AZ-104_CertWeek

Prévia do material em texto

AZURE CLOUD 
COMPUTING
AZURE CLOUD 
COMPUTING
Azure 
Administrator
Azure Active 
Directory
AZURE CLOUD 
COMPUTINGAzure Active Directory
• Um conjunto baseado em nuvem de 
recursos de gerenciamento de 
identidade que permite gerenciar com 
segurança o acesso aos serviços e 
recursos do Azure para seus usuários
• Fornece gerenciamento de aplicativos, 
autenticação, gerenciamento de 
dispositivos e identidade híbrida
AZURE CLOUD 
COMPUTINGAD DS vs Azure Active Directory
O Azure AD é principalmente uma solução de identidade projetada para 
comunicações HTTP e HTTPS
Consultando e usando a API REST sobre HTTP e HTTPS em vez de LDAP
Usa os protocolos HTTP e HTTPS, como SAML, WS-Federation e OpenID
Connect para autenticação (e OAuth para autorização) em vez de Kerberos
Inclui serviços de federação e muitos serviços de terceiros (como o 
Facebook)
Os usuários e grupos do Azure AD são criados em uma estrutura plana e não 
existem Unidades Organizacionais (UOs) nem Objetos de Diretiva de Grupo 
(GPOs)
AZURE CLOUD 
COMPUTINGSelf-Service Password Reset
• Determinar quem pode usar a redefinição 
de senha de autoatendimento
• Escolha o número de métodos de 
autenticação necessários e os métodos 
disponíveis (email, telefone, perguntas)
• Você pode exigir que os usuários se 
registrem no SSPR (mesmo processo do 
MFA)
1
2
3
AZURE CLOUD 
COMPUTINGCreate User Accounts
Todos os usuários devem
ter uma conta
A conta é usada para 
autenticação e 
autorização
Cada conta de usuário 
tem propriedades 
adicionais
AZURE CLOUD 
COMPUTINGGroup Accounts
Tipos de grupos
• Security groups
• Office 365 groups
Tipos de associação
• Assigned
• Dynamic User
• Dynamic Device (Security groups only)
AZURE CLOUD 
COMPUTINGAdministrative Units
• As unidades administrativas restringem as 
permissões em uma função a qualquer 
parte de sua organização que você definir. 
• Você poderia, por exemplo, usar unidades 
administrativas para delegar o papel de 
Administrador do Helpdesk a especialistas 
de suporte regional, para que eles possam 
gerenciar os usuários apenas na região 
que eles suportam.
Subscriptions 
and Accounts
AZURE CLOUD 
COMPUTINGAzure Subscriptions
• Unidade lógica de serviços do Azure
vinculada a uma conta do Azure
• Limite de segurança e cobrança
• Inclui contas - identidades no Azure
Active Directory (Azure AD) ou em um
diretório confiável do Azure AD
AZURE CLOUD 
COMPUTINGSubscription Usage
Subscription Usage
Free Inclui um crédito de US $ 200 nos primeiros 30 dias, acesso limitado 
gratuito por 12 meses
Pay-As-You-Go Cobra você mensalmente
Enterprise Um contrato, com descontos para novas licenças e Software Assurance -
direcionados a organizações de escala corporativa.
