剛通過微軟活動,學習和搞定了微軟AZ-900 Azure Fundamentals認證考試,初步了解了公有雲服務特點和微軟Azure提供的服務和常用知識點,順便還複習了一下IT英語閱讀。
這裡推薦一下微軟的這個活動,9月份還有一場,可以在學習的同時還能得到免費的考試券。
活動連結:價值2500元 | AZ-900 免費集訓課8月場,隨堂贈送考試券!
也可以訪問微軟在線學習網站熟悉和了解Azure雲服務,個人覺得微軟的知識庫體系更容易讓人接受,後續我也品品Amazon、阿里雲、華為雲等的知識庫體系。
微軟Azure在線學習入口:Azure 基礎知識
https://docs.microsoft.com/zh-cn/learn/paths/azure-fundamentals/
以下是Azure基礎學習中的學習筆記,涉及公有雲概念和Azure的知識點,希望對大家快速了解Azure有幫助。
雲提供的資源:計算能力、存儲、網絡和分析能力。
提供方式:VM、容器、無伺服器計算。
無伺服器計算:只需為每個函數在執行時使用的處理時間付費。
VM和容器運行時,即使其上的應用程式處於空閒狀態,也會收取相應的費用。
現有企業可能選擇逐漸過渡的方式以節省基礎結構費用和管理成本(稱為「直接遷移」),而新企業可以從一開始就採用雲。
雲計算主要優勢:
1)經濟高效
2)可縮放:垂直擴展和水平擴展
3)具有彈性
4)始終保持最新狀態
5)可靠
6)全球可用
7)安全
遵守法規和標準(介紹Azure支持的合規性產品)
1)刑事司法信息服務(CJIS)
2)雲安全聯盟(CSA)STAR認證
Azure、Intune和Microsoft Power BI已獲得
表明:符合ISO/IEC 27001的適用要求。已解決CCM中概述的雲安全的關鍵問題。已根據「STAR 能力成熟度模型」評估了CCM控制區中的活動管理。
ISO/IEC 27000系列標準由ISO/IEC聯合小組委員會發布,概述了數百個控制措施和控制機制,以幫助所有類型和規模的組織確保信息資產安全。
ISO/IEC 27001是一個正式規範信息安全管理體系(ISMS)的安全標準,旨在通過明確的管理控制實現信息安全。
雲證書管理服務(Cloud Certificate Manager Service,CCM)是一個雲上海量證書頒發和全生命周期管理的服務,目前它可以提供私有證書管理服務(Private Certificate Authority,PCA),為用戶提供高可用高安全的私有CA託管能力。
3)一般數據保護條例(GDPR)
針對向歐盟(EU)居民。
4)歐盟示範條款
5)健康保險可攜性和責任法案(HIPAA)
6)國際標準化組織(ISO)和國際電工委員會(IEC)27018
ISO於2014年採用了第一個國際雲隱私行為守則ISO/IEC 27018:2014(ISO/IEC 27001的附錄)。該標準基於歐盟數據保護法律,為充當個人身份信息(PII)處理者的雲服務提供商(CSP)提供有關評估風險和實施先進控制措施的專門指導,以便保護PII。
7)新加坡多層雲端安全(MTCS)
8)服務組織控制(SOC)1、2 和 3
美國註冊會計師協會(AICPA)開發出了Service Organization Controls(SOC)框架,這是一種用於保護雲中存儲和處理的信息機密性和隱私性的控制措施標準。該標準符合International Standard on Assurance Engagements(ISAE),後者是一種針對國際服務組織的報告標準。
9)美國國家標準與技術研究院(NIST)網絡安全框架(CSF)
10)英國政府的政府雲服務(G-Cloud)
資本支出(CapEx)與運營支出(OpEx):
CapEx計算成本:伺服器成本、存儲成本、網絡成本、備份和存檔的成本、組織連續性和災難恢復成本、數據中心基礎設施成本、技術人員、
OpEx雲計算成本:
1)租用軟體和自定義功能。
2)根據使用/需求而不是固定硬體或容量來縮減費用。
3)在用戶或組織級別計費。
CapEx,可在項目或預算期開始時規劃成本。成本是固定的,在項目開始之前可預測費用。
需求和增長可能無法預測,並且可能超出預期,這 CapEx 模型來說是一個挑戰。通常認為雲服務具有「敏捷性」。
雲計算三種部署方式:公有、私有與混合
公有雲並不適合所有方案。缺點:
1)使用公有雲可能無法滿足特定的安全要求
2)公有雲可能無法滿足政府政策、行業標準或法律要求
