「VPN Gateway vs ExpressRoute,百分之百會考。」

講師在講到網路設計那段的時候直接講明了。AZ-305 第三天涵蓋三大主題:身分驗證(Entra ID)、監視(Azure Monitor)、網路設計。其中網路是整個考試裡最難的部分,特別是本地與雲端的混合連接場景。

零信任模型 - 假設你已經被入侵

第三天一開始就講 Zero Trust。核心原則就一句:Assume Breach——假設已經被入侵,所有存取請求都需要驗證,不管是從內網還是外網來的。

零信任透過 Microsoft Entra ID(前身是 Azure Active Directory)來實現,涵蓋存取控制、身分治理、身分保護、外部系統整合。

Entra ID 三種部署情境

雲端優先:帳號主要在 Entra ID,適合新創和雲原生企業。混合式:本地 AD 透過 Entra Connect 同步到雲端,適合傳統企業。外部標識(B2C):使用者自行註冊,面向消費者的應用在用。

Entra Connect 的同步不是單純的帳密複製,有嚴格的規則和路徑。同步前要在雲端先配好接收端。

四大考點

條件式存取(Conditional Access):根據來源 IP、國家、裝置狀態、應用程式風險等級來限制存取。注意應用程式必須先註冊到 Entra ID 才能套用。

身分保護(Identity Protection):偵測風險登入和風險使用者,可設定自動回應策略。

存取權檢閱(Access Reviews):定期審查使用者是否還需要現有權限。透過郵件通知評審者,每三個月循環一次那種。

多因素驗證(MFA):基本功,不多說。

Azure Monitor - 監視體系

核心架構

資料來源 → Azure Monitor → 分成指標(Metrics)和日誌(Logs)兩條路線。指標走 Insights,日誌走 Log Analytics Workspace,最後都匯到警報(Alerts)。

資料來源有四種

平台日誌是 Azure 資源自動產生的,被動推送。應用日誌像是 VM 裡面的 Web Server,要裝 Agent 才有。網路日誌記錄流量。活動日誌(Activity Log)記錄 API 存取——誰、什麼時候、做了什麼。

Log Analytics Workspace

幾個考試會考的特性:按 GB 攝取量計費、按區域劃分且不可跨區域、可以設 Daily Cap 控制成本。合規性需求(像是資料駐留)或混合模式可以建多個 workspace。

警報配置

流程是:選指標(例如 CPU > 90%)→ 設定條件(靜態或動態閾值,至少觸發 2 次)→ 操作組(Action Group)。操作組可以發 Email / SMS,也可以觸發 Webhook / Logic App / Azure Function。

評估間隔不要設太短,不然誤報一堆。操作組不用跟監控資源放同一個區域。

網路設計 - 考試最難的部分

Hub-Spoke 架構

這是考試常見的網路拓撲。所有連線先到中心網路(Hub),Hub 裡面放 VPN Gateway、Firewall、路由,然後再轉發到各個業務 VNet(Spoke)。

好處是流量篩選和安全控制集中管理,比在每個業務 VNet 上都建 VPN Gateway 安全得多。

VPN Gateway

VPN Gateway 自帶 2 個公共 IP 做負載均衡和容錯,一個 Gateway 可以同時接多個本地網路連線。

兩種連線類型:Point-to-Site(P2S) 是個人裝置連到 Azure VNet,要裝 VPN Client。Site-to-Site(S2S) 是本地網路整個接到 Azure,需要本地端有 VPN 設備。

考試重點:SKU 有流量限制(GW1 到 GW5)、僅支援 IPSec(不支援 PPTP、L2TP 那些舊協議)、VPN Gateway 跟業務可以不在同一個 VNet。

ExpressRoute - 考試百分百出題

ExpressRoute 是專線,企業不是直連微軟機房,而是連到運營商的邊緣站點(Peering Location),然後再到微軟的邊緣路由。

VPN vs ExpressRoute 對比

這張表考試必背:

VPN Gateway 成本低、速度受限於網際網路、有 IPSec 加密、走公網、連單一 VNet。

ExpressRoute 成本高、專線高速(最高 100 Gbps)、不加密、走專用線路、連全球 Azure 區域、不需要綁 VNet。

重點來了:ExpressRoute 不加密。聽起來不安全,但因為走專用線路,實體安全性高。不過還是有風險。

ExpressRoute + VPN 混合架構

這也是常考題。正常時走 ExpressRoute 專線,專線斷掉自動切到 VPN Gateway。兩者不是並行,而是主備關係。VPN 可以設成「斷線才連」來省費用。

為什麼專線也要配 VPN?兩個原因:VPN 提供加密(ExpressRoute 沒有)、VPN 提供斷線容錯(走網際網路繼續運作)。

考試重點整理

第三天三大塊每一塊都是重點:

身分驗證:Entra ID + 條件式存取 + MFA + 存取權檢閱。監視:Log Analytics Workspace 按區域、按 GB 計費;警報配置流程。網路:VPN vs ExpressRoute 對比百分之百會考;Hub-Spoke 拓撲;混合架構的主備關係。

講師最後說了一句蠻有感的話:安全是數字 1,業務是後面的零。1 倒了,後面再多零都沒意義。

本文整理自 AZ-305 Azure 解決方案架構師認證課程第三天內容。前兩天筆記請見: