Microsoft
Microsoft
584+ 무료 연습 문제 (AI 검증 답안 포함)
Microsoft Azure Administrator
모든 문제 &
정답 무료
상세
해설
실제 시험과
가장 유사AI 기반
모든 Microsoft AZ-104 답안은 3개의 최고 AI 모델로 교차 검증하여 최고의 정확도를 보장합니다. 선택지별 상세 해설과 심층 문제 분석을 제공합니다.
정책 기반 virtual network gateway인 GW1과 virtual network인 VNet1이 포함된 Azure subscription이 있습니다. 온-프레미스 컴퓨터에서 VNet1으로 point-to-site 연결을 구성할 수 있도록 해야 합니다. 어떤 두 가지 작업을 수행해야 합니까? 각 정답은 해결 방법의 일부를 제시합니다. 참고: 각 정답 선택은 1점입니다.
오답입니다. Service endpoint는 VNet에서 Storage 또는 SQL Database와 같은 Azure PaaS 서비스로 최적화된 private access를 제공하는 데 사용됩니다. 이는 VPN 연결을 생성하지 않으며, on-premises 컴퓨터에서 point-to-site access를 활성화하는 데 아무 역할도 하지 않습니다. 이 선택지는 virtual network gateway 유형이나 P2S 요구 사항과 관련이 없습니다.
오답입니다. virtual network gateway를 reset하면 일시적인 운영 문제를 복구하는 데 도움이 될 수 있지만, gateway 아키텍처나 지원 기능을 변경하지는 않습니다. reset으로 policy-based gateway를 route-based gateway로 변환할 수 없으므로 P2S를 가능하게 만들 수 없습니다. 여기서의 문제는 일시적인 장애가 아니라 설계상의 제한입니다.
정답입니다. Azure의 point-to-site VPN은 route-based virtual network gateway를 필요로 합니다. 이는 P2S가 policy-based gateway가 제공하지 않는 dynamic routing 기능에 의존하기 때문입니다. 따라서 route-based gateway를 생성하는 것은 P2S 구성을 적용하기 전에 반드시 필요한 단계입니다. 이것은 개별 on-premises 디바이스에서 Azure virtual network로의 client VPN 연결에 대해 지원되는 gateway 유형입니다.
오답입니다. GW1에 connection을 추가하는 것은 policy-based gateway에서 point-to-site를 활성화하기 위해 필요한 단계가 아닙니다. P2S는 지원되는 route-based virtual network gateway에서 client address pool 및 authentication 설정을 사용해 직접 구성되며, 지원되지 않는 gateway에 단순히 connection object를 추가하는 방식이 아닙니다. GW1은 애초에 P2S를 전혀 지원할 수 없으므로, 이 작업으로는 문제를 해결할 수 없습니다.
정답입니다. GW1은 현재 policy-based이며, Azure는 기존 policy-based gateway를 route-based로 직접 변경하는 것을 허용하지 않습니다. 필요한 route-based gateway를 배포하려면 먼저 지원되지 않는 기존 gateway를 삭제해야 합니다. 이는 Azure networking에서 표준적인 교체 시나리오이며, P2S 활성화를 위한 전제 조건으로 자주 출제됩니다.
오답입니다. Azure virtual network는 private IP address space를 사용하며, VNet에 public IP address space를 추가하는 것은 point-to-site VPN에 필요하지도 않고 적절하지도 않습니다. P2S에는 VNet 자체에 할당된 public address range가 아니라, VPN client address pool과 gateway 배포에 연결된 public IP resource가 필요합니다. 이 선택지는 Azure VNet addressing에 대한 오해를 반영합니다.
핵심 개념: Azure point-to-site (P2S) VPN 연결은 route-based virtual network gateway에서만 지원됩니다. policy-based gateway는 P2S에 사용할 수 없으며, Azure는 policy-based gateway를 route-based로 제자리에서 변환하는 것을 지원하지 않습니다. 정답인 이유: GW1이 policy-based이므로, P2S를 구성하기 전에 이를 삭제하고 새로운 route-based virtual network gateway로 교체해야 합니다. 주요 기능: Route-based gateway는 P2S, site-to-site, 그리고 VNet-to-VNet 시나리오를 지원하는 반면, policy-based gateway는 더 제한적이며 P2S를 지원하지 않습니다. 흔한 오해: connection object를 생성한다고 해서 지원되지 않는 gateway 유형에서 P2S가 활성화되는 것은 아니며, service endpoint 또는 VNet address 변경은 VPN gateway 기능과 관련이 없습니다. 시험 팁: 문제에서 P2S와 policy-based gateway가 함께 언급되면, 즉시 gateway를 삭제하고 route-based로 다시 생성해야 한다고 생각하세요.
D:\Folder1이라는 이름의 폴더가 포함된 온-프레미스 서버가 있습니다. Azure Storage 계정 contosodata에 있는 public 컨테이너로 D:\Folder1의 내용을 복사해야 합니다. 어떤 명령을 실행해야 합니까?
이는 컨테이너 엔드포인트에 대한 URL일 뿐 명령이 아닙니다. contosodata storage account의 컨테이너에 대한 URL 형식은 올바르지만, 이것만으로는 어떤 작업도 수행하지 않습니다. 실제로는 이 URL을 AzCopy 같은 도구의 대상 매개변수로 사용하거나(종종 SAS token을 추가), SDK/CLI 작업에서 사용합니다.
`azcopy sync`는 소스와 대상이 일치하도록 동기화하는 데 사용되며, 단순 복사 요구 사항과는 다릅니다. 또한 `--snapshot`은 로컬 폴더를 컨테이너로 업로드하는 데 적절한 플래그가 아닙니다. snapshot은 blob에 적용됩니다. 폴더 내용을 Blob Storage로 복사하려면 `azcopy copy ... --recursive`가 기대되는 명령입니다.
이것이 올바른 명령입니다. `azcopy copy`는 로컬 폴더에서 Azure Blob 컨테이너로 업로드하는 것을 지원합니다. `--recursive` 플래그는 D:\Folder1 아래의 모든 파일과 하위 디렉터리를 포함하는 데 필요합니다. 이는 AZ-104에서 흔히 기대하는 내용과 일치합니다. 즉, 온-프레미스에서 Azure Storage로의 대량 전송에는 AzCopy를 사용하고, 디렉터리에는 재귀 복사를 사용합니다.
`az storage blob copy start-batch`는 Azure CLI 명령으로, blob/컨테이너 간(일반적으로 소스와 대상이 Azure에 있고 URL로 참조됨) 서버 측 복사 작업을 시작하기 위한 것입니다. D:\Folder1 같은 로컬 Windows 경로의 콘텐츠를 Blob Storage로 직접 업로드하도록 설계되지 않았습니다. 로컬에서 blob로 업로드할 때는 AzCopy가 적절한 도구입니다.
