about blog github

29 Jul 2023
az-104备考总结

  • azure的网络安全组(nsg)和其应用的虚拟网络(vnet)必须位于同一个区域,不同区域的nsg和vnet间是无法直接关联的,这是由于数据中心的物理位置和数据延迟等因素决定的,以确保网络性能和安全性

  • 想要通过域名访问你的私有ip,可以创建一个私有dns zone如name.com,然后在dns zone中创建一个a记录app.name.com指向私有ip,然后可以使用app.name.com访问你的私有ip

  • 创建aks时,kubenet为每个节点分配私有ip,azure cni为每个pod分配私有ip

  • application insights是azure的一种应用性能管理服务,能够提供实时的应用程序监控和诊断。它可以监控应用程序的性能,捕获和分析请求、异常、日志和应用程序的跟踪信息,帮助你快速检测和诊断应用程序中的问题

  • vm的网络接口上配置的dns会覆盖vnet级别的dns,优先使用网络接口上配置的dns

  • 即使没有关联到任何资源,azure仍会对静态公共ip地址和标准负载均衡器及其配置的规则收费,虚拟网络本身是免费的,只有跨区域数据传输会产生费用,已经停止的虚拟机不会产生计算费用,但与其关联的存储和公共ip等资源仍会产生费用,没有使用的网络接口本身不会产生费用

  • “ip flow verify”工具能够帮助你确定从虚拟机进出的流量是否被允许或阻止。这个工具可以用来测试如果包从源ip地址到目的地ip地址是否会被允许或阻止。所以,它是一个非常有用的工具,可以用来理解网络安全组(nsg)和防火墙规则是否按照预期在虚拟机上运行

  • nsg规则的应用是基于优先级的,数字越小,优先级越高。nsg是有状态的服务,当一个请求从外部发送到虚拟机(入站请求),nsg会记录这个连接。那么,当来自虚拟机的响应(出站请求)回复给请求方时,nsg会识别这个响应是属于一个已经被允许的入站连接的一部分,因此即使出站规则默认是拒绝的,这个出站响应也会被允许通过

  • azcopy命令可以将s3 bucket复制到azure storage container,例如:azcopy copy ‘https://s3.amazonaws.com/mys3bucket’ ‘https://consiliumdata.blob.core.windows.net/container1’ –recursive=true

  • azure subscription

在azure中,订阅(subscription)是一个逻辑单位,它用于为使用azure的服务进行计费。你可以在一个订阅下创建、使用和管理azure资源。每个订阅都与一个azure帐户关联,并由azure帐户的所有者或服务管理员进行管理。

订阅的主要功能包括:

1) 提供对azure产品和服务的访问。当你创建一个订阅时,你获得了访问和使用azure服务的权限。 2) 提供计费的基础。azure的所有使用费都是基于订阅的。你可以为每个订阅设置不同的付款方法,例如信用卡、发票支付等。 3) 提供管理边界。你可以使用订阅来组织和控制对azure资源的访问。你可以为每个订阅设置不同的访问策略和权限。

  • expressroute

expressroute是microsoft azure提供的一种服务,允许你在你的本地网络和azure之间创建一条私有连接。这条连接并不经过公共互联网,因此可以提供更高的带宽、更低的延迟,以及更稳定的网络性能。

这是通过与微软的联网合作伙伴(如电信服务提供商)一起工作实现的。这些合作伙伴在全球范围内都有数据中心,并且这些数据中心与azure的数据中心直接连接。当你购买expressroute服务时,你的本地网络会连接到这些数据中心,然后通过它们与azure进行通信。

expressroute也提供了其他一些特性,包括:

专用连接:由于不通过公共互联网,所以可以避免与其他网络流量的竞争,提供更高的网络性能。

安全性:虽然expressroute本身不提供数据加密,但由于它是一种私有连接,因此在一定程度上提高了数据的安全性。如果需要更高级别的安全性,你可以在expressroute连接上设置vpn隧道,以加密数据。

可靠性:expressroute提供了服务级别协议(sla),保证了99.9%的可用性。

总的来说,如果你需要在azure和本地网络之间传输大量数据,或者需要非常高的网络性能和稳定性,expressroute可能是一个很好的选择。

  • p2s和s2s

点到站(point-to-site, p2s)vpn:这是一种vpn连接方式,其中单个设备(例如,远程工作的员工的笔记本电脑或家庭办公室的台式机)会连接到特定的网络或站点,如公司的企业网络。在azure环境中,这通常意味着单个设备(点)会连接到azure虚拟网络(站点)。这种连接方式使用的是安全的隧道协议,例如sstp(安全套接字隧道协议)或ikev2。点到站vpn不需要任何特殊的设备或vpn设备,因为连接是直接从用户设备(例如pc或笔记本)到azure虚拟网络建立的。

