1.云原生部署(AWS/Azure)
云原生部署是指利用云计算平台的弹性、可扩展性和自动化能力,以容器化、微服务、持续交付、DevOps 和动态编排(如 Kubernetes)为核心构建和运行应用。在 AWS 和 Azure 上进行云原生部署,通常涉及以下关键组件和技术栈:
一、通用云原生架构原则
- 微服务架构:将应用拆分为独立部署、松耦合的服务。
- 容器化:使用 Docker 封装应用及其依赖。
- 编排与调度:通过 Kubernetes 管理容器生命周期。
- CI/CD 自动化:实现从代码提交到生产部署的全流程自动化。
- 基础设施即代码(IaC):使用 Terraform、CloudFormation 或 ARM/Bicep 模板管理资源。
- 可观测性:集成日志、指标、追踪(Logging, Metrics, Tracing)。
二、AWS 上的云原生部署
1. 容器服务
- Amazon EKS(Elastic Kubernetes Service):托管 Kubernetes 服务,推荐用于生产级容器编排。
- Amazon ECS(Elastic Container Service):AWS 原生容器编排服务,适合轻量级或深度集成 AWS 生态的场景。
- Fargate:无服务器计算引擎,可与 EKS 或 ECS 配合使用,无需管理 EC2 实例。
2. CI/CD 工具链
- CodePipeline + CodeBuild + CodeDeploy:AWS 原生 CI/CD 服务。
- 也可集成 GitHub Actions、GitLab CI、Jenkins 等第三方工具。
3. 基础设施即代码
- AWS CloudFormation:原生模板语言(YAML/JSON)。
- Terraform(推荐):跨云支持,模块化强。
4. 监控与日志
- CloudWatch:日志、指标、告警。
- X-Ray:分布式追踪。
- 可集成 Prometheus + Grafana(通过 EKS 插件或自建)。
5. 示例部署流程(EKS + GitOps)
- 使用 Terraform 创建 EKS 集群。
- 构建 Docker 镜像并推送到ECR(Elastic Container Registry)。
- 使用 Argo CD 或 Flux 实现 GitOps 部署(声明式同步 Git 仓库中的 Helm/K8s 清单)。
- 通过 ALB Ingress Controller 暴露服务。
- 配置 IAM Roles for Service Accounts(IRSA)实现细粒度权限控制。
三、Azure 上的云原生部署
1. 容器服务
- Azure Kubernetes Service (AKS):托管 Kubernetes 服务,支持自动扩缩、节点池、Windows/Linux 混合等。
- Azure Container Apps:无服务器容器平台,适合事件驱动或轻量微服务。
- Azure Container Instances (ACI):快速运行单个容器,常用于测试或批处理。
2. CI/CD 工具链
- Azure DevOps(Pipelines):集成源码、构建、发布、测试。
- 支持 GitHub Actions、GitLab CI 等。
3. 基础设施即代码
- ARM 模板 / Bicep(推荐):Azure 原生 IaC。
- Terraform:同样广泛使用。
4. 监控与日志
- Azure Monitor + Log Analytics:统一监控平台。
- Application Insights:应用性能监控(APM)。
- 支持 OpenTelemetry、Prometheus(通过 Azure Managed Prometheus)。
5. 示例部署流程(AKS + Azure DevOps)
- 使用 Bicep/Terraform 部署 AKS 集群。
- 构建镜像并推送至Azure Container Registry (ACR)。
- 在 Azure Pipelines 中定义 YAML 流水线,执行
kubectl apply或 Helm 部署。 - 使用AGIC(Application Gateway Ingress Controller)或NGINX Ingress暴露服务。
- 启用Workload Identity实现 Pod 与 Azure 资源的安全访问。
四、跨云/多云考虑
- 使用Crossplane或Kubernetes Federation管理多云资源。
- 镜像仓库可选用Harbor(私有)或Docker Hub/Quay(公有)。
- 服务网格(如 Istio、Linkerd)提升流量管理与安全。
五、最佳实践建议
| 领域 | 建议 |
|---|---|
| 安全 | 启用最小权限、网络策略(Calico/Cilium)、镜像扫描(Trivy/Clair) |
| 成本优化 | 使用 Spot 实例(AWS)/低优先级 VM(Azure)、HPA/VPA 自动扩缩 |
| 可靠性 | 多可用区部署、健康探针、Pod Disruption Budget |
| 合规 | 启用审计日志、加密(KMS/Azure Key Vault)、合规基线(AWS Config / Azure Policy) |
2.Docker
