AZ-104考试全面题库与解析(稳过版)

简介：该资源是针对AZ-104微软Azure管理员认证考试的复习资料，包含234个问题及其详细解释，旨在帮助考生深入理解关键知识点，通过问题练习巩固理论并提升应试能力。涵盖的关键知识点包括Azure基础服务、计算和存储管理、网络概念与服务、监控与日志记录、自动化与DevOps、身份和访问管理、安全性和合规性、灾难恢复与备份以及Azure服务的生命周期管理。 

1. Azure基础服务管理概述

随着云技术的快速发展，微软的Azure云平台已经成为众多企业和开发者的首选。本章旨在为初学者和有经验的专业人士提供一个关于Azure基础服务管理的全面概览。

1.1 云计算的三大模型

云计算提供了三种服务模型：基础设施即服务(IaaS)、平台即服务(PaaS)和软件即服务(SaaS)。Azure提供了全范围的解决方案，包括虚拟机、数据库服务和SaaS应用如Office 365和Dynamics 365。

1.2 Azure资源管理

Azure资源管理通过Azure Resource Manager (ARM) 实现，该服务支持模板驱动的部署，提供了资源组的管理和访问控制功能，确保在组织中实现有效的资源管理和治理。

1.3 订阅和计费管理

在Azure中，订阅是访问服务和资源的基本单元。理解订阅类型、服务限制和计费模型对于管理成本和优化支出至关重要。通过Azure Cost Management + Billing工具，用户可以监控、管理和优化云支出。

Azure基础服务管理概述不仅涉及到云服务模型的理解，也包括了如何管理和优化Azure中的资源与成本。这为IT行业从业者提供了一个稳固的起点，帮助他们构建在Azure上的强大基础。在接下来的章节中，我们将深入探讨Azure中的各种服务和管理技巧。

2. 计算资源管理精讲

计算资源是构建和运行云服务的基石。在Azure云平台上，管理计算资源主要涉及虚拟机和容器服务。本章将深入探讨如何创建和配置Azure虚拟机，以及如何管理Azure的容器服务，特别是Azure Kubernetes Service (AKS)。同时，还会介绍扩展虚拟机以及自动化部署的策略。

2.1 Azure虚拟机的创建与配置

2.1.1 选择合适的虚拟机大小和类型

选择合适的虚拟机大小和类型对确保工作负载性能至关重要。Azure提供多种虚拟机类型和大小，包括针对计算优化的、内存优化的、存储优化的和通用类型。在选择时需要考虑以下几个因素：

• 计算需求 ：工作负载是CPU密集型还是内存密集型？
• 内存需求 ：是否需要大量的RAM以支持多任务或大型数据集？
• 存储需求 ：是否需要本地或附加的持久化存储？
• 网络需求 ：是否需要高速网络接口？
• 成本预算 ：在满足需求的前提下，考虑成本效益。

Azure门户和PowerShell cmdlets为用户提供了强大的工具来帮助评估和选择合适的虚拟机配置。

2.1.2 部署和管理虚拟机实例

一旦选择了虚拟机类型和大小，接下来就是部署和管理虚拟机实例。以下是使用Azure门户部署虚拟机的步骤：

1. 登录Azure门户，并选择“创建资源”。
2. 搜索“虚拟机”，并选择“创建”。
3. 选择合适的镜像，输入虚拟机的详细信息，如订阅、资源组、虚拟机大小等。
4. 设置管理员账户，上传密钥（如果需要）。
5. 配置网络设置，包括虚拟网络、公共IP地址、网络安全组等。
6. 选择所需的磁盘类型和管理选项。
7. 检查设置无误后，点击“创建”。

管理虚拟机包括启动、停止、删除等操作。这些操作可以通过Azure门户、Azure CLI或PowerShell轻松执行。

2.1.3 虚拟机的扩展和自动化部署

虚拟机的扩展包括垂直扩展（升级虚拟机大小）和水平扩展（增加虚拟机数量）。扩展虚拟机通常涉及以下步骤：

1. 访问虚拟机的“规模设置”选项。
2. 在“规模设置”中选择“编辑”。
3. 修改实例数量或虚拟机大小。
4. 应用更改。

自动化部署可以通过Azure Resource Manager模板或Azure DevOps实现。以下是使用Azure CLI创建一个规模集的简单命令示例：

az group create --name myResourceGroup --location eastusaz vmss create \  --resource-group myResourceGroup \  --name myScaleSet \  --image UbuntuLTS \  --admin-username azureuser \  --generate-ssh-keys

这个过程可以通过持续集成和持续部署(CI/CD)流程进一步自动化，以便实现代码变更的快速部署。

2.2 Azure容器服务的管理

容器技术是现代云服务的另一个关键组成部分，它提供了轻量级、可移植的运行时环境，使得应用可以在任何地方运行，而不必担心底层操作系统的差异。

2.2.1 Azure Kubernetes Service (AKS) 的基本概念

Azure Kubernetes Service (AKS) 是一个托管的Kubernetes服务，它简化了在Azure上部署和管理容器化应用的复杂性。AKS管理Kubernetes控制平面和节点的维护工作。用户可以专注于构建和运行应用程序，而不是管理Kubernetes集群。

AKS的关键组件包括：

• 节点池 ：AKS中的节点池是物理或虚拟机的集合，运行着容器化的工作负载。AKS支持Linux和Windows节点。
• Kubernetes控制平面 ：管理集群状态，如调度、应用管理和监控。
• Azure负载均衡器 ：确保流量均匀分配到各个节点。

2.2.2 容器编排和部署策略

容器编排是管理多个容器实例及其交互的过程。AKS使用Kubernetes来自动化部署、扩展以及运行容器化应用程序。在AKS中，应用可以通过YAML文件定义和部署。

部署策略可以是滚动更新、蓝绿部署或金丝雀发布。滚动更新是一种常见的无停机部署策略，它逐步用新版本替换旧版本，确保至少有一个实例是运行状态以应对任何问题。

2.2.3 监控和日志记录在容器服务中的应用

监控和日志记录是容器服务中不可或缺的部分。AKS提供了Azure Monitor来收集和分析性能指标和日志数据。这可以用来监控集群健康状况和资源使用情况。

通过Azure Monitor，用户可以：

• 查看容器的运行状况和性能指标。
• 获取有关容器实例的详细信息，包括CPU和内存使用情况。
• 设置警报规则来监控性能阈值。

这使得运维团队可以实时了解服务状态，快速响应问题。

以下是第二章的Markdown格式概要，您可以根据这个框架进一步填充内容：

# 第二章：计算资源管理精讲## 2.1 Azure虚拟机的创建与配置### 2.1.1 选择合适的虚拟机大小和类型### 2.1.2 部署和管理虚拟机实例### 2.1.3 虚拟机的扩展和自动化部署## 2.2 Azure容器服务的管理### 2.2.1 Azure Kubernetes Service (AKS) 的基本概念### 2.2.2 容器编排和部署策略### 2.2.3 监控和日志记录在容器服务中的应用(此处继续添加其他小节内容...)一键获取完整项目代码markdown

请根据上述内容及格式要求继续扩展每个小节的具体内容。

3. 存储账户与数据管理

随着企业业务的发展，数据存储和管理成为IT基础架构的重要组成部分。Azure提供了多种存储选项，以适应不同的工作负载和性能要求。本章节将详细探讨Azure存储账户的种类选择、数据服务的集成与管理，以及相关的优化策略。

3.1 Azure存储账户的种类与选择

3.1.1 标准和高级存储的区别

Azure存储账户提供了多种类型的存储选项，以满足不同的业务需求。其中，标准存储和高级存储是最常见的两种类型。

标准存储 提供了普通硬盘驱动器(HDD)的性能，适用于成本敏感型工作负载，比如备份、开发测试环境和非关键性应用。它拥有较高的性价比，并支持冗余选项，包括本地冗余存储(LRS)、区域冗余存储(ZRS)和地理冗余存储(GRS)。

高级存储 则使用固态硬盘(SSD)技术，为需要高性能和高吞吐量的业务关键型应用提供支持，如数据库和事务处理系统。高级存储还支持附加的冗余选项，包括本地冗余存储(LRS)、区域冗余存储(ZRS)。

3.1.2 针对不同工作负载的存储选择

对于不同的工作负载，选择合适的存储类型至关重要。以下是针对不同场景的存储建议：

• 开发测试环境 ：对于需要频繁读写操作的开发测试环境，标准存储是一个经济实惠的选择。
• 数据仓库 ：对于数据仓库等大数据处理场景，标准存储因为其较高的成本效益比，成为了性价比的首选。
• 数据库工作负载 ：高级存储能够提供更快的数据访问速度和更好的IOPS性能，特别适合数据库事务处理密集型应用。
• 高频读写应用 ：对于高频读写的应用，比如虚拟桌面基础设施(VDI)，高级存储因其优秀的IOPS性能，是更佳的选择。

3.1.3 管理和优化存储账户性能

为了确保存储账户的性能和效率，需要采取一些管理和优化措施：

• 监控指标 ：定期检查存储账户的监控指标，如事务次数、吞吐量和存储使用情况，以识别潜在的性能瓶颈。
• 存储层优化 ：Azure存储层优化服务可以帮助优化工作负载的性能，它根据访问模式自动将数据移动到最合适的存储层。
• 冗余选项 ：根据业务连续性和灾难恢复的要求选择合适的冗余选项。例如，如果数据的地理分布和可靠性非常关键，则可考虑使用GRS。
• 缩放策略 ：根据业务需求的变化，定期评估是否需要调整存储账户的规模。Azure支持无停机时间的在线缩放。

flowchart LR
    A[开始] --> B[选择存储类型]
    B --> C[标准存储]
    B --> D[高级存储]
    C --> E[适用于成本敏感型工作负载]
    D --> F[适用于性能敏感型工作负载]
    E --> G[监控和优化标准存储]
    F --> H[监控和优化高级存储]
    G --> I[定期检查监控指标]
    H --> J[定期检查监控指标]
    I --> K[执行存储层优化]
    J --> L[执行存储层优化]
    K --> M[考虑缩放和冗余选项]
    L --> M[考虑缩放和冗余选项]
    M --> N[结束]
一键获取完整项目代码mermaid

3.2 Azure数据服务的集成与管理

3.2.1 Azure SQL数据库与传统SQL Server的区别

在选择数据库解决方案时，Azure SQL数据库和传统SQL Server是两个常见的选项。两者之间存在明显差异：

• 传统SQL Server 是一种关系型数据库管理系统(RDBMS)，通常部署在企业内部的数据中心或虚拟机上。它的管理成本较高，需要手动进行维护、备份和升级。
• Azure SQL数据库 是一个完全托管的数据库服务，能够自动处理维护任务，如修补和备份，极大地减少了管理负担。它基于云，提供灵活的可扩展性。

3.2.2 Azure Blob和File存储的使用场景

Azure Blob存储和File存储是两种不同的文件存储服务，各有其特定的使用场景。

• Azure Blob存储 专为存储大量的非结构化数据而设计，如视频、图片、日志文件等。它提供了一个高度可扩展的对象存储解决方案。
• Azure File存储 提供了一个文件共享服务，支持通过标准的SMB协议访问数据。它适用于多种工作负载，包括应用程序数据共享和企业应用程序的文件存储。

3.2.3 数据备份与恢复策略

Azure提供了多种数据备份和恢复选项，以满足不同的业务连续性需求。

• SQL数据库备份与恢复 ：Azure SQL数据库提供内置的备份功能，包括全数据库备份、事务日志备份和差异备份。这些备份可以被用于恢复到特定时间点。
• Blob存储备份 ：对于Blob存储，Azure提供了Point-in-time restore功能，允许用户将Blob数据恢复到35天内的任何时间点。
• 策略制定 ：制定数据备份和恢复策略时，需要评估数据的重要性和潜在的恢复时间目标(RTO)与恢复点目标(RPO)。这将帮助企业选择最合适的备份和恢复方案。

flowchart LR
    A[开始] --> B[选择Azure SQL数据库]
    B --> C[选择Blob存储和File存储]
    C --> D[确定备份与恢复策略]
    D --> E[分析SQL数据库备份选项]
    D --> F[分析Blob存储恢复选项]
    E --> G[选择合适的备份策略]
    F --> H[选择合适的恢复策略]
    G --> I[定期测试恢复过程]
    H --> I[定期测试恢复过程]
    I --> J[结束]
一键获取完整项目代码mermaid

