konchangakita

KPS IoT(旧Xi IoT)を一番楽しんでるブログ 会社の看板を背負いません 転載はご自由にどうぞ

Azure Solutions Architect Expert(AZ-303/AZ-304)お勉強メモ

f:id:konchangakita:20210717011630p:plain:w180

これだけ覚えてたら、勝てる、、、わけもなく
こんだけ知らなかったってこと
裏を返すと、ここに書いてることは当然理解して周辺情報を説明できることは必須desu!

では、いってみよー

自分の備忘録用 AZ-303 / AZ-304 対策ごちゃまぜメモ

■ログ/監視 関連
・アクティビティログ
保存期間 90日
リソースデプロイメントログ

・Azure Monitor
Insights: Application, Container, VM, Monitoring Solution
Visualize: Dashboards, Views, Power BI, Workbooks
Analyze: Metric Analytics, Log Analytics
Respond: Alerts, Auto scale
Integrate: Logic Apps, Export APIs

・Azure Performance Diagnostics
Azure Monitor エージェント
VM のメトリックとログを監視(Azure VMのみ、Log Analyticsだと他にもいろいろ)


■ポリシー
・Azure ポリシー
コンプライアンス評価
Azure RBAC は、さまざまなスコープでのユーザー操作の管理にあります。アクションの制御が必要な場合は、Azure RBAC が使用に適したツールになります。 あるユーザーがアクションを実行するためのアクセス権を持っていても、結果としてリソースが準拠していない場合、その作成や更新は Azure Policy によってブロックされます。


仮想マシン スケール セット
同じ VM のセットをデプロイして管理するために使用できる Azure コンピューティング リソース
水平スケーリング:VMの増減
垂直スケーリング:メモリ、CPU 電源、ディスク、VM を再起動する必要がある
スケジュールスケーリング、自動スケーリング(CPU、ネットワーク、ディスクIO/キュー)

・スケールセットの設定方法
1.sysprep
2.CLIで一般化
3.スケールセットを作成


■開発向け
・Azure Batch
何十、何百、何千もの VM にスケーリング
1.コンピューティング VM のプールを自動的に開始する。
2.アプリケーションとステージング データをインストールする。
3.必要なすべてのタスクが含まれるジョブを実行する。
4.エラーを識別する。
5.作業を再度キューに入れる。
6.作業が完了したらプールをスケールダウンする。

・App Service
エンタープライズ レベルの Web アプリ、モバイル アプリ、API アプリを、すばやくビルド、デプロイ、スケーリング
App Service プランによって、ホストに利用されるハードウェアの量が決まる。ハードウェアが専用か共有か、予約されるメモリ量

・Webjob
再試行可能、Web アプリケーション、モバイル バックエンド、RESTful API のためのクラウドベースのホスティング サービス
・Azure Functions
コード実行に特化
従量課金サービス プラン/Azure App Service プラン

・Azure Logic Apps(開発者向け)
ワークフロー、GUI、デザイン優先
トリガー(ポーリング、プッシュ、繰り返し、手動)
Azure ロジックアプリを作成できる権限・役割は?
- contributor, Logic App Contributor


・Power Automate(ユーザ向け)
GUI

・Azure Resource Manager
宣言型のオートメーション:必要なリソースが "何" かは定義するが、それを作成する "方法" は定義しない。
必須プロパティ:name type apiVersion location properties
依存リソースの定義 depends on

・Azure Data Factory パイプライン
1 つのタスクを連携して実行するアクティビティの論理的なグループ
マッピング データ フロー:GUIでデータ変換

・Azure Data Lake Analytics
オンデマンド分析ジョブ、ビッグデータの処理


■ネットワーク
VMのPerformance Diagnostics
ネットワークトレースキャプチャ

・ピアリング
Azure 仮想ネットワーク同士をシームレスに接続
接続において、見かけ上 1 つのネットワークとして機能

VPN
サイト間、ポイント対サイト、ネットワーク対ネットワーク" 間
ポリシーベースVPN:IKEv1、静的ルーティング
ルートベースの VPN:IKEv2、動的ルーティング、オンプレデバイス用の接続方法として推奨、仮想ネットワーク間、ポイント対サイト、マルチサイト接続、ExpressRoute ゲートウェイとの共存
必要なリソース:仮想ネットワーク、GatewaySubnet、仮想/ローカル ネットワークゲートウェイ、接続
Active/Standby(デフォルト)

・EXPRESS ROUTE
99.95%
レイヤ3接続(アドレスレベル)
BGP
プライベートピアリング/MSピアリング
帯域(50M - 10G 後で縮小できない)
仮想ネットワーク(MAX 10個)

- Microsoft Office 365
- Microsoft Dynamics 365
- Azure Virtual Machines などの Azure コンピューティング サービス
- Azure Cosmos DB や Azure Storage などの Azure クラウド サービス

ExpressRoute Direct(100G)


・Traffic Manager
クライアントを特定のサービス エンドポイントの IP アドレスへ誘導
重み付けルーティング/パフォーマンス ルーティング/地理的ルーティング
可用性の向上

・Azure Load Balancer
分散モード[セッション永続化]
- 5タプルハッシュ(デフォルト):送信元IP/ポート、送信先IP/ポート、プロトコル
- 接続元 IP アフィニティ:送信元IP/ポートのみ(リモート デスクトップ ゲートウェイはこっちのみ対応)

可用性セット(99.95%):物理HWを分ける
可用性ゾーン(99.99%):DCを分ける(同一リージョン)


・Application Gateway
ラウンドロビン、WAF、L7 LB、SSLオフロード

API Management
仮想ネットワーク対応は Premium

■Azure SQL
可用性99.99%
・クエリパフォーマンスインサイト
時間のかかるクエリ特定
・エラスティックプール

ゾーン冗長:Premium サービス層の Availability Zones のサポート


■セキュリティ
・Key Vaultのアクセスポリシー
特定VMからのみシークレット登録させるには、アクセスポリシー


■ストレージ
・blob
クール:30日
アーカイブ:最低180日間保管

・Storage ATP(Advanced Threat Protection)

・Azure File sync
オンプレミスの Windows Server またはクラウド VM に多数の Azure ファイル共有をキャッシュできるサービスです

・AzCopy
Blogにup/down、ストレージアカウント間のBlob、Azure Files, AWS S3/GCP/Azure Stack
承認方法:Azure AD, SASトーク

・Azure Defender for Storage(Storage Advanced Threat Protection)
Blob と Files の脅威を検出

・Azure Import / Export
Azure データセンターにディスク ドライブを送付することで、Azure Blob Storage と Azure Files に大量のデータを安全にインポート


■Azureへの移行
評価、移行、最適化、監視
評価:検出、再ホスト、リファクタ、再設計、再構築、置換
移行:デプロイ、移行、オンプレ停止
最適化:運用コスト分析
監視:

・Azure Migrate
無償、評価
コレクターVM:検出、vCenter連携、オンプレVMの依存関係を知るにはAgentが必要
Azureポータルで評価を作成
レプリケートは100台づつ

・Azureハイブリッド特典(Azure Hybrid Benefit)
Windows Server 、 SQL ServerRedHatSUSE Linux
オンプレミスと Azure 間での 180 日間の二重使用権



■バックアップ・DR
・Azureバックアップ
オンプレはWindowsのみ、Azure VM/Files/SQL/SAP
Backupエージェント(MARS)

■Azure Site Recovery
VPN必須
Hyper-Vホストの登録
1.コンテナー登録キー(Vault registration key)ダウンロード
2.ASR Providerインストール
3.サーバ登録
4.レプリケーションポリシー設定
5.有効にする

オンプレミス Hyper-V VM から Azure へのディザスター リカバリーのサポート マトリックス
https://docs.microsoft.com/ja-jp/azure/site-recovery/hyper-v-azure-support-matrix
・OSディスク
第 1 世代の VM では最大 2,048 GB
第 2 世代の VM では最大 4,095 GB
データディスク:MAX 4TB

集中管理
オンプレミスの仮想マシンレプリケーション
Azure 仮想マシンレプリケーション
フェールオーバーの間のアプリの整合性

Recovery Services コンテナー:フェールオーバー実行時のVMが格納される
資格情報:仮想マシン共同作成者 ロールと Site Recovery 共同作成者 ロールが必要

・アプリケーション レプリケーション
ワンクリック フェールオーバー、スクリプト統合、ネットワーク マッピング

・Site Recovery を使ったVMの移行


■Azure AD
・Azure AD Connect Health
電子メール経由のアラート

・マネージドID
Azure AD認証をサポートするリソースに接続するときに使用する ID をアプリケーションに提供
開発者が安全に資格情報を格納できる Azure キー コンテナーなどのリソースにアクセスしたり、ストレージ アカウントにアクセスしたりできる
システム割当:サービス インスタンスに対して直接マネージド ID を有効、インスタンスと一緒に削除される
ユーザ割当:複数のインスタンスに適用することができる

・ハイブリッドID
パスワードハッシュ同期(PHS)、パススルー同期(PTA)、フェデレーション(AD FS)

・Azure AD Connect
実装する権限:オンプレAD:Enterprise Admins、Azure AD:Global Admin

・fault domain x update domain = サーバ数

・Azure Active Directory シームレス シングル サインオン
Azure AD Connect サーバー
サポートされている Azure AD Connect トポロジ
ドメイン管理者の資格情報がセットアップ
発信 HTTP プロキシを使用している場合は、この URL (autologon.microsoftazuread-sso.com)書いとけ

・B2C
企業-カスタマー間(B2C)のIDが提供される
OpenID Connect、OAuth 2.0、SAMLなど

・アプリケーション登録(Azure AD app registration)
アプリケーション登録して、ユーザ認証

・条件付きアクセス(conditional access policy)
ユーザー、デバイス、アプリケーション
ネームド ロケーション:名前 と IP 範囲を指定する

AKS
Azure のマネージド Kubernetes
自動スケーリング、ストレージオプション
ノード使った分、お支払い
IPアドレスのオプション有り

・コンテナレジストリ作成
az acr create --resource-group myResourceGroup --name --sku Basic
コンテナレジストリのURLは、「.azurecr.io」
docker push .azurecr.io みたいな


■その他
・Azure ブループリント(試験では青写真)
リージョン間コピーされる、

・暗号化
決定論的(determine):等値のルックアップ、結合、グループ化を実行可能
ランダム化:できない

・HTTP を使用してトークンを取得する
使用するアドレス:169.254.169.254
https://docs.microsoft.com/ja-jp/azure/active-directory/managed-identities-azure-resources/how-to-use-vm-token

・Azure Bastion
Azure Bastion は、ブラウザーと Azure portal を使用して仮想マシンに接続できるようにするサービス
仮想マシン IP の一般公開を制限する
共有外部IPアドレスを介してRDP

・Privileged Identity Management(特権ID管理)
アクセスレビユー作成ができる


最後に

繰り返しになるのですが、MS Learnは素晴らしいコンテンツなので、勉強の入り口としてはちょうどよいです
あとは、気になったワードは MS Docs を読んで、理解して、関連知識と、Azureポータルで操作マスターしてれば間違いない(はず)