第一章:AZ-104认证概述与职业价值
Azure Administrator Associate(AZ-104)是微软官方推出的云管理认证,面向具备实际操作经验的IT专业人员,旨在验证其在Microsoft Azure环境中执行核心管理任务的能力。该认证覆盖了Azure计算、网络、存储、安全性和身份管理等多个关键技术领域,是进入企业级云架构管理的重要门槛。
认证涵盖的核心技术能力
AZ-104考试要求考生掌握以下关键技能:
- 部署和管理Azure虚拟机与虚拟机规模集
- 配置和管理虚拟网络,包括VNet对等互连与网络安全组(NSG)
- 管理Azure身份服务,特别是Azure Active Directory(Azure AD)
- 实施备份、恢复及监控策略,使用Azure Monitor和Log Analytics
- 配置存储账户、文件共享与访问策略
职业发展优势
获得AZ-104认证不仅证明了技术实力,也显著提升求职竞争力。根据行业调研,持有该认证的专业人员在云运维、系统管理岗位中的平均薪资高于未认证者约25%。此外,该认证被广泛认可于金融、医疗和政府等行业,适用于需要合规与高可用架构的企业环境。
典型命令行操作示例
在日常管理中,Azure CLI常用于快速部署资源。例如,创建资源组并部署Linux虚拟机的流程如下:
# 创建资源组
az group create --name myResourceGroup --location eastus
# 创建基于Ubuntu的虚拟机
az vm create \
--resource-group myResourceGroup \
--name myVM \
--image Ubuntu2204 \
--admin-username azureuser \
--generate-ssh-keys
# 开放SSH端口
az vm open-port --port 22 --resource-group myResourceGroup --name myVM
上述命令依次完成资源初始化、虚拟机部署与网络访问配置,体现了AZ-104所要求的实操能力。整个过程可通过脚本自动化,提升运维效率。
第二章:Azure核心服务与资源管理
2.1 理解Azure架构与订阅模型
Azure的全局架构由多个地理区域组成,每个区域包含一个或多个数据中心。这些区域被组织为“地理群集”,以实现高可用性和数据合规性。用户资源通过**订阅**进行逻辑隔离与计费管理。
订阅与资源组层级关系
- 一个Azure账户可拥有多个订阅
- 每个订阅可包含多个资源组
- 资源组内部署具体服务(如虚拟机、存储)
典型订阅策略示例
| 环境类型 | 用途 | 成本控制 |
|---|
| 开发 | 测试部署 | 低配额限制 |
| 生产 | 正式服务 | 高可用配置 |
{
"subscriptionId": "a1b2c3d4-...",
"displayName": "Prod-WestUS",
"state": "Enabled"
}
该JSON片段表示一个Azure订阅的基本属性。其中
subscriptionId是全局唯一标识,用于API调用和资源归属;
displayName便于团队识别用途;
state反映当前激活状态。
2.2 使用Azure门户与CLI进行资源部署
通过Azure门户,用户可借助图形化界面快速部署虚拟机、存储账户等资源。导航至“创建资源”后选择服务类型,填写配置参数即可完成部署,适合初学者和可视化操作需求。
Azure CLI命令行部署
对于自动化和批量操作,Azure CLI提供高效手段。以下命令创建资源组并部署Linux虚拟机:
# 创建资源组
az group create --name myResourceGroup --location eastus
# 创建Ubuntu虚拟机
az vm create \
--resource-group myResourceGroup \
--name myVM \
--image Ubuntu2204 \
--admin-username azureuser \
--generate-ssh-keys
上述命令中,
--location指定区域,
--image选择镜像,
--generate-ssh-keys自动生成密钥提升安全性。CLI支持脚本化,便于集成CI/CD流程。
门户与CLI对比
- 门户:操作直观,实时反馈,适合调试
- CLI:可编程性强,支持自动化,适合重复任务
2.3 资源组与标签的策略化管理实践
在大规模云环境中,资源组与标签的协同管理是实现精细化治理的关键手段。通过合理设计标签体系,可实现资源的分类、追踪与成本分摊。
标签命名规范
建议采用语义化键值结构,如
env=prod、
team=backend、
project=api-gateway,确保跨团队一致性。
自动化标签注入
使用Terraform在创建资源时自动附加标签:
resource "aws_instance" "web" {
ami = "ami-123456"
instance_type = "t3.medium"
tags = {
Name = "web-server"
Environment = "production"
Owner = "devops-team"
}
}
上述配置确保所有EC2实例自带标准化标签,便于后续策略匹配与审计。
基于标签的访问控制
- 通过IAM策略限制用户仅能操作特定标签的资源
- 结合资源组实现批量运维操作
- 支持按标签维度进行成本分析与账单拆分
2.4 Azure成本管理与监控工具应用
Azure 提供了全面的成本管理与监控解决方案,帮助组织优化云支出并提升资源可见性。通过 Azure Cost Management + Billing 服务,用户可实时跟踪订阅级和资源级的费用消耗。
成本分析与预算设置
可配置月度预算并设定阈值告警,当支出接近预设值时自动触发通知。支持按资源组、标签或服务类型进行成本分摊分析。
