💡如果你想知道的是Azure 認證有哪些、如何使用學習資源(包含 Azure Portal、Microsoft Learning、Azure 文件)以及其他線上平台(譬如 Udemy、Plural Sight)和注意事項,請參考我如何自修通過 AZ-104: Microsoft Azure Administrator 證照考試 。因為雖然科目不同,但工具都是一樣的,本篇不再重複。
趁著新財年剛開始,可以稍微喘口氣,把 AZ-305 考到手了,這張證照難度相比於 AZ-104 可說是大幅提升。考察的是受試者具不具備 Azure Solution Architect 架構師的能力。
包含提供架構建議,將商業需求轉換為安全、彈性且可靠的 Azure 解決方案。
根據官方說明,本考試的考生應具備設計在 Azure 上運行的雲和混合解決方案的主題專業知識,包括計算、網路、存儲、監視和安全性。
本考試的考生應具備 IT 運營方面的深度經驗和知識,包括網路、虛擬化、安全性、業務連續性(Business Continuity)、災難恢復(Disaster Recovery)、數據平臺和治理。
擔任此角色的專業人員應管理每個領域的決策如何影響整體解決方案。此外,他們應具有 Azure 管理、Azure 開發和 DevOps 流程方面的經驗。
本篇想特別跟你分享的是,關於幾個考試重點以及學習方式。
快速連結
將相似服務放在一起學
#1 VM、App Service、Container、Kubernetes、Logic Apps、Functions
說相似,可能許多專家要抗議了,認為每種服務都如此不同,怎麼可以說相似?我要說的是,當這些服務可以達到一樣功能時,藉由分辨他們之間的差異,就能夠達到快速學習和吸收。
舉例來說,如果要在 Azure 上做計算,VM、App Service、Azure Container Instance、 Azure Kuberneitse、Azure Batch、Logic Apps、Functions 都能辦到。這幾種服務彼此有什麼不同?就是一個很好的切入方式。
與其去記各項服務的特性,譬如 VM 是 Iaas、App Service 是 PaaS、Function 是 Serverless,直接拿來比較、甚至能夠知道使用時機以及如何做決策,反而更容易吸收。
下面這張圖就整理得很清楚。
看完這張圖後,再去細看每項服務的特色,就會更清晰。
譬如 VM 是 IaaS、App Service 是 PaaS 背後的涵義是什麼?VM 可以有完整的控制權,但相對的 High Avaiablity、Auto Scalling、Load Balance 就要自己做,不像 App Service 已經包含在內了。
另外,App Service 還有Easy Auth,能夠省掉在 VM 裡架應用程式必須要面對的身分驗證和授權。
再來談到 Logic Apps 和 Functions 兩種無服務器架構(Serverless)。
無服務器指的是除了我們不用管理基礎建置層以外,還有事件觸發的使用方式,也因此計費更靈活(用多少算多少)。
Logic Apps 的 UI 比較平易近人,很多流程甚至不用寫一行程式碼,而 Functions 支援多種程式語言。
那什麼時候要用容器化?當你的應用程式有許多執行個體時可以使用。而且超快、用多少算多少。
如果覺得容器化很難理解,可以這麼類比:VM 將伺服器虛擬化、容器將操作系統(OS)虛擬化。所以在一台實體伺服器上可以運行許多台 VM 以及許多個容器,而這些容器的操作系統是各自獨立的。
#2 Azure Event Grid、Event Hubs、Service Bus
另一個例子是 Event Grid、Event Hubs 和 Service Bus 三種訊息型微服務。如果擺在一起看,很容易搞混,不只名字像,功能描述也有點類似。
但看了下面這張表格,就可以清晰的知道 Event Hubs 是做串流,除了名字跟 Event Grid 一樣外,兩個沒什麼關係。
比較容易搞混的是 Event Grid 跟 Service Bus,兩個都是 serverless 的服務,但前者針對事件(Event),後者針對訊息(Message)。
事件和訊息有什麼不一樣?前者是比較輕量化,用意是通知下家和做出回應,後者就是訊息本身了。
#3 Load Balancer、Front Door、Traffic Manager、Application Gateway
另一個經常搞混的是負載平衡,有至少 4 種服務可以達到需求。
首先要理解負載平衡(Load Balancing)在運算扮演的重要角色,能夠讓響應時間變短、資源更有效利用,也幫助 HA。而 Azure 上的 Application Gateway、Front Door、Load Balancer 和 Traffic Manager 都能扮演負載平衡的角色。
如何挑選?一樣,看圖最清楚。
你可以首先根據這個運算服務是跨區域或者全球性、是不是Web Application做決定。如果答案皆為否,則 Load Balancer 就夠了。如果是跨區域或全球性,則 Traffic Manager 較適合。
再來考慮使用者,如果是放在虛擬網路上的服務,譬如企業內部使用的,則使用 Application Gateway。相反的,如果是面對一般網路,則優先考慮 Front Door。
另外,DDoS 保護功能也值得納入考慮。我就有客戶諮詢過要如何優化架構,減少 DDoS 攻擊?Azure DDoS Protection、Application Gateway、Web Application Firewall 和 Azure Front Door 都有相關功能。
需要分清楚這些服務在不同層級做 DDoS 保護,Azure DDoS Protection 做到網路層保護(Layer 3 and 4),而 WAF 做應用層(Layer 7),Application Gateway 和 Front Door 中都有 WAF 的功能。
