Основы Microsoft Azure

Microsoft Azure — облако с иерархией Management Group → Subscription → Resource Group → Resources. Ключевые сервисы: Virtual Machines, AKS (Kubernetes), App Service, Azure SQL, Blob Storage, Active Directory (Entra ID). Сравнение подходов — Основы AWS, GCP: GKE и Cloud Run.

---

1. Identity

Entra ID (бывший Azure AD): пользователи, приложения, service principals для CI/CD. Managed Identity — без секретов на VM/в Web App.

---

2. Сеть

Virtual Network, subnets, NSG (сетевые ACL), Private Link к PaaS без публичного endpoint.

---

3. IaC

Bicep или Terraform с provider azurerm — Terraform: AWS и GCP.

CLI для быстрых проверок и скриптов: az login, az account set --subscription <id>, az group create, az aks get-credentials. В CI используйте OIDC federated credentials (GitHub Actions / Azure DevOps) вместо клиент-секрета приложения, где возможно.

---

4. Хранилище и БД

Storage Account — блобы (блок/page/append), очереди, таблицы; уровни Hot / Cool / Archive под стоимость доступа. Azure Files — SMB/NFS для legacy и контейнеров. Azure SQL (PaaS), Cosmos DB (multi-model, глобальное распределение), Database for PostgreSQL — выбор под SLA и миграции с on-prem.

---

5. Наблюдаемость и безопасность

Application Insights и Log Analytics — метрики и логи приложений; связывайте с Action Groups для алертов. Microsoft Defender for Cloud — базовый posture и рекомендации. Key Vault для секретов и сертификатов вместо env в образе.

---

6. Типичные ловушки

Публичный endpoint у storage «по умолчанию», избыточные Contributor на подписку, отсутствие locks на критичные resource groups, смешение prod и non-prod в одной подписке без политик.

---

7. Чек-лист

• Policy (Azure Policy) на запрет публичных storage account.
• Cost Management бюджеты и алерты.
• Разделение dev/test/prod подписками или resource groups + RBAC.
• Diagnostic settings на ключевые ресурсы → Log Analytics.
• Резервное копирование managed БД по расписанию и тест восстановления.

---

Дальше: тег Azure