结合最近所做的模拟题,把一些容易考的知识和概念重新回顾记录一下。标红的字要注意一下,有可能这几个简单的字,就是最能概括这个概念的关键点,个人在回顾的时候把这些点红色标出来了,会在题干中以不同的案例形式来考察,但是这些考察的关键字还是能找到的!有条件的 建议打印下来学习,我是官方文档一点一点总结的,考点非常全面,目前为止AZ900的路程就走完了,文章结尾附上证书截图以及个人学习路线,有兴趣的可以看下,祝大家都可以早日顺利过关AZ900!
高可用性。保持服务长时间正常运行的能力,而停机时间很少,这取决于所讨论的服务。
可扩展性。针对任何给定工作负载增加或减少资源的能力。您可以添加其他资源来为工作负载提供服务(称为横向扩展),或者添加其他功能来管理对现有资源的需求增加(称为横向扩展)。可伸缩性不必自动完成。
弹性。根据需要自动或动态增加或减少资源的能力。弹性资源可以满足当前需求,并且可以根据需要(并从最有利的地理位置)自动添加或删除资源以满足未来的需求。可伸缩性和弹性之间的区别是弹性是自动完成的。
敏捷性。快速反应的能力。云服务可以快速分配和重新分配资源。它们通过自助服务按需提供,因此可以在数分钟内配置大量计算资源。在调配或取消调配服务中无需人工干预。
容错能力。即使在组件(或服务)无法正常工作的情况下,保持正常运行的能力。通常,冗余是内置在云服务体系结构中的,因此,如果一个组件发生故障,则将使用备份组件代替。据说这种服务是容错的。
灾难恢复。从已关闭云服务的事件中恢复的能力。云服务灾难恢复可以非常迅速地进行,自动化和服务随时可用。
全球覆盖。触及全球观众的能力。云服务可以在您和您的客户可以访问的全球各个区域中开展业务,即使您在该区域中没有任何基础架构,也可以在这些区域中开展业务。
客户延迟功能。如果客户在使用特定的云服务时感觉很慢,那么据说他们正在经历一些延迟。即使现代光纤速度很快,但是如果服务不是客户本地的,服务仍然需要时间来响应客户的行为。云服务具有在全球数据中心中部署资源的能力,可以解决任何客户延迟问题。(根据客户的位置来部署资源)
可预测的成本考虑。用户预测特定云服务将产生的成本的能力。提供了各个服务的成本,并提供了一些工具来让您预测服务将要发生的成本。您还可以根据计划的增长执行分析。
技术技能要求和注意事项。云服务可以为工作负载提供和管理硬件和软件。与让IT团队构建和维护用于处理相同工作负载的物理基础架构相比,使用云服务来提高工作负载并运行所需的技术资源更少。用户可以是他们想要运行的应用程序的专家,而无需技能来构建和维护底层的硬件和软件基础结构。
提高生产力。现场数据中心通常需要大量的硬件设置(也称为机架和堆栈),软件修补和其他耗时的IT管理工作。云计算消除了其中许多任务的需要。这使IT团队可以花时间专注于实现更重要的业务目标。
安全性。云提供商提供了广泛的策略,技术,控制和专家技术技能,可以提供大多数组织无法实现的更好的安全性。结果是增强了安全性,这有助于保护数据,应用程序和基础架构免受潜在威胁。
资本支出CapEx和运营支出OpEx:点击此处查看官方详解
资本支出(CapEx):这是指在物理基础设施上的前期支出,然后随着时间的推移扣除前期支出。CapEx的前期成本的价值会随着时间的推移而降低。资本支出是指先在物理基础设施上花钱,然后随着时间的推移从您的税单中扣除该支出。个人理解,就是硬件前期成本
运营支出(OpEx):这是现在在服务或产品上花钱,现在要为其付费。您可以在支出的同一年扣除此费用。没有前期费用,因为您在使用服务或产品时付费。运营支出是指在您使用给定服务或功能时持续发生的支出。个人理解,就是你的商品在赚钱和前期铺垫之间的运营支出。
总结下来就是公有云,私有云,混合云
公有云:
公共云归云服务提供商(也称为托管提供商)所有。它为通常通过Internet通过安全网络连接连接到云服务的多个组织和用户提供资源和服务。
公有云特征:
私有云:
私有云由使用该云中资源的组织所拥有和运营。他们在自己的数据中心中创建云环境,并向组织内的用户提供自助服务以访问计算资源。该组织仍然是所有者,对其提供的服务的运营完全负责。
私有云特征:
所有权。云服务的所有者和用户是相同的。
硬件。所有者完全负责云硬件的购买,维护和管理。
用户。私有云仅在一个组织内运行,并且单个企业或组织仅使用云计算资源。(这方面涉及隐私安全)
连接性。与私有云的连接通常是通过高度安全的私有网络进行的。
公共访问。不向公众提供访问权限。
技能。需要深入的技术知识来设置,管理和维护。
试题出发点:
私有云的用例场景是组织因法律原因而无法将数据放入公共云的情况。例如,他们可能拥有无法公开公开的医疗数据。
另一种情况可能是政府政策要求将特定数据保留在国内或私有。
私有云还可以为外部客户或特定内部部门(如会计或人力资源)提供云功能
混合云:
混合云结合了公共云和私有云,使您可以在最合适的位置运行应用程序。(无论什么时候,混合云都是最好的选择方式)
混合云特征:
试题出发点:
混合云使用场景的一个示例是将网站托管在公共云中,并将其链接到托管在私有云中的高度安全的数据库。
当组织具有某些可能出于法律原因而无法放入公共云的内容时,混合云方案将非常有用。例如,您可能拥有无法公开公开的医疗数据;
另一个示例是一个或多个无法在旧硬件上运行的应用程序。在这种情况下,您可以使旧系统在私有云中本地运行,并将其连接到公共云以进行授权或存储。 我在题中遇到过这两个案例
比较云模型:查看官方文档
根据需求进行比较,要考虑公有云,私有云和混合云的优缺点
公有云:最常见的部署模型,不用管理硬件,所有内容都在云提供商那里。
公有云优缺点:优点,没有CapEx资本支出,无需购买新服务器就可以扩展,敏捷配置(不用购买和设置基础架构),使用OpEx消费的模型运行,不用管硬件的维修和保养,不需要深厚的技术技能可以依赖云提供商的技能和知识确保工作安全高度可用;缺点,缺乏安全性,合规性(无法满足政府,法律的要求),没有硬件管理权。
私有云:在自己的数据中心创建一个云环境,必须自己购买和维护硬件和软件服务
私有云优缺点:优点,对资源的完全控制权,安全,合规性,具体方案(新旧程序版本共存);缺点,因为对资源的完全控制 所以就必须有CapEx前期资本支出,没有敏捷性(要购买和设置基础架构),定期保养和维护,需要专业IT技能和知识
混合云:一听就知道,混合了公有和私有云
混合云优缺点:优点,灵活,费用合理,控制,安全,满足合规性,具体方案;缺点,在利用私有云之前,仍然需要前期资本支出,费用(同时维护购买私有云和公有云,要比单个部署模型价格贵),技能,易于管理
这一章主要是介绍了云计算服务的三种类型:Iaas,Paas,Saas,个人比较喜欢这个顺序来记忆,Iaas底层基础架构即服务 类似虚机VM 操作系统 存储,往上就是开发层Paas平台即服务SQL数据库,再往上就是软件使用Saas软件即服务比如office365 forms等 !