监控与自动化脚本示例
# 查询指定订阅下过去7天的费用汇总
az consumption usage list \
--subscription "your-subscription-id" \
--start-date "2023-09-01" \
--end-date "2023-09-07"
该命令依赖 Azure CLI,需提前登录(
az login)并具有“读取用量数据”权限。参数
--start-date 和
--end-date 定义查询时间范围,适用于周期性成本审计场景。
2.5 模板化部署:ARM模板与Bicep入门实战
在Azure环境中,模板化部署是实现基础设施即代码(IaC)的核心手段。ARM(Azure Resource Manager)模板作为原生JSON格式的声明式部署方案,支持精确控制资源依赖与配置。
Bicep:更简洁的DSL语言
Bicep是ARM模板的简化语法封装,提升了可读性和可维护性。以下是一个创建存储账户的Bicep示例:
// 定义存储账户资源
resource stg 'Microsoft.Storage/storageAccounts@2023-01-01' = {
name: 'mystorageaccount123'
location: resourceGroup().location
sku: {
name: 'Standard_LRS'
}
kind: 'StorageV2'
}
上述代码中,
resource关键字声明资源类型与API版本,
name和
location分别继承命名规则和资源组位置,
sku.name指定本地冗余存储策略。
ARM与Bicep对比
- ARM模板使用JSON,语法冗长但兼容性强
- Bicep支持模块化、参数校验和编译时错误检查
- Bicep最终会被编译为ARM模板执行
第三章:网络与安全配置实战
3.1 虚拟网络设计与子网划分最佳实践
在构建云环境或大型数据中心时,合理的虚拟网络设计是确保安全性、可扩展性和性能的基础。子网划分应遵循最小权限原则,按业务功能或安全等级进行逻辑隔离。
子网规划建议
- 使用私有IP地址段(如10.0.0.0/8)进行内部网络分配
- 为不同环境(生产、测试、开发)划分独立的VPC或子网
- 预留足够地址空间以支持未来扩容
CIDR划分示例
| 子网用途 | CIDR块 | 可用主机数 |
|---|
| Web层 | 10.10.1.0/26 | 62 |
| 应用层 | 10.10.2.0/26 | 62 |
| 数据库层 | 10.10.3.0/28 | 14 |
路由配置示例
{
"routes": [
{
"destination": "0.0.0.0/0",
"target": "internet-gateway",
"subnet": "public-subnet"
},
{
"destination": "10.10.0.0/16",
"target": "vpc-local",
"description": "Local VPC routing"
}
]
}
该路由配置确保公网子网可通过互联网网关访问外部网络,同时保留本地流量在VPC内部高效转发,提升安全与性能。
3.2 网络安全组与Azure防火墙策略配置
在Azure环境中,网络安全组(NSG)和Azure防火墙共同构建分层防护体系。NSG负责子网或网络接口级别的流量过滤,适用于基于IP、端口和协议的简单规则控制。
网络安全组基本规则配置
{
"name": "Allow-HTTP-Inbound",
"properties": {
"priority": 100,
"sourceAddressPrefix": "*",
"destinationAddressPrefix": "10.0.1.0/24",
"destinationPortRange": "80",
"protocol": "Tcp",
"access": "Allow",
"direction": "Inbound"
}
}
该规则允许外部对后端Web子网(10.0.1.0/24)的80端口发起HTTP访问,优先级为100。NSG规则按优先级顺序评估,数值越小优先级越高。
Azure防火墙策略层级管理
- 支持集中化防火墙规则定义
- 可跨多个虚拟网络复用策略
- 提供FQDN、URL和威胁情报过滤能力
通过策略继承机制,企业可在中心节点统一管理出站安全策略,实现合规性控制与日志审计一体化。
3.3 公共接入保护:DDoS防护与Web应用防火墙实操
在公共网络接入中,DDoS攻击和Web层威胁是主要安全挑战。部署分布式防御体系成为关键。
启用云WAF规则集
以AWS WAF为例,可通过定义规则拦截SQL注入和跨站脚本:
{
"Name": "Block-SQL-Injection",
"Priority": 1,
"Action": { "Block": {} },
"VisibilityConfig": { "SampledRequestsEnabled": true },
"Statement": {
"SqliMatchStatement": {
"FieldToMatch": { "Body": {} },
"TextTransformation": "URL_DECODE"
}
}
}
该规则监控请求体,经URL解码后匹配SQL注入特征,触发即阻断,并记录采样请求用于审计。
DDoS防护联动配置
结合CloudFront与Shield Advanced,自动触发流量清洗:
- 设置流量异常阈值(如请求数突增300%)
- 启用自动告警并联动WAF封禁异常IP段
- 配置地理封锁高风险区域访问
第四章:身份、存储与高可用性管理
4.1 Azure Active Directory用户与组管理实战
