Practice Test #3

environment variable로 버전이 설정된 상태로 LUIS 컨테이너를 실행하는 것은 LUIS 컨테이너가 모델을 선택하는 방식이 아닙니다. 컨테이너는 environment variable을 기반으로 authoring resource에서 특정 LUIS app 버전을 동적으로 가져오지 않습니다. 대신, 컨테이너는 사용자가 제공하는 model package(내보낸 artifact)를 로드합니다. environment variable은 컨테이너 구성(예: billing endpoint, API key, EULA acceptance, logging)에 사용되지만, 서비스에서 LUIS app 버전을 선택하는 데 사용되지는 않습니다. 버전 선택은 runtime 이전에 이루어집니다. LUIS portal(또는 APIs)에서 버전을 선택하고, 해당 버전을 containers용으로 export한 다음, 이를 컨테이너에 mount합니다. 따라서 이 작업은 컨테이너가 최신 deployable 버전을 사용하도록 보장하기 위한 올바른 순서의 일부가 아닙니다.

“Export as JSON”을 사용하여 모델을 내보내는 것은 LUIS container에 배포하기 위한 올바른 내보내기 형식이 아닙니다. JSON 내보내기는 주로 환경 간에 LUIS app 정의(intents, entities, utterances, settings)를 이동하거나 소스 제어를 위해 사용되며, 일반적으로 LUIS authoring으로 다시 가져오기 위해 사용됩니다. container의 경우 Microsoft는 학습된 모델을 container에서 소비할 수 있는 형식(GZIP)으로 패키징하는 특정 내보내기 옵션을 제공합니다. container는 authoring JSON schema가 아니라 내보낸 모델 artifact를 기대합니다. 따라서 JSON 내보내기는 DevOps 워크플로에 유용할 수 있지만, 해당 모델로 container가 직접 예측을 실행할 수 있게 해주지는 않습니다. 그러므로 이는 필수 작업 중 하나가 아닙니다.

v1.1을 선택해야 하는 이유는 컨테이너에 배포 가능한 최신 버전이기 때문입니다. 표에서 v1.2는 trained date가 없으므로 학습되지 않았음을 의미하며, 따라서 실행 가능한 model artifact로 내보낼 수 없습니다. v1.0은 학습되고 게시되었지만 v1.1보다 오래된 버전입니다. LUIS containers의 경우 “published date”는 결정 요인이 아니며, 학습(training)이 결정 요인입니다. Publishing은 Azure에서 호스팅되는 LUIS prediction endpoint와 관련이 있지만, 컨테이너 배포는 학습된 버전을 내보내는 것에 의존합니다. 따라서 최신 배포 가능 버전을 사용하는 컨테이너를 만들기 위해서는, 컨테이너용으로 내보내기(export) 전에 v1.1(가장 최신의 학습된 버전)을 선택해야 합니다.

컨테이너를 실행하고 모델 파일을 마운트하는 것은 LUIS 컨테이너 배포에 필요한 단계입니다. LUIS 컨테이너는 런타임에 LUIS service에서 모델을 자동으로 가져오지 않으며, 컨테이너 내부의 filesystem에서 모델을 로드합니다. 표준 패턴은 다음과 같습니다: - 컨테이너용으로 학습된 LUIS app version을 export합니다(GZIP). - export된 package를 host에 배치합니다. - volume mount(예: -v hostPath:containerPath)로 컨테이너를 시작하여 컨테이너가 모델 package에 접근할 수 있도록 합니다. 이 접근 방식은 반복 가능한 배포를 지원하며 모범 사례에 부합합니다. 즉, 모델을 versioned artifact로 취급하여 rollback과 환경(dev/test/prod) 전반에서의 일관된 승격을 가능하게 합니다.

v1.0을 선택하는 것은 올바르지 않습니다. 요구 사항은 최신 배포 가능한 버전을 사용하는 것이기 때문입니다. v1.0은 학습되고 게시되었지만 v1.1보다 오래된 버전입니다. 컨테이너 시나리오에서는 게시가 필요하지 않으며, 학습이 핵심 선행 조건입니다. v1.1은 더 최근(2020-10-01)에 학습되었고 v1.2는 학습되지 않았으므로, v1.1이 컨테이너로 내보내고 배포할 수 있는 가장 최신 버전입니다. v1.0을 선택하면 필요 이상으로 오래된 모델을 배포하게 되어 “최신 배포 가능한 버전” 요구 사항을 충족하지 못합니다. 따라서 v1.0은 선택하면 안 됩니다.

