# AZ 900 講義 雲端：透過網際網路傳遞的運算服務 雲端服務包含：伺服器、儲存體、資料庫、網路、軟體、分析和情報 Azure Marketplace：可協助使用者，接觸到提供針對Azure最佳化之解決方案服務的Microsoft合作夥伴、獨立軟體廠商和新創公司。 Azure Marketplace客戶能從數百位提供候中尋找、試用、購買及佈建應用程式和服務。所有解決方案和服都已通過認證，可在Azure上執行。 Azure Marketplace關鍵字：第三方的xx 雲端類型： 公用雲端：無資本支出，屬於營運支出。服務透過公用網際網路提供，任何人都可以使用。雲端資源由協力廠商雲端服務提供者所擁有及操作，並透過網際網路傳遞 私人雲端：為資本支出，同時有營運支出(維修費)。由某個企業或組織的使用者以獨佔方式使用的運算資源所組成。私人雲端可實際位於組織本地(內部部署)資料中心或透過協力廠商服務提供者裝載。 混合式雲端：是一種運算環境，可讓資料和應用程式在公用雲端與私人雲端之間共用，藉以結合這二種雲端。 雲端模型比較： 共用雲端：沒有會擴大的資本支出、可以快速佈建及取消佈建應用程式、組職只需為其使用的項目支付費用。 私人雲端：一開始必需購買硬體，而且之後需要維護。組織可以完全掌控資源與安全性。組織負責硬體維護及更新。 混合式雲端：提供最大的彈性、組織決定要執行其應用程式的位置。組職控制安全性、合規性或法律需求。 雲端運算的優勢：高可用性 延展性： 垂直方式：新增虛擬機器的RAM或CPU 水平方式：新增資源的執行個體(如vm) 彈性：可以設定自動縮放，讓應用程式一律擁有所需要的資源 靈活度：在應用程式需要變更時，快速部署及設定雲端式資源。 地理位置散發：可部署到世界個地的區域資料中心，藉此確保在其區域中一律擁有最佳效能。 災害復原：利用雲端式備份服務、資料複寫與地理位置散發來避免災害時的損失。 CapEx資本支出：預先在實體基礎結構上花費，經過一段時間再扣除這筆預先費用。 OpEx營運費用：是服務或產品的花費，且目前正在支付這筆費用。可在花費的同一年扣除此費用。 關鍵考題：減少資本支出：選公有雲 最大彈性：混合雲 公與私的網路能一起：混合雲 (意思是講私的不能連外、公的不能連私的都是錯的答案) 公有雲比較不安全：錯 (一般反而更安全) 公有雲的資源/網路，人人都可以存取：錯 (依自己的設定可開放或不開放或限定…) 雲端運算是以使用"量"為基礎的模型 雲端服務模型： IaaS：基礎結構即服務。最接近管理實體服務器。雲端提供者將硬體保持在最新狀態，作業系統及網路設定由雲端租用戶管理。 例如："Azure Storage"、Azure VPN、Azure Network、VM (可以理解為就是租硬體開始起算) PaaS：平台即服務。雲端提供者負責管理虛擬機器與網路資源，租用戶負責應用程式佈署到受控的主控環境。 例如：Azure SQL Database、Azure App Service、Azure Function、DNS、Azure Backup、Azure Iot Hub Intune: SaaS：軟體即服務。雲端提供者會管理應應用程式環境有關的所有事項。租用者只需要向雲端提供資料。例如Office 365可在雲端完整執行，使用者只需要建立內容。 例如：Office365、Outlook、Azure Iot Central、文字轉語音，使用者只需要輸入資料。 關鍵考題：三個的範例都必需要知道。(要稍微背一下) 採用雲端的階段(Step)：定義策略Define [Strategy→Plan→Ready→Adopt] Azue組織層級：上到下為管理群組、訂用帳戶、資源群組、資源。 例如你建了一個Azure帳號，這個帳號為管理帳號。而使用文字轉語音時，就會建立訂閱帳號，訂閱帳號中建立語音資源群組，語音資源群組中使用的為文字轉語音。 Azure區域：本身就是指主機群建置在地球上的實際位置。 Azure可用性區埋：些Azure服務是必需要先選擇區域的。有些服務在某些區域則無法使用。這種可使用區域即為Azure可用性。 Azure支援性：跟傳統伺服器HA一樣的意思。當一個Azure區域故障時，由另一個支援的Azure接手運作。這些負責接手的區域就是該故障區域的支援區域 Azure配對：就是複寫，這個Azure區域會整個抄寫到另一個Azure支援區域 Azure訂閱帳號：跟錢有關 是服務邏輯與Azure帳號連結 Azure訂閱帳號下可以設定開多張發票 Resource Group資源群組：資源只能"存在一個RG"(資源能移動到別的資源管理群組，也可移動到別的訂閱帳戶) 資源可以在不同的區域。(RG只是一個邏輯管理權，與資源實體存在那個地區無關) 關鍵重點：主管理帳號只有一個。 主管理帳號下可以有多個訂閱帳號。 訂閱帳號下可以有多個資源群組。 資源群組下可以有多個資源。 資源可以移動到不同的資源群組、訂閱帳號。 資源可以在不同的Reion，跟資源群組在那裡無關。(意指一個RG下的資源可以放在不同的Region) 要一次管理許多資源(比如刪除…)，就是從RG下手 成本或所屬單位的識別，可以透過：多個訂閱帳戶或Tag來作到。(廣義的區別，如果是帳或發票都要明確分開的，就只能是訂閱帳戶，如果只是公司內部"分類"而以，那Tag也可以。Tag就是備註，可以有多個，比如有三個VM Tag寫HR，就可以找Tag HR下有三個VM) ARM：Azure Resource Manager，就是Azure資源的管理平台(有提供自動部署資源) 專有名詞： RBAC：會繼承。角色存取規控制(對一些帳號權限作成角色來指派，關鍵字：角色ROLE) Policy：會繼承。資源群組管理原則。(關鍵字：一些參數設定類的都是，比如在那個區，預算上限等等) =>Infit "Policy Collect" Tag：不會繼承，對資源貼標籤(算是備註這個資源，關鍵字：啥會計部門的"帳"或資源之類的。每個資源可以有多個Tag，每個資源的Tag都是獨立設定) 群組管理原則：例如設定某群組的VM只能建置在某個區域 管理群組的重要事實： 單一目錄可支援10000個管理群組 樹狀結構最多六個層級 每個管理群組和訂用帳戶僅能支援一個父系 每個管理群組可以有多個子系 所有訂用帳戶和管理群組都包含在每個目錄的單一階層中 虛擬機器擴展集：就是同vmware的ovf範本，可以用來大量佈署VM用的。 Azure Batch：可提供大規模平行處理及高效能運算(HPC)的批次作業，並擁有能調整數十、數百或數千部VM的能力。看起來就是個一鍵調整VM設定的工具。比如同時加RAM ARM: All Resource =>自動部署[資源] ****** DevTests Labs =>自動部署[資源] Bacth: VM =>部署[VM] Azure App Service：可讓你使用所選擇的程式設計語言建置及裝載Web應用程式、背景作業、行動後端，以及RESTful API，無具管理基礎結構。它提自動調整規模及高可用性。 方案會自己判斷所需要使用的資源來決定收費。 <費用等級重要，10、50、250，背起來) Web應用程式(Web App)：使用ASP.NET、ASP.NET Core、JAVA、Ruby、Node.js、PHP或Python。 OS可以選擇windows或Linux 費用等級： 基本：10GB 標準：50GB 高級：250GB API應用程式：透過所選的語言與架構，建置[ REST] 式Web API。 會取得完整的Swagger支援 可在Azure Marketplace中封裝及發怖API 由以HTTP / HTTPS為基礎的用戶端取用 WebJobs：通常是用來以應用程式邏輯之一部分的形式執行背景工作。 在與Web應用程式、API應用程式或行動應用程式相同的內容中執行程式(exe、java、PHP、Python或Node.js) 就理解上就是Windows的"工作排程"只不過這個是在Http裡執行。 行動應用程式Mobile Apps：建置適用於iOS與Android應用程式的後端。例如App的儲料存在Azure資料庫。 手機APP指的是原生iOS與Android、Xarmin及React的SDK支援 語言為C#或Node.js (大概是Xarmin雲端版但是只用來開發後台，所以不是真的讓你開發App用的) Azure Virtual Desktop：在雲端上執行的桌面和應用程式虛擬化。 可執行的動作： 設多多會話Windows 11或Windows 10 呈現Microsoft 365 Apps企業板，並將其優化，以在多使用者虛擬案例中執行 具有免費擴充安全性更新的Windows 7虛擬桌面 將現有的Remote Desktop Service (RDS)和Windows Server Desktop和應用程式帶到任何電腦 連線數授權與你自己已有的有關，如果沒有現成的，線上是by人計價。 使用方式有二種：個人和集中式(Pool共享)。連線數和資源都是自由設定的，沒有限制。 個人是指每個人都有一個獨立的資源。Pool是比如開100個給公司150個人使用。(不會同時在線的工作方式就適用，比如四班二輪，A/B班不會同時使用，連線數就不需要用到1比1。) [容器]或[Kubernetes Service]：原則上虛擬環境。或者像輕量化的虛擬機器。 一台容器機器上可以建多個容器。 由於是標準化的輕量形終端，所以操作上(如複製、重啟等等都比較快很多) 如果你想要完全掌握基礎環境，用VM。如果只想要執行的終端，資源怎麼分配不用管，那用容器。 就像Anaconda可以針對不同的開發環境，上面跑的可以是不同的Python版本、套件版本。 Azure的容器有二種：Azure容器執行個體與Azure Kubernetes Service (AKS) Azure容器執行個體：最簡單快速，無需管理任何虛擬機器，即可在Azure中執行容器。此為PaaS供應項目。 簡單講就是一個現成的平台，上面直接執行你的服務，其他你都不管。 Azure Kubernetes：對大量容器進行自動化、管理及互動的工作稱為「協調式流程」。適用具有分散式架構的容器。 基本上就是一個更高階的管理系統，如同vmware的vCenter一樣，可以對容器作設定、管理，包含轉移、複製等等容錯機制。 vCneter管的是VM(想成完整的OS)，Kubernetes管理的是容器(想成命令列模式的OS) Azure Functions：<事件觸發>函式，無伺服器服務，實際還是有的。指的是你完全不用環境、後台運算資源。只需在上面佈署你的程式，被執行時才進行收費。特別適用在不是持續執行的等待觸發型應用或是幾秒內快速回應事件(通常是REST) Azure Logic Apps：<邏輯觸發>類似於函式。Logic App不是執行程式碼，他定義的觸發規則，執行的可能是Function或是另一個Logic Apps。比較合適運用在自動化流程的設計。比如Function建立一個新客戶資料，Logic建立的則是既有資料查不到時，執行新客戶資料的Function 與所有都用程式來寫Function的不同是一些流程自動化的規則可以不用寫程式的方式達成。(就是Function就真的是程式中的Funtion，Logic則是Node方式定義流程去呼叫，我是覺得好像有點多此一舉，都會寫function的人，就直接在function中去呼叫function就好了…這基本上仍然是為了凸顯No Code的部分而有的) Azure虛擬網路：可讓Azure資源從此通訊，或與網際網路上的使用者及內部部署用戶端電腦通訊。 提供下列重要網路功能： 隔離和分割：可以創建多個隔離的虛擬網路。公共IP範圍僅存在於虛擬網路中，不可通過Internet路由.。 網際網路通訊： Azure資源之間的通訊：可以是資源如VM、App Service、Kubernetes Service，也可以是服務端點，如Azure SQL資料庫或是儲存體 與內部部署資源通訊：三種機制點站虛擬私人網路(P2S)、站對站虛擬私人網路(S2S)、Azure ExpressRoute 路由網路流量 篩選網路流量：使用NSG網路安全性群組(使用設定規則的方式)和網路虛擬設備(使用如防火牆等的虛擬設備)的方法來篩選子網路之間的流量。 連線虛擬網路：將虛擬網路連結在一起 關鍵：考題出現如內部與外部的連結所需要的服務，基本上會需要虛擬網路、Virtual Gateway(NGS/Firewall)、Local Netowrk Gateway。但是要留意這三個在題目描述時那些已被提了，這有點小陷井。比如題目提到已經建立好VM，要讓公司內部連起來，要補的就只有虛擬與本地的Gateway，虛擬機已建的話要預設他有設好虛擬網路 (個人覺得題目這樣預設立場不好，VM本身也允許你不設網路，雖然理論上不可能會這樣用，因為就沒有網路了，這台VM根本就沒存在的意義。因為VM沒有Vnet沒有意義，所以考題才會看到VM等於已建Vnet) Azure Express Route：藉由Microsoft的私人網路建立點對點VPN、點對點乙太網路或是虛擬網路的連接。(不支援站對站虛擬私人網路) (P2P、P2S) 看起來這是使用微軟自己的專線建立的VPN，由於沒有經過Internet，所以比較安全，速度也穩定。 由於未經過網際網路，所以Express Route並沒有「加密」 但是代表能適用的並不是所有服務。原則上Office 365與Azure上的都可以，但如果服務裡用到外部第三方提供的就不行了。 架構上就是自己的Edge和微軟的Edge直連 ExpressRoute Global Reach：這是自己的二個不同區的Edge分別和當地的微軟Edge有連結，然後自己二個不同區的網路透過ExpressRoute進行連結。 Azure儲存體有三種：[磁碟(傳統的HDD、SSD)] 、Azure File檔案(看起來by資料夾和檔案的方式儲存在空間)[SMB/NFS/網芳]、[Blob] (可以想成NAS、Google Drive) Azure儲存體共享使用流程：建立儲存體帳戶→建立儲存體(選擇磁碟儲存體、檔案儲存體或是Blob儲存體)→上傳資料→分享資料 Azure Blob：適用於雲端儲存，檔案供分散式存取。適合串流影片、音訊。儲存多達8TB的虛擬機器資料。 可以想成，Storage或是如Google Drive這項目。不是by硬碟和管理硬碟。也可想成就是NAS。 只是他母體很大很大，所以你不夠就一直長上去就好了，也不用針對某個實體碟更換更大的容量。 Azure檔案儲存體：提供雲端中完全授控的檔案共用。(反正就是可以支援從雲端掛載網路磁碟，開網芳分享) 通訊協定使用SMB協定並經過"加密"。 提供三個存取層級來節省成本：(考試中文翻譯可能會用中國的翻譯) 經常性存取層(美國：Hot/中國：熱)：經常存取的資料，如網站的影像 非經常性存取層(美國：Cool/中國：冷)：超過30天不常存取的資料<== 封存存取層(美國：Archive/中國：存檔)：很少存取且超過180天的資料<===解開cost Azure Storage儲存上限：美國、歐洲為2PB。英國和其他地區為500TB。文件數量沒有上限 Azure資料庫： Azure SQL Database：採用SQL Server，是PaaS (平台即服務)資料庫引擎，且完全受控。 Azure Cosmos Database：NoSQL DB <==NoSQL (半結構化資料庫) Azure Synapse Analytics：就是原來的Data Warehouse Sential => 全能安全性中心 (把很多你原本知道LOG、分析、安全，整合在一起) <通知，圖形化> Log→Monitor→Sential →Microsoft Defender Sphere => Iot、"硬體"、{安全性} 大數據和分析相關： Azure Synapse Analytics：就是原來的Data Warehouse。關鍵字：大數據、已處理的資料(Processed)、資料是使用中的。(簡單講就是我們在系統、程式所在使用的資料) => Azure HDInsigt：完全整合且開源的服務。關鍵字：Apache Hadoop、Open Source => Azure Databricks：Apahce Spark Based analytics service.關鍵字：Machine Learnning、Apache Spark、Mlib => Azure Data Lake：for大數據。以任何速度存取任何大小和形狀的的數據以及跨平台和語言進行所有類的處理理和分析。關鍵字：大數據、任何型式的資料、沒有結構(與Synapase不同點在於Data Lake是先存在說的Raw Data概念，例如所有的數據都先存起來，就用Lake，即便你現在根本沒在使用這些資料) Azure資料庫移轉服務：文件提到利用Data Migration Assistant可以把自己的SQL Server轉移至Azure SQL Database. 新版新增了好幾項整合工具： Azure Migrate Data Migration Assistant Azure 資料轉移服務 Web應用程式移轉小幫手 Azure資料箱：這是離線式的移轉，也就是作把資料先存放到80T的如硬碟裡，寄送給你，你用完再寄回給微軟。 Azure認知服務(Azure Cognitive Services)： 語言服務：使用預先建置的指令碼來處理自然語言、評估情感以及辨識使用者想要的內容 詔音服務：語音轉文字或文字轉語音。翻譯。說話者驗證等等。 視覺服務：分析圖片、影片。辨識與識別。 決策服務：為每名使用者新增個人化建議，每使用時自動改善，審核內容以監視並移除冒犯性或有風險的內容。 Azure Bot： Azure Bot Service與Bot Framework是用於建立虛擬助理的平台。 Azure Machine Learning Designer：同KNIME，就是圖形化的方式滑鼠拉一拉"物件"來建立ML的流程和模型。(No Code工具) Azure Iot Central：簡單設定後即可直接使用的物聯網裝置監控/管理軟體服務，可快速建置物聯網解決方案。關鍵字：SaaS類別、快速建置 Azure Iot Hub：接收數十億的IoT裝置資料，並在IoT裝置與Azure之間溝通及管理的服務。Hub存放的Storage為Blob Storage和Azure Data Lake(實體也是用Blob方式存)。關鍵字：PaaS類別、收集 Azure Sphere：確保IoT Device的資料安全性。微軟與IC Design House共同開發設計的物聯網晶片。內建微軟為物聯網安全性所設計的作業系統。關鍵字：安全、硬體 GitHub和GitHub Action： 1、提供共用或私有程式碼存放庫 2、具備CI/CD管線自動化工具 3、有問題回報、討論和追蹤 4、有專案管理，包括看板面板 5、可從雲端或內部部署執行 6、也可指派工作<== Azure DevOps Services：基本上就是軟體開發專案管理方面的 Azure Repos：是集中式原始程式碼存放庫，可共同作業。 Azure Boards：是敏捷式專案管理套件，包含看板面板、報告以及追蹤從高階Epic到工作項目和問題的想法和工作 Azure Pipelines：是CI/CD管理自動化工具 Azure Artifacts：是裝載已編譯原始程式碼等成品的存放庫，可送入測試部署管線步驟 Azure Test Plans：自動化的測試工具，可用在CI/CD管線中以確保軟體發行前的品質 Azure DevTest Labs：使用可重複使用的範本及構件來快速建立環境 Azure管理工具： Azure入口網站 Azure行動APP：App裡有整合Azure Cloud Shell，所以也能執行PowerShell和Azure CLI Azure PowerShell：可裝在Windows / MAC OS / Chrome OS / Linux，裝好後，用法跟Windows 本機的PowerShell一樣，只是指令用az指令<這個可由網頁執行叫作Cloud Shell> Azure CLI：Azure CLI可以裝在所有平台。 Azure CLI是屬於安裝程式。安裝後，利用PowerShell或是BASH等命令列來執行。 註：不管裝PowerShell還是CLI，都是開啟PowerShell或是BASH來下az指令。 Azure Cloud Shell：全能通知anywhere anyos anydevice ARM範本：用[JSON先描述好所使用的資源] 後，再提交讓Azure去依照提交的調整資源。