# AZ-900
## 領取電子書:
[https://learn.microsoft.com/zh-tw/](https://learn.microsoft.com/zh-tw/)
電子書序號:L7P88M
登入帳號->設定檔->成就->輸入序號領取
# Microsoft Azure 基本概念:描述雲端概念(1-1)
## 說明雲端運算(1-1-1)
Microsoft Azure is a cloud computing platform that includes an ever-expanding set of services to help build solutions that meet your business goals.
Microsoft Azure是雲端運算平台,其中包含一組不斷擴充的服務,可協助建置符合您業務目標的解決方案。
提供的雲端是服務,ex:遠端儲存體、資料庫裝載、集中式帳戶管理、人工智慧(AI)、物聯網(IOT)
### 什麼是雲端運算(What is cloud computing) (1-1-3)
雲端運算為==透過網際網路傳遞的運算服務(Cloud computing is computing services delivered over the Internet.)==
,運算服務包括常見的IT基礎結構,EX:VM、storage、databases and networks。
pay as you go
:::info
上課筆記
* 什麼是雲端運算:是透過網際網路提供運算服務,從而實現更快的創新、靈活的資源和規模經濟。
* 運算(compute)
* 1.CPU
* 2.Memory
* 網路功能(network)
* 1.NIC
* 儲存體(storage)
* 1. Disk
* 電腦要安全三要件:
* 防毒軟體要裝
* Windows防火牆要開
* Windows更新
* 雲端服務:
* AWS:雅馬遜的雲端服務,市占率第一名
* GCP:google雲端服務
* Azure:Microsoft雲端服務,微軟最晚起家,市占率第二名
* ADDS-Windows Server
* Server、VM:
* 共同性:都需要有硬體
* 差異性:實體是實體還是虛擬的,但是作業系統(OS)都是虛擬的
* 安裝Hyper-v:
開始->系統->控制台->程式集->程式和功能開始關閉Windows功能->Hyper-v
* 系統管理工具->Hyper-v管理員
新增虛擬機-VM1->資料夾路徑C:\\VMs\VM1->第二代(Type2)
Server->virtual->Hypervisor ==Type1==
->VMware ESXi
->Microsoft Hyper-v
User->Hypervisor ==Type2==
Type1 ->linux
工作管理員查看記憶體
File System(檔案系統)
FAT32
NTFS
啟動、記憶體5120、處理器4
格式化隨身碟,以系統管理員身份執行cmd
指令->convert e: /fs:ntfs
網管負責維護公司帳號,在ADDS上進行維護
Azure AD
ADDS? ODDS?
:::
### 描述共同責任模型 (Describe the Shared Responsibility Model) (1-1-4)
* 基礎建設及服務(IaaS):大部分責任在消費者身上,雲提供商負責物理安全、電源、連接的基礎知識。
* 平台及服務(PaaS):在雲提供商和消費者之間平均分配責任。
* 軟件及服務(SaaS):大部分責任在雲提供商。
* You'll always be responsible for(消費者始終負責):
* the information and data stored in the cloud(存儲在雲端的信息和數據)
* Devices that are allowed to connect to your cloud(cell phones,computers,and so on)【(允許連接到您的雲的設備(手機、計算機等)】
* The accounts and identities of the people,services,and devices within your organization.(您組織內人員、服務和設備的帳戶和身分)
* The cloud provider is always responsible for(雲提供商始終負責):
* The pycical datacenter(物理數據中心)
* The pysical network(物理網路)
* The pysical hosts(物理主機)
* Your service model will determine responsible for things like(您的服務模型將確定以下事項的責任):
* Operating systems(操作系統)
* Network controls(網絡控制)
* Applications(應用)
* Identity and infrastructure(身分和基礎設施)
### 定義雲端模型 (1-1-5)
#### 私有雲(Private cloud):
* 是一個由單個實體使用的雲(通過互聯網提供IT服務)。
* 可為公司及其IT部門提供更大的控制權。
#### 公有雲(Public cloud):
* 由第三方雲提供商構建、控制和維護。
#### 混合雲(Hybrid cloud):
* 是一種在互聯環境中同時使用公有雲和私有雲的計算環境。
* 可用於允許私有雲通過部屬公有雲資源來滿足增加的臨時需求
* 可用於提供額外的安全層,ex:用戶可以靈活地選擇將哪些服務保留在公共雲中,哪些服務部署到他們的私有雲基礎設施中。
* 雲模型之間的整理:
| Public cloud | Private cloud | Hybrid cloud |
| -------- | -------- | -------- |
| No capital expenditures to scale up (無需資本支出即可擴大規模) | Organizations have complete control over resources and security(組織可以完全控制資源和安全) | Provides the most flexibility(提供最大的靈活性) |
| Applications can be quickly provisioned and deprovisioned(可以快速配置和取消配置應用程序) | Data is not collocated with other organizations’ data(數據不與其他組織的數據並置) | Organizations determine where to run their applications (組織決定在哪裡運行他們的應用程序) |
| Organizations pay only for what they use (組織只為他們使用的東西付費) | Hardware must be purchased for startup and maintenance (必須購買硬件用於啟動和維護) | Organizations control security, compliance, or legal requirements (組織控制安全性、合規性或法律要求) |
| Organizations don’t have complete control over resources and security (組織無法完全控制資源和安全) | Organizations are responsible for hardware maintenance and updates (組織負責硬件維護和更新) | |
#### 多雲
使用多個公共雲提供商,可使用不同cloud provider,並在不同cloud provider上進行移動,
可在兩個(或多個)雲提供商管理資源(manage resources)或安全性(security)。
#### Azure Arc
可以幫助管理您的雲環境,無論是僅在 Azure 上的公共雲、數據中心中的私有云、混合配置,還是同時在多個雲提供商上運行的多雲環境。
#### Azure VMware 解決方案
如果您已在ˋ私人雲端環境中使用VMWare建立,但想要移轉至公用或混合式雲端,該怎麼辦?
Azure VNWare解決方案可讓您在Azure中執行VMWare工作附載,並提供吳鳳的整合和可擴縮性。
### 描述已使用量為基礎的模型Describe usage-based models (1-1-6)
* 基本支出Capital expenditure (CapEx):
通常是一種一次性的前期支出,用於購買或保護有形資源。ex:新建築、重新鋪設停車場、建造數據中心或購買公司車輛...等。
* 運營支出operational expenditure (OpEx):
是隨著時間推移在服務或產品上花錢。ex:租用會議中心、租賃公司車輛或註冊雲服務。
ex:雲端運算,是採以使用量為基礎的模型運作,使用雲端運算後,您就無須支付實體基礎結構、電力、安全性,或與維護資料中心相關的任何費用。相反地,您只需支付所用的IT資源費用即可。挼果您本月未使用任何IT資源,就無須支付任何IT資源相關費用。
* 這種基於消費的模式有很多好處,包括:
* 免預付費用。
* 無須購買和管理使用者不一定會完全用到的昂貴基礎結構。
* 若有需要,可付費使用更多資源。
* 若不再需要資源,可停止付費。
使用傳統的資料中心,就必須使著預估未來的資源需求,高估使用量會增加資料中心的支出、浪費金錢;低估使用量,資料心很快會達到容量上限,應用程式和服務可能因效能降低而受到影響。
修正不見不足的資料心可能需要很長的時間,需要訂購、接收及安裝更多硬體,也需要額外的硬體新增店員、冷卻和網路功能。
在雲端模型中,無須擔心是否以正確評估資源需求,可試需求增減VM,pay as you go。
#### 比較雲端定價模型(Compare Cloud Pricing Models)
* pay as you go的方式,有助於:
* 規劃並管理營運成本。(Plan and manage operating costs.)
* 更有效率地執行基礎結構。(Execute infrastructure more efficiently.)
* 隨業務需求變化調整規模。(Scale as your business needs change.)
無須維護資料中心的CPU與儲存體,在需要時租用,雲端提供者會負責維護基礎結構,雲端可提供快速解決方案。
### 知識檢定 (1-1-7)
# 說明使用雲端服務的優點(1.2.2)
## 描述雲端中高可用性和可擴縮性的優點(Describe the benefits of high availability and scalability in the cloud)
* 建置或部署雲端應用程式時,最重要的兩大考量因素是運作時間 (可用性) 和處理需求 (調整) 的能力。
### 高可用性(High availability)
* 在部屬應用程式、服務或任何IT資源時,資源必須在需要時可供使用。高可用性著重於確保最大可用性,無論可能發生什麼樣的中段或事件。
* 建構解決方案十,必須考慮服務可用性的保證。
### SLA(服務級別協議) (Services Lable Agreement)
* 他是服務提供商和客戶之間的正式協議,用於保證客戶獲得規定的服務級別。
* 服務提供商可能是提供服務的商業公司,ex:當你使用Azure服務時,服務提供商為Microsoft。
* 在組織內部,在IT部門和業務用戶之間的協議中也使用SLA。
Azure服務級別協議以百分比表示,關係到服務或應用程序的可用性,稱為運行時間。若服務可使用,可說它100% availiable,或是100% up time。
* 通常包含一些詳細信息,ex:停機時間如何定義、什麼時候服務不可用,以及如果沒有達到SLA,可能有權獲得的任何補償。在現實中,100%運行時間很難實現,而且成本很高,因為它不允許留出時間來關閉服務已進行所需的維護或升級。
它還需要複製每一個組件以防某個組件出現故障,並要求這些輩分組件在保證客戶不發生和中斷的情況下接替服務任務。
* 常見SLA為:99%、99.9%、99.5%、99.99%
99.%及99.9%差別很大,一個99.9%SLA的服務,每周最多有7.2小時不可用,但仍有99%的可用性。這個時間是累積的,這意味著它可以在多次服務不可用的事件中累加。
100.
* 一個99.9%SLA的服務,每周只有10分鐘或每月只有43.2分鐘不可用,區別非常明顯。如果服務對你的業務很重要,幾分鐘與幾小時的停機時間可以產生很大的區別,但高可用性服務確實需要更多的成本
* 每項Azure服務都有自己的SLA,在設計任何在Azure上運行的應用程序之前,請熟悉這些SLA,以確保根據你的業務需求優化可用性。
一年容許停機的時間大約為5.3分鐘
### 延展性(Scalability)
1. 可擴縮性指的是調整資源以滿足需求的能力。如果突然遭遇尖峰流量而且系統已超載,調整能力表示可以新增更多資源,以更妥善地處理增加的需求。
2. 部會為了服務支付過多費用,因為雲端是以使用量為基礎的模型,只須依據使用量付費,如果需求下降,可以減少資源已降低費用。
* 調整通常有兩種:垂直和水平
垂直調整注重於增加或減少資源的功能
水平調整是增加或減少資源數目
### 垂直調整(Vertical scaling)
如果正在開發應用程式而且需要更高的處理能力,透過垂直調整,可以垂直擴大已將更多CPU或RAM新增指虛擬機器;如果發現ˋ需求設定的規格過高,可以降低CPU或RAM規格來垂直縮小。
### 水平調整()
如果突然遭遇需求突增的狀況,透過水平調整,可以將部屬的資源(自動或手動)擴增。ex:可以新增額外的虛擬機或容起已進行擴增;如果需求顯著降低,可以將部屬的資源(自動或手動)縮減。
擴充性:功能會增加
可擴縮性:功能不變,運算能力增加
## 描述雲端中可靠性和可預測性的優點
### 可靠性(Reliability)
* 是系統從失敗中復原並繼續運作的能力。
* 雲端藉由分散式設計,自然地支援可靠且具復原性的基礎結構。透過分散式設計,雲端可將資源部屬在世界各地的區域,透過全球規模,即使某個區域發生重大事件,其他區域仍會啟動並執行。
* 也可設計應用程式來自動利用此更高的可靠性。在某些情況下,雲端環境本身會自動為使用者移轉至不同區域,不需要採取任何動作。
### 可預測性(Predictability)
雲中的可預測性讓您充滿信心地前進。可預測性可以集中在性能可預測性或成本可預測性上。Microsoft Azure Well-Architected Framework 對性能和成本可預測性都有很大影響。部署圍
#### 效能(Performan)
性能可預測性側重於預測為客戶提供積極體驗所需的資源。自動縮放、負載平衡和高可用性只是支持性能可預測性的一些雲概念。如果您突然需要更多資源,自動縮放可以部署額外的資源來滿足需求,然後在需求下降時縮減。或者,如果流量主要集中在一個區域,負載平衡將有助於將一些過載重定向到壓力較小的區域。
#### 成本(Cost)
成本可預測性側重於預測或預測雲支出的成本。借助雲,您可以實時跟踪資源使用情況,監控資源以確保以最有效的方式使用它們,並應用數據分析來查找有助於更好地規劃資源部署的模式和趨勢。通過在雲中運營並使用雲分析和信息,您可以預測未來成本並根據需要調整資源。您甚至可以使用總擁有成本 (TCO) 或定價計算器等工具來估算潛在的雲支出。
## 描述雲端中安全性和治理的優點
無論您正部署基礎結構即服務或軟體即服務,雲端功能都可支援治理和合規性。 範本集等工具有助於確保所有已部署的資源均符合公司標準和政府法規需求。 此外,您還可以在標準變更時,將所有已部署的資源更新成新標準。 雲端式稽核有助於標示任何不符合貴公司標準的資源,並提供風險降低策略。 根據您的作業模型,系統可能也會自動套用軟體修補檔和更新作業,這有助於治理和安全性。
在安全性方面,您可以找到符合安全性需求的雲端解決方案。 如果您想要全面控制安全性,基礎結構即服務雖會提供實體資源,但仍可讓您管理作業系統和已安裝的軟體,包括修補檔和維護作業。 如果您想要自動處理修補檔和維護作業,平台即服務或軟體即服務部署可能會是最適合您的雲端策略。
由於雲端是透過網際網路傳遞的 IT 資源,因此雲端提供者通常很適合處理分散式阻斷服務 (DDoS) 攻擊等威脅,讓您的網路更加強固且安全。
您可以提早建立良好的治理使用量,以更新、保障並妥善管理您的雲端使用量。
## 描述雲端中管理能力的優點
* 雲端運算的最大優點是管理能力選項。 您將會在此系列中了解雲端運算的兩種管理能力類型,而且兩者都有絕佳的優點。
### 針對雲端進行管理
雲端管理會說明如何管理您的雲端資源。 在雲端中,您可以:
* 根據需求自動調整資源部署。
* 根據預先設定的範本部署資源,免除以手動進行設定的需求。
* 監視資源的健康情況,並自動取代失敗的資源。
* 根據設定的計量接收自動警示,好讓您可以即時了解效能。
### 在雲端中進行管理
雲端中的管理說明如何管理雲端環境和資源。 您可以管理下列項目:
* 透過入口網站。(portal.com)
* 使用命令列介面。(cmd)
* 使用 API。
* 使用 PowerShell。
## 知識檢定
# 描述雲端服務類型(1.2.3)
## 描述基礎架構及服務
基礎結構即服務 (IaaS) 是最彈性的雲端服務類別,因為其提供您對於雲端資源最大的控制權。 在 IaaS 模型中,雲端提供者負責維護硬體、網路連線 (到網際網路),以及實體安全性。 您負責其他項目:作業系統安裝、設定和維護;網路設定;資料庫和儲存體設定等等。 使用 IaaS 時,基本上是在雲端資料中心租用硬體,但該硬體的用途取決於您。
### 共同責任模式
共用責任模型適用於所有雲端服務類型。 IaaS 將最大的責任交給了您。 雲端提供者負責維護實體基礎結構及其網際網路的存取權。 您必須負責安裝和設定、修補和更新,以及安全性。
### 案例
IaaS 可能有意義的一些常見案例包括:
* 隨即轉移移轉:您正在建立類似內部部署資料中心的雲端資源,然後將內部部署執行的內容直接移動至 IaaS 基礎結構上執行。
* 測試和開發:您已針對需要快速複寫的開發與測試環境建立設定。 您可以使用 IaaS 結構快速啟動或關閉不同的環境,同時維持完全控制。
## 描述平台及服務
平台即服務 (PaaS) 是介於在資料中心 (基礎結構即服務) 中租用空間,和購買完整且已部署的解決方案 (軟體即服務) 之間的折衷辦法。 在 PaaS 環境中,雲端提供者會維護實體基礎結構、實體安全性和網際網路連線。 他們也會維護構成雲端解決方案的作業系統、中介軟體、開發工具和商業智慧服務。 使用 PaaS 時,您不必擔心作業系統和資料庫的授權或修補。
PaaS 非常適合提供完整的開發環境,而不需要維護所有的開發基礎結構。
### 共同責任模式
共用責任模型適用於所有雲端服務類型。 PaaS 會劃分您與雲端提供者之間的責任。 雲端提供者負責維護實體基礎結構及其網際網路的存取權,就像在 Iaas 中一樣。 在 PaaS 模型中,雲端提供者也會維護作業系統、資料庫和開發工具。 您可以把 PaaS 想像成在使用已加入網域的電腦:IT 會透過定期更新、修補和重新整理來維護裝置。
取決於設定,您或雲端提供者可能要負責雲端環境、網路與應用程式安全性和目錄基礎結構內的網路設定和連線能力。
### 案例
PaaS 可能有意義的一些常見案例包括:
