Carduri de Studiu

Ce este Cloud Computing?

Servicii informatice la cerere prin internet, cu plată pe consum, elastice și scalabile.

Ce este IaaS?

Infrastructure as a Service — primiți infrastructura virtualizată (VM, rețea, stocare) și administrați OS-ul și tot ce e deasupra.

Ce este PaaS?

Platform as a Service — platformă gata configurată. Nu vedeți OS-ul, aduceți codul. Exemple: App Service, Azure SQL.

Ce este SaaS?

Software as a Service — aplicații complete gata de utilizat (Microsoft 365, Salesforce). Fără gestiune infrastructură.

Ce este Shared Responsibility Model?

Modelul care definește ce gestionează Microsoft (hardware, rețea, datacenter) și ce rămâne responsabilitatea clientului.

CapEx vs OpEx

CapEx = investiție inițială mare în hardware. OpEx = plată operațională pe consum (modelul cloud). Cloud elimină CapEx.

Ce este RBAC?

Role-Based Access Control — controlul accesului bazat pe roluri (Security Principal + Role Definition + Scope).

Owner vs Contributor

Owner poate gestiona accesul altor utilizatori. Contributor nu — doar creează/modifică/șterge resurse.

Authentication vs Authorization

Authentication = cine ești (verificare identitate). Authorization = ce ai voie (verificare permisiuni). Authentication vine prima.

Ce este un Tenant?

Instanța dedicată de Microsoft Entra ID pentru o organizație — conține utilizatori, grupuri și politici.

Least Privilege

Exact atâtea permisiuni câte sunt necesare — nimic mai mult. Reduce suprafața de atac.

Ce este un Security Principal?

O identitate care poate primi roluri: utilizator, grup, service principal sau managed identity.

Ce este un Resource Group?

Container logic pentru resurse înrudite. Regula de aur: un proiect/mediu = un Resource Group.

Ce este un Tag?

Pereche cheie-valoare atașată unei resurse pentru cost allocation, governance și auditare.

Ce este o Regiune Azure?

Set de centre de date localizate geografic, conectate prin rețea de latență redusă.

De ce contează Naming Convention?

Permite identificarea rapidă a tipului, scopului și proprietarului resursei, fără investigații.

Ce este un VNet?

O rețea virtuală privată și izolată în Azure. Spațiul tău privat de rețea în cloud.

Ce este un Subnet?

Împărțire logică a unui VNet pentru organizare și aplicarea de politici de securitate diferite.

IP Public vs IP Privat

Public = accesibil din internet. Privat = doar în interiorul VNet-ului, ne-rutat pe internet.

Ce este un NSG?

Network Security Group — set de reguli de securitate care filtrează traficul de rețea (inbound/outbound).

RFC 1918 — Spații IP private

10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 — rezervate pentru rețele private.

Port 80

HTTP — trafic web necriptat.

Port 443

HTTPS — trafic web criptat (standardul modern).

Port 3389

RDP — Remote Desktop Protocol, acces grafic la Windows.

Port 22

SSH — Secure Shell, acces terminal text la Linux.

Regulă NSG — 6 elemente

Source, Source Port, Destination, Destination Port, Protocol, Action + Priority.

Stop vs Deallocate (VM)

Stop = continuă taxarea compute. Deallocate = eliberează resurse, plătești doar stocare.

High Availability

Proiectarea sistemelor astfel încât să rămână funcționale chiar când componente individuale eșuează.

Redundanță

Duplicarea componentelor critice (replici) pentru a elimina punctele unice de eșec.

Disaster Recovery

Planul de recuperare a serviciilor după un eveniment catastrofal (dezastru natural, atac).

IaaS vs PaaS — când alegi VM?

Când ai nevoie de control total: software specific, configurări OS avansate, protocoale non-standard.

Ce este App Service Plan?

Definește compute-ul (CPU, RAM, scalare) partajat de Web Apps. Echivalent cu 'abonamentul' la platformă.

Scale Up vs Scale Out

Scale Up (vertical) = mașină mai mare. Scale Out (orizontal) = mai multe mașini identice.

Cloud Native Mindset

Proiectarea aplicațiilor pentru a exploata nativ capabilitățile cloud: managed services, scalare automată, reziliență.

Blob Storage

Binary Large Object — pentru date nestructurate: imagini, video, backup, log-uri.

LRS vs ZRS vs GRS

LRS = 3 copii, 1 datacenter. ZRS = 3 copii, 3 zone. GRS = 6 copii, 2 regiuni.

Ce este un SAS Token?

Shared Access Signature — URI cu permisiuni limitate și durată controlată pentru acces la storage.

Azure File Share

Share de fișiere accesibil prin SMB/NFS — ideal pentru lift-and-shift al aplicațiilor on-premises.

