自分の備忘録用 AZ-303 / AZ-304 対策ごちゃまぜメモ

■ログ/監視 関連
・アクティビティログ
保存期間 90日
リソースデプロイメントログ

・Azure Monitor
Insights: Application, Container, VM, Monitoring Solution
Visualize: Dashboards, Views, Power BI, Workbooks
Analyze: Metric Analytics, Log Analytics
Respond: Alerts, Auto scale
Integrate: Logic Apps, Export APIs

・Azure Performance Diagnostics
Azure Monitor エージェント
VM のメトリックとログを監視（Azure VMのみ、Log Analyticsだと他にもいろいろ）

■ポリシー
・Azure ポリシー
コンプライアンス評価
Azure RBAC は、さまざまなスコープでのユーザー操作の管理にあります。アクションの制御が必要な場合は、Azure RBAC が使用に適したツールになります。 あるユーザーがアクションを実行するためのアクセス権を持っていても、結果としてリソースが準拠していない場合、その作成や更新は Azure Policy によってブロックされます。

・仮想マシン スケール セット
同じ VM のセットをデプロイして管理するために使用できる Azure コンピューティング リソース
水平スケーリング：VMの増減
垂直スケーリング：メモリ、CPU 電源、ディスク、VM を再起動する必要がある
スケジュールスケーリング、自動スケーリング（CPU、ネットワーク、ディスクIO/キュー）

・スケールセットの設定方法
１．sysprep
２．CLIで一般化
３．スケールセットを作成

■開発向け
・Azure Batch
何十、何百、何千もの VM にスケーリング
１．コンピューティング VM のプールを自動的に開始する。
２．アプリケーションとステージング データをインストールする。
３．必要なすべてのタスクが含まれるジョブを実行する。
４．エラーを識別する。
５．作業を再度キューに入れる。
６．作業が完了したらプールをスケールダウンする。

・App Service
エンタープライズ レベルの Web アプリ、モバイル アプリ、API アプリを、すばやくビルド、デプロイ、スケーリング
App Service プランによって、ホストに利用されるハードウェアの量が決まる。ハードウェアが専用か共有か、予約されるメモリ量

・Webjob
再試行可能、Web アプリケーション、モバイル バックエンド、RESTful API のためのクラウドベースのホスティング サービス
・Azure Functions
コード実行に特化
従量課金サービス プラン/Azure App Service プラン

・Azure Logic Apps（開発者向け）
ワークフロー、GUI、デザイン優先
トリガー（ポーリング、プッシュ、繰り返し、手動）
Azure ロジックアプリを作成できる権限・役割は？
- contributor, Logic App Contributor

・Power Automate（ユーザ向け）
GUI

・Azure Resource Manager
宣言型のオートメーション：必要なリソースが "何" かは定義するが、それを作成する "方法" は定義しない。
必須プロパティ：name type apiVersion location properties
依存リソースの定義 depends on

・Azure Data Factory パイプライン
1 つのタスクを連携して実行するアクティビティの論理的なグループ
マッピング データ フロー：GUIでデータ変換

・Azure Data Lake Analytics
オンデマンド分析ジョブ、ビッグデータの処理

■ネットワーク
・VMのPerformance Diagnostics
ネットワークトレースキャプチャ

・ピアリング
Azure 仮想ネットワーク同士をシームレスに接続
接続において、見かけ上 1 つのネットワークとして機能

・VPN
サイト間、ポイント対サイト、ネットワーク対ネットワーク" 間
ポリシーベースVPN：IKEv1、静的ルーティング
ルートベースの VPN：IKEv2、動的ルーティング、オンプレデバイス用の接続方法として推奨、仮想ネットワーク間、ポイント対サイト、マルチサイト接続、ExpressRoute ゲートウェイとの共存
必要なリソース：仮想ネットワーク、GatewaySubnet、仮想/ローカル ネットワークゲートウェイ、接続
Active/Standby（デフォルト）

・EXPRESS ROUTE
99.95%
レイヤ3接続（アドレスレベル）
BGP
プライベートピアリング/MSピアリング
帯域（50M - 10G 後で縮小できない）
仮想ネットワーク（MAX 10個）

- Microsoft Office 365
- Microsoft Dynamics 365
- Azure Virtual Machines などの Azure コンピューティング サービス
- Azure Cosmos DB や Azure Storage などの Azure クラウド サービス

ExpressRoute Direct（100G）

・Traffic Manager
クライアントを特定のサービス エンドポイントの IP アドレスへ誘導
重み付けルーティング/パフォーマンス ルーティング/地理的ルーティング
可用性の向上

・Azure Load Balancer
分散モード[セッション永続化]
- 5タプルハッシュ（デフォルト）：送信元IP/ポート、送信先IP/ポート、プロトコル
- 接続元 IP アフィニティ：送信元IP/ポートのみ（リモート デスクトップ ゲートウェイはこっちのみ対応）

可用性セット（99.95%）：物理HWを分ける
可用性ゾーン（99.99%）：DCを分ける（同一リージョン）

・Application Gateway
ラウンドロビン、WAF、L7 LB、SSLオフロード

・API Management
仮想ネットワーク対応は Premium

■Azure SQL
可用性99.99%
・クエリパフォーマンスインサイト
時間のかかるクエリ特定
・エラスティックプール

ゾーン冗長：Premium サービス層の Availability Zones のサポート

■セキュリティ
・Key Vaultのアクセスポリシー
特定VMからのみシークレット登録させるには、アクセスポリシー

■ストレージ
・blob
クール：30日
アーカイブ：最低180日間保管

・Storage ATP(Advanced Threat Protection)

・Azure File sync
オンプレミスの Windows Server またはクラウド VM に多数の Azure ファイル共有をキャッシュできるサービスです

・AzCopy
Blogにup/down、ストレージアカウント間のBlob、Azure Files, AWS S3/GCP/Azure Stack
承認方法：Azure AD, SASトークン

・Azure Defender for Storage（Storage Advanced Threat Protection）
Blob と Files の脅威を検出

・Azure Import / Export
Azure データセンターにディスク ドライブを送付することで、Azure Blob Storage と Azure Files に大量のデータを安全にインポート

■Azureへの移行
評価、移行、最適化、監視
評価：検出、再ホスト、リファクタ、再設計、再構築、置換
移行：デプロイ、移行、オンプレ停止
最適化：運用コスト分析
監視：

・Azure Migrate
無償、評価
コレクターVM：検出、vCenter連携、オンプレVMの依存関係を知るにはAgentが必要
Azureポータルで評価を作成
レプリケートは100台づつ

・Azureハイブリッド特典（Azure Hybrid Benefit）
Windows Server 、 SQL Server、 RedHat 、 SUSE Linux
オンプレミスと Azure 間での 180 日間の二重使用権

■バックアップ・DR
・Azureバックアップ
オンプレはWindowsのみ、Azure VM/Files/SQL/SAP
Backupエージェント（MARS）

■Azure Site Recovery
VPN必須
Hyper-Vホストの登録
１．コンテナー登録キー（Vault registration key）ダウンロード
２．ASR Providerインストール
３．サーバ登録
４．レプリケーションポリシー設定
５．有効にする

オンプレミス Hyper-V VM から Azure へのディザスター リカバリーのサポート マトリックス
https://docs.microsoft.com/ja-jp/azure/site-recovery/hyper-v-azure-support-matrix
・OSディスク
第 1 世代の VM では最大 2,048 GB
第 2 世代の VM では最大 4,095 GB
データディスク：MAX 4TB

集中管理
オンプレミスの仮想マシンのレプリケーション
Azure 仮想マシンのレプリケーション
フェールオーバーの間のアプリの整合性

Recovery Services コンテナー：フェールオーバー実行時のVMが格納される
資格情報：仮想マシン共同作成者 ロールと Site Recovery 共同作成者 ロールが必要

・アプリケーション レプリケーション
ワンクリック フェールオーバー、スクリプト統合、ネットワーク マッピング

・Site Recovery を使ったVMの移行

■Azure AD
・Azure AD Connect Health
電子メール経由のアラート

・マネージドID
Azure AD認証をサポートするリソースに接続するときに使用する ID をアプリケーションに提供
開発者が安全に資格情報を格納できる Azure キー コンテナーなどのリソースにアクセスしたり、ストレージ アカウントにアクセスしたりできる
システム割当：サービス インスタンスに対して直接マネージド ID を有効、インスタンスと一緒に削除される
ユーザ割当：複数のインスタンスに適用することができる

・ハイブリッドID
パスワードハッシュ同期（PHS）、パススルー同期（PTA）、フェデレーション（AD FS）

・Azure AD Connect
実装する権限：オンプレAD:Enterprise Admins、Azure AD:Global Admin

・fault domain x update domain = サーバ数

・Azure Active Directory シームレス シングル サインオン
Azure AD Connect サーバー
サポートされている Azure AD Connect トポロジ
ドメイン管理者の資格情報がセットアップ
発信 HTTP プロキシを使用している場合は、この URL (autologon.microsoftazuread-sso.com)書いとけ

・B2C
企業-カスタマー間（B2C）のIDが提供される
OpenID Connect、OAuth 2.0、SAMLなど

・アプリケーション登録（Azure AD app registration）
アプリケーション登録して、ユーザ認証

・条件付きアクセス（conditional access policy）
ユーザー、デバイス、アプリケーション
ネームド ロケーション：名前 と IP 範囲を指定する

■AKS
Azure のマネージド Kubernetes
自動スケーリング、ストレージオプション
ノード使った分、お支払い
IPアドレスのオプション有り

・コンテナレジストリ作成
az acr create --resource-group myResourceGroup --name --sku Basic
コンテナレジストリのURLは、「.azurecr.io」
docker push .azurecr.io みたいな

■その他
・Azure ブループリント（試験では青写真）
リージョン間コピーされる、

・暗号化
決定論的（determine）：等値のルックアップ、結合、グループ化を実行可能
ランダム化：できない

・HTTP を使用してトークンを取得する
使用するアドレス：169.254.169.254
https://docs.microsoft.com/ja-jp/azure/active-directory/managed-identities-azure-resources/how-to-use-vm-token

・Azure Bastion
Azure Bastion は、ブラウザーと Azure portal を使用して仮想マシンに接続できるようにするサービス
仮想マシン IP の一般公開を制限する
共有外部IPアドレスを介してRDP

・Privileged Identity Management（特権ID管理）
アクセスレビユー作成ができる

最後に

繰り返しになるのですが、MS Learnは素晴らしいコンテンツなので、勉強の入り口としてはちょうどよいです
あとは、気になったワードは MS Docs を読んで、理解して、関連知識と、Azureポータルで操作マスターしてれば間違いない（はず）