订阅
  • 2026-03-07: 配置 externalacr.azurecr.io 容器注册表,推送 caddy:2-alpine 镜像
  • 2026-03-10: 发现订阅费用超标被禁用,切换到备用订阅
  • 2026-03-10: 获取 Azure CLI 登录码和地址进行重新认证
  • 2026-03-12: ICM 安全事件——9个端点高风险端口暴露(详见下方)
  • 2026-03-15: 在韩国区域创建新服务器;盘点全部 13 台 VM
  • 2026-03-15: 将 transparent-n3 VM 重建为 mattermost-server(保留磁盘+网卡)
  • 2026-03-19: giraffe 修复 claw-runtime 和 owl 双层 NSG 问题(子网级 NSG 拦截入站流量)
  • 2026-03-21: 部署 Supabase 需要 Anon/Service Key
  • 2026-04-02: 启用被暂停的订阅,处理费用超标问题

Quokka 运维事件

  • 2026-03-18: quokka 全量 21 台机器信息采集(全球+中国区),生成 HTML 仪表盘;批量 SSH 密钥下发
  • 2026-03-19: claw-runtime 从韩国迁移至新加坡 (wolfVNET → vnet-southeastasia);非代理节点统一到 172.16.0.0/24 子网
  • 2026-03-23: eagle 因 Microsoft Defender 安装挤爆 3.8G 内存导致 SSH 不响应;升级为 D2ads_v5 (7.7G)
  • 2026-03-28: proxy-hydra/jaguar/bison 被 Azure 费用管控自动关机;批量打 CostControl: Ignore + SecurityControl: Ignore 标签后全部开机

技术要点

  • 容器注册表: externalacr.azurecr.io(用于存储 Docker 镜像)
  • 多订阅管理: 需要在不同订阅间切换,费用超标会自动暂停
  • 域名: tiger-host.chinanorth3.cloudapp.chinacloudapi.cn
  • Azure CLI: 使用 az login 进行认证,需要设备码登录

经验教训

  • Azure 订阅费用超标会自动禁用,需要提前监控
  • 切换订阅时确保 CLI 登录状态有效
  • 容器注册表凭据(username/password)需要安全存储
  • VM 部署前先确认目标区域的可用性和配额
  • 双层 NSG 陷阱: Azure VM 可能同时绑定网卡级 NSG 和子网级 NSG,入站流量必须两层都放行。子网级 NSG 默认 DenyAllInBound,即使网卡级 NSG 放行了端口也会被拦截。使用 az network watcher test-ip-flow 验证。

双层 NSG 案例(2026-03-19)

服务器NIC 级 NSG子网级 NSG修复
claw-runtime (20.214.152.42)claw-runtimeNSG ✅proxy-krVNET-…-koreacentral ❌加 Allow18822/Allow80443 规则
owl (4.193.115.141)owl-nsg ✅wolfVNET-…-southeastasia ❌加 Allow18822/AllowWeb 规则
  • 中国区远程运维: quokka 通过 az vm run-command 远程管理 Azure China VM(海外直连 SSH 被 DPI 拦截)
  • 费用管控标签: 给所有 VM 打 CostControl: Ignore / SecurityControl: Ignore 防止自动关机

相关主题

ICM 安全事件:高风险端口暴露(2026-03-12)

以下信息来源于 work_assistant 的 Mattermost DM 聊天记录。

事件类型: Internet Exposed Endpoint(Sev 2) 服务: liwei_mcservice 订阅: Windows Azure 内部消耗 (6630b017…) 云环境: Mooncake (NonProd)

9 个端点暴露在公网:

资源组主机端口协议公网 IP
mc_rgtransparent-n318822SSH159.27.48.25
rg-openclawwukong-hostvmnic18822SSH159.27.81.108
rg-media-eastpve2-nic389LDAP52.130.194.239
rg-openclawotter-hostvmnic18822SSH163.228.235.115
rg-openclawtiger-hostvmnic18822SSH159.27.228.117
rg-htsc-k8sdocker-runtime5418822SSH163.228.88.0
rg-media-northdify-host22718822SSH159.27.57.19
mc_rgvnet-chinaeast2-118822SSH163.228.142.105
devopsdev-ubuntu-host2318822SSH143.64.214.139

修复措施:

  1. 8 个 SSH NSG 规则限制源 IP 为 4.194.153.244
  2. LDAP 389 已确认关闭
  3. 4 条 NSG 规则优先级从 100-119 调整到 200(满足 Simply Secure 要求)

VM 清单(2026-03-15 盘点)

名称资源组区域规格状态公网 IP
TB001APPRGchinanorthB1s❌ 已停止
tp-03MC_RGchinaeast2B1ms✅ 运行163.228.142.105
PVE2RG-MEDIA-EASTchinaeast2F8s_v2✅ 运行52.130.194.239
dev-ubuntu-hostDEVOPSchinanorth3D4as_v5✅ 运行143.64.214.139
fw-n2MC_RGchinanorth3B1s✅ 运行40.162.94.187
jumper-n3MC_RGchinanorth3B1s❌ 已停止40.162.90.17
transparent-n3MC_RGchinanorth3B2s✅ 运行159.27.48.25
docker-runtimeRG-HTSC-K8Schinanorth3B2ms✅ 运行163.228.88.0
HTSCGreenplumRG-HTSC-K8Schinanorth3B2s✅ 运行40.162.16.210
dify-hostRG-MEDIA-NORTHchinanorth3B2ms✅ 运行159.27.57.19
otter-hostRG-OPENCLAWchinanorth3B2s✅ 运行163.228.235.115
tiger-hostRG-OPENCLAWchinanorth3B2s✅ 运行159.27.228.117
wukong-hostRG-OPENCLAWchinanorth3B2s✅ 运行159.27.81.108

VM 用途说明

机器主要用途
otter-host代理测试 + 闲置 OpenClaw(sing-box/naiveproxy)
transparent-n3 → mattermost-servernaiveproxy 代理节点 → 迁移为 Mattermost 服务器

PackHorizon VM 创建

以下信息来源于 bnef 的 Mattermost DM 聊天记录(2026-03-24)。

BNEF Bot 通过 az CLI 在东亚区创建了 PackHorizon VM:

属性
VM 名称PackHorizon
规格Standard_B2als_v2
区域东亚 (East Asia)
IP20.255.98.226
SSH 端口18822
开放端口80, 443, 18822
订阅ME-MngEnvMCAP301562-liwei-1
TenantContoso

配置了 Nginx + PM2 运行环境,Let’s Encrypt SSL 证书(域名 pack.restry.cn),以及 GitHub Webhook 自动部署。

关系图谱

反向链接