핵심 개념: 이 문제는 온-프레미스 파일 시스템에서 Azure Storage 계정의 blob 컨테이너로 데이터를 업로드하기 위해 올바른 도구와 구문을 사용하는 방법을 평가합니다. AZ-104에서는 Azure Blob Storage로의 고성능 데이터 전송을 위해 AzCopy를 사용하는 접근이 기대됩니다. 정답이 맞는 이유: 로컬 폴더(D:\Folder1)의 내용을 storage account contosodata의 blob 컨테이너(public)로 복사하려면, AzCopy v10 명령 `azcopy copy`를 대상 컨테이너 URL 및 `--recursive` 플래그와 함께 사용합니다. `--recursive`는 디렉터리를 순회하여 모든 파일과 하위 폴더를 업로드하는 데 필요합니다. 옵션 C의 명령은 로컬 소스 경로와 blob 컨테이너 대상 URL을 올바르게 지정하고 있으며, 디렉터리를 복사할 때의 핵심 요구 사항인 `--recursive`를 포함합니다. 주요 기능 / 모범 사례: AzCopy는 처리량에 최적화되어 있고 병렬 처리를 지원하며, Blob Storage로 대량 업로드를 수행할 때 권장되는 도구입니다. 실제 배포에서는 일반적으로 Azure AD(`azcopy login`) 또는 대상 URL에 SAS token을 추가하는 방식(자동화에서 흔함)으로 인증합니다. Azure Well-Architected Framework 관점(Performance Efficiency 및 Reliability)에서 AzCopy는 복원력이 있고 재시작 가능하며 대규모 전송을 위해 설계되었기 때문에 임시적인 방법보다 선호됩니다. 흔한 오해: 많은 응시자가 “copy”와 “sync”를 혼동합니다. `azcopy sync`는 소스와 대상을 동일하게 미러링하기 위한 것이며, 플래그에 따라 대상 파일을 삭제할 수도 있습니다. 요구 사항이 단순히 “내용을 복사”하는 것일 때는 가장 단순하거나 안전한 선택이 아닙니다. 또 다른 함정은 Azure CLI의 blob copy 명령을 사용하는 것인데, 이는 일반적으로 blob/URL 간의 서버 측 복사를 수행하며 로컬 디스크에서 업로드하는 용도가 아닙니다. 시험 팁: 소스가 온-프레미스/로컬이고 대상이 Blob Storage이면 AzCopy를 떠올리세요. 소스가 폴더라면 `--recursive`를 찾으세요. `az storage blob copy start-batch`가 보이면, 이는 보통 기존 blob을 복사하는 용도이지 로컬 파일을 업로드하는 용도가 아님을 기억하세요. 또한 단순한 컨테이너 URL만으로는 명령이 아니며, 명시적으로 묻지 않는 한 인증(AAD/SAS)은 전제됩니다.
참고: 이 질문은 동일한 시나리오를 제시하는 일련의 질문 중 일부입니다. 이 시리즈의 각 질문에는 명시된 목표를 충족할 수도 있는 고유한 솔루션이 포함되어 있습니다. 일부 질문 세트에는 정답이 둘 이상 있을 수 있으며, 다른 세트에는 정답이 없을 수도 있습니다. 이 섹션에서 질문에 답한 후에는 해당 질문으로 돌아갈 수 없습니다. 따라서 이러한 질문은 검토 화면에 표시되지 않습니다. 10개의 virtual network를 포함하는 Azure subscription이 있습니다. virtual network는 각각 별도의 resource group에 호스팅됩니다. 다른 관리자가 subscription에서 여러 network security group(NSG)을 만들 계획입니다. NSG가 생성될 때 virtual network 간의 TCP port 8080을 자동으로 차단하도록 해야 합니다. 솔루션: subscription에 built-in policy definition을 할당합니다. 이것이 목표를 충족합니까?
Yes는 오답입니다. 어떤 built-in policy definition이든 단순히 할당하는 것만으로 NSGs가 virtual networks 간의 TCP port 8080을 자동으로 차단한다고 보장할 수 없기 때문입니다. 이 요구 사항은 일치하는 built-in policy가 존재한다고 가정하기에는 너무 구체적입니다. 이를 일관되게 적용하려면 일반적으로 필요한 NSG rule을 확인하거나 배포하는 custom Azure Policy definition이 필요합니다. 이러한 구체성이 없으면 제안된 솔루션은 불충분합니다.
No가 정답인 이유는, 이 솔루션이 단지 built-in policy definition을 할당하라고만 말할 뿐이며, virtual networks 간의 TCP 8080을 차단하는 NSG rule을 자동으로 생성하거나 적용하는 built-in policy가 존재한다는 근거가 없기 때문입니다. Azure Policy는 NSGs를 관리할 수 있지만, 이처럼 매우 구체적인 트래픽 rules는 일반적으로 custom policy definition이 필요합니다. subscription scope는 모든 resource groups에 대해 적절하지만, built-in policy의 한계 때문에 제시된 솔루션은 요구 사항을 안정적으로 충족하지 못합니다. 따라서 제안된 솔루션은 작성된 그대로는 목표를 충족하지 못합니다.
핵심 개념: 이 문제는 network security groups에 대한 Azure Policy 적용을 테스트합니다. Azure Policy는 리소스 생성 또는 업데이트 시점에 리소스 구성을 평가하고 적용할 수 있지만, 핵심 세부 사항은 virtual networks 간의 TCP port 8080을 NSGs가 차단하도록 구체적으로 보장하는 built-in policy definition이 존재하는지 여부입니다. 정답인 이유: 제안된 솔루션은 목표를 충족하지 않습니다. 정확히 필요한 NSG rule을 적용하는 built-in policy가 존재하지 않는 한, 단순히 built-in policy definition을 할당하는 것만으로는 충분하지 않기 때문입니다. 이 시나리오에서 요구 사항은 매우 구체적입니다. NSG가 생성될 때마다 virtual networks 간의 TCP 8080 트래픽을 자동으로 차단해야 합니다. 이 정도 수준의 custom rule 적용은 일반적으로 generic built-in policy에 의존하기보다, 주로 DeployIfNotExists 또는 Deny logic을 사용하는 custom Azure Policy definition이 필요합니다. 주요 기능: Azure Policy는 subscription scope에 할당할 수 있으며, virtual networks와 NSGs가 서로 다른 resource groups에 분산되어 있으므로 이는 적절합니다. Policy는 배포 중에 NSGs를 평가할 수 있으며, policy effect에 따라 비준수 리소스를 거부하거나 필요한 설정을 배포할 수 있습니다. 그러나 built-in policies는 일반적인 governance 시나리오를 다루며, VNets 간 TCP 8080에 대한 custom deny rule과 같은 매우 구체적인 network rule 요구 사항과 항상 일치하지는 않습니다. 흔한 오해: 흔한 실수는 어떤 built-in policy든 자동으로 세부적인 NSG rules를 추가하거나 적용할 수 있다고 가정하는 것입니다. Built-in policies는 Microsoft가 제공하는 definitions로 제한되며, 많은 구체적인 NSG rule 요구 사항에는 custom policy가 필요합니다. 또 다른 오해는 policy를 할당하는 것만으로 remediation이 보장된다고 생각하는 것입니다. 원하는 적용 동작을 위해서는 policy definition과 effect가 이를 명시적으로 지원해야 합니다. 시험 팁: AZ-104에서는 built-in policy가 매우 구체적인 구성을 적용할 수 있는지 묻는 문제가 나오면, 요구 사항이 알려진 built-in policy와 정확히 일치하지 않는 한 신중하게 판단해야 합니다. 요구 사항에 custom ports, directions, address prefixes 또는 traffic patterns가 포함되면, 보통 custom Azure Policy가 필요합니다. 또한 subscription-level assignment는 여러 resource-group에 걸친 governance에 유용하지만, scope만으로 policy가 정확한 rule을 적용할 수 있게 되는 것은 아니라는 점도 기억하세요.
최근 Admin1이라는 사용자가 포함된 새 Azure 구독을 만들었습니다.
Admin1은 Azure Resource Manager 템플릿을 사용하여 Azure Marketplace 리소스를 배포하려고 합니다. Admin1은 Azure
PowerShell을 사용하여 템플릿을 배포하고 다음 오류 메시지를 받습니다: User failed validation to purchase resources. Error message: Legal terms have not been accepted for this item on this subscription. To accept legal terms, please go to the Azure portal (http://go.microsoft.com/fwlink/?LinkId=534873) and configure programmatic deployment for the Marketplace item or create it there for the first time.`
Admin1이 Marketplace 리소스를 성공적으로 배포할 수 있도록 해야 합니다.
무엇을 해야 합니까?
Set-AzApiManagementSubscription은 Azure API Management(APIM) 내에서 API 소비자를 위한 구독을 관리합니다. 이는 Azure Marketplace 구매 또는 법적 약관 수락과 관련이 없습니다. 이 cmdlet은 Marketplace 리소스의 ARM 템플릿 배포에 영향을 주지 않으며, 오류에서 나타난 구독 수준 Marketplace 약관 요구 사항을 해결하지 못합니다.
Microsoft.Marketplace 리소스 공급자 등록은 일부 Marketplace 관련 작업에 필요할 수 있지만, 오류 메시지는 공급자 등록이 아니라 미수락된 법적 약관을 구체적으로 언급합니다. 공급자 등록이 문제라면 일반적으로 등록되지 않은 namespace/provider에 대한 오류가 표시됩니다. 공급자만 등록한다고 해서 게시자 약관이 수락되지는 않습니다.
Set-AzMarketplaceTerms는 구독에서 특정 Marketplace offer/plan에 대한 법적 약관을 수락하는 데 사용되며, 프로그래밍 방식 배포(ARM/PowerShell/CLI)를 가능하게 합니다. 이는 명시된 유효성 검사 실패를 직접 해결합니다. 일반적으로 Get-AzMarketplaceTerms로 약관을 확인한 다음 Set-AzMarketplaceTerms -Accept로 해당 구독에 대한 수락을 기록합니다.
Billing administrator 역할을 할당하면 청구, 청구서 및 일부 구매 관련 설정을 관리할 수 있는 사용자가 변경되지만, 특정 offer/plan에 대한 Marketplace 법적 약관이 자동으로 수락되지는 않습니다. 배포 실패 원인은 권한 부족이 아니라 수락 누락입니다. 청구 권한이 있더라도 약관은 명시적으로 수락해야 합니다.
핵심 개념: 이 문제는 프로그래밍 방식 배포(ARM/Bicep/PowerShell/CLI)에서 Azure Marketplace 이미지/법적 약관 수락을 테스트합니다. 많은 Marketplace 오퍼는 자동화를 통해 배포하기 전에 구독 단위로 게시자 법적 약관을 수락해야 합니다. 이는 컴퓨팅 또는 RBAC 문제가 아니라 거버넌스 및 배포의 사전 요구 사항입니다. 정답이 맞는 이유: 오류는 “Legal terms have not been accepted for this item on this subscription”이라고 명시하며 “configure programmatic deployment for the Marketplace item or create it there for the first time”라고 안내합니다. Azure PowerShell에서는 Marketplace 약관을 수락하는 올바른 방법이 약관을 가져온 다음(Get-AzMarketplaceTerms) Set-AzMarketplaceTerms(일반적으로 -Accept 사용)로 수락하는 것입니다. 수락이 완료되면 해당 Marketplace 오퍼를 참조하는 ARM 템플릿 배포를 성공적으로 진행할 수 있습니다. 주요 기능 / 동작 방식: Marketplace 오퍼(VM 이미지, managed applications, 일부 SaaS)는 법적 수락이 필요할 수 있습니다. 수락은 특정 publisher/offer/plan 조합에 대해 구독 수준에 저장됩니다. 자동화를 위해서는 PowerShell/CLI/REST로 약관을 프로그래밍 방식으로 수락하거나, portal에서 한 번 배포(수락 프롬프트 표시)해야 합니다. 이는 Azure Well-Architected Framework 거버넌스 원칙과도 일치합니다. 즉, 자동화된 배포 전에 사전 요구 사항과 규정 준수 요구 사항이 충족되었는지 확인해야 합니다. 흔한 오해: 흔한 실수는 문제가 리소스 공급자 등록(Microsoft.Marketplace) 누락 또는 RBAC/청구 권한 부족이라고 가정하는 것입니다. 공급자 등록이 배포를 막을 수는 있지만, 그 경우 오류 메시지는 법적 약관이 아니라 공급자 등록 문제를 나타냅니다. 또한 Billing administrator를 할당해도 법적 약관이 자동으로 수락되지는 않으며, 단지 청구를 관리할 수 있는 사용자만 변경됩니다. 시험 팁: Marketplace 배포에서 “Legal terms have not been accepted”를 보면 “Marketplace 약관 수락”(Set-AzMarketplaceTerms / az vm image terms accept)을 떠올리십시오. 또한 수락은 구독별이며 plan별이라는 점을 기억하십시오. 템플릿에서 plan을 변경하면 약관을 다시 수락해야 할 수 있습니다. 참고: Microsoft 문서의 Azure Marketplace 프로그래밍 방식 배포 및 약관 수락(Get/Set-AzMarketplaceTerms).
