文章目录
- 如何学习
- 最近准备考AZ900考试,找了一圈文档,结果发现看那么多文档,不如直接看官方的教程https://learn.microsoft.com/zh-cn/certifications/exams/az-900/ ,简单直接,突然想到纳瓦尔宝典中提到多花时间进行思考自己应该做哪些事情,自己花费99%的时间,可能都对结果没有影响。,模拟考试参加官网的模拟考试就好,以下是自己模拟考试的结果,重新刷了以下官方的教程,终于刷到了比较安全的分数。 ![在这](https://img-blog.csdnimg.cn/4ba7ad0fc85d43b1a496b80d277d1ed9.png)![在这里插入图片描述](https://img-blog.csdnimg.cn/ed454e370dc04274a203280aaa79e648.png)
- 云服务的概念
- 云服务模型
- 云服务类型
- 消费的模型
- 云服务的好处
- 可靠性和可预测性的优势
- 云中的管理
- Azure 体系结构和服务
- 核心结构组件
- 物理基础结构
- 组件
- Azure计算和网络服务
- Azure 存储服务
- 身份认证
- AD
- 身份认证
- Azure 管理和治理
- 成本管理
- 治理合规性的功能和工具
- 管理和部署Azure资源的功能和工具
- 监视工具
- 其他概念
如何学习
最近准备考AZ900考试,找了一圈文档,结果发现看那么多文档,不如直接看官方的教程https://learn.microsoft.com/zh-cn/certifications/exams/az-900/ ,简单直接,突然想到纳瓦尔宝典中提到多花时间进行思考自己应该做哪些事情,自己花费99%的时间,可能都对结果没有影响。,模拟考试参加官网的模拟考试就好,以下是自己模拟考试的结果,重新刷了以下官方的教程,终于刷到了比较安全的分数。
今天参加了考试,险些没过,考试的时候发现自己参加模拟考试的题目和官网上练习的题目完全不一样,知识点覆盖率大概相同,但是真是考试的题目考的很细,更多的是自己的理解,所以有条件的可以多实操几遍官方的练习,可能上淘宝买的题目也有些用。
下面说下考试流程,
- 考试通过官网的pearsonvue直接预约就可以了。如果没有办法预约,可以拨打pearsonvue的中国区的客服电话进行线上预约,官方网址:https://www.pearsonvue.com.cn/Test-takers/Customer-service.aspx
- 预约报名后,邮件会发送发票,值得注意的是,国外是没有像中国这样有公司抬头的发票,但是我咨询过公司的人事,这样也可以报销。
- 预约的时候可以选择多个考点,就近选择即可,有的考点全天时段都可以提供考试
- 约好考场后直接到地方考试就可以了,我去的考场,如果去早了也可以直接考试
- 考试大概有65分钟。考试前和考试后都会有一些调查,实际考试时间可能40分钟左右,考试前会有个调查,调查自己知识的熟悉程度,有5个选项,我选择的是中等。考试后的调查是调查自己对整体考试的体验情况。
- 考试过程中可以有一次break。屏幕上会有一个暂停按钮,点击暂停按钮即可
- 实际考试过程中,他下载题目的速度其实是比较慢的,可能需要等几十秒钟才能切换到下一个题目
- 考试通过,当场就可以发送考试成绩单,大概两个小时后会邮件会收到微软公布的成绩单
云服务的概念
云服务模型
-
公有云是一种云计算模型,提供基于互联网的计算资源和服务,可以由任何人通过网络访问。它的特点是资源共享、按需获取、弹性扩展和按使用量付费。Azure是一个公有云平台,提供广泛的云服务,包括计算、存储、网络、数据库、人工智能等。
-
私有云是一种云计算模型,构建在私有网络中,由特定组织独占使用。私有云的特点是资源独占、安全性高和更多的自定义控制。企业可以在私有云中部署应用程序和服务,并且完全控制和管理这些资源。Azure提供Azure Stack的解决方案,它可以在本地数据中心中构建和管理与Azure相同的服务和工具,为企业提供私有云的能力。
-
混合云是将公有云和私有云结合使用的云计算模型。企业可以使用公有云提供高度可扩展和弹性的资源,但对于敏感数据和应用程序,也可以使用私有云进行更加安全和自定义的管理。Azure提供Azure Arc的解决方案,它可以扩展Azure的管理和服务到客户的数据中心、多个云提供商或边缘设备,构建跨多云和边缘的混合云环境。
举例来说,一个软件公司可以使用Azure的公有云服务来托管他们的网站和应用程序,从而获得弹性扩展和按需付费的好处。然而,他们可能有一些敏感的数据库或应用程序需要更高的安全性,这时他们可以搭建一个私有云来处理这些敏感的工作负载。另外,他们还可以使用混合云来将公有云和私有云集成起来,实现跨多个云环境的统一管理和运营。
云服务类型
-
IaaS (Infrastructure as a Service):IaaS是云计算中的一种服务模型,它提供了基础架构的虚拟化资源,包括虚拟机、存储、网络等,让用户可以在云端构建和管理自己的应用。用户可以完全控制操作系统、应用程序和相关组件,云服务提供商负责维护硬件和基础设施。在Azure中,虚拟机是IaaS服务的典型实例,用户可以通过Azure门户或Azure CLI创建和管理虚拟机、存储和网络等资源。
-