1,Iaas服务类型
Iaas 特性:没有前期成本,只需要为消费的东西付费;用户所有权,用户负责购买,安装,配置,管理自己的软件操作系统,中间件和应用程序;云提供商的所有权,云提供商负责确保用户可以使用基础架构(如虚机,网络和存储)
Iaas 使用场景:迁移,简单理解就是将现有程序迁移到云端的路径;测试和开发,可以快速测试和开发环境,部署烂了没问题 删除重新再来;网站托管,使用Iaas运行比传统的服务器便宜;存储,备份和恢复,避免了资本支出和存储管理的复杂性,简化备份和恢复系统的流程
2,Paas 服务类型
平台就是服务,提供用于构建,测试,部署软件程序的环境;Paas目标是为开发人员来定制的,而且不用担心底层基础架构,不用自己安装操作系统,系统更新
Paas 特性:跟Iaas一样没有前期成本,按需消费扣费;同样根Iaas一样,拥有用户所有权以及云提供商的所有权;
Paas使用场景:开发框架,开发人员可以以Paas提供的框架为基础来开发定制基于云的应用程序,包括可伸缩性,高可用性和多租户功能等云功能,从而减少了开发人员必须执行的编码量;提供了智能分析工具,提供的工具使组织可以分析和挖掘其数据。他们可以发现见解和模式,并预测结果以改善业务决策,例如预测,产品设计和投资回报。
3,Sass服务类型
Saas 是最顶层的云计算服务类型,就像电脑上面你使用的软件一样,你不用关心电脑的系统,软件的开发语言,只需要关注你要使用的软件如何为你提供帮助就行了。比如,OutLook邮件,Microsoft 365;Saas 通常通过每月或者每年的订阅获得许可;这里我遇到过一个知识点,Saas的收费模式是什么?
Saas 特性:Saas的费用这块跟Iaas和Paas不一样了,Saas是单独收费的,因为是产权产品,收费通常按月或者按年,而Iaas和Paas是按需使用计费;
Saas使用场景:Microsoft SaaS服务的示例包括Microsoft 365,Skype和Microsoft Dynamics CRM Online。
比较云服务类型:
Iaas优缺点:
优点:1,没有资本支出,没有前期费用。2,敏捷性,可以快速访问和配置使用的应用程序。3,消费模型,OpEx按需使用计费 。4,高可用性,云提供商的技能和专业知识会确保工作负载安全且高度可用。5,灵活,Iaas是最灵活的云服务,可以控制配置和管理应用程序的硬件
缺点:管理,分担责任,就是你要管理虚机的运行状况有没有负载过高,运行的软件是否合法合规;用户自己管理和维护他们负责的服务,云提供商管理和维护云基础架构
Paas 优缺点:
优点:1,没有前期费用,按需收费。2,敏捷性,不用单独配置服务器,安装linux或者windows服务器系统。3,不需要特别高的技能。4,云的优点,就是那些高可用性,灾难恢复啥的。
缺点:平台限制,需要考虑那种Paas平台最适合工作负载,这句话我也不太理解
Saas 优缺点:
Saas 说白了就是一个开发好的软件给你使用,通常是按月或者按年来收费,没啥可说的
优点:1,没有任何前期费用。2,敏捷性,可以快速访问软件。3,随用随定价,按月或者按年收费。4,灵活性强,可以在任何地方访问相同的程序数据比如pc和mobile端
缺点:软件限制,影响用户工作方式
IaaS,PaaS和SaaS各自包含不同级别的托管服务。您可以轻松组合使用这些类型的基础结构。您可以在公司的计算机(SaaS)上使用Microsoft 365,在Azure中可以托管VM(IaaS)并使用Azure SQL数据库(PaaS)存储数据。借助云的灵活性,您可以使用任何组合为您提供最大的效果。这几个标红的地方要注意,标准的考点!
