FTP是个比较复杂的协议，其协议分为控制层和数据层，工作模式分为主动和被动两种模式。

在默认的Active模式下其工作原理如下：

可以看到，客户端发起FTP的请求道服务器端，FTP的端口是21。用户在控制层面通过认证后，会通知服务器其开放的随机端口号。随后服务器端将主动发起源端口为TCP 20目标端口为TCP 随机端口号的连接请求，进行数据连接。

在一般情况下，FTP的服务器和客户端都是在防火墙之后的，服务器端的防火墙要明确配置此服务器要对外提供哪些服务的端口，客户端的防火墙要求必须是客户端主动发起连接的TCP 连接才会通过。

因为数据连接是服务器端首先发起，如果FTP客户端在防火墙之后，防火墙会中断此数据连接，导致FTP可以登录，但不能传输数据。

被动模式的工作原理如下：

为解决客户端在防火墙后，FTP不能正常工作的情况，可以选择FTP的被动模式。其在控制层面的过程和主动模式相似，但在用户认证通过，客户端进入PASV模式后，服务器端会根据事先的配置，随机选择特定范围的TCP端口作为数据传输的端口，并开放这个端口等待用户数据的传输，同时并把这个信息发送给客户端，客户端会通过这个端口发起数据传输的请求。当FTP服务器的数据返回给客户端时，客户端前面的防火墙发现此TCP连接是客户端发起的TCP连接，所以服务器的数据会顺利的穿过防火墙，实现数据传输。

所以为能让所有的客户端能够访问FTP服务器，一般情况下，FTP服务器会同时支持主动模式和被动模式。

在Azure环境下，VM的endpoint相当于FTP 服务器前端的防火墙，需要在endpoint上打开所有可能的控制层面和数据层面的端口。所以：TCP 21（控制层面端口）、TCP 20（主动模式数据端口）、多个TCP端口（被动模式的数据端口）都要在endpoint上打开。

另外VM本身的防火墙也要做相应的设置，开放上述端口。

下面将通过安装vsftp为案例，在Azure上部署FTP服务。

共有三个部分：1. 安装vsftp， 2. 设置VM的endpoint ，3. 设置VM的防火墙，之后就可以测试了。

1.安装vsftp

yum install –y vsftpd

更改vsftpd的配置文件：

Vim /etc/vsftpd/vsftpd.conf

添加以下内容：

pasv_enable=YES

pasv_min_port=1120

pasv_max_port=1121

这三行表示:开启被动模式，其数据传输随机端口为1120-1121。

保存后启动vsftpd服务。

2.配置VM的endpoint

可以看到开放了FTP的控制层面端口：21，开放了FTP主动模式的数据端口:20，开放了FTP被动模式的数据端口（此端口是配置文件里配置的）：1120、1121。

3.配置VM的防火墙

简化配置，关闭iptables：

iptables –F

service iptables save

至此配置都结束了。测试：

C:\Users\hengz>ftp hwcentos65.chinacloudapp.cn

Connected to hwcentos65.chinacloudapp.cn.

220 (vsFTPd 2.2.2)

200 Always in UTF8 mode.

User (hwcentos65.chinacloudapp.cn:(none)): anonymous

331 Please specify the password.

Password:

230 Login successful.

ftp> ls

200 PORT command successful. Consider using PASV.

150 Here comes the directory listing.

pub

226 Directory send OK.

ftp: 8 bytes received in 0.01Seconds 0.67Kbytes/sec.

可以成功显示内容。