【Azure】AZ-104取得に必要な知識を本番の問題集から逆算してまとめてみる(本番直前の総復習用)

Azure

最近AZ-104を取るために勉強を始めました。AZ-104はかなり広い範囲で詳細な知識が求められるので、普通に勉強していてもすぐに忘れてしまいます。

そんなわけで、効率よく復習できるように、最初は面倒でも学んだことを記録に残すようにしようと思います。内容はかなり断片的なので、「まとめる」と言うには程遠いレベルですが、自分が試験直前にざっと復習できるようにすることが目標です。

コンテンツは随時更新していく予定。

Azure AD のロール(役割)と権限周り

Azure AD の Global Administratorロールを持つユーザだけがAzureテナントにユーザを作成することができる。AzureのOwnerロールを持っていてもダメ。Azure ADのロールとAzureのロールは別物(ここは難しい)。

Azure ADユーザがAzure Kubernetes Service (AKS) にアクセスできるようにするには、対象のドメインにOAuth2.0のエンドポイントを設定する必要がある

Azure AD のユーザグループにはAssignedとDynamicのタイプがある。Assignedは手動でユーザを追加する。Dynamicは複雑な条件式でルールを作って、例えばDepartmentがSalesならなんとかグループ、みたいなことができる。

Dynamicタイプのグループにマニュアルでユーザを追加することはできない。

さらにAzure ADのユーザグループではSecurityグループとMicrosoft 365グループの区別がある。Securityグループは従来のADにおけるセキュリティポリシーのグループと考えて良い。Microsoft 365グループはかなり特殊な存在。Teamsのアカウントもこのグループに属しているらしい。

有効期限付きのグループを作れるのはMicrosoft 365グループだけ

普通のAzure ADグループは入れ子にできるが、Microsoft 365グループは入れ子にできない。

普通のAzure ADグループを入れ子にした場合、親グループに対するロールは子供に引き継がれる。つまり、親グループの所有者ロールを持ったアカウントは子供グループに対する所有者ロールも保持することになる。

Azure AD ユーザに特定のロールを付与するには以下の手順。
1. 対象のドメインのGlobal Administratorロールを持つアカウントでAzure Portalに入る
2. 左上のブレードから「Azure Active Directory」を選ぶ
3. 対象のユーザを選ぶ
4. 左ペインから「割り当てられたロール」を選ぶ
5. 必要なロールを追加する
招待するとかいう選択肢はない。

Azure AD Premium P2ライセンスを購入して、特定のユーザに割り当てる場合も、基本的には上の手順と同じで、4.の「割り当てられたロール」のところで「ライセンス」を選択してやれば良い。

オンプレのマシンをMicrosoft System Center Service Managerで監視しており、それをAzureのモニタリングシステムと同じ項目で監視したいという場合。つまり、監視をAzure側に統合したいという場合はThe IT Service Management Connector (ITSMC)を使うと良い。

例えば、自分がAD管理者だとする。ADに参加している会社のマシン全てに対してログインできるようにしたい。今後新しくADに参加するマシンに対しても、勝手にログインできるようにしたい。でもPCが多過ぎると一個ずつユーザ追加するのは困難。そんな時、Azureではそれを実現する方法がある。設定の仕方は、左上のブレードから 「Azure Active Directory」 を選択し、「デバイス」を選択。すると、「Additional local administrators on Azure AD joined devices」という項目があり、これを有効にすると実現できる。ちなみに、この選択肢はAzure AD Premiumでないと出てこない。
試験ではこの詳細手順が問われることはなく、とにかく「デバイス」メニューに行けば良い、という事が問われる。

Azure ADにマシン(PCやスマホ)を参加させる場合、対象のデバイスにログインできるアカウントの群を分けることができる。ひとつはAzure AD Registeredでもうひとつは Azure AD joined。joinedの方は、ADに登録されているユーザであれば対象デバイスにログインできる。Registeredの場合はjoinedの人たちに加えて、ローカルで作成したユーザでもログインできるようになる。

他のユーザに対してReaderロールを割り当てられるような準管理者的なユーザを作りたい。特定のリソースに対して。どんなロールを付与する必要があるか?→User Access Administrator role。例えばあるVirtural Network (VNet1)に対する読み取り権限を、他のユーザに付与できるようなアカウントUser1を作りたいとする。この時User1のVNet1に対するロールとしてUser Access Administrator roleを加えてやる。

Azure AD にカスタムドメインを設定する。
1. ポータルからAzure ADに行って「カスタムドメイン」を選択。
2. 独自取得したドメインを追加すると、認証用のコードが発行される。
3. 発行されたコードを独自ドメイン側のTXTかMXレコードに登録する
4. ポータルに戻って認証を進める
MXを使っていいの?って感じはする。

Cloud Device Administrator ロールを持つユーザはAzure AD内のデバイスの追加・削除ができる。

社外の人をADに招待する場合、Azure Active Directoryブレード→External Identities→Manage external collaboration settingsに進んで詳細を設定する。試験では「external collaboration」を設定すれば良いことだけを覚えておく。

ハイブリッドタイプのADを構築していて、あるユーザuser1のソースがオンプレのADだったとする。このときuser1のidentity, contact info, job infoのいずれかを更新したい場合、はオンプレ側のADから設定を変更する必要がある。それ以外はAzure ADから変更できる。

あるユーザがサブスクリプション内にTraffic Analyticsを追加できるようにするためには、対象のサブスクリプションに対するReaderロールがあれば事足りる。

Azure上(Azure ADではない)の権限など

あるリソースグループに後付けでタグを追加するようなポリシーを作成した場合、そのリソースグループに既に存在しているリソースにも自動的にタグが追加される。(ポリシーを作成した瞬間にタグが追加される)