PS. 讀到這,你可能會好奇 WAF 和 Azure Firewall 的使用時機?Azure Firewall 並不專門只能保護 HTTP(S)服務,也包括非 HTTP/S 的通訊協定,譬如 RDP、SSH、FTP。
#4 Virtual Network、VPN、VPN Gateway、ExpressRoute、Virtual WAN
最後一個容易混在一起的是這組服務:Virtual Network、VPN、ExpressRoute、Virtual WAN、VPN Gateway。
我們知道 Virtual Network 能讓 Azure 上的各種服務彼此溝通,而 Virtual private network(VPN)就是幫助 on-premise 和 Azure建立通道的服務。依據需求,譬如資料中心和 Azure 連接(site-to-site)、單獨裝置和 Azure 連接(point-to-site)或者 Vnet 和 Vnet 連接而使用不同的 VPN Gateway。
然而有些組織因為法規限制,限制資料不能夠暴露在網際網路上,因此 ExpressRoute 就派上用場了。ExpressRoute 能夠藉由供應商直接連接你的資料中心和 Azure,不需要經過網際網路。
隨著使用的服務越來越多,要管理的東西也變得複雜,而 Virtual WAN 就能夠將上述的 site-to-site VPN, ExpressRoute, point-to-site user VPN整合到同一個介面。能夠幫助 IT 減少維護運行成本和複雜度。
有畫圖沒事、沒事多畫圖
我認為畫圖是理解架構最有效的方式,平常跟客戶開會時也是能做 whiteboard session(白板討論)就做。原因無他,你說你的、他說他的,聚焦在同樣的畫面上能夠更好理解,出錯也能隨時修正。
我就曾有過一次經驗,和客戶討論如何改善架構、減少 DDoS 攻擊。整場會議到了最後 20 分鐘,我才明白剛才 40 分鐘討論的應用程式根本不在 Azure 上。如果早點叫出白板功能,相信能更省時省力。
譬如在理解 API Management 這樣服務時,可能會以為 API Management 可以存放 API 們。但其實不是的,它是一個發布、維護和基於安全考量產生的工具。能夠減少 API IP 位址曝光在網路上、並且管理用量。
以上這些說明讀文件要花時間理解,但看了下面這張圖是不是就秒懂。
High Availability (HA)和 Disaster Recovery (DR)的差異
這也是我經常在架構討論中需要跟客戶釐清的。雖然 BCDR(Business Continuety & Disaster Recover)常被放在一起講,但其實不同。
HA 說的是讓服務繼續運行,而 DR 是備份。前者的重點是無論發生什麼天災人禍,服務都要能順利運行,譬如像捷運和高鐵要隨時保持正常運作。而後者是先備份好,並為了回到正常運行狀態做好最佳準備。
如果要以時間順序來說,當 HA 也不行的時候,DR 要接棒。因此要能夠定義 Recovery Point Objective (RPO) 。意思是當災難發生時,我們可以容忍多久資料的損失。
這對架構規劃來說會造成什麼影響?
如果你用的是 IaaS,那麼都要自己設計了,譬如 VM 的 Availability Sets、Availability Zones,Always On availability groups 或 Azure Site Recovery。
但如果是 PaaS,則已經有許多內建功能。
10 個真實的跨領域轉職進入雲端領域的案例
想要跟你分享我從相對傳統的製造業跨領域到雲端運算領域,非本科出身,如何將工作之間的「可轉換技能」找出來並說服雇主的故事,也很幸運地完成了出國工作的夢想。
我相信沒有人生下來就是行業專家,我們就像個背包客,不斷地在職涯道路上尋找可以放進背包、帶得走的東西,即使踏入不同領域,也能夠發揮價值,佔有一席之地。成功轉職後,我觀察身邊的同事,發現非本科系出身的不在少數。
所以我紀錄並分析後整理成一份檔案。在這個檔案中,我會分享給你十位真實案例,都是我身邊的 同事,他們之中不乏從文組、金融業等成功轉職的故事。
有需要的朋友歡迎訂閱電子報,就可以下載這份跨領域轉職案例的分析,以及各種資源。
最困擾你的出國工作 100 個問題
你可能對於雲端運算和出國工作有興趣,我整理幾篇讀者常見問題在這裡,希望對你有幫助。
💡延伸閱讀:目錄-最困擾你的出國工作 100 個問題清單
後記
Azure 上面有數百種服務,如果要一個一個記憶,真的很容易迷失。我藉由比較相似服務和多畫架構圖在短時間內順利通過,希望也對你有幫助。
非常感谢您的总结和分享!不过好像少了Azure AD的部分,那一块的component一开始看还是有点被绕晕了。。
謝謝你的回饋!
請問是Azure AD的哪些component呢?
是指B2B、B2C嗎?
我可以看情況補充說明。
太多了,azure ad app registration, azure ad appplication proxy, azure ad enterprise application, Azure AD Privileged Identity Management, Azure AD Privileged Access Management, Azure AD pass-through authentication , Azure AD entitlement management, Azure AD provisioning service, Azure AD Identity Protection, Azure AD Domain Services, Azure AD Authentication method policy, 这些都是我从笔记里找到的。。我也还没有把他们整理成思维导图。
感谢您的回复,新年快乐,龙年大吉。
了解,如果是想要有圖像,幫助記憶,可以參考John Savill的影片:https://youtu.be/vq9LuCM4YP4?si=0Y2JNOOV56N3yXeo。
有針對AZ-305,也有AAD的。
希望有幫助。