5,000개의 사용자 계정을 포함하는 Azure Active Directory (Azure AD) 테넌트가 있습니다. AdminUser1이라는 새 사용자 계정을 만듭니다. AdminUser1에 User administrator 관리 역할을 할당해야 합니다. 사용자 계정 속성에서 무엇을 해야 합니까?
오답입니다. Licenses 블레이드에서 라이선스를 할당하면 서비스에 대한 액세스가 활성화되고(예: Entra ID P1/P2 기능) 기능이 잠금 해제될 수 있지만, Azure AD 관리 권한을 부여하지는 않습니다. 관리 권한은 제품 라이선스만으로가 아니라 directory role 할당(또는 PIM의 eligibility/activation)으로 제어됩니다.
정답입니다. 사용자 계정 속성에서 Directory role(종종 Assigned roles로 표시됨) 블레이드는 해당 사용자에 대한 Azure AD directory role 할당을 추가하거나 수정하는 위치입니다. 여기에서 User administrator를 선택하면 테넌트에서 사용자 및 그룹 관리를 위한 기본 제공 관리 권한이 AdminUser1에 부여됩니다.
오답입니다. 사용자를 그룹에 초대하거나 추가하는 것만으로는 Azure AD 관리 역할이 자동으로 할당되지 않습니다. 그룹 멤버십은 해당 그룹이 role-assignable group으로 특별히 구성되고 그 그룹에 User administrator 역할이 할당된 경우에만 관리 권한을 부여합니다(설명된 것과는 다른 워크플로).
핵심 개념: 이 문제는 ID 관리를 위한 Azure AD (Microsoft Entra ID) 역할 기반 액세스 제어를 테스트합니다. Azure AD의 관리 권한은 디렉터리 역할(예: User administrator 같은 Entra 기본 제공 역할)을 통해 부여되며, 라이선스나 그룹 초대(역할 할당 가능 그룹을 사용하는 경우는 다른 워크플로)로 부여되지 않습니다. 정답이 맞는 이유: Azure portal에서 사용자 계정 속성에서 AdminUser1에 User administrator 역할을 할당하려면, 해당 사용자의 Directory role(또는 Assigned roles) 블레이드에서 디렉터리 역할 할당을 추가/수정합니다. 이렇게 하면 AdminUser1에 테넌트 전반에서 User administrator 역할과 연결된 권한이 직접 부여됩니다(사용하는 경우 범위가 지정된 administrative units의 적용을 받을 수 있음). 사용자가 5,000명인 테넌트 규모는 방법을 바꾸지 않으며, 역할 할당은 여전히 디렉터리 역할을 통해 수행됩니다. 주요 기능 / 모범 사례: - Azure AD 역할은 최소 권한의 관리 액세스를 제공합니다. User administrator는 사용자 및 그룹을 관리할 수 있지만 Global administrator보다 권한이 낮습니다. - Azure Well-Architected Framework 보안 원칙(최소 권한, 업무 분리, just-in-time 액세스)을 따르세요. 프로덕션에서는 Privileged Identity Management (PIM)를 사용하여 역할을 eligible로 만들고 승인/MFA를 통한 활성화를 요구하는 것을 고려하세요. - 역할 할당은 (이 문제처럼) 사용자 개체 수준에서 수행하거나, 관리를 단순화하기 위해 (활성화된 경우) role-assignable groups를 통해 수행할 수 있습니다. 일반적인 오해: - 라이선스는 제품 기능(예: M365, Entra ID P1/P2 기능)을 활성화하지만, 그 자체로 관리 권한을 부여하지는 않습니다. - 사용자를 그룹에 추가하는 것은 해당 그룹이 역할이 할당된 그룹(role-assignable group)으로 구성되어 있거나 액세스 정책에서 사용되는 경우에만 권한을 부여합니다. 단순히 “그룹에 초대”하는 것만으로는 Azure AD admin role이 할당되지 않습니다. 시험 팁: - 문제가 “관리 역할을 할당”이라고 하면, 라이선스가 아니라 “Directory role / Assigned roles”를 떠올리세요. - Azure RBAC 역할(Azure 리소스용)과 Azure AD directory roles(테넌트 ID 관리용)을 구분하세요. User administrator는 directory role입니다. - 최신 시험 시나리오에서는 PIM이 권장 접근 방식이지만, 직접 할당을 위한 portal 블레이드는 여전히 Directory role/Assigned roles입니다.
이동 중에도 모든 문제를 풀고 싶으신가요?
Cloud Pass를 무료로 다운로드하세요 — 모의고사, 학습 진도 추적 등을 제공합니다.
contoso.onmicrosoft.com이라는 Azure Active Directory (Azure AD) 테넌트가 있으며, 이 테넌트에는 100개의 사용자 계정이 포함되어 있습니다. 테넌트에 대해 Azure AD Premium P2 라이선스 10개를 구매합니다. 10명의 사용자가 모든 Azure AD Premium 기능을 사용할 수 있도록 해야 합니다. 어떻게 해야 합니까?
정답입니다. Azure AD Premium P2는 per-user license이므로, 10명의 사용자가 모든 Premium 기능을 사용하려면 P2 license가 할당되어 있어야 합니다. Licenses blade에서 license를 할당하는 것은 entitlement를 제공하는 직접적이고 표준적인 방법입니다. 할당이 완료되면 해당 사용자들은 configuration에 따라 Identity Protection 및 Privileged Identity Management와 같은 P2 capabilities를 사용할 수 있습니다. 이는 선택된 10명의 사용자만 Premium feature rights를 받도록 보장하므로 요구 사항과 정확히 일치합니다.
오답입니다. 단순히 사용자를 group에 추가하거나 초대하는 것만으로는 Azure AD Premium P2 features가 자동으로 부여되지 않습니다. Group membership는 group-based licensing이 구성되어 있고 해당 group에 P2 license가 할당된 경우에만 도움이 되는데, 이 선택지에는 그 내용이 명시되어 있지 않습니다. 문구는 사용자를 group에 초대하라고 되어 있을 뿐, group을 통해 licenses를 할당하라고 하지는 않습니다. 따라서 이 작업만으로는 10명의 사용자가 모든 Premium features를 사용할 수 있다고 보장할 수 없습니다.
오답입니다. enterprise application 추가는 application integration, single sign-on, 그리고 service principal management에 사용됩니다. 이것은 사용자에게 Azure AD Premium P2 licenses를 할당하는 것과는 관련이 없습니다. tenant에 enterprise application이 존재한다고 해서 사용자가 Premium directory capabilities를 얻는 것은 아닙니다. 이 선택지는 문제의 licensing requirement를 해결하지 못합니다.
오답입니다. Directory roles는 Azure AD 내의 administrative permissions를 결정합니다. 예를 들어 User Administrator 또는 Global Administrator 같은 역할입니다. 하지만 이는 Azure AD Premium P2 features에 대한 license entitlement를 제공하지 않습니다. 사용자에게 admin role이 있어도 P2 license가 할당되지 않았다면 Premium features에 대한 access rights가 없을 수 있습니다. 따라서 directory role을 수정하는 것은 요구 사항을 충족하지 못합니다.
핵심 개념: 이 문제는 Azure AD (Microsoft Entra ID) licensing을 테스트합니다. Azure AD Premium 기능은 적절한 Premium license가 해당 사용자에게 직접 또는 group-based licensing을 통해 할당된 경우에만 사용자에게 활성화됩니다. 정답인 이유: tenant가 10개의 Azure AD Premium P2 licenses를 구매했고 10명의 사용자가 모든 Premium 기능을 사용해야 하므로, 필요한 작업은 해당 10명의 대상 사용자에게 그 licenses를 할당하는 것입니다. license assignment가 없으면 tenant의 사용자는 Identity Protection, Privileged Identity Management, access reviews와 같은 Premium P2 capabilities를 사용할 자격이 법적 또는 기술적으로 있다고 간주될 수 없습니다. 주요 기능: - Azure AD Premium P2는 per-user license입니다. - Licenses는 Azure AD Licenses에서 직접 할당하거나 group-based licensing으로 간접 할당할 수 있습니다. - P2 license가 할당된 사용자만 P2-only features를 사용해야 합니다. - Administrative roles와 group membership만으로는 Premium feature entitlement가 부여되지 않습니다. 자주 하는 오해: - 사용자를 groups에 추가하는 것만으로는 해당 group에 license가 할당되지 않는 한 Premium features가 부여되지 않습니다. - Directory roles는 permissions를 제어하며 licensing을 제어하지 않습니다. - Enterprise applications는 app integration 및 SSO configuration을 제공하며, user license entitlement를 제공하지 않습니다. 시험 팁: AZ-104에서 특정 사용자에 대해 Azure AD Premium 기능을 활성화하는 방법을 묻는 문제가 나오면, 먼저 license assignment를 떠올리세요. 선택지에 license를 할당하라고 명시되어 있다면, 문제에서 group-based licensing을 구체적으로 언급하지 않는 한 그것이 보통 정답입니다.
온-프레미스 네트워크에 Share1이라는 이름의 SMB 공유가 있습니다. 다음 리소스를 포함하는 Azure 구독이 있습니다: ✑ webapp1이라는 웹 앱 ✑ VNET1이라는 가상 네트워크 webapp1이 Share1에 연결할 수 있도록 해야 합니다. 무엇을 배포해야 합니까?
Azure Application Gateway는 Layer 7(HTTP/HTTPS) 로드 밸런서이자 리버스 프록시로, 종종 Web Application Firewall(WAF)과 함께 사용됩니다. 이는 웹 엔드포인트를 게시하고 보호하며 웹 트래픽을 백엔드로 라우팅하는 데 도움이 됩니다. SMB를 통해 온-프레미스 리소스에 대한 일반적인 네트워크 연결을 제공하지 않으며 VPN 터널을 생성하지도 않습니다. 따라서 webapp1이 온-프레미스 SMB 공유에 액세스하도록 해주지 못합니다.
Azure AD Application Proxy는 온-프레미스에 커넥터를 배치하고 Azure AD를 사용해 사전 인증을 수행함으로써 온-프레미스 웹 애플리케이션(HTTP/HTTPS)에 대한 안전한 원격 액세스를 제공하도록 설계되었습니다. 파일 공유 액세스나 SMB 프로토콜 포워딩을 위한 것이 아닙니다. Share1은 SMB 공유이므로 Application Proxy는 webapp1이 연결하는 데 필요한 네트워크 경로나 프로토콜 지원을 제공할 수 없습니다.
Azure Virtual Network Gateway는 Azure VNet(VNET1)과 온-프레미스 네트워크 간의 Site-to-Site VPN과 같은 하이브리드 연결을 가능하게 합니다. 이는 Azure 워크로드가 온-프레미스 IP(Share1 같은 SMB 공유 포함)에 도달하도록 네트워크를 확장하는 올바른 구성 요소입니다. App Service VNet Integration과 결합하면 webapp1은 트래픽을 VNET1으로 라우팅하고 VPN 터널을 통해 Share1에 액세스할 수 있습니다.
핵심 개념: 이 문제는 Azure App Service(웹앱 webapp1)에서 온-프레미스 SMB 파일 공유로의 하이브리드 연결을 테스트합니다. App Service는 온-프레미스 네트워크에 직접 위치하는 PaaS가 아니므로, Azure에서 온-프레미스로 가는 안전한 네트워크 경로를 제공해야 합니다. AZ-104에서는 일반적으로 Virtual Network Gateway를 사용한 site-to-site VPN(또는 ExpressRoute) 연결로 매핑됩니다. 정답이 맞는 이유: webapp1이 온-프레미스 SMB 공유(Share1)에 도달하려면 Azure(VNET1)와 온-프레미스 네트워크 간의 네트워크 수준 연결이 필요합니다. Azure Virtual Network Gateway를 배포하면 VNET1에서 온-프레미스 VPN 디바이스로 Site-to-Site VPN 연결을 설정할 수 있습니다. 그런 다음 webapp1은 VNet Integration을 사용하여 아웃바운드 트래픽을 VNET1으로 라우팅하고, VPN 터널을 통해 SMB(TCP 445)로 Share1에 도달할 수 있습니다(라우팅, DNS, 방화벽 규칙이 허용된다는 전제). 주요 기능 / 구성 참고 사항: - VNET1에 Virtual Network Gateway를 배포하고, 온-프레미스 주소 공간을 나타내는 Local Network Gateway를 구성합니다. - 온-프레미스 VPN 디바이스로 Site-to-Site IPsec/IKE VPN을 설정합니다. - webapp1에 대해 App Service VNet Integration(Regional VNet integration)을 구성하여 앱이 VNET1으로 트래픽을 보낼 수 있게 합니다. - Share1에 대한 이름 확인(Private DNS, 사용자 지정 DNS 서버, 또는 Azure DNS Private Resolver)을 보장하고, 온-프레미스 방화벽에서 SMB(445)를 허용합니다. - Azure Well-Architected Framework 관점에서 이는 Security(프라이빗 연결), Reliability(적절한 SKU를 통한 안정적인 터널), Operational Excellence(중앙 집중식 네트워크 제어)를 개선합니다. 흔한 오해: - Application Gateway는 HTTP/HTTPS 로드 밸런싱 및 WAF용이며, 온-프레미스로의 SMB 연결을 활성화하기 위한 것이 아닙니다. - Azure AD Application Proxy는 HTTP/HTTPS를 통해 내부 웹 앱을 외부 사용자에게 게시하는 기능이며, SMB 공유가 아닙니다. 시험 팁: “Azure 리소스가 온-프레미스 네트워크에 연결해야 함”을 보면 “VPN Gateway/ExpressRoute”를 떠올리세요. “내부 웹 앱을 외부에 게시”를 보면 “AAD App Proxy”를 떠올리세요. “HTTP(S) 리버스 프록시/WAF”를 보면 “Application Gateway”를 떠올리세요.
webapp1이라는 이름의 Azure web app이 있습니다. 사용자들은 webapp1에 연결할 때 종종 HTTP 500 오류가 발생한다고 보고합니다. webapp1의 개발자에게 연결 오류에 대한 실시간 액세스를 제공해야 합니다. 솔루션은 모든 연결 오류 세부 정보를 제공해야 합니다. 먼저 무엇을 해야 합니까?
오답입니다. Web server logging은 URL, method, status code, timing data와 같은 HTTP 요청 및 응답 정보를 기록하지만, 일반적으로 HTTP 500 오류를 유발한 전체 internal 예외 세부 정보는 포함하지 않습니다. 따라서 실패가 발생했음을 확인하는 데는 유용하지만, 근본 원인이 필요한 개발자에게는 덜 유용합니다. 문제는 개발자에게 모든 오류 세부 정보를 제공하는 것을 강조하므로, application logging이 더 나은 첫 번째 조치입니다.
오답입니다. Azure Monitor workbook은 시각화 및 보고 도구일 뿐입니다. 이는 이미 수집되고 있는 로그나 metric에 의존하며, web app에 대한 진단 수집 자체를 활성화하지는 않습니다. 적절한 logging이 이미 켜져 있지 않다면, 먼저 workbook을 생성해도 새로운 실시간 오류 세부 정보는 제공되지 않습니다.
오답입니다. Service Health alerts는 Azure 플랫폼 중단, 유지 관리 이벤트, 또는 서비스 권고 사항을 관리자에게 알리도록 설계되었습니다. 이는 애플리케이션별 HTTP 500 실패를 수집하거나 web app의 요청별 진단 세부 정보를 제공하지 않습니다. 이 옵션은 개발자가 간헐적인 서버 오류의 internal 원인을 조사하는 데 도움이 되지 않습니다.
정답입니다. Application Logging은 web app 자체에서 생성된 진단 메시지를 수집하며, 여기에는 처리되지 않은 예외, framework 오류, 그리고 HTTP 500 응답이 발생하는 이유를 설명하는 trace 출력이 포함됩니다. 이러한 로그는 log streaming을 통해 거의 실시간으로 액세스할 수 있으므로, 개발자에게 실패에 대한 즉각적인 가시성을 제공해야 한다는 요구 사항을 직접적으로 충족합니다. 문제에서 app 실패를 troubleshoot하는 데 관련된 모든 connection 오류 세부 정보를 요구하므로, application-level 진단이 가장 유용한 첫 번째 단계입니다.
핵심 개념: 이 문제는 개발자가 간헐적인 HTTP 500 오류를 실시간으로 troubleshoot할 수 있도록 도와주는 적절한 Azure App Service 진단 기능을 선택하는 것에 관한 것입니다. HTTP 500은 서버 측 애플리케이션 실패를 나타내므로, 가장 유용한 첫 단계는 HTTP 액세스 기록만 보는 것이 아니라 애플리케이션이 생성한 진단 출력을 수집하는 것입니다. Azure App Service의 Application Logging은 요청이 실패한 이유를 보여주는 app-level 오류, 예외, trace 메시지를 기록합니다. 정답인 이유: Application Logging을 켜면 개발자는 500 응답을 유발하는 실제 runtime 실패를 거의 실시간으로 확인할 수 있습니다. 이러한 로그는 live로 streaming할 수 있으며, 일반적으로 예외 메시지, stack trace, framework/application 진단 정보를 포함하므로 개발자가 문제를 수정하는 데 필요한 세부 정보를 제공합니다. 요구 사항이 개발자에게 오류 세부 정보에 대한 실시간 액세스를 제공하는 것이므로, application logging을 활성화하는 것이 가장 직접적이고 적절한 첫 번째 조치입니다. 주요 기능: Application Logging은 live log streaming을 지원하며 즉각적인 troubleshooting을 위해 file system에 쓸 수 있습니다. 이는 애플리케이션 framework 또는 코드에서 출력한 메시지를 수집하며, 대부분의 HTTP 500 근본 원인이 바로 여기에서 드러납니다. 따라서 internal server error를 진단할 때 request-only logging보다 더 유용합니다. 일반적인 오해: Web server logging은 요청과 응답 코드를 기록하지만, 일반적으로 500 오류의 원인이 된 전체 예외 세부 정보를 포함하지는 않습니다. Workbooks는 기존 telemetry를 시각화할 뿐이며 데이터 수집을 시작하지는 않습니다. Service Health alerts는 Azure 플랫폼 인시던트를 위한 것이지, 애플리케이션별 실패를 위한 것이 아닙니다. 시험 팁: App Service troubleshooting에서는 request-level 로그와 application-level 로그를 구분하세요. 문제가 HTTP 500이고 개발자에게 근본적인 오류 세부 정보가 필요하다면, 먼저 Application Logging을 우선 고려하세요. 요구 사항이 특히 request history, client IP, 또는 raw HTTP access records에 관한 것이라면 Web server logging이 더 적절합니다.
참고: 이 질문은 동일한 시나리오를 제시하는 일련의 질문 중 일부입니다. 이 시리즈의 각 질문에는 명시된 목표를 충족할 수도 있는 고유한 솔루션이 포함되어 있습니다. 일부 질문 세트에는 정답이 둘 이상 있을 수 있으며, 다른 세트에는 정답이 없을 수도 있습니다. 이 섹션의 질문에 답한 후에는 해당 질문으로 돌아갈 수 없습니다. 따라서 이러한 질문은 검토 화면에 표시되지 않습니다. Subscription1이라는 Azure 구독이 있습니다. Subscription1에는 RG1이라는 리소스 그룹이 포함되어 있습니다. RG1에는 templates를 사용하여 배포된 리소스가 포함되어 있습니다. RG1에서 리소스가 생성된 날짜와 시간을 확인해야 합니다. 솔루션: Subscriptions 블레이드에서 구독을 선택한 다음 Programmatic deployment를 클릭합니다. 이것이 목표를 충족합니까?
예는 오답인 이유는 Subscriptions 블레이드의 Programmatic deployment가 특정 리소스 그룹에서 리소스가 생성된 날짜/시간을 확인하기 위한 적절하고 직접적인 방법이 아니기 때문입니다. template 기반 배포의 생성 시점은 리소스 그룹의 배포 기록(RG1 -> Deployments) 또는 RG1로 필터링한 Activity log에서 확인하는 것이 가장 좋습니다.
No가 정답인 이유는 subscription 아래의 Programmatic deployment blade가 RG1의 resources가 생성된 날짜와 시간을 표시하지 않기 때문입니다. 해당 blade는 templates, PowerShell, CLI 또는 SDK를 통해 resources를 배포하는 데 도움을 주기 위한 것이지, 과거 deployment timestamps를 검토하기 위한 것이 아닙니다. template로 배포된 resources가 언제 생성되었는지 확인하려면 RG1의 Deployments blade를 보거나 create operations에 대한 Activity log를 검토해야 합니다. 따라서 제안된 탐색 경로는 명시된 목표를 충족하지 않습니다.
핵심 개념: 이 문제는 Azure VM maintenance controls와 platform maintenance에 사전에 대응하는 방법을 테스트합니다. Azure는 VM이 maintenance 대상으로 예약되었다고 알릴 수 있습니다(예: host OS updates 또는 hardware servicing). 관련 기능은 VM Maintenance/Updates 아래에서 찾을 수 있으며, “Redeploy”(새 host로 이동) 및 경우에 따라 “Self-service maintenance” controls 같은 옵션을 포함합니다. 정답인 이유: VM1 Updates blade에서 “One-time update”를 선택하는 것은 VM을 즉시 다른 host로 이동시키는 목표를 충족하지 않습니다. “One-time update”는 updates/patches 적용(guest OS updates 또는 update management actions)과 관련이 있으며 host 변경을 강제하지 않습니다. VM을 즉시 다른 host로 이동시키려면 일반적으로 VM을 Redeploy하는 작업(새 node에서 중지/deallocate 후 시작) 또는 platform maintenance events를 위해 특별히 설계된 maintenance controls를 사용해야 합니다. 따라서 제안된 솔루션은 요구 사항을 충족하지 않습니다. 주요 기능 및 모범 사례: - “Redeploy”는 VM을 새로운 Azure host로 강제로 이동시키는 일반적인 운영 작업입니다. 이 작업은 downtime을 발생시키고 새로운 host assignment를 수행하지만, disks와 configuration은 유지합니다. - 더 높은 availability를 위해 Availability Sets 또는 Availability Zones를 사용하여 platform maintenance가 instances의 일부에만 영향을 주도록 하고 application layer에서 fail over할 수 있도록 합니다. - Azure Well-Architected Framework (Reliability)는 reactive host moves에 의존하기보다 redundancy(zones/sets)를 통해 planned maintenance에 대비하도록 설계할 것을 권장합니다. 일반적인 오해: “Updates”(patching/Update Management)와 “Maintenance”(platform host maintenance)를 혼동하기 쉽습니다. 둘 다 “maintenance”와 관련이 있지만, host placement에 영향을 주는 것은 redeploy/maintenance controls뿐입니다. one-time update를 적용하면 guest OS vulnerability는 줄일 수 있지만 기본 host는 변경되지 않습니다. 시험 팁: AZ-104에서는 다음을 기억하세요: “Redeploy” = VM을 새로운 host로 이동. “Restart”는 host 변경을 보장하지 않습니다. “Updates/One-time update”는 patching과 관련이 있으며 host migration이 아닙니다. 문제가 명시적으로 “즉시 다른 host로 이동”이라고 말하면 Redeploy를 떠올리세요(또는 예방을 묻는 경우 zone/availability 설계).
Subscription1이라는 Azure 구독과 온-프레미스에 배포된 Microsoft System Center Service Manager가 있습니다. Subscription1에는 VM1이라는 virtual machine이 포함되어 있습니다. VM1에서 사용 가능한 메모리 양이 10% 미만일 때 Service Manager에서 alert가 설정되도록 해야 합니다. 먼저 무엇을 해야 합니까?
automation runbook을 생성하는 것은 Service Manager와 Azure alerts를 통합하기 위한 첫 단계가 아닙니다. Runbooks(Azure Automation)는 remediation 또는 커스텀 통합을 실행하는 데 사용할 수 있지만, ticket 생성 로직을 직접 구축하고 유지 관리해야 합니다(대개 APIs 사용). 이 문제는 Service Manager에서 alert가 설정되도록 하기 위해 먼저 무엇을 해야 하는지를 묻고 있으며, 표준 전제 조건은 ITSM Connector 통합입니다.
function app을 배포하는 것은 Azure Monitor alerts를 수신한 뒤 Service Manager APIs를 호출하는 커스텀 webhook endpoint를 구현하는 데 사용할 수 있습니다. 하지만 이는 커스텀 솔루션이며 AZ-104 맥락에서 기대되는 첫 단계가 아닙니다. Microsoft는 Service Manager 같은 ITSM 도구와 Azure Monitor를 통합하기 위해 IT Service Management Connector를 제공하므로, 기본 요구 사항에는 Function App이 필요하지 않습니다.
IT Service Management Connector(ITSM)를 배포하는 것이 올바른 첫 단계인 이유는 Azure Monitor와 System Center Service Manager 간의 통합을 설정하기 때문입니다. ITSMC가 구성되면 VM1 메모리에 대한 Azure Monitor alert rule을 만들고 action group을 사용하여 Service Manager에서 해당 incident/alert를 생성할 수 있습니다. ITSMC가 없으면 Azure Monitor는 기본적으로 Service Manager work item을 열 수 없습니다.
notification을 생성하는 것만으로는 충분하지 않습니다. notification(email/SMS/push)은 사람이나 endpoint로 전달될 뿐, Service Manager 내부에 alert/incident 레코드를 생성하지는 않습니다. Service Manager는 work item을 생성하기 위한 통합 경로가 필요합니다. Azure Monitor에서는 일반적으로 단순 notification이 아니라 ITSM Connector에 연결된 action group을 통해 이 통합을 구현합니다.