Docker 是一个开源的容器化平台,用于将应用程序及其依赖打包到一个轻量、可移植、自包含的“容器”中,从而实现“一次构建,随处运行”(Build Once, Run Anywhere)的目标。它是现代云原生(Cloud Native)和微服务架构的核心技术之一。
一、Docker 核心概念
| 概念 | 说明 |
|---|---|
| 镜像(Image) | 只读模板,包含运行应用所需的所有内容(代码、运行时、库、环境变量、配置文件等)。例如nginx:1.25。 |
| 容器(Container) | 镜像的运行实例。容器是隔离的、轻量的、可启动/停止/删除的进程。 |
| Dockerfile | 一个文本文件,包含一系列指令,用于自动构建镜像(如FROM,COPY,RUN,CMD等)。 |
| Docker Hub / Registry | 镜像仓库,用于存储和分发镜像。Docker Hub 是官方公共仓库,企业常用私有仓库(如 AWS ECR、Azure ACR、Harbor)。 |
| Volume | 用于持久化容器数据,独立于容器生命周期。 |
| Network | 容器间通信机制,支持 bridge、host、overlay 等网络模式。 |
二、基本命令速查
# 构建镜像 docker build -t myapp:v1 . # 运行容器(前台) docker run -p 8080:80 myapp:v1 # 后台运行(-d) docker run -d --name web-server -p 8080:80 nginx # 查看运行中的容器 docker ps # 查看所有容器(包括已停止) docker ps -a # 停止/启动/重启容器 docker stop <container_id> docker start <container_id> docker restart <container_id> # 查看日志 docker logs <container_id> # 进入容器(交互式) docker exec -it <container_id> /bin/bash # 删除容器 docker rm <container_id> # 删除镜像 docker rmi <image_id> # 列出本地镜像 docker images # 拉取镜像 docker pull redis:7 # 推送镜像到仓库 docker push your-registry/myapp:v1三、Dockerfile 示例(Node.js 应用)
# 使用官方 Node.js 运行时作为基础镜像 FROM node:18-alpine # 设置工作目录 WORKDIR /app # 复制 package.json 和 yarn.lock(利用缓存) COPY package*.json ./ # 安装依赖 RUN npm install # 复制应用源码 COPY . . # 暴露端口 EXPOSE 3000 # 启动命令 CMD ["npm", "start"]最佳实践:
- 使用
.dockerignore排除无关文件(如node_modules,.git)。- 尽量使用小体积基础镜像(如
alpine、distroless)。- 多阶段构建(Multi-stage Build)减少最终镜像大小。
多阶段构建示例(Go 应用):
# 构建阶段 FROM golang:1.22 AS builder WORKDIR /app COPY . . RUN CGO_ENABLED=0 GOOS=linux go build -o main . # 运行阶段 FROM alpine:latest RUN apk --no-cache add ca-certificates WORKDIR /root/ COPY --from=builder /app/main . CMD ["./main"]四、Docker 与云原生集成
| 场景 | 工具/平台 |
|---|---|
| 容器编排 | Kubernetes(K8s)、Docker Swarm(已不推荐) |
| CI/CD 集成 | GitHub Actions、GitLab CI、Jenkins、Azure DevOps |
| 镜像仓库 | Docker Hub、AWS ECR、Azure ACR、Google GCR、Harbor |
| 安全扫描 | Trivy、Clair、Docker Scout、Snyk |
| 监控 | Prometheus + cAdvisor、Datadog、New Relic |
五、常见问题与优化建议
✅安全
- 避免在容器中以 root 用户运行(使用
USER指令)。 - 定期更新基础镜像,修复 CVE 漏洞。
- 使用非特权模式运行容器(默认即如此)。
✅性能与体积
- 使用
.dockerignore减少上下文传输。 - 合并 RUN 指令减少镜像层数。
- 使用多阶段构建剥离构建工具。
✅调试
- 使用
docker inspect查看容器详细信息。 - 日志输出到 stdout/stderr,便于集中收集。
六、下一步学习方向
- 学习Docker Compose(本地多容器编排)
- 掌握Kubernetes(生产级容器编排)
- 实践CI/CD 流水线集成 Docker
- 了解OCI(Open Container Initiative)标准
3.Kubernetes
Kubernetes(常缩写为K8s)是一个开源的容器编排平台,用于自动化部署、扩展和管理容器化应用。它最初由 Google 设计,现由 Cloud Native Computing Foundation(CNCF)维护,是云原生生态的核心组件。
一、Kubernetes 核心概念
| 概念 | 说明 |
|---|---|
| Pod | 最小调度单位,包含一个或多个紧密耦合的容器(共享网络、存储、IPC)。通常一个 Pod 运行一个主容器。 |
| Deployment | 声明式地管理 Pod 的副本数、滚动更新、回滚等。确保指定数量的 Pod 始终运行。 |
| Service | 为一组 Pod 提供稳定的网络入口(ClusterIP、NodePort、LoadBalancer 类型),实现服务发现与负载均衡。 |
| Namespace | 逻辑隔离环境(如 dev / staging / prod),用于多租户资源划分。 |
| ConfigMap & Secret | 分别用于存储非敏感配置和敏感信息(如密码、token),可挂载到 Pod 中。 |
| Ingress | 管理外部 HTTP/HTTPS 访问路由,通常配合 Ingress Controller(如 Nginx、ALB、Traefik)使用。 |
| PersistentVolume (PV) / PersistentVolumeClaim (PVC) | 抽象存储资源,实现 Pod 数据持久化(如数据库数据)。 |
| StatefulSet | 用于有状态应用(如 MySQL、Kafka),保证 Pod 的唯一标识和有序部署。 |
| DaemonSet | 确保每个节点(或满足条件的节点)运行一个 Pod 副本(常用于日志收集、监控代理)。 |
| Job / CronJob | 运行一次性任务或定时任务。 |
二、Kubernetes 架构
控制平面(Control Plane)
- kube-apiserver:集群 API 入口,所有操作都通过它。
- etcd:分布式键值存储,保存集群所有状态。
- kube-scheduler:将新创建的 Pod 调度到合适的节点。
- kube-controller-manager:运行控制器(如 Deployment、ReplicaSet 控制器)。
- cloud-controller-manager(云厂商集成):处理云平台特定逻辑(如 LoadBalancer 创建)。
工作节点(Worker Node)
- kubelet:与控制平面通信,管理本机 Pod 和容器。
- '',kube-proxy:维护节点上的网络规则,实现 Service 的网络代理。
- Container Runtime:运行容器的底层引擎(如 containerd、CRI-O,Docker 已不推荐直接使用)。
三、常用 kubectl 命令
# 查看资源 kubectl get pods kubectl get deployments kubectl get services kubectl get nodes # 查看详细信息 kubectl describe pod <pod-name> # 查看日志 kubectl logs <pod-name> kubectl logs -f <pod-name> --tail=100 # 进入容器 kubectl exec -it <pod-name> -- /bin/sh # 应用配置文件(YAML) kubectl apply -f deployment.yaml # 删除资源 kubectl delete deployment my-app # 查看事件(排查问题) kubectl get events --sort-by=.metadata.creationTimestamp # 端口转发(本地调试) kubectl port-forward svc/my-service 8080:80四、典型 YAML 示例
1. Deployment + Service
# app-deployment.yaml apiVersion: apps/v1 kind: Deployment metadata: name: nginx-deployment spec: replicas: 3 selector: matchLabels: app: nginx template: metadata: labels: app: nginx spec: containers: - name: nginx image: nginx:1.25 ports: - containerPort: 80 --- apiVersion: v1 kind: Service metadata: name: nginx-service spec: selector: app: nginx ports: - protocol: TCP port: 80 targetPort: 80 type: ClusterIP # 或 LoadBalancer / NodePort2. Ingress(需已安装 Ingress Controller)
apiVersion: networking.k8s.io/v1 kind: Ingress metadata: name: my-ingress annotations: nginx.ingress.kubernetes.io/rewrite-target: / spec: rules: - host: myapp.example.com http: paths: - path: / pathType: Prefix backend: service: name: nginx-service port: number: 80五、在云平台使用 Kubernetes
