Zenn
🅰️

AZ-104:Azure Administrator Associate 試験 チートシート

2024/06/29に公開
Azure
勉強
資格試験
az104
idea

自分用。合格するまでは誠意更新予定

2024/7/6最終更新
合格しました。

https://zenn.dev/michinoku/articles/98a17ac7197850

ストレージを実装して管理する(15~20%)

  • SAS(共有アクセス署名):AzureStorageに制限付きアクセス権を付与するURL。AWSで例えるとS3の署名付きURL。
  • アドホックSAS:開始時刻、有効期限を設定したアクセス許可
  • 読み取りアクセスgeo冗長ストレージ(RA-GRS):地理的に離れた複数のノードにデータを保存しプライマリリージョンがダウンしたときもデータにアクセス可能
  • geo冗長ストレージ(GRS):データをセカンダリリージョンにレプリケートする。セカンダリリージョンで読み取りをするにはフェールオーバーが必要
  • BLOBコンテナにディレクトリをコピー:azcopy copyコマンド。SASとAzureADを使用。
  • RecoveryServiceコンテナ―間のバックアップ:データ移動はできない。リソースを移動させて改めてバックアップを取得する必要がある。
  • コンテナーインスタンスの外部ボリューム:AzureFiles(→Blobはダメ)
  • Azure File Sync:WindowsファイルサーバーとAzureFilesに一元化。リソースグループにストレージ同期サービスを設定、Windowsサーバーを同期サービスに登録、サーバーにSyncエージェントをインストール。
  • エンドポイント同士の同期:同じグループ内のエンドポイント(サーバーエンドポイント、クラウドエンドポイント)は相互に同期が維持される。
  • ファイルサーバーの登録:AzureFileSyncエージェント設定→オンプレミスファイルサーバーを登録→同期グループとクラウドエンドポインの作成→サーバーエンドポイントを追加
  • 暗号化スコープを用いたストレージ暗号化:BLOBとコンテナ―が対応
  • ストレージアカウントのライフサイクル管理:BLOBストレージが対応。汎用v2はブロックBLOBと追加BLOBを構成している場合使用可能
  • アーカイブアクセス層の利用:ブロックBLOBストレージが対応。BLOBストレージではZRS、GZRS、RA-GZRSでのアーカイブがサポートされていない。

仮想ネットワークの実装および管理する(15~20%)

  • 仮想ネットワークリンクの自動登録:プライベートDNSゾーンは作成後、仮想ネットワークをリンクさせる必要がある。仮想ネットワークリンクの自動登録がオンになっているとこのリンクが自動で行われる。自動登録の設定は後から変更可能。
  • DR構成:異なるリージョンにスタンバイ構成を作成してAzureDNSとTrafficManagerを利用した構成を設定する。
  • カスタムドメインの登録:カスタムドメイン名追加→AzureDNSゾーン作成→ドメイン確認
  • 仮想WANを使って複数のオンプレ-Azureを接続:仮想WANの作成→仮想ハブの基本構成→サイト間VPN GWの構成→サイトの作成→サイトをハブに接続
  • 仮想ネットワークのドメイン自動登録が有効の場合、起動したVMはドメインのDNSゾーンに自動登録される。
  • オンプレからのVPN接続:ユーザー認証を設定する必要がある。Azure証明書認証かEntra認証。
  • VPN設定後の接続方法:ネットワークの設定→VPN→設定した仮想ネットワークを選択
  • ポイント対サイト接続:ルートベースの仮想ネットワークにのみ対応
  • ピアリング接続とアドレス範囲追加:ピアリング削除→アドレス範囲追加→ピアリング再設定
  • DNSゾーンへのレコード登録:パブリックDNSゾーンには自動登録機能がない。
  • VPNネットワークが変更されたとき:トポロジの変更をクライアントに適用するためにVPNクライアントパッケージを再インストールする
  • NSGのサービスタグ:NSGの宛先にサービスタグを利用し特定のサービスにのみ接続させられる
  • ルートベースのサイト間VPN接続:IKEv2プロトコルの使用
  • Basic Load Balancer:単一の仮想マシンスケールセット、同じ可用性セットでトラフィックを分散
  • Standard Load Balancer:単一の仮想マシンスケールセットか同じ仮想ネットワークでトラフィック分散
  • BasicLBは必ずセットを作成しStandardは同じ仮想ネットワークでもOK
  • Azure Bastion:利用する場合サブネットの名前はAzureBastionSubnetで固定。サブネットの最小サイズは/26
  • Azureファイアウォール:同じリソースグループ、同じリージョンの仮想ネットワークに対して適用できる。
  • ロードバランサーの作成:仮想ネットワークとサブネットの作成→バックエンドグループの作成
  • NIFの作成:ネットワークインターフェースはアタッチ先の仮想ネットワークと同じリージョンに作成する。
  • 仮想ハブと仮想WAN:ハブアンドスポーク構成。仮想ハブはデータセンターごとに作成。仮想WANは複数の仮想ハブに対して1つ
  • ASG:ネットワークインターフェースを介してVMに関連付ける
  • 仮想ネットワークと自動登録:仮想ネットワーク(V-NET等で表記)の自動登録がオンになっている場合その仮想ネットワークを別のプライベートDNSゾーンにリンクさせる仮想リンクは作成できない(1つつの登録仮想ネットワークには1つまでしか登録ゾーンを登録できない)。

AzureIDとガバナンスを管理する(20~25%)

  • イニシアチブ:ポリシーセットのこと。作成と定義は所有者かリソースポリシー共同作成者。
  • ライセンス継承:グループに所属するユーザーにはグループに割り当てられたライセンスが継承される。グループに別のグループを所属させた場合にはライセンスは継承されない。
  • 多要素認証の設定は条件付きアクセスポリシーの中
  • Entra[ユーザー一括招待]:招待するメールアドレス&リダイレクトURL
  • Entra[外部ユーザーの招待]:一人ずつ頑張ってメールアドレスを登録する。
  • Entra[PowerShellによる一括追加]:ユーザー名&メールアドレスのCSVを準備してNew-AzureADMSInvitationコマンド
  • ユーザーへのロール割り当て:所有者かユーザーアクセス管理者。[ディレクトリロール]ブレード→[ロールの追加]→[ディレクトリロール]リストから割り当てるロールを選択
  • グローバルポリシーとAzureロールの割り当て:ルート管理グループのユーザーアクセス管理者ロール
  • MicrosoftEntraPrivilegedIdentityManagement(PIM):Entra組織においてロール割り当てなどのイベント通知を受け取ることができる。MicrosoftEntraPremiumP2が必要。
  • Entra登録デバイスの所有者:デバイスのローカル管理者、Entraのグローバル管理者、デバイスをADに参加させたユーザー
  • ロックの適用:ユーザーアクセス管理者、所有者
  • パブリックIPアドレス:現在はリージョンを跨いで移動可能
  • リソースグループ:AppServiceのリソースグループを移動するとポリシーは移動先のものが適用され、サービスプランはそのまま(リージョンが変わっていないため)
  • メンバーシップが[動的デバイス]のグループには手動でデバイスを追加できない。
  • ロードバランサ―のバックエンドグループ:作成できる最小権限はネットワーク協同作成者ロール
  • アクセス制御(RBAC)ロール:仮想マシンの作成とNIFの作成管理ができるのは仮想マシン共同作成者(最小)。仮想マシンが接続されている可能ネットワークへの管理アクセスはできない。
  • ポリシーの適用範囲:サブスクリプションまたは管理グループ。それ以下のリソースをスコープとして指定可能。

Azureリソースの監視と管理(10~15%)

  • AzureNetworkwatcherの機能
    1.トポロジ:ネットワークリソースの接続関係を図におこす。
    2.IPフローの確認:IP、ポート、プロトコルを指定してパケットが許可されるかを確認できる。
    3.ネクストホップ:指定した接続先に通信する際に次の接続先がどこになるのかを確認できる。
    4.セキュリティグループビュー:VMに適用されているSGを一覧表示(サブネット適用なのかNIC適用なのかも見れる)
    5.パケットキャプチャ:IP、ポート、プロトコルでフィルタリングする。キャプチャデータはBlobに出力。
    6.NSGフローログ:NSGのセキュリティ規則で許可・拒否されるトラフィックのログを取得する。BlobにJSON形式で出力。
  • アクショングループによる通知が可能なサービス:ServiceHealth、AzureAdvisor、AzureMonitor
  • アラート処理ルール:[通知を表示しない]→メールを通知しなくなる(アラートは表示される)
  • サーバーのログ記録:AppServiceメニューから[AppServiceログ]を選択
  • AzureNetworkwatcherのトラフィック分析機能:NSGフローログを分析→クラウド内のトラフィックフローを確認。所有者、共同作成者、閲覧者、ネットワーク共同作成者が有効化可能。
  • バックアップポリシー:トラステッド起動VM→拡張ポリシー。暗号化されたVM→拡張ポリシー
  • 通常バックアップポリシーでバックアップできないもの:トラステッド起動VM、UltraSSD、PremiumSSDv2、共有ディスク、ConfidentialAzureVM
  • バックアップからの復元:[既存の復元構成を置き換える]オプションが一番ダウンタイムが少ない
  • jobtitle属性変更:オンプレ同期オン→WindowsServerADから変更、オンプレ同期オフ→MicrosoftEntraから変更
  • Usagelocationの変更:MicrosoftEntraから変更
  • バックアップ:特定のファイルやフォルダをバックアップから除外するには_backup.filterファイルを作成して指定する。このファイルは\site\wwwrootフォルダ内に作成する。
  • ポリシーの適用範囲:ポリシーは同じリージョン内で適用できる
  • ポリシーの最上位適用範囲:テナントグループ。その下の管理グループから適用除外を設定できる。
  • タグの継承:リソースグループやサブスクリプションに適応されたタグはそれらに属しているリソースには継承されない
  • オンプレミス環境のアラート設定:ITSMCをデプロイ
  • アラート通知の制限:SMSは5分間に1回までの制限あり。音声通知は5分間に1回まで。
  • アラートルール:シグナルの種類やシグナルリソースに応じて作成(ストレージアカウントの作成、ストレージアカウントの削除、Blob範囲の復元)+メール通知などを行うアクショングループの設定
  • Application Insights:アプリケーションの監視を行う(依存関係、メトリック、要求)。自動インストルメンテーションを使用するとコードを変更せずに実装可能。