Queue Storage

Stocare de mesaje pentru comunicare asincronă între componente ale aplicației.

Azure SQL Database

Managed SQL database (PaaS) — backup automat, HA, patching fără intervenție.

SQL pe VM vs Azure SQL

VM = control total + responsabilitate totală. Azure SQL = managed, mai puțin control, mai puțin efort.

Point-in-time Restore

Restaurarea bazei de date la orice secundă din perioada de retenție (7-35 zile).

TDE (Transparent Data Encryption)

Criptare automată a datelor at rest în Azure SQL — activată implicit.

Azure Monitor

Platforma centralizată pentru colectarea și analiza metricilor, log-urilor și trace-urilor din toate resursele Azure.

KQL

Kusto Query Language — limbajul nativ pentru interogarea datelor din Log Analytics.

Application Insights

Componenta Azure Monitor specializată pentru monitorizarea aplicațiilor web: request tracking, dependency mapping.

Monitorizare vs Observabilitate

Monitorizarea = verifici stări cunoscute. Observabilitatea = diagnostichezi probleme necunoscute (metrici + logs + traces).

Activity Log

Jurnalul operațiunilor control plane: cine a creat/modificat/șters resurse, când.

Assume Breach

Proiectează securitatea ca și cum atacatorul e deja înăuntru — minimizează impactul unui compromis.

MFA (Multi-Factor Authentication)

Autentificare cu 2+ factori: ceva ce știi (parolă), ceva ce ai (telefon), ceva ce ești (biometric).

GDPR

General Data Protection Regulation — reglementarea UE pentru protecția datelor personale.

Zero Trust

Niciodată presupuneți încredere. Verificați explicit. Acordați acces minim. Presupuneți breșă.

Azure Resource Manager (ARM)

Stratul de management care procesează TOATE request-urile Azure — portal, CLI, PowerShell, API.

Management Group

Container pentru subscription-uri, permițând aplicarea de politici și RBAC la scară mare.

Azure Policy

Serviciu care creează, atribuie și gestionează politici care impun reguli și efecte asupra resurselor.

Azure Blueprints

Pachete reutilizabile de politici, roluri și template-uri ARM pentru medii standardizate.

Ce este AKS?

Azure Kubernetes Service — managed Kubernetes. Azure gestionează control plane-ul, tu te concentrezi pe workload-uri.

Node Pool

Grup de VM-uri cu aceeași configurație pe care Kubernetes programează pod-urile.

Azure CNI Overlay

Network plugin care creează un overlay — pod-urile nu consumă IP-uri din VNet, ideal pentru clustere mari.

Cluster Autoscaler

Adaugă/elimină noduri automat în funcție de cererea de CPU/memorie.

SLO vs SLA

SLO = ținta internă de fiabilitate. SLA = promisiunea contractuală către client.

Error Budget

Spațiul permis pentru eșec fără a depăși SLO-ul. 99.9% SLO = ~43 min downtime/lună.

LAW vs AMW

Log Analytics Workspace = centrul pentru logs/KQL. Azure Monitor Workspace = metrici Prometheus managed.

Trei piloni ai observabilității

Metrics (date numerice agregate), Logs (evenimente discrete), Traces (cereri end-to-end).

NSG vs Azure Firewall

NSG = micro-segmentare locală L3-L4. Firewall = control centralizat L3-L7 cu FQDN, NAT, policy.

AzureFirewallSubnet — dimensiune minimă

/26 — serviciul necesită spațiu pentru scalare și operațiuni interne.

Ordinea regulilor Azure Firewall

DNAT → Network Rules → Application Rules. La primul match, procesarea se oprește.

DNS Proxy pe Azure Firewall

Fără DNS Proxy, regulile FQDN pot fi inconsistente — rezoluția DNS nu trece prin firewall.

Standard vs Premium SKU

Standard = enterprise baseline. Premium = TLS inspection, IDPS, URL filtering extins.

ExpressRoute vs VPN Gateway

ExpressRoute = conexiune privată, SLA enterprise. VPN = IPsec prin internet, mai rapid și ieftin de implementat.

Private Endpoint

IP privat în subnetul tău pentru un serviciu PaaS specific (Storage, SQL). Nu conectează rețele întregi.

Gateway Transit

Spoke-urile folosesc gateway-ul VPN/ExpressRoute din hub fără gateway propriu.

Peering-ul NU este tranzitiv

A↔B și B↔C nu implică A↔C. Fiecare spoke trebuie peered direct cu hub-ul.

Private DNS Zone

Fără ea, Private Endpoint nu funcționează — numele serviciului rezolvă la IP-ul public, nu cel privat.