AZ-104考试倒计时30天：高效备考策略与核心知识点精讲

第一章：AZ-104认证考试概述与备考路径

考试定位与目标人群

AZ-104认证全称为Microsoft Azure Administrator，是微软Azure平台的核心管理员认证。该认证面向负责实施、管理和监控Azure环境中核心服务的技术人员，适合具备一定Windows Server、网络基础和云概念的IT专业人员。通过该认证，证明考生具备部署虚拟机、配置虚拟网络、管理身份权限（如Azure AD）、备份资源以及监控Azure环境的能力。

考试内容结构

AZ-104考试涵盖六大知识领域，各部分在考试中所占权重如下：

知识领域	占比
管理Azure身份与治理	20-25%
实施与管理存储	15-20%
部署与管理虚拟机	20-25%
配置与管理虚拟网络	20-25%
备份与共享服务	10-15%

推荐备考路径

• 完成Microsoft Learn平台上的AZ-104学习路径，包含模块化实践练习
• 注册Azure免费账户，动手实践资源组、VM、VNet等核心服务的创建与管理
• 使用Azure门户与PowerShell或CLI结合操作，提升自动化能力
• 模拟真实考试环境，进行至少两轮官方Practice Assessment测试

常用命令示例

以下为使用Azure CLI启动已停止的虚拟机的命令示例：

# 登录Azure账户
az login

# 指定资源组和虚拟机名称并启动VM
az vm start \
  --resource-group MyResourceGroup \
  --name MyVirtualMachine

# 输出结果表示VM已成功进入“运行”状态

graph TD A[学习Azure基础] --> B[掌握身份与访问管理] B --> C[实践存储与虚拟机部署] C --> D[配置虚拟网络与安全组] D --> E[执行备份与监控策略] E --> F[参加模拟考试] F --> G[预约正式考试]

第二章：Azure计算资源管理核心技能

2.1 虚拟机部署与高可用性配置

在企业级虚拟化环境中，虚拟机的部署效率与系统高可用性直接决定了服务的连续性和稳定性。通过自动化部署工具可快速构建标准化虚拟机实例。

自动化部署脚本示例

# 使用cloud-init进行虚拟机初始化
#cloud-config
hostname: vm-node-01
manage_etc_hosts: true
users:
  - name: admin
    sudo: ALL=(ALL) NOPASSWD:ALL
    ssh_authorized_keys:
      - ssh-rsa AAAAB3NzaC1yc2E... admin@company.com

该配置在虚拟机首次启动时自动设置主机名、用户权限与SSH密钥，减少人工干预，提升部署一致性。

高可用性策略

• 启用虚拟机迁移（Live Migration）以实现宿主机维护无中断
• 配置共享存储（如iSCSI或NFS）支持跨节点快速故障转移
• 结合Pacemaker + Corosync构建集群资源管理机制

通过心跳检测与资源仲裁机制，确保单点故障时虚拟机可在10秒内于备用节点恢复运行，保障业务连续性。

2.2 Azure容器实例与Kubernetes服务实践

在Azure中，容器化部署可通过Azure容器实例（ACI）和Azure Kubernetes服务（AKS）实现。ACI适用于快速启动单个容器，无需管理底层基础设施。

使用ACI部署容器

az container create \
  --resource-group myResourceGroup \
  --name mycontainer \
  --image nginx \
  --dns-name-label myapp

该命令创建一个运行Nginx的容器实例，并通过DNS名称公开。参数--dns-name-label用于生成可访问的FQDN，适合临时测试环境。

向AKS集群部署应用

对于生产级编排，AKS提供完整的Kubernetes能力。典型部署包含以下步骤：

• 创建AKS集群：az aks create
• 获取凭据：az aks get-credentials
• 使用kubectl部署应用

AKS支持自动伸缩、服务发现和滚动更新，适用于微服务架构的长期运行需求。

2.3 规模集（Scale Sets）的自动化扩展策略

在云计算环境中，虚拟机规模集（Virtual Machine Scale Sets, VMSS）通过自动化扩展策略动态调整实例数量，以应对负载变化。这一机制确保资源高效利用并维持服务稳定性。

基于指标的自动扩展

最常见的策略是基于 CPU 使用率、内存占用或队列长度等监控指标触发扩展。例如，在 Azure 中可通过 Azure Monitor 设置自动缩放规则：

{
  "direction": "Increase",
  "metricName": "Percentage CPU",
  "threshold": 75,
  "duration": "PT5M",
  "cooldown": "PT10M",
  "changeCount": 1
}

上述配置表示：当 CPU 平均使用率连续 5 分钟超过 75% 时，增加 1 个实例，且两次扩展操作间至少间隔 10 分钟。该策略平衡响应速度与资源震荡。

扩展模式对比

• 动态扩展（Dynamic Scaling）：实时响应负载，适合波动明显的业务场景。
• 计划扩展（Scheduled Scaling）：按预设时间表执行，适用于可预测的流量高峰，如每日早间访问激增。

2.4 磁盘管理与快照备份操作实战

磁盘管理是保障系统稳定运行的核心环节，尤其在云环境中，灵活的存储配置和可靠的备份机制至关重要。

创建与挂载云磁盘

以Linux系统为例，使用fdisk工具对新磁盘进行分区：

# 查看新添加的磁盘
lsblk

# 对 /dev/vdb 进行分区
sudo fdisk /dev/vdb
# 按提示输入 n, p, 1, 回车, 回车, w

执行后使用mkfs.ext4格式化并挂载到指定目录，实现存储空间可用。

快照备份策略

定期创建磁盘快照可有效防止数据丢失。主流云平台支持命令行创建快照：

• 阿里云：使用aliyun ecs CreateDiskSnapshot
• AWS：调用aws ec2 create-snapshot
• 快照建议保留周期为7天，配合自动化脚本执行

2.5 应用网关与负载均衡器的集成应用

在现代微服务架构中，应用网关与负载均衡器的协同工作是保障系统高可用与可扩展性的关键。应用网关负责请求路由、认证鉴权和限流熔断，而负载均衡器则实现后端实例间的流量分发。

典型部署架构

通常，外部流量首先到达负载均衡器（如Nginx或云厂商提供的ELB），再转发至应用网关（如Spring Cloud Gateway或Kong），由其完成细粒度的服务路由。

upstream gateway_servers {
    server 192.168.1.10:8080;
    server 192.168.1.11:8080;
}
server {
    location /api/ {
        proxy_pass http://gateway_servers;
    }
}

上述Nginx配置定义了对多个网关实例的负载均衡。upstream块指定后端网关节点，proxy_pass将请求代理至该组服务器，实现横向扩展。

优势分析

• 提升系统容错能力：单个网关故障不影响整体流量调度
• 支持动态扩缩容：负载均衡器自动感知网关实例变化
• 优化资源利用：通过健康检查剔除异常节点，保障请求成功率

第三章：网络与安全架构设计要点

3.1 虚拟网络规划与子网划分最佳实践

在构建云环境或大规模数据中心时，合理的虚拟网络规划是确保系统可扩展性与安全隔离的基础。建议采用分层设计模型，将网络划分为核心层、汇聚层和接入层，并结合业务边界进行VLAN或VNI隔离。

子网划分策略

使用CIDR（无类别域间路由）进行灵活子网划分，避免IP资源浪费。例如，一个/24网络可根据需求拆分为多个/27子网：

# 划分192.168.10.0/24为四个/26子网
Subnet 1: 192.168.10.0/26   (IP范围: 192.168.10.1–62)
Subnet 2: 192.168.10.64/26  (IP范围: 65–126)
Subnet 3: 192.168.10.128/26 (IP范围: 129–190)
Subnet 4: 192.168.10.192/26 (IP范围: 193–254)