在企业云环境中,高效管理身份是安全与协作的基础。Azure Active Directory(Azure AD)提供了一套完整的用户与组管理机制,支持精细化权限控制。
用户创建与属性配置
通过Azure门户或PowerShell可批量创建用户。以下命令创建一名员工账户:
New-AzADUser -DisplayName "Zhang Wei" `
-UserPrincipalName "zhangwei@contoso.com" `
-MailNickname "zhangwei" `
-Password (ConvertTo-SecureString "P@ssw0rd!" -AsPlainText -Force)
该命令设置显示名、登录邮箱、昵称和初始密码。参数
-UserPrincipalName 必须全局唯一,
-Password 需转换为安全字符串类型。
组管理与成员分配
使用安全组简化权限分配。可通过以下表格定义常见角色与对应组:
| 组名称 | 成员类型 | 用途 |
|---|
| IT-Admins | 用户 | 管理订阅权限 |
| Finance-Readers | 用户 | 访问财务报表应用 |
4.2 基于角色的访问控制(RBAC)策略实施
基于角色的访问控制(RBAC)通过将权限分配给角色而非用户,实现权限管理的高效与安全。系统中首先定义核心角色,如管理员、开发者和审计员,并绑定对应操作权限。
角色与权限映射表
| 角色 | 可执行操作 | 访问资源 |
|---|
| 管理员 | 创建、删除、更新 | /api/users, /api/roles |
| 开发者 | 读取、写入 | /api/services |
| 审计员 | 只读 | /api/logs |
策略配置示例
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
namespace: dev-team
name: developer-role
rules:
- apiGroups: [""]
resources: ["pods", "services"]
verbs: ["get", "list", "create", "delete"]
上述YAML定义了命名空间dev-team中的开发者角色,允许其对Pod和服务执行获取、列出、创建和删除操作。verbs字段精确控制动作类型,确保最小权限原则落地。
4.3 存储账户类型选择与数据冗余配置
在Azure中,存储账户类型直接影响性能、成本和可用性。常见的类型包括通用v2、Blob存储账户等,其中通用v2支持多层级存储(热、冷、归档)并具备最佳性价比。
主要存储账户类型对比
- Standard HDD:适用于低频访问数据,成本最低
- Premium SSD:高IOPS场景,如数据库支撑
- ZRS冗余:跨可用区复制,保障本地容灾能力
数据冗余选项配置
| 冗余模式 | 跨区域 | 可用性保证 |
|---|
| LRS | 否 | 单区域内三副本 |
| GRS | 是 | 跨区域异步复制 |
{
"sku": {
"name": "Standard_ZRS", // 启用跨可用区冗余
"tier": "Standard"
},
"kind": "StorageV2",
"supportsHttpsTrafficOnly": true
}
该配置确保数据在区域内部实现高可用同步,并强制启用HTTPS加密传输,提升安全性。
4.4 虚拟机高可用与灾备方案部署演练
在虚拟化环境中,保障业务连续性是核心目标之一。通过配置虚拟机高可用(HA)与灾备机制,可在物理主机故障或数据中心异常时自动迁移和恢复服务。
高可用策略配置
启用HA功能需在集群中设置心跳检测、资源预留及自动重启策略。例如,在vSphere环境中可通过以下PowerCLI命令批量启用:
Get-Cluster "Prod-Cluster" | Set-Cluster -HAEnabled $true -HAAdmissionControlEnabled $true
该命令激活集群级HA并启用准入控制,确保故障切换时有足够资源分配。参数
HAAdmissionControlEnabled防止资源过载导致切换失败。
灾备同步机制
采用异步数据复制技术实现跨站点备份,RPO通常控制在15分钟以内。下表为典型灾备架构指标:
| 指标 | 值 |
|---|
| RTO | <30分钟 |
| RPO | <15分钟 |
| 复制频率 | 每5分钟增量同步 |
第五章:备考策略与考试通关技巧
制定个性化学习计划
- 根据考试大纲拆分知识点,优先掌握高频考点
- 使用番茄工作法(25分钟学习+5分钟休息)提升专注力
- 每周安排一次模拟测试,评估知识掌握进度
高效利用真题资源
| 年份 | 题型 | 重点考察方向 |
|---|
| 2023 | 案例分析 | 微服务架构设计与容灾方案 |
| 2022 | 实操题 | Kubernetes 集群故障排查 |
代码实战强化记忆
package main
import (
"fmt"
"time"
)
// 模拟健康检查接口,用于运维类考试场景
func healthCheck() {
for i := 0; i < 3; i++ {
fmt.Println("Health check passed at:", time.Now())
time.Sleep(2 * time.Second)
}
}
func main() {
healthCheck()
}
考场时间分配策略
- 前30分钟快速浏览全部题目,标记熟悉与难点
- 优先完成选择题与填空题,控制在总时长的40%
- 案例分析题采用“问题定位→架构图绘制→文字阐述”三步法
- 预留至少20分钟检查关键配置命令与拼写错误
[开始] → [审题标记] → [基础题作答] → [综合题分解] → [复查提交]
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
