mattallen-it/mrtg-az900-the-bridge

# MRTG Azure 基础：桥梁 一个注重实操的 Microsoft Azure 基础实验系列，将本地（on-premises）身份与访问管理概念连接到 Azure 云服务、安全、治理、成本和管理。 ## 项目概述 **MRTG Azure 基础：桥梁** 记录了从传统本地基础设施和身份管理向 Microsoft Azure 的过渡。 本项目与 Microsoft **AZ-900: Azure Fundamentals** 认证目标保持一致。它结合了概念学习、实用的 Azure 门户操作经验、安全分析、成本意识、治理决策以及专业的技术文档。 每个实验都从运营和业务的角度来探讨 Azure。目标不仅仅是部署资源，而是要理解： - 该服务解决了什么问题 - 为什么组织要使用它 - 它如何融入 Azure 架构 - 谁负责保护它的安全 - 身份和访问是如何控制的 - 适用哪些治理要求 - 如何监控成本 - 在生产环境中的部署会有何不同 ## 桥梁 本项目扩展了以下先前实操经验： - Active Directory Domain Services - 组织单位 - 用户和安全组 - 组策略 - 基于角色的管理 - 身份生命周期管理 - 身份验证和授权 - 最小权限访问 - Windows Server 管理 - 安全监控 - 治理文档 该系列将这些概念连接到以下 Azure 技术： - Microsoft Entra ID - Azure 基于角色的访问控制 - Azure 订阅和资源组 - Azure 计算、网络和存储 - Azure Policy - 资源锁 - Azure 成本管理 - Azure Monitor - Microsoft Defender for Cloud - 基础设施部署工具 - 云治理 - 责任共担 最终形成了一份记录从本地 IAM 基础向云身份、安全、治理和管理演进的文档。 ## 业务场景 Monroe Redstone Technology Group 正在评估将 Microsoft Azure 作为其现有技术环境的扩展。 该组织需要一个结构化的 Azure 基础，以支持： - 安全的云采用 - 集中的身份和访问管理 - 受控的资源部署 - 成本可见性和问责制 - 标准化的命名和标记 - 治理和合规 - 监控和运营感知 - 未来的混合身份集成 - 可重复的技术文档 本实验系列记录了开始这一过渡所需的基础知识和技术决策。 ## 项目目标 本项目的目标是： - 积累对 Azure 门户的实用熟悉度 - 使用业务场景解释核心云概念 - 为常见需求确定合适的 Azure 服务 - 了解 Azure 区域、可用性区和资源层次结构 - 比较 Azure 计算、网络和存储选项 - 将传统 IAM 概念与 Microsoft Entra ID 和 Azure RBAC 联系起来 - 应用成本管理和治理控制 - 评估 Azure 管理和部署工具 - 使用监控和服务健康功能 - 记录安全、成本和生产注意事项 - 准备 Microsoft AZ-900 认证 - 使用可重复的标准构建专业的云作品集 ## 认证对标 本项目遵循截至 **2026 年 1 月 14 日** 的 Microsoft AZ-900 考核标准。 | 考试领域 | 权重 | |---|---:| | 描述云概念 | 25-30% | | 描述 Azure 架构和服务 | 35-40% | | 描述 Azure 管理和治理 | 30-35% | ### 描述云概念 - 云计算 - 责任共担 - 公有、私有和混合云模型 - 基于消费的定价 - 无服务器计算 - 高可用性 - 可伸缩性 - 可靠性 - 可预测性 - 安全与治理 - 基础设施即服务 - 平台即服务 - 软件即服务 ### 描述 Azure 架构和服务 - Azure 区域和区域对 - 可用性区 - 区域 - Azure 数据中心 - Azure 资源和资源组 - 订阅 - 管理组 - 计算服务 - 虚拟机 - 容器 - Azure Functions - 应用程序托管 - 虚拟网络 - 公共和私有端点 - Azure DNS - 存储服务 - 存储冗余 - 文件迁移 - Microsoft Entra ID - 身份验证方法 - 外部身份 - 条件访问 - Azure RBAC - 零信任 - 纵深防御 - Microsoft Defender for Cloud ### 描述 Azure 管理和治理 - 成本因素 - Azure 定价计算器 - Azure 成本管理 - 资源标记 - Microsoft Purview - Azure Policy - 资源锁 - Azure 门户 - Azure Cloud Shell - Azure CLI - Azure PowerShell - Azure Arc - 基础设施即代码 - ARM 模板 - Azure Advisor - Azure Service Health - Azure Monitor - Log Analytics - Azure Monitor 警报 - Application Insights ## 学习方法 每个实验都遵循相同的工作流程： ``` Learn -> Build -> Document -> Explain -> Map ``` ### 学习 研究与实验相关的 Azure 概念、服务、术语和业务需求。 ### 构建 使用 Azure 门户和其他批准的管理工具来配置或检查所需的服务。 ### 记录 使用脱敏的截图、配置细节、验证结果和故障排除笔记来记录整个过程。 ### 解释 描述为什么选择该技术、它解决了什么问题，以及它将如何在生产环境中使用。 ### 对标 将完成的工作与适用的 AZ-900 考试目标以及现有的 IAM、基础设施、安全或治理知识联系起来。 ## 实验路线图 | 实验编号 | 标题 | 主要关注点 | 状态 | |---:|---|---|---| | 01 | Azure 环境与成本保护 | 账户安全、订阅验证、预算、命名、标记和资源组 | 进行中 | | 02 | 云计算与责任共担 | 云概念、责任共担、消费模型和无服务器计算 | 已规划 | | 03 | 云模型、优势和服务类型 | 公有、私有和混合云；IaaS、PaaS 和 SaaS | 已规划 | | 04 | Azure 架构与资源层次结构 | 区域、可用性区、资源、资源组、订阅和管理组 | 已规划 | | 05 | Azure 计算服务 | 虚拟机、容器、函数、应用程序托管和计算选择 | 已规划 | | 06 | Azure 网络基础 | 虚拟网络、子网、对等互连、端点、路由、安全和 DNS | 已规划 | | 07 | Azure 存储服务 | 存储账户、Blob、文件、队列、表、冗余和访问层 | 已规划 | | 08 | Microsoft Entra ID、RBAC 与零信任 | 身份、身份验证、授权、条件访问、RBAC 和零信任 | 已规划 | | 09 | Azure 成本管理与资源组织 | 成本分析、预算、定价、标记和资源组织 | 已规划 | | 10 | Azure 治理、策略与合规 | Azure Policy、资源锁、治理、合规和 Microsoft Purview | 已规划 | | 11 | Azure 管理与部署工具 | 门户、Cloud Shell、CLI、PowerShell、ARM 模板、IaC 和 Azure Arc | 已规划 | | 12 | Azure 监控、健康与优化 | Azure Monitor、Log Analytics、警报、Service Health、Advisor 和 Application Insights | 已规划 | | 13 | MRTG Azure 基础毕业项目 | 集成架构、服务选择、安全、治理、成本和运营规划 | 已规划 | ## 仓库结构 ``` mrtg-az900-the-bridge/ ├── README.md ├── LICENSE ├── .gitignore ├── assets/ │ └── screenshots/ ├── docs/ ├── labs/ │ ├── lab-01-azure-environment-and-cost-protection/ │ │ ├── README.md │ │ └── screenshots/ │ ├── lab-02-cloud-computing-and-shared-responsibility/ │ ├── lab-03-cloud-models-benefits-and-service-types/ │ ├── lab-04-azure-architecture-and-resource-hierarchy/ │ ├── lab-05-azure-compute-services/ │ ├── lab-06-azure-networking-foundation/ │ ├── lab-07-azure-storage-services/ │ ├── lab-08-entra-id-rbac-and-zero-trust/ │ ├── lab-09-cost-management-and-resource-organization/ │ ├── lab-10-governance-policy-and-compliance/ │ ├── lab-11-management-and-deployment-tools/ │ ├── lab-12-monitoring-health-and-optimization/ │ └── lab-13-azure-fundamentals-capstone/ └── templates/ └── lab-readme-template.md ``` 随着系列的推进，将逐步添加实验目录。Git 不会跟踪空目录，因此在添加文档或截图之前，可能会使用占位文件。 ## 实验文档标准 每个实验的 README 都使用以下结构： 1. 实验标题 2. 目标 3. 解决的业务问题 4. 场景 5. 使用的 Azure 服务 6. 为什么使用这些服务 7. 环境 8. 架构或概念图 9. 执行的步骤 10. 验证 11. AZ-900 考试目标覆盖范围 12. 微型目标覆盖范围 13. IAM 和安全相关性 14. 治理笔记 15. 成本考量 16. 故障排除笔记 17. 在生产环境中我会采取哪些不同的做法 18. 经验教训 19. 清理 20. 结果 21. 下一个实验 该标准确保每个实验都同时记录了技术工作及其背后的逻辑。 ## 截图标准 每个实验都将其证据存储在一个专用文件夹中： ``` labs//screenshots/ ``` 截图文件名使用以下格式： ``` 01-descriptive-screenshot-name 02-descriptive-screenshot-name 03-descriptive-screenshot-name ``` 截图要求： - 使用连续的两位数编号 - 使用小写文件名 - 使用连字符分隔单词 - 描述正在显示的配置或验证 - 仅捕获与实验相关的信息 - 裁剪掉不必要的浏览器和桌面内容 - 在可行的情况下保持一致的图像尺寸 - 将截图放置在相关的 README 步骤附近 - 在提交之前检查每张截图 截图不得暴露： - 密码 - 身份验证码 - 恢复码 - 身份验证器 QR 码 - 访问令牌 - API 密钥 - 存储账户密钥 - 连接字符串 - 信用卡信息 - 账单地址 - 电话号码 - 恢复电子邮件地址 - 订阅 ID - 租户 ID - 对象 ID - 敏感的账户通知 - 在不必要的情况下暴露的公共 IP 地址 ## Azure 命名标准 Azure 资源使用可预测的命名结构： ``` ----- ``` 示例： ``` rg-mrtg-az900-lab01-centralus-001 ``` 常见缩写： | 资源 | 缩写 | |---|---| | 资源组 | `rg` | | 虚拟网络 | `vnet` | | 子网 | `snet` | | 网络安全组 | `nsg` | | 虚拟机 | `vm` | | 网络接口 | `nic` | | 公共 IP 地址 | `pip` | | 存储账户 | `st` | | Log Analytics 工作区 | `log` | 某些 Azure 资源具有唯一的命名限制。当服务不支持完整标准时，可能会调整名称。 ## Azure 标记标准 只要服务支持标记，就会对资源进行标记。 | 标记 | 标准值 | |---|---| | `Project` | `MRTG-AZ900-The-Bridge` | | `Lab` | 特定实验的值 | | `Environment` | `Lab` | | `Owner` | `MRTG-Cloud-Operations` | | `CostCenter` | `Training` | | `ManagedBy` | `Azure-Portal` | | `DeleteAfter` | 特定实验的清理日期 | 标记支持： - 资源所有权 - 成本分摊 - 环境识别 - 治理 - 报告 - 自动化 - 清理计划 标记是组织元数据。它们不能替代 Azure RBAC、Azure Policy、资源锁或安全控制。 ## 安全原则 本项目应用以下安全原则： - 为实验环境使用专用的 Microsoft 账户 - 使用多因素身份验证保护账户 - 在支持的条件下使用 Microsoft Authenticator - 应用最小权限访问 - 将身份验证与授权分离 - 避免不必要的公开暴露 - 在分配角色之前审查权限 - 优先在最窄的实际范围内分配角色 - 不要在仓库中存储凭证 - 在发布前对截图进行脱敏处理 - 移除不再需要的资源 - 记录生产环境的安全改进 - 在评估访问权限时应用零信任原则 这是一个学习环境，但安全控制被视为运营需求，而不是可有可无的附加项。 ## 成本管理原则 本项目中部署的每个资源都必须有明确的用途和清理计划。 成本控制包括： - 在部署前审查预估成本 - 在可行的情况下使用免费或低成本服务 - 创建订阅级别的预算和警报 - 监控当前和预测的支出 - 审查免费服务使用量 - 应用所有权和成本中心标记 - 避免使用过大的资源 - 在不需要时解除分配虚拟机 - 删除未使用的磁盘、公共 IP 地址和相关资源 - 移除已完成的实验环境 - 每次部署后检查成本管理 Azure 预算提供通知。它们不会自动停止资源或阻止产生额外费用。 除非需要、了解并记录在案，否则不会启用高级服务、付费支持计划和可选的安全功能。 ## 治理原则 本项目在整个实验系列中使用基础的治理实践： - 一致的资源命名 - 标准化的标记 - 订阅和资源组组织 - 最小权限角色分配 - Azure Policy 评估 - 资源锁评估 - 成本监控 - 活动日志审查 - 所有权文档记录 - 明确的清理日期 - 生产准备情况分析 后续的实验会将这些实践扩展到策略执行、合规性评估、监控和运营管理。 ## 环境 实验环境可能包括： - Azure 门户 - Microsoft Entra ID - Azure Cloud Shell - Azure CLI - Azure PowerShell - Azure Resource Manager - 基于 Windows 的管理工作站 - 用于版本控制和文档管理的 GitHub - 用于对标认证的参考资料的 Microsoft Learn 每个实验中都会记录所使用的具体服务。 ## 验证标准 部署并不会仅仅因为 Azure 报告其已创建就被视为完成。 验证可能包括： - 确认资源部署状态 - 审查资源属性 - 测试连通性 - 测试身份验证 - 确认授权行为 - 审查角色分配 - 确认标记 - 审查活动日志 - 检查监控数据 - 审查成本信息 - 确认清理 - 验证文档与部署的环境是否匹配 每个实验都会记录预期结果和观察到的结果。 ## 生产视角 这些实验使用的是专为学习和认证准备而设计的受控配置。它们并不自动代表完整的生产架构。 每个实验都会确定生产环境的注意事项，例如： - 身份分离 - 特权访问控制 - 条件访问 - 网络隔离 - 私有端点 - 高可用性 - 备份和恢复 - 监控和警报 - 基础设施即代码 - 变更控制 - 策略执行 - 集中式日志记录 - 合规性要求 - 成本所有权 - 资源生命周期管理 这种区分可以防止将成功的演示误认为是已准备好投入生产的部署。 ## 项目进度 | 里程碑 | 状态 | |---|---| | 初始化仓库 | 已完成 | | 确定项目标准 | 已完成 | | 确保 Azure 实验账户安全 | 进行中 | | 配置 Azure 订阅 | 未开始 | | 配置成本保护 | 未开始 | | 完成核心云概念实验 | 未开始 | | 完成 Azure 架构实验 | 未开始 | | 完成身份和安全实验 | 未开始 | | 完成治理和管理实验 | 未开始 | | 完成监控实验 | 未开始 | | 完成毕业项目 | 未开始 | | 完成 AZ-900 考试准备审查 | 未开始 | 随着每个实验的完成和验证，进度会随之更新。 ## 预期成果 通过完成本系列，我将能够： - 解释基本的云概念 - 比较云部署和服务模型 - 描述 Azure 架构和资源层次结构 - 确定合适的 Azure 计算、网络和存储服务 - 解释 Microsoft Entra ID 和 Azure RBAC - 描述零信任和纵深防御概念 - 解释 Azure 定价和成本管理工具 - 描述 Azure 治理和合规能力 - 确定 Azure 管理和部署工具 - 解释 Azure 监控、健康和优化服务 - 将本地 IAM 知识转化为 Azure 术语 - 从技术和业务角度讨论 Azure 服务 - 通过记录实际操作来展示对标认证的知识 ## 未来方向 本项目为更高级的 Microsoft 云工作奠定了基础，包括： - Microsoft 365 基础和管理 - 混合身份 - Microsoft Entra Connect - Microsoft Entra Cloud Sync - SC-900: Microsoft Security, Compliance, and Identity Fundamentals - SC-300: Microsoft Identity and Access Administrator - AZ-104: Microsoft Azure Administrator - 条件访问 - 特权身份管理 - 身份治理 - Azure 登陆区域 - 基础设施即代码 - 云安全运营 ## 免责声明 本仓库是一个独立的教育和作品集项目。 它不附属于 Microsoft，也不受其认可或赞助。Microsoft Azure、Microsoft Entra、Microsoft 365、Windows Server 及相关产品名称均为 Microsoft Corporation 的商标。 Azure 服务、定价、界面、免费服务额度、认证目标和产品功能可能会发生变化。在部署资源或安排考试之前，应始终查阅当前的 Microsoft 官方文档。 本仓库中不包含任何真实的生产凭证、客户数据、私密的组织信息或故意设置的敏感账户详情。 ## 许可证 本项目基于 MIT 许可证授权。有关详细信息，请参阅 `LICENSE` 文件。 ## 作者 **Matthew Allen** **Monroe Redstone Technology Group** 关注领域： - 身份与访问管理 - Microsoft Azure - Microsoft Entra ID - Windows Server - Active Directory - 云安全 - 治理 - 系统管理

标签：IT培训, Microsoft Azure, 云治理, 云计算基础, 系统运维, 身份与访问管理