AZ-900：Microsoft Azure 基礎筆記

課程名稱：Microsoft Azure基礎知識上課老師：蘇建榮老師上課時間：2024年1月22日到1月23日上課地點：台北恆逸十二樓G教室資料來源： https://learn.microsoft.com/zh-tw/credentials/certifications/exams/az-900/ https://www.tibame.com/course/2828 https://www.uuu.com.tw/Course/Show/1655/Microsoft-Azure%E5%9F%BA%E7%A4%8E%E7%9F%A5%E8%AD%98 # 描述雲端概念 ## 描述雲端運算 * **定義雲端運算** 雲端運算為透過網際網路傳遞的運算服務。 1.運算 2.網路功能 3.儲存體 * **描述共同責任模型** 共同責任模型：雲端提供者與客戶共同分擔責任，以便在服務無法存取時釐清責任歸屬。例如：SaaS、PaaS和IaaS當中，IaaS客戶就分擔最多責任，因為包含作業系統的更新管理。下列項目一律由您負責： 1.儲存在雲端的資訊和資料 2.可連線到雲端的裝置 (行動電話、電腦等) 3.組織內人員、服務和裝置的帳戶與身分識別下列項目一律由雲端提供者負責： 1.實體資料中心 2.實體網路 3.實體主機您的服務模型將決定下列項目須由誰負責： 1.作業系統 2.網路控制項 3.應用程式 4.身分識別和基礎結構 ![shared-responsibility-b3829bfe](https://hackmd.io/_uploads/B1hdeHTY6.svg) * **定義雲端模型，包括公用、私人和混合式** 公用雲端：由營運商負責提供服務，提供給多個組織以及使用者使用，透過網路來存取服務。例如：Azure、AWS和GCP。私人雲端：由公司或者組織建立雲端資料中心，只提供給內部使用。混合雲端：結合公用和私人雲端，以允許應用程式在最適當的位置中執行。例如：不太異動的人事系統放公司，但訂票系統放雲端以應付隨時的大負荷。 | 公用雲端 | 私人雲端 | 混合式雲端 | |---------------------------------|-------------------------------|---------------------------------| | 沒有資本支出可擴大規模 | 組織可以完全掌控資源與安全性 | 提供最大的彈性 | | 可以快速佈建及取消佈建應用程式 | 資料不會與其他組織的資料共置 | 組織決定要執行其應用程式的位置 | | 組織只需為其使用的項目支付費用 | 一開始必須購買硬體，而且之後需要維護 | 組織控制安全性、合規性或法律需求 | | 組織無法完全掌控資源與安全性 | 組織負責硬體維護及更新 | *此欄位無資料* | * **描述以使用量為基礎的模型** 資本支出(CapEx)：資產出現在資產負載表，一次性的預付支出，可購買或保護有形資源，時間越久折舊越多。營業費用(OpEx)：費用出現在損益表，是在某段時間內針對服務或產品的花費，用多少花多少。雲端運算屬於營業費用(OpEx)的範疇，因為雲端運算是採以使用量為基礎的模型運作。以使用量為基礎(用多少付多少)的模型有許多優點，包括： 1.無需預付費用。 2.無須購買和管理使用者不一定會完全用到的昂貴基礎結構。 3.若有需要，可付費使用更多資源。 4.能夠停止為不再需要的資源付費。 * **比較雲端定價模型** 1.規劃並管理營運成本。 2.更有效率地執行基礎結構。 3.隨業務需求變化調整規模。 ## 描述使用雲端服務的優點 * **描述雲端中高可用性和可擴縮性的優點** 高可用性：當您部署應用程式、服務或任何 IT 資源時，資源必須在需要時可供使用。可擴縮性：可擴縮性指的是調整資源以滿足需求的能力。 1.重直調整：調整虛擬機器的CPU和RAM。 2.水平調整：新增額外的虛擬機或容器以增加負載。 * **描述雲端中可靠性和可預測性的優點** 可靠性：是系統從失敗中復原並繼續運作的能力。可預測性：雲端的可預測性可讓您放心地向前邁進。例如：工具分析效能和成本。 1.效能：效能可預測性著重於預測為您的客戶提供正面體驗所需的資源。例如：需求上升快速部屬。 2.成本：成本可預測性著重於預測或預計雲端支出的成本。例如：透過工具預測未來成本。 * **描述雲端中安全性和治理的優點** 治理：範本集等工具有助於確保所有已部署的資源均符合公司標準和政府法規需求。安全性：您可以找到符合安全性需求的雲端解決方案。例如：分散式阻斷服務 (DDoS) 攻擊等威脅。 * **描述雲端中管理能力的優點** 雲端運算的最大優點是管理能力選項。 1.針對雲端進行管理：如根據需求自動調整資源部署、根據預先設定的範本部署資源，免除以手動進行設定的需求、監視資源的健康情況，並自動取代失敗的資源或根據設定的計量接收自動警示，好讓您可以即時了解效能。 2.在雲端中進行管理：如透過入口網站、使用命令列介面、API或 PowerShell。 ## 描述雲端服務類型 * **描述基礎架構即服務 (IaaS)** 1.基礎結構即服務 (IaaS) 是最彈性的雲端服務類別，因為其提供您對於雲端資源最大的控制權。 2.雲端提供者負責維護硬體、網路連線 (到網際網路)，以及實體安全性。您負責其他項目：作業系統安裝、設定和維護；網路設定；資料庫和儲存體設定等等。 3.使用 IaaS 時，基本上是在雲端資料中心租用硬體，但該硬體的用途取決於您。 4.最適合從內部部署資料中心隨即轉移移轉至雲端部署，只要虛擬機上雲端即可。 * **描述平台即服務 (PaaS)** 1.平台即服務 (PaaS) 是介於在資料中心 (基礎結構即服務) 中租用空間，和購買完整且已部署的解決方案 (軟體即服務) 之間的折衷辦法。 2.在 PaaS 環境中，雲端提供者會維護實體基礎結構、實體安全性和網際網路連線。他們也會維護構成雲端解決方案的作業系統、中介軟體、開發工具和商業智慧服務。 3.使用 PaaS 時，您不必擔心作業系統和資料庫的授權或修補。 * **描述軟體即服務 (SaaS)** 1.從產品的觀點來看，軟體即服務 (SaaS) 是最完整的雲端服務模型。 2.透過 SaaS，您基本上是租用或使用完全開發的應用程式。 3.電子郵件、財務軟體、傳訊應用程式和連線軟體都是 SaaS 實作的常見範例。 4.因為可以一次性付一整年使用費，所以是財務和費用追蹤最佳解決方案。 * **識別每個雲端服務類型的適當使用案例（IaaS、PaaS 和 SaaS）** IaaS：面對需要在舊版Windows作業系統上運行的自行開發的程式，IaaS提供了相容的基礎設施和靈活的資源配置。 PaaS：對於初創企業和開發團隊快速開發和部署網路應用程式，PaaS 提供了一個不需管理伺服器和資料庫的便捷平台。因為它允許開發者專注於創建和優化應用程式功能，而不是基礎設施的維護。 SaaS：電子郵件(Gmail)或Dropbox服務。 # 描述 Azure 架構和服務 ## 描述 Azure 的核心架構元件 * 描述 Azure 區域、區域配對和主權區域 1.Azure 區域：「區域」是地球上的地理區域，其包含至少一個，但可能會有多個透過低延遲網路緊密相連的鄰近資料中心。 2.區域配對：大部分 Azure 區域都會與相同地理位置 (例如美國、歐洲或亞洲) 內**最少 300 英哩遠的另一個區域配對**。 ![region-pairs-7c495a33](https://hackmd.io/_uploads/Hyn8U5RYT.png) 3.主權區域：主權區域是與 Azure 主要執行個體隔離的 Azure 執行個體。例如：US DoD、Us Gov和中國。 * 描述可用性區域 1.可用性區域是 Azure 區域中實際獨立的資料中心。 2.每個可用性區域由一或多個資料中心組成，配備了電力、冷卻系統及網路系統。 3.可用性區域已設定為「隔離界限」。如果一個區域故障，另一個區域會繼續運作。 4.可用性區域會透過高速的私人光纖網路連線。 ![availability-zones-c22f95a3](https://hackmd.io/_uploads/r14xL90Kp.png) * 描述 Azure 資源和資源群組 1.Azure資源：資源是 Azure 的基本建置組塊。您所建立、佈建、部署等的任何項目都是資源。虛擬機器 (VM)、虛擬網路、資料庫、認知服務等都會視為 Azure 內的資源。 ![resource-group-eb2d7177](https://hackmd.io/_uploads/HkLqw9CKp.png) 2.資源群組：資源群組只是資源的群組。當您建立資源時，必須將其放入資源群組中。雖然資源群組可以包含許多資源，**但單一資源一次只能位於一個資源群組中**。某些資源可能會在資源群組之間移動，但當您將資源移至新的群組時，其將不再與先前的群組相關聯。此外，資源群組無法巢狀化，這表示您無法將資源群組 B 放在資源群組 A 內。**套用資源群組層級的動作或設定時，資源群組內的資源會發生此設定會套用至目前和未來資源。** * 描述訂用帳戶 1.在 Azure 中，訂用帳戶是管理、計費和擴縮的單位。 2.訂用帳戶類似於資源群組是以邏輯方式組織資源的方式，可讓您以邏輯方式組織資源群組，並加速計費。 ![subscriptions-d415577b](https://hackmd.io/_uploads/BkJru9AFp.png) 3.必須有 Azure 訂用帳戶才能使用 Azure。 * 描述管理群組 1.資源會聚縮到資源群組中，而資源群組則會聚縮到訂用帳戶中。 * 描述資源群組、訂用帳戶和管理群組的階層 ![management-groups-subscriptions-dfd5a108](https://hackmd.io/_uploads/BkxZKcRK6.png) ## 描述 Azure 計算和網路服務 * 比較運算類型，包括容器、虛擬機器和功能 1.容器：容器是一個虛擬化環境。非常類似於在單一實體主機上執行多部虛擬機器，您可以在單一實體或虛擬主機上執行多個容器。與虛擬機器不同的是，您無須管理容器的作業系統。虛擬機器似乎是作業系統的執行個體，您可以連線至其中並加以管理。 2.虛擬機器：透過 Azure 虛擬機器 (VM)，您可以在雲端中建立和使用 VM。 3.功能：Azure Functions 是事件導向的無伺服器計算選項，不需要維護虛擬機器或容器。 * 描述虛擬機器選項，包括 Azure 虛擬機器、Azure 虛擬機器擴展集、可用性設定組和 Azure 虛擬桌面 1.Azure 虛擬機器擴展集：虛擬機器擴展集可讓您建立及管理一組完全相同且已負載平衡的 VM。 2.可用性設定組：虛擬機器可用性設定組是另一種工具，可協助您建置更具復原性的高可用性環境。更新網域：可同時重新開機的更新網域群組 VM。容錯網域：容錯網域會依電源和網路交換器將您的 VM 群組在一起。 3.Azure 虛擬桌面：是在雲端上執行的桌面與應用程式虛擬化服務。**可讓使用者從任何位置使用雲端託管版本的 Windows，以及從大部分新式瀏覽器連線。** * 描述應用程式裝載選項，包括 Web 應用程式、容器和虛擬機器 1.Azure App Service：App Service 可讓您使用所選程式設計語言建置及裝載 Web 應用程式、背景作業、行動後端，以及 RESTful API，無須管理基礎結構。 2.Web 應用程式：App Service 透過使用 ASP.NET、ASP.NET Core、Java、Ruby、Node.js、PHP 或 Python，包括裝載 Web 應用程式的完整支援。 * 描述虛擬網路，包括 Azure 虛擬網路、Azure 虛擬子網路、對等互連、Azure DNS、Azure VPN 閘道和 ExpressRoute 的用途 1.Azure 虛擬網路：Azure 虛擬網路和虛擬子網路可讓 Azure 資源 (例如，VM、Web 應用程式及資料庫) 彼此通訊，或與網際網路上的使用者及您內部部署用戶端電腦通訊。 2.Azure ExpressRoute：Azure ExpressRoute 可讓您藉由連線提供者的協助，透過私人連線將內部部署網路延伸至 Microsoft 雲端。 3.Azure DNS：是 DNS 網域的主機服務，採用 Microsoft Azure 基礎結構來提供名稱解析。 ## 描述 Azure 儲存體服務 * 比較 Azure 儲存體服務儲存體帳戶會為 Azure 儲存體資料提供唯一的命名空間，可透過 HTTP 或 HTTPS 從世界各地存取該命名空間。 | 類型 | 支援的服務 | 備援選項 | 使用方式 | |------|------------|----------|--------| | 標準一般用途 v2 | Blob 儲存體 (包括 Data Lake Storage)、佇列儲存體、資料表儲存體及 Azure 檔案儲存體 | LRS、GRS、RA-GRS、ZRS、GZRS、RA-GZRS | Blob、檔案共用、佇列和資料表的標準儲存體帳戶類型。在大部分情況下，建議您使用 Azure 儲存體。如果您想要在 Azure 檔案儲存體中支援網路檔案系統 (NFS)，請使用進階檔案共用帳戶類型。 | | 進階區塊 Blob | Blob 儲存體 (包括 Data Lake Storage) | LRS、ZRS | 適用於區塊 Blob 和附加 Blob 的進階儲存體帳戶類型。建議用於高交易率的案例，或是使用較小型物件或需要一直保持低儲存體延遲的案例。 | | 進階檔案共用 | Azure 檔案 | LRS、ZRS | 僅適用於檔案共用的進階儲存體帳戶類型。建議用於企業或高效能規模的應用程式。如果您想要儲存體帳戶同時支援伺服器訊息區 (SMB) 和 NFS 檔案共用，請使用此帳戶類型。 | | 進階分頁 Blob | 僅限分頁 Blob | LRS | 僅適用於分頁 Blob 的進階儲存體帳戶類型。 | | 儲存體服務 | 端點 | |------------|------| | Blob 儲存體 | `https://<storage-account-name>.blob.core.windows.net` | | Data Lake Storage Gen2 | `https://<storage-account-name>.dfs.core.windows.net` | | Azure 檔案 | `https://<storage-account-name>.file.core.windows.net` | | 佇列儲存體 | `https://<storage-account-name>.queue.core.windows.net` | | 表格儲存體 | `https://<storage-account-name>.table.core.windows.net` | * 描述備援選項 Azure 儲存體會一律儲存資料的多個複本，以保護該資料不受計劃性和非計劃性事件影響，如暫時性硬體故障、網路或電力中斷和天然災害。 1.在主要區域中的備援：Azure 儲存體帳戶中的資料一律會在主要區域內複寫三次。 1.1.本地備援儲存體：本地備援儲存體 (LRS) 會在主要區域中將資料於單一資料中心內複寫三次。 ![locally-redundant-storage-37247957](https://hackmd.io/_uploads/BJ5y9CJ56.png) 1.2 區域備援儲存體：針對 [已啟用可用性區域的區域]，區域備援儲存體 (ZRS) 會在主要區域中將 Azure 儲存體資料同步複寫到三個 Azure 可用區域。 ![zone-redundant-storage-6dd46d22](https://hackmd.io/_uploads/ByGx9RJqa.png) 2.次要區域中的備援：針對需要高持久性的應用程式，可選擇另外將儲存體帳戶中資料複製到位於主要區域數百英哩外的次要區域。 2.1 異地備援儲存體：GRS 會利用 LRS 在主要區域中將資料於單一實體位置內同步複製三次。 2.2 異地區域備援儲存體：GZRS 合併跨可用區域備援所提供的高可用性，以及異地複寫針對區域中斷所提供的保護。 * 描述儲存體帳戶選項和儲存體類型 * 識別移動檔案的選項，包括 AzCopy、Azure 儲存體總管和 Azure 檔案同步 * 描述移轉選項，包括 Azure Migrate 和 Azure 資料箱 ## 描述 Azure 身分識別、存取和安全性 * 描述 Azure 中的目錄服務，包括 Microsoft Entra ID 和 Microsoft Entra Domain Services * 描述 Azure 中的驗證方法，包括單一登入 (SSO)、多重要素驗證 (MFA) 和無密碼 * 描述 Azure 中的外部身分識別，包括企業對企業 (B2B) 和企業對客戶 (B2C) * 描述 Microsoft Entra 條件式存取 * 描述 Azure 角色型存取控制 (RBAC) * 描述零信任的概念 * 描述深度防禦模型的目的 * 描述適用於雲端的 Microsoft Defender 目的 # 描述 Azure 管理和治理 ## 描述在 Azure 中成本管理 * 描述可能會影響 Azure 中成本的因素。 * 比較定價計算機和擁有權總成本 (TCO) 計算機 * 說明 Azure 的成本管理功能 * 描述標記的用途 ## 描述 Azure 中與治理及合規性相關的功能與工具 * 描述 Azure 中的 Microsoft Purview 用途 * 描述 Azure 原則的用途 * 描述資源鎖定的用途 ## 說明管理和部署 Azure 資源的功能和工具 * 描述 Azure 入口網站 * 描述 Azure Cloud Shell，包括 Azure 命令列介面 (CLI) 和 Azure PowerShell * 描述 Azure Arc 的用途 * 描述基礎結構即程式碼 (IaC) * 描述 Azure Resource Manager (ARM) 和 ARM 範本 ## 描述 Azure 中的監視工具 * 描述 Azure Advisor 的用途 * 描述 Azure 服務健康狀態 * 描述 Azure 監視器，包括 Log Analytics、Azure 監視器警示和 Application Insights