Azure存储账户和数据服务的管理涉及到多个层面，从选择合适的存储类型和配置，到优化存储性能，再到选择适当的备份和恢复策略，都需要系统性的规划和执行。通过本章节的介绍，您可以深入了解如何在Azure环境中有效地管理和优化数据存储解决方案。

4. 网络配置与管理高级技巧

4.1 Azure虚拟网络的设计与实现

虚拟网络的基本组件

在Azure中，虚拟网络是构成网络基础设施的核心组件，它提供了一种方式，使得你可以在云中创建私有网络环境。这些私有网络就像传统的本地数据中心网络一样，但它们是完全隔离的，并且可以通过Azure基础设施来扩展。虚拟网络的基本组件包括：

• 资源组 ：包含网络资源的容器，如虚拟网络、网络安全组等。
• 虚拟网络 ：为虚拟机和其他各种类型的Azure资源提供隔离和安全的网络环境。
• 子网 ：虚拟网络中的一个或多个IP地址范围，用于进一步隔离网络流量。
• 网络接口 ：连接到虚拟网络的虚拟设备，为Azure资源（如虚拟机）提供网络连接。
• 公共IP地址 ：与虚拟机关联，使得它们可以被互联网访问。

在设计虚拟网络时，首先要确定所需的IP地址范围，并为每个子网划分子网。接着，考虑安全组和网络访问控制列表（ACLs）的配置，以确定哪些入站和出站流量是允许的。最后，确保虚拟网络与本地网络或其他虚拟网络之间的连接既安全又高效。

网络安全性组(NSG)和应用安全组(ASG)

网络安全组和应用安全组是Azure中用于控制网络流量的强大工具。它们允许对进出虚拟机的流量进行细粒度的控制。安全性组可以应用到虚拟网络的子网或单独的网络接口上。

• 网络安全组(NSG) ：这是网络层面的访问控制工具。它允许你定义安全规则，这些规则指定了哪些类型的网络流量是允许的。例如，你可以创建一个规则允许特定IP地址范围的流量访问特定端口。

flowchart LR
    A[网络安全组(NSG)] -->|应用到| B[子网]
    A -->|应用到| C[网络接口]
    B -->|控制流量| D[虚拟机/资源]
    C -->|控制流量| D

• 应用安全组(ASG) ：这是在网络安全组基础上更细化的控制手段。ASG允许你基于应用程序的逻辑组件，将虚拟机分组。这样，你可以对一组相关的虚拟机应用相同的规则，而不是单独为每个虚拟机设置规则。

flowchart LR
    A[应用安全组(ASG)] -->|分组| B[相关的虚拟机]
    A -->|创建规则| C[基于逻辑组件]
    B -->|应用规则| D[流量控制]

跨区域和全球虚拟网络连接

随着全球业务的扩展，跨区域的网络连接变得尤为重要。Azure提供了多种方式来实现跨区域的虚拟网络连接，其中包括：

• 虚拟网络对等互连 ：通过虚拟网络对等互连，可以将一个虚拟网络连接到另一个虚拟网络，使得网络流量可以跨虚拟网络进行私有通信。
• 全球虚拟网络对等互连 ：这是一个更为高级的功能，它允许你在不同的地理区域之间连接虚拟网络，就像它们在同一位置一样。

这些高级网络配置对于确保分布式系统的性能和一致性至关重要。以下是使用Azure跨区域对等互连的逻辑步骤：

1. 定义网络需求 ：确定哪些虚拟网络需要连接以及连接的优先级。
2. 配置虚拟网络 ：为每个需要连接的虚拟网络设置对等互连。
3. 路由和监控 ：确保适当的路由规则和监控措施到位，以便于调试和维护网络问题。
4. 测试连通性 ：进行连通性测试，确保跨区域网络的通信是成功的。