上述划分中，每个/26子网提供62个可用主机地址，适合中等规模部门部署。掩码255.255.255.192表示前26位为网络位，有效控制广播域大小。

推荐实践清单

• 预留IP地址段用于未来扩展
• 实施网络地址翻译（NAT）以增强安全性
• 启用DHCP保留机制保障关键服务IP稳定
• 通过ACL实现子网间访问控制

3.2 网络安全组与Azure防火墙策略配置

在Azure环境中，网络安全组（NSG）和Azure防火墙共同构建分层防御体系。NSG用于控制子网或网络接口级别的流量，支持基于源/目标IP、端口和协议的访问控制。

基本NSG规则配置示例

{
  "name": "Allow-HTTP-Inbound",
  "properties": {
    "priority": 100,
    "sourceAddressPrefix": "*",
    "destinationAddressPrefix": "10.0.1.0/24",
    "destinationPortRange": "80",
    "protocol": "Tcp",
    "access": "Allow",
    "direction": "Inbound"
  }
}

上述规则允许从任意源地址向目标子网10.0.1.0/24的80端口发起TCP连接。优先级100确保其早于低优先级规则生效，且“Allow”操作将放行匹配流量。

Azure防火墙策略层级结构

策略组件	说明
Rule Collection Group	逻辑分组，支持网络、应用和DNS规则集合
FQDN标签	用于应用规则中精确匹配域名请求

3.3 本地到云的连接：VPN与ExpressRoute实战

在混合云架构中，稳定安全的本地到云网络连接至关重要。Azure 提供两种主流方案：站点到站点 VPN 和 Azure ExpressRoute。

VPN 连接配置示例

# 创建虚拟网络网关并启用站点到站点连接
az network vnet-gateway create \
  --name MyVNetGateway \
  --resource-group MyResourceGroup \
  --vnet MyVNet \
  --public-ip-address MyGWPublicIP \
  --gateway-type Vpn \
  --vpn-type RouteBased \
  --sku VpnGw1 \
  --no-wait

该命令创建基于路由的 VPN 网关，使用 VpnGw1 SKU 支持高吞吐量。参数 --gateway-type Vpn 指定为 VPN 网关，而 --vpn-type RouteBased 允许动态路由。

ExpressRoute 核心优势

• 通过运营商建立专用物理连接，绕过公共互联网
• 提供高达 100 Gbps 的带宽选项
• 延迟更低，SLA 可达 99.95%

相比 VPN，ExpressRoute 更适合生产级关键业务系统，尤其在数据合规和性能敏感场景中表现突出。

第四章：身份、存储与监控管理精要

4.1 Azure AD用户与组权限精细化管理

在企业级身份管理中，Azure AD 提供了基于角色的访问控制（RBAC）机制，支持对用户与组进行细粒度权限分配。通过内置角色（如 Global Administrator、User Administrator）和自定义角色，可精确控制资源访问范围。

权限分配最佳实践

• 遵循最小权限原则，避免赋予过度权限
• 使用条件访问策略增强安全性
• 定期审查成员资格与角色分配

PowerShell自动化管理示例

# 将用户添加到特定组
Add-AzureADGroupMember -ObjectId "group-id" -RefObjectId "user-id"

该命令通过 Add-AzureADGroupMember 实现组成员管理，-ObjectId 指定目标组唯一标识，-RefObjectId 为待添加用户的对象ID，适用于批量自动化场景。

4.2 存储账户类型选择与数据冗余策略

在构建云存储架构时，合理选择存储账户类型是确保性能与成本平衡的关键。Azure 提供通用 v2、Blob 存储等账户类型，其中通用 v2 支持多层级（热、冷、归档）和多种访问模式。

常见存储账户类型对比

账户类型	适用场景	支持冗余策略
通用 v2	通用型I/O和大数据分析	LRS, GRS, RA-GRS, ZRS
Blob 存储	大规模非结构化数据	LRS, GRS

