AZ-900 Recapitulare Completă

Structura examenului AZ-900

Concepte de cloud computing

1.1 Ce este cloud computing

Cloud computing este livrarea de resurse de calcul (compute, storage, networking, baze de date, software) ca serviciu, prin internet, plătite în model de consum (pay-as-you-go). Renunți la a deține și a întreține infrastructura fizică.

Beneficiile cloud-ului

• Înaltă disponibilitate (High Availability) — SLA-uri garantate, redundanță încorporată la nivel de hardware și software
• Scalabilitate — capacitatea de a crește/scădea resursele. Verticală (scale up/down: mărești VM-ul) vs. orizontală (scale out/in: adaugi instanțe)
• Elasticitate — scalare automată în funcție de cerere, fără intervenție manuală
• Fiabilitate (Reliability) — capacitatea sistemului de a se reface după defecțiuni; presupune disaster recovery între regiuni
• Predictibilitate — performanță predictibilă (auto-scale, load balancer) și cost predictibil (rezervări, calculatoare de preț)
• Securitate — politici centralizate, identity management, criptare implicită, conformitate
• Guvernanță — Azure Policy, RBAC, Resource Locks, Tags
• Manageabilitate — management of the cloud (template-uri, automatizare, monitoring) și management in the cloud (Portal, CLI, PowerShell, API)

1.2 CapEx vs OpEx

1.3 Modele de cloud

• Cloud public — resurse găzduite de furnizor (Microsoft, AWS, Google), multi-tenant, cost mic de intrare, scalabilitate maximă
• Cloud privat — infrastructură dedicată unei singure organizații, control total, costuri mai mari, scalabilitate limitată
• Cloud hibrid — combinație public + privat, conectate prin VPN sau ExpressRoute; permite cloud bursting și migrare graduală
• Multi-cloud — folosirea simultană a mai multor furnizori de cloud public; evită vendor lock-in

1.4 Modele de servicii cloud (IaaS / PaaS / SaaS)

1.5 Shared Responsibility Model

Arhitectura și serviciile Azure

2.1 Geografia Azure

• Region (regiune) — zonă geografică cu unul sau mai multe datacenter-uri. Azure are peste 60 de regiuni globale. Alegi pentru: latență, conformitate, cost.
• Availability Zone (AZ) — datacenter-uri fizic separate într-o regiune (min. 3 AZ-uri/regiune compatibilă), cu alimentare, răcire și rețea independente. Latență < 2 ms între AZ-uri. Nu toate regiunile au AZ-uri.
• Region Pair — fiecare regiune e împerecheată cu alta la sute de km distanță. Ex: West Europe ↔ North Europe. Microsoft nu aplică update-uri planificate simultan. GRS folosește automat regiunea pereche.
• Sovereign clouds — Azure Government (SUA), Azure China (operat de 21Vianet).

2.2 Ierarhia resurselor Azure

2.3 Servicii de compute

• Virtual Machines (IaaS) — VM-uri Windows/Linux configurabile complet. SKU-uri: General Purpose (B, D), Compute Optimized (F), Memory Optimized (E, M), GPU (N)
• Virtual Machine Scale Sets (VMSS) — grup de VM-uri identice, auto-scalabile
• Azure App Service (PaaS) — hosting pentru aplicații web, API-uri. Suportă .NET, Java, Node.js, Python, PHP, containere
• Azure Container Instances (ACI) — cel mai simplu mod de a rula un container. Plătești pe secundă. Ideal pentru job-uri scurte.
• Azure Kubernetes Service (AKS) — Kubernetes gestionat. Control plane gratuit, plătești doar pentru worker nodes.
• Azure Functions (serverless) — cod pe eveniment, fără infrastructură. Plătești doar pentru execuții.
• Azure Virtual Desktop (AVD) — desktop-uri Windows 10/11 multi-session livrate ca serviciu

2.4 Servicii de rețea

• Virtual Network (VNet) — rețea privată izolată, definită prin CIDR, subdivizată în subneturi. Limitată la o regiune.
• Network Security Group (NSG) — firewall stateful la nivel de subnet sau NIC. Reguli pe IP/port/protocol, evaluate în ordinea priorității (100–4096).
• Azure Firewall — firewall managed, stateful. Reguli pe FQDN, threat intelligence, high availability încorporată.
• VPN Gateway — conectează VNet-ul de on-premises prin internet, criptat (IPsec). Site-to-site sau point-to-site.
• ExpressRoute — conexiune privată dedicată, NU trece prin internet. Latență mai mică, throughput mai mare.
• Azure DDoS Protection — Basic (gratuit, implicit) și Standard/Network Protection (plătit, cu mitigare adaptivă).

2.5 Servicii de storage

• Blob — obiecte (fișiere mari, backup-uri, imagini). Tier-uri: Hot, Cool, Cold, Archive
• File — share-uri SMB/NFS accesibile din mai multe VM-uri simultan
• Queue — mesaje pentru comunicare asincronă
• Table — NoSQL key-value (legacy; pentru nou folosește Cosmos DB Table API)
• Disk — discuri pentru VM-uri (Standard HDD, Standard SSD, Premium SSD, Ultra Disk)

2.6 Servicii de baze de date

• Azure SQL Database — PaaS, SQL Server gestionat complet
• Azure SQL Managed Instance — compatibilitate aproape completă cu SQL Server on-prem, ideal pentru migrare lift-and-shift
• Azure Cosmos DB — NoSQL global, multi-model (document, key-value, graph, column), latență < 10 ms garantată, replicare multi-regiune
• Azure Database for MySQL / PostgreSQL — PaaS pentru baze de date open-source