PaaS (Platform as a Service):PaaS是一种云计算服务模型,它提供了一个完整的应用程序开发和部署平台,用户可以利用该平台快速构建、部署和扩展他们的应用程序,而无需担心底层基础设施的管理。PaaS服务通常包含了操作系统、开发工具、数据库和应用程序服务器等,开发人员可以专注于应用程序的逻辑,而不用关注底层的复杂性。Azure App Service是Azure中的PaaS服务,它为多种编程语言和框架提供了一种快速构建Web、移动和企业级应用程序的方法。SQL Database使用的也是Paas类型。
-
SaaS (Software as a Service):SaaS是一种云计算模型,提供给用户通过互联网访问的应用程序,而无需安装和维护软件。SaaS应用程序通常由云服务提供商托管,用户可以通过订阅或按需购买,以服务的形式使用,典型的例子包括Web邮件、在线办公套件和客户关系管理软件等。在Azure中,Office 365是一种常见的SaaS应用程序,用户可以通过浏览器访问和使用办公应用程序和服务,例如Word、Excel和Outlook等。
总结:
- IaaS提供基础架构的虚拟化资源,例如Azure虚拟机,虚拟网络。
- PaaS提供完整的应用程序开发和部署平台,例如Azure App Service,数据库。
- SaaS提供通过互联网访问的应用程序,例如Office 365。
消费的模型
-
资本支出 (CapEx) 是指购买用于部署和运行Azure云服务所需的硬件设备、服务器、网络设备等基础设施的成本。在资本支出模型下,组织需要预先投入大量资金来购买设备,并承担设备的维护、更新和维修等费用。这种模型适合于那些有较高IT经验和资源的组织,可以通过自己拥有和管理基础设施来定制和控制云服务。
-
运营支出 (OpEx) 是指使用Azure云服务时所需支付的实际消费费用。在运营支出模型下,组织仅需根据实际使用情况支付云服务的费用,无需预先投入大量资金购买基础设施。这种模型适合于那些希望灵活调整资源和服务使用量的组织,可以根据需求实时增加或减少云资源,以适应业务的变化。
云服务的好处
-
高可用性:Azure云服务通过多个数据中心和区域提供高可用性,确保应用程序在遇到单点故障时仍可正常运行。它提供失败转移、容错和备份等功能,可以确保应用程序的连续性和稳定性。
-
可伸缩性:Azure云服务可以根据需求弹性地伸缩。它可以自动调整资源以适应流量的增加或减少,将计算、存储和网络资源分配给应用程序。这样可以避免资源浪费,并确保应用程序的性能和可用性。
-
垂直缩放:Azure云服务允许通过增加单个资源的容量来进行垂直缩放。例如,可以通过升级虚拟机的硬件配置来增加其计算能力。这样可以提高应用程序的性能和响应能力,以满足不断增长的需求。
-
水平扩展:Azure云服务通过在多个实例之间分配负载来进行水平扩展。它可以根据负载自动增加或减少实例数量,以满足应用程序的需求。这样可以提高应用程序的伸缩性和可扩展性。
可靠性和可预测性的优势
-
Azure的可靠性是指其系统的稳定性和可靠性。Azure通过全球部署和多个数据中心提供高可用性,以确保您的应用程序始终可用。Azure的数据中心和网络受到严格的物理和网络安全措施保护,以防止任何潜在的故障或网络攻击。此外,Azure还提供了数据冗余和灾难恢复选项,以确保数据的持久性和持续性。
-
Azure的可预测性指的是其提供的服务在性能、可伸缩性和一致性方面的可预测性。Azure使用自动扩展和负载平衡技术来动态分配资源,以满足应用程序的需求,并提供一致的性能。Azure还提供了一系列监控和诊断工具,帮助您实时监控应用程序的性能,并进行问题诊断和优化。
-
在性能方面,Azure的全球网络覆盖范围广泛,具有高速和低延迟的传输能力。Azure还提供了一种称为Azure CDN(内容分发网络)的服务,可以加速全球内容传输,提供更快的访问速度。此外,Azure还提供了各种虚拟机实例、存储选项和数据库服务,以满足各种性能需求。
-
在成本方面,Azure采用了按需计费模型,即您只需根据实际使用量支付费用。Azure还提供了一些成本优化工具和功能,如可伸缩性、资源自动化和成本管理工具,帮助您降低成本并优化资源使用。
云中的管理
-
Web门户:Azure提供了一个易于使用的Web门户,可以通过浏览器访问。您可以使用此门户来管理Azure资源、部署和监视应用程序、设置安全性和访问控制,以及查看使用情况报告和分析数据。
-
命令行接口(CLI):Azure CLI是一个跨平台的命令行工具,可让您通过命令行界面与Azure进行交互。您可以使用CLI来管理Azure资源、创建和配置虚拟机、管理存储和网络,以及执行其他管理任务。
-
API:Azure提供了一组丰富的REST API和SDK,用于与Azure进行集成和扩展。使用这些API,您可以编写代码来自动化Azure资源的管理、监视和部署,以及与其他系统进行集成。
-
PowerShell:Azure PowerShell是一个强大的脚本管理工具,可以与Azure进行交互。您可以使用PowerShell来管理和配置Azure资源、部署应用程序和服务、设置安全性和访问控制,以及分析和报告数据。
Azure 体系结构和服务
核心结构组件
物理基础结构
-
区域(Regions):Azure 的基础设施分布在全球各地的数据中心中,每个数据中心被称为一个区域。Azure 目前拥有多个区域,例如东美、东亚、欧洲等,可以根据需求选择合适的区域来部署应用程序和数据,
-