数据冗余策略配置示例

az storage account create \
  --name mystorageaccount \
  --resource-group myResourceGroup \
  --location eastus \
  --sku Standard_ZRS \
  --kind StorageV2

上述命令创建一个启用了区域冗余存储（ZRS）的通用 v2 账户。ZRS 在同一 Azure 区域内的多个可用区中同步复制数据，提供高可用性，适用于对容灾有较高要求的应用场景。

4.3 Blob存储生命周期管理与访问层优化

生命周期策略配置

通过定义生命周期管理策略，可自动将Blob数据在不同访问层（热、冷、归档）间迁移，降低存储成本。策略基于最后修改时间触发规则。

{
  "rules": [
    {
      "name": "moveToArchive",
      "enabled": true,
      "type": "Lifecycle",
      "definition": {
        "filters": {
          "blobTypes": ["blockBlob"],
          "prefixMatch": ["logs/"]
        },
        "actions": {
          "baseBlob": {
            "tierToArchive": { "daysAfterModificationGreaterThan": 90 }
          }
        }
      }
    }
  ]
}

上述策略表示：所有以 logs/ 开头的块Blob，在创建90天后自动转为归档层，显著节省长期存储费用。

访问层性能与成本权衡

• 热访问层：适用于频繁读写的场景，吞吐高但成本最高；
• 冷访问层：适合不频繁访问的数据，存储费低，访问费略高；
• 归档层：用于长期保留，成本最低，但检索延迟高且需解冻操作。

4.4 使用Azure Monitor实现系统健康监控

Azure Monitor 是 Azure 平台中用于收集、分析和响应系统健康数据的核心服务。通过集成指标、日志和应用遥测，可全面监控云资源运行状态。

核心组件与数据流

• Metric：实时反映资源性能，如 CPU 使用率、内存消耗
• Log Analytics：基于 Kusto 查询语言分析操作日志
• Alerts：设定阈值触发通知或自动化响应

配置示例：虚拟机监控告警

Perf 
| where ObjectName == "Processor" and CounterName == "% Processor Time"
| summarize avg(CounterValue) by Computer, bin(TimeGenerated, 5m)
| where avg_CounterValue > 80

该查询检索过去5分钟内 CPU 使用率持续超过 80% 的虚拟机。其中，Perf 表存储性能数据，summarize 按主机和时间窗口聚合，where 过滤异常值，可用于构建高负载告警规则。

第五章：冲刺阶段复习建议与模拟考试策略

制定个性化复习计划

在最后三周，应基于错题本和知识薄弱点定制每日任务。例如，若网络协议是弱项，可安排每天精读 RFC 文档片段并配合抓包实验：

// 示例：使用 Go 模拟 TCP 三次握手状态机
type TCPState int
const (
    CLOSED TCPState = iota
    SYN_SENT
    ESTABLISHED
)
func (s TCPState) Transition(event string) TCPState {
    switch s {
    case CLOSED:
        if event == "SYN" { return SYN_SENT }
    case SYN_SENT:
        if event == "SYN-ACK" { return ESTABLISHED }
    }
    return s
}

高效利用模拟考试环境

选择与真实考试时间一致的时段进行全真模考，关闭通讯工具，严格计时。推荐使用如下策略分配答题时间：

题型	建议用时	应对策略
单选题	60分钟	标记不确定项，避免卡顿
实验题	90分钟	先搭拓扑再配置，保留日志
案例分析	30分钟	按“问题—依据—方案”结构作答

错题复盘与性能调优

每次模考后，使用根因分析法（RCA）归类错误类型，并记录至追踪表：

• 概念混淆：如将 TTL 与 Hop Limit 视为不同机制
• 命令遗忘：未熟记 show ip route 的输出字段含义
• 时间失控：在 ACL 配置题耗时超过 25 分钟

流程图示例： [开始] → 执行模拟考试 → 收集错误 → 分类统计 → 针对训练 → [循环直至正确率 ≥ 90%]