| 平台 | 托管服务 | 特点 |
|---|---|---|
| AWS | Amazon EKS | 集成 IAM、VPC、ALB;支持 Fargate(无服务器节点) |
| Azure | Azure AKS | 集成 AAD、Application Gateway、Workload Identity |
| GCP | Google GKE | 自动修复、自动升级、Anthos 支持混合云 |
✅ 推荐使用托管服务(EKS/AKS/GKE),避免自行维护控制平面。
六、高级主题(进阶)
- Helm:Kubernetes 的包管理器,简化应用部署(类似 apt/yum)。
- Kustomize:原生配置管理工具,支持 overlay(覆盖)不同环境配置。
- Service Mesh:Istio、Linkerd —— 提供流量管理、mTLS、可观测性。
- Operator 模式:通过自定义控制器管理复杂有状态应用(如 Prometheus Operator)。
- GitOps:使用 Argo CD 或 Flux 将 Git 作为系统唯一事实源,自动同步集群状态。
七、最佳实践
✅安全
- 启用 RBAC,最小权限原则。
- 使用 NetworkPolicy 限制 Pod 间通信。
- 定期扫描镜像漏洞(Trivy + Admission Controller)。
✅可靠性
- 设置
livenessProbe/readinessProbe。 - 使用 HPA(Horizontal Pod Autoscaler)自动扩缩容。
- 多可用区部署(Pod Topology Spread Constraints)。
✅可观测性
- 集成 Prometheus + Grafana(指标)
- 使用 Loki / ELK(日志)
- Jaeger / Tempo(分布式追踪)
八、学习路径建议
- 本地实验:使用 Minikube 或 Kind 快速搭建单节点集群。
- 交互式教程:Kubernetes 官方交互式教程
- 认证:考取 CKA(Certified Kubernetes Administrator)
- 实战项目:部署一个带数据库、前端、API 的完整应用,并配置 CI/CD。
4.AWS
AWS(Amazon Web Services)是全球领先的云计算平台,提供超过 200 项功能全面的云服务,涵盖计算、存储、数据库、网络、安全、AI/ML、DevOps、容器、无服务器等。它是企业构建云原生应用、实现弹性伸缩和高可用架构的首选平台之一。
一、AWS 核心服务概览
| 类别 | 关键服务 | 用途 |
|---|---|---|
| 计算 | EC2, Lambda, ECS, EKS, Fargate | 虚拟机、函数计算、容器运行 |
| 存储 | S3, EBS, EFS, Glacier | 对象存储、块存储、文件存储、归档 |
| 数据库 | RDS, DynamoDB, Aurora, Redshift | 关系型、NoSQL、数据仓库 |
| 网络 | VPC, ALB/NLB, Route 53, CloudFront | 虚拟私有云、负载均衡、DNS、CDN |
| 安全 | IAM, KMS, Secrets Manager, WAF, Shield | 身份管理、加密、密钥管理、DDoS 防护 |
| 监控与日志 | CloudWatch, X-Ray, CloudTrail | 指标监控、分布式追踪、操作审计 |
| DevOps / CI-CD | CodePipeline, CodeBuild, CodeDeploy, Systems Manager | 自动化构建、部署、运维 |
| 容器与编排 | ECR, ECS, EKS, Fargate | 镜像仓库、容器服务、Kubernetes 托管 |
二、典型云原生架构(AWS 上)
一个典型的微服务应用在 AWS 的部署架构可能包括:
用户 → CloudFront (CDN) ↓ Route 53 (DNS) ↓ Application Load Balancer (ALB) ↓ EKS 集群(运行多个微服务 Pod) ↓ - 应用服务:通过 Service + Ingress 暴露 - 数据库:Aurora(MySQL/PostgreSQL 兼容)或 DynamoDB - 缓存:ElastiCache(Redis/Memcached) - 文件存储:S3(静态资源、用户上传) - 日志/监控:CloudWatch + X-Ray - 镜像仓库:ECR - CI/CD:CodePipeline + CodeBuild → 推送镜像到 ECR → 触发 EKS 部署三、关键服务详解
1.Amazon EC2(Elastic Compute Cloud)
- 可调整的虚拟服务器。
- 支持按需、预留、Spot 实例(成本优化)。
- 与 Auto Scaling Group(ASG)配合实现自动扩缩容。
2.Amazon S3(Simple Storage Service)
- 高持久性(99.999999999%)、可扩展的对象存储。
- 用于静态网站托管、备份、大数据分析、AI 训练数据集等。
- 支持生命周期策略(自动转 Glacier 归档)。
3.Amazon VPC(Virtual Private Cloud)
- 在 AWS 云中创建隔离的虚拟网络。
- 可定义子网(公有/私有)、路由表、NAT 网关、安全组(Security Group)、网络 ACL。
- 最佳实践:多可用区(AZ)部署,私有子网放数据库,公有子网放 ALB。
4.Amazon EKS(Elastic Kubernetes Service)
- 托管 Kubernetes 服务,无需管理控制平面。
- 集成 IAM(通过 IRSA:IAM Roles for Service Accounts)。
- 支持 Fargate(无服务器节点)或 EC2 节点组。
- 常用插件:ALB Ingress Controller、Cluster Autoscaler、Fluent Bit(日志)、Prometheus(监控)。
5.AWS Lambda(无服务器计算)
- 事件驱动,按执行时间计费(毫秒级)。
- 适合处理 S3 上传事件、API Gateway 请求、定时任务等。
- 与 API Gateway 结合可构建 Serverless API。
6.Amazon RDS vs Aurora vs DynamoDB
| 服务 | 类型 | 特点 |
|---|---|---|
| RDS | 托管关系型数据库(MySQL, PostgreSQL 等) | 自动备份、只读副本、故障转移 |
| Aurora | AWS 自研高性能兼容 MySQL/PostgreSQL | 6 倍于标准 MySQL 性能,跨 AZ 复制 |
| DynamoDB | 托管 NoSQL | 单表设计、毫秒级延迟、自动扩缩、DAX 缓存加速 |
四、安全与合规
IAM(Identity and Access Management)
- 最小权限原则:为用户/角色分配精确权限。
- 使用策略(Policy)控制对资源的访问。
- 推荐使用AssumeRole而非长期凭证。
KMS(Key Management Service)
- 加密 S3、EBS、RDS 等服务中的数据。
- 支持客户托管密钥(CMK)。
Secrets Manager
- 安全存储数据库密码、API 密钥,并自动轮换。
GuardDuty + Security Hub
- 威胁检测与安全态势统一视图。
五、基础设施即代码(IaC)
| 工具 | 说明 |
|---|---|
| AWS CloudFormation | 原生模板(YAML/JSON),深度集成 AWS |
| Terraform(推荐) | 跨云支持,HCL 语法,模块化强,社区生态丰富 |
| CDK(Cloud Development Kit) | 用 TypeScript/Python 等编程语言定义基础设施 |
示例(Terraform 创建 S3 存储桶):
resource "aws_s3_bucket" "my_bucket" { bucket = "my-unique-app-bucket-2026" } resource "aws_s3_bucket_versioning" "versioning" { bucket = aws_s3_bucket.my_bucket.id versioning_configuration { status = "Enabled" } }六、成本优化建议
- 使用Cost Explorer分析支出。
- 启用AWS Budgets设置告警。
- 利用Reserved Instances / Savings Plans(适用于稳定负载)。
- 无状态服务优先使用Spot 实例(EKS 节点组支持混合 Spot/On-Demand)。
- 删除未使用的 EBS 卷、EIP、未绑定的 ALB。
七、学习与认证路径
- 入门:AWS 免费套餐(12 个月免费)
- 动手实验:AWS Workshop Studio
- 官方文档:AWS Documentation
- 认证考试:
- AWS Certified Cloud Practitioner(基础)
- AWS Certified Solutions Architect – Associate(最热门)
- AWS Certified DevOps Engineer – Professional
- AWS Certified SysOps Administrator
八、常见场景示例
✅部署 Web 应用到 EKS
- 使用 Terraform 创建 VPC + EKS 集群。
- 构建 Docker 镜像 → 推送到 ECR。
- 编写 Deployment + Service + Ingress YAML。
- 通过 Argo CD 或 CodePipeline 自动部署。
- 配置 ALB Ingress Controller,绑定自定义域名(Route 53)。
✅Serverless API