Student Inclui US $ 100 por 12 meses - deve verificar o acesso do aluno
AZURE CLOUD 
COMPUTINGCost Savings
• Azure Reservations – ajuda economizar
dinheiro pagando antecipadamente pelos
serviços
• Benefícios Híbridos do Azure - use licenças
locais do Windows Server e SQL Server com
Software Assurance
• Créditos do Azure - benefício mensal de
crédito que permite experimentar,
desenvolver e testar novas soluções no Azure
• Regiões - escolha locais e regiões de baixo
custo
AZURE CLOUD 
COMPUTINGManagement Groups
• Fornece um nível de escopo acima de
subscriptions
• Direcionamento de políticas e budgets entre
assinaturas e heranças nas hierarquias
• Conformidade e relatório de custos por
organização (negócios/equipes)
Azure Policy
AZURE CLOUD 
COMPUTINGInfraestrutura como serviço (IaaS)
O Azure Policy é um serviço no Azure que
você usa para criar, atribuir e gerenciar
políticas
O Azure Policy executa avaliações e
verificações de recursos não compatíveis
• Vantagens:
• Aplicação e conformidade
• Aplicar políticas em escala
• Remediação
Role-Based Access 
Control
AZURE CLOUD 
COMPUTINGRole-Based Access Control
AZURE CLOUD 
COMPUTINGRole Definition
A coleção de permissões que lista as operações que podem ser executadas
Built-in
Owner
Contributor
Reader
…
Backup Operator
Security Reader
User Access Administrator
Virtual Machine Contributor
Custom
Reader Support Tickets
Virtual Machine Operator
"Actions": [
"*"
],
"NotActions" : [
"Authorization/*/Delete",
"Authorization/*/Write",
"Authorization/elevateAccess/Action"
],
"DataActions" : [],
"NotDataActions": [],
"AssignableScopes" : [
"/"
]
AZURE CLOUD 
COMPUTINGAzure RBAC Roles vs. Azure AD Roles
O Azure e o Azure AD oferecem dois tipos de funções RBAC
AZURE CLOUD 
COMPUTINGRBAC Authentication
Azure AD
Admin roles
Global admin
Application admin
Application developer
Billing admin
…
Azure Active
Directory tenant
Root
Global admin/User 
access admin (elevated 
access)
Azure RBAC
roles
Owner
Contributor
Reader
User access admin
…
Root management group
Management
group
Subscription
Azure account
Azure RBAC
roles
Owner
Contributor
Reader
User access admin
…
Resource group
Resource
Storage Accounts
AZURE CLOUD 
COMPUTING
Azure Storage Services 
• Azure Containers: Armazenamento de 
objetos massivamente escalável para texto e 
dados binários
• Azure Tables: Ideal para armazenar dados 
estruturados e não relacionais
• Azure Queues: Armazenamento de 
mensagens confiáveis entre componentes do 
aplicativo
• Azure Files: File shares para cloud ou on-
premises deployments
Replication strategies
LRS
• Três réplicas, uma região
• Protege contra falhas de 
disco, nó, rack
• Write is acknowledged 
when
ZRS
• Três réplicas, três zonas, 
uma região
• Protege contra falhas de 
disco, nó, rack e zona
• Gravações síncrona para 
as três zonas
•
GRS
• Seis réplicas, duas regiões 
(três por região)
• Protege contra grandes 
desastres regionais
• Cópia assíncrona para região
secundária
RA-GRS
• GRS + read access para 
secundário
• Separa o secundário endpoint
Replication strategies
GZRS
• Seis réplicas, duas regiões
• Protege contra falhas de disco, nó, rack, zona e 
região
• Gravações síncronas para todas as três zonas e 
cópia assíncrona para secundária
RA-GZRS
• GZRS + read access to secondary
• Secundário endpoint separado
Securing Storage Account Endpoints
Firewalls e Virtual Networks 
restringem o acesso ao Storage 
Account de específicas Subnets em 
Virtual Networks ou public IP’s
Subnets e Virtual Networks precisam 
existir na mesma Region ou Region
Pair como o Storage Account
Blob Storage
Binary Large Object (Blob) Storage
Armazena dados não estruturados na nuvem 
Pode armazenar qualquer tipo de texto ou 
dados binários
Usos comuns:
• Servindo imagens ou documentos 
diretamente para um navegador
• Streaming video e audio
• Armazenar dados para backup, restore, 
disaster recovery e archiving
Blob Containers
Todos os blobs precisam estar em um container
Contas têm contêineres ilimitados
Os contêineres podem ter blobs ilimitadas
• Private blobs – nenhum acesso anônimo 
• Blob access – público anônimo ler acesso para
blobs apenas 
• Container access – público anônimo ler e listar 
acesso a todo o contêiner, incluindo o blobs
Blob Access Tiers
Hot tier – Otimizado para acesso frequente de 
objetos no storage account
Cool tier – Otimizado para armazenar grandes 
quantidades de dados que são acessados e 
armazenados com frequência por pelo menos 30 
dias
Archive – Otimizado para dados que podem tolerar 
várias horas de latência de recuperação e 
permanecerão no nível de arquivo por pelo menos 
180 dias
Você pode alternar entre essas camadas de acesso a qualquer momento✓
Storage Security
Shared Access Signatures
• Fornece acesso delegado aos recursos
• Concede acesso a clientes sem compartilhar sua 
storage account keys
• A conta SAS delega acesso
aos recursos em um ou mais dos serviços de 
armazenamento
• O serviço SAS delega acesso
a um recurso em apenas um dos storage services
URI and SAS Parameters
• Um SAS URI aponta para um ou mais recursos de armazenamento 
• Consiste em um recurso de armazenamento URI e o token SAShttps://myaccount.blob.core.windows.net/?sp=r&st=2020-05-
11T18:31:43Z&se=2020-05-12T02:31:43Z&spr=https&sv=2019-10-
10&sr=b&sig=jOqABJZHfUVeBQ3yVn7kWiCKlO0sxCiK1rzEchfAz8U%3D
Inclui parâmetros para URI de recursos, storage services version, services,
resource types, tempo de início, tempo de validade, recurso, permissões, alcance IP, 
protocolo, assinatura
Azure Files 
Managing File Shares
• Garantir que a porta 445 esteja aberta
• Linux – mount the drive
• MacOS – mount the drive
• Secure transfer required – SMB 3.0 encryption
Virtual Networks
Azure Networking Components
• A adoção de soluções em nuvem pode 
economizar tempo e simplificar as operações
• O Azure requer os mesmos tipos de 
funcionalidade de rede que a infraestrutura 
local
• A rede do Azure oferece uma ampla variedade 
de serviços e produtos
Subnets
Uma rede virtual pode ser 
segmentada em uma ou 
mais sub-redes
As sub-redes fornecem 
divisões lógicas na sua rede
As sub-redes podem ajudar 
a melhorar a segurança, 
aumentar o desempenho e 
facilitar o gerenciamento da 
rede
Cada sub-rede deve ter 
um intervalo de 
endereços exclusivo -
não pode se sobrepor a 
outras sub-redes na 
rede virtual na 
assinatura
Network Security Groups
Limitar o tráfego de rede 
aos recursos em uma 
rede virtual
Pode ser associado várias 
vezes
Pode ser associado a uma 
sub-rede ou interface de 
rede
Contém uma lista de 
regras de segurança que 
permitem ou negam 
tráfego de rede de 
entrada ou saída
NSG Rules
As regras de segurança nos NSGs permitem 
filtrar o tráfego de rede que pode fluir 
dentro e fora das sub-redes e interfaces de 
rede virtuais.
Existem regras de segurança padrão. Você 
não pode excluir as regras padrão, mas pode 
adicionar outras regras com uma prioridade 
mais alta.
NSG Effective Rules
• Os NSGs são avaliados independentemente 
para a sub-rede e NIC
• Uma regra de "permissão" deve existir nos 
dois níveis para que o tráfego seja admitido
• Use o Effective Rules se não tiver certeza de 
quais regras de segurança estão sendo 
aplicadas
VNet Peering
• O Vnet peering conecta duas redes 
virtuais do Azure
• Dois tipos de peering: Regional e Global
• Redes peering usam o backbone do 
Azure para privacidade e isolamento
• Fácil de configurar, transferência 
contínua de dados e ótimo desempenho
Azure Firewall
Azure Firewall
• Firewall stateful como um serviço
• Alta disponibilidade integrada com 
escalabilidade irrestrita na nuvem
• Criar, impor e registrar políticas de 
conectividade de aplicativos e rede
• Filtragem baseada em inteligência de ameaças
• Totalmente integrado ao Azure Monitor para 
log e análise
• Suporte para conectividade híbrida por meio da 
implantação atrás de VPN e ExpressRoute
Gateways
Implementing Firewalls
Uma topologia de Hub-Spoke é 
recomendada
Cada ambiente é configurado 
como um spoke mantendo 
isolamento
Serviços compartilhados devem 
ser hospedados na Vnet de hub 
VPN Gateway
Determine VPN Gateway Uses
VPN GW Site-to-site 
conecta datacenters on-
premises com 
VNETs do Azure
VPN GW VNet-to-VNet 
conecta VNETs do Azure 
(custom) 
VPN GWPoint-to-site (User 
VPN) conecta dispositivos
individuais as VNETs do 
Azure
Create Site-to-Site VPN Connections
Tenha tempo para planejar 
cuidadosamente sua 
configuração de rede
A parte on-premises é 
necessária apenas se você 
estiver configurando site-
to-site
Sempre verifique e
teste suas conexões
Azure Load Balancer
Load Balancer
Distribui tráfego de 
entrada
para backend pool usando 
load-balancing rules e 
health probes
Pode ser usado para
ambos os cenários de 
entrada/saída
Dois tipos: Público e 
Interno
Determine Load Balancer SKUs
Azure Application 
Gateway
Application Gateway
Gerencia as 
solicitações de aplicativos 
web
Encaminha o tráfego para um 
pool de servidores web com 
base na URL de uma 
solicitação 
Os servidores web podem ser 
máquinas virtuais do Azure, Azure 
virtual machine scale sets, Azure App 
Service, e mesmo
on-premises servers
Application Gateway Routing
Path-based routing Multiple-site routing
Azure App Service Plans 
e App Services
App Service Plan Pricing Tiers
Selected 
Features
Free
Shared 
(dev/test)
Basic 
(dedicated 
dev/test)
Standard 
(production 
workloads)
Premium 
(enhanced scale
and performance)
Isolated 
(high-performance, 
security and isolation)
Web, mobile, or 
API apps
10 100 Unlimited Unlimited Unlimited Unlimited 
Disk space 1 GB 1 GB 10 GB 50 GB 250 GB 1 TB 
Auto Scale – – – Supported Supported Supported
Deployment Slots 0 0 0 5 20 20
Max Instances – – Up to 3 Up to 10 Up to 30 Up to 100
Shared compute (Free and Shared). 