站点到站点(site-to-site, s2s)vpn:这是一种vpn连接方式,其中一个完整的网络(例如,一个公司的整个办公室或一个分支机构)会连接到另一个网络或站点,例如云环境。在azure环境中,这可能意味着公司的整个本地网络(站点)连接到azure虚拟网络(站点)。站点到站点vpn需要一个vpn设备(可能是物理设备或软件设备),该设备在本地网络中创建一个vpn隧道到azure的vpn网关。通过这种方式,网络中的所有设备都可以通过vpn访问azure虚拟网络,就好像它们都直接连接到虚拟网络一样。

简单来说,点到站vpn是单个设备到网络的连接,而站点到站点vpn是整个网络到另一个网络的连接。

  • 使用azure site recovery(asr)服务来执行灾难恢复解决方案。asr允许你从源区域复制工作负载到目标区域,以确保在源区域出现故障时,你可以迅速切换到目标区域进行运行。

  • packet capture可以捕获在vm1和vm2之间的流量,以便你可以对其进行分析。packet capture支持创建用于捕获流量的会话,这些会话可以在一定时间内(最多达4小时)或者达到一定大小后自动结束。你可以根据需要创建多个会话来覆盖五个小时的监控需求

  • connection monitor可以设置对网络连接的定期测试,比如每隔一定时间进行一次ping或http请求等。connection monitor将会记录这些测试的结果,包括网络延迟、数据包丢失率等信息

  • azure recovery services和要备份的虚拟机应该位于相同的区域

  • log analytics workspace是azure monitor日志的基本组件,用于收集、聚合和存储数据,并从中进行查询、分析和可视化。在azure中,您可以将各种类型的数据(如事件日志、性能数据、应用程序日志、安全或审计日志等)发送到log analytics工作区

  • 常见azure内置角色

owner:在其可以分配访问权限的任何范围内具有完全管理权限,包括对资源的完全访问和权限管理。 contributor:在任何范围内拥有创建和管理所有类型资源的权限,但无法授予其他用户访问管理权。 reader:可查看所有资源,但无法进行任何修改。 user access administrator:在任何范围内可以管理用户访问权限。 virtual machine contributor:可以管理虚拟机,但不能访问虚拟机内部,也不能管理虚拟网络或存储帐户。 network contributor:具有创建和管理网络资源的权限,但不包括访问资源或其他操作。 storage account contributor:具有创建和管理存储帐户的权限,但不包括访问数据或其他操作。 security reader:可以查看安全策略,但不能更改。

  • 数据冗余

本地冗余存储 (lrs, locally redundant storage): 这是最基本的复制选项,它会在同一数据中心中创建数据的三个副本。如果某个硬件设备失败,azure可以从其它副本中恢复数据。这种方式的耐久性相对较低,因为如果整个数据中心出现故障(例如火灾或洪水),可能会丢失所有的数据。

区域冗余存储 (zrs, zone-redundant storage): 这种复制方式会在同一地理区域内的多个数据中心(至少三个)中创建数据的副本。如果一个数据中心出现故障,数据可以从其它数据中心中恢复,提供了更高的可用性和耐久性。

地理冗余存储 (grs, geo-redundant storage): 这种复制方式会在两个地理区域中创建数据的副本,每个区域都会有三个副本,总共有六个副本。如果一个地理区域出现大规模故障,可以从另一个地理区域中恢复数据,提供了最高级别的数据耐久性。

读取访问地理冗余存储 (ra-grs, read-access geo-redundant storage): 这是grs的一个变体,它在第二个地理区域提供了读取访问权限。这样,在主要地理区域出现故障时,应用程序可以从备用地理区域读取数据,提供了更高的可用性。

  • azure file

共享访问:azure files可以为多个应用程序或多个虚拟机提供同时访问同一文件集的能力,这使得它非常适合于协作应用程序和并行计算工作负载。

与smb和nfs兼容:azure files支持服务器消息块(smb)协议,这是windows系统中使用最广泛的文件共享协议。azure files也支持网络文件系统(nfs)协议,这是在unix和linux系统中广泛使用的协议。因此,几乎所有的应用程序都可以无修改地使用azure files。

安全性和访问控制:azure files支持azure active directory(azure ad)的身份验证和授权,这意味着你可以使用与其它azure服务相同的身份和访问管理策略来保护你的文件。此外,你还可以使用防火墙和虚拟网络服务终结点来限制访问你的文件共享的网络。

备份和恢复:azure files支持azure backup服务,你可以使用它来创建文件共享的备份,并在需要时恢复文件。

跨区域复制:azure files支持跨区域复制,这可以提高数据的可用性和耐久性,保护你的数据免受地理区域级别的故障影响。

高可伸缩性:azure files可以在需要时自动扩展,你无需预先为文件共享分配存储空间。你只需为使用的存储空间付费。

  • shared access signature

共享访问签名(shared access signature,简称sas)是一种提供对azure storage服务安全直接访问权限的方式,包括blob存储、队列、表和文件。sas是一种url,其中包含特殊的查询参数,用于表示对存储资源的访问权限和访问期限。

sas有两种类型:服务级别的sas和帐户级别的sas。服务级别的sas提供对特定资源(如一个blob或一个文件)的访问权限,而帐户级别的sas提供对在指定时间内可在帐户中的所有存储服务上执行的操作的访问权限。

