AZ-400:如何通过微软唯一的 DevOps 工程师专家认证考试
一份为期8周的AZ-400学习计划,涵盖Azure DevOps、GitHub Actions、IaC,以及那些让准备充分的考生也措手不及的案例研究题型。
AZ-400 是微软的“设计和实现 Microsoft DevOps 解决方案”考试。考试费用为165美元,包含40-60道题目,时长150分钟,包含两个案例研究和标准题型,通过分数是700/1000。这是获得 DevOps 工程师专家认证的唯一途径,您必须首先持有 AZ-104(管理员)或 AZ-204(开发者)证书才能参加此考试。
“专家”级别是 AZ-400 与基于角色的“助理”级别考试不同的地方。案例研究是真实的。内容涵盖 CI/CD、基础设施即代码、源代码控制策略、安全性以及跨 Azure DevOps 和 GitHub 的可观测性。如果您的 AZ-104 或 AZ-204 证书是新近获得的,那么每周投入 8-10 小时,为期八周是一个现实的目标。
考试内容
当前的考试指南分为五个领域:
| 领域 | 权重 |
|---|---|
| 设计和实施流程与通信 | 10–15% |
| 设计和实施源代码控制策略 | 10–15% |
| 设计和实施构建和发布管道 | 50–55% |
| 制定安全和合规计划 | 10–15% |
| 实施检测策略 | 5–10% |
构建和发布管道占考试的一半。这是您必须掌握的重点。其余部分都是支持性的。
2026年“构建和发布管道”的实际含义:
- YAML 形式的 Azure DevOps Pipelines(经典的视觉编辑器仍然存在,但对于新工作来说已基本弃用)。
- GitHub Actions,微软现在将其定位为大致同等重要——考试中会给出一些场景,正确答案是“使用 GitHub Actions”,而错误答案是 Azure DevOps,反之亦然。请仔细阅读场景。
- 自托管与微软托管的运行器/代理,包括池大小、按需缓存和成本。
- 审批、环境、部署门控以及部署前/后条件。
- 多阶段管道、蓝绿部署和金丝雀部署模式、环形部署。
- 制品管理:Azure Artifacts、GitHub Packages、通用源。
- 秘密处理:Key Vault 任务、GitHub 加密秘密、GitHub 和 Azure 之间的 OpenID Connect (OIDC) 联邦(这在 2025-2026 年的问题中被大量强调——带有秘密的服务主体越来越成为错误的答案)。
加上 IaC。Bicep 是微软原生的答案,Terraform 是次要但仍然会考的答案。ARM 模板出现在旧题库中,但新题目倾向于 Bicep。预计在场景问题中会出现 az deployment group create 和 terraform plan/apply 两种语法。
先决条件 — 选择 AZ-104 或 AZ-204
微软要求您持有其中一项作为专家认证的先决条件。请根据您的实际工作选择:
- AZ-104 如果您的背景是运营、基础设施、系统管理员或平台工程。您的 AZ-400 准备工作将更侧重于开发人员侧的主题(制品、分支、代码质量工具)。
- AZ-204 如果您的背景是软件开发。您的 AZ-400 准备工作将更侧重于运维侧的主题(Azure Monitor、App Insights、代理池、IaC)。
不要在考 AZ-400 之前同时考这两门。额外的证书对 AZ-400 本身没有帮助,如果您以后确实需要,可以根据工作需要再补考另一门。
周计划
第1周:源代码控制和分支
这是权重最小的领域,但却是入门点。阅读 Git 工作流模式:GitHub Flow、GitFlow(尽管已过时但仍会考)、主干开发、发布分支、热修复分支。学习 pull-request 合并、squash 合并和 rebase 合并之间的区别。
在 Azure DevOps Repos 和 GitHub 中:分支策略、所需审阅者、构建验证、状态检查。在这两种产品中手动练习设置这些。微软喜欢“配置一个需要 X 的分支策略”这种问题模式,而且在不同产品中,相关菜单位置略有不同。
第2周:深入了解 Azure DevOps Pipelines
本周重点学习 YAML 管道。至少构建三个:
- 一个用于示例应用的简单构建和测试管道。
- 一个包含
dev、staging、prod环境并在staging和prod上进行审批的多阶段管道。 - 一个使用自托管代理池的管道,以及另一个使用微软托管池的管道。
熟练掌握模板和模板参数。微软直接考察模板扩展 (template-extension) 和模板包含 (template-include) 模式。了解 extends 和 template 语法的区别。
第3周:GitHub Actions
与第2周类似,但在 GitHub Actions 中进行。构建相同的三个管道。密切关注:
- 作业上的
permissions块——最小特权在这里很重要,这是一个考点。 - 可重用工作流 (
workflow_call) 和复合操作——了解它们的区别。 - 环境和所需的审阅者,它们与 Azure DevOps 的概念相似,但有自己独特的 UI。
- OIDC 联邦:在 Microsoft Entra ID 应用程序注册上配置一个联邦凭据,并从 GitHub Actions 工作流进行身份验证,无需任何客户端秘密。这一个练习就能教会您可能在三个考试问题中遇到的内容。
第4周:IaC
首先是 Bicep。编写一个 Bicep 文件,用于部署 App Service 计划、App Service 和 Application Insights 资源。使用 az deployment group create 进行部署。将其重构为模块。添加 what-if 步骤。将其添加到管道中。
然后是 Terraform。使用 AzureRM provider 部署相同的结构。在 Azure Storage 中配置远程后端。注意状态管理的差异——这是 Bicep 和 ARM 与 Terraform 的根本区别所在,考试要求您了解这一点。
ARM 模板:阅读足够的 ARM 模板以识别语法。您不需要编写它们,但会在案例研究中看到它们。
第5周:安全与合规
管道中的 Key Vault 集成:链接到 Key Vault 的变量组、Azure Key Vault 任务、GitHub 的 azure/get-keyvault-secrets action。
Defender for DevOps 和 Microsoft Defender for Cloud 的 DevOps 安全建议。2024-2025 年的考试更新增加了这部分内容——了解 Defender for DevOps 连接到哪些服务(GitHub, Azure DevOps, GitLab, Bitbucket)以及它暴露了哪些功能(秘密扫描、IaC 扫描、代码扫描、依赖扫描)。
GitHub Advanced Security:使用 CodeQL 进行代码扫描、秘密扫描、依赖项审查。了解哪些功能是 GHAS(付费)和哪些是免费的。
管道中的合规性扫描:WhiteSource Bolt 已停用——Mend Bolt 是其更名后的版本,而微软的第一方答案现在是 Defender for DevOps 加 GHAS。旧的学习材料会在这方面出错。
第6周:监控和反馈
Application Insights 接入管道(发布注释、部署标记)。限制部署的 Azure Monitor 警报。警报与 Azure Boards / GitHub Issues 的集成,用于自动创建工单。
通过 Azure App Configuration 和 Microsoft.FeatureManagement 库实现功能标志。微软考察设计模式的答案——了解何时使用功能标志是正确的选择,而不是部署环或金丝雀部署。
第7周:案例研究练习
在有时间限制的条件下,进行一次包含案例研究的完整模拟考试。两个案例研究将占用您150分钟中的35-45分钟——请相应地规划时间。大多数考生常犯的错误是第一次尝试阅读整个案例研究;相反,应该先快速浏览一遍,然后跳到问题,只重新阅读与每个问题相关的案例研究部分。
模拟考试后,找出薄弱领域。对于大多数考生来说,这可能是 IaC 语法(Bicep 模块与 Terraform 模块)、安全工具(哪个 Defender 做什么)或 OIDC 联邦流程。
第8周:巩固、查漏补缺、考试
每隔一天进行模拟考试。阅读每个错误答案的解释。对于不同来源之间的任何分歧,Microsoft Learn 的官方 AZ-400 路径是最终的权威来源——供应商的学习指南在 2024-2025 年的考试更新方面有所滞后。
安排考试。可以选择 Pearson VUE 或在线监考。在线考试的案例研究感觉不同——您无法轻松地在不同部分之间切换——所以如果您对这种形式不自信,最好选择在考试中心进行考试。
考试风格
有两件事会让原本准备充分的考生感到困惑:
- 案例研究。 它们很长,文字密集,其中的问题要求您同时掌握大量背景信息。多加练习。
- “最佳答案”的设定。 多个选项可能在技术上是正确的;考试需要的是最清晰、最符合微软最佳实践的答案。当一个问题将 Azure DevOps Pipelines 和 GitHub Actions 列为替代方案,并且场景没有强烈倾向于其中之一时,答案通常是案例研究其余部分已经标准化的那个。
职业发展
如果您是微软技术栈的 DevOps/平台工程师,并希望在简历上拥有专家级别认证,那么 AZ-400 是一个有用的证书。对于试图从外部进入 DevOps 领域的人来说,这不是一个合适的证书——请先获得实际经验,然后再回来。2026年美国高级 DevOps 工程师的总薪酬根据城市不同,基本工资在15万至22万美元之间,FAANG 相关的职位会更高;AZ-400 是进入这个薪酬区间的明确筛选条件,但它本身不会凭空变出经验。
当您准备好刷题时,CertLabPro 上的 AZ-400 题库涵盖了案例研究题型。将案例研究视为一个独立的学科——这是 AZ-400 中仅靠实践经验无法完全准备好的部分。