“Export for containers (GZIP)”를 사용하여 모델을 내보내는 것은 LUIS를 컨테이너에 배포하기 위한 올바른 내보내기 작업입니다. 이 옵션은 런타임에 필요한 학습된 아티팩트를 포함하는 컨테이너 호환 모델 패키지를 생성합니다. 컨테이너는 이 패키징된 모델 형식을 기대합니다. 이는 작성/가져오기 시나리오를 위한 앱 정의를 내보내는 “Export as JSON” 옵션과는 다르며, “Export as JSON”은 런타임에서 바로 사용할 수 있는 모델이 아닙니다. 올바른 순서에서는 최신 학습 버전(v1.1)을 선택한 후, 컨테이너 내보내기 옵션(GZIP)을 사용하여 해당 버전을 내보냅니다. 이렇게 하면 컨테이너에 마운트하는 아티팩트가 의도한 버전과 일치하며, 컨테이너가 예측을 제공하는 데 사용할 수 있습니다.

v1.2를 선택하는 것은 올바르지 않습니다. 배포할 수 없기 때문입니다. 표에 trained date와 published date가 모두 표시되어 있지 않습니다. LUIS 버전은 런타임 사용(컨테이너 포함)을 위해 내보낼 수 있는 모델을 생성하려면 반드시 학습되어야 합니다. 학습이 없으면 내보낼 trained model artifact가 없습니다. v1.2가 숫자상 최신 버전이더라도 배포 가능 요건을 충족하지 않습니다. 문제는 “latest deployable version”을 구체적으로 묻고 있으며, 이는 실제로 배포할 수 있는 가장 최신 버전을 의미합니다. 따라서 v1.2를 선택하면 안 되며, 대신 v1.1을 선택한 다음 컨테이너용으로 export하고 컨테이너를 실행할 때 모델을 mount해야 합니다.

명시된 요구 사항을 충족하기 위해 사용자 지정 Dockerfile을 생성할 필요는 없습니다. 목표는 Anomaly Detector container image를 수정하는 것(예: 패키지 추가, entrypoint 변경, 또는 configuration을 image에 포함시키는 것)이 아닙니다. 대신 (1) billing/API 정보를 대화형 command line에 직접 입력하지 않도록 방지(스크립트 또는 environment file/secret 메커니즘을 통해 운영적으로 처리)하고 (2) Azure RBAC를 사용하여 image에 대한 액세스를 제어(Azure Container Registry에 image를 저장하여 처리)해야 합니다. 사용자 지정 Dockerfile은 secrets를 image layer에 포함시키도록 유도할 수 있어 오히려 역효과가 날 수 있는데, 이는 보안 anti-pattern입니다. Microsoft에서 제공하는 container image는 그대로 사용한 다음, re-tagging하여 ACR에 push해야 합니다. 따라서 정답은 아니요입니다.

자체 레지스트리에 다시 호스팅하기 위한 전제 조건으로 Anomaly Detector 컨테이너 이미지를 pull해야 합니다. Azure RBAC를 통해 액세스를 제어해야 한다는 요구 사항은 Azure Container Registry (ACR)를 사용하는 것을 의미합니다. 이미지를 ACR에 push하려면 먼저 로컬(또는 파이프라인)에 이미지가 있어야 ACR 로그인 서버 이름으로 태그를 지정한 다음 push할 수 있습니다. 실제로는 소스 레지스트리(제품 문서에 따라 일반적으로 Microsoft Container Registry)에서 Microsoft 제공 이미지를 pull한 다음, 다시 태그를 지정하고(예: myregistry.azurecr.io/anomalydetector:tag) ACR에 push합니다. 이미지를 pull하지 않으면 이후의 push 단계를 수행할 수 없습니다. 따라서 예가 정답입니다.

