AZ-305 Azure 架構師認證 - 第四天課程筆記

一台 VM，沒有公用 IP。它要存取同一個 Azure 帳號底下的 SQL Database。聽起來很簡單，但這兩個東西活在不同的世界——VM 是 IaaS，SQL Database 是 PaaS，中間隔著一層 REST API 公用端點。

AZ-305 第四天的考題，超過一半在考這類「東西都在你家裡，但就是走不通」的連通性問題。

打通 VNet 到 PaaS 的兩條路

Service Endpoints 像是在你家社區圍牆上開一扇門，讓整條街的住戶都能走捷徑到附近的便利商店。設定在 VNet 層級，一次打通整個服務類型（例如所有 Storage 帳戶），限同區域，完全免費。缺點是粒度太粗——你打開了 Storage 的門，這個區域所有 Storage 帳戶都能存取，沒辦法指定只連某一個。

Private Endpoints 則是在你家客廳裡裝一條專線電話，直接撥到特定那間便利商店的特定櫃台。它會在你的 VNet 裡面生成一張網路介面（NIC），帶有私人 IP，可以精確鎖定到某個 Storage 帳戶的 Blob 子服務。支援跨區域，但需要額外設定私人 DNS 區域，而且要付費。

什麼時候選哪個？只需要打通連線、不在乎粒度、想省錢，用 Service Endpoints。需要鎖定到特定資源、要私人 IP、安全要求高，上 Private Endpoints 加 Private Link。考試很愛出這個情境題。

NSG：免費的微分段神器

NSG 是 Azure 網路安全的地基。完全免費。

每台 VM 建立時預設會套一組 NSG，裡面有 6 條灰色的預設規則：入站允許 VNet 內部流量和 Load Balancer 探測，其餘全擋；出站允許 VNet 內部和網際網路，其餘全擋。你不能刪這 6 條，只能在它們上面疊加自訂規則。

自訂規則用五元組匹配：來源 IP、來源 Port、目的 IP、目的 Port、協定。優先順序是數字越小越優先，最小可以用 100。但講師特別提醒——不要真的用 100 當第一條規則，預留空間給未來可能需要插入的更高優先規則。

NSG 最實用的場景是微分段。想像一棟三層樓的辦公室：一樓是接待處（前端層），二樓是辦公區（應用層），三樓是保險庫（資料庫層）。NSG 可以設定成：一樓只能上二樓，二樓只能上三樓，一樓不能直接衝到三樓。同一棟大樓，每層之間有門禁卡。

Firewall、DDoS、WAF——搞清楚誰守哪個門

這三個東西考試百分之百會出，但很多人搞混它們的定位。用保全公司來想：

Azure Firewall 是大樓的內部保全主管。它守在 VNet 內部，管理所有出站流量，L3 到 L7 都管。它有微軟的威脅情報加持，會自動封鎖已知的危險 IP 和網域。三個等級：Basic、Standard（最常用）、Premium。

DDoS Protection 是大樓外面的拒馬和路障。DDoS 攻擊就是用大量垃圾流量把你的入口塞死。Basic 等級免費且自動啟用，Azure 幫你擋掉最基本的流量攻擊。Standard 等級提供進階防護，但價格非常高——除非你的服務真的是攻擊目標，否則 Basic 就夠。

WAF 是大門口的安檢員。它只檢查 HTTP/HTTPS 流量，專門防禦 SQL Injection、XSS 這類 Web 攻擊。但它不能獨立存在，必須寄生在 Application Gateway、Azure Front Door 或 API Management 上面。

一句話整理：Firewall 看門口出去的（對內），DDoS 擋衝進來的洪水（對外流量），WAF 檢查走進來的人有沒有帶違禁品（對外 Web 請求）。NSG 則是每層樓之間的門禁卡（內部微分段），而且免費。

四種負載平衡器：從餐廳帶位員到全球調度

Azure 有四種負載平衡方案，差異在 OSI 層級和服務範圍。用餐廳來想：

Azure Load Balancer 是單間餐廳的帶位員。L4 層級，看的是 IP 和 Port，在同一個區域內把客人分配到不同桌（VM）。便宜、簡單、不看菜單內容。

Application Gateway 是同一間餐廳的進階帶位員。L7 層級，會看客人要吃什麼——點牛排的去 A 區，點海鮮的去 B 區（URL 路徑分配）。可以掛 WAF 做安檢，也是區域級。

