如何一次通过AZ-104考试？资深架构师亲授6步备考法

第一章：Azure Administrator Associate（AZ-104）考试全景解析

Azure Administrator Associate（AZ-104）是微软认证体系中面向云运维与管理的核心资格之一，旨在验证考生在Microsoft Azure环境中执行虚拟机部署、网络配置、存储管理、身份安全控制及监控优化等关键任务的能力。该认证适合具备一定Azure实操经验的IT专业人员，是迈向高级云架构师或云安全专家的重要基石。

考试核心能力域

AZ-104考试涵盖五大核心领域，每部分均需深入掌握实际操作与服务间集成逻辑：

• 管理Azure身份与治理（如Azure AD、RBAC、订阅管理）
• 实施与管理存储（Blob、文件共享、存储账户复制策略）
• 部署与管理虚拟机（Windows/Linux VMs、可用性集、自定义数据脚本）
• 配置与管理虚拟网络（VNet、NSG、Private Endpoint、DNS）
• 监控与备份（Azure Monitor、Log Analytics、Recovery Services Vault）

典型命令示例：创建资源组与VM

使用Azure CLI快速部署资源组和虚拟机实例：

# 创建资源组
az group create --name myResourceGroup --location eastus

# 创建虚拟机（自动提示输入密码）
az vm create \
  --resource-group myResourceGroup \
  --name myVM \
  --image Ubuntu2204 \
  --size Standard_B1s \
  --generate-ssh-keys

# 开放SSH端口
az vm open-port --port 22 --resource-group myResourceGroup --name myVM

上述命令依次完成资源分组、虚拟机初始化与网络安全组规则配置，体现了自动化部署的基本流程。

考试准备建议

准备维度	推荐资源
理论学习	Microsoft Learn路径：AZ-104训练模块
动手实验	Azure免费账户 + Sandbox实验室环境
模拟测试	MeasureUp或Whizlabs题库练习

graph TD A[登录Azure门户] --> B{选择服务类型} B --> C[计算: 虚拟机] B --> D[网络: VNet配置] B --> E[存储: Blob容器] C --> F[部署并监控] D --> F E --> F F --> G[使用Monitor告警]

第二章：构建扎实的Azure核心知识体系

2.1 理解Azure计算服务与虚拟机管理核心原理

Azure计算服务为应用程序提供可扩展的虚拟化资源，其核心是Azure虚拟机（VM），支持按需创建和配置Windows或Linux实例。

虚拟机部署模型

Azure采用基于资源组的部署模型，所有VM相关资源（如网络接口、存储）统一管理。使用ARM模板可实现基础设施即代码：

{
  "type": "Microsoft.Compute/virtualMachines",
  "apiVersion": "2022-03-01",
  "name": "[variables('vmName')]",
  "location": "[resourceGroup().location]",
  "properties": {
    "hardwareProfile": { "vmSize": "Standard_B2s" },
    "osProfile": { "computerName": "myVM", "adminUsername": "azureuser" },
    "storageProfile": { "imageReference": { "sku": "2019-Datacenter" } }
  }
}

该JSON定义了VM的基本配置：指定虚拟机大小为Standard_B2s，操作系统镜像为Windows Server 2019数据中心版，便于自动化部署。

管理与扩展机制

通过Azure CLI可快速管理实例：

• 创建资源组：az group create --name myRG --location eastus
• 部署VM：az vm create --name myVM --resource-group myRG ...

结合虚拟机规模集（VMSS），可依据CPU使用率自动横向扩展实例数量，保障应用高可用性。

2.2 深入掌握Azure网络架构设计与配置实践

在构建高可用云环境时，Azure虚拟网络（VNet）是网络架构的核心。通过子网划分和网络安全组（NSG）策略，可实现流量隔离与访问控制。

虚拟网络配置示例

{
  "name": "vnet-prod",
  "addressSpace": "10.0.0.0/16",
  "subnets": [
    {
      "name": "web-tier",
      "addressPrefix": "10.0.1.0/24"
    },
    {
      "name": "db-tier",
      "addressPrefix": "10.0.2.0/24"
    }
  ]
}

