AZ-104 Azure 管理员 速查表 – 2026 考试笔记
发布: (2026年1月13日 GMT+8 13:38)
8 分钟阅读
原文: Dev.to
Source: Dev.to
Microsoft Azure Administrator (AZ‑104) 是云管理员的黄金标准。它不仅仅是点击门户中的按钮,更在于理解 治理、网络逻辑 和 故障排除。
如果你正在准备此考试,这份深入的速查表涵盖了关键概念、具体 SKU 限制以及你需要了解的配置“陷阱”。
🆔 1. 身份与治理 (Azure AD / Entra ID)
安全边界不再是防火墙,而是身份。
用户与组
- 动态组 – 根据规则自动评估并添加/移除成员。
- 需要: Azure AD Premium P1 许可证。
- 语法:
(user.department -eq "IT") -and (user.accountEnabled -eq true)
- 管理单元 – 限制管理权限的作用范围(例如,让 “Helpdesk User” 只能为 “Marketing” 管理单元中的用户重置密码)。
- 外部身份 (B2B) – 从其他租户邀请的来宾用户。如果你的 MAU(每月活跃用户)数量较低(前 5 万 免费),他们 不需要 在你的租户中拥有许可证。
基于角色的访问控制 (RBAC)
| 类型 | 控制项 | 作用范围层级 |
|---|---|---|
| Azure Roles | 访问 资源(虚拟机、存储等) | 管理组 → 订阅 → 资源组 → 资源 |
| Azure AD Roles | 访问 目录(用户、密码等) | 租户范围(无层级作用范围) |
- 关键 Azure 角色:Owner(完全访问 + 管理)、Contributor(仅管理)、Reader(仅查看)、User Access Administrator(仅管理访问)。
- 关键 Azure AD 角色:Global Administrator、User Administrator。
策略与合规
- Azure Policy – 对资源强制执行规则(例如 “Allowed Locations = East US” 或 “Require Tag
CostCenter”)。- 效果:
Deny(拒绝)、Audit(审计)、Append(追加)、DeployIfNotExist(若不存在则部署)。
- 效果:
- 资源锁定
CanNotDelete– 资源可以读取/修改,但不能删除。ReadOnly– 资源只能读取(阻止启动/停止虚拟机等操作)。
💾 2. 存储账户
存储是基础。了解冗余和访问层级。
冗余选项(“耐久性”问题)
| 冗余 | 描述 |
|---|---|
| LRS(本地冗余) | 单个数据中心内的 3 份副本(最便宜)。 |
| ZRS(区域冗余) | 跨同一地区的 3 个可用区的 3 份副本(可抵御数据中心火灾)。 |
| GRS(地理冗余) | 主区域的 LRS + 配对区域的 LRS。 |
| GZRS(地理区域冗余) | 主区域的 ZRS + 配对区域的 LRS。 |
访问层级
- Hot(热) – 频繁访问。存储成本高,访问成本低。
- Cool(冷) – 不常访问(> 30 天)。存储成本低,访问成本高。
- Archive(归档) – 极少访问(> 180 天)。存储成本最低,恢复成本最高(检索需数小时)。
文件共享
- Azure Files – SMB 协议(Windows/Linux)。
- Azure File Sync – 将本地 Windows Server 共享同步到 Azure;云分层将热文件保留在本地,冷文件迁移至云端。
💻 3. Azure Compute (VMs & App Service)
如何运行工作负载并保持可用性。
虚拟机
- 可用性集 – 防止单个数据中心内的硬件故障。
- 更新域 (UD) – 重启组(打补丁)。
- 故障域 (FD) – 机架/电源组(硬件故障)。
- SLA: 99.95 %。
- 可用性区域 – 防止数据中心故障。
- SLA: 99.99 %。
- 规模集 (VMSS) – 基于指标自动扩展(例如 CPU > 75 %)。
- 编排模式: 统一(相同 VM) vs. 灵活(混合 VM 类型)。
应用服务 (PaaS)
- 应用服务计划 – 定义区域、操作系统和 SKU(资源)。
- 伸缩
- 向上伸缩 – 更改 SKU(例如 B1 → S1)以获得更多 RAM/CPU。
- 向外伸缩 – 增加实例数量(例如 1 → 3 实例)。
- 部署槽位(标准层及以上)。将 “Staging” 立即交换为 “Production”;如果失败,可再交换回去。
容器
- ACI(Azure Container Instances) – “无服务器容器”。 适用于突发作业或简单应用;无编排。
- AKS(Azure Kubernetes Service) – 完整编排;您管理工作节点(节点池)。
🌐 4. 网络
考试中最难的部分。掌握 VNET 和 DNS。
VNET 对等互连
- 连接两个 VNET;流量保持在 Microsoft 骨干网(私有)。
- 全局对等互连 – 连接不同地区的 VNET。
- 网关传递 – 允许 VNET A 使用 VNET B 的 VPN 网关。
- VNET A 必须 使用远程网关;VNET B 必须 允许网关传递。
负载均衡
| 服务 | 层 | 典型用法 |
|---|---|---|
| Azure Load Balancer | 4(TCP/UDP) | 5‑元组哈希分发(源 IP/端口,目标 IP/端口,协议)。内部 – 仅私有 IP。公共 – 公共 IP 前端。 |
| Application Gateway | 7(HTTP/HTTPS) | WAF、Cookie 亲和性、URL‑路径路由。 |
| Front Door | 7(全局) | 全球负载均衡器 + CDN。 |
DNS
- 公共 DNS – Azure 托管你的域(例如
contoso.com)。 - 私有 DNS – 在 VNET 内解析主机名。
- 自动注册 – 为链接的 VNET 中的 VM 自动创建 A 记录。
🛡️ 5. 监控与备份
保持系统运行并在故障时恢复。
Azure Monitor
- Metrics – 数值数据(CPU %,磁盘 IO)。实时。
- Logs – 结构化数据(事件日志、查询日志)。存储在 Log Analytics 工作区(KQL)。
- Alerts – 动作组触发通知(电子邮件、短信、Webhook、ITSM 工单)。
Network Watcher
- IP Flow Verify – “VM A 能否与 VM B 通信?”(检查 NSG 规则)。
- Next Hop – “我的流量去向何处?”(检查 UDR/路由)。
- Connection Monitor – 对端点之间连通性的持续监控。
# Recovery Services Vault备份
- 文件、文件夹、系统状态、Azure 虚拟机
Soft Delete
- 保留已删除的备份数据 14 天(防止勒索软件/意外删除的保护)。
Site Recovery (ASR)
- 灾难恢复(DR)解决方案,可将虚拟机复制到次要区域。
RTO(恢复时间目标)
- 恢复需要多长时间?
RPO(恢复点目标)
- 可以丢失多少数据?
## 📝 考试 “陷阱”
- **标签不继承** – 为资源组打标签并不会自动将标签应用到其中的资源。使用 Azure Policy 来强制继承。
- **资源迁移** – 您 *可以* 在订阅/资源组之间移动资源,但源和目标必须在同一个 **Azure AD 租户** 中。
- **NSG 优先级** – 数字越小优先级越高。优先级为 **100** 的规则会覆盖优先级为 **200** 的规则。
- **导入/导出作业** – 必须将物理硬盘寄送到 Azure 数据中心;无法通过互联网高效地“下载” 50 TB 数据。
- **PIM(特权身份管理)** – 需要 **Azure AD Premium P2**。
*祝您在 AZ‑104 考试中好运!*