  • custom data

自定义数据是一种在创建azure虚拟机时提供的功能,它允许你将最多64kb的数据传递给虚拟机。这些数据可以是一个shell脚本、云初始化指令或其他元数据。这些自定义数据会在虚拟机首次启动时作为一个文件注入到虚拟机中,文件的位置取决于操作系统类型。

  • vm创建后不能移动到其他区域,不能再次启用availability zone

  • availability sets

可用性集是确保在azure中部署的应用程序有高可用性和冗余的一个方法。可用性集通过将您的虚拟机资源分布到不同的故障域(fault domains,fd)和更新域(update domains,ud)来实现这一点。

故障域(fd)是物理上独立的,它们有自己的网络、电源和冷却解决方案,以防止硬件故障的影响范围扩大。例如,如果一个服务器或网络设备出现故障,只有在该故障域内的虚拟机会受到影响。

更新域(ud)则是为了应对计划性的维护或升级,比如微软需要更新其azure平台的底层基础设施时,只有一个更新域内的虚拟机会被同时影响。这样可以确保在维护期间,至少有一部分应用程序的实例仍然可用。

  • scale sets

虚拟机规模集(vm scale sets)是azure的另一个服务,它用于管理和扩展一组相同的虚拟机。规模集可以根据定义的规则自动或手动增加或减少vm的数量。例如,你可以根据cpu负载、网络流量或自定义的度量标准来自动扩展或收缩虚拟机的数量。

这种自动扩展和收缩的能力可以使你的应用程序在高峰时间能够处理更大的工作负载,并在需求减少时节省资源和成本。

虚拟机规模集和可用性集可以一起使用,以实现高可用性和可伸缩性。虚拟机规模集可以在多个故障域和更新域之间分布vm实例,就像在可用性集中一样。

  • azure network watcher

connection monitor:connection monitor 提供了端到端的连接监控,帮助你识别连接性问题,以及在虚拟机和多个终端(包括公共终端和ip地址)之间的网络通信问题。connection monitor 提供的数据包括延迟,网络流量等。

ip flow verify:ip flow verify可以帮助你验证ip包是否可以从一个虚拟机的源ip和端口,到达目标ip和端口。这个工具可以帮助你诊断虚拟机的入站和出站连接问题。

next hop:这个功能可以帮助你诊断路由问题。通过指定虚拟机和目标ip地址,next hop可以告诉你下一跳的类型和地址。

network packet capture:这个功能可以让你在虚拟机上捕获入站和出站流量的数据包,类似于网络嗅探器。这对于深入分析和诊断网络问题非常有用。

nsg flow logs:这个功能提供了网络安全组(network security group)的流量日志,这可以帮助你分析和查找虚拟网络的流量模式和其他统计数据。

vpn troubleshoot:vpn troubleshoot工具提供了有关vpn网关的详细信息,如连接状态、连接时间、连接数据包的传入和传出等,这对于诊断vpn连接问题非常有用。

network watcher agent:可以用于运行 network watcher 的一些诊断工具,比如网络包捕获(packet capture)和 ip 流验证(ip flow verify)。对于一些特定的诊断任务,比如捕获虚拟机的网络流量,或者验证 ip 数据包的流向,可能需要在虚拟机上安装 network watcher agent。

  • azure blob

block blobs:block blobs 是最常见的 blob 类型,它们用于存储文本或二进制文件,如图片、文档、视频和音频文件。block blobs 主要用于存储需要一次性读取的数据。一个 block blob 可以包含多个块,每个块最大可以是 100 mb,一个 block blob 可以最大到 190.7 tb。

page blobs:page blobs 是为随机读/写操作设计的,主要用于存储并随机访问大量的非连续的数据,例如虚拟硬盘(vhd)文件。page blobs 适合于频繁读写的场景,比如 azure 虚拟机使用的磁盘就是存储在 page blobs 中的。一个 page blob 最大可以有 8 tb 的大小。

append blobs:append blobs 专为追加操作优化,例如日志文件。append blobs 主要用于日志文件类型的数据,因为它们有一个很好的特性,那就是可以直接在 blob 的末尾追加数据。这对于实时日志数据非常有用,因为你可以持续地向 append blob 添加数据,而不需要重新创建 blob。一个 append blob 最大可以是 195 gb。

  • service shared access signature只能通过rest api创建,主要用于storage account中具体服务的权限委派

  • shared access signature可以通过portal创建,主要用于控制storage account和具体服务的crud

  • network security group是一种可以应用于azure虚拟网络内的子网和网络接口的安全控制策略集。nsg包含了入站和出站的安全规则,这些规则可以允许或拒绝通过特定的ip地址、端口、协议(tcp/udp/icmp等)进入或离开虚拟网络的流量。接口级别的nsg优先级高于子网级别的nsg



LEo at 00:12

about blog github