Azure AZ-900 lernen – Zusammenfassung

Azure Preise, SLAs und Lebenszyklus

Azure Subscriptions

• Basic (Support für Mitgliedschaft und Rechnung, Azure Advisor, Azure Health Status)
• Developer (Softwaresupport von Drittanbietern mit Fehlerbehebung)
• Standard (24/7 technischer Support)
• Prefessional (Premier) (Operations Support, Training, API)

Cloud Konzepte

Vorteile von Cloud Services

• Load Balancing: Verteilung der Last
• Fault Tolerance: Fehlertoleranz, wenn Komponenten ausfallen
• High availability: Hochverfügbarkeit, SLA (Service Level Agreement), Reduktion der Downtime selbst bei Fehlern
• Elasticity: Elastizität, etwa die automatische Adaptierung der Ressourcen (erhöhen oder senken)
• Scalability: Skalierbarkeit (horizontal (Ressourcen werden erhöht wie VMs) und vertikal (Erhöhung der Computerkapazität wie RAM, CPU))
• Flexibility: Flexibilität um Ressourcen schnell zu konfigurieren und bereitzustellen

Operating expenditure (Betriebskosten) VS Capital expenditure (Kapitalkosten, Investitionskosten)

Bei einer Kapitalinvestition wird heute für die Zukunft in IT Hardware investiert. Das Geld wird heute benötigt und die Anlagen über den Zeitraum abgeschrieben. Bei einer Betriebsinvestition werden Server (Pay as you go) angemietet und monatlich bezahlt. Eine Abschreibung erfolgt hier nicht.

Cloud Service Modelle – IaaS, PaaS und SaaS

• On-Premises (Private Cloud, lokal): Alles selber zum managen
• IaaS (Infrastructure as a Servcie): Infrastrukturkomponenten wie Server, Speicher, Netzwerkelemente – Nutzung für Test, Entwicklung, Websitehosting, Speicher, Sicherungen, Web-Apps, High Performance Computing, Big Data Analyse
• PaaS (Platform as a Service, Serverless Computing): Vollständige Entwicklungs- und Bereitstellungsumgebung, umfasst IaaS sowie Middleware, Entwicklungstools, BI Dienste, Betriebssysteme, Virtuelle Maschinen und Datenbanken – Nutzung für Framework, Business Intelligence, Analytics
• SaaS (Software as a Service): PaaS inklusive gehostete Anwendungen und Apps – Nutzung für E-Mail Dienste, Kalender, CRM, ERP, Dokumentenverwaltung, Kollaborationstools

Public, private or Hybrid Cloud?

• Public: Die Services werden über das öffentliche Internet angeboten und sind für jeden verfügbar (u.a. gegen Bezahlung). Der Cloud Service Provider besitzt und betreibt die Server.
• Private: Die Services sind einer Organisation zugeordnet und stehen ausschließlich dieser zur Verfügung. Gehostet kann diese Variante lokal oder bei einem Cloud Service Provider sein.
• Hybrid: Kombination aus public und private Cloud.

Account und Abonnements

Um Azure Services benützen zu können benötigt man einen Azure Account (Company level) und zumindest eine Azure Subscription (Department level). Anschließend können jeder Subscription Ressourcen zugeordnet werden, welche sich in Ressource Gruppen zusammenfassen lassen.

• Ressourcen: Instanzen von Service und Diensten, etwa virtuelle Computer oder Datenbanken, jede Ressource muss genau einer Ressourcengruppe angehören
• Ressourcengruppen: Zusammenfassung von Ressourcen, Darstellung als Container, Ressourcengruppen können nicht geschachtelt werden
• Abonnements: Benutzerkonten und notwendig für Ressourcen, Verwaltung von Kosten und Ressourcen durch Kontingente und Grenzwerte => Authentifizierung und Authentisierung, logische Einheit von Diensten
• Verwaltungsgruppen: Zugriff, Richtlinien und Konformität mehrere Abonnements, organisiert Abonnements in Container => alle Abonnements in einer Verwaltungsgruppe erben die angewendeten Bedingungen, allerdings lediglich 6 Ebenen ohne Stammeben und Abonnementebene und maximal 10.000 Verwaltungsgruppen, hierarchischer Aufbau (nur ein Vorgänger), für Governance
• Azure Konto: eine Identität im Azure Active Directory, notwendig für Abonnements

