Azure

🔷 Azure 生产运维避坑指南

Azure 生产级运维指南,涵盖成本陷阱规避、安全加固、网络架构优化及 IaC 最佳实践,适合云架构师与 DevOps 工程师。

收藏
10.3k
安装
2.4k
版本
1.0.0
CLS 安全扫描中
预计需要 3 分钟...

使用说明

核心用法

Azure Production Rules 是一套面向生产环境的 Azure 服务管理技能,整合 CLI 命令与架构决策要点,覆盖成本、安全、网络、性能、监控、IaC 及身份认证七大维度。核心用法包括:

  • 成本管控:识别隐性收费项(停机 VM 的磁盘/IP、Cosmos RU 空闲计费、跨区域双向流量费),提供 az vm deallocate 等具体命令与策略配置建议
  • 安全加固:强调 Managed Identity 替代密钥、Private Endpoint 配合 DNS Zone 使用、Key Vault 软删除命名规划等实战要点
  • 网络架构:厘清 NSG 优先级机制、VNet 对等非传递性、Service Endpoint 与 Private Endpoint 的本质区别
  • 性能优化:Cosmos 分区键永久绑定、Functions 冷启动规避、Redis 高可用选型等关键决策点
  • 监控告警:Application Insights 采样阈值调整、Log Analytics 查询优化、告警动作组速率限制规避
  • IaC 实践:ARM what-if 预览、Terraform 状态加密、Bicep 作为新项目的首选工具
  • 身份治理:RBAC 传播延迟应对、PIM 审批与 Owner 角色分离、SP 证书替代密钥

显著优点

1. 实战导向:每条规则均附带具体命令或配置参数,非泛泛而谈
2. 成本敏感:明确标注 50%+ 节省场景与陷阱触发条件

3. 安全深度:区分控制平面与数据平面、Azure AD 与 B2C 等易混淆概念

4. 架构决策明确:如 Premium Firewall TLS 检查能力、Bicep 替代 ARM 等前瞻性建议

潜在局限

  • 未涉及 Azure Stack HCI、Arc 等混合云场景
  • 监控部分未覆盖 Prometheus/Grafana 集成等云原生方案
  • 身份部分缺少 Conditional Access 模板示例
  • 命令示例以 Linux/macOS 为主,Windows 路径处理需适配

适合人群

  • 云架构师(设计评审与成本预估阶段)
  • DevOps/SRE 工程师(日常运维与事故响应)
  • FinOps 实践者(成本优化专项)
  • Azure 认证备考者(AZ-104/305/500 等实操补充)

常规风险

| 风险类型 | 具体表现 | 缓解建议 |
|---------|---------|---------|
| 误操作成本 | `deallocate` 误用导致服务中断 | 先在 dev 环境验证自动化脚本 |
| 安全盲区 | Private Endpoint 未配 DNS 导致解析失败 | 将 DNS Zone 链接纳入 IaC 强制检查 |
| 权限传播延迟 | RBAC 变更后 CI/CD 立即失败 | 流水线增加 30s-5min 轮询重试 |
| 状态泄露 | Terraform 本地状态含明文密钥 | 强制 Azure Storage 后端 + 客户托管密钥 |

Azure 内容

手动下载zip · 3.5 kB
skill-card.mdtext/markdown
请选择文件