当前位置: 首页 > Microsoft Azure > 正文

在Azure China中部署FTPs文件服务

在当今时代,越来越多的企业选择部署文档管理系统,作为企业级文件服务器,因为它不仅可以上传下载文件数据,还可以直接在浏览器中设置不同的权限,例如”只读”、”修改″”修改但不能打印”等等一系列满足不同需求的策略。但是在很多时候我们依然需要借助FTP服务器实现文件数据的上传下载。

因此今天主要给大家演示如何在Microsoft Azure China中部署FTPs服务。在演示之前,首先需要明确以下几个概念

FTP(File Transfer Protocol):是一种常用的文件传输协议,在日常工作中被使用的做多。

不过,FTP 协议使用明文传输。如果文件传输发生在公网,会将所有密码凭据、操作指令,以及传输的文件内容,都以明文的方式暴露出来,特别是在公有云广泛应用的今天,这种传输方式对数据安全有极大的隐患。因此FTPS 和SFTP出现了。虽然这两种传输方式都基于 FTP,而且名字非常相近。即便它们的目的都是为了使文件传输更安全,它们的实现原理也有很大的差别。

FTPS全称是File Transfer Protocol over SSL。SSL是一个用来在安全连接中对数据进行加密和解密的协议。FTPS使用 SSL 来加密、解密所有的数据连接,所以它的安全性比明文传输的FTP协议要高很多。

SFTP全称是Secure File Transfer Protocol,是SSH内嵌的协议。它借助 Linux/Unix 的SSH协议来加密文件传输过程。使用SFTP时,不需要启动FTP 服务,只要在SSHD中开启了SFTP的相关配置,并启动SSHD服务即可运行。

首先使用您的有效账户登陆Microsoft Azure China,并创建一台Windows Server VM。

其中需要注意的是,在创建VM的向导中,将服务器”SH-File-01″的公网IP地址设置为静态IP,这样可以确保虚拟机重启后,IP地址不会改变。在后面的步骤里,这个IP还需要配置到FTPS服务的防火墙中。如果因重启而改变了, 会导致FTPS服务无法访问。




“SH-File-01″创建完成后,使用远程桌面连接登录到这台虚拟机。在服务器角色配置中选择Web Server ( IIS )。


在IIS的角色服务配置中选择FTP Server,并确保选中了FTP Service


确认安装,并等待安装完成


在Windows Server IIS配置管理器中配置FTP防火墙规则


双击”FTP Firewall Support“,打开全局FTP防火墙配置。在数据通道端口范围中,填入”50000-50004“。这些端口将在FTP被动连接中用来传输数据。另外,将虚拟机的公共IP地址填入外部IP地址框内。完成后,点击右侧的”Apply“。弹出的对话中不用理会,直接点击”OK“即可。




由于此为演示测试环境,这里使用自签名证书,企业实际生产环境中建议购买公网第三方授权认证的证书。

在Windows Server IIS配置管理器中创建自签名证书



在弹出的创建证书窗口中,输入证书的名字,然后点击 OK。创建好后能在窗口中看到刚创建的自签名证书。



在Windows Server IIS配置管理器中,右键Site名称,选择” Add FTP Site…


在” Add FTP Site…向导中,为FTP站点起个名字,并选择物理路径。这里需要注意的是:一是不要将 FTP 目录放置在D盘。因为D盘是临时盘,机器重启或者VM故障转移后,里面的文件会被全部移除。二是所选的路径需要对 FTP 账号开放读写权限。


Binding and SSL Settings“向导页面,在SSL Certificate的下拉菜单中,选中刚才创建的自签名证书。


Authentication and Authorization Information“向导页面,Authentication选择 Basic这样可以使用用户名和密码来登录。Authorization中,Allow access to 选择All users, Permissions 选择 Read 和” Write完成后点击” Finish


在”cmd”命令提示符中重启FTP服务,或者在”services”中重启FTP服务


FTPs环境准备好了,我们需要配置Azure NSG以便可以让用户公网访问

回到Azure门户页面,找到”SH-File-01″对应的网络安全组,然后为FTP服务所需的端口添加对应的入站安全规则。这里需要添加的有两个规则。一是FTP控制命令所需的TCP 21端口,二是之前在虚拟机中,为FTP服务添加的数据通道端口,TCP 50000至50004。



以上,FTPs就已经部署完成,下一步就可以使用客户端来实现对 FTPS 服务的访问了。需要说明的是,使IIS管理器创建的自签名证书,与FileZilla Client 3.24 不兼容。所以如果您要使用FileZilla Client,可以使用低一点的版本,或者别的 FTP 客户端,例如 Flash FXP或者系统自带的。


因此下载低版本以便测试



传输设置标签下,选择”被动”传输模式




这里简单总结一下部署过程中相关注意事项:

  • 设置Azure虚拟机为静态公共 IP;
  • FTP 服务防火墙中配置被动模式的数据端口;
  • Azure网络安全组(NSG)创建对应的入站规则,例如21;
  • FTP 客户端使用被动模式传输数据

本文固定链接: http://365vcloud.net/2018/04/02/deploying-ftps-file-services-in-azure-china/ | Eric的学习之路

该日志由 TingXu 于2018年04月02日发表在 Microsoft Azure 分类下, 你可以发表评论,并在保留原文地址及作者的情况下引用到你的网站或博客。
原创文章转载请注明: 在Azure China中部署FTPs文件服务 | Eric的学习之路
关键字: