De maandag voor mijn examen ben ik alvast zaken aan het voorbereiden. Het examen ga ik op locatie doen, dus je moet zaken installeren, testprogramma laten draaien om te kijken of het straks werkt. Zo kom ik ook nog op de pagina van het examen en zie ik onderaan bij de specs dat dit per 9 november 2020 aangepast is (link). Oké, dus bepaalde onderdelen die ik gedaan heb worden niet meer gevraagd en andere dingen die ik niet weet worden wel gevraagd? Ik moet deze week toch aan de studie, dus laat ik meteen uit de PDF (link) alle gevraagde items kopiëren en er de antwoorden bij zoeken. Dat zou me toch een goede basis moeten geven! Let wel, de antwoorden kunnen foutief zijn of te kort, ik heb het nu redelijk "snel" uitgewerkt, omdat de lijst best wel lang is (en sommige zaken dus niet behandeld zijn, waardoor ik ook nog de pagina moet opzoeken waar de informatie op staat).
Describe Cloud Concepts (20-25%)
Identify the benefits and considerations of using cloud services
identify the benefits of cloud computing, such as High Availability, Scalability, Elasticity, Agility and Disaster Recovery
Identify the differences between Capital Expenditure (CapEx) and Operational Expenditure (OpEx)
describe the consumption-based model
Mijn antwoorden;
De voordelen van cloud computing is dat er een hoge beschikbaarheid is (als je alleen op je eigen server moet vertrouwen of op alle datacenters van Microsoft, dan is het verschil wel duidelijk). Je applicatie/site in de cloud is schaalbaar. Als de schijfruimte volloopt is dat binnen redelijke tijd op te lossen door in de cloud je beschikbare ruimte uit te breiden. Als je nu vast zat aan een eigen harde schijf, had je hier zelf 1 of meerdere fysiek toe moeten voegen of deze moeten vervangen. Elasticiteit heeft betrekking op de belasting. Als je een actie om mooie prijzen te winnen op je website hebt, kan het verkeer verdubbelen of verdrie-voudigen. Door er een paar webservers naast te laten draaien wordt de piek opgevangen. Is de actie voorbij, dan worden die webservers weer afgeschaald, want ze zijn (nu) niet meer nodig. Agility staat voor het snel kunnen reageren. Er is nu een hele hoop mensen op jouw site aan het kijken dus de trager wordende site moet NU aangepakt worden. In de cloud kan dat. En disaster recovery slaat op rampen. Je harde schijf crasht, er is een orkaan die alle electriciteitspalen om laat vallen. Zo gebruikt Microsoft Region Pairs, als je dat gebruikt, dan staat je data ook 300 mijl verderop van de ramplocatie.
Als je besluit om zelf je serverpark te hosten, dan moet je zelf alle systemen kopen, kabels, switches en wat al niet meer. Dat kost direct een flinke hoeveelheid geld: capital expenditure. Als je jouw diensten in de cloud laat draaien, zul je hier maandelijks (of andere termijn) voor betalen. Je betaalt voor gebruik van de diensten.
Dat laatste komt ook terug in consumption-based model. Als er veel vraag naar jouw diensten is, je meer data op moet slaan en daardoor ook meer schijfgebruik/databases nodig hebt, zul je daarvoor moeten betalen.
Describe the differences between categories of cloud services
describe the shared responsibility model
describe Infrastructure-as-a-Service (IaaS),
describe Platform-as-a-Service (PaaS)
describe serverless computing
describe Software-as-a-Service (SaaS)
identify a service type based on a use case
Mijn antwoorden;
Ook als je diensten in de cloud draaien, kun je niet zeggen dat alle verantwoordelijkheid bij de cloud-provider ligt. Als jij websites met security-holes online zet, dan blijf jij in gebreke. Beide partijen (de cloud-provider en de gebruiker) zijn dus verantwoordelijk. Waar ze verantwoordelijk voor zijn, dat kan weer afhangen van het type dienst wat gebruikt wordt.
Infrastructure as a Service is de dienst waarbij de gebruiker servers, virtuele machines, opslagruimte, netwerkfunctionaliteit en operating systems afneemt van de cloud-provider. De cloud-provider onderhoudt de infrastructuur, de diensten die aangeboden worden, dat ligt op het bordje van de gebruiker. Deze service is het meest flexibel omdat hardware geconfigureerd en beheert kan worden.
Platform as a Service is de dienst waarbij de gebruiker alleen de applicaties hoeft te maken. De onderliggende netwerkstructuur, servers, IIS/Apache of wat dan ook, dat wordt door de cloud-provider beheerd. Omdat het een algemene dienst heeft, kan het beperkingen opleveren (je kunt niet zelf in IIS even instellen dat parent-paths toegestaan zijn).
Serverless Computing is een dienst die "state-less" draait. Je kunt hier een aanroep heen sturen, er wordt een actie uitgevoerd en dan is de aanroep + afhandeling afgerond. Niet alle diensten zijn geschikt om op deze manier te werken (want dan moet je alles compleet modulair maken en is de vraag of er toch nog iets van "state" nodig is).
Software as a Service is een dienst waarbij je online gebruik kunt maken van bepaalde software (bijvoorbeeld Outlook 365, Skype). Geen kosten vooraf, betalen voor gebruik, je hebt altijd de meest up-to-date versie en het is flexibel: iedereen kan er vanaf elke plek bij komen. Maar ook hier geldt dat er beperkingen kunnen gelden. Zou je op je eigen computer misschien een eigen macro/plug-in toe kunnen voegen, in de online-omgeving kan dit waarschijnlijk niet.
Waarschijnlijk komt er een bepaald type service in de vragen naar voren en daaruit zul je moeten halen of het één van bovenstaande services is. Op basis van de uitleg hierboven moet dat vast lukken.
Describe the differences between types of cloud computing
define cloud computing
describe Public cloud
describe Private cloud
describe Hybrid cloud
compare and contrast the three types of cloud computing
Mijn antwoorden;
Cloud computing hangt niet "in de cloud/lucht", daar zouden al die servers ook te zwaar voor zijn. Met behulp van meerdere datacenters over de hele wereld kan jouw website/dienst overal aangeboden worden, wordt ervoor gezorgd dat die dienst voor 99.xx procent online is (SLA) en als er problemen optreden is er een fallback op basis van regio, of andere kopie die in het serverpark staat.
De publieke cloud is een cloud die voor iedereen bereikbaar en te gebruiken is. Een publieke cloud is AWS van Amazon, Azure van Microsoft. De provider doet het onderhoud, je kunt snel je applicatie aanbieden. Wel is het een "algemene cloud", dus het kan beperkingen hebben, waardoor jouw wensen niet ondersteund kunnen worden. Ook zit je soms met wettelijke regels betreffende de locatie waar gebruikergegevens opslaan, wat mogelijk voor problemen kan zorgen.
Een private cloud is een cloud die bij het bedrijf binnen het eigen datacenter draait. Deze is alleen binnen het eigen netwerk te bereiken. Voordeel hiervan is dat eigen wensen doorgevoerd kunnen worden en dat ook daardoor aan wettelijke regels voldaan kan worden. Wel heb je met dit model de aanschafkosten en eigen onderhoud wat uitgevoerd moet worden.
De hybride cloud is een combinatie van een private en een publieke cloud. Een deel is openbaar, een deel in eigen beheer. Je moet je goed afvragen of dit een gewenste oplossing is. Soms is het de enige mogelijkheid, maar het betekent wel extra kosten en ook dat er goed moet worden afgesproken wat nu in welke cloud beschikbaar komt.
Describe Core Azure Services (15-20%)
Describe the core Azure architectural components
describe the benefits and usage of Regions and Region Pairs
describe the benefits and usage of Availability Zones
describe the benefits and usage of Resource Groups
describe the benefits and usage of Subscriptions
describe the benefits and usage of Management Groups
describe the benefits and usage of Azure Resource Manager
explain Azure resources
Mijn antwoorden;
Azure is beschikbaar in 140 landen en is onderverdeeld in 60 regio's (bijvoorbeeld West Europa, Canada Central). In zo'n regio staan meerdere datacenters (Frankfurt / Berlijn bijvoorbeeld). Hiermee kun je zorgen dat de data het "dichtst bij de klanten staat", om te zorgen voor een snelle dienst. En kun je ook zorgen dat voldaan wordt aan wettelijke regels (data mag niet opgeslagen in de US, maar moet in Europa blijven).
Deze regio's gebruikt Azure om ook Region Pairs samen te stellen. Twee regio's worden geografisch aan elkaar gekoppeld en zijn minimaal 300 mijl van elkaar verwijderd. Als er ergens een orkaan tekeer gaat en alle datacenters plat gooit, dan is de region pair beschikbaar om je diensten verder op te laten draaien. Zo heeft Europa primair het datacenter in Ierland, de region pair daarvan is Nederland.
Availability Zones zijn fysieke locaties binnen een regio en kunnen één of meerdere datacenters bevatten. Een regio bevat altijd minimaal 3 zones. Een availability zone is een combinatie van een fault domain en van een update domain. Als zaken geüpdate worden, blijft je applicatie actief in een ander deel van de zone die (nog) niet bijgewerkt wordt. Of als een datacenter uitvalt, kan in een ander datacenter binnen je availability zone je applicatie verder draaien.
Een Resource Group is een soort container waar je al jouw diensten in plaatst. Je kunt meerdere resource groups aanmaken, een item kan maar van 1 resource group onderdeel uitmaken (en moet ook altijd onderdeel uitmaken van een resource group). Je kunt dit gebruiken om zaken te groeperen die bij elkaar horen.
De Subscriptions zijn de abonnementen. Zo kun je een abonnement hebben wat je gebruikt om ontwikkel-/testomgevingen op te zetten en gebruik je een ander abonnement om alle productie-omgevingen aan te koppelen (en mee te betalen).
Als je één abonnement hebt is het wel te overzien. Maar als je meerdere abonnementen hebt, die ook weer verschillende regio's/landen betreffen met hun eigen voorwaarden, dan kan het onoverzichtelijk worden. Management Groups zijn containers waar abonnementen in geplaatst kunnen worden. Regels die voor de Management Groups gelden worden automatisch overgenomen door de abonnementen die daar onderdeel van uit maken. Zo kunnen toegang, rechten en andere zaken afgedwongen worden.
Om je resource groups te beheren heb je de Azure Resource Manager. Deze businesslaaag boven de resource groups kun je resources verwijderen, aanmaken, bijwerken. Je kunt de relaties tussen de resource bekijken. Dat kan met sjablonen op basis van JSON, waarmee je onder andere tags aan resources kunt koppelen is, want handig is voor (controle van) facturatie. En je kunt met rollen, gebruikers/groepen en policies werken om zo toegang te geven (of te weigeren) tot resources.
En dan heb je nog de Azure resources. Het lijkt mij dat hiermee de virtuele machines, de web-apps, databases e.d. bedoeld worden.
Describe core resources available in Azure
describe the benefits and usage of Virtual Machines, Azure App Services, Azure Container Instances (ACI), and Azure Kubernetes Service (AKS), and Windows Virtual Desktop
describe the benefits and usage of Virtual Networks, VPN Gateway, Virtual Network peering, and ExpressRoute
describe the benefits and usage of Container (Blob) Storage, Disk Storage, File Storage, and storage tiers
describe the benefits and usage of Cosmos DB, Azure SQL Database, Azure Database for MySQL, Azure Database for PostgreSQL, and SQL Managed Instance
describe the benefits and usage of the Azure Marketplace
Mijn antwoorden;
Virtual Machines, Azure App Services, Azure Container Instances (ACI), and Azure Kubernetes Service (AKS), and Windows Virtual Desktop. Hiermee heb je een eigen Windows installatie (of Linux of ander OS) in de cloud draaien waar je programma's op uit kunt voeren, web-applicaties die in de cloud draaien, containers zijn een soort virtuele machines, maar zonder het zware operating system wat bij virtuele machines draait en daarom een stuk flexibeler zijn. Kubernetes Service is bedoeld om die containers te kunnen benaderen/onderhouden. Windows Virtual Desktop is een Windows systeem wat in de cloud draait en waarop je kunt werken alsof je op je eigen computer op Windows werkt. Maar de gegevens worden centraal in de cloud opgeslagen en het rekenwerk vindt ook in de cloud plaats.