可用性区域(Availability Zones):每个区域都可以划分为一个或多个可用性区域,每个可用性区域都是一个独立的物理位置,具有电力、网络和冷却资源的独立供应。通过在不同的可用性区域中部署资源,可以实现高可用性和容错性,主要针对虚拟机、托管磁盘、负载均衡器和SQL数据库。
-
区域对(Region Pairs):Azure 的区域通常会成对出现,例如东美和西美、东亚和东南亚等。每个区域对之间距离较远,可以提供更高级别的灾难恢复能力。如果一个区域发生故障,可以通过将资源迁移到另一个区域来实现业务连续性。每个Azure区域总是与**同一地理区域(geography)**内的另一个区域配对,例如美国、欧洲或亚洲,距离至少300英里。
-
主权区域(Sovereign Regions):Azure 还提供特定国家或地理区域的主权区域,用于满足特殊的合规性和安全性要求。例如,Azure 中国由中国区和中国东部区组成,这些区域受到中国政府的监管和审核。
组件
-
Azure 资源和资源组:Azure 上的所有服务和功能都是以资源的形式存在。资源可以是虚拟机、存储帐户、数据库、Web 应用程序等。资源通常会被组织到资源组中,资源组是一个逻辑容器,用于管理和组织相关的资源。
-
Azure 订阅:Azure 订阅是访问和使用 Azure 服务的凭据,可以用于创建和管理云资源。每个订阅都有自己的身份验证凭据和访问权限,可以在其中创建和组织资源。企业可以拥有多个订阅,以满足不同部门或项目的需求。
-
Azure 管理组(Management Groups):Azure 管理组是一种层次结构,可用于对 Azure 资源进行层次化的组织和管理。管理组可以帮助实现跨订阅的权限继承和策略应用,使得在大规模和复杂的环境中更轻松地管理资源。
Azure计算和网络服务
-
虚拟机规模集(Virtual Machine Scale Sets)是一组自动扩展的虚拟机实例,可以根据需要自动增加或减少实例数量,是一种Azure计算资源,您可以使用它来部署、管理和扩展一组相同的虚拟机。
-
虚拟机可用性集(Virtual Machine Availability Sets)是为了提高虚拟机的可用性而设计的,它将虚拟机分布在不同的更新域和容错域中,以防止单点故障。
-
Azure容器(Azure Container Instances)是一个无需配置和管理虚拟机的云平台,可方便地运行和托管容器化应用程序。
-
Azure Container Apps是一个完全托管的容器化应用程序平台,提供了自动扩展、监视和管理容器应用程序的功能。
-
Azure Kubernetes服务(Azure Kubernetes Service)是一个用于管理容器化应用程序的开源容器编排引擎。
-
-
Azure Functions是一种无需设置或管理服务器即可运行代码的服务器端lserveress计算服务。
-
Azure应用服务(Azure App Service)是一个用于构建、部署和扩展Web、移动和API应用程序的完全托管的云平台。
-
Azure虚拟网络(Azure Virtual Network)提供了隔离和细分的网络环境,使用户可以在其云环境中创建虚拟网络和子网。
-
隔离和细分:Azure虚拟网络可以帮助用户将Azure中的资源划分为逻辑上独立的网络环境,每个虚拟网络都有自己的IP地址范围和子网。这样可以隔离不同的资源,并为其提供独立的网络接口和安全策略。
-
Internet通信:Azure虚拟网络可以与Internet进行通信,允许虚拟机和其他Azure资源与Internet上的其他计算机和服务进行交互。通过配置网络安全组和网络地址转换(NAT)规则,可以控制虚拟网络与Internet之间的通信。
-
Azure资源之间的通信:虚拟网络可以帮助Azure中不同的资源进行通信,例如虚拟机、云服务和容器实例等。只要这些资源位于同一个虚拟网络中,它们就可以通过内部IP地址进行相互访问。可以通过网络安全组规则来限制资源之间的通信。
-
与本地资源通信:Azure虚拟网络可以建立与本地数据中心或其他远程位置的连接,实现本地资源与Azure中的资源之间的通信。通过使用VPN网关或Azure ExpressRoute等功能,可以建立安全的混合云网络。
-
路由网络流量:Azure虚拟网络使用路由表来指定网络流量的路径。用户可以自定义路由表,以便将流量引导到特定的目标。这样可以根据需要选择最佳路径,并实现对流量的控制。
-
筛选网络流量:通过网络安全组(NSG),可以在虚拟网络中定义入站和出站流量的安全规则。这些规则可以指定允许或禁止特定来源或目标、端口和协议的流量,从而加强网络的安全性。
-
连接虚拟网络:Azure虚拟网络支持多种连接方式,包括点对站(Point-to-Site)、站到站(Site-to-Site)和VNet到VNet连接。这样可以在不同的资源和位置之间建立安全的连接,以实现跨网络的通信和合作。
-
-
Azure虚拟专用网(Azure Virtual WAN)是一个托管的软件定义的广域网服务,可轻松连接多个分支机构和数据中心。
-
Azure 虚拟专用网 (VPN) 是一种用于在 Azure 云和本地数据中心之间建立安全连接的服务。它为用户提供了一种灵活的方式来扩展本地网络和 Azure 虚拟网络之间的通信能力,并确保数据在传输过程中的安全性。
-
VPN 网关是 Azure 中负责处理 VPN 连接的服务。它位于 Azure 虚拟网络中,可以连接到本地网络、其他 Azure 虚拟网络或者互联网。VPN 网关可以使用多种连接类型,包括站点到站点 VPN、点对站点 VPN 和 VNet 到 VNet 连接。
