第四天。最操的一天。

網路、安全、備份、遷移四個大主題硬是塞進一天。講師講到後面速度明顯加快,投影片翻得跟小電扇似的。但這堂課的東西真香,幾乎每個主題考試都會問。

Service Endpoints vs Private Endpoints,選哪個?

VM 要連 Azure SQL Database,但不想給 VM 公用 IP。怎麼辦?就靠這兩個東西。

Service Endpoints 是 VNet 層級的設定,一次開放整個 Azure 服務(SQL、Storage、CosmosDB 之類的),約 11 種服務支援,同區域,完全免費。粗力度。

Private Endpoints 精確到你要連哪個 SQL Server 的哪個資料庫,給它配一個私人 IP 位址(NIC),支援跨區域。代價是要設定 DNS,而且要付費。但如果你在乎安全細節,絕對值得。

考試必考這題。記住:Service Endpoints 是省錢大招,Private Endpoints 是精準狙擊。

NSG:永遠別用 100 開頭

Network Security Group(NSG)免費!這是 Azure 微分段的基本功。預設有 6 條灰色規則——入站 3 條(來自 VNet、Azure Load Balancer、都是 Allow),出站 3 條(到 VNet、網際網路、都是 Allow)。

核心邏輯:五元組匹配(來源 IP/Port/目的 IP/Port/協定),優先順序從小到大檢查。不要用 100 作第一條規則,這題我刻在腦裡。

用 NSG 做微分段,前端子網路只允許 HTTP/HTTPS,應用層只允許特定 Port,資料庫層鎖死。層層防守。

網路安全三劍客

Azure Firewall:對內,保護 VNet 內部通訊。L3 到 L7 都管,有威脅情報,Basic/Standard/Premium 三個等級。

DDoS Protection:Basic 等級免費自動啟用(網路層防護),Standard 超貴(貴得離譜),除非真的要 L7 應用層防護,不然 Basic 夠用。

WAF(Web Application Firewall):對外,保護 Web 應用。L7 層處理,但這傢伙沒有獨立存在,必須依附在 Application Gateway、Front Door 或 APIM 上。

三個東西各有戰場,亂用會踩坑。

四種負載平衡器

Azure Load Balancer:Layer 4,處理 IP 加 Port 的流量分配,區域級服務。

Application Gateway:Layer 7,可以根據 URL 路徑分配流量,還能掛 WAF,也是區域級。

Azure Front Door:Layer 7,全球級反向代理加 CDN,也支援 WAF。優先級比 Application Gateway 更高。

Traffic Manager:DNS 層級,全球級,根據地理位置或效能分配,不實際處理流量。

要選誰?看你是省錢(LB)、要 URL 路徑分配(App Gateway)、還是要全球分散(Front Door)。真香。

備份的兩把鑰匙

Azure 有兩種保存庫,別搞混:

Recovery Services Vault:VM、SQL Server、檔案共用、本地 MARS Agent。這傢伙最靈活,甚至能備份你的本地機器。

Backup Vault:Managed Disk、Blob、PostgreSQL、AKS。較新的方案。

關鍵差異:Recovery 能備份本地資源,Backup 主要用雲端服務。

VM 備份有四種方式——快照(最快,只保留增量)、還原點、Azure Backup(走保存庫)、Site Recovery(複寫到另一區)。Blob 自帶虛刪除、版本控制、生命週期政策,防守最強。

Azure Site Recovery vs 備份,別搞反

備份:「資料不見了怎麼辦」,RTO 以小時計。

Site Recovery:「整個區域炸了怎麼辦」,RTO 數分鐘。

ASR 持續複寫 VM,區域故障時秒速切換(或測試切換)。災難等級的對策。備份是日常保險。

雲端遷移:7R 策略

企業遷上雲講究方法。Azure Migrate 是統一平台,Cloud Adoption Framework 提出六個階段。

7R 策略

  • Rehost(Lift & Shift):最常見,直接搬 VM。
  • Replatform:改一些設定,運用雲端服務。
  • Rearchitect:大改架構,用無伺服器。
  • Rebuild:推倒重來,貴死人。
  • Replace:用 SaaS 替代。
  • Retire:關掉不用的。
  • Retain:留在地端。

講師用 iPhone 遷移類比:有的人只換手機殼(Rehost),有的人換新 iPhone 適應新系統(Rearchitect)。大部分企業走 Rehost,省錢最快。

資料傳輸:速度 vs 安全

量小用公用網際網路,直接傳。但有敏感資料?別這樣。

VPN:最便宜,加密通道,但頻寬受限。

ExpressRoute:專線,快,但要簽約,企業級方案。

Azure Data Box:超大量資料(500TB+)物理郵寄,真香。

選對方法能省不少力氣。

第四天最大收穫?微分段、備份復原、雲端遷移方法學,這些一個都不能馬虎。明天實驗測試,開始衝刺認證。