- 用户 → API Gateway → Lambda → DynamoDB
- 全托管、自动扩缩、按请求付费。
5.Azure
Microsoft Azure 是微软提供的全球性云计算平台,提供 IaaS、PaaS 和 SaaS 服务,广泛用于企业级应用开发、混合云部署、AI/ML、大数据和现代化云原生架构。Azure 与 Microsoft 生态(如 Active Directory、Office 365、.NET)深度集成,特别适合 Windows 应用、企业身份管理和混合云场景。
一、Azure 核心服务概览
| 类别 | 关键服务 | 用途 |
|---|---|---|
| 计算 | Virtual Machines (VM), App Service, Azure Functions, AKS, Container Apps | 虚拟机、托管 Web 应用、无服务器、Kubernetes、容器 |
| 存储 | Blob Storage, Disk Storage, Files, Queue, Table | 对象、块、文件、消息队列、NoSQL 表存储 |
| 数据库 | Azure SQL Database, Cosmos DB, MySQL/PostgreSQL (Flexible Server) | 托管关系型、全球分布式 NoSQL、开源数据库 |
| 网络 | Virtual Network (VNet), Load Balancer, Application Gateway, Front Door, Traffic Manager | 私有网络、L4/L7 负载均衡、CDN、DNS 路由 |
| 安全 | Azure AD (Entra ID), Key Vault, Managed Identities, Defender for Cloud | 身份管理、密钥/证书存储、零信任安全 |
| 监控 | Azure Monitor, Application Insights, Log Analytics | 指标、日志、APM、告警 |
| DevOps | Azure DevOps, GitHub Actions, ARM/Bicep, Terraform | CI/CD、IaC、项目管理 |
| 容器 | Azure Kubernetes Service (AKS), Azure Container Registry (ACR), Container Instances (ACI) | 托管 K8s、镜像仓库、快速容器运行 |
二、典型云原生架构(Azure 上)
用户 → Azure Front Door(全球 CDN + DDoS 防护) ↓ Application Gateway(WAF + L7 负载均衡) ↓ AKS 集群(运行微服务 Pods) ↓ - 微服务:通过 Ingress(AGIC 或 Nginx)暴露 - 数据库:Azure SQL(关系型)或 Cosmos DB(NoSQL) - 缓存:Azure Cache for Redis - 文件/静态资源:Blob Storage(可开启静态网站托管) - 镜像仓库:ACR(私有、安全扫描) - CI/CD:Azure Pipelines → 构建镜像 → 推送 ACR → 部署到 AKS - 身份:Azure AD Workload Identity(Pod 安全访问 Azure 资源)三、关键服务详解
1.Azure Kubernetes Service (AKS)
- 托管 Kubernetes,控制平面免费,只需为节点付费。
- 支持:
- 自动升级、自动缩放(Cluster Autoscaler + HPA)
- 多节点池(系统/用户池、Spot VM)
- 与 Azure AD 集成(RBAC)
- Workload Identity:替代传统 Service Principal,实现 Pod 级最小权限访问(如读取 Key Vault)
- 常用插件:AGIC(Application Gateway Ingress Controller)、Prometheus Operator、Fluent Bit
2.Azure Container Registry (ACR)
- 私有 Docker 镜像仓库。
- 支持:
- 镜像漏洞扫描(Microsoft Defender for Container Registries)
- Geo-replication(多区域同步)
- ACR Tasks:自动构建镜像(类似 AWS CodeBuild)
3.Azure App Service
- PaaS 服务,支持 .NET、Java、Node.js、Python、PHP 等。
- 自动扩缩、SSL 绑定、CI/CD 集成(GitHub、Azure DevOps)。
- 适合单体或简单 Web 应用,无需管理底层 OS。
4.Azure Functions(无服务器)
- 事件驱动,按执行时间计费。
- 触发器:HTTP、Blob Storage、Queue、Timer、Event Grid。
- 与 Logic Apps 结合可构建低代码自动化工作流。
5.Cosmos DB
- 全球分布式、多模型 NoSQL 数据库(文档、键值、图、列族)。
- 提供 99.999% SLA,毫秒级延迟,自动分片。
- 支持多种 API:MongoDB、SQL、Cassandra、Gremlin、Table。