1,地区,理解下来就是在部署资源的时候,要看看你自己在哪个位置,你要选择哪个地区的云!(如美洲,欧洲,亚太地区,东中和非洲)
2,区域对 简单理解,区域对就是为了应对灾难而创立的。
区域对注意事项
物理隔离。可能的话,Azure希望在区域对中的数据中心之间至少保持300英里的距离,尽管这在所有地区都不可行或不可能。物理数据中心的分离降低了自然灾害,内乱,电力中断或物理网络中断同时影响两个区域的可能性。
平台提供的复制。某些服务(例如,地理冗余存储)提供了自动复制到配对区域的功能。
区域恢复顺序。如果发生大范围中断,则在每个对中优先考虑一个区域的恢复。跨配对区域部署的应用程序可确保优先恢复其中一个区域。
顺序更新。计划的Azure系统更新会按顺序(而不是同时)部署到配对的区域,以最大程度地减少停机时间,错误的影响以及万一发生不良更新的情况下的逻辑故障。
3,可用性集,是一种当应用程序发生重大影响的维护事件或者硬件故障的时候,保持在线的方法
更新域。发生维护事件(例如,性能更新或应用于主机的关键安全补丁)时,更新将通过更新域进行排序。使用更新域对更新进行排序可确保在平台更新和修补过程中整个数据中心不可用。更新域是数据中心的逻辑部分,它们通过软件和逻辑来实现。
故障域。故障域提供了跨数据中心不同硬件的工作负载的物理隔离。这包括电源,散热和支持位于服务器机架中的物理服务器的网络硬件。如果支持服务器机架的硬件不可用,则只有该服务器机架会受到中断的影响。
4,可用区 ,用来确保服务和数据是冗余的,以便在故障时保护信息。当你在托管基础结构时,需要创建重复的硬件环境,通过可用区帮助让你的程序高度可用。
可用区特色
物理隔离,每个可用性区域都是一个隔离边界,其中包含一个或多个配备有独立电源 散热和联网功能的数据中心。
如果一个可用区下降,则另一个继续工作。
可用区通常通过非常快速的专用光纤网络相互连接。
可用区允许客户运行具有高可用性和低延迟复制的关键任务应用程序。
可用区是Azure内的一项服务,为了确保弹性,在所有启用的区域中至少要有三个单独的区域。
支持可用区的地区包括美国中部,北欧,东南亚等。
在应用程序中使用可用区
您可以使用可用性区域来运行关键任务应用程序,并通过将计算,存储,网络和数据资源共存于一个区域中并在其他区域中进行复制来将高可用性构建到应用程序体系结构中。请记住,在区域之间复制服务和传输数据可能会产生成本。(这句话出现过考点,创建可用区不收费,但是复制服务和传输数据就会产生成本了)
可用区主要用于VM,托管磁盘,负载平衡器和SQL数据库。支持可用区的Azure服务分为两类:
- 区域服务 –您将资源固定到特定区域(例如,虚拟机,托管磁盘,IP地址)
- 区域冗余服务 –平台跨区域自动复制(例如,区域冗余存储,SQL数据库)。
5,资源组,资源组是管理的资源的 逻 辑 分 组,将一系列的资源放置在同一个资源组中。注意,删除资源组时,资源组中的所有资源都会被删除! 分组就是按照你自己的分组喜好按照不同功能,或者按照不同部门,进行逻辑分组管理的一种手段。便于管理
资源组的注意事项:
每个资源必须存在于一个资源组中,并且只能存在一个资源组中。
资源组可以包含驻留在不同区域中的资源。
您可以根据对组织最有意义的决定来决定如何将资源分配给资源组。
您可以随时在资源组中添加或删除资源。
您可以将资源从一个资源组移动到另一资源组。
应用程序的资源不必存在于同一资源组中。但是,建议您将它们保留在同一资源组中,以便于管理。
生命周期统一化管理,删除资源组就会删除里面的全部资源
授权:
基于角色的访问控制(RBAC)通过RBAC权限应用于资源组,简化管理,并限制访问权限以仅允许需要的内容来展现
创建资源组的方式:
1,Azure门户 2,Azure PowerShell 命令行 3,Azure CLI 4,模板 5,Azure SDK (.net,Java)开发者调用
整理计费报告中的使用情况:
最后,将资源放在同一个资源组中是一种将其分组以便在计费报告中使用的方法。如果您试图了解成本在Azure环境中的分配方式,则按资源组对成本进行分组是一种对数据进行筛选和排序以更好地了解成本分配方式的方法。
Azure 资源管理器:简单理解,就是用来管理Azure资源都是有哪些方式(创建,配置,管理,删除资源组),可以使用不同的自动化和脚本工具(例如Microsoft Azure PowerShell,Azure命令行界面(Azure CLI),Azure门户,REST API和客户端SDK)来自动化资源的部署和配置
定义Azure计算:提供基于云的应用程序的按需计算服务。它提供计算资源,例如磁盘,处理器,内存,网络和操作系统。资源按需提供,这个要清楚,为使用的资源付费。接下来分别的内容就是分别探讨一下,这上面的主要的集中计算资源!
VM 虚拟机(Iaas服务):是物理虚拟机的软件仿真,包括虚拟处理器,内存,存储和网络资源。VM托管一个操作系统,你可以像安装物理计算机一样安装和运行软件。虚机种类有LInux,Windows Server,Microsoft SQLServer,Oracle,IBM和SAP。
虚拟机规模集:可用于部署和管理一组相同的VM。在所有虚拟机配置相同的情况下,虚拟机规模集设计为支持真正的自动规模。无需预先配置虚拟机;这样一来,就可以轻松针对大型计算,大数据和容器化工作负载构建大规模服务。因此,随着需求的增加,可以添加更多的虚拟机实例,而随着需求的下降,可以删除虚拟机实例。该过程可以是手动,自动或两者结合的过程。
应用服务App services:用于快速构建,部署,扩展在任何平台上运行的企业级Web,移动和API应用。Paas服务
函数Fucntions:当你只想关注运行服务的代码,而不关注基础平台或者基础结构时候,它是理想的选择。当你需要响应某个时间,通常是REST的请求,计时器或者来自另一个Azure中的服务的消息来执行工作,并且可以在几秒钟内或者更短的时间内完成工作时通常可以使用它们。
