[ Azure | Az-900 ] 基础知识点总结(三) - Azure 管理和治理

本系列文章主要针对微软AZ-900所有知识点总结，助力通过考试，获得证书。本系列文章列表如下：

[ Azure | Az-900 ] 基础知识点总结(一) - Cloud云概念
[ Azure | Az-900 ] 基础知识点总结(二) - 核心组件服务

[ Azure | Az-900 ] 基础知识点总结(三) - Azure 管理和治理

本文适合Cloud初学者学习，如果你正在备考AZ-900或者AWS-CPE同样适合。

3.1 Azure 中的成本管理

可能影响 Azure 中成本的因素

在Az-900中成本管理这一章节里，与我之前写的第一篇幅：[ Azure | Az-900 ] 基础知识点总结(一) - Cloud云概念 中CapEx和OpEx有很大的关系，无论是在Azure实际操作，还是在Az-900的考试力，这两个概念一定要搞清楚，考试一定会有题来考

特征要明确：

CapEx：预先支出，如花费在实体基础设施上。
OpEx：即时支出，无前期成本。

可能影响OpEx的因素（重点）：

1. 资源类型：成本是特定于资源的，因此仪表跟踪的使用情况以及与资源管理的仪表数量取决于资源类型。
2. 消耗：一定要明确 即用即付(Pay-As-You-Go)是OpEx，这里的消耗也就是通常在Azure里常说的弹性，比如硬盘，内存，CPU等，并不是固定的，而是根据实际存储和消耗，弹性来变化（对标Oracle中的varchar2）
3. 维护：明确资源是否空闲状态（可回收/删除）。例如，每次预配 VM 时，还会预配存储和网络等其他资源。 如果取消预配 VM，则这些其他资源可能不会同时有意或无意地取消预配。
4. 地理位置：因为Azure是覆盖全球范围的，所以不同范围的服务和资源的位置之间使用成本可能会有所不同。
5. 订阅类型：类似有些订阅是有试用时间，如果试用时间过后，会出现计费的情况。例如Web Direct和云解决方案提供商（CSP）客户之间的Azure使用率和计费周期可能有所不同。一些订阅类型还包括使用许可，这会影响成本。
6. Azure 市场：类似于第三方商店，Azure团队开发并提供第一方产品和服务，而Azure市场中则提供了第三方供应商的产品和服务。你使用第三方提供的解决方案，那么产生的费用也不同，计费同样需要考虑。

定价计算器和总拥有成本计算器

定价计算器：帮助你估算Azure产品成本的工具，它按类别显示Azure产品，然后选择所需的Azure产品并根据你的特定要求进行配置。然后Azure提供与你的选择和配置相关的成本的详细估计。通过添加，删除或者重新配置所选产品，从定价计算器中获取新的估算值。

定价计算器官方链接：点击这里

在计算器页面，你可以选择具体某一个产品功能，之后详细进入可以计算定价（如下图所示）

总拥有成本 (TCO) 计算器： 一种工具，用于估算通过迁移Azure可以实现的成本节省。包括服务器，数据库，存储，联网带宽，IT人工，硬件成本，软件成本，电费，虚拟化成本，数据中心成本，网络成本等。

总拥有成本 (TCO) 计算器官方链接：点击这里。

使用这个工具一共有三个步骤，定义工作负载，调整假设条件，出报告。

Azure 成本管理工具

在Azure portal中提供一个单独功能，以图示化的形式展示所有计费相关的图表，可以用于分析和预估成本等。

可以通过成本分析来了解和分析组织成本。 可以按组织查看合计成本，了解哪些方面持续产生成本并确定支出趋势。 此外，还可以查看一段时间的累计成本，根据预算预估每月、每季度，甚至每年的成本趋势。

另外在这个成本管理工具里可以设置 各种报警包括：成本警报、预算警报、额度警报、部门支出配额警报，也可以在这里设置你的预算等等。

标记（tags）的用途

使用标记可以将元数据与资源相关联，从而帮助跟踪资源管理、成本和优化、安全性等。

标记（tags）提供有关资源的更多信息或元数据。 元数据适用于：资源管理，成本管理和优化，操作管理，按数据的安全级别（例如公共或机密）对数据进行分类，治理和法规合规性，工作负载优化和自动化。

3.2 Azure 中用于治理和合规性的功能和工具

在治理和合规性工具的主要知识点图谱(转载请注明出处)：

Azure 蓝图

Azure 蓝图 Blueprints 定义

Azure 蓝图： 让你可以重复的定义一组Azure资源，并遵守组织的标准，模式和要求。Azure蓝图使开发团队能够利用自己在组织合规性范围内构建的知识来快速构建和部署新环境，并使用一组内置组件来加快开发和交付速度。

Azure蓝图是一种声明性的方式来协调各种资源模板和其他工件的部署，例如：

• 角色分配
• 策略分配
• Azure 资源管理器模板
• 资源组

使用场景

遵守安全性或合规性要求，无论是政府还是行业要求，都可能既困难又耗时。为了帮助您进行审核，可追溯性以及对部署的合规性，请使用Azure蓝图工件和工具。不再需要耗时的文书工作，并且加快了您获得认证的道路。

Azure蓝图在Azure DevOps方案中也很有用，在该方案中，蓝图与特定的构建工件和发布管道相关联，并且可以进行更严格的跟踪。
1

Azure Policy 策略

Azure策略 Policy 定义

Azure Policy 是 Azure 中的一项服务，可用于创建、分配和管理用于控制或审核资源的策略。

Azure 策略的创建和实施

分为三个步骤：

1. 创建策略定义：表示要评估的内容和采取的措施；例如，如果将VM暴露于公共IP地址，则可以阻止VM的部署。您还可以防止在部署VM来控制成本时使用硬盘。

2. 将定义分配给资源范围：官网上一大堆生涩的翻译，我理解下来就是把你上一步创建的定义分配给资源

3. 查看策略评估结果：当根据您现有的资源评估条件时，该条件被标记为符合或不符合。您可以查看不符合策略的结果，并采取所需的任何措施。策略评估大约每小时进行一次，这意味着如果您对策略定义进行更改并创建策略分配，那么它将在一小时内对您的资源进行重新评估。

Azure 基于角色的访问控制 (Azure RBAC) [选修]

Azure RBAC(Role-Based Access Control) 定义

基于角色的访问控制RBAC：提供对Azure资源的细粒度访问管理，使您可以仅向用户授予他们执行其工作所需的权限。向所有Azure订阅者免费提供RBAC。

Azure Policy 和 Azure RBAC 区别

• Azure Policy 通过检查资源管理器中显示的资源属性和某些资源提供程序的属性来评估状态。
• Azure Policy 不会限制操作。
• Azure RBAC 重点关注如何管理不同范围的用户操作。 如果需要控制某项操作，则 Azure RBAC 是可以使用的适当工具。 即使个人有权执行操作，但如果结果是不合规的资源，Azure Policy 也仍会阻止创建或更新操作。

Azure RBAC 和 Azure Policy 的组合在 Azure 中提供了全范围控制。

Azure RBAC 使用场景

• 允许一个用户管理预订中的VM，另一用户管理虚拟网络。
• 允许数据库管理员（DBA）组管理预订中的SQL数据库。
• 允许用户管理资源组中的所有资源，例如VM，网站和子网。
• 允许应用程序访问资源组中的所有资源。

以下是一些RBAC最佳做法：

• 使用RBAC，可以将团队中的职责分开，并仅向用户授予其执行工作所需的访问权限。除了在Azure订阅或资源中向所有人授予不受限制的权限外，仅允许在作用域级别执行某些操作。
• 在计划您的访问控制策略时，向用户授予其工作所需的最低特权级别。

Azure 资源锁（Resource Locks）

Azure资源锁：简单来说就是为了防止Azure资源被错误的删除或者修改。可以设置为删除锁 和 只读锁。可以参照我上面画的图谱进行理解。

一般资源锁在某个资源的菜单中即可找到，如下图所示：

3.3 用于管理和部署 Azure 资源的功能和工具

用于与 Azure 交互的工具

Azure 提供了多个用于管理环境的工具，包括：

• Azure 门户
• Azure PowerShell
• Azure 命令行界面 (CLI)

Azure 门户：也就是直接访问门户网站：https://portal.azure.com/，实际上是一个web控制台，现在所有云厂商都有这个控制台，用来管理云资源。

Azure PowerShell：是微软的 shell，可以运行 command-lets (cmdlet) 命令，可以跨平台配置该Azure PowerShell。

Azure CLI 在功能上等效于 Azure PowerShell，主要区别是命令的语法。 Azure PowerShell 使用 PowerShell 命令，而 Azure CLI 使用 Bash 命令。