<==這個能包含PowerShell、CLI指令，提交時會驗證指令正確性。比較不容易出包。 範本預設是用來重複使用的，但也能可以只用來執行單次。不過非重複性的通常還是會用指令比較方便點。 *REST API：Azure也有提供API供自己寫程式來控制資源 特別題目：Windows PowerShell Core 5.1相容於Azure PowerShell。 其他平台的PowerShell Core 6.x以後的也能相容於Azure PowerShell。 意思如果題目出現裝的是PowerShell Core 5.1或6.0以上的版本，就代表也能執行Azure PowerShell指令。(教學裡只講到安裝Azure PowerShell) Azure Arc：為了管理多雲或混合雲，這個套件是裝在外部的資源，將資訊回傳給ARM，在ARM上直接管理這些外部服務的投影。 (簡單講，就是在Azure提供管理功能，你在Azure上的操作會幫你同步到外部的如伺服器、SQL Server Azure監視供應項目： Azure Advisor(顧問)：會評估Azure「資源」並提出[建議][你的缺點][] 來協助改善「可靠性」、「安全性」、「效能」、「成本」和「卓越營運「。旨在協助雲端最佳化的時間。 Azure Monitor(監視器)：「自訂」事件是關鍵。整個Azure和內部部署環境的計量與記錄資料，以收集、分析、視覺化，具可能採取動作的平台。 Azure 服務健康狀態：提供所依賴Azure服務、區域和資源健康狀態的"個人化檢視"。只會顯示廣泛影響客戶的主要問題。不會提供完整的情況。 協助幾種事件類型：服務問題、計畫性維護事件及健康狀態諮詢. 評估準則關鍵字：「資源」、「最佳化」、「改善建議」：Advisor 「自訂」、「追蹤」、「On-Premises」、「已發生」、「VM」：Monitor 異常類的「xx提醒/通知」<不含更新>、「RCA根本原因分析」、「PaaS類別」：服務健康狀態 (重要：考題中出現VM時，已發生的選Monitor，未發生的警示/提醒(意指潛在問題)，則是VM自帶的工具，連Monitor都不是!) 這裡在考題裡…都有點難分辨，但考題卻會有答案。比如Monitor與健康狀態都有主動通報的功能，但依問題的其他因子，卻會有"確定"的答案。 如果是未發生或潛在問題，可能答案就需要選各自服務中的是否有一些Summary工具。而不是Azure對於平台的監視工具。平台的工具比較算是已發生的資料來監控、分析。 Application Insights：是Azure Monitor的一項功能用來監視Web APP 最新版的知識檢定中有一題：資源健康狀態是實際 Azure 資源的專門檢視， 可提供個別雲端資源的健康情況資訊 這題一般都會選服務健康狀態，但它的說明是說服務健康狀態只會講那個資源有問題，但不會給你這資源的詳細資料。 Azure安全資訊中心(Azure Security Center)：增加安全性並抵禦威脅 可以： 跨內部部署和雲端工作負載監視安全性設定 新資源上線時自動套用所需的安全性設定 根據目前的設定、資源和網路提供安全性設定 [持續監視] 使用機器學習來偵測並封鎖惡意程式碼，使其無法在虛擬機器與其他資源上安全裝。也可以使用「自適性應用程式控制」定義規則來列出允許的應用程式 偵測和分析潛在的輸入攻擊，並調查威脅和任何入侵後可能發生的活動 提供網路連線埠的[Just In Time」 存取控制。這樣做可確保網路僅在您需要時才允許您所需的流量，藉此減少受攻擊面。 @考題出現過說這個也能看合規性(compliance) Azure Sentinel:設計整體監視策略，收集的資料都存放在Azure Storage Account(收集是利用Azure Monitor)。關鍵字：SIEM、SOAR、Azure AD + 資安 (整合了Azure AD、Azure Advanced Threat Protection(改為Microsof Defender)、Microsoft Cloud App Security、Office 365) (2022-06-24改名為Microsoft Sentinel) Microsof Defender<== 網路安全： Network Security Groups(NSGs)：在"一個Vnet"裡對資源作流量過濾 (來源IP/Port，目的IP/Port，通訊協定) 考題：可以將0戓1個NSG關聯至每個虛擬網路子網路(Virtual Network Subnet)和虛擬機器中的網路介面(Network Interface) 補充：除了直接設定ip和port外，也可以套用Service Tag、應用程式安全性群組的安全規則! Azure Firewall：Faas，提供進出過濾 (IP、Port、服務…)，內建HA，具有無窮無盡的雲端延展性(Scalability)，使用Azure Monitor Logging。 其規則集合為NAT(網路位址轉譯)<就是一般分享器那種IP分享類似，再加上一些port開不開放) Azure DDoS：主要防護方式為將流量分散到全球64個以上的Data Center ("實作"第三層網路，「邊際層」第四層。) 關鍵：與來源、目的有關的IP、Port都是跟NSG和Firewall有關。但是如果是指一個工具能套在許多虛擬網路的，就只能是Firewall。(NSG是一個Vnet的規則而以) Azure Key Vault：集中式雲端服務，可將應用程式的祕密儲存在單一集中位置。(如密碼、加密金鑰) 功能："管理機密"、"加密密鑰"、SSL/TLS證書、"存儲硬件安全模塊(HSM)支持的機密" Azure AD======Active Directory <=Azure Connect Azure Active Directory(Azure AD)：基本上同一般的Active Directory，用來作一些存取權限的設定 驗證Authentication(AuthN)：如密碼，主要是確認識別身份。 授權Authorization(AuthZ)：建立存取層級的程序 Azure AD提供：驗證、單一登入(SSO)、應用程式管理、裝置管理 單一登入(SSO)：使用者只要登入一次，即可使用該認證存取不同提供者提供的多種資源和應用程式 Azure AD Connect：讓AD與Azure AD之間能同步 Azure AD Multi-Factor Authentication：多因子驗證。 一般因子有三種：使用者知道的項目，如[郵件]與[密碼]。 使用者擁有的某些項目，如傳送到使用者行電動話的[驗證碼] 使用者屬於的某些項目，通常是某種[生物特徵]，如「指紋」或「臉部」<==帳密 Azure Advance Threat Protect(ATP)：已改為Defender了。關鍵字：利用內部Active Directory訊號來識別、偵測及調查進階威脅。 ATP+? -> Azure Defender -> Microsoft Defender: Azure AD有分免費和付費(Azure AD Premium P1、P2授權)：免費的就能使用多因子驗證(Ex.簡訊驗證碼)，付費的允許透過[條件式存取原則]作更精細的設定，例如使用者所在的位置、使用者所使用的裝置。 Azure AD Identity Protection(Azure AD身份保護)：包含登錄風險和用戶風險。登錄風險就是例如你IP是他沒見過的，就會要求你改密碼之類的的 Azure AD - Conditional Acess(條件式存取)：登入時，可以設定一些規則來允許存取。例如：驗證版本必需更新到最新版。或者IP必需是那個國家？那個範圍。 ====== 無密碼驗證：Azure 有三種方式可以跟Azure AD整合 Windows Hello企業板：已整合如指紋、PIN碼 Microsoft Authenticator應用程式：如手機驗證 FIDO2安全性金鑰。是併入Web驗證標準的最新標準 Zero Trust：與傳統機制相反，預設網路、受控電腦都是不安全的最差狀況。具體為何這種方式會更好就無法理了，只講到這個能更有效的適應現代環境。 ====== 重要法規： CJIS：美國型事司法資訊服務 CSA STAR：雲端安全性聯盟STAR認證 EU示範條款： HIPAA：美國健康保險流通與責任法案 ISO/IEC 27018：國際標準組職/國際電子電機委員會27018 MTCS：多層雲端安全性新加坡 UK G-Cloud：英國政府雲端 GDPR：通用資料保護條例。(歐洲個資保護) NIST：美國國家標準 特殊機房： 中國：由21Vianet (世紀互聯) 營運。(不是微軟) [功能和Azure Global一樣] 美國：政府及其合作業者才能存取。(微軟營運) Compliance Manager (合規性管理員)：主要「評估」是否符合所需的法規，最後會有分數。(比如你需要符合ISO9001，這個工具能判斷你目前的設定和使用上符不符合) Trust Center：看起來就是讀取各式隱私、合規性等文件的地方。(Read Only) Security Center:考古題中提的 Online Service Privacy Statment：就是在講他怎麼注重你的隱私(資料的使用、處理、保存) 專有詞： OST：線上服務條款。就是他的產品授權條款 DPA：資料保護增補合約。仍然是在講說他怎麼保護你的資料 Microsft Privacy Statement：在說怎麼保護你的"個資" SLA：服務等級協定，Azure提供的通常由三個九至四個九。99.9%~99.99%。免費的服務不提供SLA。 如果無法達到定義的SLA時，通常會以帳單打折作為補償。(例：<99退25%, <95%退100%) 考題常出現的SLA： 虛擬主機基本款：95% 虛整主機 + SSD or Ultra：99.9% 虛擬主機 + 複寫主機 (意指同區域裡建了二台一樣的VM)：99.95% 虛擬主機 + 異地備援 (意指二台以上的一樣VM 落在不同的區域)：99.99% SQL Database：99.99% Cosmos DB：99.99% Cosmos DB + 多區：99.999% Web APP：99.95% Logic Apps：99.9% Kubernet：99.95 Function：99.95% 複合式SLA：採用每個SLA相乘 (例如一個案子用到二台一般VM，則為0.95*0.95=90.25% 成本計算： TCO：總成本計算機。 <=導入後 Step 1：定義工作負載，伺服器、資料庫、Storage、網路功能 Step 2：調整假護。如軟體授權，複寫備援 Step 3：檢視報告(預估1~5年的成本)，報告也可以針對類別去計算。 計價計算機：Cacul Pricing <=導入前 Azure入口網站目前支援下列計費帳戶類型： Microsoft Online Services Enterprise Agreement (EA) Microsoft Customer Agreement Support Plan： Basic：自己看文件解決. Cost: Developer：郵件 Standard：郵件+電話 Professional Direct：郵件+電話 免費帳戶： 12個月免費使用熱門服務 (有的服務是永久，最新的列25項以上) 前30天可使用的免費200美金點數 所有的服務資源都不會是無限的。 Blob Storage：5GB SQL Database:250GB S0 Cosmos DB：25GB File：5GB App Service:10 Web with 1G Storage VM：750小時 Azure學生帳戶： 12個月免費使用熱門服務 (有的服務是永久，最新的列25項以上) 前30天可使用的免費200美金點數 ****免費存取[ 特定軟體 ]開發人員工具 Consumption-based plan：使用才付費的計價計畫 Fixed Plan:固定費用 Fault Tolerance：容錯，故障發生時保持可用的能力。例如在多台服務器上的服務可以承受其中一台服務器故障。關鍵：建在1個以上的可用區(Zone)、有效區域(Region)、保持服務 Disaster Recovery：災難復原。例如虛擬主機故障後從備份恢復虛擬機。