适用于 PowerShell 5.1 及以上版本

Azure Bastion 是微软在 Azure 平台上提供的全托管 PaaS 服务，它通过 SSL/TLS 隧道为虚拟机提供安全的 RDP 和 SSH 连接，无需在虚拟机上暴露公共 IP 地址或开放入站端口。在企业混合云环境中，Bastion 充当了”跳板机”的安全替代方案，所有远程会话流量都经过加密且不经过公网，从根本上降低了暴力破解和端口扫描的风险。

传统的远程连接方式要求运维人员先通过 VPN 或跳板机接入内网，再使用 RDP/SSH 客户端连接目标虚拟机。这种方式不仅配置复杂，而且跳板机本身也面临安全威胁。Azure Bastion 将这一流程简化为浏览器直连或 CLI 命令行操作，同时与企业目录服务（Entra ID）深度集成，支持条件访问策略和多因素认证（MFA）。

本文将介绍如何通过 PowerShell 和 Azure CLI 管理 Azure Bastion 资源，包括部署 Bastion 主机、建立远程会话、查看连接会话日志以及批量审计 Bastion 配置。每个场景都提供可执行的代码示例和输出演示。

适用于 PowerShell 7.0 及以上版本

Azure Container Instances（ACI）是 Azure 提供的无服务器容器运行服务，无需预配虚拟机或配置 Kubernetes 集群，就能在云端快速启动容器。对于运维人员来说，这意味着可以用最低的基础设施开销来运行批处理任务、CI/CD 作业或临时服务。

在日常运维场景中，我们经常需要快速部署一个容器来验证功能、处理数据或提供临时 API。传统方式需要登录 Azure 门户、手动点击多项配置，效率低下且容易出错。通过 PowerShell 的 Az 模块，可以将这些操作全部自动化，从创建资源组到部署容器、再到监控和清理，一条流水线搞定。

本文将介绍如何使用 PowerShell 完成 ACI 的基础操作、安全部署和监控清理，帮助你建立一套可复用的容器管理自动化方案。

适用于 PowerShell 5.1 及以上版本

Azure Resource Manager（ARM）模板是微软 Azure 平台原生的基础设施即代码（Infrastructure as Code，IaC）解决方案。通过 JSON 格式声明式地定义云资源，团队可以在版本控制系统中追踪每一次基础设施变更，实现与应用代码同等严谨的发布流程。

在实际运维中，手动点击 Azure 门户创建资源既容易出错，也难以在多环境间保持一致。ARM 模板配合 PowerShell 的 Az 模块，能够一键完成从资源组、虚拟网络到虚拟机的完整环境搭建，并且天然支持幂等部署——无论执行多少次，最终状态始终一致。

本文将从零开始演示如何用 PowerShell 编写、参数化和部署 ARM 模板，涵盖模板验证、增量部署以及多环境参数管理等常见场景。

适用于 PowerShell 5.1 及以上版本

云上资源用起来方便，但月底账单一来往往让人心惊。Azure 提供了 Cost Management 服务，可以帮助我们追踪、分析和优化云支出。然而，通过门户网站手动查看报表既慢又不灵活，尤其当你管理多个订阅时，逐个点开查看效率极低。

PowerShell 结合 Az 模块和 Cost Management REST API，可以让我们以脚本化的方式自动采集费用数据、设置预算告警、识别闲置资源。这意味着你可以将成本管控嵌入 CI/CD 流水线，或者每天早上自动生成一份费用摘要邮件发给团队，从被动等账单变为主动管理成本。

本文将从实际场景出发，演示如何用 PowerShell 查询 Azure 订阅的消费明细、创建预算和告警规则、以及自动扫描可优化资源。所有操作均通过脚本完成，无需登录门户。

适用于 PowerShell 5.1 及以上版本

在企业云环境中，Entra ID（原 Azure AD）的应用注册（App Registration）是构建自动化和集成方案的基础。无论是让 CI/CD 流水线访问 Azure 资源，还是让自定义应用调用 Microsoft Graph API，都需要先在 Entra ID 中注册一个应用程序，并为其配置权限和凭据。手动在 Azure 门户中点击操作不仅效率低下，而且难以保持多个环境（开发、测试、生产）之间的一致性。

通过 PowerShell 的 Microsoft.Graph 模块，我们可以将应用注册的全生命周期管理纳入代码化流程。从创建应用、配置 API 权限、添加客户端密钥，到创建服务主体并授予角色权限，每一步都可以脚本化、参数化，然后集成到基础设施即代码（IaC）流水线中。这种方式不仅提高了效率，更重要的是让安全团队能够审查和审计每一次应用注册的变更。