-
在 Azure 中,高可用性方案通常采用主动/备用或主动/主动架构。主动/备用架构中,一个 VPN 网关充当主要网关,而另一个 VPN 网关则作为备用网关。在主动/主动架构中,两个 VPN 网关都处于活动状态,可以同时处理 VPN 连接请求。这种配置可以提高可用性和负载均衡性。
-
ExpressRoute 故障转移是一种 Azure 提供的功能,用于确保连接到 Azure 的 ExpressRoute 线路具有高可用性。它基于 BGP (边界网关协议) 自动将流量从主要线路转移到备用线路,并确保数据传输的连续性。
-
区域冗余网关 (Zone-redundant gateway) 是一种 Azure 提供的功能,用于提高 VPN 网关的可靠性。它通过在不同的 Azure 区域中设置多个 VPN 网关实例,以提供冗余和故障转移能力。当一个区域中的 VPN 网关发生故障时,流量将自动切换到另一个区域中的 VPN 网关,以确保业务的连续性。
-
ExpressRoute是一种通过专用连接将本地网络与Azure网络连接起来的服务,提供了高带宽、低延迟的连接。
- Azure DNS:是一种托管的域名系统服务,用于解析域名和将其映射到IP地址。
- 服务终结点: 用于将Azure服务暴露给虚拟网络,从而提供两者之间的通信。ExpressRoute用于连接本地网络到Azure。NSGs允许您为虚拟网络和虚拟机配置入站和出站规则。Peering允许您将虚拟网络连接在一起。
- 服务端点用于将Azure服务暴露给虚拟网络,提供两者之间的通信。
Azure 存储服务
-
Azure 存储帐户是在Azure中创建和管理存储资源的主要方式。它为您的存储提供唯一的命名空间,同时还提供了访问控制和网络安全等功能。
-
Azure 存储冗余是指Azure存储服务提供的数据冗余和可用性功能。它有几个级别的冗余选项,包括本地冗余存储、区域冗余存储、次要区域中的冗余和异地冗余存储。异地冗余存储 (GRS) 和异地区域冗余存储 (GZRS) 是最高级别的冗余选项,它们都提供了16个9的持久性,即数据几乎不会丢失。
-
Azure 存储服务包括多个存储选项,以满足不同的需求和用例:
-
Azure Blob:适用于存储文本和二进制数据的可大规模扩展的对象存储(无结构性的文件),用于存储数千个包含文本和图像的文件。它还支持通过Data Lake Storage Gen2进行大数据分析,提供了热、冷、寒和存档访问层级,根据数据的访问频率和存储时间来优化存储成本。Blob存储具有低存储成本和无限的文件格式,使其成为存储备份和档案的好地方。可以通过使用互联网连接从任何地方访问Blob存储。Azure磁盘存储为Azure虚拟机提供磁盘。Azure文件支持挂载文件存储共享。
-
热访问层是Azure Blob存储中的一种优化层,用于存储经常被访问的数据,比如网站图像。这些数据可以快速地读取和写入。
-
冷访问层是Azure Blob存储中的另一种优化层,用于存储不经常被访问且至少存储了30天的数据,比如客户发票。这些数据虽然不常被访问,但在需要时仍可以进行读取和写入。
-
寒访问层是Azure Blob存储中的优化层之一,用于存储不经常被访问且至少存储了90天的数据。这些数据可以被存储和检索,但由于低访问频率,成本相对较低。
-
存档访问层是Azure Blob存储中的最低优化层,用于存储极少访问、至少存储了180天且具有较低延迟要求的数据,例如长期备份。这些数据虽然访问频率很低,但可以长期保存,并在需要时进行检索。
-
-
Azure 文件:提供了在云端或本地部署的托管文件共享。可通过行业标准的SMB协议或NFS协议进行访问,用于共享数据和文件存储。
-
SMB代表Server Message Block,它是一种用于在计算机之间共享文件、打印机和其他资源的网络协议。SMB协议通常与Windows操作系统一起使用,它允许多台计算机通过局域网或广域网互相共享文件和资源。在Azure文件中,可以使用SMB协议来访问和共享存储的文件和数据。
4. Azure 队列:用于可靠地在应用程序组件之间发送和接收消息的消息存储。5. Azure 磁盘:提供了将块级存储卷附加到Azure虚拟机的能力,用于持久存储和高性能计算。6. Azure 表:一种NoSQL表选项,适用于存储结构化的非关系型数据,具有高扩展性和低延迟。
-
Azure 数据迁移选项
-
Azure Migrate 是一项用于简化移动本地服务器到 Azure 的工具。它提供了一个统一的中央控制台,可以收集、评估和迁移本地服务器或虚拟机到 Azure。Azure Migrate 可以自动检测本地服务器的配置、性能和依赖关系,并为每个服务器提供最佳迁移建议。它还可以提供实时迁移状态和性能监视。
-
Azure Data Box 是一种提供离线数据迁移服务的物理设备。它可以以高速将大量数据直接从本地移动到 Azure 存储中。用户只需将要迁移的数据复制到 Azure Data Box 上,然后将设备邮寄给 Azure 团队,他们将帮助将数据加载到 Azure 存储中。
-
-
Azure 文件移动选项
-
AzCopy 是一个命令行工具,用于将本地文件和目录复制到 Azure Blob 存储、Azure 文件存储或 Azure Data Lake Storage 中。它支持高性能的并行复制和断点续传功能,可轻松处理大量数据。
-
Azure 存储资源管理器是一个基于 Web 的工具,可以直接在浏览器中管理和操作 Azure 存储。用户可以使用它浏览、上传、下载和删除 Azure Blob 存储和文件存储中的数据,还可以对其进行重命名、复制、移动和共享操作。
-
身份认证
AD
-
Azure Active Directory(Azure AD)是微软推出的云端身份验证和授权服务,是Azure云服务的一部分。它与传统的AD类似,但提供了更多的云集成功能。Azure AD可以作为云端的身份提供者,用于管理和授权Azure云服务、Office 365和其他云应用程序的用户。
-
Azure AD Connect是一种工具,用于将本地的AD与Azure AD进行同步。通过Azure AD Connect,管理员可以将本地的AD用户、组和权限同步到Azure AD,从而实现本地和云端用户的一致性。这样,用户可以在本地和云端使用相同的凭据登录,无需另外维护账户。
-
Azure AD DS(Azure Active Directory Domain Services)是一项服务,提供了Azure云中的托管域服务。它可以将Azure AD与传统的AD结合起来,使云端的应用程序可以使用传统的AD身份验证和授权机制。Azure AD DS还提供了用于管理和保护云中Windows虚拟机的能力。
-
信息同步是指将不同系统或平台之间的数据进行同步,使它们保持一致。在上述的内容中,Azure AD Connect可以实现本地AD与Azure AD的信息同步,确保两者之间的用户、组和权限数据保持一致。这样,无论是本地环境还是云端环境,用户都可以享受到一致的身份验证和授权服务。
身份认证
- SSO(单点登录):SSO是一种身份认证机制,允许用户使用一组凭据(如用户名和密码)登录到一个应用程序,然后可以自动访问其他受信任的应用程序而无需重新进行身份验证。
- 多重身份验证(MFA):多重身份验证是一种增强的身份验证方法,要求用户在登录过程中提供两个或更多不同类型的验证因素,以提高账户安全性。
- Conditional Access(有条件访问): 是一种基于组织的策略,用于控制用户或设备对特定资源的访问。这个策略确定了在特定条件下,如用户的身份、设备的健康状况、网络的位置等,用户是否被允许访问资源。Conditional Access 通过在用户访问之前进行身份验证和设备验证,确保只有通过验证的用户和设备才能够访问受保护的资源。它还可以按需求自动化应用访问管理和安全准则,提供企业安全性和访问控制的灵活性和可扩展性。
- FIDO2安全密钥:FIDO2安全密钥是一种基于FIDO(快速身份在线验证)标准的设备,可以提供强大的身份验证和密码替代功能。
- 外部标识:外部标识是指在外部服务或应用程序中创建的用于识别和管理用户的唯一标识符。
- 企业对企业(B2B)协作:B2B协作是指两个或多个企业之间建立合作关系,共享资源和信息,以实现共同的目标。
- B2B直连:B2B直连是指通过连接两个或多个企业的网络和系统,实现安全且直接的数据传输和交流。
- Azure AD企业对客户(B2C):Azure AD B2C是一个云身份和访问管理服务,用于支持企业与其客户之间的身份认证和访问控制。
- Azure基于角色的访问控制(RBAC)-Role-Based Access Control :Azure RBAC是一种访问控制机制,允许管理员向用户或组分配角色,以控制其在Azure资源上的操作权限。
- Azure条件访问:Azure条件访问是一种基于策略和条件的访问控制方法,在用户访问特定资源时要求满足预定义的条件,以提供更强的安全性。
- 零信任模型:零信任模型是一种安全策略,不信任内部或外部网络,并要求对所有用户,设备和应用程序进行验证和授权,以保护资源免受安全威胁。
- 深层防御(defense in depth):深层防御是一种综合的安全防护策略,通过在不同层面应用多个安全控制措施,以及实时监测和响应,来保护系统免受各种安全威胁。
- Microsoft Defender for Cloud:Microsoft Defender for Cloud(前身为Microsoft 365 Defender)是一种前沿的云安全解决方案,通过整合多个安全功能和服务,提供全面的威胁防护和安全管理。
Azure 管理和治理
成本管理
-
Azure 成本管理是指通过 Azure 平台提供的工具和功能,帮助企业有效地管理和掌控其在云中的成本和开支。Azure 成本管理提供了多种特性,帮助用户了解和优化其在 Azure 中的消费情况,包括:
-
消费分析:提供详细的消费分析报告,帮助用户了解其在 Azure 上的资源使用情况,以及消费出现的原因和趋势。
-
预算管理:用户可以设置并跟踪 Azure 资源的消费预算,当达到或超过预算时,可以收到警报通知,以便及时调整和优化资源使用。
-
成本预测:通过历史数据和趋势分析,Azure 成本管理可以帮助用户预测其在将来的使用情况,并提供相应的成本估算,使用户能够做好预算规划。
-
资源优化:Azure 成本管理可以通过分析资源的使用情况和性能,提供建议和优化措施,帮助用户减少资源浪费和成本。
-
标记和成本中心:用户可以通过给资源添加标记来更好地管理和跟踪其消费,将消费归属于不同的部门或项目,并在成本中心中生成相应的报告。
-
哪些因素影响成本?
删除或取消分配资源意味着您将不再为其付费。不同的地区可能有不同的价格。资源的成本不受每天的时间或星期的影响。
-
Azure Reservations :Azure预订为某些Azure服务提供折扣价格。与按需付费价格相比,Azure预订可以为您节省高达72%的费用。要获得折扣,您可以预先付款预订服务和资源。在到达消费限额时,消费限额可以暂停订阅。
-
Azure Resource Manager (ARM): ARM是Azure的部署和管理服务。它提供了一个管理层,使您能够在Azure账户中创建、更新和删除资源。
-
Total Cost of Ownership (TCO) Calculator: 总拥有成本(TCO)计算器是帮助用户评估在Azure平台上在部署资源之前的总拥有成本。它考虑了各种因素,包括虚拟机费用、存储费用、网络费用等,并提供了用于对比和优化不同方案的功能。
-
Azure Pricing calculator(Azure 定价计算器)是一款由 Azure 提供的在线工具,旨在帮助用户快速估算和预测使用 Azure 云服务的成本。使用 Azure 定价计算器,用户可以根据自己的需求和使用情况,选择不同的 Azure 服务以及其配置,并预测这些服务的使用量和费用。这可以帮助用户更好地规划和预算项目或业务中的 Azure 云服务使用,并提供更准确的成本估计。
Azure成本管理和Total Cost of Ownership(TCO)计算器以及Azure定价计算器之间的区别如下:
- Azure成本管理:Azure成本管理是一种工具或服务,用于跟踪和管理在Azure上运行的资源的成本。它提供了详细的成本分析和报告,帮助组织了解其在Azure上的资源使用情况以及相关的费用。用户可以根据组织的需求和成本预算设置警报和预警,并采取行动来优化资源使用和成本控制。
- Total Cost of Ownership(TCO)计算器:TCO计算器是帮助组织评估迁移到Azure的总体成本的工具。它基于组织提供的数据,如服务器数量、网络流量、存储需求等来计算在Azure上运行的预期成本。此计算器可提供与组织目前在本地运行相同工作负载的比较,以便评估在Azure上部署和管理工作负载的潜在成本节省。
- Azure定价计算器:Azure定价计算器是一个在线工具,帮助用户估算在Azure上使用各种Azure服务时的成本。用户可以选择他们想要使用的Azure服务和功能,并根据其配置、使用量和预估时间来计算费用。此计算器还提供了灵活性,使用户可以根据需要使用或更改配置,以便预估不同方案的成本。
总的来说,Azure成本管理和TCO计算器是用于跟踪和管理资源成本以及评估迁移到Azure的总体成本的工具或服务。而Azure定价计算器是一个在线工具,可根据所需服务的配置和使用预估费用。
治理合规性的功能和工具
-
Azure Policy:它是一种服务,用于通过定义和强制执行策略来管理Azure资源。Azure Policy可确保资源的合规性和安全性,并根据特定的需求设置规则和限制。
-
Azure Blueprints:它提供一种以重复性和一致性的方式创建和部署Azure环境的方法。Azure Blueprints可用于定义和引入最佳实践、合规性要求和安全控制。
Azure Blueprints和Azure Policy之间的区别:
1. Azure Blueprints是一种服务管理工具,用于创建符合公司标准和最佳实践的重复可用的环境。
2. Azure Blueprints用于定义一整套Azure资源(包括ARM模板、策略定义、角色分配等)以创建完整的解决方案,以方便部署和管理。
3. Azure Blueprints可以用于组织和管理多个Azure订阅中的资源,是一种将标准化模式和组件发布到多个环境的方法。
4. Azure Policy是一种服务管理工具,用于定义和强制执行在Azure资源中定义的规则和标准。
5. Azure Policy可以用于确保资源的遵守性,并执行各种控制,如身份验证、网络访问控制、加密要求等。
6. Azure Policy可以用于监视和强制执行资源级别的要求和限制,确保资源和环境的一致性。
Azure Resource Manager(ARM)和Azure Blueprints之间的区别:
1. Azure Resource Manager是一种基于REST的管理接口,用于创建、更新和删除Azure资源。
2. Azure Resource Manager使用ARM模板描述资源群和相互关联的资源,并生成一个资源组来部署和管理资源。
3. ARM模板是一种以JSON格式编写的声明性编排脚本,用于定义所需资源的属性、依赖关系和配置。
4. Azure Blueprint是建立在Azure Resource Manager之上的一种服务,用于定义、部署和管理多个相关资源的集合。
5. Azure Blueprints通过组织和发布包含ARM模板、策略定义、角色分配等的模板来提供一种重复可用的环境部署方法。
6. ARM模板和Azure Blueprints一起使用,前者定义资源群和资源配置,后者定义整个解决方案的组件和规范。
-
Azure RBAC(Role-Based Access Control):它是一种访问控制机制,可限制用户对Azure资源的访问权限。Azure RBAC基于角色的访问控制,确保用户只能访问其所需的资源, Azure RBAC角色适用于范围,该范围是访问适用的资源或一组资源。
-
Azure Security Center:它是一种云安全管理服务,可提供关于资源的安全状态、漏洞评估和威胁情报的实时信息。Azure Security Center可帮助识别和纠正资源中的安全问题,确保其符合合规要求。
-
Microsoft Purview是一种数据治理服务,可帮助组织发现、分类、管理和保护其数据资产。Purview提供全面的数据映射和目录功能,帮助组织了解其数据的位置、含义和用途,以满足合规性、隐私和数据保护的要求。
-
资源锁是Azure提供的一种功能,可用于防止对关键资源进行意外或恶意的删除或修改。资源锁可以将资源标记为"只读"或"锁定",以确保资源的保护和合规性。
-
信任门户是Azure的权限管理工具,用于管理和配置Azure AD(Azure Active Directory)的用户、组和权限。通过信任门户,管理员可以为用户分配特定的角色和权限,以便控制对Azure资源的访问。
管理和部署Azure资源的功能和工具
-
交互工具:
- Azure Cloud Shell:是一个基于浏览器的命令行工具,可以访问 Azure 资源并执行管理任务。它预装了常用工具和语言环境,并提供持久性的文件存储。
- Azure PowerShell:是一组基于 PowerShell 的命令行工具,用于管理和部署 Azure 资源。它提供了脚本化管理和自动化工作流的能力。
- Azure CLI:是一个跨平台命令行工具,用于与 Azure 服务进行交互。它使用通用的命令结构和参数约定,方便了管理和部署任务的执行。
-
Azure Arc的用途:
Azure Arc 是一个扩展 Azure 管理功能的工具,可以管理和监控不仅限于 Azure 的资源。它允许将本地资源(如服务器、虚拟机和 Kubernetes 集群)纳入到 Azure 管理体系中,从而实现集中管理、安全和合规等功能。 -
Azure 资源管理器和 Azure ARM 模板:
- Azure 资源管理器(Azure Resource Manager)是 Azure 的基于 REST 的管理层,用于创建、更新和删除 Azure 资源。它提供了一种统一的方式来组织和管理所有的 Azure 资源。用户可以使用 Azure 资源管理器的 API、Portal、PowerShell 或 CLI 来管理资源。
- Azure ARM 模板(Azure Resource Manager Template)是一种声明性的 JSON 文件,用于定义和部署 Azure 资源。它可以描述整个应用程序环境的基础架构和配置,包括虚拟机、存储账户、网络设置等。通过 ARM 模板,用户可以实现基础设施即代码的自动化部署和管理。
-
Azure File Sync 可以实现同时将文件存储分享作为多个虚拟机上的虚拟驱动器进行访问。Azure File Sync 是一个基于云的文件同步服务,可以将本地文件服务器与云中的 Azure 文件共享同步,以实现高可用性和灵活性,并减少对本地存储的需求。
使用 Azure File Sync,可以将 Azure 文件共享挂载到多个虚拟机上作为虚拟驱动器,并实现对文件的共享访问和同步。这种配置提供了高可用性,即使某个虚拟机发生故障,文件仍然可以在其他虚拟机上访问。
监视工具
-
Azure顾问(Advisor):Azure顾问是一个云优化建议引擎,可帮助优化Azure资源的性能、安全性、成本和可靠性。它会根据Azure资源的配置和使用情况提供个性化的建议,以帮助用户按最佳实践来部署和管理资源。(原题)
-
Azure监视器:Azure监视器是一个集中的监控服务,可用于收集、可视化和分析Azure资源的性能指标。它可以监视虚拟机、存储帐户、应用服务等各种Azure服务,并提供实时监控、警报和自动化操作功能。
-
Azure Log Analytics:Azure Log Analytics是一项日志和数据分析平台,可帮助用户收集和分析从Azure资源和其他系统中生成的大量日志数据。它可以用于监视和故障排除应用程序、服务器和网络设备,并提供可视化仪表板、查询语言和警报功能。
-
