AZ-104最新考纲深度解读：2024年最易丢分的8大实操难点

第一章：AZ-104认证考试全景概览

Azure Administrator Associate（AZ-104）认证是微软面向云运维工程师推出的核心资格认证，旨在验证考生在Microsoft Azure环境中管理计算、网络、存储与安全资源的实战能力。该认证适合具备至少六个月以上Azure管理经验的技术人员，涵盖从资源部署到身份权限控制的全方位技能评估。

考试核心目标领域

• 管理Azure标识与访问控制（IAM）
• 配置与管理虚拟网络与网络安全组
• 部署与管理虚拟机及弹性规模集
• 实施存储账户高可用性与数据复制策略
• 监控Azure资源并响应平台警报

考试信息速查表

项目	详情
考试代码	AZ-104
认证路径	Microsoft Certified: Azure Administrator Associate
题型数量	约40-60题（含案例分析）
考试时长	120分钟
通过分数	700分（满分1000）
考试形式	在线或线下考场，支持多种题型（单选、多选、拖拽、案例分析）

推荐学习路径示例

# 使用Azure CLI查看当前订阅下的所有资源组
az login
az account set --subscription "Your-Subscription-Name"
az group list --output table

# 输出示例说明：
# 此命令序列用于验证身份并列出资源组，是日常管理中的基础操作。
# 在准备“管理Azure资源”部分时应熟练掌握CLI与PowerShell脚本。

graph TD A[开始备考] --> B[学习Azure门户操作] B --> C[掌握CLI/PowerShell自动化] C --> D[深入理解VNet与NSG策略] D --> E[练习监控与备份方案] E --> F[模拟考试检验] F --> G[报名正式考试]

第二章：核心管理服务深度解析

2.1 Azure资源管理与ARM模板实践

Azure资源管理器（ARM）是Azure平台的核心部署与管理服务，通过声明式JSON模板实现基础设施即代码（IaC）。使用ARM模板可确保环境一致性，支持重复部署与版本控制。

ARM模板结构解析

一个典型的ARM模板包含$schema、contentVersion、资源（resources）等关键字段。资源定义采用JSON格式，明确指定类型、名称、位置和属性。

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "resources": [
    {
      "type": "Microsoft.Storage/storageAccounts",
      "apiVersion": "2021-04-01",
      "name": "mystorageaccount",
      "location": "[resourceGroup().location]",
      "sku": { "name": "Standard_LRS" },
      "kind": "StorageV2"
    }
  ]
}

上述代码定义了一个存储账户资源，apiVersion指定REST API版本，[resourceGroup().location]使用表达式继承资源组位置，提升模板复用性。

参数化与可重用性

通过parameters和variables实现灵活配置，使模板适应多环境部署需求。

2.2 虚拟机部署策略与高可用性配置

在构建稳定可靠的虚拟化环境时，合理的部署策略与高可用性（HA）配置至关重要。通过资源均衡分配和故障自动迁移机制，可显著提升系统容错能力。

部署策略设计

采用主机组划分与亲和性规则，确保关键业务虚拟机分布于不同物理节点，避免单点故障。同时设置资源预留，保障核心应用性能。

高可用性配置示例

<ha>
  <enabled>true</enabled>
  <restart_priority>high</restart_priority>
  <timeout>60</timeout>
</ha>

上述配置启用HA功能，设定虚拟机故障后优先级为“高”，并在60秒超时后触发自动重启。该机制依赖共享存储与心跳检测，确保状态实时同步。

策略对比表

策略类型	适用场景	恢复时间
主动-被动	数据库集群	<5分钟
主动-主动	Web服务	秒级

2.3 存储账户安全设置与数据持久化方案

访问密钥与角色权限隔离

为保障存储账户安全，应禁用共享密钥访问，转而采用基于角色的访问控制（RBAC）。通过为应用分配最小权限角色（如Storage Blob Data Contributor），可有效降低密钥泄露风险。

# 启用安全传输强制策略
az storage account update \
  --name mystorageaccount \
  --resource-group myrg \
  --https-only true

该命令强制所有访问必须通过HTTPS进行，防止数据在传输过程中被窃听。参数 --https-only true 是实现加密通信的关键配置。

数据持久化策略设计

使用异地冗余存储（GRS）或区域冗余存储（ZRS）确保数据高可用。下表对比常见冗余选项：

类型	跨区域复制	恢复点目标
LRS	否	最高丢失数分钟数据
GRS	是	约15分钟

2.4 网络架构设计与虚拟网络连通性验证

在构建分布式系统时，合理的网络架构设计是保障服务高可用与低延迟的关键。需综合考虑子网划分、路由策略与安全组规则，确保各节点间通信高效且受控。

虚拟网络连通性测试方法

常用 ping 和 traceroute 验证基础连通性，结合 telnet 或 nc 检测端口可达性。例如：

# 测试目标主机80端口连通性
nc -zv 192.168.1.100 80

该命令尝试建立TCP连接，-z 表示仅扫描不发送数据，-v 提供详细输出，适用于防火墙策略调试。

常见网络配置检查项

• 子网掩码与IP地址规划是否冲突
• 默认网关是否指向正确路由器
• 安全组或ACL是否放行必要端口
• DNS解析是否正常

2.5 身份与访问管理（IAM）最佳实践

最小权限原则

始终遵循最小权限原则，确保用户和服务仅拥有完成其任务所需的最低权限。过度授权是安全事件的主要诱因之一。

• 定期审查角色与策略绑定
• 使用条件键限制访问上下文
• 避免长期使用高权限账户

多因素认证（MFA）强制启用

对所有管理员和敏感操作账户强制启用MFA，显著降低凭证泄露风险。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "BoolIfExists": {
          "aws:MultiFactorAuthPresent": "false"
        }
      }
    }
  ]
}

该策略拒绝所有未通过MFA认证的请求。aws:MultiFactorAuthPresent为条件键，确保操作执行时已启用多因素认证，增强账户安全性。

第三章：监控、备份与灾难恢复实战

3.1 利用Azure Monitor实现系统健康监控

Azure Monitor 是 Azure 平台核心的监控服务，能够全面收集虚拟机、应用服务、容器等资源的日志与指标数据，实现系统健康状态的实时追踪。

核心功能组成

• Metrics：采集 CPU、内存、磁盘 I/O 等高性能聚合指标
• Logs：通过 Kusto 查询语言分析操作日志与自定义日志
• Alerts：基于阈值或日志查询结果触发告警

配置示例：CPU 使用率告警

Perf 
| where ObjectName == "Processor" and CounterName == "% Processor Time"
| summarize avg(CounterValue) by Computer, bin(TimeGenerated, 5m)
| where avg_CounterValue > 80

该查询从性能表中筛选出 CPU 使用率超过 80% 的主机记录，每 5 分钟聚合一次，适用于创建高负载告警规则。

监控架构集成

监控数据 → Log Analytics 工作区 → 告警规则 → Action Group（邮件/短信/Webhook）

3.2 备份策略配置与恢复演练操作

备份策略设计原则

企业级备份需遵循3-2-1规则：至少保留3份数据副本，使用2种不同存储介质，其中1份异地存放。常见策略包括完全备份、增量备份与差异备份。

1. 完全备份：周期性全量保存，恢复速度快
2. 增量备份：仅备份自上次以来变更的数据，节省空间
3. 差异备份：基于最近一次完全备份后的所有变更

自动化备份脚本示例

#!/bin/bash
# 每日增量备份脚本
BACKUP_DIR="/backup/incremental"
DATE=$(date +%Y%m%d_%H%M)
tar --incremental -czf $BACKUP_DIR/backup_$DATE.tar.gz /data
find $BACKUP_DIR -mtime +7 -delete  # 清理7天前的旧备份

该脚本利用 tar 的增量功能生成压缩包，并自动清理过期备份，确保存储可控。

恢复演练流程

定期执行恢复测试验证备份有效性，建议每季度开展一次全流程演练，记录RTO（恢复时间目标）与RPO（恢复点目标）。

3.3 故障转移与站点恢复（ASR）实操要点

故障转移策略配置

在Azure Site Recovery中，需预先定义故障转移策略。关键步骤包括保护组设置、复制频率选择及恢复点目标（RPO）监控。

1. 启用虚拟机复制并配置恢复服务保管库
2. 设置网络映射以确保故障转移后通信正常
3. 执行测试故障转移验证架构兼容性

自动化故障转移脚本示例

# 触发ASR故障转移
Start-AzRecoveryServicesAsrUnplannedFailoverJob `
  -ReplicationProtectedItem $vm ` 
  -Direction PrimaryToRecovery `
  -VMNetworkId $recoveryVNet.Id

该PowerShell命令启动非计划故障转移，参数Direction指定故障方向，VMNetworkId确保恢复后虚拟机接入目标网络。

恢复流程验证表

检查项	预期结果
应用连通性	用户可正常访问系统
DNS解析	指向恢复站点IP地址

第四章：网络安全与合规性控制精讲

4.1 NSG与Azure防火墙规则精细化管理

在Azure网络架构中，网络安全组（NSG）与Azure防火墙协同实现多层流量控制。NSG适用于子网或网络接口级别的基本访问控制，而Azure防火墙则提供高级L7过滤能力。

规则优先级与作用范围

NSG规则按优先级顺序执行（100–4096），一旦匹配即终止评估。Azure防火墙规则则分为网络、应用和DNS规则，支持FQDN过滤。

• NSG：限制SSH/RDP等端口访问
• Azure防火墙：拦截恶意域名请求

示例：限制出站Web流量

{
  "name": "Deny-Bing-Outbound",
  "priority": 400,
  "action": "Deny",
  "sourceAddressPrefix": "*",
  "destinationFqdns": ["www.bing.com"],
  "protocols": ["HTTP", "HTTPS"],
  "targetUrls": ["/"]
}

该应用规则阻止虚拟机访问Bing网站，destinationFqdns字段启用基于域名的过滤，priority确保其在其他允许规则前生效。

4.2 Azure Key Vault集成与密钥生命周期管理

Azure Key Vault 为云原生应用提供安全的密钥、证书和机密管理服务。通过集成 Key Vault，应用程序可在运行时动态获取敏感信息，避免将凭据硬编码在配置文件中。

密钥的创建与访问控制

使用 Azure CLI 可快速创建密钥保管库并设置访问策略：

az keyvault create --name MyAppKeyVault --resource-group MyResourceGroup --location eastus
az keyvault set-policy --name MyAppKeyVault --secret-permissions get list --spn "MyAppSPN"

上述命令创建名为 MyAppKeyVault 的保管库，并授予指定服务主体读取和列出机密的权限，确保最小权限原则。

密钥生命周期自动化

Key Vault 支持密钥的轮换与过期策略配置，可通过事件网格触发自动轮换通知。下表展示关键生命周期操作：

操作	描述	推荐频率
密钥轮换	定期生成新版本密钥	每90天
审计日志分析	监控密钥访问行为	实时

4.3 合规性评估工具（Azure Policy）应用实战

在 Azure 环境中，Azure Policy 是实现资源合规性的核心工具，支持对资源配置进行持续审计与自动纠正。

策略定义与分配

通过 JSON 格式的策略规则，可精确控制资源属性。例如，限制虚拟机必须使用特定 SKU：

{
  "if": {
    "allOf": [
      { "field": "type", "equals": "Microsoft.Compute/virtualMachines" },
      { "field": "Microsoft.Compute/virtualMachines/sku.name", "notEquals": "Standard_B1s" }
    ]
  },
  "then": {
    "effect": "audit"
  }
}

该规则确保所有虚拟机仅使用 B1s 规格，否则标记为不合规。其中 if 定义条件，then 指定效果（如 audit、deny、deployIfNotExists）。

合规性报告生成

策略分配后，Azure Policy 服务每 20 分钟扫描一次资源，生成详细合规状态。可通过以下表格查看关键指标：

策略名称	资源类型	合规数量	不合规数量
Enforce VM SKU	Microsoft.Compute/virtualMachines	8	2

4.4 零信任架构下的安全访问路径设计

在零信任模型中，所有访问请求必须经过严格的身份验证与授权，无论来源位于网络内外。访问路径的设计需遵循“从不信任，始终验证”的原则。

动态访问控制策略

通过策略引擎实时评估设备状态、用户身份和上下文信息，决定是否允许访问资源。例如，基于属性的访问控制（ABAC）可灵活定义规则：

{
  "action": "allow",
  "resource": "api/order",
  "condition": {
    "user.role": "employee",
    "device.compliant": true,
    "time.hour": [9, 17]
  }
}

该策略表示仅当用户为员工、设备合规且在工作时间内，才允许访问订单API，增强了访问决策的上下文感知能力。

微隔离与安全代理链

采用服务间加密通信与身份绑定的代理链（如Sidecar模式），确保数据传输路径的端到端安全。每个服务调用都需通过策略执行点（PEP）进行拦截与验证，形成细粒度的访问控制矩阵。

第五章：通往Azure管理员专家之路

构建高可用虚拟机架构

在Azure中部署关键业务应用时，必须确保虚拟机具备高可用性。通过将虚拟机加入可用性集或可用性区域，可有效避免因硬件故障导致的服务中断。

• 创建可用性集以跨多个容错域分布虚拟机
• 使用托管磁盘提升数据持久性和性能
• 配置自动缩放规则应对流量高峰

自动化资源部署

Azure CLI结合脚本可实现基础设施即代码（IaC）。以下命令用于批量部署虚拟网络：

# 创建资源组
az group create --name myResourceGroup --location eastus

# 部署虚拟网络
az network vnet create \
  --resource-group myResourceGroup \
  --name myVNet \
  --address-prefix 10.0.0.0/16 \
  --subnet-name default \
  --subnet-prefix 10.0.1.0/24

监控与安全策略实施

集成Azure Monitor和Azure Security Center，实现全面的运行状态可视化和威胁防护。设置警报规则，当CPU使用率持续超过85%达5分钟时触发通知。

服务	用途	推荐频率
Log Analytics	日志收集与分析	实时
Backup	每日增量备份	每天一次
Network Watcher	连接诊断	按需启用

成本优化实践

利用Azure Cost Management工具识别闲置资源。例如，停用非工作时间的开发环境虚拟机，预计每月节省35%计算成本。