核心用法
Azure Production Rules 是一套面向生产环境的 Azure 服务管理技能,整合 CLI 命令与架构决策要点,覆盖成本、安全、网络、性能、监控、IaC 及身份认证七大维度。核心用法包括:
- 成本管控:识别隐性收费项(停机 VM 的磁盘/IP、Cosmos RU 空闲计费、跨区域双向流量费),提供
az vm deallocate等具体命令与策略配置建议 - 安全加固:强调 Managed Identity 替代密钥、Private Endpoint 配合 DNS Zone 使用、Key Vault 软删除命名规划等实战要点
- 网络架构:厘清 NSG 优先级机制、VNet 对等非传递性、Service Endpoint 与 Private Endpoint 的本质区别
- 性能优化:Cosmos 分区键永久绑定、Functions 冷启动规避、Redis 高可用选型等关键决策点
- 监控告警:Application Insights 采样阈值调整、Log Analytics 查询优化、告警动作组速率限制规避
- IaC 实践:ARM what-if 预览、Terraform 状态加密、Bicep 作为新项目的首选工具
- 身份治理:RBAC 传播延迟应对、PIM 审批与 Owner 角色分离、SP 证书替代密钥
显著优点
1. 实战导向:每条规则均附带具体命令或配置参数,非泛泛而谈
2. 成本敏感:明确标注 50%+ 节省场景与陷阱触发条件
3. 安全深度:区分控制平面与数据平面、Azure AD 与 B2C 等易混淆概念
4. 架构决策明确:如 Premium Firewall TLS 检查能力、Bicep 替代 ARM 等前瞻性建议
潜在局限
- 未涉及 Azure Stack HCI、Arc 等混合云场景
- 监控部分未覆盖 Prometheus/Grafana 集成等云原生方案
- 身份部分缺少 Conditional Access 模板示例
- 命令示例以 Linux/macOS 为主,Windows 路径处理需适配
适合人群
- 云架构师(设计评审与成本预估阶段)
- DevOps/SRE 工程师(日常运维与事故响应)
- FinOps 实践者(成本优化专项)
- Azure 认证备考者(AZ-104/305/500 等实操补充)
常规风险
| 风险类型 | 具体表现 | 缓解建议 |
|---------|---------|---------|
| 误操作成本 | `deallocate` 误用导致服务中断 | 先在 dev 环境验证自动化脚本 |
| 安全盲区 | Private Endpoint 未配 DNS 导致解析失败 | 将 DNS Zone 链接纳入 IaC 强制检查 |
| 权限传播延迟 | RBAC 变更后 CI/CD 立即失败 | 流水线增加 30s-5min 轮询重试 |
| 状态泄露 | Terraform 本地状态含明文密钥 | 强制 Azure Storage 后端 + 客户托管密钥 |