Azure Monitor 警报:Azure Monitor是一个包含警报功能的监控服务。用户可以使用Azure Monitor定义一系列规则,以检测和响应Azure资源的异常或重要事件。这些规则可用于生成警报通知、响应自动化操作,并提供长期的数据保留和报表功能。
-
Application Insights:Application Insights是一项用于监视和故障排除Web应用程序的服务。它可以跟踪应用程序的性能指标、请求追踪和日志记录,并提供可视化报表和警报功能。Application Insights还可以与应用程序代码集成,以提供更详细的应用程序行为分析。
-
Azure Service Health 是 Azure 提供的一项用于监控服务健康状况的服务。它可通过 Azure 门户、API 和邮件通知等方式向用户提供有关 Azure 服务的实时状态和问题通知。Azure Service Health 提供了服务的运行状况、事件历史记录、已解决的问题和计划的维护活动等信息,帮助用户了解并相应地解决可能影响其应用和业务的问题,对根本原因分析报告(RCA-root cause analysis)进行评述
-
Azure health advisories : 是Microsoft Azure云平台中的一个功能,用于提供有关云服务的健康状况和事件的通知和建议。它旨在帮助Azure用户及时了解和应对任何可能影响其应用程序和服务的问题。健康警报是需要您采取积极行动以避免服务中断的问题,例如服务停用和重大变更。服务问题是指需要立即采取行动的问题,例如故障。
-
其他概念
- ASPX文件
ASPX文件是一种网页文件类型,它是由Microsoft
ASP.NET框架使用的一种技术。ASP.NET是一种用于构建动态网站和Web应用程序的开发框架。ASPX文件通常包含用于生成网页内容的服务器端代码,以及用于定义页面布局和样式的HTML和CSS代码。
ASPX文件在服务器上进行处理,在客户端浏览器上以HTML形式呈现。当访问一个包含ASPX文件的网页时,服务器会执行ASPX文件中的服务器端代码并生成相应的HTML内容,然后将其发送到客户端浏览器进行显示。ASPX文件具有动态性,因为可以在服务器端执行复杂的编程逻辑,并通过与数据库和其他资源的交互来生成动态内容。这使得ASP.NET应用程序能够实现诸如表单提交、数据检索和处理、用户认证和授权等高级功能。
ASPX文件可以使用多种编程语言编写,包括C#和Visual Basic
.NET。通过使用ASP.NET,开发人员可以创建功能强大、可扩展和安全的Web应用程序,并且可以轻松地与其他Microsoft技术和工具集成。
- FTP是文件传输协议
FTP是文件传输协议(File Transfer Protocol)的缩写,是一种用于在网络上进行文件传输的标准协议。
FTP通过客户端-服务器模式工作,其中客户端是发送文件的一方,服务器是接收文件的一方。客户端通过建立与服务器的连接来发送和接收文件。
FTP支持两种主要操作:上传和下载。上传操作允许将本地计算机上的文件发送到远程服务器,而下载操作允许将远程服务器上的文件复制到本地计算机。
FTP使用基于文本的控制连接和二进制数据连接来传输文件。控制连接用于发送命令和接收服务器的响应,而数据连接用于发送实际的文件内容。
FTP支持匿名访问,这意味着任何人都可以连接到一个FTP服务器并查看其中的文件列表。然而,尽管匿名访问很方便,但也有一定的安全风险,因为它可能暴露服务器上的敏感信息。
除了标准的FTP协议,还存在一些扩展的FTP协议,如FTPS(基于SSL/TLS加密的FTP)、SFTP(通过SSH安全外壳协议进行加密的FTP)和FTPES(结合了FTPS和FTP的特征)等,用于提供更高的安全性。
总的来说,FTP是一种用于在网络上进行文件传输的常用协议,它提供了一种简单、可靠的方式来共享和复制文件。
- DDoS(分布式拒绝服务)
DDoS(分布式拒绝服务)是一种网络攻击技术,旨在通过向目标服务器或网络发送大量的请求,过载目标系统的资源,以至于无法正常响应合法用户的请求。DDoS攻击通常使用多个计算机、服务器或其他设备组成的"僵尸网络"来同时发动攻击。这些被攻击的设备被恶意软件感染控制,成为攻击者的"肉鸡"。攻击者可以通过控制这些肉鸡,协同发动大规模攻击。
DDoS攻击可以导致目标网络、服务器或网站运行缓慢或完全瘫痪,从而使合法用户无法访问或使用目标服务。DDoS攻击的目的可以是各种各样的,包括敲诈勒索、破坏竞争对手的业务、政治活动或仅仅是出于恶意的想法。
常见的DDoS攻击类型包括UDP洪泛攻击、SYN洪泛攻击、ICMP洪泛攻击以及HTTP请求攻击等。防御DDoS攻击的方法通常包括使用防火墙、入侵检测系统(IDS)、入侵防御系统(IPS)以及专用的DDoS防护服务等。
总而言之,DDoS是一种网络攻击技术,通过过载目标系统的资源以使其无法正常工作,给互联网服务提供者和用户带来严重的影响。