6.Virtual Network (VNet) 与网络安全
- Subnet:划分为 Web、App、DB 层。
- Network Security Group (NSG):类似防火墙,控制入/出站流量。
- Private Endpoint:将 PaaS 服务(如 ACR、Storage、SQL)接入 VNet,避免公网暴露。
- Azure Firewall / WAF:高级威胁防护。
四、身份与安全
✅Azure AD(现 Entra ID)
- 企业统一身份平台。
- 支持 SSO、MFA、条件访问(Conditional Access)。
- 与本地 AD 无缝集成(Hybrid Identity)。
✅Managed Identities
- 为 Azure 资源(如 VM、AKS Pod)自动分配身份,无需硬编码凭据。
- 分为:
- System-assigned:绑定到单个资源。
- User-assigned:可跨多个资源复用。
示例:AKS Pod 通过 Workload Identity 访问 Key Vault,无需 Secret。
✅Azure Key Vault
- 安全存储密钥、证书、密码。
- 与 App Service、Functions、AKS 深度集成。
- 支持自动证书轮换(与 Let's Encrypt 集成)。
五、基础设施即代码(IaC)
| 工具 | 说明 |
|---|---|
| ARM Templates | Azure 原生 JSON 模板(较冗长) |
| Bicep(推荐) | 微软官方推出的声明式语言,编译为 ARM,语法简洁、模块化 |
| Terraform | 跨云支持,HCL 语法,社区生态强大 |
Bicep 示例:创建存储账户
param storageName string = 'mystorage${uniqueString(resourceGroup().id)}' resource stg 'Microsoft.Storage/storageAccounts@2023-01-01' = { name: storageName location: resourceGroup().location sku: { name: 'Standard_LRS' } kind: 'StorageV2' }六、DevOps 与 CI/CD
Azure DevOps
- 包含:
- Repos(Git)
- Pipelines(YAML 定义 CI/CD)
- Boards(敏捷项目管理)
- Artifacts(包管理)
- 示例流水线(部署到 AKS):
trigger: - main pool: vmImage: 'ubuntu-latest' steps: - task: Docker@2 inputs: containerRegistry: 'my-acr-connection' repository: 'myapp' command: 'buildAndPush' Dockerfile: '**/Dockerfile' - task: KubernetesManifest@0 inputs: action: 'deploy' kubernetesServiceConnection: 'my-aks-connection' manifests: 'k8s/deployment.yaml' containers: '$(containerRegistry)/myapp:$(Build.BuildId)'
也可使用GitHub Actions+Azure Login Action实现相同流程。
七、成本优化建议
- 使用Azure Cost Management + Budgets监控支出。
- 启用Reserved Instances(VM/DB)或Savings Plans(计算)。
- 无状态工作负载使用Spot VM(AKS 节点池支持)。
- 删除未使用的 Public IP、NIC、空存储账户。
- 利用Autoscale避免资源闲置。
八、学习与认证路径
- 免费账户:Azure 免费套餐($200 试用额度 + 12 个月免费服务)
- 动手实验:Microsoft Learn(交互式模块)
- 认证考试:
- AZ-900: Azure Fundamentals(入门)
- AZ-204: Developing Solutions for Azure(开发者)
- AZ-400: DevOps Engineer Expert
- AZ-305: Solutions Architect Expert
九、常见场景示例
✅在 AKS 上部署 .NET Core 应用
- 使用 Bicep/Terraform 创建 AKS + ACR。
- 启用 Workload Identity,配置 Pod 访问 Key Vault。
- 构建 Docker 镜像 → 推送 ACR。
- 使用 Helm 或 Kustomize 部署到 AKS。
- 通过 AGIC 暴露服务,绑定自定义域名(Azure DNS)。
✅Serverless 数据处理
- 用户上传文件到 Blob Storage → 触发 Azure Function → 写入 Cosmos DB → 发送通知到 Teams(通过 Logic App)。