跨区域和全球虚拟网络连接不仅仅是技术的实现，它们还是商业策略的一部分，旨在优化资源分布，提高全球用户基础的体验。

4.2 Azure网络服务的高级应用

Azure Load Balancer的工作原理

Azure Load Balancer是一个高可用、高性能的负载均衡解决方案，它可以将入站的流量分发到多个虚拟机或服务实例，以提高应用程序的可用性和扩展性。负载均衡器在OSI模型的传输层（第四层）上工作，基于TCP和UDP协议来处理流量。

• 轮询算法 ：负载均衡器默认使用轮询算法，将每个新的网络连接请求轮流地分配到不同的虚拟机上。这种算法保证了流量的均匀分布。
• 最小连接数 ：除了轮询算法外，还可以使用最小连接数算法，它会将新的连接请求发送到当前连接数最少的虚拟机。
• 特定配置 ：对于不同的应用场景，还可以进行更复杂的配置，比如设置规则以便根据特定的网络流量特征选择目标虚拟机。

flowchart LR
    A[客户端请求] -->|通过| B[Azure Load Balancer]
    B -->|轮询分配| C[虚拟机1]
    B -->|轮询分配| D[虚拟机2]
    B -->|轮询分配| E[虚拟机3]
    C -.->|响应| A
    D -.->|响应| A
    E -.->|响应| A

Azure VPN和ExpressRoute的对比与选择

当需要连接本地网络与Azure虚拟网络时，VPN（虚拟私人网络）和ExpressRoute是两种常用的连接选项。选择哪种方案主要取决于业务需求、预算和连接的可靠性。

• Azure VPN ：使用IPSec协议，通过加密通道连接到Azure虚拟网络。它适合于小到中等规模的网络连接需求。由于它使用的是公共互联网，因此成本较低。

flowchart LR
    A[本地网络] -->|VPN连接| B[Azure虚拟网络]
    B -->|加密通道| A

• ExpressRoute ：提供专用的物理连接，不通过公共互联网，因此提供了更高的稳定性和更低的延迟。但是，这种方案的成本比VPN更高。ExpressRoute非常适合需要高带宽或对延迟敏感的场景，如数据仓库或大型数据库服务。

flowchart LR
    A[本地网络] -->|ExpressRoute| B[专用连接]
    B -->|专用连接| C[Azure虚拟网络]

选择VPN还是ExpressRoute时，需要考虑以下因素：

• 预算 ：ExpressRoute比VPN贵，但是提供了更高的稳定性和性能。
• 可用性 ：如果你需要更高的可用性和更低的延迟，ExpressRoute可能是更佳的选择。
• 数据敏感性 ：对于处理敏感数据的场景，专用连接的安全性更高。
• 扩展性 ：VPN更加灵活，可以在不同的网络环境中快速部署。

Azure CDN的内容分发策略

Azure CDN（内容分发网络）是用于加速网络内容分发的网络服务。它通过在世界各地的边缘位置缓存内容来减少内容加载时间。当用户请求内容时，CDN将请求路由到最近的边缘节点，从而减少延迟。

Azure CDN提供了一个多层次的内容分发策略，主要涉及以下几个方面：

• 缓存规则 ：定义哪些文件类型和路径应被缓存，以及缓存的时长。
• 压缩 ：在边缘节点上对内容进行压缩，可以减少传输的数据量，从而加快传输速度。
• HTTP头部控制 ：允许修改入站和出站的HTTP头部，以支持特定的业务逻辑。
• URL重写 ：根据自定义规则重写URL路径，使得用户请求可以根据特定的业务逻辑被分发到正确的资源。
• 安全 ：包括SSL证书管理、限制访问等安全特性，以确保内容的安全分发。

flowchart LR
    A[内容请求] -->|路由到| B[边缘节点]
    B -->|检查缓存| C{缓存命中?}
    C -->|是| D[返回缓存内容]
    C -->|否| E[从源拉取并缓存内容]
    E --> D

通过配置这些策略，Azure CDN提供了一个强大和灵活的内容分发框架，它不仅可以提升用户体验，还可以帮助降低后端服务器的负载。

5. 监控、安全性与合规性的最佳实践

5.1 Azure监控工具的应用

在 Azure 中，监控是一项关键的运维活动，它可以确保你的应用程序和基础设施稳定运行。Azure Monitor 为 Azure 服务提供完整的监控解决方案，包括性能、可用性、故障排除等功能。