* 開發架構:PaaS 提供了一個架構,開發人員可以在其上建置以開發或自訂雲端應用程式。 就像您建立 Excel 巨集的方式一樣,PaaS 也可讓開發人員使用內建的軟體元件來建立應用程式。 延展性、高可用性和多租用戶功能等雲端功能都包含在內,進而減少開發人員必須完成的程式碼撰寫工作量。
* 分析或商業智慧:PaaS 以服務形式提供的工具可讓組織分析資料、進行資料採礦、找出見解與模式並預測結果,以改善趨勢預測、產品設計和投資報酬等商務決策。
## 描述軟體及服務
從產品的觀點來看,軟體即服務 (SaaS) 是最完整的雲端服務模型。 透過 SaaS,您基本上是租用或使用完全開發的應用程式。 電子郵件、財務軟體、傳訊應用程式和連線軟體都是 SaaS 實作的常見範例。
雖然 SaaS 模型可能最不具彈性,但啟動並執行是最容易的。 該模型只需要最少的技術知識或專業知識,即可充分運作。
### 共同責任模式
共用責任模型適用於所有雲端服務類型。 SaaS 這種模型會讓雲端提供者承擔最大責任,並讓使用者承擔最小責任。 在 SaaS 環境中,您負責包含放入系統的資料、允許連線到系統的裝置,以及可存取的使用者。 所有其他事情幾乎都落在雲端提供者身上。 雲端提供者負責資料中心的實體安全性、電源、網路連線,以及應用程式開發和修補。
### 案例
SaaS 的一些常見案例如下:
* 電子郵件和傳訊。
* 商務生產力應用程式。
* 財務和費用追蹤。
## 知識檢定
# Azure 基本概念:描述 Azure 結構和服務(二)
## 描述 Azure 的核心架構元件(2-1)
### 什麼是 Microsoft Azure(2-1-2)
1. 先建立Azure帳戶
2. 才能建立多個訂用帳戶
3. 可開始在每個訂用帳戶內建立Azure資源
1. 一個subscription下可以有很多resource group,一個resource下可以有很多資源
2. 一個資源同一時間只能屬於一個resource group。
### 描述Azure實體基礎結構(physical infrastructure) (2-1-5)
#### 實體基礎結構
實體基礎結構會從資料中心開始,資料中心與大型公司資料中心相同,都是具有已積架排列資源、專用電力、冷卻和網路基礎結構的設備。
作為全球雲端提供者,Azure在全球都有資料中心,不過這些個別資料中心無法直接進行存取。資料中心惠群組為Azure區域或Azure可用性區域,旨在協助消費者可達到業務關鍵工作附載的復原和可靠性。
#### 區域(area)
Region,透過多個低延遲網路緊密相連的鄰近資料中心,以聰明的方式指派並控制每個區域內的資源,以確保工作附載得到適當平衡。在Azure中部屬資源時需要選擇要部屬資源的區域。
#### 可用性區域
是Azure區域中實際獨立的資料中心。每個可用性區域由一或多個資料中心組成,配備了電力、冷卻系統及網路系統。可用性區域已設定為「隔離界線」,如果一個區域故障,則另一個區域會繼續運作。可用性區域會透過高速的私人光纖網路連線。
##### 在應用程式中使用可用性區域
* 確保服務和資料具有備援,已在故障發生時保護建立的資訊。
* 裝載基礎結構時設定自有備援會需要建立重複的硬體環境。
* Azure可透過可用性區域來協助讓應用程式具備高度可用性。
* 可使用可用性區域來執行任務關鍵應用程式ˋ,並將計算、儲存體、網路和資料資源共至於某個可用性區域內並複寫至其他可用性區域,已在應用程式架構內建置高可用性。
您可以使用可用性區域來執行任務關鍵應用程式,並將計算、儲存體、網路和資料資源共置於某個可用性區域內並複寫至其他可用性區域,以在應用程式架構內建置高可用性。 請記住,在可用性區域之間複製服務和傳輸資料可能會產生成本。
可用性區域主要用於 VM、受控磁碟、負載平衡器以及 SQL 資料庫。 支援可用性區域的 Azure 服務分成三個類別:
區域服務:您可以將資源釘選到特定區域 (例如,VM、受控磁碟、IP 位址)。
區域備援服務:此平台會自動在不同區域之間複寫 (例如,區域備援儲存體、SQL Database)。
非區域服務:一律可從 Azure 地理位置取得服務,不論是區域全面或地區全面性停機,服務都不中斷。
即使可用性區域提供額外復原功能,事件可能還是很大,因此影響單一區域中的多個可用性區域。 為了提供更進一步的復原能力,Azure 具有區域配對。
### 區域配對
大部分 Azure 區域都會與相同地理位置 (例如美國、歐洲或亞洲) 內最少 300 英哩遠的另一個區域配對。 此方法允許複寫整個地理位置的資源,其有助於降低因自然災害、社會動亂、電力中斷或實體網路中斷這類影響整個區域的事件造成中斷的可能性。 例如,如果配對中的區域受到自然災害的影響,則服務會自動容錯移轉至其區域配對中的另一個區域。
:::info
※重要
並非所有 Azure 服務都會自動複寫資料,或從失敗的區域自動回復,以跨複寫至另一個已啟用的區域。 在這些情況下,客戶必須設定復原和複寫。
:::
Azure 中的區域配對範例為美國西部與美國東部配對,以及東南亞與東亞配對。 區域配對是直接連線且其距離足以隔離區域性災害,因此您可以使用區域配對來提供可靠的服務和資料備援。
### 區域配對的其他優勢:
* 如果發生廣泛的 Azure 中斷,則會優先處理每個配對中的一個區域,以確保至少會針對該區域配對中裝載的應用程式盡可能快速地還原其中一個區域。
* 計劃性 Azure 更新會以逐區域的方式推出到配對的區域,以將停機時間縮到最短並將應用程式中斷風險降到最低。
* 資料會繼續駐留在與其配對相同的地理位置內 (巴西南部除外),以符合稅務和執法管轄區的要求。
:::info
※重要
大部分的路線會以兩個方向配對,這表示它們是區域備份,可提供 (美國西部和美國東部備份的備份) 。 不過,某些區域 (例如印度西部和巴西南部) 只會單向配對。 在單向配對中,主要區域未提供其次要區域的備份。 因此,即使印度西部的次要區域是印度南部,則印度南部也會不依賴印度西部。 印度西部的次要地區是印度南部,但印度南部的次要區域是印度中部。 巴西南部是唯一的,因為其與所在地理位置外的區域配對。 巴西南部的次要區域是美國中南部。 美國中南部的次要區域不是巴西南部。
:::
### 主權區域
除了一般區域之外,Azure 也有主權區域。 主權區域是與 Azure 主要執行個體隔離的 Azure 執行個體。 您可能需要基於合規性或法律用途而使用主權區域。
Azure 主權區域包括:
* US DoD 中部、US Gov 維吉尼亞州、US Gov 愛荷華州等:這些區域適用於美國政府機構與合作夥伴的 Azure 實體與邏輯網路隔離執行個體。 這些資料中心是由經過篩選的美國公民運作,且包含其他合規性認證。
* 中國東部、中國北部等:這些區域透過 Microsoft 與 21Vianet 之間獨特的合作關係提供,Microsoft 並不會直接維護資料中心。
## 描述 Azure 管理基礎結構
管理基礎結構包括 Azure 資源與資源群組、訂用帳戶和帳戶。 了解階層式組織可協助您規劃 Azure 中的專案和產品。
### Azure 資源和資源群組
資源是 Azure 的基本建置組塊。 您所建立、佈建、部署等的任何項目都是資源。 虛擬機器 (VM)、虛擬網路、資料庫、認知服務等都會視為 Azure 內的資源。
源群組只是資源的群組。 當您建立資源時,必須將其放入資源群組中。 雖然資源群組可以包含許多資源,但單一資源一次只能位於一個資源群組中。 某些資源可能會在資源群組之間移動,但當您將資源移至新的群組時,其將不再與先前的群組相關聯。 此外,資源群組無法巢狀化,這表示您無法將資源群組 B 放在資源群組 A 內。
資源群組提供一個方便的方式,可讓您將資源分組在一起。 當您將動作套用至資源群組時,該動作會套用至資源群組內的所有資源。 如果您刪除資源群組,則會刪除所有資源。 如果您授與或拒絕資源群組的存取權,則表示您已授與或拒絕資源群組內所有資源的存取權。
當您佈建資源時,最好考慮最適合您需求的資源群組結構。
例如,如果您要設定暫時開發環境,則將所有資源分組在一起,表示您可以刪除資源群組,來一次取消佈建所有相關聯的資源。 如果您要佈建需要三個不同存取結構描述的計算資源,最好根據存取結構描述將資源分組,然後在資源群組層級指派存取權。
沒有關於如何使用資源群組的硬式規則,因此請考慮如何設定您的資源群組,以盡可能為您發揮其最大效用。
### Azure 訂用帳戶
在 Azure 中,訂用帳戶是管理、計費和縮放的單位。 訂用帳戶類似於資源群組是以邏輯方式組織資源的方式,可讓您以邏輯方式組織資源群組,並加速計費。
使用 Azure 需要 Azure 訂用帳戶。 訂用帳戶可提供 Azure 產品與服務經驗證和授權的存取權。 其也可供佈建資源。 Azure 訂用帳戶會連結至 Azure 帳戶,其為 Azure Active Directory (Azure AD) 或 Azure AD 所信任目錄中的身分識別。
帳戶可以有多個訂用帳戶,但其只需要有一個訂用帳戶。 在多訂用帳戶的帳戶中,您可以使用訂用帳戶來設定不同的計費模型,並套用不同的存取管理原則。 您可使用 Azure 訂用帳戶來定義 Azure 產品、服務與資源的界限。 您可使用兩種訂用帳戶界限類型:
* 計費界限:此訂用帳戶類型會判斷 Azure 帳戶使用 Azure 時如何計費。 您可為不同的計費需求類型建立多個訂用帳戶。 Azure 會為每個訂用帳戶分別產生帳單報告和發票,讓您可組織及管理成本。
* 存取控制界限:Azure 會在訂用帳戶層級套用存取管理原則,讓您可建立個別的訂用帳戶以反映不同組織結構。 例如在企業中,您會有套用相異 Azure 訂用帳戶原則的不同部門。 這種計費模型可讓您管理及控制使用者使用特定訂用帳戶所佈建資源的存取權。
### 建立額外的 Azure 訂用帳戶
類似於使用資源群組依函式或存取權來區分資源,您可能需要針對資源或計費管理目的建立其他訂用帳戶。 例如,您可能會建立額外的訂用帳戶,以區分:
* 環境:您可以選擇建立訂用帳戶來設定個別環境以用於開發、測試及安全性,或是基於合規性因素用來隔離資料。 這項設計特別實用,因為資源存取控制會在訂用帳戶層級發生。
* 組織結構:您可以建立訂用帳戶以反映不同的組織結構。 例如,您可以限制一個小組只能使用較低成本的資源,同時允許 IT 部門使用完整範圍的資源。 此設計可讓您針對使用者在每個訂用帳戶內佈建的資源,管理和控制其存取。
* 計費:基於計費目的,您可以建立額外的訂用帳戶。 由於成本會先在訂用帳戶層級彙總,因此您可能需要建立訂用帳戶,以根據您的需求管理及追蹤成本。 例如,您可能需要為生產工作負載建立訂用帳戶,並為開發及測試工作負載建立另一個訂用帳戶。
### Azure 管理群組
最後一個部分是管理群組。 資源會收集到資源群組中,而資源群組則會收集到訂用帳戶中。 如果您剛開始使用 Azure,則看起來可能已有足夠的階層可保持井然有序。 但假設如果您在多個地理位置處理多個應用程式和多個開發小組。
如果您有許多訂用帳戶,則可能需要有效管理這些訂用帳戶的存取權、原則與合規性方法。 Azure 管理群組提供了訂用帳戶之上的範圍層級。 您可將訂用帳戶組織成稱為「管理群組」的容器,並將治理條件套用到管理群組。 管理群組內的所有訂用帳戶都會自動繼承套用至管理群組的條件,與資源群組繼承訂用帳戶設定的方式,以及從資源群組繼承資源的方式相同。 無論您具有何種類型的訂用帳戶,管理群組都可為您提供企業級的大規模管理功能。 可以對管理群組進行巢狀處理。
### 管理群組、訂用帳戶以及資源群組階層
您可以建置管理群組和訂用帳戶的彈性結構,以將您的資源組織到階層內,從而獲得統一的原則和存取管理。 下圖顯示使用管理群組建立治理階層的範例。
以下範例說明您可以使用管理群組的方式:
* 建立套用原則的階層。 您可在稱為「生產」的群組內,將 VM 位置限制在美國西部區域。 此原則將會同時由該管理群組底下的所有訂用帳戶繼承,並會套用至這些訂用帳戶底下的所有 VM。 為了提供更好的治理,資源或訂用帳戶擁有者無法改變這項安全性原則。
* 提供使用者對多個訂用帳戶的存取權。 您可以在管理群組底下移動多個訂用帳戶,藉此在管理群組上建立一個 Azure 角色型存取控制 (Azure RBAC) 指派。 在管理群組層級指派 Azure RBAC,表示該管理群組下的所有子管理群組、訂用帳戶、資源群組和資源也會繼承這些權限。 只需對管理群組進行一個指派,便能夠讓使用者存取其所需的一切項目,而無須為不同訂用帳戶撰寫 Azure RBAC 指令碼。
關於管理群組的重要資訊:
* 可在單一目錄中支援 10,000 個管理群組。
* 管理群組樹狀結構最多可支援六個層級的深度。 這項限制不包含根層級或訂用帳戶層級。
* 每個管理群組和訂用帳戶僅能支援一個父系。
# 說明Azure計算和網路服務(2-2)
## 描述Azure虛擬機器(2-2-2)
透過 Azure 虛擬機器 (VM),您可以在雲端中建立和使用 VM。 VM 能以虛擬化伺服器的形式提供基礎結構即服務 (IaaS),而且能以多種方式使用。 如同實體電腦一般,您也可以自訂在您 VM 上執行的所有軟體。 VM 最適合用來滿足您下列需求:
* 完全控制作業系統 (OS)。
* 執行自訂軟體的能力。
* 使用自訂裝載設定。
Azure VM 讓您能夠有彈性地進行虛擬化,而不需購買並維護執行 VM 的實體硬體。 不過,作為 IaaS 供應項目,您仍然必須設定、更新和維護 VM 上執行的軟體。
您甚至可以建立或使用已建立的映像來快速佈建 VM。 當您選取預先設定的 VM 映像時,只需數分鐘即可建立和佈建 VM。 映像是用來建立 VM 的範本,可能已經包括 OS 和其他軟體,例如開發工具或 Web 裝載環境。
### 在 Azure 中調整 VM
您可以執行單一 VM 以進行測試、開發或次要工作。 或者,您可以將多個 VM 群組在一起,以提供高可用性、可擴縮性和備援。 Azure 也可以使用擴展集和可用性設定組這類功能來管理 VM 群組。
#### 虛擬機器擴展集
虛擬機器擴展集可讓您建立和管理一組完全相同且已負載平衡的 VM。 如果您只是建立多個具有相同用途的 VM,則需要確定其設定完全相同,然後設定網路路由參數以確保效率。 您也必須監視使用率,以判斷需要增加還是減少 VM 數目。
相反地,透過虛擬機器擴展集,Azure 會將該工作大部分都自動化。 擴展集可讓您在數分鐘內集中管理、設定和更新大量的 VM。 VM 執行個體數目可以因應需求而自動增加或減少,或者您可以將其設定為根據已定義的排程進行調整。 虛擬機器擴展集也會自動部署負載平衡器,以確保有效率地使用您的資源。 透過虛擬機器擴展集,您可以針對計算、巨量資料和容器工作負載這類區域建立大規模的服務。
#### 虛擬機器可用性設定組
虛擬機器可用性設定組是另一種工具,可協助您建置更具復原性的高可用性環境。 可用性設定組旨在確保 VM 交錯更新,並具有不同的電力和網路連線能力,防止您遺失所有具有單一網路故障或停電的 VM。
可用性設定組會使用兩種方式,將 VM 群組在一起以執行此動作:更新網域和容錯網域。
* 更新網域:可同時重新開機的更新網域群組 VM。 這可讓您在知道一次只會有一個更新網域群組離線時套用更新。 一個更新網域中的所有機器都會予以更新。 進行更新程序的更新群組會在下次更新網域的維護開始之前,獲得 30 分鐘的復原時間。
* 容錯網域:容錯網域會依電源和網路交換器將您的 VM 群組在一起。 根據預設,可用性設定組最多會將 VM 分割成三個容錯網域。 這可有助於防止實體電力或網路故障,方法是讓 VM 位於不同的容錯網域中 (因此而連線至不同的電力和網路資源)。
*
最好的是,設定可用性設定組不需要額外的成本。 您只需要支付您所建立 VM 執行個體的費用。
:::success
可用性區域、虛擬機器擴展集、可用性設定組都是Azure中用於提高應用程式可用性的功能,但它們的作用和使用方式有所不同。
可用性區域:可用性區域是一個物理區域,其中包含多個數據中心,每個數據中心都有自己的電源、網絡和冷卻系統。在可用性區域中運行的應用程式可以實現跨數據中心的高可用性和災難恢復能力。
虛擬機器擴展集:虛擬機器擴展集是一個自動擴展的虛擬機器群組,可以根據應用程式的負載自動調整虛擬機器的數量。虛擬機器擴展集可以實現應用程式的高可用性和負載均衡。
可用性設定組:可用性設定組是一個邏輯群組,其中包含多個虛擬機器,這些虛擬機器可以在同一時間內運行在不同的數據中心或可用性區域中。可用性設定組可以實現應用程式的高可用性和災難恢復能力。
總的來說,可用性區域是一個物理區域
:::
### VM 使用時機範例
一些虛擬機器常見範例或使用案例包括:
* 在測試和開發期間。 VM 提供快速又簡單的方式來建立不同的 OS 和應用程式設定。 測試和開發人員接著可以在不再需要 VM 時輕鬆地將其刪除。
* 在雲端執行應用程式時。 相較於建立傳統基礎結構來執行特定應用程式,在公用雲端執行特定應用程式的能力可以提供可觀的經濟優勢。 例如,應用程式可能需要處理需求中的波動。 當您不需要 VM 時將其關閉,或是快速啟動以符合突然增加的需求,表示您只需要支付您所使用資源的費用。
* 在將資料中心延伸至雲端時:組織可以在 Azure 中建立虛擬網路並將 VM 新增至該虛擬網路,來延伸其擁有的內部部署網路功能。 例如 SharePoint 這類應用程式就可以在 Azure VM 上執行,而非在本機執行。 此安排比在內部部署環境中部署更容易或成本更低。
* 在災害復原期間:與在雲端執行特定類型的應用程式並將內部部署網路延伸到雲端相同,您可以使用 IaaS 型方法來進行災害復原,以大幅節省成本。 如果主要資料中心失敗,則您可以建立在 Azure 上執行的 VM 以執行您的關鍵應用程式,然後在主要資料中心恢復運作之後將這些 VM 關機。
### 使用 VM 移至雲端
VM 也是從實體伺服器移至雲端 (又稱為「隨即轉移」) 的最佳選擇。 您可以建立實體伺服器的映像,並在幾乎或完全不變更的情況下,將其裝載在 VM 內。 就像實體內部部署伺服器一樣,您必須維護 VM:您負責維護已安裝的 OS 和軟體。
### VM 資源
當您佈建 VM 時,也有機會挑選與該 VM 相關聯的資源,包括:
* 大小 (用途、處理器核心數目和 RAM 數量)
* 儲存體磁碟 (硬碟、固態硬碟等)
* 網路 (虛擬網路、公用 IP 位址和連接埠設定)
## 描述Azure虛擬桌面(2-2-4)
另一種類型的虛擬機器是 Azure 虛擬桌面。 Azure 虛擬桌面是在雲端上執行的桌面與應用程式虛擬化服務。 其可讓您從任何位置使用雲端託管版本的 Windows。 Azure 虛擬桌面可跨裝置和作業系統運作,以及使用您可以用來存取遠端桌面或大部分新式瀏覽器的應用程式。
#### 影片要看
### 增強安全性
Azure 虛擬桌面為具有 Azure Active Directory (Azure AD) 的使用者桌面提供集中式安全性管理。 您可以啟用多重要素驗證以保護使用者登入。您也可以將精細的角色型存取控制 (RBAC) 指派給使用者,以保護資料存取權。
透過 Azure 虛擬桌面,資料與應用程式會與本機硬體分開。 實際的桌面和應用程式是在雲端中執行,這表示個人裝置上留下機密資料的風險會降低。 此外,使用者工作階段在單一和多個工作階段環境中都是隔離的。
### 多重工作階段 Windows 10 或 Windows 11 部署
Azure 虛擬桌面可供您使用 Windows 10 或 Windows 11 企業版多重工作階段,這是唯一可在單一 VM 上同時允許多名使用者的 Windows 用戶端型作業系統。 相較於 Windows Server 型作業系統,Azure 虛擬桌面也支援更廣泛的應用程式,以提供更加一致的體驗。
## 描述Azure容器(2-2-5)
雖然相較於實體硬體所需的投資,虛擬機器是降低成本的絕佳方式,但每部虛擬機器仍受限於只能使用單一作業系統。 若您想要在單一主機電腦上執行應用程式的多個執行個體,容器會是絕佳選擇。