Azure Front Door 是連鎖餐廳的全球調度中心。L7 層級，全球範圍，兼具 CDN 加速功能。東京的客人去東京分店，倫敦的客人去倫敦分店，而且菜單（靜態資源）會預先擺在各分店門口。也能掛 WAF。

Traffic Manager 是電話總機。DNS 層級，全球範圍，客人打電話訂位時根據地理位置或哪間店最快接電話來分配，但它自己不端盤子——實際流量不經過它。

選擇指引：區域內 L4 分流用 Load Balancer；區域內要看 URL 分流用 Application Gateway；全球 L7 加 CDN 用 Front Door；全球 DNS 路由用 Traffic Manager。

備份：兩個保存庫別搞混

Azure 有兩種備份保存庫，支援的資源不一樣。

Recovery Services Vault 是老將，能備份 VM、VM 上的 SQL Server、Azure Files、SAP HANA，甚至透過 MARS Agent 備份你辦公室裡的 Windows 電腦。它是唯一能備份本地資源的方案。

Backup Vault 是新兵，專門負責較新的 PaaS 資源：Managed Disk、Blob、PostgreSQL、AKS。

考試愛考兩者的差異。記住一條就好：需要備份本地資源，只有 Recovery Services Vault 做得到。

Blob Storage 自帶多層保護，不一定要額外用 Backup Vault：虛刪除（刪了可以撈回來）、版本控制（自動保留歷史版本）、生命週期管理（時間到了自動移到冷存儲或刪除）。很多場景下這些內建功能就夠了。

備份 vs 災害復原：解決不同等級的問題

Azure Backup 解決的是「資料不見了」——某個檔案被誤刪、某台 VM 的磁碟壞了。RTO 以小時計，從保存庫還原。

Azure Site Recovery 解決的是「整個機房不見了」——某個 Azure 區域因為天災或重大故障完全停擺。它會持續把你的 VM 配置和磁碟資料複寫到另一個區域，災難發生時幾分鐘內就能切換過去。

這兩個不互相取代。備份是日常的安全帶，Site Recovery 是安全氣囊。你兩個都需要。

雲端遷移：7R 策略和搬家的藝術

講師用了一個 iPhone 換機類比，整間教室秒懂。

從 iPhone 10 換到 iPhone 17 Pro Max，你有七種做法：

Rehost（重新託管）就是用 iCloud 整台搬過去，App、照片、設定全部原封不動。對應到企業就是 Lift & Shift，把 VM 原封不動搬上 Azure。成本最低，最常見。

Replatform（重構平台）是搬過去的時候順便把舊 App 換成新版。對應到企業就是把 VM 上的 SQL Server 改用 Azure SQL Database——小幅調整，利用雲端原生功能。

Rearchitect（重新架構）等於換了新手機之後把整個使用習慣都改了，從打電話改成全部用 LINE。對應到企業就是改成微服務或容器化。成本高，但最貼合新平台。

Rebuild（重建）是扔掉舊手機，從零開始設定新手機。最貴，但有時候舊系統真的改不動。

Replace（取代）是直接不用某個 App 了，改用雲端服務。像是自建的 Email Server 直接換成 Microsoft 365。

Retire（淘汰）是那些舊手機裡根本沒在用的 App，趁換機直接不裝了。

Retain（保留）是有些 App 在新手機商店已經下架了，只能繼續留在舊手機上用。

大多數企業第一步都走 Rehost，因為最快最便宜。但長期來看，Replatform 和 Rearchitect 才能真正發揮雲端的價值。

資料搬家：500TB 怎麼上雲

資料傳輸方式的選擇取決於三個變數：資料量、敏感性、時間壓力。

量小且不敏感，走公用網際網路直接傳。有敏感資料，用 VPN——加密通道，成本最低。量大且需要同步，上 ExpressRoute 專線——快，但要簽約。

超大量呢？500TB 以上的資料用網路傳，可能要傳超過一年。這時候 Azure Data Box 登場——微軟寄一台加密硬碟設備到你公司，你把資料複製進去，寄回微軟機房，他們接上去匯入你的 Storage 帳戶。物理搬運，聽起來很原始，但真的是最快的方式。

第四天塞了很多東西，但所有知識點都在回答同一組問題：怎麼連（Service/Private Endpoints、負載平衡器）、怎麼守（NSG、Firewall、DDoS、WAF）、怎麼救（Backup、Site Recovery）、怎麼搬（7R、Data Box）。架構師的工作就是在這四個維度之間找到最適合業務的平衡點。