该配置定义了一个包含Web层和数据库层的VNet，使用CIDR划分子网，确保逻辑分层清晰。addressSpace指定私有IP范围，避免与本地网络冲突。

跨区域连接方案

• 虚拟网络对等互连（VNet Peering）：低延迟、高带宽的内部连接
• Azure ExpressRoute：建立专用专线，保障数据合规与性能
• 站点到站点VPN：基于公共互联网的安全加密通道

2.3 Azure存储服务类型选型与高可用性策略

在Azure中，存储服务的选型直接影响应用性能与容灾能力。常见的存储类型包括Blob Storage、File Storage、Table Storage和Queue Storage，各自适用于不同场景。

典型存储类型对比

服务类型	适用场景	高可用选项
Blob Storage	非结构化数据（如图片、视频）	RA-GRS, GZRS
File Storage	SMB共享文件（如Web内容）	LRS, ZRS

跨区域复制配置示例

{
  "sku": { "name": "Standard_GRS" },
  "kind": "StorageV2",
  "enableHttpsTrafficOnly": true
}

该配置启用异地冗余（GRS），将数据异步复制到数百公里外的配对区域，保障灾难恢复能力。参数`enableHttpsTrafficOnly`强制加密传输，提升安全性。

2.4 身份认证与访问控制：深入理解Azure AD应用场景

统一身份管理平台

Azure Active Directory（Azure AD）作为微软云的身份与访问管理服务，支持单点登录（SSO）、多因素认证（MFA）和条件访问策略。企业可通过Azure AD集中管理用户对SaaS应用（如Microsoft 365、Salesforce）和本地资源的访问。

条件访问策略配置

通过策略规则实现动态访问控制，例如限制特定地理位置或设备状态下的登录行为。以下为PowerShell示例，用于启用某用户的MFA：

Set-MsolUser -UserPrincipalName user@contoso.com -StrongAuthenticationRequirements @(
    New-Object -TypeName Microsoft.Online.Administration.StrongAuthenticationRequirement
    -Property @{ 
        State = "Enabled"; 
        RelyingParty = "*"; 
        AuthMethods = @("OneWaySMS", "PhoneAppNotification") 
    }
)

该命令为指定用户启用基于短信或验证器应用的多因素认证，参数State="Enabled"激活MFA，AuthMethods定义允许的验证方式。

企业应用集成模式

• 支持OAuth 2.0、OpenID Connect、SAML等标准协议
• 可集成自定义企业应用并配置角色基访问控制（RBAC）
• 实现用户生命周期自动化同步

2.5 Azure监控与治理：从理论到生产环境落地

统一监控体系构建

Azure Monitor 提供了集中化的日志与指标采集能力，支持跨资源、订阅和区域的统一观测。通过配置诊断设置，可将虚拟机、应用网关等资源的日志持续导出至 Log Analytics 工作区。

{
  "storageAccountId": "/subscriptions/{sub-id}/resourceGroups/rg-logs/providers/Microsoft.Storage/storageAccounts/logsaccount",
  "workspaceId": "/subscriptions/{sub-id}/resourcegroups/rg-logs/providers/microsoft.operationalinsights/workspaces/la-workspace"
}

该 JSON 配置定义了日志输出目标，workspaceId 指定 Log Analytics 工作区，实现结构化查询与告警集成。

治理策略自动化

使用 Azure Policy 强制实施命名规范、标签合规与安全基线。策略效果如 Deny、DeployIfNotExists 可自动干预资源配置。

• 审计未标记成本中心的资源
• 阻止公网 IP 直接暴露的虚拟机部署
• 自动部署缺失的监控代理

第三章：动手实践强化关键技能

3.1 使用Azure门户与CLI完成资源全生命周期管理

Azure 提供了门户界面和命令行工具（CLI）两种方式，实现对云资源的创建、配置、监控到删除的全生命周期管理。

通过Azure CLI管理虚拟机

# 创建资源组
az group create --name myResourceGroup --location eastus

# 创建Linux虚拟机
az vm create \
  --resource-group myResourceGroup \
  --name myVM \
  --image Ubuntu2204 \
  --admin-username azureuser \
  --generate-ssh-keys

上述命令首先创建资源组，作为资源的逻辑容器；随后部署Ubuntu虚拟机，--generate-ssh-keys 自动生成密钥提升安全性。参数 --image 指定镜像，支持Windows、CentOS等多种系统。

资源管理操作对比

操作	门户优势	CLI优势
创建资源	可视化向导，适合初学者	可脚本化，支持批量部署
监控与诊断	集成仪表板，实时图表展示	结合PowerShell/Shell脚本自动化告警

3.2 配置虚拟网络连接与网络安全组实战演练

创建虚拟网络并定义子网

在Azure CLI中，首先创建资源组和虚拟网络，并划分子网以支持多层应用架构：

az network vnet create \
  --resource-group MyRG \
  --name MyAppVNet \
  --address-prefix 10.1.0.0/16 \
  --subnet-name WebTier \
  --subnet-prefix 10.1.1.0/24

该命令创建了名为 MyAppVNet 的虚拟网络，地址空间为 10.1.0.0/16，并配置了一个用于Web层的子网。参数 --address-prefix 定义整体IP范围，--subnet-prefix 指定子网段，便于后续隔离数据库或应用层。

配置网络安全组（NSG）规则

为保障网络安全，需设置NSG规则控制入站流量：

• 允许HTTP（端口80）和HTTPS（端口443）访问Web服务器
• 拒绝外部直接访问数据库端口（如1433、3306）
• 优先级设置需确保高优先级规则先于低优先级执行

通过精细化规则控制，实现最小权限访问原则，提升系统整体安全性。

3.3 实现备份、恢复与灾难应对的真实场景模拟

在生产环境中，数据库的高可用性依赖于完善的备份策略与灾难恢复机制。通过定期快照与增量日志结合的方式，可实现RPO接近零的数据保护。

自动化备份脚本示例

#!/bin/bash
# 每日凌晨2点执行全量备份并上传至对象存储
mysqldump -u root -p$MYSQL_PWD --single-transaction \
  --routines --triggers --databases prod_db | gzip > /backups/db_$(date +\%F).sql.gz
aws s3 cp /backups/db_*.sql.gz s3://backup-bucket/daily/

该脚本利用mysqldump的单事务模式确保数据一致性，并通过压缩减少传输开销，配合cron调度实现自动化。

恢复流程验证清单

• 确认最近可用备份的时间点与完整性
• 在隔离环境执行恢复测试
• 验证关键表数据与应用连通性
• 切换DNS或负载均衡指向新实例

第四章：高效备考策略与应试技巧精要

4.1 制定科学的6步备考计划并严格执行

高效备考离不开系统化的规划。通过拆解目标、合理分配时间，可显著提升学习效率。

六步备考法的核心流程

1. 明确考试范围与题型分布
2. 评估当前知识掌握水平
3. 制定阶段化学习目标
4. 每日安排专注学习时段
5. 定期进行模拟测试与复盘
6. 动态调整计划以应对薄弱环节

时间管理示例表

阶段	时长	重点任务
基础夯实	2周	知识点全覆盖学习
强化训练	3周	专项刷题+错题分析
冲刺模拟	1周	全真模考+时间控制

自动化进度追踪脚本

import datetime

def log_study_progress(topic, duration_mins):
    """记录每日学习进度
    参数:
        topic: 学习主题（如网络协议、操作系统）
        duration_mins: 学习时长（分钟）
    """
    date = datetime.datetime.now().strftime("%Y-%m-%d")
    with open("study_log.txt", "a") as f:
        f.write(f"{date},{topic},{duration_mins}\n")
    print(f"已记录：{topic} - {duration_mins}分钟")

# 示例调用
log_study_progress("TCP/IP模型", 45)

该脚本可用于自动化记录每日学习内容与耗时，便于后期统计分析投入分布，辅助计划优化。

4.2 利用官方学习路径与模拟题库精准提分

在备考技术认证过程中，遵循官方提供的学习路径是确保知识体系完整性的关键。官方路径通常涵盖核心概念、实操任务和推荐资源，能有效避免学习盲区。

高效使用模拟题库提升应试能力

定期练习高质量的模拟试题，有助于熟悉考试题型与时间压力。建议将错题归类分析，定位薄弱环节并针对性强化。

1. 完成每套模拟测试后进行知识点回溯
2. 记录错误类型，建立个人错题档案
3. 重复演练高频考点题目，巩固记忆

# 示例：通过CLI验证服务状态（常考操作）
systemctl status nginx
# 输出解析：
# - Active: active (running) 表示服务正常运行
# - Loaded: loaded 表明配置已加载
# 考试中常要求根据输出判断服务健康状态

结合官方文档反复演练典型命令与故障排查流程，可显著提升实战得分能力。

4.3 常见陷阱题型解析与排除法应用技巧

在算法面试中，常见陷阱题型包括边界条件模糊、输入类型隐含转换和多条件交叉判断。识别这些模式是高效解题的第一步。

典型陷阱示例

// 判断整数是否回文，但忽略负数和溢出
func isPalindrome(x int) bool {
    if x < 0 {
        return false // 负数不是回文
    }
    original, reversed := x, 0
    for x != 0 {
        reversed = reversed*10 + x%10
        x /= 10
    }
    return original == reversed
}

上述代码逻辑正确，但未考虑整数反转时的溢出风险，实际应限制在 [−2³¹, 2³¹−1] 范围内处理。

排除法应用策略

• 优先排除明显不符合输入约束的选项
• 利用极端用例（如空输入、极值）验证候选解
• 结合时间复杂度反推最优解路径

4.4 考前冲刺 checklist 与时间分配策略

冲刺阶段核心 checklist

• 知识漏洞扫描：回顾错题本与模拟考试记录，定位薄弱模块
• 真题限时训练：每周完成2套完整真题，严格计时并复盘
• 公式与命令速记：整理高频考点速查表，每日晨读10分钟
• 环境模拟：在相同时间段进行练习，适应考试生物钟

时间分配黄金模型

题型	建议用时	策略要点
选择题	40分钟	单题不超过2分钟，标记难题后续回看
实操题	70分钟	先完成确定项，留30分钟调试与验证
论述题	30分钟	结构化作答：背景-原理-应用-总结

应急代码模板准备

# 网络连通性快速检测脚本
#!/bin/bash
for ip in {1..254}; do
  ping -c 1 192.168.1.$ip &> /dev/null && \
    echo "Host 192.168.1.$ip is UP"
done

该脚本用于局域网设备发现，ping -c 1 表示每个IP仅探测一次，提升扫描效率；循环构造简化手动输入，适合考场上快速验证网络配置。

第五章：通过AZ-104后的职业发展路径思考

从认证到角色转型的实战跃迁

获得AZ-104认证后，许多工程师成功转型为Azure管理员或云运维专家。例如，某金融企业IT运维人员在通过考试后，主导了本地数据中心向Azure的迁移项目，使用ARM模板自动化部署虚拟机规模集。

• 构建高可用架构：利用可用性区域和负载均衡器实现SLA 99.95%
• 成本优化策略：通过Azure Cost Management设置预算告警与资源标签
• 安全合规实践：集成Azure Policy与Microsoft Defender for Cloud

技能延伸与技术栈拓展

掌握AZ-104核心能力后，可进一步学习DevOps工具链整合。以下代码展示了使用PowerShell自动化创建资源组并启用诊断日志：

# 创建资源组并配置监控
$rg = New-AzResourceGroup -Name "prod-rg" -Location "East US"
Set-AzDiagnosticSetting -ResourceId $rg.ResourceId `
  -StorageAccountId "/subscriptions/xxx/storageAccounts/logs" `
  -Enabled $true

通往高级角色的成长路径

当前角色	进阶方向	建议学习路径
Azure管理员	Solutions Architect	AZ-305 + Terraform + 微服务设计
运维工程师	DevOps Engineer	AZ-400 + Azure DevOps Pipelines

[用户请求] → API Gateway → App Service (Auto Scale) 　　　　　　　↓ 　　　　Application Insights → Log Analytics