Azure Arc 的用途

用于管理混合云，比如同时管理 Azure、本地和多云环境。

1. Azure Arc 提供一种集中统一的方式来执行以下操作：

• 通过将现有非 Azure 和/或本地资源投影到 Azure 资源管理器中来管理整个环境。
• 管理虚拟机、Kubernetes 群集和数据库，就像它们在 Azure 中运行一样。
• 不管它们在何处，你都可以使用熟悉的 Azure 服务和管理功能。
• 继续使用传统的 ITOps，同时引入 DevOps 做法，以支持环境中的新云本机模式。
• 将自定义位置配置为已启用 Azure Arc 的 Kubernetes 群集和群集扩展上的抽象层。

2. 可以通过 Azure Arc 管理 Azure 外部托管的以下资源类型：

• 服务器：管理在 Azure 外部托管的 Windows 和 Linux 物理服务器和虚拟机。
• Kubernetes 群集：通过多个受支持的分发，附加和配置在任意位置运行的 Kubernetes 群集。
• Azure 数据服务：使用 Kubernetes 和你选择的基础结构在本地、边缘和公有云环境中运行 Azure 数据服务。 SQL 托管实例和 PostgreSQL（预览版）服务目前可用。
• SQL Server：将 Azure 服务扩展到在 Azure 外部托管的 SQL Server 实例。
• 虚拟机（预览版）：基于 VMware vSphere 或 Azure Stack HCI 对虚拟机进行预配、重设大小、删除和管理操作，并通过基于角色的访问启用 VM 自助服务。

Azure 资源管理器和 Azure ARM 模板

Azure 资源管理器

Azure 资源管理器：简单理解，就是用来管理Azure资源都是有哪些方式（创建，配置，管理，删除资源组），可以使用不同的自动化和脚本工具（例如Microsoft Azure PowerShell，Azure命令行界面（Azure CLI），Azure门户，REST API和客户端SDK）来自动化资源的部署和配置。

Azure 资源管理器作用

Azure 资源管理器 (ARM) 提供了大量可用于组织资源、强制执行标准和防止意外删除关键 Azure 资源的功能。

Azure ARM 模板

资源管理器 ARM模板是一个 JSON 文件，用于定义要部署到 Azure 的内容。

基础结构即代码是一种概念，即将基础结构作为代码行进行管理。 ARM 模板是基础结构即代码的另一个示例。

使用ARM模板可以进行批量创建、扩展、部署等操作。

Azure 蓝图以自动化方式应用策略，ARM 模板允许将资源部署为代码。 将这两者结合使用有助于确保部署一致且合规的资源。

3.4 Azure 中的监视工具

Azure Advisor 顾问

Azure Advisor 顾问 是Azure内置的一项免费服务，可提供有关成本、安全性、可靠性、卓越运营和性能 的建议。Advisor会分析你部署的服务，并在这四个方面寻找改善环境的方法。（注意考试要考）

下图显示 Azure 顾问仪表板：

下图显示 Azure 顾问中的Advisor score：

Azure 服务运行状况

Azure 服务运行状况： 就是告诉你Azure健康状态如何的指标

Azure 监视器

Azure monitor监控器：提供全面的解决方案来从云和本地环境中收集，分析和执行遥测，从而最大程度的提高应用程序的可用性和性能。它可以帮助你了解应用程序的性能，并主动识别影响他们的问题以及他们所依赖的资源。

Azure Monitor收集什么数据？

Azure Monitor可以从多种来源收集数据。您可以考虑从应用程序，其依赖的任何操作系统和服务，一直到平台本身，分层监控应用程序的数据。Azure Monitor从以下每个层收集数据：

• 应用程序监视数据：有关所编写代码的性能和功能的数据，无论其平台如何。
• 游客系统监视数据：有关运行您的应用程序的操作系统的数据。它可以在Azure，另一个云或本地中运行。
• Azure资源监视数据：有关Azure资源操作的数据。
• Azure订阅监视数据：有关Azure订阅的操作和管理的数据，以及有关Azure本身的运行状况的数据。
• Azure租户监视数据：有关租户级Azure服务（例如Azure Active Directory）操作的数据。

启用诊断

通过启用诊断并添加代理以计算资源，可以将要收集的数据扩展到资源的实际操作中。在资源设置下，您可以启用诊断

• 启用访客级别的监控
• 性能计数器：收集性能数据
• 事件日志：启用各种事件日志
• 崩溃转储：启用或禁用
• 接收器：将您的诊断数据发送到其他服务以进行更多分析
• 代理：配置代理设置

监控应用程序和服务： Azure Monitor功能可以组织为四个类别，这些类别是：分析，响应，可视化和集成。

注：本文原创由 bluetata 发布于: https://bluetata.blog.csdn.net/ 转载请务必注明出处。