Azure Functions
Azure Functions 允许你只运行小段小段的代码(也就是“函数”),而不用去担心应用程序基础结构。
有了Azure Functions,云基础结构就可以提供最新状态的服务器,以保持应用程序规模化运行。函数有特定的事件触发,触发器包括:对数据更改做出响应,对消息做出响应,按计划运行,或者生产HTTP请求结果。
总之:就是可以更灵活地去用碎片化、模块化、功能化的小函数、短代码,不用管底层的基础结构,这样可以让开发更灵活、不局限于语言、简化集成。
Azure Function怎么收费:
- consumption plan,按需付费,代码跑多长时间,付多少钱
- premium plan:挑几个常用的家伙,叫pre-warm instance,这些可以随时用计算资源,付费的话,就付pre-warm instance
- App service plan:把function看作一个web app,这样可以直接复用在其他应用上,而无需额外付费。
托管标识-Managed Identity
Managed Identity是AAD的一种身份标识,允许你的app可以访问其他受AAD保护的资源,比如Azure Key Vault。
FTP FTPS SFTP
文件传输协议(File transfer protocol)
用于Internet上,控制文件双向传输,也是一个应用程序,基于不同的操作系统有不同的FTP应用程序,所有的FTP应用程序都遵循这种传输协议。有“上传”,“下载”,两种操作,上传到远端主机FTP服务器,下载到本机。(一般用20、21号端口)
安全的FTP:两种安全方法,1)加密文件本身。2)加密传输通道。
FTPS=FTP+SSL(加密包)
SFTP=SSH+FTP(加密传输通道)
Availability Set vs Availability Zone 可用集 vs 可用集
高可用性,云服务的关键指标,可靠性,99.99999…
可用集:微观,是在一个region内部,的一个数据中心内部,的几台机器的组合,为了确保一个虚机的可用性,把一个虚机的备份是放在不同的可用集里面,每个可用集的物理服务器、机架、存储单元、网关等等都是互相隔离的,确保一个可用集倒下的适合,其他的还活着。这样就可用再微观上确保一个虚机的可用性,可靠性。
可用区:宏观,再一个region内部,不同的数据中心。可用区是为了确保数据中心的可用性和可靠度的。如果一个region的数据中心A挂掉,region内的数据中心B还能正常运作。一个zone里面可以包括一个或者多个datacenter,也可以一个数据中心隶属于好几个zone。
Region>zone>datacenter>set>rack
80 端口 443 端口
HTTP: 80(其他常用/8080/3128/8081/9080 )
HTTPS: 443
Azure Network Watcher
Azure Network Watcher是用来对虚拟网络进行监控、诊断、提供软件度量、日志,可以用来监控和修复IaaS的监控状态,比如虚拟机、虚拟网络、应用网关、负载均衡器等等。
注意:Azure Network Watcher 不能用于监控PaaS 或者网络分析,使用于IaaS服务的。
Azure event grid VS Azure event hub
event 事件是描述状态或者条件改变的一种通知。
有两种事件:离散、连续。
离散:用来报告状态改变了,用于触发下一步行动。Event Grid:用来触发下一步action
连续:用来报告状态本身,用于分析。比如:遥测。 Event Hub:用来收集event的地方
Azure Recovery Service Vault & Azure Site Recovery
Azure Backup 备份
Azure 可以用来备份:
- 本地(数据、VM、Hyper-V):用Microsoft Azure Recovery Services agent
- Azure VM(Windows/Linux VM):用Microsoft Azure Recovery Services agent
- Azure File Share:将共享文件备份到一个storage account
- SQL备份
- SAP HANA数据库备份
Azure Recovery Service Vault 是一种备份服务,里面来装备份的数据。这样可以更好地管理备份数据。(Recovery Service Vault 是Backup Vault的升级版)
可以以下功能: - 加强版的备份数据安全
- 可以监控云上以及本地环境
- RBAC
- 可以备份所有Azure VM的所有设置,包括磁盘、加密VM等等
- 即时修复IaaS VM:不需要整体重建一个VM来进行修复,这样修复更快。
Azure Site Recovery
作为企业公司,必须要考虑业务连续性以及灾难回复(Business Continuity and Disaster Recovery, BCDR),来保障业务持续上线,避免宕机影响。
为了BCDR,
站点恢复服务就是为了保障应用在宕机的时候也能持续上线服务的机制。Site Recovery把线上的VM或物理机从主站点复制到第二站点。这样,当主站点挂掉的时候,第二战点也可以用于灾难转移,等主站点修好了,再从第二站点切换为主站点。
Site Recovery可以用来
1)Azure region之间复制VM
2)复制本地的VM,Azure stack VM, 物理机(也就是说,Site Recovery可以用来将本地的物理机迁移上云,有这个功能。用azure site recovery provider装在本地机器上,进行上传复制操作)
从本地迁移上云一些重要的点:
- 不支持bitlocker,必须将BitLocker取消了以后,才能进行复制迁移操作。
Azure Storage Explore
一个专门的APP,用来将本地的数据于Azure storage account连接,然后才能上传数据
应用网关专用子网
应用网关需要在虚拟网络中配置一个专用子网,在子网中,可以创建给定应用程序网关部署的多个实例。还可以在该子网中部署其他的应用网关,但不能在应用程序网关子网中部署其他任何资源,如果有部署虚机,必须停掉。
VPN网关的高可用性
Azure VPN 网关冗余:所有的Azure VPN 都由两个实例组成,一个是active 一个是standby。(active-standby configuration)以应对计划内维护、非计划内的中断。
S2S VPN或者VNet-toVNet 连接,这个switch over,在计划内维护需要10-15s恢复。意外恢复,需要1min-1.5min。P2S VPN恢复需要重连。
跨区域的高可用连接
- 多个本地VPN设备
- 双活Azure VPN网关
- 以上两种混合使用
- 多个本地VPN设备
- 双活Azure VPN网关
- 双倍冗余
NAT rule
Network Address Translation 将本地流量转发给特定端口特定VM
Load Balancing rule 将前端的流量分发给后端池的实例
Load Balancer Sticky Session
Sticky Session是应用负载均衡器使用的一个方法,用来设置服务器使用喜好的。
在一个Sticky Session里面,负载均衡器会基于IP地址或者HTTP session,将流量路由到指定的服务器。在特定时间内,这个请求只会发送到特定的同一个服务器进行处理。
基准策略 Baseline Policy
- 要求对所有管理员进行MFA
- 终端用户保护
- 禁用所有的旧验证方式
- 对服务管理要求MFA
特权账号管理PIM
PIM 是一种可以让你管理、控制、监控企业内部重要资源访问的一种服务。
为什么要要你管PIM,因为企业向减少重要资源访问的人数,这样旧可以降低恶意访问的几率。如果有人想要访问敏感信息,那么企业就可以赋予用户Just-in-time特权访问。
- just-in-time 特权访问
- time-bound访问
- 需要approval的访问
- 需要MFA的访问
- 需要justification
- 需要notification
- 可以access review
- 下载审计记录 audit history