### 什麼是容器?
容器是虛擬化環境。 非常類似於在單一實體主機上執行多部虛擬機器,您可以在單一實體或虛擬主機上執行多個容器。 與虛擬機器不同的是,您無須管理容器的作業系統。 虛擬機器似乎是作業系統的執行個體,您可以連線至其中並加以管理。 容器是輕量級,且設計成可以動態地建立、擴展和停止。 當應用程式需求增加時,可以建立和部署虛擬機器,但容器是更輕的量級、更敏捷的方法。 容器的設計目的是讓您可以視需要回應變更。 透過容器,您可以在發生當機或硬體中斷時快速地重新啟動。 其中一種最熱門的容器引擎是由 Azure 所支援的 Docker。
### 比較虛擬機器與容器
下列影片會著重於比較虛擬機器與容器之間的幾個重要差異:
#### 影片要看
### Azure 容器執行個體
Azure 容器執行個體提供最簡單快速的方法,因而無需管理任何虛擬機器或採用其他服務,即可在 Azure 中執行容器。 Azure 容器執行個體是平台即服務 (PaaS) 供應項目。 Azure 容器執行個體可讓您上傳容器,然後服務會為您執行這些容器。
### 在解決方案中使用容器
通常會透過使用微服務架構,使用容器來建立解決方案。 此容器是您會將解決方案分解為較小獨立片段的位置。 例如,您可能會將網站分割至三個容器中:一個用於裝載前端、另一個用於裝載後端,而第三個用於儲存體。 此分割可讓您將應用程式分成幾個部分,然後放入可獨立維護、調整規模或更新的邏輯區段中。
假設您的網站後端容量已滿,但前端與儲存體仍有空間。 透過容器,您可以個別地調整後端來改善效能。 如果需要這類變更,您也可以選擇變更儲存體服務或修改前端,而不會影響任何其他元件。
## 描述Azure Functions(2-2-6)
Azure Functions 是事件導向的無伺服器計算選項,不需要維護虛擬機器或容器。 如果您使用 VM 或容器建置應用程式,則這些資源必須「執行中」,您的應用程式才能運作。 使用 Azure Functions 時,事件會喚醒函式,讓您不需要在沒有任何事件時保留資源佈建。
### Azure 中的無伺服器運算
### Azure Functions 的優點
若只在意服務上執行的程式碼,而不在意基礎平台或基礎結構,則使用 Azure Functions 會是理想選擇。 通常,您會在需要執行工作以回應來自其他 Azure 服務的事件 (通常透過 REST 要求)、計時器或訊息,而且在該工作可於幾秒或更短時間內快速完成的情況下,使用函式。
函式會依據需求自動調整,因此在需求多變時,是絕佳的選擇。
Azure Functions 只會在觸發時執行您的程式碼,並在函式完成時對資源進行解除配置。 在此模型中,您只需針對在函式執行期間所使用的 CPU 時間支付費用。
函式可以為無狀態或具狀態。 當其為無狀態 (預設) 時,每次回應事件都會有如已重新啟動一般。 當其為具狀態 (稱為 Durable Functions) 時,會透過函式傳遞內容來追蹤先前的活動。
函式是無伺服器計算的重要元件。 其也是執行任何類型程式碼的一般計算平台。 若開發人員應用程式的需求發生變更,您可以將專案部署在非無伺服器的環境中。 此彈性可讓您管理規模調整、在虛擬網路上執行,甚至完全隔離函式。
## 描述應用程式裝載選項(2-2-7)
如果您需要在 Azure 上裝載應用程式,您一開始可能會開啟虛擬機器 (VM) 或容器。 VM 和容器都提供卓越的裝載解決方案。 VM 可讓您靈活控制裝載環境,並可讓您確切地設定裝載環境。 如果您不熟悉雲端,VM 也可能是最友善的裝載方法。 容器能夠隔離並個別管理裝載解決方案的不同層面,也可以是穩固且吸引人的選項。
您可以搭配 Azure 使用其他裝載選項,包括 Azure App Service。
### Azure App Service
App Service 可讓您使用所選程式設計語言建置及裝載 Web 應用程式、背景作業、行動後端,以及 RESTful API,無須管理基礎結構。 提供自動調整規模及高可用性。 App Service 支援 Windows 及 Linux。 允許從 GitHub、Azure DevOps 或任何 Git 存放庫進行自動化部署,以支援持續部署模型。
Azure App Service 是穩固的裝載選擇,可用來在 Azure 中裝載應用程式。 Azure App Service 可讓您專心建置和維護應用程式,而 Azure 則重視讓環境保持啟動並執行。
Azure App Service 是 HTTP 型服務,用來裝載 Web 應用程式、REST API 和行動後端。 支援多種語言,包括 .NET、.NET Core、JAVA、Ruby、Node.js、PHP 或 Python。 也支援 Windows 和 Linux 環境。
#### 應用程式服務的類型
透過 App Service,您可以裝載最常見的應用程式服務樣式,例如:
* Web 應用程式
* API 應用程式
* WebJobsWebJobs
* 行動應用程式
App Service 會負責您在裝載可透過 Web 存取的應用程式時,所處理的大部分基礎結構決策:
* 已將部署與管理整合至平台中。
* 可以保護端點。
* 可以快速地調整網站以處理高流量負載。
* 內建的負載平衡與流量管理員會提供高可用性。
這些應用程式樣式都會裝載在相同的基礎結構中,而且都能享有這些優點。 此彈性使得 App Service 成為裝載 Web 導向應用程式的理想選擇。
### Web 應用程式
App Service 透過使用 ASP.NET、ASP.NET Core、Java、Ruby、Node.js、PHP 或 Python,包括裝載 Web 應用程式的完整支援。 您可以選擇 Windows 或 Linux 作為主機作業系統。
### API 應用程式
非常類似於裝載網站,您可以透過使用所選的語言與架構,建置 REST 式 Web API。 您會取得完整 Swagger 支援,以及在 Azure Marketplace 中封裝及發佈 API 的能力。 所產生的應用程式可由所有以 HTTP 或 HTTPS 為基礎的用戶端取用。
### WebJobsWebJobs
您可以使用 WebJobs 功能,在與 Web 應用程式、API 應用程式或行動應用程式相同的內容中執行程式 (.exe、Java、PHP、Python 或 Node.js) 或指令碼 (.cmd、.bat、PowerShell 或 Bash)。 您可以將其排程,或透過觸發程序來執行。 Web 工作通常是用來以應用程式邏輯之一部分的形式執行背景工作。
### 行動應用程式
使用 App Service 的 Mobile Apps 功能,快速地建置適用於 iOS 與 Android 應用程式的後端。 只要在 Azure 入口網站中執行一些動作,就可以:
* 將行動應用程式資料儲存在雲端式 SQL 資料庫中。
* 針對常見的社交提供者 (例如 MSA、Google、Twitter 與 Facebook),對客戶進行驗證。
* 傳送推播通知。
* 執行以 C# 或 Node.js 撰寫的自訂後端邏輯。
在行動應用程式端,提供針對原生 iOS 與 Android、Xamarin 及 React 原生應用程式的 SDK 支援。
## 描述Azure虛擬網路(2-2-8)
Azure 虛擬網路和虛擬子網路可讓 Azure 資源 (例如,VM、Web 應用程式及資料庫) 彼此通訊,或與網際網路上的使用者及您內部部署用戶端電腦通訊。 您可以將 Azure 網路想成內部部署網路的延伸,其中包含連結其他 Azure 資源的資源。
Azure 虛擬網路提供下列重要的網路功能:
* 隔離和分割
* 網際網路通訊
* Azure 資源之間的通訊
* 與內部部署資源通訊
* 路由網路流量
* 篩選網路流量
* 連線虛擬網路
Azure 虛擬網路同時支援公用和私人端點,以啟用外部或內部資源與其他內部資源之間的通訊。
* 公用端點具有公用 IP 位址,而且您可以從世界的任何地方存取這些端點。
* 私人端點存在於虛擬網路內,而且具有私人 IP 位址,其來自該虛擬網路的位址空間內部。
### 隔離和分割
Azure 虛擬網路可讓您建立多個隔離的虛擬網路。 當您設定虛擬網路時,可以使用公用或私人 IP 位址範圍來定義私人 IP 位址空間。 IP 範圍只存在於虛擬網路內,而且無法透過網際網路路由傳送。 您可以將該 IP 位址空間分割成子網路,並將定義的位址空間部分配置到每個具名子網路。
針對名稱解析,您可以使用 Azure 內建的名稱解析服務。 您也可以將虛擬網路設定為使用內部或外部 DNS 伺服器。
### 網際網路通訊
您可以從網際網路啟用連入連線,方法是將公用 IP 位址指派給 Azure 資源,或將資源放在公用負載平衡器的後面。
### Azure 資源之間的通訊
建議您讓 Azure 資源安全地彼此通訊。 請使用下列兩種方式之一來執行此作業:
* 虛擬網路不僅可以與 VM 連線,也可以與適用於 Power Apps 的 App Service 環境、Azure Kubernetes Service 及 Azure 虛擬機器擴展集等其他 Azure 資源連線。
* 服務端點可以連線至其他 Azure 資源類型,例如 Azure SQL 資料庫和儲存體帳戶。 此方法可讓您將多個 Azure 資源連結到虛擬網路,以改善安全性並提供資源之間的最佳路由。
### 與內部部署資源通訊
Azure 虛擬網路可讓您將內部部署環境中和 Azure 訂用帳戶內的資源連結在一起。 實際上,您可以建立橫跨本機和雲端環境的網路。 有三種機制可讓您達到此連線能力:
* 點對站虛擬私人網路連線是從組織外部的電腦回到您的公司網路。 在此案例中,用戶端電腦起始加密的 VPN 連線,以連線到 Azure 虛擬網路。
* 站對站虛擬私人網路連結會將您的內部部署 VPN 裝置或閘道連結至虛擬網路中的 Azure VPN 閘道。 實際上,Azure 中的裝置可顯示為位在區域網路上。 連線會進行加密,並透過網際網路運作。
* Azure ExpressRoute 提供專用的私人連線來連線到 Azure,因此不會透過網際網路傳輸。 對於需要更大頻寬和更高安全性層級的環境,ExpressRoute 很有用。
### 路由網路流量
根據預設,Azure 會在任何連線的虛擬網路、內部部署網路及網際網路上的子網路之間路由傳送流量。 您也可以控制路由和覆寫那些設定,如下所示:
* 路由表可讓您定義指示流量流向的相關規則。 您可以建立自訂路由表,以控制封包如何在子網路之間路由。
* 邊界閘道通訊協定 (BGP) 會使用 Azure VPN 閘道、Azure 路由伺服器或 Azure ExpressRoute,將內部部署 BGP 路由傳播至 Azure 虛擬網路。
### 篩選網路流量
Azure 虛擬網路可讓您使用下列方法來篩選子網路之間的流量:
* 網路安全群組是 Azure 資源,可包含多個輸入和輸出安全性規則。 您可以根據來源和目的地 IP 位址、連接埠及通訊協定等因素來定義這些規則,藉此允許或封鎖流量。
* 網路虛擬設備是特製化 VM,可比作強化的網路設備。 網路虛擬設備可以執行特定的網路功能,例如,執行防火牆或執行廣域網路 (WAN) 最佳化。
### 連線虛擬網路
您可以使用虛擬網路「對等互連」,將虛擬網路連結在一起。 對等互連可讓兩個虛擬網路直接彼此連線。 對等互連網路之間的網路流量是私人的,而且在 Microsoft 骨幹網路上移動,永遠不會進入公用網際網路。 對等互連可讓每個虛擬網路中的資源彼此通訊。 這些虛擬網路可以位於不同區域,讓您能夠透過 Azure 來建立全域互連的網路。
使用者定義的路由 (UDR) 可讓您控制虛擬網路內子網路之間或虛擬網路之間的路由表。 這可讓您更好地控制網路流量流程。
## 描述Azure虛擬私人網路(2-2-10)
虛擬私人網路 (VPN) 會使用另一個網路內的加密通道。 通常會將 VPN 部署為透過不受信任的網路 (通常是公用網際網路),讓兩個以上的受信任私人網路相互連線。 流量會在於不受信任的網路上移動時加密,以防止竊聽或其他攻擊。 VPN 可讓網路安全地共用敏感性資訊。
### VPN 閘道
VPN 閘道是一種虛擬網路閘道。 Azure VPN 閘道執行個體部署於虛擬網路的專用子網路中,並會啟用下列連線能力:
* 透過站對站連線,將內部部署資料中心連線至虛擬網路。
* 透過點對站連線,將個別裝置連線至虛擬網路。
* 透過網路對網路連線,將虛擬網路連線至其他虛擬網路。
* 所有資料傳輸都會在通過網際網路時,於私人通道內加密。 您只能在每個虛擬網路中部署一個 VPN 閘道。 不過,您可以使用一個閘道來連線至多個位置,包括其他虛擬網路或內部部署資料中心。
部署 VPN 閘道時,請指定 VPN 類型:原則型或路由型。 這兩種 VPN 類型間的主要差異在於如何指定要加密的流量。 在 Azure 中,這兩種類型的 VPN 閘道都會使用預先共用金鑰作為唯一的驗證方法。
* 原則型 VPN 閘道會以靜態方式指定應透過每個通道所加密封包的 IP 位址。 此類型的裝置會針對那些 IP 位址集合評估每個資料封包,以選擇要透過哪個通道傳送封包。
* 在路由型閘道中,IPSec 通道會模型化為網路介面或虛擬通道介面。 IP 路由 (靜態路由或動態路由通訊協定) 會決定要使用這其中哪一個通道介面來傳送每個封包。 路由型 VPN 是適用於內部部署裝置的慣用連線方法。 其對於拓撲變更而言更具復原性,例如,建立新的子網路。
如果您需要下列任何類型的連線能力,則請使用路由型 VPN 閘道:
* 虛擬網路之間的連線
* 點對站連線
* 多站台連線
* 與 Azure ExpressRoute 閘道並存
### 高可用性案例
如果您要設定 VPN 以確保資訊安全,則也會想要確定其為高可用性和容錯 VPN 設定。 有幾種方式可將 VPN 閘道的復原最大化。
#### 使用中/待命
VPN 閘道預設會以「使用中/待命」設定來部署為兩個執行個體,即使您只在 Azure 中看到一個 VPN 閘道資源也是一樣。 計劃性維護或非計劃性中斷影響使用中執行個體時,待命執行個體就會自動負責連線工作,而不需要使用者介入。 連線會在此容錯移轉期間中斷,但對計劃性維護來說,通常可在幾秒內還原,而對非計劃性中斷來說,則會在 90 秒內還原。
#### 主動/主動
隨著引進對 BGP 路由傳送通訊協定的支援,您也能以「主動/主動」設定來部署 VPN 閘道。 在此設定中,您會為每個執行個體指派唯一的公用 IP 位址。 接著,您會建立從內部部署裝置到每個 IP 位址的個別通道。 您可以在內部部署環境中部署額外的 VPN 裝置來擴充高可用性。
#### ExpressRoute 容錯移轉
另一個高可用性選項是,將 VPN 閘道設定為 ExpressRoute 連線的安全容錯移轉路徑。 ExpressRoute 線路內建復原功能。 不過,其在發生影響纜線傳遞連線能力的實體問題,或影響完整 ExpressRoute 位置的中斷問題時,也無法倖免。 在高可用性案例中,如果有與 ExpressRoute 線路中斷相關的風險,您也可以佈建 VPN 閘道,以使用網際網路作為連線替代方法。 如此一來,您就能確保一律會連線至虛擬網路。
#### 區域備援閘道
在支援可用性區域的區域中,您能以區域備援設定來部署 VPN 閘道與 ExpressRoute 閘道。 此設定可為虛擬網路閘道帶來復原功能、可擴縮性和更高的可用性。 在 Azure 可用性區域中部署閘道,能夠實際上和邏輯上分隔區域內的閘道,同時還能在發生區域層級的失敗時,保護您內部部署環境與 Azure 的網路連線。 這些閘道需要不同的閘道庫存單位 (SKU) ,並使用標準公用 IP 位址,而不是基本公用 IP 位址。
## 描述Azure ExpressRoute(2-2-11)
Azure ExpressRoute 可讓您藉由連線提供者的協助,透過私人連線將內部部署網路延伸至 Microsoft 雲端。 此連線稱為 ExpressRoute 線路。 透過 ExpressRoute,您可以建立 Microsoft 雲端服務的連線,例如 Microsoft Azure 和 Microsoft 365。 這可讓您將辦公室、資料中心或其他設施連線到 Microsoft 雲端。 每個位置都會有專屬的 ExpressRoute 線路。
連線可以來自任意 (IP VPN) 網路、點對點乙太網路,也可以是在共置設施透過連線提供者的虛擬交叉連線。 ExpressRoute 連線不會越過公用網際網路。 這可讓 ExpressRoute 連線相較於透過網際網路的一般連線,更加可靠、速度更快、延遲一致且更為安全。
### ExpressRoute 的功能與優點
使用 ExpressRoute 作為 Azure 與內部部署網路之間的連線服務有數個優點。
跨地緣政治區域中的所有區域連線到 Microsoft 雲端服務。
透過 ExpressRoute Global Reach 從全球連線到所有區域的 Microsoft 服務。
透過邊界閘道協定 (BGP) 在網路與 Microsoft 之間進行動態路由。
每個對等互連位置均有內建備援,可靠性更高。
#### 連線到 Microsoft 雲端服務
ExpressRoute 可讓您直接存取所有區域中的下列服務:
* Microsoft Office 365
* Microsoft Dynamics 365
* Azure 計算服務,例如 Azure 虛擬機器
* Azure 雲端服務,例如 Azure Cosmos DB 與 Azure 儲存體
#### 全球連線
您可以透過連線 ExpressRoute 線路,以啟用 ExpressRoute Global Reach 在內部部署站台之間交換資料。 例如,假設您在亞洲有間辦公室,而在歐洲有一個資料中心,並透過 ExpressRoute 線路將這兩者連線到 Microsoft 網路。 您可以使用 ExpressRoute Global Reach 來連線這兩個設施,讓其能夠進行通訊,而不需透過公用網際網路傳輸資料。
#### 動態路由
ExpressRoute 使用 BGP。 BGP 是用來在內部部署網路與 Azure 中執行的資源之間交換路由。 此通訊協定讓您內部部署網路與 Microsoft 雲端中所執行的服務之間,能夠進行動態路由。
#### 內建的備援性
每個連線提供者都會使用備援裝置,以確保建立的 Microsoft 連線具有高可用性。 您可以設定多個線路來補充此功能。
### ExpressRoute 連線模型
ExpressRoute 支援四種模型,您可以用來在內部部署網路與 Microsoft 雲端之間進行連線:
* CloudExchange 共置
* 點對點乙太網路連線
* 任意對任意連線
* 直接從 ExpressRoute 網站
#### 共置於雲端交換中心
共置是指您的資料中心、辦公室或其他設施實際共置於雲端交換,例如 ISP。 如果您的設施共置於雲端交換,則您可以要求虛擬交叉連線至 Microsoft 雲端。
#### 點對點乙太網路連線
點對點乙太網路連線是指使用點對點連線,將設施連線到 Microsoft 雲端。
#### 任何對任何網路
透過任意對任意連線,您可以透過提供辦公室與資料中心的連線,來將您的廣域網路 (WAN) 與 Azure 整合。 Azure 會與您的 WAN 連線整合以提供連線,就像您資料中心與任何分公司之間的連線一樣。