容器服务Container:容器是一个虚拟化环境,有两种方法可以在Azure中管理Docker和基于Microsoft的容器。1,Azure容器实例 提供了在Azure中运行容器的最快,最简单的方法,而无需管理任何虚拟机或采用任何其他服务。它是一种PaaS产品,可让您上载容器,它将为您运行。2,Azure Kubernets(K8S),
Azure 网络服务:在Azure的网络服务中,允许你连接云和本地基础结构和服务。当一般资源迁移到Azure后,一般需要做与本地部署相同的网络功能,在特定情况下,可能需要某种程度的网络隔离。
Azure虚拟网络:使多种类型的Azure资源(比说VM)彼此之间,Internet和本地网络之间进行安全通信。虚拟网络的范围仅限于一个区域。但是,可以使用虚拟网络对等连接来字不同区域的多个虚拟网络。借助Azure虚拟网络,你可以提供隔离,分段,与本地和云资源的通信,网络流量的路由和筛选。
Azure 负载均衡器:可以为你的应用程序提供规模,为服务创建高可用性。LB(Load Balance)支持入站和出站方案,提供低延迟和高吞吐量,并针对所有传输控制协议(TCP)和用户数据报协议(UDP)应用程序扩展到数百万个流。你可以将LB用于传入Inernet流量,Azure服务之间的内部流量,特定流量的端口转发或者虚拟网络中VM的出站连接。(最后这一堆,简单理解就是四个字,端口转发)
虚拟专用网(VPN):一个VPN网关是一种特定类型的虚拟网络网关,用于通过公共Internet在Azure虚拟网络和本地位置之间发送加密的通信
Azure 应用程序网关:一个Web流量负载平衡器,使你可以管理Web应用程序的流量。用户通过该连接,连接到你的应用程序,使用应用程序网关,可以基于源IP地址和端口将通信路由到目标IP地址和端口。你还可以通过Web应用程序防火墙,重定向,将用户保持在同一个服务器上会话亲和力以及许多其他配置选项来帮助保护Web应用程序。
内容传递网络(CDN):可以邮箱的向用户交付Web内容的服务器的分布式网络。是一种向本地用户提供内容的方法,可以最大程度的减少延迟。CDN可以托管在Azure或者任何其他位置。你可以将内容缓存在全球战略位置上的物理节点上,并为最终用户提供更好的性能。典型的使用场景包含多媒体内容的Web应用程序,区域中的产品启动事件或区域中高带宽需求的任何事件。
定义Azure数据类别:总之分为三种,结构化,半结构化,非结构化。当你存储数据的时候分别对号入座,然后选择对应的存储方案。如下截图
Azure 存储:用于存储文件,消息,表和其他类型信息的服务。您可以单独使用Azure存储(例如,作为文件共享),但是开发人员也经常将其用作工作数据存储。网站,移动应用程序,桌面应用程序和许多其他类型的自定义解决方案可以使用此类商店。Azure中最常见的一些存储服务类型是磁盘,文件,对象,队列和表。
磁盘存储:一般磁盘存储是为虚机来准备的。磁盘存储允许持久的存储数据,并访问数据。磁盘可用由Azure管理或不受管理,因此由用户管理和配置。使用磁盘存储的典型方案是,如果要提升和转移将数据读写到永久磁盘的应用程序,或者要存储不需要从连接磁盘的虚机外部访问的数据。
容器(Blob):云对象存储解决方案。Blob存储经过优化,可以存储大量非结构化数据,比如文本或者二进制数据。图片,文档,文件,视频或者音频。
档案(Files): Azure文件使您可以设置高可用性网络文件共享,可以使用标准服务器消息块(SMB)协议进行访问。这意味着多个VM可以共享具有读取和写入访问权限的相同文件。您还可以使用REST界面或存储客户端库读取文件。将Azure文件与公司文件共享上的文件区分开的一件事是,您可以使用指向文件的URL并包含共享访问签名(SAS)令牌,从世界任何地方访问文件。您可以生成SAS令牌;它们允许在特定时间段内对私有资产进行特定访问。
队列(Queue):队列服务用于存储和检索消息,队列消息最大为64KB,一个队列可以包含数百万条消息。队列通常用于存储要异步处理的消息列表 。 例如,假设您希望客户能够上传图片,并且要为每张图片创建缩略图。您可以让客户在上传图片时等待您创建缩略图。另一种选择是使用队列。客户完成上传后,将一条消息写入队列。然后让Azure函数从队列中检索消息并创建缩略图。此处理的每个部分都可以分别缩放,从而在调整使用时为您提供更多控制。
表格(Tables):用来存储结构化数据,比如常用的SQL数据库,MYSQL等,可以接受来自Azure云内部和外部的身份验证来调用。
Azure 数据库服务:完全的paas服务。如Cosmos数据库,SQL Server数据库!
数据库迁移:Azure数据库迁移服务,指的是在使停机时间最短的情况下,从多个数据库源到Azure数据平台的无缝迁移!
我的理解是,这一章节主要是讨论物联网IOT和数据分析相关的
IOT物联网:人们可以访问比以往更多的信息。它始于个人数字助理(PDA),然后演变为智能手机。现在有智能手表,智能恒温器,甚至是智能冰箱。个人计算机曾经是标准。现在,互联网允许任何在线项目能够访问有价值的信息。在物联网(IOT) 设备能够收集然后中继信息以进行数据分析的能力。有很多服务可以协助和推动Azure上的IoT端到端解决方案。Azure IoT核心服务类型中的两种是Azure IoT Central和Azure IoT Hub。
物联网中心(IOT Central):是全面管理的全球物联网软件即服务(SaaS)解决方案,可轻松轻松地大规模连接,监视和管理您的物联网资产。使用IoT Central不需要云专家。因此,您可以更快地将连接的产品推向市场,同时保持对客户的关注。偏向网络连接的服务
AzureIOT中心(Azure IOT Hub):托管在云中的托管服务,充当IoT应用程序与其管理的设备之间的双向通信的中央消息中。心。专业术语太多,记住两个字,监控!