Management și guvernanță

3.1 Instrumente de management

• Azure Portal — interfață grafică web, ideală pentru explorare
• Azure PowerShell — modulul Az, multi-platformă; ideal pentru automatizare în medii Windows-centric
• Azure CLI — linie de comandă cross-platform, sintaxă bash-friendly
• Azure Cloud Shell — shell în browser, fără instalare locală; suportă Bash și PowerShell
• ARM (Azure Resource Manager) — stratul de management care procesează TOATE requesturile către Azure

3.2 Infrastructure as Code

• ARM templates (JSON) — declarative, idempotent, nativ Azure
• Bicep — DSL Microsoft, sintaxă mai simplă; compilează în ARM templates
• Terraform — third-party (HashiCorp), multi-cloud

3.3 Cost management

• Pricing Calculator — estimezi costul unei configurații înainte de a o crea
• TCO Calculator — compari costul Azure vs on-premises pe 3-5 ani
• Microsoft Cost Management — vizualizezi consumul curent, setezi bugete și alerte, exporți rapoarte

Mecanisme de reducere a costurilor

• Azure Reservations — rezervi capacitate pentru 1-3 ani, reducere până la ~72%
• Savings Plans — commitment de cheltuieli orare pentru compute, reducere până la ~65%, mai flexibil decât Reservations
• Azure Hybrid Benefit — folosești licențele Windows Server / SQL Server cu Software Assurance în Azure, plătești doar compute
• Spot VMs — capacitate neutilizată Azure, până la 90% reducere, dar pot fi evacuate oricând

3.4 Guvernanță — instrumente cheie

Azure RBAC

• Permisiuni granulare la nivel de subscription, RG sau resursă
• Roluri built-in: Owner, Contributor, Reader, plus roluri specifice
• Principiul least privilege: dai exact permisiunile necesare
• Permisiunile la nivel superior se moștenesc în jos

Azure Policy

• Reguli pentru CE poate fi creat și CUM
• Effect: Deny (blochează), Audit (raportează), DeployIfNotExists (remediază)
• Inițiative = grup de politici aplicate împreună

Resource Locks

• CanNotDelete — poți modifica, dar nu șterge
• ReadOnly — nici modifica, nici șterge
• Locks se moștenesc; cel mai restrictiv lock câștigă
• Se aplică TUTUROR, inclusiv Owner-ilor

Tags

• Perechi key-value atașate la resurse; pentru organizare, raportare cost, automatizare
• NU se moștenesc implicit (trebuie politică pentru moștenire)
• Limită: 50 tags/resursă, 512 caractere per nume, 256 per valoare

3.5 Monitoring și SLA

• Azure Advisor — recomandări personalizate pe 5 categorii: Reliability, Security, Performance, Cost, Operational Excellence. Gratuit.
• Azure Monitor — colectare metrici și logs (Log Analytics). Application Insights pentru APM. Alerte pe metrici.
• Azure Service Health — incidente active, mentenanță planificată, health advisories

Identitate, securitate și conformitate

4.1 Microsoft Entra ID (fost Azure AD)

Serviciul cloud de identity & access management. Rebrandat din Azure AD în iulie 2023 — examenul poate folosi ambele nume. Folosește protocoale moderne: OAuth 2.0, OpenID Connect, SAML. Există tier Free, P1 și P2.

• Authentication (AuthN) — dovedești cine ești (parolă, MFA)
• Authorization (AuthZ) — ce ai voie să faci (RBAC, roluri)
• MFA — combină 2+ factori: ceva ce știi (parolă) + ceva ce ai (telefon) + ceva ce ești (biometrie)
• Conditional Access — acordă/blochează accesul pe baza semnalelor: user, device, locație, risc. Necesită Entra ID P1+.
• SSO — te autentifici o singură dată, accesezi toate aplicațiile integrate
• PIM (Privileged Identity Management) — just-in-time access la roluri privilegiate. Necesită Entra ID P2.

4.2 Zero Trust

• Verify explicitly — verifică întotdeauna identitatea și contextul
• Use least privilege access — JIT/JEA, doar permisiunile minime necesare
• Assume breach — proiectează ca și cum atacatorul este deja înăuntru; segmentează

4.3 Defense in Depth

4.4 CIA Triad

• Confidentiality — doar persoanele autorizate accesează datele (criptare, RBAC)
• Integrity — datele nu sunt modificate neautorizat (hashing, signing, versioning)
• Availability — datele și serviciile sunt accesibile când sunt necesare (HA, DR, DDoS protection)

4.5 Servicii cheie de securitate

• Microsoft Defender for Cloud — CSPM (Secure Score, recomandări) + CWPP (protecție activă pentru servere, baze de date, containere). Funcționează și pentru resurse AWS, GCP.
• Microsoft Sentinel — SIEM și SOAR cloud-native, scalabil. Colectează și analizează evenimente de securitate cu AI/ML.
• Azure Key Vault — stocare sigură pentru secrete, chei criptografice, certificate. Soft delete, purge protection, HSM-backed keys, integrare cu Managed Identities.

4.6 Resurse pentru conformitate

• Microsoft Trust Center — hub central pentru securitate, confidențialitate, conformitate
• Service Trust Portal — rapoarte de audit (SOC, ISO 27001, FedRAMP, GDPR etc.) și documente Privacy Statement, OST, DPA
• Compliance Manager — evaluare automată față de standarde (GDPR, HIPAA, NIST etc.)

Cuvinte-cheie → serviciul corect

Dacă în întrebare apare unul dintre aceste cuvinte/fraze, răspunsul este de obicei: