Microsoft AZ-103 Cheat Sheet

Yes! Eergisteren op de valreep mijn AZ-100 en AZ-101 behaald (dus automatisch mijn AZ-103 certificering ontvangen). AZ-103 is de “Certified Azure Administrator” certificering. AZ-103 is dus een nieuwe certificering die AZ-100 en AZ-101 samenvoegd. AZ-103 geeft je een goed beeld van de mogelijkheden en de beperkingen van Azure. Als Azure administrator ben je in staat om Azure op een efficiënte manier in te richten en om de gewenste inrichting te realiseren binnen het Microsoft IaaS oplossing. Tijdens het leren heb ik weer een korte cheat sheet gemaakt. Dus voor iedereen die zijn AZ-103 certificering wilt behalen, hierbij alvast een aantal handige geheugensteuntjes. Doe er je voordeel mee….!

Algemeen

Verschil tussen de Monitor, de Advisor en Cost Management:

• Monitor is voor het monitoren van je omgeving en geeft inzicht in de metrics van deze omgeving. Om netwerkverkeer te monitoren kun je echter beter de Azure Network Watcher gebruiken!
• Advisor geeft aanbevelingen over je omgeving. Hoe maak je deze beter, sneller en optimaal beschikbaar. De advisor geeft ook advies over machines die “te zwaar” zijn en dus minder zwaar kunnen worden.
• Cost Management geeft inzicht in de kosten en hoe je meer waarde voor je centjes kunt krijgen.

Data migratie tools
Er worden een paar data migratie tools genoemd. Deze zijn:

• Data Migration Assistent Tool – Voor het migreren van SQL databases.
• Microsoft Azure Storage Explorer – Voor het transporteren van data tussen Azure en on-prem.
• Azure Import / Export Service – Service voor het migreren van een grote bulk data d.m.v. het opsturen van fysieke storage.
• Azure File Sync – Optie om files permanent te synchroniseren tussen Azure en on-prem.
• Azure Site Recovery – Voor herstel / disaster recovery van je omgeving. Azure site recovery zorgt voor een 2e gesynchroniseerde omgeving die ingeschakeld kan worden als de primaire omgeving wegvalt. Azure site recovery kan ook gebruikt worden om on-prem machines te verhuizen naar Azure.
• AZCopy.exe – CLI utility voor het kopiëren van data vanuit onprem naar een Azure Blob of Azure File Storage.

Overige Algemene Tips

• Kijk tijdens het examen goed naar de antwoorden. Meestal kun je 2 antwoorden al wegstrepen omdat deze niet relevant zijn.
• VM’s kunnen gemoved worden naar een andere resource group incl. hun resources. Maar niet incl. het VNET. Het VNET zal opnieuw aangemaakt moeten worden in de andere RG.
• Als een resource vanuit geografische locatie A verhuist naar een resource group met geografische locatie B dan blijft de geografische locatie voor de resource locatie A. Met andere woorden, resources binnen een resource group zijn niet gebonden aan de geografische locatie van de resource group.
• Max. FaultDomain is 2 of 3 en max. UpdateDomain is 20.
• Om Linux machines te deployen incl. custom settings en software maak je een “Cloud-init.txt” bestand aan en gebruik je het “az vm create” commando.
• MFA word ingeschakeld via Conditional Access.
• Alert SMS berichten worden maximaal elke 5 minuten verzonden.
• ASG (Application Security Group) kunt je een aantal NIC’s van een virtuele machine logisch groeperen (binnen eenzelfde virtueel netwerk) en vervolgens kun je de AGG gebruiken binnen een NSG-regel (Network Security Group). Op die manier kun veiligheid op basis van machine(s) instellen ongeacht hun subnet of netwerk.
• Resource Groepen en hun onderdelen kunnen voorkomen in verschillende geografische zones.

Virtual Machines

• Virtual machines kunnen in een “availability set” geplaatst worden. Dit betekend dat de machines ieder hun eigen naam en configuratie hanteren maar dat de verschillende machines verspreid zijn over diverse fault- en update domains. Dit beschermt tegen uitval van hardware.
• Virtual machines kunnen in een “scale set” geplaatst worden. De set bestaat uit diverse identieke machines die op metrische basis opgeschaald (scale out) en afgeschaald (scale in) kunnen worden. B.v. als de processor load boven een X percentage komt schakel dan X aantal machines in.
• Virtuele machines kunnen uitgerold worden op basis van templates. Op die manier kunnen meerdere VM’s in een keer gemaakt worden.
• Je kunt het formaat van je VM aanpassen. Dit beïnvloed uiteraard de kosten van je subscription. Let op, als je het formaat aanpast moet de VM gereboot worden.
• Azure Automation State Configuration maakt het mogelijk om DSC (Desired State Configuration) configuraties te schrijven en beheren. DSC maakt het mogelijk om een machine altijd te voorzien van een specifieke configuratie (b.v. een rol) zelfs als de gebruiker deze configuratie manueel zou overschrijven.

Storage Accounts / Backups

• Een Recovery Service Vault kan alleen resources backuppen binnen zijn eigen geografische omgeving.
• Om een VM te restoren vanuit een Recovery Service Vault en wilt toevoegen aan een availability set is het zaak om de disks te restoren (en niet de VM). Daarna kun je een script draaien (welke ook aangemaakt wordt) om een nieuwe VM aan te maken met de disks in een availability set.
• Managed Disks konden vroeger NIET maar nu WEL verhuisd worden naar een andere RG of Subscription.
• Azure Backup kan zowel managed als unmanaged disks backuppen.
• ZRS (Zone Redundant Storage) accepteert alleen StorageV2 accounts (en dus geen Storage of Blob).
• Wanneer kies je voor een Blob storage en wanneer voor een File storage. Een File storage kies je wanneer je een SMB share wilt maken of voor het opslaan van tools. Wanneer je data wilt opslaan die je kunt gebruiken via een REST interface of welke als web-data of streaming data gebruikt wordt dan kun je beter Blob storage gebruiken.
• Het grote verschil tussen GRS (Geo-redundant storage) en RA-GRS (Read-Access Geo-redundant storage) is dat RA-GRS duurder is maar wel read toegang geeft tot de data in de remote zone. Dit is ongeacht of Microsoft een failover laat plaatsvinden (indien je GRS hebt en er is een failover dan kun je uiteraard ook bij je data in de remote zone).
• General-PurposeV2 is een combinatie van het oudere General-Purpose storage en Blob storage. General Purpose V2 ondersteund net als het oude storage Blob, Queue, Table en Disk storage en net als Blob stogare ondersteund het Hot, Cool en Archive tiers. Hot is geoptimaliseerd voor data die vaak gebruikt wordt, Cool is voor data die weinig gebruikt worden en Archive is voor data die zeer zelden gebruikt wordt. Ook ondersteund General-PurposeV2 net als General-Purpose ook de Standard en Premium performance tiers.

Virtual Networking

• Het koppelen van VNets en NSG’s kan alleen als deze binnen dezelfde geografische omgeving bestaan. De resource groep is hierin niet van belang.
• Classic VNETs kunnen NIET verhuisd worden naar een andere RG.
• VNET’s kunnen altijd aan elkaar gekoppeld worden met VNet Peering of een “Virtual Network Gateway” ongeacht waar de netwerken staan (subscriptie, geografisch etc.).
• Subnets kunnen default verkeer naar elkaar sturen net als dat er automatisch gerouteerd wordt tussen VNET address spaces. Verkeer tussen VNET’s wordt NIET gerouteerd!
• Private IP = Intern IP. Elke NIC heeft een private IP en kan ook voorzien worden van een publix (extern) IP.
• Een load balancer wordt geplaatst om netwerkverkeer evenredig te verdelen tussen 2 of meerdere virtuele machines. De load balancer kan bij connectie 1 het verkeer doorsturen naar machine A en bij connectie 2 het verkeer doorsturen naar machine B.

Subscription, Tenant en Azure AD

Verschil tussen een subscription, tenant en Azure AD:

Tenant = registratie van een *.onmicrosoft.com naam

Subscription = folder waarin resources worden beheerd en welke gekoppeld is aan een creditkaart (payment method)

Azura AD = Azure Active Directory welke users beheerd voor een of meerdere subscriptions. Azure AD is een dienst die feitelijk los staat van een tenant maar hier wel altijd aan gekoppeld is en daarom worden deze termen vaak door elkaar gebruikt.

1 Tenant kan meerdere Subscriptions en AD’s bevatten, maar niet andersom. Tijdens het aanmaken van een tenant wordt ook een Azure AD aangemaakt om de naam in te beheren. Als een tenant geregistreerd wordt dan wordt er meestal een custom DNS naam aan gekoppeld (i.p.v. *.onmicrosoft.com). Zie een tenant als een hoofdcontainer. Het mergen van tenants is een lastige klus.

Meerdere subscriptions kunnen gebruik maken van dezelfde AD(s) in de tenant als trusted ID provider. Maar elke subscriptie kan maar 1 AD vertrouwen en niet meerdere.

In onderstaande overzicht valt AzureAD onder de “Resource Providers”.

• Azure AD Connect maakt gebruik van het hoogste niveau gebruiker on-prem en online. Dus de Enterprise Admins en de Global Administrator.
• Om toegang toe te staan tot bepaalde bronnen binnen Azure gebruik je Azure AD Privileged Identity Management

Azure Powershell en Bash (CLI)

• Om Azure te beheren (on-prem) heb je de “AZ” module nodig. Deze installeer je met het commando “Install-Module -Name Az –AllowClobber”. Ook heb je de Azure Resource Manager module nodig. Deze installeer je met het commando “Install-Module AzureRM”. Inloggen doe je met het “Connect-AzAccount” commando.
• De MS Azure CLI tool voor Windows kun je hier downloaden. Inloggen gaat via CMD of Powershell met het “az login” commando.
• Powershell commando’s beginnen met wat je wilt doen (New / Login / Get).
• CLI commando’s beginnen met “az” gevolgd door het onderdeel zoals “group / network / storage account” en weer gevolgd door de actie zoals “create / check-name” etc.
• Vanuit de Azure portal kun je de webconsole opstarten van Azure Powershell of CLI.

Powershell / CLI – Algemeen

• PS: Nieuwe Resource Group: “New-AzureRmResourceGroup”

  New-AzureRmResourceGroup -Name SatA -Location "WestEurope" -tag @{environment="SatA"; type="RG"}

  New-AzureRmResourceGroup -Name SatA -Location "WestEurope" -tag @{environment="SatA"; type="RG"}

• CLI/Bash: Nieuwe Resource Group: “az group create”

  az group create --name SatB --location WestEurope --tags environment=SatB type=RG

  az group create --name SatB --location WestEurope --tags environment=SatB type=RG

• PS: Zet een lock op een resource group: “New-AzResourceLock”:

  New-AzResourceLock -LockName LockHQ -LockLevel CanNotDelete -ResourceGroupName HQ -Force

  New-AzResourceLock -LockName LockHQ -LockLevel CanNotDelete -ResourceGroupName HQ -Force

• PS: Verwijder een resource group: “Remove-AzureRmResourceGroup”:

  Get-AzureRmResourceGroup -Name "SatB" | Remove-AzureRmResourceGroup -Verbose -Force

  Get-AzureRmResourceGroup -Name "SatB" | Remove-AzureRmResourceGroup -Verbose -Force

• CLI/Bash: Verwijder een resource group: “az group delete”:

  az group delete -n SatB --no-wait -y

  az group delete -n SatB --no-wait -y

• Resource van een resource group verplaatsen naar een andere resource group: “Move-AzureRmResource”.

Powershell / CLI – Virtual Machines

• PS: Vindt alle VM’s: “Get-AzureRmVM”.
• PS: Start een VM: “Start-AzureRmVM”.