5.1.1 Azure Monitor 的基础和高级功能

Azure Monitor 通过收集和分析从 Azure 服务、应用程序和网络中生成的数据，帮助你更好地了解你的环境状态和性能。其基础功能包括：

• 指标 ：收集资源的性能数据，例如 CPU 和内存使用率。
• 活动日志 ：记录订阅级别事件，如创建或修改资源。
• 诊断日志 ：记录资源级别的详细信息，比如虚拟机或 Web 应用的日志数据。

高级功能包括：

• 警报规则 ：基于指标或日志数据触发警报。
• 分析 ：使用 Kusto 查询语言对日志数据进行复杂分析。
• 可视化 ：通过图表和仪表板展示监控数据。

5.1.2 日志分析和警报设置

日志分析是 Azure Monitor 的核心，能够让你对数据进行深入分析。你可以使用 Azure Log Analytics 工作区来编写查询和分析日志数据。

// 示例查询：获取过去24小时内虚拟机的CPU使用率超过80%的次数
Perf
| where TimeGenerated > ago(24h)
| where CounterName == "% Processor Time"
| summarize count() by Computer
| where count_> 0

警报规则可以设置为在特定条件满足时通知你。你可以根据指标或日志数据创建警报，并选择邮件通知、Webhook调用或自动化响应等动作。

5.1.3 性能监视和故障排除技巧

性能监视是确保服务可用性和响应速度的关键。Azure Monitor 的可视化工具，如“指标资源管理器”，可以帮助你实时监控资源的性能指标。

在遇到问题时，使用 Azure Monitor 进行故障排除也是至关重要的。你可以：

• 查看资源的实时数据流。
• 分析日志查询结果，快速定位问题源头。
• 使用“诊断设置”收集详细的日志和诊断信息。

5.2 Azure安全性和身份管理

随着企业数据和应用的云迁移，安全性和身份管理成为了不可或缺的组成部分。Azure 提供了一系列的服务来确保数据的安全和用户的身份验证。

5.2.1 Azure Active Directory 的功能与集成

Azure Active Directory (Azure AD) 提供了云基础的身份和访问管理服务。通过 Azure AD，你可以：

• 管理用户和组的目录。
• 配置多因素认证以增强安全性。
• 集成本地AD和云应用的单点登录。

5.2.2 权限管理和访问控制策略

在 Azure 中，你可以使用角色基础的访问控制 (RBAC) 来管理对资源的访问。通过为用户分配角色，你可以控制他们在 Azure 资源上的操作权限。

graph LR
    A[用户] -->|分配| B[角色]
    B -->|授权| C[资源]

5.2.3 Azure Key Vault 在安全存储中的应用

Azure Key Vault 为存储敏感信息提供了一种安全的方式。它可以用来存储密钥、密码、证书和其他秘密信息。使用 Key Vault，你可以确保这些敏感信息不会被直接嵌入到代码中。

5.3 Azure合规性和灾难恢复策略

合规性确保了企业数据和服务符合行业法规要求，而灾难恢复策略则是确保数据和服务在发生故障后能够迅速恢复。

5.3.1 符合性标准和Azure Policy的使用

Azure Policy 帮助你确保你的资源符合组织的策略和合规标准。你可以使用策略定义来强制执行规则，比如限制资源类型或区域部署。

5.3.2 多区域部署和灾备计划

为了确保业务连续性，建议在 Azure 中采用多区域部署。这样即使一个区域发生故障，其他区域也能继续提供服务。灾备计划应包括定期备份关键数据和资源配置。

5.3.3 自动备份和恢复操作的最佳实践

Azure 备份服务允许你对数据进行自动备份，并在需要时快速恢复。最佳实践包括：

• 使用 Azure 备份服务定期备份虚拟机、SQL 数据库和文件共享等。
• 测试备份和恢复流程以确保它们按预期工作。
• 使用策略来管理备份保留时间，确保数据的一致性和最新性。