Die Azure Abonnements werden in sogenannten Rechnungsabschnitten (Position in der Rechnung) verrechnet, welche wiederum Abrechnungsprofilen (Rechnung, Zahlungsmethoden) und schlussendlich dem Abrechnungskonto zugeordnet ist.

Azure Resource Manager

Azure Resource Manager ist der Bereitstellungs- und Verwaltungsdienst. Nutzbar sind die Zugriffssteuerung, Sperren und Tags. Abhängigkeiten zwischen Ressourcen können definiert werden um die korrekte Reihenfolge der Bereitstellung zu gewährleisten.

Azure Resource Manager templates: Die Vorlagen (JSON Dateien) definieren die Infrastruktur und Konfiguration für eine virtuelle Maschine. Die Vorlagen können zum Erstellen von Azure Ressourcen durch den Azure Resource Manager verwendet werden.

Regionen und DataCenter

In einer Region können mehrere DataCenter stehen. Jede Verfügbarkeitszone ist ein eigener psychischer Standort (mit mindestens einem DataCenter) in der Region. Jede Verfügbarkeitszone hat unabhängigen Strom, Kühlung und Netzwerkanschluss. In jeder Region gibt es zumindest 3 Verfügbarkeitszonen mit zumindest einem DataCenter. Geografien bezeichnen den Zusammenschluss von ein bis zwei Regionen. Für die Verfügbarkeit (Ausfallssicherheit) ist die Verfügbarkeitszone entscheidend, nicht jedoch es auf mehrere Regionen zu verteilen.

Einige Dienste und Funktionen stehen nur in bestimmten Regionen zur Verfügung (etwa Speichertypen und VM Größen). Azure DNS oder Azure AD ist ein globaler Azure Dienst, der unabhängig von der Region ist.

• Region: geografischer Bereich auf der Erde auf welcher sich mindestens ein Rechenzentrum befindet
• Verfügbarkeitszonen: Sicherstellung, das Daten und Dienste redundant sind, physisch getrennte Rechenzentren in einer Region, jede Verfügbarkeitszone besteht aus zumindest einen Rechenzentrum
• Regionspaare: Jede Region wird mit einer anderen Region kombiniert

Core Azure Services

Die Services werden in 10 Gruppen unterteilt.

• Compute: Virtuelle Maschinen
• Networking: Load Balancing, Virtual Network
• Storage: Blob, Files, Disks
• Mobil: Apps
• Databases: SQL, MySQL
• Web: Web Applications
• Internet of Things: IoT Geräte und Analyse, Sensoren
• Big Data: Analytische Funktionen
• AI: Forecasts, Machine Learning, Modelle
• DevOps: Integration von Applikationen

Computing

• Virtual machine scale sets (Skalierungsgruppen): Skalensätze werden aus virtuellen Maschinen Erstellung und sorgen für einen geringeren Verwaltungsaufwand und erhöhte Automatisierung. Dadurch können Skalierungen einfach erfolgen. Beispiel: Automatische Erstellung einer neuen Virtuellen Maschinen Instanz. Damit können identische VMs bereitgestellt und verwaltet werden.
• Azure Kubernetes Service: Cluster Management für virtuelle Maschinen, welche vordefinierte Dienste („containered“) ausführen, Orchestrierung von Containern
• Azure Functions: Ein ereignisgesteuerter, serverloser Rechendienst, Möglichkeiten sind die Abstraktion von Servern, die ereignisgesteuerte Skalierung (Timer, Webhookszenarios, Warteschlangen, Trigger) und Microbilling. Es geht bei Functions um den Code, nicht jedoch um die Plattform oder Infrastruktur , Reaktion auf ein REST Anforderung, Codezeilen in C# oder Java, imperativer
• Azure Logic Apps: Führen anstelle von Code Workflows aus (Logikblöcken), beginnend mit einem Trigger, sind immer zustandsbehaftet, nur in der Cloud ausführbar, für die Orchestrierung entworfen, deklarativ
• Container: Virtualisierungsumgebungen, können (auch mehrere) auf einen virtuelle oder physischen Host ausgeführt werden, eine Engine ist etwa Docker (PaaS), Container virtualisieren das Betriebssystem – VMs hingegen die Hardware.

Networking / Netzwerk

• Azure Virtual Network: Zuständig für die Verbindung zwischen der virtuellen Maschine und des privaten Netzwerkes (VPN).
• Azure Load Balancer: Ausgleich zwischen eingehenden und ausgehenden Verbindungen.
• Azure VPN Gateway: Zugriff auf virtuelle Azure Netzwerke, Möglichkeiten hier sind Site-to-Site (Rechenzentren, Standorte), Point-to-Site (einzelne Geräte), Netzwerk zu Netzwerk (virtuellen Netzwerke), pro VPN Netzwerk ist nur ein VPN Gateway möglich.
• Azure DDoS Protection: Schützt gegen DDoS (distributed denial of service) Attacken
• Express Route: etwa für Office365, Möglich sind Any-to-Any, Point-to-Point Ethernet und CloudExchange Housing, redundante Konnektivität, konstanter Netzwerkdruchsatz und Zugriff auf Cloud Services jedoch keine verschlüsselte Netzwerkkommunikation

Speicher / Storage

Speichern von Dateien, Nachrichten, Tabellen und andere Informationstypen (nicht Datenbanken).

• Blob Storage: große Objekte, wie Video oder Binärdaten, unstrukturierte Speicherung, Blobs werden in Container (Bilder, Videos, Backups, Notfallwiederherstellungen, etc.) gespeichert
• File Storage: Verwaltung und Zugriff von Dateien inklusive Dateifreigaben, etwa SMB
• Queue Storage: Übermittelt Nachrichten zwischen Applikation (vordefiniert, bestimmter Zeitpunkt)
• Table Storage: Speichern von nicht relationalen Datenstrukturen (NoSQL Data), schemenloses Design, Key Schema
• Disk Storage: zum Speichern virtueller Datenträger, dauerhafte Speicherung

Speicherebenen:

• Hot: (oft besucht, Bilder für die Webseite)
• Cool: (regelmäßig besucht, ca. 30 Tage bereitgestellt)
• Archivspeicher: Backups (180 Tage), nicht verfügbar auf der Kontoebene, speichert Daten offline, niedrige Speicherkosten, hohe Kosten beim Aktivieren und Zugrifen der Daten

Datenbank

Azure SQL Datenbanken (basierend auf SQL Server) nutzen lediglich die Default Kollektion (Latin1). Für kyrillische Charaktere sollte Azure SQL Managed Instance gewählt werden. Für einen LAMP Stack ist die Azure Datenbank für MySQL die beste Wahl. Datenbanken gehören zum PaaS.

• Azure Cosmos DB: Datenbank, welche auch NoSQL ermöglicht, Gremlin API
• Azure Synapse Analytics: Data Warehouse, integriertes Security Level, große Datenanalyse (BI and Machine Learning)
• Azure Database Migration Service: migriert die Datenbanken in die Cloud ohne Änderungen

Horizontales Skalierung bei den Datenbanken bedeutet Schattenkopien auf mehreren Servern. SQL Anfragen werden so aufgeteilt und können schneller beantwortet werden.

Web

Hosten von Web Apps und WebServices inklusive Nachrichten und API.