一方で、リソースグループにつけたタグは配下のリソースには継承されない。

リソースによってSubscription間を移行できるものとできないものがある。同様に、リソースによってリソースグループ間を移行できるものとできないものがある。同様に、リージョン間を移行できるものとできないものがある。一覧はこちら。傾向としては、リージョン間の移行はまだまだサポートされていない。気になるVMの移行は、普通のVMであればリージョン間の移行までできると考えておいて良い。先の一覧で探すならMicrosoft.Computeの中の.availabilitysetsと.diskと.virtualmachinesががリージョン間でYesになっていることと、さらにMicrosoft.Storageもリージョン間Yesで、さらにMicrosoft.Network内の.networkinterfacesや.networksecuritygroupsや.publicipaddressesがYesになっていることが確認できる。

Azure MarketplaceのリソースをPowerShellからデプロイする際、「User failed validation to purchase resources.」と出る。これを解消するにはPowerShellからSet-AzMarketplaceTermsコマンドを実行する。Azure Portalからではない。

Logic Apps Contributorのロールを持つアカウントはLogic Apps (ロジックアプリというリソース)を追加、編集できる。

DevTest Labs User のロールを持つアカウントは Azure DevTest Labs 内のVMへの接続と、再起動などすることができる。Azure DevTest Labsについては以下を参照。
くらう道:検証環境を素早く構築できる「Azure DevTest Labs」とは?

Azureログを解析するには、Kustoというクエリ構文を使う。こんな感じ。search in (Event) “error”→Eventテーブルからerrorという文字列を探す。多分全カラムから。

VMは同一リージョン内にあるVNetにしか接続できない。厳密にはVMにはNICをアタッチする必要がある。そしてNICはどこかのVNETに所属(接続)している必要がある。NICを別リージョンに属するVNETに接続することはできない。

リソースを動的に生成するVMを作りたい場合、対象のVMのManaged Identity settingsを設定する。 Managed Identity settings の詳細は以下。
Qiita: Azure Managed Identityを使ってソースから資格情報を追い出す

Azure App Service関連

App Service とは[Web Apps][Mobile Apps][Functions][API Apps]のアプリケーション群の総称

App Service を作成する場合、必ず App Service Planも一緒に作らないといけない。 App Service Plan というのはApp Serviceが実行される環境のこと。ぶっちゃけていうとVMらしい。

App Serviceを別のリソースグループに移行するには注意が必要。結論を言うと、App Serviceを別のリソースグループに移行したとしても、App Service Planは元のRGに居残っている。

App Serviceがデプロイされる環境を App Service Plan と呼ぶが、 App Service Plan は複数作ることができる。 App Service Plan が複数あっても必ずひとつのあるwebspaceに配置される。webspaceはリージョンとリソースグループの組み合わせで一意に決まる。なのであるApp Service Planがあるwebspaceにデプロイされると、次に同じリージョンの同じリソースグループに作った別のApp Service Planは最初に使われたwebspaceと同じ環境に作成される。App Serviceは同一webspace内の別の App Service Plan に移行できるが、別のwebspace内にある App Service Plan には移行できない。

Storage Account関連

Block blobs, File shares, Page blobsタイプ(この3つの区別をAccount kindと呼ぶ)のストレージアカウントを作りたい場合は、ストレージアカウントを作る時にPerformanceをStandardからPremiumに変更して作成する必要がある。

Storage Accountには3種類ある。GPv1 (General Purpose Version 1)、GPv2、Blob Storageの3つ。歴史的にはGPv2が一番新しく、Microsoftは今後GPv2に移行することを推奨している。

現時点ではGPv1のStorage Accountを作ることはできない。

なので、実質GPv2かBlobを選ぶことになる。この選択はStorage Accountを作る時にPerformanceという項目で行う。StandardかPremiumを選ぶ。StandardがGPv2でPremiumがBlobタイプ。さらに、Premiumを選択するとBlobのタイプを問われる。すなわちページBlob、ブロックBlob、File Shares(?と思うが、普通にFileのことと思われる)。

ページBlobとブロックBlobの違いは、、、?

GPv1とGPv2はGeneral Purposeと言うだけあって、色んな種類のデータを格納できる。色んな種類とは、Blob、File、キュー、テーブルの4つ。一方、Blob StorageタイプのStorage AccountではBlobしか格納できない。

GPv1 では、ブロック BLOB、ページ BLOB、File、Queue、Table にアクセスできる。

Azure Import/Export serviceはAzure Blob storage と Azure File storageだけImportできる。

Azure Import/Export serviceはAzure Blob storage だけExportできる。なので、TableやQueueタイプはImportもExportもできない。

Storage Accountにアプリケーションが時間制限付きでアクセスできるようにするにはSAS(shared Access Signature)を使う必要がある

General Purpose v1 (GPv1) アカウントはティア(Tie)をサポートしない。つまり、Hot, Cool, archiveの区別がない。GPv2はある。

オンプレにある数TBレベルのデータをAzure Storage Accountにコピーするには、 Azure Import/Export service を使う。物理ディスクをデータセンターに発送する大技。
1. WAImportExportを使ってオンプレのディスクを外付けHDDにコピー(暗号化される)
2. Azure Portalからストレージアカウントに対するImport Jobを作成する
3. 外付けHDDをデータセンターに発送
4. Azure PortalからImport Job にジャーナルファイルをアップロードする(1.で作成される)
※3,4は入れ替え可能な気がする、、、

Azure File Sync ではCloud Endpointは1Sync groupにつきひとつ。一方、Server Endpointは複数あっても良い。一つのサーバ内の複数フォルダでも良い。でもクラウド側は必ずひとつ。

コメント

タイトルとURLをコピーしました