#### 直接從 ExpressRoute 網站
您可以透過策略性分散於世界各地的對等互連位置,直接連線至 Microsoft 的全球網路。 ExpressRoute Direct 提供雙重 100 Gbps 或 10 Gbps 連線,且支援大規模主動/主動連線。
### 安全性考量
使用 ExpressRoute 時,資料不會透過公用網際網路傳輸,因此不會暴露在與網際網路通訊相關的潛在風險中。 ExpressRoute 是從您內部部署基礎結構到 Azure 基礎結構的私人連線。 即使您有 ExpressRoute 連線,DNS 查詢、憑證撤銷清單檢查,以及 Azure 內容傳遞網路要求仍會透過公用網際網路傳送。
## 描述Azure DNS
### DNS:(Domain Name System) (網域名稱系統)
Azure DNS 是 DNS 網域的裝載服務,可使用 Microsoft Azure 基礎結構來提供名稱解析。 在 Azure 中裝載網域,即可使用與其他 Azure 服務相同的認證、API、工具和計費來管理 DNS 記錄。
:::success
DNS其實有三種意思:
* Domain Name System 網域名稱系統,指整個DNS系統。
* Domain Name Server 網域名稱伺服器,指安裝了DNS有關軟體並可提供DNS服務的電腦主機,可簡單理解成各個地址的通訊錄。
* Domain Name Service 網域名稱服務,指DNS的服務。
:::
dns改127.0.0.1
### Azure DNS 的優勢
Azure DNS 會利用 Microsoft Azure 的範圍和規模來提供許多優勢,包括:
* 可靠性和效能
* 安全性
* 易於使用
* 可自訂的虛擬網路
* 別名記錄
#### 可靠性和效能
Azure DNS 中的 DNS 網域會裝載於 DNS 名稱伺服器的 Azure 全域網路上,並提供復原和高可用性。 Azure DNS 使用 anycast 網路,因此最接近的可用 DNS 伺服器會回答每個 DNS 查詢,以提供網域的最快效能和高可用性。
#### Security
Azure DNS 是以 Azure Resource Manager 為基礎,其提供這類功能:
* Azure 角色型存取控制 (Azure RBAC),可控制誰可存取您組織的特定動作。
* 活動記錄,可監視組織使用者修改資源的方式,或在進行疑難排解時發現錯誤。
* 資源鎖定,以鎖定訂用帳戶、資源群組或資源。 鎖定可防止您組織中的其他使用者不小心刪除或修改重要資源。
#### 易於使用
Azure DNS 可針對 Azure 服務來管理 DNS 記錄,也會針對外部資源提供 DNS。 Azure DNS 整合至 Azure 入口網站,並且使用與其他 Azure 服務相同的認證、支援合約與計費方式。
因為 Azure DNS 正在 Azure 上執行,所以這表示您可以使用 Azure 入口網站、Azure PowerShell Cmdlet 和跨平台 Azure CLI 來管理網域和記錄。 需要自動化 DNS 管理的應用程式可以使用 REST API 和 SDK 與服務整合。
#### 具有私人網域的可自訂虛擬網路
Azure DNS 也支援私人 DNS 網域。 此功能可讓您在私人虛擬網路中使用自己的自訂網域名稱,而不是卡在 Azure 提供的名稱。
#### 別名記錄
Azure DNS 也支援別名記錄集。 您可以使用別名記錄集來參照 Azure 資源,例如 Azure 公用 IP 位址、Azure 流量管理員設定檔或 Azure 內容傳遞網路 (CDN) 端點。 如果基礎資源的 IP 位址變更,別名記錄集會在 DNS 解析期間自行順暢地更新。 別名記錄集會指向服務執行個體,而服務執行個體會與 IP 位址相關聯。
:::info
重要
您無法使用 Azure DNS 來購買網域名稱。 針對年費,您可以使用 App Service 網域或第三方網域名稱註冊機構來購買網域名稱。 購買之後,您的網域就可以裝載於 Azure DNS,以進行記錄管理。
:::
## 知識檢定
# 描述 Azure 儲存體服務(2-3)
## 描述 Azure 儲存體帳戶(2-3-2)
下列影片介紹 Azure 儲存體應該提供的不同服務。
### 看影片
儲存體帳戶會為 Azure 儲存體資料提供唯一的命名空間,可透過 HTTP 或 HTTPS 從世界各地存取該命名空間。 此帳戶中的資料很安全、具高可用性、耐久且可大幅調整。
當您建立儲存體帳戶時,首先要挑選儲存體帳戶類型。 帳戶類型會決定儲存體服務和備援選項,並對使用案例有所影響。 以下是本課程模組稍後將涵蓋的備援選項清單:
* 本機備援儲存體 (LRS,Locally Redundant Storage)
* 異地備援儲存體 (GRS,Remote Redundant Storage)
* 讀取權限異地備援儲存體 (RA-GRS,Read permission remote backup storage)
* 區域備援儲存體 (ZRS,zone redundant storage)
* 異地區域備援儲存體 (GZRS,geographically redundant storage)
* 讀取權限異地區域備援儲存體 (RA-GZRS,Read permission off-site regional backup storage)
## 描述 Azure 儲存體備援(2-3-3)
Azure 儲存體會一律儲存資料的多個複本,以保護該資料不受計劃性和非計劃性事件影響,如暫時性硬體故障、網路或電力中斷和天然災害。 備援可確保您的儲存體帳戶即使在發生失敗時也能滿足可用性和持久性目標。
在決定哪一種備援選項最適合案例時,請考慮較低成本與較高可用性之間的取捨。 這些因素有助於您判斷應該要納入哪個備援:
* 資料在主要區域中複寫的方式。
* 資料是否會複寫到地理上距離主要區域相當遙遠的第二個區域,以保護其不受區域性災害影響。
* 若主要區域無法使用,則應用程式是否需要讀取存取來複寫次要區域中的資料。
### 在主要區域中的備援
Azure 儲存體帳戶中的資料一律會在主要區域內複寫三次。 Azure 儲存體提供兩個在主要區域中複寫資料的選項,本機備援儲存體 (LRS) 和區域備援儲存體 (ZRS)。
#### 本地備援儲存體
本地備援儲存體 (LRS) 會在主要區域中將資料於單一資料中心內複寫三次。 LRS 可提供在指定一年中至少 11 個 9 (99.999999999%) 的物件持久性。
相較於其他選項,LRS 是成本最低的備援選項,且提供的持久性最弱。 LRS 可保護資料以避免伺服器機架和磁碟機失敗。 但是,若在資料中心內發生火災或洪水之類的災害,則所有使用 LRS 的儲存體帳戶複本可能都會遺失或無法復原。 若要降低此風險,Microsoft 建議使用區域備援儲存體 (ZRS)、異地備援儲存體 (GRS),或異地區域備援儲存體 (GZRS)。
#### 區域備援儲存體
針對 [已啟用可用性區域的區域],區域備援儲存體 (ZRS) 會在主要區域中將 Azure 儲存體資料同步複寫到三個 Azure 可用區域。 ZRS 可在指定的一年中為 Azure 儲存體資料物件提供至少 12 個 9 (99.9999999999%) 的持久性。
使用 ZRS,即使區域變得無法使用,您的資料仍可用於讀取和寫入作業存取。 不需要從已連線的用戶端重新掛接 Azure 檔案共用。 若區域無法使用,則 Azure 會執行網路更新,例如 DNS 重新指向。 若在更新完成之前存取資料,這些更新便可能會影響應用程式。
針對需要高可用性的案例,Microsoft 建議在主要區域中使用 ZRS。 也建議使用 ZRS 來限制國家/地區或區域內的資料複寫,以符合資料治理需求。
#### 次要區域中的備援
針對需要高持久性的應用程式,可選擇另外將儲存體帳戶中資料複製到位於主要區域數百英哩外的次要區域。 如果儲存體帳戶中的資料已複製到次要區域,則即使發生災難性的失敗導致主要區域中的資料無法復原,該資料仍然具有持久性。
當您建立儲存體帳戶時,請為該帳戶選取主要區域。 配對的次要區域會視 Azure 區域配對而定,而且無法變更。
Azure 儲存體提供兩個將資料複製到次要區域的選項:異地備援儲存體 (GRS) 以及異地區域備援儲存體 (GZRS)。 GRS 類似於在兩個區域中執行 LRS,而 GZRS 類似於在主要區域和次要區域中執行 ZRS。
除非發生容錯移轉至次要區域,否則依照預設,次要區域中的資料不會提供讀取或寫入存取。 若主要區域無法使用,則可選擇容錯移轉至次要區域。 容錯移轉完成後,次要區域就會變為主要區域,接著您可再次讀取和寫入資料。
:::info
重要
因為資料會以非同步方式複寫至次要區域,若主要區域無法復原,則影響主要區域的失敗可能會導致資料遺失。 最近寫入至主要區域及最後寫入次要區域之間的間隔稱為復原點目標 (RPO)。 RPO 表示可復原資料的時間點。 Azure 儲存體的 RPO 通常低於 15 分鐘,但目前並沒有關於將資料複寫至次要區域所花費時間的 SLA。
:::
#### 異地備援儲存體
GRS 會利用 LRS 在主要區域中將資料於單一實體位置內同步複製三次。 接著,它會利用 LRS 將資料以非同步方式複製到次要區域 (區域配對) 中的單一實體位置。 GRS 可在指定一年中,為 Azure 儲存體資料物件提供至少 16 個 9 (99.99999999999999%) 的持久性。
#### 異地區域備援儲存體
GZRS 合併跨可用區域備援所提供的高可用性,以及異地複寫針對區域中斷所提供的保護。 GZRS 儲存體帳戶中資料會複製到主要區域中的三個 Azure 可用區域 (與 ZRS 類似),此外也會利用 LRS 複寫到次要地理區域以保護其不受區域災害影響。 Microsoft 建議針對需要最大一致性、持久性、可用性、絕佳效能,以及針對災害復原恢復的應用程式使用 GZRS。
GZRS 旨在於指定的一年中,為物件提供至少 16 個 9 (99.99999999999999%) 的持久性。
#### 次要區域中的資料讀取存取
異地備援儲存體 (使用 GRS 或 GZRS) 會將資料複寫到次要區域中的另一個實體位置,以保護其不受區域性中斷影響。 但是,該資料只有在客戶或 Microsoft 起始從主要區域容錯移轉至次要區域時,才能提供存取。 不過,如果你啟用了對次要區域的讀取存取,即使主要區域以最佳狀態運行,您的資料也能隨時供讀取。 如需次要區域的讀取存取,請啟用讀取存取異地備援儲存體 (RA-GRS) 或讀取存取異地區域備援儲存體 (RA-GZRS)。
:::info
重要
請記住,基於 RPO,次要區域中的資料可能不會是最新的。
:::
## 描述 Azure 儲存體服務(2-3-4)
## 識別 Azure 資料移轉選項(2-3-6)
### 識別 Azure 資料移轉選項
既然您已經瞭解 Azure 內的不同儲存體選項,那您也必須要瞭解如何將資料和資訊放入 Azure。 Azure 支援以 Azure Migrate 進行基礎結構、應用程式和資料的即時移轉,以及以 Azure 資料箱進行資料的非同步移轉。
### Azure Migrate
Azure Migrate 是可以協助您從內部部署環境移轉至雲端的服務。 Azure Migrate 可作為中樞,協助您評估內部部署資料中心並將其移轉至 Azure。 其提供下列各項:
* 整合的移轉平台:單一入口網站,可啟動、執行及追蹤您前往 Azure 的移轉。
* 各種工具:用於評量和遷移的各種工具。 Azure Migrate 工具包括 Azure Migrate:探索和評估,以及 Azure Migrate:伺服器移轉。 Azure Migrate 也可與其他 Azure 服務整合,以及與獨立軟體廠商 (ISV) 供應項目整合。
* 評估和移轉:在 Azure Migrate 中樞中,您可以評估內部部署基礎結構並將其移轉至 Azure。
### 整合式工具
除了使用來自 ISV 的工具之外,Azure Migrate 中樞也包含下列可協助移轉的工具:
* Azure Migrate:探索和評量。 探索及評估在 VMware 和 Hyper-V 上運行的內部部署伺服器和實體伺服器,使其準備好遷移至 Azure。
* Azure Migrate:伺服器移轉。 將 VMware VM、Hyper-V VM、實體伺服器以及其他虛擬伺服器和公用雲端 VM 遷移至 Azure。
* Data Migration Assistant。 Data Migration Assistant 是獨立的 SQL Server 評估工具。 它有助於找出阻礙移轉的潛在問題。 此功能可識別不支援的功能、在移轉後可供您利用的新功能,以及資料庫移轉的正確路徑。
* Azure 資料移轉服務。 將內部部署資料庫遷移至執行 SQL Server、Azure SQL Database 或 SQL 受控執行個體的 Azure VM。
* Web 應用程式移轉小幫手。 Azure App Service 移轉小幫手是獨立的工具,可評估內部部署網站以遷移至 Azure App Service。 使用移轉小幫手將 .NET 和 PHP Web 應用程式遷移至 Azure。
* Azure 資料箱。 使用 Azure 資料箱產品將大量離線資料移至 Azure。
*
### Azure 資料箱
Azure 資料箱是可以用快速、低成本且可靠的方式傳輸大量資料的實體移轉服務。 向您寄送專屬的資料箱儲存裝置 (最大可用儲存容量為 80 TB),將能加速安全的資料傳輸。 資料箱會透過區域貨運公司傳入或傳出您的資料中心。 堅固的外盒可保護資料箱,避免其在傳輸期間損壞。
您可以透過 Azure 入口網站來訂購資料箱裝置,以從 Azure 匯入或匯出資料。 一旦收到裝置之後,您就可以快速地使用本機 Web UI 來設定它並使其連線到您的網路。 完成資料傳輸後 (傳入或傳出 Azure),您只需要送回資料箱即可。 如果您要將資料傳輸到 Azure,Microsoft 取回資料箱後,資料就會自動上傳。 Azure 入口網站中的資料箱服務會以端對端的方式追蹤這整個程序。
#### 使用案例
資料箱非常適合在沒有網路或是網路連線能力受限的情況下,傳送大於 40 TB 的資料。 資料移動可以是單次或定期的,或一開始是大量資料傳輸,然後繼之以定期傳輸。
以下是使用資料箱來將資料匯入 Azure 的各種案例。
* 單次移轉 - 有大量的內部部署資料移至 Azure 時。
* 將媒體櫃從離線磁帶移至 Azure 以建立線上媒體櫃。
* 將 VM 陣列、SQL 伺服器與應用程式移轉到 Azure。
* 將歷程記錄資料移至 Azure 以使用 HDInsight 進行深入分析和報告。
* 初始大量傳輸 - 使用資料箱 (種子) 完成初始大量傳輸,然後透過網路進行累加式傳輸。
* 定期上傳 - 定期產生大量資料而需要移至 Azure 時。
以下是使用資料箱來將資料從 Azure 匯出的各種案例。
* 災害復原 - 用於將 Azure 中的資料複本還原至內部部署網路時。 在典型的災害復原案例中,會將大量的 Azure 資料匯出至資料箱。 接著,Microsoft 會提供此資料箱,讓資料可快速地在您的內部部署環境中還原。
* 安全性需求 - 當您由於政府或安全性需求而必須匯出 Azure 的資料時。
* 遷移回到內部部署環境或另一個雲端服務提供者 - 當您想要將所有資料移回內部部署環境或另一個雲端服務提供者時,請透過資料箱匯出資料來遷移工作負載。
* 將資料從匯入訂單上傳至 Azure 後,裝置上的磁碟即會根據 NIST 800-88r1 標準進行抹除。 針對匯出訂單,磁碟會在裝置到達 Azure 資料中心後進行抹除。
## 識別 Azure 檔案移動選項(2-3-7)
### 識別 Azure 檔案移動選項
除了使用 Azure Migrate 和 Azure 資料箱等服務進行大規模移轉之外,Azure 也提供設計工具來協助您移動個別檔案或小型檔案群組,或者與其互動。 這些工具包括 AzCopy、Azure 儲存體總管和 Azure 檔案同步。
### AzCopy
AzCopy 是命令列公用程式,可讓您在儲存體帳戶之間複製 Blob 或檔案。 您可以利用 AzCopy 上傳檔案、下載檔案、在儲存體帳戶之間複製檔案,甚至同步處理檔案。 AzCopy 也可以設定為與其他雲端提供者合作,以在雲端之間來回移動檔案。
:::info
重要
以 AzCopy 同步處理 Blob 或檔案屬於單向的同步處理。 進行同步處理時,您會指定資料來源和目的地,而 AzCopy 會以該方向複製檔案或 Blob。 它不會根據時間戳記或其他中繼資料進行雙向同步處理。
:::
### Azure 儲存體總管
Azure 儲存體總管是獨立的應用程式,可提供圖形化介面來管理 Azure 儲存體帳戶中的檔案和 Blob。 它適用於 Windows、macOS 和 Linux 作業系統,並且會在後端使用 AzCopy 來執行所有檔案和 Blob 管理工作。 您可以利用儲存體主總管將資料上傳至 Azure、從 Azure 下載資料,或在儲存體帳戶之間移動。
### Azure 檔案同步
Azure 檔案同步是一種能將檔案共用集中到 Azure 檔案服務中的工具,可維持 Windows 檔案伺服器的彈性、效能和相容性。 這就像是將您的 Windows 檔案伺服器變成一個迷你內容傳遞網路。 在本機 Windows 伺服器上安裝 Azure 檔案同步之後,它會自動與 Azure 中的檔案保持雙向同步。
透過 Azure 檔案同步,您可以:
* 利用 Windows Server 上可用的任何通訊協定來從本機存取資料,包括 SMB、NFS 和 FTPS。
* 視需要存取多個散佈於世界各地的快取。
* 在相同的資料中心中,透過在新伺服器上安裝 Azure 檔案同步來取代故障的本機伺服器。
* 設定雲端階層處理,以便在本機複寫最常存取的檔案,而不常存取的檔案在有要求之前都會保留在雲端。
## 知識檢定
# 描述 Azure 身分識別、存取和安全性(2-4)
## 描述 Azure 目錄服務(2-4-2)
Azure Active Directory (Azure AD) 是一種目錄服務,可讓您登入及存取您開發的 Microsoft 雲端應用程式和雲端應用程式。 Azure AD 也可以協助您維護內部部署的 Active Directory 部署。
對於內部部署環境,在 Windows Server 上執行的 Active Directory 會提供由貴組織所管理的身分識別和存取管理服務。 Azure AD 是 Microsoft 的雲端式身分識別與存取管理服務。 使用 Azure AD,即可控制身分識別帳戶,而 Microsoft 則會確保服務可供全域使用。 如果您曾經使用過 Active Directory,就會熟悉 Azure AD。
使用 Active Directory 保護內部部署的身分識別時,Microsoft 不會監視登入嘗試。 使用 Azure AD 連線 Active Directory 時,Microsoft 會偵測可疑的登入嘗試來協助保護安全,不另行收費。 例如,Azure AD 會偵測來自非預期位置或不明裝置的登入嘗試。
### 誰會使用 Azure AD?
Azure AD 適用於:
* IT 系統管理員。 系統管理員可根據業務需求,使用 Azure AD 來控制對應用程式和資源的存取。
* 應用程式開發人員。 開發人員可使用 Azure AD 來提供標準方法,以將功能新增至其建置的應用程式,例如將 SSO 功能新增至應用程式,或讓應用程式搭配使用者現有的認證來運作。
* 使用者。 使用者可以管理其身分識別,並採取維護動作,例如自助式密碼重設。
* 線上服務訂閱者。 Microsoft 365、Microsoft Office 365、Azure 及 Microsoft Dynamics CRM Online 訂閱者皆已使用 Azure AD 以驗證其帳戶。
### Azure AD 有何功能?
Azure AD 提供的服務如下:
* 驗證:這包括驗證身分識別以存取應用程式與資源。 其也包括提供像是自助式密碼重設、多重要素驗證、自訂的禁用密碼清單,以及智慧鎖定服務等功能。
* 單一登入:讓您只需要記住一個使用者名稱和一組密碼即可存取多個應用程式。 單一身分識別繫結至一名使用者,這可簡化安全性模型。 當使用者變更角色或離開組織時,存取權的修改會繫結至該身分識別,其會大幅降低變更或停用帳戶所需的工作量。
* 應用程式管理:您可使用 Azure AD 來管理自己的雲端和內部部署應用程式。 應用程式 Proxy、SaaS 應用程式、我的應用程式入口網站,以及單一登入等功能提供更佳的使用者體驗。
* 裝置管理:與個人帳戶一樣,Azure AD 也支援裝置註冊。 註冊後即可透過 Microsoft Intune 之類的工具來管理裝置。 其也讓裝置型條件式存取原則僅允許來自已知且已註冊裝置的存取嘗試,不論發出要求的使用者帳戶為何。
### 我是否可以使用 Azure AD 連線內部部署 AD?
如果您有使用 Azure AD 執行 Active Directory 和雲端部署的內部部署環境,則必須維護兩個身分識別集。 不過,您可以使用 Azure AD 連線 Active Directory,以在雲端與內部部署之間啟用一致的身分識別體驗。
將 Azure AD 與內部部署 AD 連線的其中一種方法是使用 Azure AD Connect。 Azure AD Connect 會同步處理內部部署 Active Directory 與 Azure AD 之間的使用者身分識別。 Azure AD Connect 會同步處理兩種身分識別系統間的變更,因此您可以在這兩種系統下使用像 SSO、多重要素驗證與自助式密碼重設等功能。
### 什麼是 Azure Active Directory Domain Services?
Azure Active Directory Domain Services (Azure AD DS) 服務可提供受控網域服務,例如網域加入、群組原則、輕量型目錄存取通訊協定 (LDAP) 與 Kerberos/NTLM 驗證。 就像 Azure AD 可讓您使用目錄服務,而不需要維護其支援的基礎結構一樣,使用 Azure AD DS,即可獲得網域服務的優點,而不需要在雲端中部署、管理和修補網域控制站 (DC)。
Azure AD DS 受控網域可讓您在無法使用新式驗證方法的雲端中,或在不希望目錄查閱一律回到內部部署的 AD DS 環境中執行舊版應用程式。 您可以將這些舊版應用程式從內部部署環境隨即轉移到受控網域,而不需要管理雲端中的 AD DS 環境。
Azure AD DS 會與您現有的 Azure AD 租用戶整合。 這項整合可讓使用者使用現有的認證登入與受控網域連線的服務與應用程式。 您也可以使用現有的群組與使用者帳戶安全地存取資源。 這些功能可讓您更順暢地將內部部署資源隨即轉移至 Azure。
### Azure AD DS 如何運作?
當您建立 Azure AD DS 受控網域時,您可以定義唯一的命名空間。 此命名空間是網域名稱。 接著,會將兩個 Windows Server 網域控制站部署到您選取的 Azure 區域。 此 DC 的部署稱為「複本集」。
您不需要管理、設定或更新這些 DC。 Azure 平台會將 DC 當成受控網域的一部分來處理,包括使用 Azure 磁碟加密備份和加密。
### 資訊是否同步?
受控網域已設定為執行從 Azure AD 到 Azure AD DS 的單向同步處理。 您可以直接在此受控網域中建立資源,但系統不會將其同步處理回到 Azure AD。 在具有內部部署 AD DS 環境的混合式環境中,Azure AD Connect 會與受控網域同步身分識別資訊,該資訊會接著同步至 Azure AD DS。
連線到受控網域的 Azure 應用程式、服務和 VM 接著就可以使用常見的 Azure AD DS 功能,例如網域加入、群組原則、LDAP 與 Kerberos/NTLM 驗證。
## 描述 Azure 驗證方法(2-4-3)
「驗證」是建立個人、服務或裝置身分識別的流程。 需要人員、服務或裝置提供某種類型的認證來證明其身分。 驗證就像是出外旅行時出示的身分文件一樣。 它不會確認您是否具有票證,只能證明您具有文件上的身分。 Azure 支援多種驗證方法,包括標準密碼、單一登入 (SSO)、多重要素驗證 (MFA),以及無密碼。
長久以來,安全性和便利性之間就好似魚與熊掌,無法兼得。 幸好,新的驗證解決方案可同時提供安全性和便利性。
下圖顯示與便利性相比較的安全性層級。 請注意,無密碼驗證具有高安全性和高便利性,而密碼本身安全性較低,但也具有高便利性。
### 什麼是單一登入?
單一登入 (SSO) 功能讓使用者只要登入一次,即可使用該認證存取不同提供者提供的多種資源和應用程式。 若要讓 SSO 能夠運作,不同的應用程式和提供者必須信任初始驗證器。
身分識別越多,意味著需要記住和變更的密碼更多。 密碼原則會因應用程式而異。 隨著複雜性需求提高,會讓使用者越來越難以記住密碼。 使用者需要管理的密碼愈多,與認證相關的安全性事件風險就愈大。
請想想管理所有這些身分識別的過程。 當技術支援中心處理帳戶鎖定和密碼重設要求時,須面對更多負擔。 當使用者離開組織後,要再去追蹤所有身分識別並確定其已停用並不容易。 如果忽略了身分識別,可能會導致在應該受到排除時卻允許存取。
若使用 SSO,則只需要記住一組識別碼和一組密碼。 將跨應用程式的存取權授與繫結至使用者的單一身分識別,如此便能簡化安全性模型。 當使用者變更角色或離開組織時,存取權會繫結至單一身分識別。 此變更可大幅減少變更或停用帳戶所需的工作。 帳戶使用 SSO 讓使用者更容易管理自己的身分識別,並讓 IT 更容易管理使用者。
:::info
重要
單一登入只與初始驗證器一樣安全,因為後續的連線都是以初始驗證器的安全性為基礎。
:::
### 什麼是多重要素驗證?
多重要素驗證是在登入流程期間向使用者提示進行額外的形式 (或要素) 識別的流程。 當密碼遭洩漏而第二個要素並未遭洩漏時,MFA 有助於防止密碼遭洩漏。
想想您如何登入網站、電子郵件或線上服務。 輸入使用者名稱與密碼之後,您是否還需要輸入傳送到手機的驗證碼? 如果是這樣,代表您已經使用多重要素驗證來登入了。
多重要素驗證要求兩個或以上元素的完整驗證來為身分識別提供額外安全性。 這些項目可分成三個類別:
* 使用者知道的內容 – 可能是一個查問問題。
* 使用者擁有的資訊 – 可能是傳送至使用者行動電話的代碼。
* 使用者的身分 – 通常是某種生物屬性,例如指紋或臉部掃描。
多重要素驗證透過限制認證被公開所造成的影響 (例如遭竊的使用者名稱與密碼) 來提高身分識別安全性。 啟用多重要素驗證之後,擁有使用者密碼的攻擊者也需要有其手機或指紋才能進行完整驗證。
比較多重要素驗證與單一要素驗證。 使用單一要素驗證時,攻擊者只需要取得使用者名稱與密碼即可驗證。 因此應盡可能啟用多重要素驗證,因為這可以大幅增加安全性。
### 何謂 Azure AD Multi-Factor Authentication?
Azure AD Multi-Factor Authentication 是提供多重要素驗證功能的 Microsoft 服務。 Azure AD Multi-Factor Authentication 可讓使用者在登入期間選擇其他形式的驗證,例如撥打電話或行動應用程式通知。
### 什麼是無密碼驗證?
MFA 這類功能是保護您組織的絕佳方式,但額外的安全性階層加上必須記住密碼,通常會讓使用者感到挫折。 人們若是認為此方法簡單且方便,就更可能使用此方法。 無密碼驗證方法由於移除了密碼,並取代為您擁有的項目,加上代表您身分的事物或您知道的資訊,因此更加方便。
必須先在裝置上設定無密碼驗證,才能運作。 例如,您的電腦是您擁有的物品。 註冊之後,Azure 現在就會知道您的電腦與您相關聯。 在系統現在已識別了這台電腦後,一旦提供了您所知道的資訊或身分後 (例如 PIN 或指紋),便能不使用密碼進行驗證。
有關驗證,每個組織都有不同的需求。 Microsoft 全球 Azure 和 Azure Government 提供下列三種無密碼驗證選項,可與 Azure Active Directory (Azure AD) 整合:
* Windows Hello 企業版
* Microsoft Authenticator 應用程式
* FIDO2 安全性金鑰
### Windows Hello 企業版
Windows Hello 企業版適用於擁有自己專用 Windows 電腦的資訊工作者。 生物特徵辨識和 PIN 認證會直接繫結至使用者的電腦,以防止擁有者以外的任何人存取。 Windows Hello 企業版整合了公開金鑰基礎結構 (PKI) 並內建單一登入 (SSO) 支援,提供一個便利的方法,可順暢地存取內部部署和雲端中的公司資源。
### Microsoft Authenticator 應用程式
您也可以讓員工的手機變成無密碼驗證方法。 除了密碼以外,您可能已使用 Microsoft Authenticator 應用程式作為便利的多重要素驗證選項。 您也可以使用 Authenticator 應用程式作為無密碼選項。
Authenticator 應用程式會將任何 iOS 或 Android 手機變成強式無密碼認證。 使用者可以登入任何平台或瀏覽器,做法是取得其手機的通知、比對畫面上顯示的數字與其手機上的數字,然後使用其生物特徵辨識 (觸控或臉部) 或是 PIN 進行確認。 如需安裝詳細資料,請參閱「下載並安裝 Microsoft Authenticator 應用程式」。
### FIDO2 安全性金鑰
FIDO (Fast IDentity Online) Alliance 協助推廣開放驗證標準,並減少使用密碼作為驗證形式。 FIDO2 是併入 Web 驗證 (WebAuthn) 標準的最新標準。
FIDO2 安全性金鑰是無法網路釣魚的標準無密碼驗證方法,可以是任何規格。 Fast Identity Online (FIDO) 是一種無密碼驗證開放標準。 FIDO 可讓使用者和組織利用標準,透過外部安全性金鑰或裝置內建的平台金鑰來登入其資源,而不需要使用者名稱或密碼。
使用者可以註冊,然後在登入介面選取 FIDO2 安全性金鑰,昨為其主要的驗證方法。 這些 FIDO2 的安全性金鑰通常是 USB 裝置,但也可使用藍牙或 NFC。 使用可處理驗證的硬體裝置時,由於沒有可公開或猜到的密碼,因而提高帳戶的安全性。
## 描述 Azure 外部身分識別(2-4-4)
外部身分識別是貴組織外部的人員、裝置、服務等。 Azure AD 外部身分識別是指您可安全與組織外使用者互動的所有方法。 如果您想要與合作夥伴、經銷商、供應商或廠商共同作業,您可以共用您的資源,並定義內部使用者可存取外部組織的方法。 如果您是建立對應消費者之應用程式的開發人員,您可以管理客戶的身分識別體驗。
外部身分識別聽起來可能類似單一登入。 使用外部身分識別,外部使用者可「自備身分識別」。無論是公司或政府核發的數位身分識別,還是非受控的社交身分識別 (例如 Google 或 Facebook),他們都可以使用自己的登入資訊登入。 外部使用者的識別提供者會管理其身分識別,而您可使用 Azure AD 或 Azure AD B2C 來管理應用程式的存取權,讓您的資源受到保護。
外部身分識別具下列功能:
* 企業對企業 (B2B) 共同作業 - 讓外部使用者使用慣用的身分識別,登入您的 Microsoft 應用程式或其他企業應用程式 (SaaS 應用程式、自訂開發應用程式等),與外部使用者共同作業。 B2B 共同作業使用者在您的目錄中通常顯示為來賓使用者。
* B2B 直接連接 - 建立與其他 Azure AD 組織的相互雙向信任,以便順暢地共同作業。 B2B 直接連接目前支援 Teams 共用頻道,讓外部使用者能夠從其 Teams 主要執行個體存取您的資源。 B2B 直接連接使用者不會顯示在您的目錄中,但是可在 Teams 共用頻道內顯示,而且可以在 Teams 系統管理中心報告中監視。
* Azure AD 企業對客戶 (B2C) - 發佈新式 SaaS 應用程式或自訂開發應用程式 (不包括 Microsoft 應用程式) 給消費者和客戶,同時使用 Azure AD B2C 進行身分識別和存取權管理。
根據您想要與外部組織互動的方式,以及您必須共用的資源類型,您可以將這些功能搭配使用。
您可以搭配使用 Azure Active Directory (Azure AD) 與 Azure AD B2B 功能,輕鬆地跨組織界限啟用共同作業。 系統管理員或其他使用者可邀請來自其他租用戶的來賓使用者。 這也適用於社交識別,例如 Microsoft 帳戶。
您可以輕易確保來賓使用者有適當的存取權。 您可藉由要求來賓本身或決策者參與存取權檢閱,並重新證實 (或「證明」) 來賓的存取權。 檢閱者可以根據 Azure AD 的建議,對每位使用者的持續存取需求給予其意見。 存取權檢閱完成時,您可以接著進行變更,並為不再需要存取的來賓移除存取權。
## 描述 Azure 條件式存取(2-4-5)
條件式存取是 Azure Active Directory 用於根據身分識別訊號來允許 (或拒絕) 資源存取要求的工具。 這些訊號包括使用者是誰、使用者所在位置,以及使用者要求存取所用的裝置。
條件式存取可協助 IT 系統管理員:
* 讓使用者隨時隨地都擁有生產力。
* 保護組織的資產。
條件式存取也可為使用者提供更細微的多重要素驗證體驗。 例如,如果使用者位於已知位置,則可能不需要提供第二個驗證要素。 但若登入訊號不尋常或使用者位於非預期的位置,即可能會面臨第二個驗證要素的挑戰。
在登入期間,條件式存取會收集使用者的訊號,並根據那些訊號做出決策,然後透過允許或拒絕存取要求,或對多重要素驗證回應發出挑戰,以強制執行該決策。
下圖說明此流程:
在這裡,訊號可能是使用者的位置、裝置或嘗試存取的應用程式。
根據這些訊號,如果使用者從其平常的位置登入,則決策可能會允許完整存取。 如果使用者從不尋常位置或標示為高風險的位置登入,則可能會完全封鎖存取,或在使用者提供第二種形式的驗證後,才可能授與存取權。
強制執行是執行決策的動作。 例如,動作可以是允許存取,或要求使用者提供第二種形式的驗證。
### 何時可使用條件式存取?
需要執行下列動作時,條件式存取會很實用:
* 需要多重要素驗證 (MFA) ,才能根據要求者的角色、位置或網路來存取應用程式。 例如,您可以要求管理員使用 MFA,但不需要一般使用者或從公司網路外部連線的人員。
* 要求只能透過核准的用戶端應用程式來存取服務。 例如,您可以限制哪些電子郵件應用程式能夠連線到您的電子郵件服務。
* 要求使用者只能從受控裝置存取應用程式。 受控裝置是符合您的安全性與合規性標準的裝置。
* 封鎖不受信任來源的存取,例如來自不明或非預期位置的存取。
## 描述 Azure 角色型存取控制(2-4-6)
當您有多個 IT 和工程小組時,要如何控制其對雲端環境的資源擁有何種存取權? 最低權限準則表示您最高僅應授與完成工作所需層級的存取權。 如果您只需要儲存體 Blob 的讀取存取權,則應該僅授與該儲存體 Blob 的讀取存取權。 不應該授與該 Blob 的寫入存取權,也不應該授與其他儲存體 Blob 的讀取存取權。 這是一個絕佳的安全性做法。
不過,管理整個小組的權限層級會變得繁瑣。 您不需要定義每個人的詳細存取需求,然後在建立新資源或新人員加入小組時更新存取需求,Azure 可讓您透過 Azure 角色型存取控制 (Azure RBAC) 來控制存取。
Azure 提供內建角色來描述雲端資源的共通存取規則。 您也可以定義自己的角色。 每個角色都有一組與該角色相關的存取權限。 當您將個人或群組指派給一或多個角色時,其會獲得所有相關聯的存取權限。
因此,如果您雇用新的工程師,並將其新增至 Azure RBAC 工程師群組,這些工程師會自動取得與相同 Azure RBAC 群組中其他工程師相同的存取權。 同樣地,如果您新增其他資源並將 Azure RBAC 指向這些資源,則該 Azure RBAC 群組中的每個人員現在都會有新資源以及現有資源的這些權限。
### 如何將角色型存取控制套用至資源?
角色型存取控制會套用至某個範圍,這是可套用此存取權的一項資源或一組資源。
下圖顯示角色與範圍之間的關係。 管理群組、訂用帳戶或資源管理員可能會獲得擁有者的角色,如此他們便已增加控制權和授權。 觀察者 (預期不會進行任何更新) 可能會獲得相同範圍的讀者角色,讓他們能夠檢閱或觀察管理群組、訂用帳戶或資源群組。
範圍包括:
* 管理群組 (多個訂閱的集合)。
* 單一訂閱。
* 資源群組。
* 單一資源。
觀察者、管理資源的使用者、系統管理員和自動化流程說明一般獲指派各個不同角色的使用者或帳戶類型。
Azure RBAC 是階層式的,因為當您在父範圍授與存取權時,所有子範圍都會繼承這些權限。 例如:
* 當您將擁有者角色指派給管理群組範圍中的使用者時,該使用者就可以管理管理群組內所有訂閱中的全部內容。
* 當您將讀者角色指派給訂閱範圍中的群組時,該群組的成員就可以檢視訂閱內的每一個資源群組和資源。
### 如何強制執行 Azure RBAC?
您可以針對透過 Azure Resource Manager 所傳遞 Azure 資源所起始的任何動作,強制執行 Azure RBAC。 Resource Manager 是可讓您組織和保護雲端資源的管理服務。
您通常可從 Azure 入口網站、Azure Cloud Shell、Azure PowerShell 和 Azure CLI 存取 Resource Manager。 Azure RBAC 不會在應用程式或資料層級施行存取權限。 應用程式安全性必須由您的應用程式掌控。
Azure RBAC 使用允許模型。 當您獲派角色時,Azure RBAC 可讓您在該角色的範圍內執行動作。 如果有一個角色指派授與您資源群組的讀取權限,而另一個不同角色指派授與您相同資源群組的寫入權限,您就同時擁有該資源群組的讀取與寫入權限。
## 描述零信任模型(2-4-7)
零信任是一種安全性模型,會假設最差的情況,並且會根據所假設的情況保護資源。 零信任會假設一開始就產生缺口,然後會驗證每個要求,如同其源自於未受控的網路一樣。
現今,組織需要新的安全性模型,以有效地適應現代環境的複雜性、善用行動化人力:以及保護位於任何位置的人員、裝置、應用程式和資料。
為了解決這個全新境界的運算,Microsoft 強烈建議使用零信任安全性模型,其指導方針基礎如下:
* 明確驗證 - 一律以所有可用資料點為基礎,進行驗證和授權。
* 使用最低權限存取權 - 利用 Just-In-Time 及 Just-Enough 存取 (JIT/JEA)、風險型自適性原則和資料保護,以限制使用者存取。
* 假設缺口 - 盡可能減少爆炸半徑及區段存取權。 確認端對端加密。 使用分析來取得可見度、推動威脅偵測,以及改善防禦。
### 調整為零信任
傳統上,公司網路會受到限制、保護,且通常假設是安全的。 只有受控電腦可以加入網路、VPN 存取受到嚴格控制,且經常限制或封鎖個人裝置。
零信任模型會翻轉這個案例。 並非因為裝置在公司網路內就假設裝置是安全的,而是需要每個人員都進行驗證。 然後根據驗證而非根據位置授與存取權。
## 描述深層防禦(2-4-8)
「深層防禦」的目的是要保護資訊,以防止遭到未經授權存取的人士竊取。
深層防禦策略採用一連串的機制來減緩為了未經授權存取資料所發動的攻勢。
### 深層防禦的層級
您可以將深層防禦視覺化為一組層級,將資料放置在中央進行保護,而所有其他層級都能運作,以保護該中央資料層。
每一層皆提供保護,因此如果某層遭入侵,已備有後續層可防止進一步攻擊。 這種方法可避免系統仰賴任何單一的保護層。 其可減緩攻擊並提供警示資訊,讓安全性小組可立即自動或手動採取行動。
以下是各層角色的簡短概觀:
* 實體安全性層級是保護資料中心內計算硬體的第一道防線。
* 身分識別與存取層可控制對基礎結構與變更控制的存取。
* 周邊層使用分散式阻斷服務 (DDoS) 保護,可在大規模攻擊導致使用者發生阻斷服務的情況之前,先過濾掉這些攻擊。
* 網路層透過分割與存取控制,來限制資源之間的通訊。
* 計算層會保護對虛擬機器的存取。
* 應用程式層可確保應用程式的安全,且沒有安全性弱點。
* 資料層可控制需要保護的商務與客戶資料存取權。
這些層級提供指導方針,以協助在應用程式的所有層級中制定安全性設定決策。
Azure 在深層防禦概念的每個層級中,皆提供安全性工具與功能。 讓我們進一步了解每個防禦層:
### 實體安全性
確保建築物實際入口安全性,以及控制對資料中心內運算硬體的存取是第一道防線。
實體安全性旨在提供實體保護,以防止資產遭到存取。 這些保護可確保無法略過其他層,並會適當地處理遺失或遭竊情況。 Microsoft 使用其雲端資料中心內的各種實體安全性機制。
### 身分識別與存取
身分識別與存取權層的用意為確保身分識別安全、只授與所需存取權並記錄登入事件與變更。
在這一層中,請務必:
* 控制對基礎結構的存取及變更控制權。
* 使用單一登入 (SSO) 與多重要素驗證。
* 稽核事件和變更。
### 周邊
周邊網路會保護您的資源免於網路型攻擊。 找出這些攻擊、排除其影響,並在攻擊發生時發出警示,對於保障網路安全至關重要。
在這一層中,請務必:
* 使 DDoS 保護,可以在大規模攻擊導致影響使用者的系統可用性之前,先過濾掉這些攻擊。
* 使用周邊防火牆來找出對您網路發動的惡意攻擊,並發出警示。
### 網路
在這一層,焦點會放在將您所有資源間的網路連線限制成只允許必要連線。 藉由限制此通訊,您可降低攻擊散佈到網路中其他系統的風險。
在這一層中,請務必:
* 限制資源之間的通訊。
* 預設為拒絕。
* 在適當的情況下,限制傳入網際網路存取,並限制傳出存取。
* 實作與內部部署網路的安全連線。
### 計算
惡意程式碼、未修補的系統及未適當保護的系統,都會讓您的環境易受攻擊。 這一層的重點在確定運算資源安全,並讓您具有適當的控制權,以將安全性問題降到最低。
在這一層中,請務必:
* 保護對虛擬機器的存取。
* 在裝置上實作 Endpoint Protection,並確保系統經過修補且是最新的。
### Application
將安全性整合到應用程式開發生命週期,這有助於減少程式碼中產生的弱點數量。 所有開發小組都應確保其應用程式預設是安全的。
在這一層中,請務必:
* 確保應用程式安全無虞,且沒有弱點。
* 將敏感性應用程式祕密儲存在安全的儲存媒體中。
* 讓安全性成為所有應用程式開發的設計需求。
### 資料
儲存資料並控制資料存取權的人員,必須負責確保使用適當的方式來保護資料。 通常會有法規需求,其中規定為確保資料機密性、完整性與可用性所需具備的控制權與程序。
在絕大多數情況下,攻擊者都想要取得資料:
* 儲存在資料庫中。
* 儲存在虛擬機器內的磁碟上。
* 儲存在軟體即服務 (SaaS) 應用程式中,例如 Office 365。
* 透過雲端儲存空間進行管理。
## 描述適用於雲端的 Microsoft Defender(2-4-9)
適用於雲端的 Defender 是安全性狀態管理和威脅防護的監視工具。 它會監視您的雲端、內部部署、混合式和多重雲端環境,以提供指導方針和通知,以強化您的安全性狀態。
適用於雲端的 Defender 提供強化資源、追蹤安全性態勢、防範網路攻擊及簡化安全性管理所需的工具。 適用於雲端的 Defender 部署很簡單,它已原生整合至 Azure。
### 部署的每個位置都受到保護
由於適用於雲端的 Defender 是 Azure 原生服務,因此,許多 Azure 服務都會受到監視和保護,而不需要任何部署。 不過,如果您也有內部部署資料中心,或同時正在另一個雲端環境中運作,則監視 Azure 服務可能無法讓您完全了解安全性情況。
必要時,適用於雲端的 Defender 可以自動部署 Log Analytics 代理程式來收集安全性相關資料。 對於 Azure 機器,會直接處理部署。 針對混合式和多重雲端環境,Microsoft Defender方案會透過 Azure Arc 的協助延伸至非 Azure 機器。雲端安全性狀態管理 (CSPM) 功能會延伸至多雲端電腦,而不需要任何代理程式。
### Azure 原生保護
適用於雲端的 Defender 可協助您偵測下列領域的威脅:
* Azure PaaS 服務 – 偵測以 Azure 服務為目標的威脅,包括 Azure App Service、Azure SQL、Azure 儲存體帳戶及更多資料服務。 您也可以使用與 適用於雲端的 Microsoft Defender (先前稱為 Microsoft Cloud App Security) 的原生整合,在 Azure 活動記錄上執行異常偵測。
* Azure 資料服務 – 適用於雲端的 Defender 包含可協助您在 Azure SQL 中自動分類資料的功能。 您也可以取得所有 Azure SQL 和儲存體服務的潛在弱點評量,以及如何緩解的建議。
* 網路 – 適用於雲端的 Defender 可協助您限制暴露於暴力密碼破解攻擊的程度。 藉由減少存取虛擬機器連接埠,使用 Just-In-Time VM 存取權,可以透過防止不必要的存取來強化您的網路。 您可以針對選取的連接埠設定安全存取原則,只限授權的使用者,允許的來源 IP 位址範圍或 IP 位址,在有限的時間內使用。
### 保護您的混合式資源
除了保護您的 Azure 環境以外,您還可以將適用於雲端的 Defender 功能新增至混合式雲端環境,以保護您的非 Azure 伺服器。 為了幫助您全心處理最重要的事務,將可根據特定環境自訂威脅情報及排定警示的優先順序。
若要將保護延伸至內部部署機器,請部署 Azure Arc,並啟用適用於雲端的 Defender 增強式安全性功能。
### 保護在其他雲端上執行的資源
適用於雲端的 Defender 也可以保護在其他雲端中的資源 (例如 AWS 和 GCP)。
例如,如果您已將 Amazon Web Services (AWS) 帳戶連線到 Azure 訂閱,您可以啟用下列任何保護:
* 適用於雲端的 Defender 的 CSPM 功能會延伸至您的 AWS 資源。 此無代理程式方案會根據安全分數中包含的 AWS 特定安全性建議來評估您的 AWS 資源,並包含安全分數的結果。 也會評估資源是否符合 AWS 專屬內建標準 (AWS CIS、AWS PCI DSS 和 AWS 基礎安全性最佳做法) 的規範。 適用於雲端之 Defender 的資產清查頁面是啟用多重雲端的功能,可協助您隨著 Azure 資源管理 AWS 資源。
* 適用于容器的Microsoft Defender會將其容器威脅偵測和進階防禦延伸至 Amazon EKS Linux 叢集。
* 伺服器Microsoft Defender會將威脅偵測和進階防禦帶入 Windows 和 Linux EC2 實例。
### 評估、安全及防禦
當您管理雲端和內部部署中的資源和工作負載安全性時,適用於雲端的 Defender 可滿足三個重要需求:
* 持續評估 – 了解您的安全性態勢。 識別和追蹤弱點。
* 安全 – 使用 Azure 安全性基準強化資源和服務。
* 防禦 - 偵測並解決資源、工作負載和服務的威脅。
### 持續評估
適用於雲端的 Defender 可協助您持續評估環境。 適用於雲端的 Defender 包含虛擬機器、容器登錄和 SQL 伺服器的弱點評估解決方案。
適用於伺服器的 Microsoft Defender 包含與適用於端點的 Microsoft Defender 的自動原生整合。 啟用此整合後,您將能夠存取 Microsoft 威脅與弱點管理的弱點結果。
在這些評估工具之間,您將有涵蓋計算、資料和基礎結構的定期、詳細的弱點掃描。 您可以從適用於雲端的 Defender 內檢閱並回應這些掃描的結果。
### 安全
從驗證方法到存取控制,再到零信任的概念,雲端中的安全性是必須做好的基本概念。 若要在雲端中保持安全,您必須確保工作負載安全。 若要保護您的工作負載,您需要有專為環境和情況量身打造的安全性原則。 由於適用於雲端的 Defender 都是以 Azure 原則控制項為基礎所建置,因此您可獲得完整世界級原則解決方案與其彈性。 您可以在適用於雲端的 Defender 中設定原則,以在管理群組、訂閱,甚至整個租用戶執行。
移至雲端的其中一個優點,就是能夠視需要成長和調整,視需求新增服務和資源。 適用於雲端的 Defender 會持續監視跨工作負載部署的新資源。 適用於雲端的 Defender 會根據安全性最佳做法來評估是否已設定新資源。 若非如此,則會加上旗標,並提供建議您必須優先修正的事項清單。 建議可協助您減少每個資源的受攻擊面。
Azure 安全性基準會啟用及支援建議清單。 此 Microsoft 撰寫的 Azure 專用基準,對於以通用合規性架構為基礎的安全性和合規性最佳做法,提供一套指導方針。
如此一來,適用於雲端的 Defender 不只能讓您設定安全性原則,還可以在資源間套用安全設定標準。
為了協助您了解每個建議對整體安全性態勢的重要性,適用於雲端的 Defender 將建議分為多個安全性控制項,並將安全分數值新增至每個控制項。 安全分數可讓您一目了然地指出安全性態勢的健康情況,而控制項則提供一份考量改善安全性分數和整體安全性態勢的工作清單。
### 防禦
前兩個領域著重於評估、監視和維護環境。 適用於雲端的 Defender 也藉由提供安全性警示和進階威脅防護功能,協助您保護環境。
### 安全性警示
適用於雲端的 Microsoft Defender 在您環境的任何區域中偵測到威脅時,將會產生安全性警示。 安全性警示:
* 描述受影響資源的詳細資料
* 建議補救步驟
* 在某些情況下,提供一個選項來觸發回應的邏輯應用程式
無論是適用於雲端的 Microsoft Defender 所產生的警示,還是適用於雲端的 Microsoft Defender 從整合式安全性產品收到的警示,都可供匯出。 適用於雲端的 Defender 的威脅防護包括混合的狙殺鏈分析,其會根據網路狙殺鏈分析自動與環境中的警示相互關聯,協助您更了解攻擊活動全貌,知道攻擊在何處開始和對資源有何影響。
### 進階威脅防護
適用於雲端的 Defender 可為許多部署的資源提供進階威脅防護功能,包括虛擬機器、SQL 資料庫、容器、Web 應用程式,以及您的網路。 其保護機制包括使用 Just-In-Time 存取來保護 VM 的管理連接埠,以及利用自適性應用程式控制建立允許清單,指定可以和不應在您的機器上執行的應用程式。
## 知識檢定(2-4-10)
# Azure 基本概念:描述 Azure 管理與治理(Azure Fundamentals: Describe Azure management and governance)(3)
## 說明在 Azure 中成本管理(Describe cost management in Azure)(3-1)
### 描述可能會影響 Azure 中成本的因素(3-1-2)
->Azure會將開發成本從建置並維護基礎結構和設施的資本支出(Capital expenditures:CapEx) 移轉至視需要租用基礎結構的營運支出 (Operating expenditures:OpEx),不論其是計算、儲存體、網路等等。
該 OpEx 成本可能會受到許多因素影響。 其中一些影響因素如下:
1. 資源類型resource Type
2. 取用量Dosage
3. 維護maintain
4. 地理位置geographic location
5. 訂用帳戶類型Subscription account type
6. Azure Marketplace
### 資源類型
有數個因素會影響 Azure 資源的成本。 資源類型、資源設定和 Azure 區域都會對資源成本有所影響。 當您佈建 Azure 資源時,Azure 會為該資源建立計量執行個體。 計量會追蹤資源的使用量,並產生用來計算帳單的使用量記錄。
#### 範例
使用儲存體帳戶時,您可以指定 Blob、效能層、存取層、備援設定和區域等類型。 在不同區域中建立相同的儲存體帳戶可能會顯示不同的成本,而且變更任何設定也可能會影響價格。
使用虛擬機器 (VM) 時,您可能必須考慮作業系統或其他軟體的授權、VM 的處理器和核心數目、連結的儲存體,以及網路介面。 就像儲存體一樣,在不同的區域中佈建相同的虛擬機器可能會導致不同的成本。
### 取用量
隨用隨付一直是一致的主題,這是雲端付款模型,您可以在其中支付您在計費週期使用的資源。 如果您在此週期使用更多計算,將支付更多費用。 如果您在目前的週期使用較少計算,將支付較少費用。 這是一種直接定價機制,可提供最大的彈性。
不過,Azure 也可讓您事先承諾使用一組雲端資源數量,並得到這些「保留」資源的折扣。 許多服務 (包括資料庫、計算和儲存體) 都會提供選項,以承諾使用層級並得到折扣,在某些情況下高達 72%。
當保留容量時,您承諾會在指定的期間 (通常是一或三年) 使用並支付特定數量的 Azure 資源。 有了隨用隨付的支持,如果您看到需求突然暴增,超出您預先保留的數量,您只需支付超過保留的額外資源。 此模型可讓您認識到可靠、一致的工作負載能夠大幅節省成本,同時又能夠彈性地在需求上升時快速增加雲端使用量。
### 維護
雲端的彈性可讓您根據需求快速調整資源。 使用資源群組有助於讓所有資源井然有序。 若要控制成本,請務必維護您的雲端環境。 例如,每次佈建 VM,也會佈建儲存體和網路等額外資源。 如果您取消佈建 VM (不論是刻意還是意外),這些額外的資源可能不會同時取消佈建。 留意您的資源,並確定您不會保留不再需要的資源,您可以藉此協助控制雲端成本。
### 地理位置
在 Azure 中佈建大部分的資源時,您必須定義資源部署所在的區域。 Azure 基礎結構分散於全球各地,這可讓您集中部署服務,或將服務佈建至最接近客戶的位置,或介於兩者之間。 全球定價會隨著這種全球部署而有所差異。 電力、人力、稅金和費用的成本會根據位置而有所不同。 由於這些變化,Azure 資源的部署成本可能會有所不同,取決於所在區域。
網路流量也會根據地理位置受到影響。 例如,在歐洲內移動資訊比將資訊從歐洲移至亞洲或南美洲更便宜。