Powershell / CLI – Storage Accounts / Backups

• PS: Maak een nieuw Storage Account: “New-AzureRmStorageAccount”:

  Get-AzureRmStorageAccountNameAvailability -name "dataall"   New-AzureRmStorageAccount -ResourceGroupName HQ -AccountName dataall -Location WestEurope -SkuName Standard_GRS -AccessTier Hot -EnableHttpsTrafficOnly 1 -Kind StorageV2

  Get-AzureRmStorageAccountNameAvailability -name "dataall" New-AzureRmStorageAccount -ResourceGroupName HQ -AccountName dataall -Location WestEurope -SkuName Standard_GRS -AccessTier Hot -EnableHttpsTrafficOnly 1 -Kind StorageV2

• CLI/Bash: Maak een nieuw Storage Account: “az storage account create”:

  az storage account check-name --name datafinance   az storage account create --name datafinance --resource-group SatA --access-tier hot --https-only true --kind StorageV2 --location WestEurope --sku Standard_GRS --tags environment=SatA type=Storage

  az storage account check-name --name datafinance az storage account create --name datafinance --resource-group SatA --access-tier hot --https-only true --kind StorageV2 --location WestEurope --sku Standard_GRS --tags environment=SatA type=Storage

• PS: Maak een nieuwe share: “New-AzStorageShare”:

  $key = (Get-AzureRmStorageAccountKey -ResourceGroupName HQ -Name dataall)[0].value   $storageContext = New-AzStorageContext dataall $key   New-AzStorageShare generaldata -Context $storageContext

  $key = (Get-AzureRmStorageAccountKey -ResourceGroupName HQ -Name dataall)[0].value $storageContext = New-AzStorageContext dataall $key New-AzStorageShare generaldata -Context $storageContext

Powershell / CLI – Virtual Networking

• PS: Maak een VNet aan met 3 subnets: “New-AzureRmVirtualNetwork”:

  $HQSubnet = New-AzureRmVirtualNetworkSubnetConfig -Name HQ-Subnet -AddressPrefix "192.168.1.0/24" $SatASubnet = New-AzureRmVirtualNetworkSubnetConfig -Name SatA-Subnet -AddressPrefix "192.168.100.0/24" $SatBSubnet = New-AzureRmVirtualNetworkSubnetConfig -Name SatB-Subnet -AddressPrefix "192.168.200.0/24"   New-AzureRmVirtualNetwork -Name "HQ-VNet" -ResourceGroupName "HQ" -Location "WestEurope" -AddressPrefix "192.168.0.0/16" -Subnet $HQSubnet,$SatASubnet,$SatBSubnet

  $HQSubnet = New-AzureRmVirtualNetworkSubnetConfig -Name HQ-Subnet -AddressPrefix "192.168.1.0/24" $SatASubnet = New-AzureRmVirtualNetworkSubnetConfig -Name SatA-Subnet -AddressPrefix "192.168.100.0/24" $SatBSubnet = New-AzureRmVirtualNetworkSubnetConfig -Name SatB-Subnet -AddressPrefix "192.168.200.0/24" New-AzureRmVirtualNetwork -Name "HQ-VNet" -ResourceGroupName "HQ" -Location "WestEurope" -AddressPrefix "192.168.0.0/16" -Subnet $HQSubnet,$SatASubnet,$SatBSubnet

• CLI/Bash: Maak een VNet aan met 3 subnets: “az network vnet create”:

  az network vnet create -g HQ -n HQ-VNet --address-prefix 192.168.0.0/16 \ --subnet-name HQSubnet --subnet-prefix 192.168.1.0/24 \ --subnet-name SatASubnet --subnet-prefix 192.168.100.0/24 \ --subnet-name SatBSubnet --subnet-prefix 192.168.200.0/24

  az network vnet create -g HQ -n HQ-VNet --address-prefix 192.168.0.0/16 \ --subnet-name HQSubnet --subnet-prefix 192.168.1.0/24 \ --subnet-name SatASubnet --subnet-prefix 192.168.100.0/24 \ --subnet-name SatBSubnet --subnet-prefix 192.168.200.0/24

Powershell / CLI – Subscription, Tenant en Azure AD

• PS: Nieuwe AD groep: “New-AzureADGroup”:

  New-AzureADGroup -DisplayName "SatA-Admin" -MailEnabled $false -SecurityEnabled $true -MailNickName "NotSet" -Description "De SatA-Admin groep heeft full controll op de SatA RG"

  New-AzureADGroup -DisplayName "SatA-Admin" -MailEnabled $false -SecurityEnabled $true -MailNickName "NotSet" -Description "De SatA-Admin groep heeft full controll op de SatA RG"

• CLI/Bash: Nieuwe AD groep: “az ad group create”:

  az ad group create --display-name SatB-Admin --mail-nickname NotSet

  az ad group create --display-name SatB-Admin --mail-nickname NotSet

• PS: Maak een nieuwe gebruiker: “New-AzureADUser”:

  $PasswordProfile = New-Object -TypeName Microsoft.Open.AzureAD.Model.PasswordProfile   $PasswordProfile.Password = "B3rt2019"   New-AzureADUser -DisplayName "AdminSatA" -PasswordProfile $PasswordProfile -UserPrincipalName "adminsata@jbaz103outlook.onmicrosoft.com" -AccountEnabled $true -MailNickName "AdminSatA" -Department "SatA"

  $PasswordProfile = New-Object -TypeName Microsoft.Open.AzureAD.Model.PasswordProfile $PasswordProfile.Password = "B3rt2019" New-AzureADUser -DisplayName "AdminSatA" -PasswordProfile $PasswordProfile -UserPrincipalName "adminsata@jbaz103outlook.onmicrosoft.com" -AccountEnabled $true -MailNickName "AdminSatA" -Department "SatA"

• CLI/Bash: Maak een nieuwe gebruiker: “az ad user create”:

  az ad user create --display-name SalesUser --password B@@s40MyW3b --user-principal-name salesuser@jbaz103outlook.onmicrosoft.com --mail-nickname SalesUser

  az ad user create --display-name SalesUser --password B@@s40MyW3b --user-principal-name salesuser@jbaz103outlook.onmicrosoft.com --mail-nickname SalesUser

• PS: Test of DNS domein in de cloudapp.azure.com zone nog beschikbaar is: “Test-AzDnsAvailability”:

  Test-AzDnsAvailability -DomainNameLabel HQData -Location 'WestEurope'

  Test-AzDnsAvailability -DomainNameLabel HQData -Location 'WestEurope'

Conclusie

Ik deel deze Cheat Sheet omdat dit voor mij de belangrijkste zaken waren om te onthouden. Dit betekend niet dat de Cheat Sheet alle topics aanspreekt en al helemaal niet diep op de topics ingaat.

Mijn examen bestond uit 53 multiple-choice vragen, 1 case study en 2 labs. In de labs zijn niet altijd alle mogelijkheden voorhanden. Ik vond dat het examen relatief veel vragen had over data migratie en VNET’s. Over het algemeen was het examen toch makkelijker dan verwacht. Het is de bedoeling om minimaal een passing score van 700 punten te halen maar dat betekend niet dat elke vraag net zo zwaar weegt. Het algoritme van Microsoft bepaald hoeveel punten je voor een vraag en een lab krijgt. Bij de labs gaat het om het eindresultaat en niet over de manier hoe je er komt. Weet je alle Powershell commando’s, gebruik ze gerust. Werk je liever met de GUI of CLI, ook dat is mogelijk. Het is belangrijk om de topics te begrijpen en te weten waar je diverse onderdelen kunt vinden. Ook is het belangrijk om te weten hoe je de CLI interface gebruikt en hoe de Powershell / Bash commando’s opgebouwd zijn. In sommige scenario’s zal een Bash commando meer mogelijkheden bieden dan een Powershell commando en visa-versa.

Dus… study hard and become an Certified Azure Administrator 🙂

Vondt je deze post waardevol of handig geef dan gerust een leuke reactie, een like of deel deze post (of mijn website) op je sociale media of eigen website. Dankjewel!!