大数据和分析:Azure Synapse,Azure HDInsight,Azure数据湖(data lake)
人工智能:包括图像识别,语音服务,语言转换,嗯我脑子识别,知识资源集成,推荐系统,机器学习服务
无服务器计算:主要有Azure functions,Azure logic Apps逻辑应用,Azure Event Grid事件网格
Azure功能 当您只关注运行服务的代码而不关注基础平台或基础结构时,它是理想的选择。当您需要响应事件执行工作时(通常是通过REST请求,计时器或来自另一个Azure服务的消息),并且可以在几秒钟或更短的时间内快速完成工作时,通常使用Azure功能。此外,Azure函数是无状态的;它们的行为就像每次响应事件时都重新启动一样。这是处理传入数据的理想选择。并且,如果需要状态,则可以将它们连接到Azure存储服务。
逻辑应用 是一项云服务,当您需要跨企业或组织集成应用程序,数据,系统和服务时,可帮助您自动化和协调任务,业务流程和工作流。Logic Apps简化了您为应用程序集成,数据集成,系统集成,企业应用程序集成(EAI)和企业对企业(B2B)集成而设计和构建可伸缩解决方案的方式(无论是在云中,本地还是两者中)。其中包括诸如Salesforce,SAP,Oracle DB和文件共享之类的服务。
事件网格 使您可以轻松地使用基于事件的体系结构构建应用程序。这是一种完全托管的智能事件路由服务,它使用发布-订阅模型来统一事件消耗。Event Grid内置了对来自Azure服务(例如存储Blob和资源组)的事件的支持。您可以使用事件网格使用自定义主题来近乎实时地支持自己的非基于天蓝色的事件。您可以使用过滤器将特定事件路由到不同的端点,并确保事件被可靠地传递。
Azure DevOps:提供开发协作工具,包括高性能管道,免费的私人Git存储库,可配置的看板板以及广泛的基于云的自动化测试。DevOps Services以前称为Visual Studio Team Services(VSTS)。
Azure Lab service实验室服务:可帮助开发人员和测试人员在Azure中快速创建环境,同时最大程度地减少浪费并控制成本。用户可以使用可重用的模板和工件快速配置Windows和Linux环境,从而测试其最新的应用程序版本。您可以轻松地将部署管道与DevTest Labs集成,以提供按需环境。借助DevTest Labs,您可以通过配置多个测试代理并为培训和演示创建预先设置的环境来扩展负载测试。实验室服务以前称为DevOps测试。
Azure App service应用服务:可以快速,轻松地为任何平台或设备构建Web和移动应用程序。Azure App Service使您可以使用所选的编程语言来构建和托管Web应用程序,移动后端和RESTful API,而无需管理基础结构。它提供自动缩放和高可用性,同时支持Windows和Linux,并支持从GitHub,Azure DevOps或任何Git存储库进行自动部署。
Azure 管理工具:您可以使用各种工具和平台来配置和管理Azure。有一些可用于命令行的工具,特定于语言的软件开发工具包(SDK),开发人员工具,迁移工具以及许多其他工具。考点,会问你哪个选项可以管理Azure资源
1,Azure门户:就是公共网站,Azure的Web端,可以使用任何Web浏览器访问!
2,Azure PowerShell:Azure PowerShell是添加到Windows PowerShell或PowerShell Core的模块,使您可以连接到Azure订阅并管理资源。Azure PowerShell需要Windows PowerShell才能运行。PowerShell提供诸如外壳程序窗口和命令解析之类的服务。然后,Azure PowerShell将添加特定于Azure的命令。
3,Azure命令行界面(CLI):Azure CLI是跨平台的命令行程序,可连接到Azure并在Azure资源上执行管理命令。跨平台意味着它可以在Windows,Linux或macOS上运行。
4,Azure Cloud Shell:Azure Cloud Shell是您门户中基于浏览器的脚本环境。它提供了选择最适合您工作方式的外壳体验的灵活性。Linux用户可以选择Bash体验,而Windows用户可以选择PowerShell。
5,Azure 移动应用:Microsoft Azure移动应用程序允许您从iOS或Android手机或平板电脑访问,管理和监视所有Azure帐户和资源。
6,Azure REST API:代表性状态传输(REST)API是支持HTTP操作(方法)集的服务端点,这些操作提供对服务资源的创建,检索,更新或删除访问。REST API定义了一组功能,开发人员可以通过HTTP协议(例如GET和POST)执行请求并接收响应。
Azure Advisor 顾问:是Azure内置的一项免费服务,可提供有关高可用性,安全性,性能和成本的建议。Advisor会分析您部署的服务,并在这四个方面寻找改善环境的方法。考点
可以干什么 ?
1, 获得主动,可行和个性化的最佳实践建议。
2, 在确定降低总体Azure成本的机会时,提高资源的性能,安全性和高可用性。
3, 建议行动,获取建议。
Azure防火墙:一个防火墙是基于授予每个请求的源IP地址,服务器访问的服务。您创建指定IP地址范围的防火墙规则。只有这些授予的IP地址中的客户端将被允许访问服务器。防火墙规则还包括特定的网络协议和端口信息。注意:防火墙是基于云的托管网络安全服务(端口防火墙);是一种完全状态的防火墙即服务,内置具有高可用性和不受限制的云可伸缩性。
Azure 分布式拒绝服务保护DDos:攻击试图淹没和耗尽应用程序的资源,从而使应用程序变慢或对合法用户无响应。DDoS攻击可以针对可通过Internet公开访问的任何端点。因此,任何暴露于互联网的资源(例如网站)都可能受到DDoS攻击的威胁。个人理解,就是抢占你的服务器资源,让你的程序没有办法正常执行。
网络安全组Nsg:允许你筛选Azure虚拟网络中与Azure资源之间的网络流量。NSG可以包含多个入站和出站安全规则,让你能够按源和目标IP地址,端口和协议筛选进出资源的流量。简单理解,就是限制入站和出站的规则。注意:NSG可以作用在两个地方,1 在子网上 2 在网卡上。
深度防御:一种分层方法,提供多层次的保护机制
应用程序安全组:可以将网络安全性配置为应用程序结构的自然扩展,从而可以对虚拟机进行分组并根据这些组定义网络安全策略。应用程序安全组有助于简化如何过滤和控制进入组织的网络流量以及如何允许网络流量移动。它们使您能够隔离多个工作负载,并以更易于管理的方式为您的虚拟网络提供更高级别的保护。(有些拗口)
Azure网络安全解决方案
考虑安全方案时,要尽量考虑所有要素;
周边层:
网络外围层用于保护组织免受针对您的资源的基于网络的攻击。识别这些攻击,发出警报并消除其影响对于确保网络安全非常重要。去做这个:
- 使用Azure DDoS保护可以过滤大规模攻击,然后才能对最终用户造成拒绝服务。
- 将外围防火墙与Azure防火墙一起使用,以识别针对您的网络的恶意攻击并发出警报。
网络层:
在这一层,重点是限制所有资源之间的网络连接,以仅允许所需的内容。分割资源并使用网络级控件将通信限制为仅需要的通信。通过限制连接性,您可以降低遭受攻击的整个网络中横向移动的风险。使用NSG在此层上创建有关入站和出站通信的规则。作为最佳做法:
- 通过分段网络和配置访问控制来限制资源之间的通信。
- 默认情况下拒绝。
- 限制入站互联网访问,并在适当的地方限制出站。
- 实现与本地网络的安全连接。
合并服务:
可以结合使用多个Azure网络和安全服务来管理网络安全并提供增强的分层保护。以下是组合服务的示例:
网络安全组和Azure防火墙。Azure防火墙补充了网络安全组功能。它们共同提供了更好的深度防御网络安全性。网络安全组提供分布式网络层流量过滤,以将流量限制为每个订阅中虚拟网络内的资源。Azure防火墙是一种完全状态的集中式网络防火墙即服务,可跨不同的订阅和虚拟网络提供网络和应用程序级保护。
应用程序网关WAF和Azure防火墙。WAF是Application Gateway的一项功能,可为您的Web应用程序提供针对常见漏洞利用和漏洞的集中式入站保护。Azure防火墙为非HTTP / S协议(例如RDP,SSH,FTP)提供入站保护,为所有端口和协议提供出站网络级保护,并为出站HTTP / S提供应用程序级保护。两者结合可提供额外的保护层。
讨论身份验证和访问验证时,需要理解两个概念:
1,身份验证:身份验证是建立希望访问资源的个人或服务的身份的过程;它涉及挑战一方以获取合法证书的行为,并为创建用于身份和访问控制的安全的主题提供了基础
2,授权:授权是建立经过身份验证的人员或服务具有什么访问级别的过程。它指定了允许他们访问哪些数据以及可以使用它们做什么。
Azure Active Directory (AzureAD):Azure AD是基于云的身份和访问管理服务,帮助组织内的员工登录和访问资源;
内部资源:公司网络以及网上的应用程序,以及组织内开发的任何云应用程序
外部资源:包括Microsoft 365,Azure门户以及许多其他软件及服务(Saas)的应用程序
Azure AD提供的服务:
身份验证:包括验证身份以访问应用程序和资源,并提供如密码重置,多因素身份验证(MFA),自动以禁止的密码列表和智能锁定服务之类的功能
单点登录:使用户仅记住一个ID和一个密码即可访问多个应用程序。单个身份和用户绑定,从而简化了安全模型。即使用户离开组织,也可达到保持组织的控制访问保持一致的效果。
应用给管理:您可以使用Azure AD应用程序代理,单点登录,“我的应用程序”门户(也称为“访问”面板)和SaaS应用程序来管理云和本地应用程序。
企业对企业(B2B)身份服务:管理访客用户和外部合作伙伴,同时保持对自己公司数据的控制
企业对客户(B2C)身份服务:在将您的应用程序与服务一起使用时,自定义和控制用户如何注册,登录和管理其个人资料。
设备管理:管理您的云或本地设备如何访问公司数据。
Azure AD适用于:
IT管理员。管理员可以根据您的业务需求使用Azure AD来控制对应用程序及其资源的访问。
应用程序开发人员。开发人员可以使用Azure AD提供基于标准的方法,以向您构建的应用程序添加功能,例如向应用程序添加单点登录功能,或允许应用程序使用用户预先存在的凭据和其他功能。
Microsoft 365,Microsoft Office 365,Azure或Microsoft Dynamics CRM Online订阅者。这些订阅者已经在使用Azure AD。每个Microsoft 365,Office 365,Azure和Dynamics CRM Online租户都自动是一个Azure AD租户。您可以立即开始使用Azure AD管理对集成云应用程序的访问。
探索Azure 多重身份验证:
就是要通过两个或者以上的元素进行身份验证,这些元素分为三类:
1,你知道的,比如密码或者安全问题的答案
2,你拥有的,比如接受通知信息的设备或者令牌生成的设备
3,你所拥有的特性,比如生物特征,指纹或者面部扫描使用多因素身份验证(MFA)可通过限制凭据暴露的影响来提高身份安全性。为了进行完全身份验证,例如,拥有用户密码的攻击者也需要拥有自己的电话或指纹。仅凭一个因素进行身份验证是不够的,如果没有MFA,攻击者将能够使用这些凭据进行身份验证。应尽可能启用MFA,因为MFA为安全性带来了巨大的好处。
多因素身份验证(MFA)是以下Azure服务产品的一部分:
- Azure Active Directory高级许可。这些许可证提供了Azure多功能身份验证服务(云)或Azure多功能身份验证服务器(本地)的全功能使用。
- Microsoft 365的多因素身份验证。作为Microsoft 365订阅的一部分,可以使用一部分Azure多因素身份验证功能。
- Azure Active Directory全局管理员。由于全局管理员帐户非常敏感,因此可以使用Azure多重身份验证功能的子集来保护这些帐户。
安全中心:一项监视服务,可为您在Azure和本地中的所有服务提供威胁防护
Azure 秘钥保管库: 用于存储应用程序秘密的集中式云服务。key vault通过将应用程序的秘密保存在单个中央位置并提供安全的访问,权限控制和访问日志记录功能,来帮助你控制应用程序的秘密。
定义Azure 高级威胁防护ATP:基于云的安全解决方案,它可以识别,检测并帮助您调查针对您组织的高级威胁,入侵身份和恶意内部人员行动。Azure ATP能够检测已知的恶意攻击和技术,安全问题以及针对您的网络的风险。
Azure 高级威胁防护组件:
Azure高级威胁防护(ATP)门户。Azure ATP拥有自己的门户,您可以通过该门户监视和响应可疑活动。Azure ATP门户允许您创建Azure ATP实例,并查看从Azure ATP传感器接收的数据。您还可以使用门户网站来监视,管理和调查网络环境中的威胁。
Azure高级威胁防护(ATP)传感器。Azure ATP传感器直接安装在域控制器上。该传感器无需专用服务器或配置端口镜像即可监视域控制器流量。
Azure高级威胁防护(ATP)云服务。Azure ATP云服务在Azure基础结构上运行,目前已部署在美国,欧洲和亚洲。Azure ATP云服务已连接到Microsoft的智能安全图。
Azure策略:Azure策略中用于创建,分配和管理策略的服务。
Azure 策略的创建和实施:
分为三个步骤:
1,创建策略定义:表示要评估的内容和采取的措施;例如,如果将VM暴露于公共IP地址,则可以阻止VM的部署。您还可以防止在部署VM来控制成本时使用硬盘。
2,将定义分配给资源范围:官网上一大堆生涩的翻译,我理解下来就是把你上一步创建的定义分配给资源
3,查看策略评估结果:当根据您现有的资源评估条件时,该条件被标记为符合或不符合。您可以查看不符合策略的结果,并采取所需的任何措施。策略评估大约每小时进行一次,这意味着如果您对策略定义进行更改并创建策略分配,那么它将在一小时内对您的资源进行重新评估。
基于角色的访问控制RBAC:提供对Azure资源的细粒度访问管理,使您可以仅向用户授予他们执行其工作所需的权限。向所有Azure订阅者免费提供RBAC。
使用场景:
- 允许一个用户管理预订中的VM,另一用户管理虚拟网络。
- 允许数据库管理员(DBA)组管理预订中的SQL数据库。
- 允许用户管理资源组中的所有资源,例如VM,网站和子网。
- 允许应用程序访问资源组中的所有资源。
以下是一些RBAC最佳做法:
- 使用RBAC,可以将团队中的职责分开,并仅向用户授予其执行工作所需的访问权限。除了在Azure订阅或资源中向所有人授予不受限制的权限外,仅允许在作用域级别执行某些操作。
- 在计划您的访问控制策略时,向用户授予其工作所需的最低特权级别。
定义资源锁:简单来说就是为了防止Azure资源被错误的删除或者修改。可以设置为“删除”锁和“只读”锁。
Azure 蓝图: 让你可以重复的定义一组Azure资源,并遵守组织的标准,模式和要求。Azure蓝图使开发团队能够利用自己在组织合规性范围内构建的知识来快速构建和部署新环境,并使用一组内置组件来加快开发和交付速度。
Azure蓝图是一种声明性的方式来协调各种资源模板和其他工件的部署,例如:
角色分配
政策分配
Azure资源管理器模板
资源组
使用场景
遵守安全性或合规性要求,无论是政府还是行业要求,都可能既困难又耗时。为了帮助您进行审核,可追溯性以及对部署的合规性,请使用Azure蓝图工件和工具。不再需要耗时的文书工作,并且加快了您获得认证的道路。
Azure蓝图在Azure DevOps方案中也很有用,在该方案中,蓝图与特定的构建工件和发布管道相关联,并且可以进行更严格的跟踪。
Azure 订阅:与创建和管理订阅有关,主要要考虑三个方面:计费,访问控制和订阅限制。
开票:如果您有多个内部部门并且需要执行“扣款”,则可以通过订阅生成报告,一种可能的情况是按部门或项目创建订阅。
访问控制:订阅是Azure资源的部署边界,每个订阅都与Azure AD租户相关联,使管理员能够设置基于角色的访问控制(RBAC)。在设计订阅模型时,应考虑部署边界因素,一些客户具有单独的开发和生产订阅,从资源角度看,每个订阅都是相互隔离的,并使用RBAC进行管理。
订阅限制:订阅也受到一些严格的限制。例如,每个订阅的Express Route电路的最大数量为10。在设计阶段应考虑这些限制,如果在特定情况下需要超过这些限制,则可能需要其他订阅。如果您遇到困难,则没有灵活性。
标签:提供一种逻辑上的分类法;每个标签由一个名称和一个值对组成。
标签限制:
并非所有资源类型都支持标签。
每个资源或资源组最多可以有50个标签名称/值对。当前,存储帐户仅支持15个标签,但在将来的版本中,该限制将提高到50个。如果您需要应用的标签数量超过最大允许数量,请使用JSON字符串作为标签值。JSON字符串可以包含应用于单个标签名称的许多值。一个资源组可以包含许多资源,每个资源都有50个标签名称/值对。
标签名称限制为512个字符,标签值限制为256个字符。对于存储帐户,标签名称限制为128个字符,标签值限制为256个字符。
对于所有标签名称和值,虚拟机和虚拟机规模集总共限制为2048个字符。
应用于资源组的标记不会被该资源组中的资源继承。
Azure monitor监控器:提供全面的解决方案来从云和本地环境中收集,分析和执行遥测,从而最大程度的提高应用程序的可用性和性能。它可以帮助你了解应用程序的性能,并主动识别影响他们的问题以及他们所依赖的资源。
Azure Monitor收集什么数据?
Azure Monitor可以从多种来源收集数据。您可以考虑从应用程序,其依赖的任何操作系统和服务,一直到平台本身,分层监控应用程序的数据。Azure Monitor从以下每个层收集数据:
- 应用程序监视数据:有关所编写代码的性能和功能的数据,无论其平台如何。
- 游客系统监视数据:有关运行您的应用程序的操作系统的数据。它可以在Azure,另一个云或本地中运行。
- Azure资源监视数据:有关Azure资源操作的数据。
- Azure订阅监视数据:有关Azure订阅的操作和管理的数据,以及有关Azure本身的运行状况的数据。
- Azure租户监视数据:有关租户级Azure服务(例如Azure Active Directory)操作的数据。
启用诊断
通过启用诊断并添加代理以计算资源,可以将要收集的数据扩展到资源的实际操作中。在资源设置下,您可以启用诊断
- 启用访客级别的监控
- 性能计数器:收集性能数据
- 事件日志:启用各种事件日志
- 崩溃转储:启用或禁用
- 接收器:将您的诊断数据发送到其他服务以进行更多分析
- 代理:配置代理设置
Azure 服务运行状况: 就是告诉你Azure健康状态如何的指标
监控应用程序和服务: Azure Monitor功能可以组织为四个类别,这些类别是:分析,响应,可视化和集成。
可以从四个方面来体现微软对这方面的重视:
1,Microsoft 隐私声明 (解释了处理哪些个人数据,如何处理以及出于什么目的)
2,微软信任中心 (是一个网站资源,解释了微软的所有云产品和服务中实施并支持安全性,隐私,合规性和透明度的信息和详细信息。)
3,服务信任门户STP(用于发布审计报告和有关微软的云服务的其他合规相关的信息)
4,合规经理(基于工作流的风险评估,可以跟踪,分配和验证于微软专业服务和云服务有关的组织的法规遵从性活动)
Azure 订阅:使用Azure需要Azure订阅,该订阅为您提供对Azure产品和服务的身份验证和授权访问,并允许您配置资源。Azure订阅是链接到Azure帐户的Azure服务的逻辑单元,该帐户是Azure Active Directory(Azure AD)或Azure AD信任的目录中的身份。一个账户可以有不同的订阅,各个订阅之间有不同的计费模式,并且需要对其应用不同的访问管理策略;
帐单边界。此订阅类型确定使用Azure计费Azure帐户的方式。您可以为不同类型的计费要求创建多个订阅,Azure将为每个订阅生成单独的计费报告和发票,以便您可以组织和管理成本。
访问控制边界。Azure将在订阅级别应用访问管理策略,并且您可以创建单独的订阅以反映不同的组织结构。一个示例是,在一个企业中,您有不同的部门,您在这些部门上应用了不同的Azure订阅策略。这使您可以管理和控制对用户通过特定订阅配置的资源的访问。
管理组:Azure中资源的组织结构具有四个级别:管理组,订阅,资源组和资源。下图显示了这些级别的关系,即各个对象的组织层次结构
管理组:这些容器可帮助您管理多个订阅的访问,策略和合规性。管理组中的所有预订将自动继承应用于该管理组的条件。
- 一个目录中可以支持10,000个管理组。
- 管理组树最多可以支持六个级别的深度。
- 此限制不包括“根”级别或订阅级别。
- 每个管理组和订阅只能支持一个父级。
- 每个管理小组可以有很多孩子。
订阅:订阅将用户帐户和由这些用户帐户创建的资源分组在一起。对于每个订阅,可以创建和使用的资源数量都有限制或配额。组织可以使用订阅来管理成本,用户,团队或项目创建的资源。
资源组:资源组是一个逻辑容器,在其中可以部署和管理Azure资源(例如Web应用程序,数据库和存储帐户)。
资源:资源是您创建的服务的实例,例如虚拟机,存储或SQL数据库。
几个影响成本的因素:
1,用量表:就是计算机的计算,内存读写,网络传输这些使用了多少量来计价;
2,资源类型:成本是特定于资源的,因此仪表跟踪的使用情况以及与资源管理兰的仪表数量取决于资源类型;
3,服务:企业,Web Direct和云解决方案提供商(CSP)客户之间的Azure使用率和计费周期可能有所不同。一些订阅类型还包括使用许可,这会影响成本。Azure团队开发并提供第一方产品和服务,而Azure市场中则提供了第三方供应商的产品和服务。不同的计费结构适用于每个类别。
4,位置:因为Azure是覆盖全球范围的,所以不同范围的服务和资源的位置之间使用成本可能会有所不同;
定价计算器:帮助你估算Azure产品成本的工具,它按类别显示Azure产品,然后选择所需的Azure产品并根据你的特定要求进行配置。然后Azure提供与你的选择和配置相关的成本的详细估计。通过添加,删除或者重新配置所选产品,从定价计算器中获取新的估算值。
TCO总成本计算器: 一种工具,用于估算通过迁移Azure可以实现的成本节省。包括服务器,数据库,存储,联网带宽,IT人工,硬件成本,软件成本,电费,虚拟化成本,数据中心成本,网络成本等;
使用这个工具一共有三个步骤,定义,调整假设,出报告; 点击此处 可以去玩一玩这个工具
Azure预定:提供某些Azure产品和资源的折扣价,想要获得折扣,需要提前付款来保留产品和资源。你可以与复一年或者三年的虚机,SQL数据库计算容量,AzureCosmos数据库吞吐量和其他Azure资源的使用费。Azure预定仅适用于企业或者CSP客户以及即用即付订阅。
了解Azure成本管理:一种Azure产品,提供了一组用于监视,分配和优化Azure成本的工具。
简而言之就是一句话,系统正常持续性运行时间;对于每个相应的Azure产品或服务,典型的SLA特定的性能目标承诺范围从99.9%(“三个九”)到99.99%(“四个九”)。这些目标可以适用于性能标准,例如正常运行时间或服务的响应时间。
有的考题会问你,Azure的承诺SLA级别是99.9是正确的,可以通过增加可用区或者部署在多个虚拟机上增加这个级别
两个特殊的服务SLA级别:
私人预览-某些Azure客户可以使用Azure功能进行评估。
公开预览-所有Azure客户都可以使用Azure功能进行评估。
要记住,预览是不能在SLA中使用的,有过这个考题!
预览功能截图,有个印象就行:
到目前为止Azure -900的四大知识点就已经总结完了,祝愿所有一路走来的小伙伴们,都能如愿顺利考下AZ900的认证!
至此AZ900的证书考取也结束了,总得来说所有内容都不是很难理解,主要是没接触过的人理解起来会比较晦涩难以理解,我是去考试中心考的,考试带上身份证和驾照,语言是你在报名的时候选择的,我选择的是中文,跟题库里面的差距不大,考试结束成绩是立马可以打印出来的,过一会微软会把结果发到你的邮箱里;考试31题,我大概20分钟就做完了,做的有点急马虎了,考试也及格了,主要是第三部分没掌握好!在这里我推荐一下我的学习路线:
题库中英版可以对照,大致在前80道题左右可以对上,后面就有一部分乱顺序了,不过不影响对照知识点去刷题!
1,先把所有基础概念大致的过一遍,尽力多去理解,记不住不要紧,第一遍主要是过一遍,一点都理解不了的,就做上记号圈起来
2,开始直接刷题(如果你英文很好,建议刷英文,因为都是原题,如果你英文不是很好,那就刷中文的题库),先过一遍,尽量靠自己去做,一点都没思路的也要圈起来,做对的要看下解答原因自己能不能解释下来,可以解释下来这个题就可以pass掉
3,去理解步骤1中的那些不理解的基础概念,在这里肯定会遇到步骤2中没思路的题与之匹配的,看概念的同时去看下解题思路,重点是理解思路,万变不离其宗。
4,步骤1 2 3都做过了,就对整个AZ900的考点有个宏观上的理解,大概包含了哪些东西;开始刷第二遍题(如果刷的中文题库,这一遍重点是那些翻译出来奇怪的句子,对照着英文题库来反复理解),然后再把错题圈起来,重点去理解记忆,然后你就可以放心大胆的去考试了