#### 網路流量
計費區域是判斷部分 Azure 服務成本的一項因素。
頻寬與將資料移入和移出 Azure 資料中心有關。 部分連入資料傳輸 (進入 Azure 資料中心的資料) 為免費。 針對連出資料傳輸 (離開 Azure 資料中心的資料),資料傳輸價格則取決於區域。
區域是用於計費的 Azure 區域地理分組。 頻寬定價頁面具有關於資料輸入、輸出和傳輸價格的其他資訊。
### 訂用帳戶類型
有些 Azure 訂用帳戶類型也包含使用額度,這會影響成本。
例如,Azure 免費試用訂閱可供免費存取 12 個月多項 Azure 產品。 其中還包含可在註冊後 30 天內使用的點數。 您將可以存取超過 25 種一律免費的產品 (依資源和區域可用性而定)。
### Azure Marketplace
Azure Marketplace 可讓您購買協力廠商提供的 Azure 型解決方案及服務。 這可能是已預先安裝和設定軟體的伺服器,或受控網路防火牆設備,或協力廠商備份服務的連接器。 當透過 Azure Marketplace 購買產品時,您可能不只支付您使用的 Azure 服務,還支付協力廠商廠商的服務或專業知識。 計費結構是由廠商所設定。
Azure Marketplace 中提供的所有解決方案都經過認證,且符合 Azure 原則和標準。 認證原則可能會根據服務或解決方案類型和涉及的 Azure 服務而有所不同。 商務市集認證原則具有關於 Azure Marketplace 認證的其他資訊。
### 比較定價和擁有權總成本計算機(3-1-3)
定價計算機和擁有權總成本 (TCO) 計算機是兩種計算機,可協助您了解潛在的 Azure 費用。 這兩種計算機都可從網際網路存取,而且這兩種計算機都可讓您建置設定。 不過,這兩種計算機有非常不同的用途。
定價計算機
定價計算機的設計目的是提供您在 Azure 中佈建資源的預估成本。 您可以取得個別資源的估計值、建置解決方案,或使用範例情節來查看 Azure 支出的估計費用。 定價計算機的重點在於 Azure 中佈建的資源成本。
:::warning
注意
定價計算機僅供參考。 價格只是估價。 將資源新增至定價計算機時,不會佈建任何項目,而且不會向您選取的任何服務收費。
:::
使用定價計算機,您可以預估任何所佈建資源的成本,包括計算、儲存體和相關聯的網路成本。 您甚至可以考慮不同的儲存體選項,例如儲存體類型、存取層和備援。
### TCO 計算機
TCO 計算機的設計目的,在於協助您比較執行內部部署基礎結構與執行 Azure 雲端基礎結構的成本。 使用 TCO 計算機,您可以輸入目前的基礎結構設定,包括伺服器、資料庫、儲存體和輸出網路流量。 然後,TCO 計算機會將您目前環境的預期成本與支援相同基礎結構需求的 Azure 環境進行比較。
使用 TCO 計算機,您可以輸入設定、新增電力和 IT 人力成本等假設,並呈現預估的成本差異,以在目前資料中心或 Azure 中執行相同的環境。
### 練習 - 使用定價計算機估計工作負載成本(3-1-4)
在本練習中,您可使用定價計算機來預估在 Azure 上執行基本 Web 應用程式的成本。
從定義所需的 Azure 服務著手。
:::success
注意
定價計算機僅供參考。 該定價僅為估計,且將無需實際支付所選的任何服務費用。
:::
### 定義需求
執行定價計算機之前,必須了解所需的 Azure 服務。
針對裝載於資料中心的基本 Web 應用程式,您可以執行類似下列的設定。
在 Windows 上執行的 ASP.NET Web 應用程式。 該 Web 應用程式會提供產品存貨及定價的資訊。 有兩部透過中央負載平衡器連線的虛擬機器。 Web 應用程式會連接至保存存貨及定價資訊的 SQL Server 資料庫。
若要移轉至 Azure,您可以:
使用 Azure 虛擬機器執行個體,類似在資料中心使用的虛擬機器。
使用 Azure 應用程式閘道進行負載平衡。
使用 Azure SQL Server 資料庫來保存存貨及定價資訊。
以下是顯示基本架構的圖表:
在實務上,您會更詳細地定義需求。 但以下是一些讓您開始的基本事實和需求:
* 應用程式會在內部使用。 客戶無法存取此應用程式。
* 此應用程式不需要大量的運算能力。
* 虛擬機器及資料庫會全天候執行 (730 小時/月)。
* 網路會每月處理大約 1 TB 的資料。
* 不需要針對高效能工作負載設定資料庫,且不需要超過 32 GB 的儲存體。
### 探索定價計算機
讓我們從價格計算機的快速導覽開始著手。
1. 前往定價計算機。
2. 請注意下列索引標籤:
* 產品 您可在此選擇要納入估計的 Azure 服務。 您很可能會在此耗費大部分的時間。
* 範例情節在這裡,您可找到作為著手點的數個「參考架構」,或常見的雲端解決方案。
* 已儲存的估計您可在這裡找到先前儲存的估計。
* 常見問題您可在這裡找到有關定價計算機常見問題的解答。
### 預估解決方案
您可在此將需要的每項 Azure 服務新增至計算機。 然後設定各個服務,以符合需求。
:::success
提示
請確定您的計算機已清空,估價中空無一物。 您可選取每個項目旁的垃圾筒圖示來重設估計。
:::
### 將服務新增至估計
1. 請在 [產品] 索引標籤上,從以下每個類別中選取服務:
| 類別 | 服務 |
| -------- | -------- |
| 計算 | 虛擬機器 |
| 資料庫 | Azure SQL Database |
| 網路功能 | 應用程式閘道 |
2. 捲動到頁面底部。 每個服務都是以其預設設定列出。
設定表格放棄~
### 檢視、共用及儲存估計
在頁面底部,您會看到執行解決方案的預估成本總計。 如有需要,您可變更貨幣類型。
此時,您有幾個選項:
* 選取 [匯出],將估價儲存為 Excel 文件。
* 選取 [儲存] 或 [另存新檔],將估計儲存至 [儲存的估計] 索引標籤,以供稍後使用。
* 選取 [共用] 以產生 URL,如此即可與小組共用估計。
您現在已有可與小組共用的成本預估。 當發現需求有任何變更時,皆可進行調整。
使用在此用過的一些選項來進行實驗,或針對想要在 Azure 上執行的工作負載建立購買方案。
### 練習 - 使用 TCO 計算機比較工作負載成本(3-1-5)
在本練習中,您會使用擁有權總成本 (TCO) 計算機來比較在您資料中心與 Azure 上執行範例工作負載的成本。
假設您考慮將部分內部部署工作負載移至雲端。 但首先,您需要深入了解如何從較固定成本結構移至每月持續成本結構。
您需要調查將資料中心移至雲端後,未來三年是否可能節約任何的成本。 您必須考量在內部部署和雲端中運作所涉及的所有可能隱藏成本。
不需要手動收集您認為可能需要納入的所有成本,而是使用 TCO 計算機作為著手點。 您可調整所提供的成本假設,以符合您的內部部署環境。
:::success
注意
請記住,您不需要 Azure 訂用帳戶,即可使用 TCO 計算機[https://azure.microsoft.com/zh-tw/pricing/tco/calculator/](https://azure.microsoft.com/zh-tw/pricing/tco/calculator/)
:::
假設:
* 您會在每個銀行中執行兩組虛擬機器,而每一組各有 50 部虛擬機器 (VM)。
* 第一組 VM 會在 Hyper-V 虛擬化下執行 Windows Server。
* 第二組 VM 會在 VMWare 虛擬化下執行 Linux。
* 另外還有一個磁碟儲存體為 60 TB 的存放區域網路 (SAN)。
* 您每個月會耗用預估 15 TB 的輸出網路頻寬。
* 另外還牽扯到部分資料庫,但現在您需要省略這些細節。
*
請回想 TCO 計算機的三個步驟:
### 描述 Azure 成本管理工具(3-1-6)
Microsoft Azure 是全域雲端提供者,這表示您可以在世界各地佈建資源。 您可以快速佈建資源以符合突然的需求,或是測試新功能或在發生意外時。 如果您不小心佈建新資源,則在需要開立發票的時機之前,您可能不會察覺到這些資源。 成本管理是可協助避免這些情況的 Azure 服務。
### 什麼是成本管理?
成本管理可讓您快速檢查 Azure 資源成本、根據資源費用來建立警示,以及建立可用來自動化資源管理的預算。
成本分析是成本管理子集,可為 Azure 成本提供快速的視覺效果。 使用成本分析,您可以透過各種不同的方式來快速檢視總成本,包括依計費週期、區域、資源等。
您可以使用成本分析來探索和分析您的組織成本。 您可以依組織檢視彙總成本,以了解累積成本的項目並確認費用趨勢。 您還可以查看隨時間累積的成本,以估算每月、每季或甚至每年的成本與預算趨勢。
### 成本警示
成本警示提供單一位置,可快速檢查可能會在成本管理服務中顯示的所有不同警示類型。 可能顯示的三種警示類型為:
#### 預算警示
點數警示
部門費用配額警示。
預算警示
預算警示會在費用 (以使用量或成本為基礎) 達到或超過預算警示條件中所定義的數量時通知您。 成本管理預算是使用 Azure 入口網站或 Azure 使用量 API 所建立。
在 Azure 入口網站中,預算是由成本所定義。 使用 Azure 使用量 API 時,預算是依成本或使用量所定義。 預算警示支援成本型和使用量型預算。 每當符合預算警示條件時,就會自動產生預算警示。 您可以在 Azure 入口網站中檢視所有成本警示。 每當產生警示時,就會在成本警示中顯示該警示。 也會將警示電子郵件傳送給預算警示收件者清單中的人員。
#### 點數警示
點數警示會在使用 Azure 點數預付金時通知您。 預付金適用於具有 Enterprise 合約 (EA) 的組織。 點數警示會在使用額度達 90% 和 100% 的 Azure 點數餘額時自動產生。 每當警示產生時,就會在成本警示和傳送給帳戶擁有者的電子郵件中反映該警示。
#### 部門費用配額警示
部門費用配額警示會在部門費用達到配額的固定閾值時通知您。 費用配額是在 EA 入口網站中設定。 每當達到閾值時,此警示就會產生一封電子郵件傳送給部門負責人,並顯示在成本警示中。 例如,50% 或 75% 的配額。
### 預算
預算是您為 Azure 設定消費限制的位置。 您可以根據訂用帳戶、資源群組、服務類型或其他準則來設定預算。 當您設定預算時,也會設定預算警示。 預算達到預算警示層級時,將會觸發在成本警示區域中顯示的預算警示。 如果已設定,則預算警示也會傳送電子郵件通知,其指出已觸發預算警示閾值。
更進階的預算用法可讓預算條件觸發自動化,而自動化會在觸發條件發生之後暫止或修改資源。
### 描述標記的用途(3-1-7)
隨著雲端使用量增加,保持井然有序也日益重要。 良好組織策略有助於了解自己的雲端使用量,並可協助管理成本。
組織相關資源的方法之一,就是將其放在自己的訂閱中。 您也可以使用資源群組來管理相關資源。 資源標記是組織資源的另一種方法。 標記提供資源的額外資訊或中繼資料。 此中繼資料有助於:
* 資源管理:標記可讓您尋找與特定工作負載、環境、業務單位和擁有者相關聯的資源,並對其採取動作。
* 成本管理與最佳化:標記可讓您將資源分組,以便報告成本、配置內部成本中心、追蹤預算,以及預測估計的成本。
* 作業管理:標記可讓您根據資源可用性對您商務的重要程度來將資源分組。 這項分組可協助您制訂服務等級協定 (SLA)。 SLA 是您與您的使用者之間的運作時間或效能保證。
* 安全性:標記可讓您依資料的安全性層級 (例如「公開」或「機密」) 來分類資料。
* 治理與法規合規性:標記可讓您識別符合治理或法規合規性需求的資源,例如 ISO 27001。 標記也可以是標準強制執行工作的一部分。 例如,您可能需要為所有資源加上擁有者或部門名稱標記。
* 工作負載最佳化與自動化:標記可協助您將所有參與複雜部署的資源視覺化。 例如,您可能會為資源加上相關聯工作負載或應用程式名稱的標記,並使用 Azure DevOps 這類軟體,以在這些資源上執行自動化工作。
### 如何管理資源標記?
您可以透過 Windows PowerShell、Azure CLI、Azure Resource Manager 範本、REST API 或 Azure 入口網站來新增、修改或刪除資源標記。
您可以使用 Azure 原則來強制執行標記規則和慣例。 例如,您可以要求在佈建新的資源之後,將某些標記新增至其中。 您也可以定義規則來重新套用已移除的標記。 標記不會繼承,這表示您可以在一個層級套用標記,而且這些標記不會自動顯示在不同的層級,以讓您建立自訂標記結構描述,而這些結構描述會根據層級 (資源、資源群組、訂用帳戶等) 而變更。
#### 範例標記結構
資源標記是由名稱和值所組成。 您可以將一或多個標記指派給每個 Azure 資源。
請記住,您不需要強制所有資源都顯示特定標記。 例如,您可以決定僅限任務關鍵性資源具有「影響」標記。 所有未加上標記的資源都不會被視為任務關鍵性。
標籤只能做個別的定義,不會做繼承的設定,但是鎖定會繼承!
### 知識檢定(3-1-8)
## 說明 Azure 中與治理及合規性相關的功能與工具(3-2)
### 描述 Azure 藍圖的用途(3-2-2)
當您的雲端開始成長到不只有一個訂閱或環境時,會發生什麼事? 如何調整功能的設定? 如何在新的訂閱中強制執行設定和原則?
Azure 藍圖可讓您標準化雲端訂閱或環境部署。 您可以使用 Azure 藍圖來定義在建立新訂閱時套用的可重複設定和原則,而不需為每個新訂閱設定 Azure 原則等功能。 需要新的測試/開發環境嗎? Azure 藍圖可讓您部署已設定安全性與合規性設定的新測試/開發環境。 透過這種方式,開發小組可以快速建立和部署新環境,並了解他們是遵守組織需求而建立的。
### 何謂構件?
藍圖定義中的每個元件都稱為「成品」。
成品可能沒有任何額外的參數 (設定)。 以在 SQL 伺服器上部署威脅偵測原則為例,其不需要另外的設定。
成品也可包含一或多個可設定的參數。 下列螢幕擷取畫面顯示允許的位置原則。 此原則包含可指定允許位置的參數。
當建立藍圖定義,或將藍圖定義指派給某個範圍時,您可指定參數的值。 這可讓您維護一個標準藍圖,卻又能夠彈性地在指派定義的每個範圍中指定相關設定參數。
Azure 藍圖會根據相關成品的所有需求、設定和設定,部署新的環境。 成品可以包含下列項目:
* 角色指派
* 原則指派
* Azure 資源管理員範本
* 資源群組
### Azure 藍圖如何協助監視部署?
Azure 藍圖可設定版本,可讓您建立初始設定,然後在稍後進行更新,並將新版本指派給更新。 透過版本設定,您可以進行少量更新,並追蹤使用哪些組態集的部署。
透過 Azure 藍圖,藍圖定義 (應該已部署) 和藍圖指派 (已部署) 之間的關聯性就得以保留。 換句話說,Azure 會建立一筆記錄,將資源與定義的藍圖建立關聯。 此關聯可協助您追蹤及稽核部署。
### 描述Azure原則的用途(3-2-3)
如何確保資源保持合規? 可在資源設定變更時收到警示嗎?
Azure 原則是 Azure 的一項服務,可讓您建立、指派及管理用於控制或稽核資源的原則。 這些原則會針對資源設定強制執行不同規則,讓這些設定符合公司標準的規範。
### Azure 原則如何定義原則?
Azure 原則可讓您定義個別原則及相關原則群組 (亦稱為方案)。 Azure 原則會評估資源,並醒目提示不符合所建立原則規範的資源。 Azure 原則也可防止建立不符合規範的資源。
您可以在每個層級設定 Azure 原則,讓您針對特定資源、資源群組、訂閱等設定原則。 此外,Azure 原則會向下繼承,因此,如果您以高階設定原則,則會自動套用至屬於父系中的所有群組。 例如,如果您在資源群組上設定 Azure 原則,則在該資源群組內建立的所有資源都會自動收到相同的原則。
Azure 原則提供內建的原則和方案定義,分別為:「儲存體」、「網路功能」、「計算」、「資訊安全中心」及「監視」。 例如:若您定義的原則只允許環境中的虛擬機器 (VM) 使用特定的大小,則每當您建立新的 VM 與調整現有 VM 大小時,便會叫用該原則。 Azure 原則也會評估及監視目前您環境中的所有 VM,包括在建立原則之前所建立的 VM。
在某些情況下,Azure 原則可自動補救不符合規範的資源和設定,以確保資源的完整狀態。 例如:若特定資源群組的所有資源皆應標記 AppName 標籤和「SpecialOrders」值,Azure 原則便會在該標籤遺漏時自動套用該標籤。 不過,您仍能保留對環境的完整控制權。 如果您有特定資源不希望 Azure 原則進行自動修正,您可以將該資源標示為例外狀況,原則就不會自動修正該資源。
若有與應用程式部署前及部署後階段有關的持續整合與傳遞管線原則,則 Azure 原則也會套用這些原則,以整合 Azure DevOps。
### 什麼是 Azure 原則方案?
Azure 原則方案可將相關原則分為一組。 方案定義包含所有原則定義,可協助追蹤合規性狀態以達成更大的目標。
例如,Azure 原則有一個名為「啟用 Azure 資訊安全中心的監視功能」的方案。 其目標是要在 Azure 資訊安全中心內監視所有 Azure 資源類型的所有可用安全性建議。
在此方案下,會包含下列原則定義:
* 在資訊安全中心內監視未加密的 SQL Database:此原則會監視未加密的 SQL 資料庫與伺服器。
* 在資訊安全中心內監視 OS 弱點:此原則會監視不符合所設定 OS 弱點基準的伺服器。
* 監視安全性中心內缺少的 Endpoint Protection:此原則會監視尚未安裝 Endpoint Protection 代理程式的伺服器。
* 事實上,「啟用 Azure 資訊安全中心的監視功能」方案包含 100 多種不同的原則定義。
*
### 描述資源鎖定的用途(3-2-4)
資源鎖定可防止意外刪除或變更資源。
即使 Azure 角色型存取控制 (Azure RBAC) 原則已就位,具有適當存取層級的人員仍然可能會刪除重要的雲端資源。 資源鎖定會根據鎖定的類型,防止資源遭到刪除或更新。 資源鎖定可以套用至個別資源、資源群組,甚至是整個訂用帳戶。 資源鎖定是繼承的,表示如果您在資源群組上設置了資源鎖定,資源群組中所有的資源也都會套用資源鎖定。
### 資源鎖定的類型
資源鎖定有兩種,一種可防止使用者刪除資源,另一種可防止使用者變更或刪除資源。
* Delete 表示經過授權的使用者仍然可以讀取和修改資源,但無法刪除資源。
* ReadOnly 表示經過授權的使用者可以讀取資源,但無法刪除或更新資源。 套用這個鎖定類似於限制所有經過授權使用者的權限是由「讀取者」角色所授與。
### 如何管理資源鎖定?
您可以從 Azure 入口網站、PowerShell、Azure CLI 或 Azure Resource Manager 範本管理資源鎖定。
若要在 Azure 入口網站中檢視、新增或刪除鎖定,請前往 Azure 入口網站中任何資源 [設定] 窗格的 [設定] 區段。
### 如何刪除或變更已鎖定的資源?
雖然鎖定有助於防止意外變更,但您仍然可以遵循兩個步驟的程序來進行變更。
若要修改已鎖定的資源,您必須先移除鎖定。 移除鎖定之後,您可以套用有權執行的任何動作。 無論 RBAC 權限為何,都會套用資源鎖定。 即使您是某項資源的擁有者,您仍然必須先移除鎖定,才能執行封鎖的活動。
### 描述服務信任入口網站的用途(3-2-6)
Microsoft 服務信任入口網站提供有關 Microsoft 安全性、隱私權和合規性做法的多種內容、工具和其他資源的存取權。
服務信任入口網站包含關於 Microsoft 實作控制項和流程的詳細資料,可保護我們的雲端服務和當中的客戶資料。 若要存取服務信任入口網站上的某些資源,您必須使用您的 Microsoft 雲端服務帳戶 (Azure Active Directory 組織帳戶) 以已驗證的使用者身分登入。 您必須檢閱並接受 Microsoft 合規性資料保密合約。
存取服務信任入口網站
您可以在 https://servicetrust.microsoft.com/ 存取服務信任入口網站。
服務信任入口網站的功能和內容可由主功能表存取。 主功能表中的類別如下:
* 服務信任入口網站提供返回服務信任入口網站首頁的快速存取超連結。
* 信任文件提供豐富的安全性實作和設計資訊。 此資訊旨在讓您瞭解 Microsoft 雲端服務如何保護您的資料,以幫助您更輕鬆的滿足法規合規性目標。 信任文件中的子項目包括:稽核報告、資料保護和 Azure Stack。
* 產業 & 區域提供產業和區域專屬的 Microsoft 雲端服務合規性資訊。
* 信任中心連結至 Microsoft 信任中心。 信任中心提供 Microsoft 雲端中有關安全性、合規性和隱私權的詳細資料。 這包括:Microsoft 服務中可用於解決 GDPR 特定要求功能的相關資訊;有助於 GDPR 責任的文件;以及可幫助您瞭解 Microsoft 的 GDPR 支援技術和組織措施相關文件。
* 資源提供更多資源的存取權,例如安全性與合規性中心、Microsoft 全球資料中心的相關資訊和常見問題集。
* 我的文件庫可讓您儲存 (或釘選) 文件,以便在 [我的文件庫] 頁面上快速存取這些文件。 您也可以設定接收通知,在 [我的文件庫] 中的文件更新時通知您。
### 知識檢定
## 說明和部屬Azure資源的功能和工具(3-3)
### 描述與 Azure 互動的工具(3-3-2)
若要充分利用 Azure,您需要有一種方式可與 Azure 環境、管理群組、訂用帳戶、資源群組、資源等互動。 Azure 提供多個工具來管理您的環境,包括:
* Azure入口網站
* Azure PowerShell
* Azure 命令列介面(CLI)
### 什麼是 Azure 入口網站?
Azure 入口網站是統一的 Web 式主控台,可提供命令列工具的替代方案。 運用 Azure 入口網站,您可以使用圖形化使用者介面來管理您的 Azure 訂用帳戶。 您可以:
建置、管理和監視一切 (從簡單 Web 應用程式到複雜雲端部署)
建立組織性資源檢視的自訂儀表板
設定協助工具選項,以獲得最佳體驗
### Azure 入口網站是針對復原和持續可用性所設計。 其會一直存在於每個 Azure 資料中心。 此設定讓 Azure 入口網站能夠在個別資料中心失敗時進行復原,且透過接近使用者而避免網路變慢。 Azure 入口網站會持續更新,而且進行維護活動時不需要停機。
Azure Cloud Shell
Azure Cloud Shell 是瀏覽器型殼層工具,可讓您使用殼層來建立、設定和管理 Azure 資源。 Azure Cloud Shell 支援 Azure PowerShell 和 Azure 命令列介面 (CLI),這是 Bash 殼層。
您可以選取 Cloud Shell 圖示,以透過 Azure 入口網站來存取 Azure Cloud Shell:
Azure Cloud Shell 有數項功能可成為唯一的供應項目,以支援您管理 Azure。 其中一些功能為:
* 這是瀏覽器型殼層體驗,不需要本機安裝或設定。
* 其會向您的 Azure 認證進行驗證,因此當您登入時,原本就會知道您是誰,以及您擁有的權限。
* 您可以選擇您最熟悉的殼層;Azure Cloud Shell 支援 Azure PowerShell 和 Azure CLI (其使用 Bash)。
### 什麼是 Azure PowerShell?
Azure PowerShell 是一個殼層,開發人員、DevOps 和 IT 專業人員可用來執行稱為 command-lets (Cmdlet) 的命令。 這些命令會呼叫 Azure REST API 來執行 Azure 中的管理工作。 Cmdlet 可以獨立執行以處理一次性變更,也可以合併這些變更來協助協調複雜動作,例如:
* 單一資源或多個連線資源的例行安裝、終止和維護。
* 從命令式程式碼部署整個基礎結構,其中可能包含數十個或數百個資源。
擷取指令碼中的命令可讓程序變為可重複且可自動化。
除了可透過 Azure Cloud Shell 取得之外,您還可以在 Windows、Linux 和 Mac 平台上安裝和設定 Azure PowerShell。
### 什麼是 Azure CLI?
Azure CLI 的功能相當於 Azure PowerShell,主要差異在於命令的語法。 雖然 Azure PowerShell 使用 PowerShell 命令,但 Azure CLI 使用 Bash 命令。
Azure CLI 提供處理離散工作或透過程式碼協調複雜作業的相同優勢。 其也可在 Windows、Linux 和 Mac 平台上安裝,以及透過 Azure Cloud Shell 安裝。
因為 Azure PowerShell 與 Bash 型 Azure CLI 之間的功能和存取權類似,所以主要取決於您最熟悉的語言。
### 描述 Azure Arc 的用途(3-3-3)
管理混合式和多雲端環境可能會快速變得複雜。 Azure 提供一系列的工具來佈建、設定和監視 Azure 資源。 混合式設定中的內部部署資源或多雲端設定中的雲端資源會如何?
利用 Azure Resource Manager (ARM) 時,Arc 可讓您將 Azure 合規性和監視延伸至混合式和多雲端設定。 Azure Arc 會傳遞一致的多雲端和內部部署管理平台,來簡化治理和管理。
Azure Arc 提供集中式的整合方式,來:
* 將現有的非 Azure 資源投影到 ARM,以一起管理整個環境。
* 管理多雲端和混合式虛擬機器、Kubernetes 叢集和資料庫,就像其都在 Azure 中執行一樣。
* 隨處使用熟悉的 Azure 服務和管理功能。
* 繼續使用傳統 ITOps,同時引進 DevOps 實務來支援您環境中的新雲端和原生模式。
* 將自訂位置設定為已啟用 Azure Arc 的 Kubernetes 叢集和叢集延伸模組上的抽象層。
### Azure Arc 可以在 Azure 外部執行哪些動作?
目前,您可以透過 Azure Arc 管理在 Azure 外部裝載的下列資源類型:
* 伺服器
* Kubernetes 叢集
* Azure 資料服務
* SQL Server
* 虛擬機器 (預覽)
### 描述 Azure Resource Manager (ARM) 和 Azure ARM(3-3-4)
Azure Resource Manager (ARM) 是 Azure 的部署和管理服務。 其提供一個管理層,讓您能夠在 Azure 帳戶中建立、更新及刪除資源。 每當您使用 Azure 資源執行任何動作時,都會涉及 ARM。
當使用者從 Azure 工具、API 或 SDK 任何一個傳送要求時,ARM 會收到要求。 ARM 會驗證及授權要求。 然後,ARM 會將要求傳送至 Azure 服務,以執行要求的動作。 因為所有要求都是透過相同的 API 處理,所以您會在所有不同的工具中看到一致結果和功能。
### Azure Resource Manager 的優點
有了 Azure Resource Manager,您可以:
透過宣告式範本而不是指令碼來管理基礎結構。 Resource Manager 範本是一個 JSON 檔案,其定義您要部署到 Azure 的項目。
以群組形式部署、管理及監視您解決方案的所有資源,而非個別處理這些資源。
在整個開發生命週期中重新部署解決方案,並確信資源會以一致的狀態部署。
定義資源之間的相依性,使這些資源以正確順序進行部署。
將存取控制套用至所有服務,因為 RBAC 已原生整合至管理平台。
將標籤套用至資源,以便以邏輯方式組織您訂用帳戶中的所有資源。
依共用相同標籤的一組資源檢視費用,讓組織的帳單清楚明瞭。
下列影片提供如何使用不同 Azure 工具搭配 ARM 來管理環境的概觀:
#### 看影片
### ARM 範本
基礎結構即程式碼這個概念可供您以程式碼管理基礎結構。 利用 Azure Cloud Shell、Azure PowerShell 或 Azure CLI 是使用程式碼來部署雲端基礎結構的一些範例。 ARM 範本是基礎結構即作用中程式碼的另一個範例。
藉由使用 ARM 範本,您可以宣告式 JSON 格式描述所要使用的資源。 使用 ARM 範本時,會在執行任何程式碼之前驗證部署程式碼。 這可確保會正確建立並連線資源。 然後範本會以平行方式協調建立這些資源。 也就是說,如果您需要相同資源的 50 個執行個體,就會同時建立全部 50 個執行個體。
最後,開發人員、DevOps 專業人員或 IT 專業人員只須在 ARM 範本中定義每種資源所需的狀態及設定,並將其餘工作交給範本即可。 範本甚至可在安裝資源的前後執行 PowerShell 及 Bash 指令碼。
#### 使用 ARM 範本的優點
ARM 範本在規劃部署 Azure 資源時提供許多優點。 以下是一些優點:
* 宣告式語法:ARM 範本可讓您以宣告方式建立和部署完整 Azure 基礎結構。 宣告式語法表示您要部署的項目,但不需要撰寫實際的程式設計命令和順序來部署資源。
* 可重複的結果:在整個開發生命週期中重新部署基礎結構,並確信資源會以一致的方式部署。 您可以使用相同的 ARM 範本來部署多個開發/測試環境,並知道所有環境都相同。
* 協調流程:您無須擔心複雜的作業順序。 Azure Resource Manager 會協調具有相依性資源的部署,使其以正確的順序建立。 Azure Resource Manager 會盡可能平行部署資源,以便您的部署完成速度較序列部署更快。 您可以透過單一命令來部署範本,而不是透過多個命令式命令來部署範本。
* 模組化檔案:您可以將範本分成較小型且可重複使用的元件,並在部署時將其連結在一起。 您也可以在另一個範本中內嵌一個範本。 例如,您可以建立 VM 堆疊的範本,然後將該範本內嵌置於部署整個環境的範本內,且該 VM 堆疊會一致地部署在每個環境範本中。
* 擴充性:您可以使用部署指令碼將 PowerShell 或 Bash 指令碼新增至您的範本。 部署指令碼讓您更能夠在部署期間設定資源。 指令碼可包含在範本中,或儲存在外部來源並在範本中參考。 部署指令碼讓您能夠在單一 ARM 範本中完成端對端環境設定。
### 知識檢定(3-3-5)
## 說明 Azure 中的監視工具(3-4)
### 描述 Azure Advisor 的用途(3-4-2)
Azure Advisor 會評估 Azure 資源並提出建議來協助改善可靠性、安全性和效能,達成卓越的營運目標,並降低成本。 Azure Advisor 的設計目的是協助節省雲端最佳化的時間。 建議服務包括您可立即採用、延遲或關閉的建議動作。
這些建議可透過 Azure 入口網站和 API 取得,且您也可以設定新建議的提醒通知。
當您在 Azure 入口網站中時,Advisor 儀表板會顯示您所有訂閱的個人化建議。 您可以使用篩選條件來選取特定訂閱、資源群組或服務的建議。 這些建議可分為五個類別:
* 可靠性用來確保及改善業務關鍵應用程式的持續性。
* 安全性用來偵測可能導致安全性漏洞的威脅和弱點。
* 效能用來提升應用程式的速度。
* 營運卓越用來協助取得程序和工作流程效率、資源管理性以及部署的最佳做法。
* 成本用來最佳化,並降低整體 Azure 費用。
下圖顯示 Azure Advisor 儀表板。
### 描述Azure服務健康情況(3-4-3)
Microsoft Azure 提供全域雲端解決方案,可協助您管理基礎結構需求、觸及您的客戶、創新及快速調整。 了解全域 Azure 基礎結構和個別資源的狀態似乎是一項艱鉅的任務。 Azure 服務健康狀態可協助您追蹤 Azure 資源,包括您特別部署的資源和 Azure 的整體狀態。 Azure 服務健康狀態會藉由結合三個不同的 Azure 服務來執行此操作:
* Azure 狀態是全域 Azure 狀態的廣泛概況。 Azure 狀態會在 Azure 狀態頁面上,通知您有 Azure 服務中斷的狀況。 您可以在此頁面上通盤檢視所有 Azure 服務在各個 Azure 區域的健康情況。 對於具有廣泛影響的事件而言,這是一個很好的參考。
* 服務健康狀態提供 Azure 服務和區域的狹義觀點。 其著重於您使用的 Azure 服務和區域。 由於受驗證的服務健康狀態體驗知道您目前使用的服務及資源,因此您可以在此尋找各項受影響服務的通訊,包括服務中斷、計劃性維護活動以及其健康情況諮詢。 您甚至可以設定「服務健康狀態」警示,以便獲得通知,了解可能影響您所用 Azure 服務和區域的服務問題、計劃性維護或其他變更。
* 資源健康狀態是實際 Azure 資源的針對性的觀點。 其提供個別雲端資源的健康情況資訊,例如特定的虛擬機器執行個體。 使用 Azure 監視器,您也可以設定警示,以便在雲端資源可用性變更時收到通知。
藉由使用 Azure 狀態、服務健康狀態和資源健康狀態,Azure 服務健康狀態可讓您完整檢視 Azure 環境,從 Azure 服務和區域的全域狀態到特定資源。 此外,會儲存歷程記錄警示,並可供稍後檢閱。 起初您認為只是一個簡單的異常變成趨勢,利用歷程記錄警示,可立即檢閱並調查。
最後,當您執行的工作負載受到事件影響時,Azure 服務健康狀態會提供支援的連結。
### 描述Azure監視器(3-4-4)
Azure 監視器是一個平台,可用來收集資源上的資料、對這些資料進行分析、將資訊視覺化,甚至對結果採取行動。 Azure 監視器可以監視 Azure 資源、您的內部部署資源,甚至是多雲端資源 (例如裝載於不同雲端提供者的虛擬機器)。
下圖說明 Azure 監視器的全面性:
左側是可從應用程式架構中的每一層 (從應用程式到作業系統及網路) 收集的記錄與計量資料來源清單。
在中央,記錄和計量資料會儲存在中央存放庫。
右側則可看到數種資料使用方式。 您可檢視架構中每一層的即時和歷史效能,或彙總和詳細資訊。 資料會按不同層級向不同的受眾顯示。 您可在 Azure 監視器儀表板上檢視高階報告,或使用 Power BI 和 Kusto 查詢來建立自訂檢視。
此外,您可使用資料來協助即時回應重大事件,透過簡訊、電子郵件等將警示傳遞給小組。 或者,您可使用閾值來觸發自動調整功能,其會調整規模以符合需求。
### Azure Log Analytics
Azure Log Analytics 是 Azure 入口網站中的工具,您可以在其中撰寫及執行 Azure 監視器所收集資料的記錄查詢。 Log Analytics 是一種強固的工具,可支援簡單、複雜的查詢以及資料分析。 您可以撰寫簡單查詢來傳回一組記錄,然後使用 Log Analytics 的功能來對記錄進行排序、篩選和分析。 您可以撰寫進階查詢來執行統計分析,並將圖表中的結果視覺化,以識別特定趨勢。 無論您是以互動方式處理查詢的結果,還是將其與記錄查詢警示或活頁簿這類其他 Azure 監視器功能搭配使用,Log Analytics 都是您用來對這些查詢進行撰寫和測試的工具。
### Azure 監視器警示
Azure 監視器警示是當 Azure 監視器偵測到超出閾值時,隨時掌握進度的自動化方式。 您可以設定警示條件、通知動作,然後 Azure 監視器警示就會在警示觸發時進行通知。 根據您的設定,Azure 監視器警示也可以嘗試矯正措施。
警示可以設定為在發生特定記錄事件時監視記錄及觸發,也可以設定為在超過特定計量時監視計量及觸發。 例如,您可以設定以計量為基礎的警示,以在虛擬機器上的 CPU 使用量超過 80% 時就通知您。 以計量為基礎的警示規則會根據數值提供近乎即時的警示。 以記錄為基礎的規則允許使用跨多個資料來源的複雜邏輯。
Azure 監視器警示會使用動作群組來設定所要通知的人員,以及所要採取的動作。 動作群組只是通知的集合,以及您與一或多個警示相關聯的動作喜好設定。 Azure 監視器、服務健康狀態和 Azure Advisor 都會使用動作群組,在觸發警示時通知您。
### Application Insights
Application Insights 是 Azure 監視器的一項功能,可監視您的 Web 應用程式。 Application Insights 能夠監視在 Azure 中、內部部署或在不同雲端環境中執行的應用程式。
有兩種方式可設定 Application Insights 來協助監視您的應用程式。 您可以在應用程式中安裝 SDK,或者也可以使用 Application Insights 代理程式。 C#.NET、VB.NET、Java、JavaScript、Node.js 和 Python 支援 Application Insights 代理程式。
一旦 Application Insights 啟動並執行之後,您就可以使用其監視廣泛的資訊,例如:
* 要求速率、回應時間和失敗率
* 相依比率、回應時間和失敗率,顯示外部服務是否會使效能降低
* 頁面檢視和載入效能是由使用者的瀏覽器報告
* 來自網頁的 AJAX 呼叫,包括比率、回應時間與失敗率
* 使用者和工作階段計數
* Windows 或 Linux 伺服器中的效能計數器,例如 CPU、記憶體和網路使用量
Application Insights 不僅可協助您監視應用程式的效能,您也可以將其設定為定期將綜合要求傳送至您的應用程式,讓您即使在低度活動期間,也能檢查狀態並監視您的應用程式。
### 知識檢定(3-4-5)
Sign in with Wallet
Connect another wallet