docker run 스크립트(또는 이에 상응하는 표준화된 실행 메커니즘)를 배포하는 것은 청구(billing) 및 API 정보가 커맨드라인 히스토리에 저장되는 것을 방지해야 한다는 요구사항을 직접적으로 충족합니다. 운영자가 docker run -e Eula=accept -e Billing=... -e ApiKey=... 와 같은 명령을 수동으로 실행하면, 해당 값이 shell history, 터미널 로깅, 또는 프로세스 감사에 의해 캡처될 수 있습니다. 스크립트를 배포하면 컨테이너 시작 방식을 중앙에서 관리할 수 있고, 시크릿을 대화형으로 직접 입력하는 일을 줄이거나 없앨 수 있습니다. 실제 배포에서는 이 스크립트가 보호된 위치(예: shell history 밖에서 설정된 environment variables, env-file, secret store, 또는 보안 구성 관리 도구)에서 값을 읽는 경우가 많습니다. 시험 문항은 “Distribute a docker run script”를 구체적으로 제시하지만, 핵심 의도는 커맨드라인에서 시크릿이 노출되는 것을 피하는 것입니다. 따라서 정답은 예입니다.

Azure RBAC 액세스 제어 요구 사항을 충족하려면 이미지를 Azure container registry에 푸시해야 합니다. ACR은 Azure Active Directory와 통합되며 AcrPull(소비자용) 및 AcrPush(게시자용)와 같은 Azure 역할 할당을 지원합니다. 이를 통해 어떤 사용자/디바이스/ID가 Anomaly Detector container image를 pull할 수 있는지 제어할 수 있으며, 최소 권한 및 중앙 집중식 거버넌스에 부합합니다. 이미지가 ACR에 있으면 온프레미스 디바이스는(예: AAD principal, service principal 또는 기타 지원되는 메커니즘 사용) 인증한 뒤 적절한 역할 할당이 있는 경우에만 이미지를 pull할 수 있습니다. 이것이 public registry와 비교했을 때의 핵심적인 차별점입니다. 따라서 정답은 예입니다.

이 요구 사항에서는 이미지를 빌드할 필요가 없습니다. 컨테이너 이미지를 커스터마이즈하라는 요청이 아니라, 이에 대한 액세스를 제어하고 명령 기록에 billing/API 세부 정보가 노출되지 않도록 하라는 요청입니다. 이는 기존 이미지를 ACR에 다시 호스팅(빌드 불필요)하고, secrets를 직접 타이핑하지 않도록 표준화된 실행 스크립트(또는 유사한 방식)를 배포함으로써 해결됩니다. “build” 단계는 커스텀 Dockerfile을 만들었거나 다른 방식으로 이미지를 수정한 경우에만 필요합니다. 권장 접근 방식은 vendor가 제공한 이미지를 pull한 다음 re-tag/push하여 ACR에 올리는 것이므로, 빌드는 불필요한 작업이며 복잡성과 위험(예: secrets의 실수로 인한 포함 또는 지원되는 이미지와의 drift)을 추가합니다. 따라서 정답은 아니요입니다.

이미지를 Docker Hub에 push하는 것은 Azure RBAC를 사용하여 액세스를 제어해야 한다는 요구 사항을 충족하지 않습니다. Docker Hub에는 자체 인증/권한 부여 모델이 있으며, ACR이 제공하는 방식과 동일하게 Azure role assignments(AcrPull/AcrPush) 또는 Azure AD와 통합되지 않습니다. 문제에서 컨테이너 이미지에 대한 액세스를 제어하기 위해 Azure RBAC를 명시적으로 요구하므로, 이는 Azure Container Registry를 가리킵니다. 또한 Docker Hub는 기본적으로 public인 경우가 많고, private repositories를 사용하더라도 “Azure RBAC 사용” 요구 사항을 충족하지 못합니다. 시험 관점에서 올바른 registry 선택은 ACR입니다. 따라서 정답은 아니요입니다.