本文将介绍如何使用 PowerShell 完成 Entra ID 应用注册的常见操作，包括创建应用并配置基本属性、管理客户端密钥和凭据、配置 API 权限委派，以及批量审计租户内的应用注册信息，帮助你构建安全可控的身份管理自动化方案。

适用于 PowerShell 5.1 及以上版本

随着企业云基础设施规模不断膨胀，资源合规性管理成为运维团队的核心挑战。Azure Policy 是微软 Azure 平台提供的治理服务，能够在资源创建和更新时自动执行组织规则，例如限制资源类型、强制标签策略、审核配置基线等。通过 PowerShell 的 Az 模块，我们可以将策略的定义、分配和合规审查全部纳入自动化流水线，实现”基础设施即代码”的治理闭环。

传统的合规审计往往依赖人工巡检或第三方工具，耗时且容易遗漏。Azure Policy 将合规检查前移到资源生命周期中，一旦资源偏离预期状态就会触发警报甚至自动修正。结合 PowerShell 的批量处理能力，管理员可以在几分钟内对数百个订阅进行策略评估，快速定位不合规资源并生成报告，大幅降低安全风险和审计成本。

本文将介绍如何使用 PowerShell 完成 Azure Policy 的常见操作，包括查询策略定义、分配策略到作用域、检索合规状态，以及批量导出合规报告，帮助你构建可重复、可审计的云治理工作流。

适用于 PowerShell 5.1 及以上版本

Azure Monitor 是微软 Azure 平台的核心可观测性服务，提供指标采集、日志分析、告警通知等一站式监控能力。在云原生架构日益复杂的今天，运维团队往往需要管理数十甚至上百个 Azure 资源的监控策略。手动在 Azure 门户中逐一配置告警规则既耗时又容易遗漏，而通过 PowerShell 自动化管理告警，可以实现告警策略的标准化、版本化和批量部署。

本文将介绍如何使用 PowerShell 和 Az 模块操作 Azure Monitor 告警，包括查看现有告警规则、创建指标告警、配置操作组（Action Group）实现通知推送，以及批量管理告警规则。这些方法适用于日常运维自动化，也能与基础设施即代码（IaC）流程相结合，确保监控策略随应用部署同步更新。

在开始之前，请确保已安装 Az PowerShell 模块并完成 Azure 身份认证。所有示例基于 Azure 资源管理器（ARM）REST API，需要拥有目标资源组或订阅级别的 Monitoring Contributor 权限。

适用于 PowerShell 7.0 及以上版本

无服务器架构（Serverless）正在改变企业自动化的交付方式。Azure Functions 作为微软云平台的核心计算服务，支持 PowerShell 作为一等公民运行时——这意味着你可以直接用 PowerShell 脚本响应 HTTP 请求、处理队列消息、定时执行任务，而无需管理任何虚拟机或容器。Azure 负责底层基础设施的扩缩容、补丁更新和高可用，你只需关注业务逻辑本身。

对于 PowerShell 运维人员来说，Azure Functions 打开了全新的可能性。传统的计划任务、Windows 服务、甚至本地脚本，都可以迁移到云端，获得天然的高可用性和按需付费的优势。2025 年，Azure Functions 已全面支持 PowerShell 7.4 运行时，并且与 Azure Managed Identity、Key Vault 等安全组件深度集成，让云端自动化脚本既安全又易维护。本文将从实战角度出发，带你完成 Azure Functions 的项目创建、本地调试和云端部署全流程。

适用于 PowerShell 7.0 及以上版本（跨平台）

Desired State Configuration（DSC）一直是 Windows 生态中基础设施即代码（IaC）的重要支柱。从 DSC v1 基于 MOF 的推送模式，到 DSC v2 引入的拉取服务，再到如今全新的 DSC v3，微软对配置管理的理念发生了根本性的转变。DSC v3 完全抛弃了对 WMF（Windows Management Framework）的依赖，转而成为一个独立的跨平台工具，支持 Windows、Linux 甚至 macOS。

DSC v3 的核心变化在于它不再绑定 PowerShell 作为运行时。新的 DSC 引擎（dsc）是原生可执行文件，配置文档采用 YAML 或 JSON 格式编写，资源可以通过任何语言实现（不再局限于 PowerShell 模块）。这使得 DSC v3 能够更好地融入现代 DevOps 流水线，与 Ansible、Chef、Terraform 等工具协同工作。同时，DSC v3 还引入了基于 JSON Schema 的配置验证机制，在应用配置之前就能捕获语法和结构错误。

对于 PowerShell 用户而言，DSC v3 带来的好消息是你仍然可以用 PowerShell 编写自定义 DSC 资源，同时享受新版引擎带来的性能提升和更好的错误报告。下面我们通过几个实际示例来体验 DSC v3 的核心用法。

适用于 PowerShell 5.1 及以上版本