Execute aplicativos no mesmo Azure 
VM que outros aplicativos do App 
Service, e os recursos não podem ser 
dimensionados
Dedicated compute
(Basic, Standard, Premium). 
Execute aplicativos no mesmo 
plano em VMs Azure 
dedicados
Isolated. Executa aplicativos em
VMs Azure dedicadas em Azure 
virtual networks dedicados
Azure App Service
• Inclui Web Apps, API Apps, Mobile Apps, and Function Apps
• Ambiente totalmente gerenciado, permitindo o desenvolvimento de alta 
produtividade
• Platform-as-a-service (PaaS) oferta para a construção e implantação de aplicativos 
em nuvem altamente disponíveis para web e mobile
• Plataforma lida com infraestrutura para que os desenvolvedores se concentrem 
nos web apps e services
• Fornece segurança e conformidade de nível corporativo
File and Folder Backups
Virtual Machines
Implement Azure Backup Center
Azure Workloads On-Premises Workloads
Implementing On-premises File and 
Folder Backup
1. Criar o recovery services vault
2. Baixe o agente e o arquivo credencial
3. Instalar e registrar agente
4. Configure o backup
Recovery Services Vault VM Backup Options
Azure Workloads On-Premises Workloads
Vários servidores podem ser protegidos usando o mesmo Recovery Services vault 
Azure Backup Server
Backups com de 
aplicativos, backups de 
arquivos/pastas/ volumes 
e machine state backups 
(bare-metal, system state)
Cada máquina executa 
o agente de proteção 
DPM/ MABS
Opções de 
agendamento flexível e 
granular
Gerenciar backups para 
várias máquinas em
um grupo de proteção
Azure Monitor
Azure Monitor Service
Metrics and Logs
• Métricas são valores numéricos que 
descrevem algum aspecto de um 
sistema em um ponto no tempo 
• Eles são leves e capazes de suportar 
cenários quase em tempo real
• Os registros contêm diferentes tipos de 
dados organizados em registros com 
diferentes conjuntos de propriedades 
para cada tipo
• Telemetria (eventos, traços) e dados de 
desempenho podem ser combinados 
para análise
Log Analytics
Determine Log Analytics Uses
Um serviço que ajuda você a coletar e 
analisar dados gerados por recursos em seus 
ambientes de nuvem e local
Escreva consultas de log e analise 
interativamente seus resultados
Exemplos incluem avaliar atualizações do 
sistema e solucionar problemas operacionais
Structure Log Analytics Queries
Event
| where (EventLevelName == "Error")
| where (TimeGenerated > ago(1days))
| summarize ErrorCount = count() by Computer
| top 10 by ErrorCount desc
Network Watcher
Um regional service que fornece várias ferramentas 
de diagnóstico e monitoramento de redes
IP Flow Verify diagnostica problemas de 
conectividade
Next Hop determina se o tráfego está sendo
corretamente roteado
VPN Diagnostics troubleshoots gateways e conexões
NSG Flow Logs mapeia o tráfego IP através de um 
network security group
Connection troubleshoot mostra conectividade entre 
VM de origem e destino
Topology gera um diagrama visual de recursos
AZURE CLOUD 
COMPUTING
OBRIGADO