Virtual Networks, VPN Gateway, Virtual Network peering, and ExpressRoute. Virtual Networks zijn netwerkverbindingen binnen de cloud die afgeschermd zijn voor de buitenwereld. Een VPN gateway is bedoeld om verkeer versleuteld over het openbare internet te laten gaan, van een virtueel netwerk in Azure naar een bedrijfsnetwerk. Virtual Network Peering is de actie dat je 2 of meer virtuele netwerken met elkaar verbindt, zodat je van het ene netwerk bij resources op het andere netwerk kunt komen. ExpressRoute is een soort VPN, maar gaat niet via het openbare internet maar via een eigen bedrijfsnetwerk.
Container (Blob) Storage, Disk Storage, File Storage, and storage tiers. Je hebt allemaal verschillende soorten opslag-methodes in Azure, de hier benoemde zijn voor niet relationele data. Als je bijvoorbeeld documenten hebt die je niet in een soort databasestructuur kunt vastleggen, dan zal een blob daarvoor geschikt zijn. Disk Storage wordt in de voorbeelden benoemd als wat gebruikt wordt voor je virtuele machines, voor de opslag van je containers in de cloud, machine learning toepassingen die daarop draaien. Met File Storage kun je via SMB bij je data-opslag in de cloud komen als was het een locatie op je eigen netwerk. Storage Tiers, dit zijn verschillende manieren om je data in een BLOB op te slaan: Hot Access tier: wordt vaak gebruikt, veel read-write, opslagkosten hoger, toegangskosten lager, SLA:99.99, Cool Access tier: niet vaak geraadpleegde data die minimaal 30 dagen bewaard blijft, backup, media-files, SLA: 99, lagere kosten dan hot access, per GB toeslag voor toegang, Archive tier: opslag van weinig of niet geraadpleegde data. Opslag is het goedkoopst, toegang het duurst. Minimaal 180 dagen opslag.
Cosmos DB, Azure SQL Database, Azure Database for MySQL, Azure Database for PostgreSQL, and SQL Managed Instance. Al deze producten zijn voor opslag van data in databases. Cosmos DB is voor grote hoeveelheden noSQL data (niet relationeel), daar kun je dus PDF's, Word-documenten en nog veel meer zaken in gooien. Azure SQL is vergelijkbaar met Microsoft SQL Server, dus voor relationele data. mySQL en PostgreSQL zijn ook relationele databases. SQL Managed Instances is een schaalbare cloud database server, compatibel met SQL server, wat vooral door klanten gebruikt wordt die bijvoorbeeld ook SQL Server Agent willen gebruiken. Tevens is dit een PaaS oplossing, eigen virtueel netwerk.
Azure Marketplace. Als je een virtuele machine wil aanmaken, dan doe je dat via de marketplace, hier staat Microsoft zijn eigen spul ook. Maar als je een bepaalde Linux-versie wilt draaien, is het best mogelijk dat een andere ontwikkelaar dat al uitgewerkt heeft en dat je die via de Marketplace kunt vinden en installeren.
Describe core solutions and management tools on Azure (10-15%)
Describe core solutions available in Azure
describe the benefits and usage of Internet of Things (IoT) Hub, IoT Central, and Azure Sphere
describe the benefits and usage of Azure Synapse Analytics, HDInsight, and Azure Databricks
describe the benefits and usage of Azure Machine Learning, Cognitive Services and Azure Bot ServiceStudio
describe the benefits and usage of Serverless computing solutions that include Azure Functions,and Logic Apps
describe the benefits and usage of Azure DevOps, GitHub, GitHub Actions, and Azure DevTest Labs
Mijn antwoorden;
Internet of Things (IoT) Hub, IoT Central, and Azure Sphere. Met IoT Hub kun je 2-richting verkeer met je IoT apparaten opbouwen. Het IoT apparaat kan data versturen naar deze service en de service kan data versturen naar het apparaat. IoT Central is de centrale omgeving waar je jouw IoT apparaten kunt beheren (een SaaS). Azure Sphere gaat over de beveiliging van IoT apparatuur. Zo heb je een Sphere gecertificeerde chips, besturingssysteem, security service.
Azure Synapse Analytics, HDInsight, and Azure Databricks. Azure Synapse Analytics is het voormalige Azure SQL Data Warehouse, dit wordt gebruikt voor analyse van Big Data (grote datasets dus). Je kunt met SQL zoekacties uitvoeren. HDInsight is een cloud service, ook voor big data, maar hierbij kun je in je eigen favoriete omgeving aan de slag (Apache Hadoop, Apache Spark). Bij Azure Databricks heb je een Apache Spark omgeving beschikbaar, waarmee je met tools (Python, Scala, R, Java, SQL, Tensorflow, Pytorch) acties op uit kunt voeren. Niet alleen big data, maar ook het opvolgende AI (kunstmatige intelligentiedeel) kun je hieraan koppelen.
Azure Machine Learning, Cognitive Services and Azure Bot ServiceStudio. Azure Machine Learning, met een grote dataset kan een model opgebouwd worden. Cognitieve Services zijn dat uit een bak data een context gehaald kan worden: is het een positief of negatief bericht? In Azure Bot ServiceStudio kun je een bot-resource aanmaken, die vul je met data en vervolgens kun je deze in meerdere kanalen actief maken (standaard voorbeeld: de chat-bot op je website).
Serverless computing solutions that include Azure Functions,and Logic Apps. Serverless betekent dat er niet een computer staat te draaien en 99% van de tijd staat te wachten, terwijl je daar wel voor moet betalen. Een serverless oplossing is een API die aangeroepen kan worden, voert daarop een actie uit en geeft meestal data terug. En dan is het klaar. Voor die tijd betaal je. Azure Functions zijn het standaard voorbeeld, bijvoorbeeld om een e-mail te versturen. Logic Apps is een cloud-service waarmee je workflows kunt inrichten. Het klinkt wel een beetje als IFTTT (if this then that), waar je in kunt stellen dat als je een nieuw bericht op je website plaatst (en deze in je RSS feed komt), dit ook meteen op je Twitter en Facebook gedeeld wordt.
Azure DevOps, GitHub, GitHub Actions, and Azure DevTest Labs. Azure DevOps Services stond vroeger bekend onder de naam Visual Studio Team Services. Het is het geheel van Git-repo's, pipelines en publiceren/bijwerken van je resources. Github is de GIT repo die Microsoft overgenomen heeft en dus zeer goed ondersteund wordt. Met Github Actions kun je bijvoorbeeld zorgen dat als er een Push Request verstuurd wordt, de actieve versie van je code naar Azure gedeployed wordt. Azure DevTest Labs is een gratis dienst waarmee je snel een ontwikkel- en testomgeving op kunt zetten. Als je een virtuele machine hierbij gebruikt, daar moet je dan wel weer voor betalen (dus alleen voor de gebruikte resources).
Describe Azure management tools
describe the functionality and usage of Azure Portal, Azure PowerShell, Azure CLI, and Cloud Shell, and Azure Mobile App
describe the functionality and usage of Azure Advisor
describe the functionality and usage of Azure Resource Manager (ARM) templates
describe the functionality and usage of Azure Monitor
describe the functionality and usage of Azure Service Health
Mijn antwoorden;
Azure Portal, Azure PowerShell, Azure CLI, and Cloud Shell, and Azure Mobile App. Azure Portal is de web-interface voor je Azure diensten (en degene die ik het meest gebruik). Azure Powershell is de terminal-interface met toegang naar je Azure omgeving. Handig als je via script(s) een stuk of 20 virtuele machines aan wilt maken en dat niet allemaal handmatig wilt aanklikken. Azure CLI is de cross-platform-variant van Azure Powershell (die draait alleen op Windows). Cloud Shell is de omgeving in de browser waar je jouw scripts uit kunt voeren. En met de Azure Mobile App kun je basic data zien, maar ook inloggen op je virtuele machine (en ook in de cloud shell dan scripts uitvoeren), tevens je VM herstarten, alerts bekijken, rollen beheren. Dus als je op locatie bent, geen pc in de buurt hebt, kan dit een life-saver zijn.