• WebApps (hosten von Seiten)
• API Apps (REST WebAPI)
• WebJobs (Programme oder Skripte)

Mobile

Back-End Services (Hintergrundservices) für iOS, Android oder Windows Apps. Möglich sind zudem Push Nachrichten, Verbindung zu lokalen Netzwerken und offline Datensynchronisation.

IoT

Smart Watch, Thermostate und andere Geräte sind bereits mit dem Internet verbunden und erzeugen eine große Menge an Daten und Informationen.

• IoT Central: IoT Software (SaaS) für das verbinden, monitoren und managen von IoTs
• Azure IoT Hub: Message Hub für eine sichere Verbindung zwischen den IoT Geräten
• IoT Edge: Service für Data Analyse Modelle für IoT Geräte, Verhaltensänderungen über Cloud
• Azure Sphere: Azure Sphere sorgt für die Gerätesicherheit und ist somit eine IoT Sicherheitslösung mit Hardware-, Betriebssystem- und Cloudkomponenten. Beispiele sind etwa Azure Sphere zertifizierte Chips, Betriebssysteme oder der Azure Sphere Security Service, welcher für eine sichere Kommunikation zwischen Geräte und Cloud sorgt.

Big Data

• Azure Synapse Analytics: Analysen mit vielen Daten (Data Warehouse), Parallelprozesse und komplexe Abfragen
• Azure Databricks: Kollaborativer Apache Analyse Service

AI

Benützt vorhandene Daten um zukünftige Zustände, Trends oder Outputs vorherzusagen

• Azure Machine Learning Service: Environment zum testen und managen von maschinellen Lernmodelle
• Azure Cognitive Service: Für Sprache, Übersetzung, Audio, Grafiken und Entscheidungen
• Azure Bot Service: für die Kreation eines virtuellen Agenten

DevOps

Automatisierung der Softwarebereitstellung um den Benutzern einen kontinuierlichen Mehrwert zu bieten (Saas)

• Repos: Quellcoderepository
• Azure DevOps: Entwickler Kollaboration Tools, Git Repositorien und Kanban Boards
• Azure DevTest Labs: On-Demand Testumgebungen für Demoapplikationen

Benachrichtigung und Monitoring

Azure Advisor

Auswertung der Azure Ressourcen und Bereitstellung von Empfehlungen in den Bereichen Zuverlässigkeit, Sicherheit, Leistung, Kosten und Betriebsprozesse. Benachrichtig für neue Empfehlungen.

Azure Monitor

Plattform zum Erfassen, Analysieren und Visualisieren von Maßnahmen anhand von Protokollen und Metriken (aus Anwendungen, Ressourcen, Betriebssystemen, etc.). Sorgt ebenso für benutzerdefinierte Ereignisse. Überwachen von Container, VMs.

Azure Health Service

Personalisierte Ansicht über die jeweiligen Diensten und Ressourcen in den Regionen. Angezeigt werden Probleme, geplante Wartungen und Integritätsempfehlungen. Grundursachenanalyse für Azure Vorfälle.

Sicherheit, Datenschutz und Vertrauen

Azure Security Center

Monitoring Service für die Sicherheitslage für alle Ihre Dienste, inklusive Empfehlungen. Das Center kann Attacken ebenso erkennen und automatisiert das setzen von Sicherheitsregeln für neue Ressourcen.

Azure Sentinel

Azure Sential sorgt für intelligente Sicherheitsanalysen im Unternehmen. Die Daten werden im Log Bereich des Azure Monitors gespeichert. Die Kosten hängen von der Menge der Daten ab. Hochsicherheitsdaten (etwa Bankdaten) sollten mit Azure Sentinel analysiert werden.

Azure Key Vault

Zentraler Cloud-Service zum Speichern der Geheimnissen (Passwörter, Schlüssel, Zertifikate) einer Anwendung.

Defense in Depth

Mehrere Ebenen der Sicherheit, welcher Angriffe verlangsamt oder verhindert. AN oberste Ebene ist die physische Sicherheit (Kontrolle des Zugangs zum Rechenzentrum), hinuntergehend mit Identität und Zugriff (Authentifizierung), Umkreis (DDoS), Netzwerk (VPN, Verbindungen), Computer (Updates, Patches), Applikationen und schlussendlich die Daten.

Sicherheitsstatus

• Vertraulichkeit: Prinzip der geringsten Rechte
• Integrität: Verhindern der Änderungen von ruhenden Daten und während der Übertragung
• Verfügbarkeit: Dienste funktionieren und autorisierte Benutzer zugreifen können, DDoS

Azure Firewall

Sicherheitslücken wie Volumen-, Protokoll- und Ressourcenschichtangriffe. Die Firewall ist zustandsbehaftet (analysieren den gesamten Kontext).

Azure Application Gateway

Stellt ebenso eine Firewall bereit, die WAF (Web Application Firewall). Gängiger Schutz für Exploits und Sicherheitsrisiken.

Azure DDoS Protection Standard

Unterstützt gegen DDoS Angriffe. Blockiert automatisiert einen weiteren Datenverkehr. Basic ist kostenlos dabei und überwacht den Datenverkehr. Standard bietet Echtzeitentschärfung für alle gängigen Angriffe auf Netzwerkebene. Verhindert werden volumetrische Angriffe (DDoS), Protokollangriffe und Angriffe auf Ressourcenschicht (WAF).

NSG – Netzwerksicherheitsgruppen

Filtern von Netzwerkdatenverkehr zu und von Azure Ressourcen und virtuellen Netzwerken (interne Firewall).

Authentifizierung und Autorisierung

Authentifizierung (AuthN) ist der Prozess, die Identität einer Person festzustellen – etwa über ein Passwort. Autorisierung (AuthZ) gibt an, welche Zugänge eine authentifizierte Person hat (für welche Ressourcen sie autorisiert ist). Authentifizierung ist Personenbezogen, Autorisierung ist bezogen auf die Ressource.

Azure Active Directory

Bietet einen Identitäts- und Zugriffsverwaltungsdienst und ähnelt dem normalen Active Directory. Das Azure AD bietet Authentifizierung (SSO (Single Sign on als auch Multifaktor), Single Sign On, Applikation Management sowie Geräte Management. Es ist sogar möglich lokale Active Directory mit dem Azure AD zu verbinden.

Unter konditionalen Zugang versteht man, dass das System entscheidet, ob der User authentifiziert ist. Etwa von einem oft verwendeten Gerät oder Standort reicht ein Passwort, von unbekannten Geräten oder Standorten wird eine Multifaktor Authentifizierung benötigt. Auch der Zugang kann auf Geräte oder Apps eingeschränkt werden.

Azure Active Directory Identity Protection

Sorgt für das ändern des Passwortes – etwa wenn sich von einem neuen Standort aus angemeldet wird.

Resource Lock

Berhindert, dass Ressourcen versehentlich gelöscht oder geändert werden. Es gibt dabei zwei Möglichkeiten:

• CanNotDelete: Lesen und Verändern erlaubt, allerdings kein Löschen
• ReadOnly: Nur lesen, jedoch kein ändern oder löschen möglich

Azure Blueprints

Mit Azure Blueprints können Locks wiederhergestellt werden, auch wenn das Lock gelöscht wird. Dadurch entsteht maximale Sicherheit, wenn etwa das Lock versehentlich gelöscht wurde. Blueprints orchestrieren die Rollenzuordnung, Richtlinienzuordnung, Ressourcegruppen sowie die Azure Resource Manager Templates.

Jede Komponente eines Blueprints wird Artefakt genannt. Unter anderem kann damit auch die ISO27001 ausgerollt werden (Sicherheit von IT Systemen).

Datenschutz

• In der Datenschutzerklärung von Microsoft befinden sich Informationen bezüglich Dienste sowie wie Microsoft personenbezogene Daten verarbeitet.
• Das Trust Center ist eine großartige Ressource für Personen, die möglicherweise mit Sicherheit, Datenschutz und Compliance zu tun haben
• Die Dokumentation zur Azure Compliance enthält Richtliniendefinitionen (Referenzblaupausen) für allgemeine Standards

Organisatorisches

Tags

Neben Ressource Gruppen gibt es auch Tags um Ressourcen zu organisieren. Diese können auch mit extra Informationen und Metadaten angereichert werden. Die Tags empfehlen sich für

• Kostenmanagement
• Ressourcenmanagement
• Operationelles Management
• Sicherheit
• Governance
• Automation

Mit der Azure Policy kann eingestellt werden, dass die Ressourcen in der Ressourcegruppe die Tags automatisch vererbt bekommen. Jede Ressource kann auch mehr als einen Tag haben. Tags sind als Key – Value Pair aufgebaut, z.B. Owner und Value.

Azure Policy

Azure-Richtlinie ist ein Dienst von Azure, mit dem Sie Richtlinien erstellt, zugewiesen und verwaltet werden können. Dadurch lassen sich Ressourcen steuern oder überwachen. Azure Richtlinien werden etwa benötigt, um Sicherzustellen, dass Daten in einer bestimmten Region gespeichert werden oder Ressourcen nur in bestimmten Regionen bereitgestellt werden dürfen.

Azure Role based Access Control (RBAC)

Mit Azure RBAC können Rollen erstellt erden, die Zugriffsberechtigungen definieren. Sie können eine Rolle erstellen, die den Zugriff nur auf virtuelle Maschinen beschränkt, und eine zweite Rolle, die Administratoren den Zugriff auf alles ermöglicht.

SLA (Service Level Agreement)

Formaler Vertrag zwischen Dienstleistungsunternehmen und Kunden. SLAs sind Garantien und Leistungsstandards. Ein SLA enthält eine Einführung, allgemeine Bestimmungen sowie Details.

Kombinieren von zusammengesetzten SLAs durch Multiplikation jener. Mittels Verfügbarkeitszonen kann der SLA (Ausfallszeiten) verbessert werden.

Preview – Dienste und Funktionen

Jeder Dienst unterliegt einem Lebenszyklus: Entwicklungsphase, öffentliche Vorschauphase und Veröffentlichung.

Sonstiges

Azure CycleCloud

Azure CycleCloud ist eine Methode zum Vereinfachen von HPC-Worklouds. Damit gemeint ist das erstellen, verwalten, betreiben und optimieren von HPC und großen Computerclustern. HPC steht für High Performance Computing Lösung (Rechnerverbund).

Azure Synapse Analytics

Des Auzre Synapse Analytics ist ein unbegrenzter Analysedienst, der Datenintegration, Data Warehouse und Big Data Analysen kombiniert (Integrierbar sind Power BI und Machine Learning). Mit Auzre Synapse Analystics lassen sich Daten erfassen, erkunden, aufbereiten, verwalten sowie bereitstellen.

Azure Database Migration Service

Dieses Service sorgt für ein Beschleunigen der Migration der Daten zu Azur. Die Daten können aus Schemas und Objekte in die Cloud migriert werden.

Azure DevTest Labs

Mit DevTest Labs lassen sich Entwicklungs- und Testumgebungen schnell bereitstellen. Durch benutzerdefinierte Vorlagen können die virtuellen Computer schnell erstellt werden.

Azure IoT Hub

IoT Hub sorgt für die Kommunikation in beiden Richtungen zwischen den Anwendungen und den Geräten. Mit dem Hub kann jedes Gerät verbunden werden.

Azure Files

Azure Files sorgen für eine einfache, sichere und serverlose Dateifreigaben in der Cloud für Unternehmen. Datenfreigaben, SMB und NFS sind als Protokolle vorhanden.