Azureのコンピューティングリソースのデプロイと管理(20~25%)

  • RG間のリソース移動:リージョンを跨いだ移動が可能。移動先のロックに依存(読み取り専用には移動不可)
  • AzureBackup:RecoveryServiceコンテナ―は同じリージョンのリソースをバックアップできる。
  • バックアップポリシー:タイミングが重複した場合はバックアップの保有期間が長いポリシーが適用される。
  • 動的→静的IPアドレス:ネットワークインターフェースの設定から変更
  • Marketplaceの契約条件に同意するにはAzure PowerShellからSet-AzMarketplacetermsコマンドを実行
  • AzureServiceBusのFIFO:セッションを有効にする
  • ロック可能範囲:サブスクリプション~リソースグループ~リソース
  • タグ付け可能範囲:サブスクリプション~リソースグループ~リソース(=サブスクリプション以下)
  • AppServiceのスロット交換:一般設定(ビット、Webソケットなど)→スワップされる。ドメイン名、エンドポイント、パブリックでない証明書など→スワップされない。
  • リソースグループとリージョン:リソースグループのリージョンに関わらず様々なリージョンにリソースをデプロイできる。
  • ASGの関連付け:仮想マシンに関連付ける場合はASGを仮想マシンのネットワークインターフェース(NIC)に関連付ける
  • オンプレHyper-VマシンをAzureにレプリケート:RecoveryServiceコンテナ―を準備、レプリケーションポリシーの設定、ソース環境を設定(Hyper-Vサイトの作成)
  • サブスクリプション内のリソース移動:すべてのリソースを別のサブスクリプションに移動可能
  • テンプレートデプロイ:リソースグループをデプロイする場合はNew-AzResourceGroupDeploymentコマンドを実行
  • 可用性セット:セット内のVMサイズを変更する場合は可用性セット内のすべてのVMを停止する必要がある
  • 近接配置グループ:Azureコンピューティングリソースが物理的に近くに配置されるように指定する論理的なグループ。近接配置グループは可用性セットと同じリージョンである必要がある。
  • 起動したVMを別の仮想ネットワークに移動(接続)する場合は一度停止させる必要がある
  • カスタムスクリプト拡張機能:構成スクリプトを仮想マシンにアップロードできる。CLI、PowerShell、AzurePortal、ResourceManager(xetensionProfileセクション)を使用可能。
  • AppServiceの一番早いバージョン更新方法はスロットの交換
  • AzureAutomationStateConfiguration:Azure、オンプレのDSC構成を記述、管理、コンパイルする構成管理サービス。DSC構成を作成→構成をアップロード→DSC構成をノード構成(MOFドキュメント)にコンパイル→VMにノード構成を適用→ノードのコンプライアンス状態を確認
  • cloud-init.txt:仮想マシン初回起動時の動作をカスタマイズ。az vm create --custom-dataコマンドで使用される。
  • LinuxかWindowsでしか動作したいプログラム:Windowsのみ→ASP.NET。Linuxのみ→Python、Ruby。*AzureAppの話
  • リソースロック:サブスクリプションやリソースを削除されないようにする設定。
  • NSGのポリシー:カスタムポリシー定義→使える。組み込みポリシー定義:使えない。
  • テンプレートのデプロイ:デプロイ時に展開するリソースグループを指定する。
  • 別クラウドからの移行:AzureMigrataのプロジェクトを作成→別クラウドの仮想サーバーにレプリケーションアプライアンスを設定→MobilityServiceエージェントのインストール→レプリケーションを有効化→レプリケーションの
  • 可用性セットの障害ドメイン:スケールセットは5つの障害ドメインと5つの更新ドメインを使用する暗黙的な可用性セットとしてきのうします。
  • DSC拡張機能:各リソースの状態をダッシュボードで確認できる
  • Site Recoveryによる移行条件:世代によって上限容量あり(2、4TB)、Bitlockerなし、第二世代はWindowsのみ
  • カスタムスクリプト拡張機能:構成スクリプトを起動中の仮想マシンにアップロード可能。展開後の構成やソフトのインストールに利用できる。Azure Resource Managerテンプレートと統合されておりテンプレートのextensionProfileセクションでソフトウェア構成を指定できる。

Discussion