3)不擁有硬體或服務,也無法按照自我意願管理它們
4)可能很難滿足獨特的業務需求,例如必須維護舊版應用程式
私有雲的用例場景是,組織擁有不能放在公有雲中的數據(可能出於法律原因),或政府政策要求將特定數據保存在國內或以私有方式保存。
混合雲結合了公有雲和私有雲,在最合適的位置運行應用程式。如,在公有雲中託管網站,並將其連結到託管在私有雲(或本地數據中心)中的高度安全的資料庫。
混合雲的缺點:
1)可能比選擇一個部署模型(公有雲、私有雲)更昂貴,因涉及一些前期的CapEx成本
2)設置和管理可能會更複雜
雲服務的類型:
1)基礎結構即服務(IaaS):租用硬體;使用IaaS時,確保服務正常運行是一項共同的責任——「共擔責任模型」
2)平臺即服務(PaaS):PaaS旨在幫助快速創建應用程式,而無需管理底層基礎結構。
3)軟體即服務(SaaS):面向最終客戶的集中託管和管理軟體。
管理責任:網絡、存儲、伺服器、虛擬化、作業系統、中間件、運行時、數據、應用程式
Azure提供的服務:
1)計算服務
2)資料庫服務,可提供關係和NoSQL兩種選項
3)標識服務,進行身份驗證和保護用戶
4)網絡服務,可將數據中心連接到雲,提供高可用性或託管DNS域
5)存儲解決方案
6)AI和機器學習服務可以分析數據、文本、圖像、理解語音並使用數據進行預測。
創建Azure帳戶:
訪問:Azure.com
若要創建和使用Azure服務,需要一個Azure訂閱。
Azure訂閱是用於在Azure中預置資源的邏輯容器。使用VM時,VM的用量按月匯總並計費。
「縱向擴展」和「橫向擴展」:
1)縱向擴展是指在現有虛擬機上增加內存、存儲或計算能力。
2)橫向擴展是指添加其他虛擬機來提升應用程式的能力。
Azure Cloud Shell是一個基於瀏覽器的命令行體驗,用於管理和開發Azure資源。
Azure具體的數據中心不會直接向最終用戶公開;Azure會將其歸入不同的「區域」(包含至少一個但很可能是多個數據中心)。Microsoft分布於全球的區域超過54個,Azure擁有的全球區域數量比其他任何雲提供商都要多。
Azure將世界劃分為由地緣政治邊界或國家/地區邊界定義的多個地域。每個區域只屬於某一個地域,並應用有特定的服務可用性、合規性以及數據駐留/主權規則。
Azure通過「可用性區域」幫助實現應用的高可用性。在區域之間複製服務和傳輸數據可能會產生費用。可用性區域主要用於VM、託管磁碟、負載均衡器和SQL資料庫。
在同一地域內,每個Azure區域始終與至少距其300英裡外的另一區域配對。
服務級別協議(SLA):描述Microsoft為Azure客戶提供特定性能標準的承諾。各個Azure產品和服務都有相對應的SLA。SLA還規定當服務或產品無法履行適用SLA的規範時會發生什麼情況。
Azure產品和服務的SLA有三個主要特徵:性能目標、運行時間和連接性保證(99.9%到99.999%)、服務信用額度。
可用性是指系統正常運行的時間。若要最大限度提高可用性,需採取一些措施來防止可能的服務故障。但是,設計預防措施可能很難並且成本高昂,還常常導致解決方案複雜化。
Azure PowerShell是跨平臺版本的PowerShell,可以在Windows、Linux或macOS上運行。
Azure CLI是一個跨平臺的命令行程序,它連接到Azure並對Azure資源執行管理命令,可以在Windows、Linux或macOS上運行。
Azure Cloud Shell可選擇Bash或PowerShell。
Azure顧問是一項內置於Azure中的免費服務,提供有關高可用性、安全性、性能、卓越運營和成本的建議。
儀錶板以JavaScript對象表示法(JSON)文件的形式存儲。可上傳和下載到其他計算機,或 Active Directory成員共享。
Azure計算,是一種按需計算服務,用於運行基於雲的應用程式,通過虛擬機和容器提供多核處理器和超級計算機等計算資源。包括:虛擬機、容器、Azure應用服務、無伺服器計算。
Azure計算——》VM——》可用性集:
1)最多三個容錯域,每個容錯域都有一個具有專用電源和網絡資源的伺服器機架;5個邏輯更新域,之後最多可以增加到20個。
2)可用性集不需要任何費用,只需為可用性集中的VM付費。
虛擬機規模集:可創建並管理一組完全相同的、負載均衡的VM。
Azure Batch:使大規模作業計劃和計算管理能夠擴展到數十、數百或數千個VM。