Azure Advisor geeft je advies over beschikbaarheid, veiligheid, performance en kosten. En ook in jouw voordeel, als je maar 10% gebruikt, is een alternatief waarschijnlijk goedkoper, en dat zal de Advisor je ook melden.
Azure Resource Manager (ARM) templates zijn sjablonen voor het "implementeren van infrastructuur via JSON-code". Als je elke week een VM moet aanmaken, dan kan dat een stuk sneller/beter via deze sjablonen.
Azure Monitor houdt jouw resources in de gaten. Raken schijven vol? Is er een te hoog CPU gebruik?
Azure Service Health is de dienst voor het in de gaten houden hoe Azure zelf draait. Of dat er onderhoud aan zit te komen. Hou dit dus in de gaten!
Describe general security and network security features (10-15%)
Describe Azure security features
describe basic features of Azure Security Center, including policy compliance, security alerts, secure score, and resource hygiene
describe the functionality and usage of Key Vault
describe the functionality and usage of Azure Sentinel
describe the functionality and usage of Azure Dedicated Hosts
Mijn antwoorden;
Azure Security Center, including policy compliance, security alerts, secure score, and resource hygiene. Azure Security Center, deze service houdt in de gaten welke bedreigingen er zijn vor jouw apps. Policy Compliance, je kunt policies instellen en daar moeten je applicaties zich aan houden. Security alerts zijn zichtbaar in het Security Center. Dit zijn niet alleen meldingen over de applicaties in Azure, maar ook in jouw bedrijfsnetwerk. Secure score, dat is een getal wat weergeeft hoe de security op dit moment is (bijvoorbeeld 40 van 60) en je kunt zien wat je nog kunt aanpassen om die score hoger te krijgen. Resource Hygiene, op deze plek in het Security Center kun je alle tips zien om je resources "op te schonen".
Key Vault is de kluis waarin je al je credentials, tokens, SSL certificaten, oftewel "geheime data" plaatst. Deze is beveiligd op basis van rol en ook wordt gelogd wanneer en wie een "secret" opvraagt.
Azure Sentinel is een cloud-dienst die bedreigingen in de gaten houdt. Als werknemer X eerst inlogt op locatie Amsterdam en 5 seconden later op locatie New York, dan gaat dit systeem daar melding van maken.
Azure Dedicated Hosts, een server is dan alleen voor jou beschikbaar, de ruimte wordt niet gedeeld met andere klanten. Je eigen "private cloud" bij Azure, wat soms noodzakelijk is om aan wettelijke regels te voldoen.
Describe Azure network security
describe the concept of defense in depth
describe the functionality and usage of Network Security Groups (NSG)
describe the functionality and usage of Azure Firewall
describe the functionality and usage of Azure DDoS protection
Mijn antwoorden;
Defense in depth, dit zijn de verschillende lagen / hordes die een hacker moet nemen om bij jouw data te kunnen komen:
- Fysieke beveiliging is de eerste horde, de bescherming van de computer hardware in het datacenter.
- Identity en access controls, hiermee wordt de toegang tot de infrastructuur en het doorvoeren van wijzigingen afgevangen.
- Perimeterlaag, deze gebruikt een DDos protection filter om grote aanvallen te filteren voor ze een denial of service kunnen veroorzaken.
- Netwerklaag, beperkt communicatie tussen resources met behulp van segmentatie en toegangscontrole.
- Compute-laag, beveiligt de toegang tot Virtuele Machines.
- Applicatie-laag zorgt dat applicaties veilig zijn en geen kwetsbaarheden bevatten.
- Data, bijna altijd zijn hackers op jacht naar de data, welke opgeslagen is in een database, op schijft in een VM, in een SaaS applicatie zoals Microsoft 360 of in de cloud-opslag. Het is de verantwoordelijkheid van degene die de data opslaat dat dit veilig gebeurt.
Network Security Groups (NSG) is het instellen van filters, je kunt op basis van bron, doel, ip-adres, poort en protocol regels maken die toegang toestaan of weigeren.
De Azure Firewall houdt op basis van poort en ip-adres verkeer tegen (of laat het door).
Azure DDos protection, continu controle op het netwerk of er teveel requests binnenkomen. Maar ook op basis van applicatie-laag (SQL injection, XSS).
Describe identity, governance, privacy, and compliance features (20-25%)
Describe core Azure identity services
explain the difference between authentication and authorization
define Azure Active Directory
describe the functionality and usage of Azure Active Directory
describe the functionality and usage of Conditional Access, Multi-Factor Authentication (MFA), and Single Sign-On (SSO)
Mijn antwoorden;
Authenticatie is het proces waarin je aangeeft wie je bent, bij authorisatie is dat bekend en wordt bepaald wat je wel en niet mag.
Active Directory, hierin kun je groepen, personen aanmaken en rechten daarop configureren.
Azure Active Directory wordt bepaald om binnen Azure aan te geven waar groepen/mensen wel en niet bij mogen, maar ook voor de applicaties (de site draait onder een bepaalde rol en mag bij de KeyVault om het client-secret op te vragen).
Conditional Access is bijvoorbeeld de regel dat iemand na inloggen bij een bepaalde resource mag komen, maar dat hij/zij zich dan via multi-factor extra authenticeert (dat kan via policies ingeregeld worden). Multi-Factor Authentication (MFA) is dat je naast inloggen met gebruikersnaam/wachtwoord nog iets extra's gebruikt om in te loggen, iets dat je weet, iets dat je hebt of iets dat je bent (naam van je hond, ID-tag, iris-scan). Single Sign-On (SSO) is dat je 1x inlogt en daarmee in meerdere applicaties kunt komen.
Describe Azure governance features
describe the functionality and usage of Role-Based Access Control (RBAC)
describe the functionality and usage of resource locks
describe the functionality and usage of tags
describe the functionality and usage of Azure Policy
describe the functionality and usage of Azure Blueprints
describe the Cloud Adoption Framework for Azure
Mijn antwoorden;
Role-Based Access Control. Als je een multinational met 50 vestigingen bent en 2.000 werknemers per vestiging, dan ga je niet voor elke werknemer de rechten in Azure instellen. Je maakt hiervoor rollen aan, die kunnen bepaalde zaken wel, mogen andere zaken niet en de werknemers worden aan één of meerdere rollen gekoppeld.
Resource locks, als je een resource verwijdert, ben je ook alle virtuele machines, containers en andere zaken kwijt die in die resource stonden. Daarom kun je een resource read-only maken om wijzigingen te voorkomen en/of niet verwijderbaar.
Tags kun je aan resources koppelen. Die komen ook terug op de facturen. Zo kun je zorgen dat de kosten bij de juiste afdeling terecht komen. En zo kun je bijvoorbeeld ook aangeven dat een resource voor "test" en een resource voor "productie" gebruikt wordt.
Met Azure Policies kun je zaken afdwingen, bijvoorbeeld om te voorkomen dat iemand een nieuwe virtuele machine aanmaakt en die via RDP rechtstreeks online te benaderen is.
Met Azure Blueprints kun je zorgen dat als er een nieuwe resource aangemaakt wordt, meteen de bedrijfs-policies actief zijn en er dus geen fouten gemaakt worden.
Describe privacy and compliance resources
describe the Microsoft core tenets of Security, Privacy, and Compliance
describe the purpose of the Microsoft Privacy Statement, Online Services Terms (OST) and Data Protection Amendment (DPA)
describe the purpose of the Trust Center
describe the purpose of the Azure compliance documentation
describe the purpose of Azure Sovereign Regions (Azure Government cloud services and Azure China cloud services)
Mijn antwoorden;
Core tenets of Security, Privacy and Compliance. Complaince: Azure houdt zich aan globale standaarden. Dus ISO-normen, etc. Security: Azure zorgt ervoor dat klanten hun data veilig kunnen opslaan. Privacy: Azure geeft klanten het eigendom en het beheer van hun eigen data in handen. Het is jouw data, je bent niet afhankelijk van Azure om daar acties op uit te voeren (zoals bijvoorbeeld bij Endomondo: export aanvragen van je eigen data en dan een week wachten op een e-mail met downloadlink).
Microsoft Privacy Statement, op deze pagina staat toegelicht welke regels gelden en welke plichten er bij Microsoft liggen (link). Online Services Terms (OST) (link) zijn de regels die gelden als je voor een bedrijf meerdere licenties aanschaft. Data Protection Amendment (DPA), de Europese Unie heeft de GDPR ingesteld, Microsoft houdt zich daar aan (link). Zo kan dus ingesteld worden dat jouw data opgeslagen wordt in Europa en niet in Amerika.
Describe Azure cost management and Service Level Agreements, and Lifecycles (10-15%)
Describe methods for planning and managinggement of costs
Identify factors that can affect costs (resource types, services, locations, ingress and egress traffic)
identify factors that can reduce costs (reserved instances, reserved capacity, hybrid use benefit, spot pricing)
describe the functionality and usage of the Pricing calculator and the Total Cost of Ownership (TCO) calculator
describe the functionality and usage of Azure Cost Management
Mijn antwoorden;
Resource types, zijn de types die een resource provider heeft. Een resource provider kan bijvoorbeeld Microsoft.Blueprint zijn. Deze heeft de types blueprints, operations, blueprints/versions, dus eigenlijk "endpoints" die je aan kunt roepen. Services zijn de verschillende cloud-diensten waar je gebruik van kunt maken (virtuele machines, containers, etc.). Locations houdt eigenlijk de regio's in waar je jouw product in plaatst. Zet je jouw container in een goedkoper datacenter in Afrika neer? Dat kan niet altijd een slimme keuze zijn, omdat er meer netwerkverkeer plaats moet vinden. Ingress is het dataverkeer wat naar Azure toe gaat, dat is gratis. Het ophalen van data uit Azure (egress) kost wel geld.
Reserved instances, reserveer alvast een aantal Virtuele Machines om bij stijgende vraag snel te kunnen reageren. Reserved capacity is dat je aangeeft dat je 1 of 3 jaar gebruik van een aantal producten gaat maken. Hybrid use benefit is dat je al Windows / SQL server licenties hebt en die dus ook binnen je Azure omgeving kunt gebruiken. Spot pricing is dat je virtuele machines kunt gebruiken die niet altijd (volledig) beschikbaar zijn, maar gebruik maken van ongebruikte rekenkracht e.d. Je systeem moet dus kunnen herstellen en het wordt aangeraden voor dev/test omgevingen. Het scheelt je een hoop geld.
Describe Azure Service Level Agreements (SLAs) and service lifecycles
describe the purpose of an Azure Service Level Agreement (SLA)
identify actions that can impact an SLA (i.e. Availability Zones)
describe the service lifecycle in Azure (Public Preview and General Availability).
Mijn antwoorden;
Met een SLA geeft Azure aan wat de beschikbaarheid (en mogelijke niet-beschikbaar zijn) tijd van jouw product is. Bij het niet kunnen nakomen van die cijfers (wat niet vaak zal gebeuren) heb je daarom ook recht op een refund.
Wat heeft invloed op de SLA? Availability options: in het datacenter heb je niet 1 maar 2 VM's, dus als er 1 uitvalt, heb je de 2e nog. Of je hebt de availability zone: 1 VM in datacenter 1, 1 VM in datacenter 2. Of je hebt de Region Pair, 1 VM in East US, 1 VM in West US.
In Azure worden steeds nieuwe diensten ontwikkeld. Als een dienst "goed genoeg" is, komt deze in de fase public preview. Hierdoor kun je er als gebruiker (soms gratis) gebruik van maken. Op een bepaald moment wordt bepaald of het product goed genoeg is om uit deze testfase te gaan (deze fase is dus ook niet geschikt voor productie-scenario's!) en het een openbaar product wordt: general availability.