容器:是修改後的運行時環境,基於執行應用程式的主機作業系統生成;容器不使用虛擬化,比VM更為輕型;是受保護且隔離的。
Azure支持Docker容器,包括:Azure容器實例(ACI)、Azure Kubernetes服務(AKS)。
Azure應用服務:Web應用、API應用、WebJobs、移動應用。
Azure無伺服器計算涉及:伺服器抽象、事件驅動縮放和微額帳單,包含Azure Functions(可以是無狀態的,也可以是有狀態的),Azure邏輯應用兩種實現。
Azure數據存儲:AzureSQL資料庫、Azure Cosmos DB(全球分布式資料庫服務,支持無架構數據)、Azure Blob存儲(非結構化的,可保存各種類型的數據)、Azure Data Lake Storage(可對數據使用情況進行分析並製備報表,可存儲結構化和非結構化數據)、Azure文件存儲(可通過行業標準的伺服器消息塊SMB協議進行訪問)、Azure隊列(可存儲大量消息的服務)、磁碟存儲、存儲層(熱存儲層、冷存儲層、存檔存儲層)、加密和複製、存儲複製可用性。
網絡安全組(又稱NSG)可以允許或拒絕流向Azure資源的入站網絡流量,應視為網絡的雲級防火牆。
Azure應用程式網關,通過簡單負載均衡器,可以實現:Cookie相關性、SSL終止、Web應用程式防火牆、Web應用程式防火牆、重寫HTTP頭。
Azure流量管理器使用最鄰近用戶的DNS伺服器將用戶流量定向到全球分布的終結點。
Azure負載均衡器將流量分配到同一區域內,使服務具有更高的可用性和可復原性;而流量管理器在DNS級別工作,將客戶端定向到首選終結點。
無論部署類型如何,始終都應對以下各項負責:數據、終結點、帳戶、訪問管理。
Azure上加密,可以加密原始磁碟,也可以加密虛擬機磁碟,對資料庫可以透明數據加密(TDE)(默認啟用TDE)。
Azure Key Vault是用於存儲應用程式機密的集中式雲服務。
在Azure中使用的證書是x.509 v3證書。
網絡虛擬設備(NVA)是非HTTP服務或高級配置的理想選擇,它與硬體防火牆設備類似。
Microsoft Azure信息保護(有時稱為AIP)是一種基於雲的解決方案,可通過應用標籤來對文檔和電子郵件進行分類和選擇性保護。
Azure Policy是一種用於創建、分配和管理策略的Azure服務。RBAC關注不同範圍內的用戶操作。Azure Policy關注部署期間的資源屬性,以及現有資源。
Azure管理組是一些容器,用於跨多個Azure訂閱管理訪問權限、策略和符合性。管理組允許將Azure資源在集合中按層次結構排序,從而提供高於訂閱級別的更高級別的分類。管理組中的所有訂閱都將自動繼承應用於管理組的條件。不管使用什麼類型的訂閱,管理組都能提供大規模的企業級管理。
資源組是Azure平臺的基本元素。資源組是部署在Azure上的資源的邏輯容器。
在用於組織資源的策略中,可基於以下目的:授權、資源生命周期、計費。
資源鎖是一種可應用於任何資源以阻止修改或刪除的設置,可以設置為「刪除」或「只讀」。
1)「刪除」允許對資源執行所有操作,但會阻止刪除資源。
2)「只讀」只允許對資源執行讀取活動,阻止對資源進行任何修改或刪除。
3)資源鎖可應用於訂閱、資源組和單個資源,在更高級別應用時可繼承。
資源始終根據使用情況進行收費。
帶寬指移入和移出Azure數據中心的數據。大多數情況下,入站數據傳輸(數據「移入」Azure數據中心)是免費的。對於出站數據傳輸(數據「移出」Azure數據中心),數據傳輸定價基於計費區域。
Azure顧問對於成本的建議:
1)通過消除未預配的Azure ExpressRoute線路來降低成本。
2)購買預留實例以節省即用即付成本。
3)將未充分利用的虛擬機調整到適當大小或將其關閉。
節省基礎結構成本:
1)使用Azure額度
2)使用支出限制
3)使用預留實例
4)選擇低成本位置和區域
5)研究可用的成本節省產品/服務
6)合理調整未充分利用的虛擬機的大小
7)在非工作時間解除分配虛擬機
8)刪除未使用的虛擬機
9)遷移到PaaS或SaaS服務
通過Azure混合權益,客戶可針對Azure上的虛擬機使用已購買的Windows Server許可證。
SQL Server Developer Edition是用於非生產用途的免費產品。Developer Edition與Enterprise Edition的功能相同,但前者針對的是非生產工作負載,可節省大量許可成本。