핵심 개념: 이 문제는 Azure monitoring/alerting을 ITSM 도구(System Center Service Manager)와 통합하여 Azure alert가 Service Manager에서 incident/alert를 생성하도록 하는 것을 테스트합니다. Azure에서 일반적인 흐름은 다음과 같습니다. metrics 수집(Azure Monitor) → alert rule 생성(Metric alert) → action group을 통해 IT Service Management Connector(ITSMC)로 alert를 ITSM 시스템에 전달. 정답이 맞는 이유: Azure 리소스에서 “Service Manager에 alert가 설정”되게 하려면, 가장 먼저 필요한 전제 조건은 Azure Monitor와 Service Manager 간의 통합을 설정하는 것입니다. 이 통합은 IT Service Management Connector(ITSM)에서 제공합니다. ITSMC가 구성되어 있지 않으면 Azure Monitor action group은 Service Manager에서 work item(incidents/alerts)을 생성할 수 없습니다. ITSMC를 배포하고 구성한 후에는 VM1에 대해 “Available memory”(또는 필요 시 VM insights/AMA/Log Analytics를 통해 적절한 memory metric) 기준으로 임계값 <10%의 metric alert를 만들고, ITSM connector를 대상으로 하는 action group을 연결합니다. 주요 기능 / 모범 사례: - Azure Monitor metric alerts는 일정에 따라 platform metrics를 평가하고 action group을 트리거합니다. - Action groups는 ITSMC를 통해 ITSM과 통합하여 Service Manager에 incident를 생성할 수 있습니다. - Azure Well-Architected Framework 관점(Reliability/Operational Excellence)에서 alert-to-ticket 자동화를 중앙화하면 MTTR을 줄이고 일관된 incident management를 보장합니다. - VM이 필요한 memory telemetry를 내보내고 있는지 확인합니다(대개 Azure Monitor Agent + VM insights/Log Analytics를 통해 guest memory 신호 수집). 그 다음 alert를 만들고 ITSM을 통해 라우팅합니다. 흔한 오해: - automation runbook 또는 Function App부터 시작해야 한다고 생각하는 것: 이는 커스텀 ticketing workflow를 만들 수 있지만, Service Manager 통합을 위한 표준/필수 첫 단계는 아닙니다. - “notification”만으로 충분하다고 생각하는 것: notifications(email/SMS/webhook)는 connector 없이 Service Manager work item을 자동으로 생성하지 않습니다. 시험 팁: 요구 사항에 “Service Manager에 alert를 설정”이라고 명시되어 있다면(온-프레미스 ITSM 도구), Azure Monitor-to-ITSM 통합 구성 요소를 찾으세요. Microsoft 시험 시나리오에서는 alert rules와 action groups를 구성하기 전에 ITSM Connector가 정석적인 첫 단계입니다.
이동 중에도 모든 문제를 풀고 싶으신가요?
Cloud Pass를 무료로 다운로드하세요 — 모의고사, 학습 진도 추적 등을 제공합니다.
Azure Active Directory (Azure AD) Premium P2에 가입합니다. Azure AD 도메인에 조인될 모든 컴퓨터에서 [email protected]라는 사용자를 관리자로 추가해야 합니다. Azure AD에서 무엇을 구성해야 합니까?
정답입니다. Devices blade의 Device settings에는 Azure AD joined devices의 additional local administrators에 대한 Azure AD 구성이 포함됩니다. 이 tenant 수준 설정은 Azure AD-joined Windows devices의 로컬 Administrators group에 어떤 users가 자동으로 배치되는지를 제어하도록 특별히 설계되었습니다. 요구 사항이 Azure AD에 join될 모든 computers에 적용되므로, 사용자별 또는 그룹별 administrative setting이 아니라 device 전체에 대한 구성이 필요합니다. 따라서 Devices blade가 이 작업에 대한 올바른 관리 위치입니다.
오답입니다. MFA Server blade의 Providers는 multi-factor authentication integration 및 legacy MFA Server 관련 settings를 구성하는 데 사용됩니다. 이러한 settings는 users가 인증하는 방식에는 영향을 주지만, Azure AD-joined devices에서 로컬 Windows administrator membership은 제어하지 않습니다. 이 문제는 join 이후의 device administration에 관한 것이지 authentication policy에 관한 것이 아닙니다. 따라서 MFA Server settings는 요청된 구성과 관련이 없습니다.
오답입니다. Users blade의 User settings는 Azure AD 내에서 user 관련 옵션과 profile 수준 구성을 관리합니다. 그러나 Azure AD-joined Windows devices의 로컬 Administrators group에 누가 추가되는지를 결정하는 tenant-wide control은 제공하지 않습니다. 구성 대상이 user account이기는 하지만, 요구 사항의 범위는 join된 모든 computers이므로 이는 device configuration 문제입니다. 이런 이유로 Users blade는 이를 구성하는 올바른 위치가 아닙니다.
오답입니다. Groups blade의 General settings는 naming conventions, expiration, self-service group features와 같은 group 동작을 관리하기 위한 것입니다. 이는 Azure AD-joined devices에서 어떤 users가 로컬 administrator 권한을 받는지를 정의하지 않습니다. 문제는 모든 join된 computers에 적용되는 기본 제공 Azure AD device administration setting을 묻고 있으며, 이는 Groups가 아니라 Devices 아래에 있습니다. 따라서 이 옵션은 요구 사항을 충족하지 않습니다.
핵심 개념: 이 문제는 Azure AD-joined devices에 대한 Azure AD device administration을 테스트합니다. Windows devices가 Azure AD에 join되면, Azure AD는 해당 devices의 로컬 Administrators group에 어떤 users가 자동으로 추가되는지를 제어합니다. 이는 Azure AD device settings에서 tenant 수준으로 구성됩니다. 정답인 이유: 특정 user(user@contoso.com)를 모든 Azure AD-joined computers의 administrator로 만들려면, “Additional local administrators on Azure AD joined devices”를 결정하는 설정을 구성해야 합니다. 이 설정은 Azure AD > Devices > Device settings 아래에 있습니다. 이를 통해 모든 Azure AD-joined device에서 로컬 admin 권한을 부여받을 users 및/또는 groups를 지정할 수 있습니다(구성에 따라 device owner 및 global administrators에 추가로 적용됨). 이것이 Azure AD-joined endpoints 전반에서 로컬 admin 할당을 위한 의도된 control plane입니다. 주요 기능 및 모범 사례: - 가능하면 개별 users보다 groups를 사용하세요(예: “Device Local Admins” security group). 이렇게 하면 lifecycle management가 단순해지고 least privilege 원칙에도 부합합니다. - 이는 Azure Well-Architected Framework의 보안 원칙과도 일치합니다. 즉, 상시 privilege를 최소화하고 identity 기반 access control을 중앙화하는 것입니다. - 실제 환경에서는 Privileged Identity Management (PIM) (Azure AD Premium P2에서 사용 가능)을 사용하여 group assignment를 통해 로컬 admin membership을 eligible/just-in-time 방식으로 만들고, 지속적인 admin 노출을 줄이는 것을 고려하세요. 흔한 오해: - 많은 사람들이 이것을 사용자별 설정(Users blade) 또는 group 설정(Groups blade)이라고 생각합니다. 그러나 Azure AD-joined devices의 로컬 admin은 user profile settings가 아니라 device join/device settings에 의해 관리됩니다. - MFA Server settings는 관련이 없습니다. 이는 MFA provider configuration을 제어할 뿐, device 로컬 admin 권한은 제어하지 않습니다. 시험 팁: - Azure AD-joined Windows devices의 경우, “기본적으로 누가 로컬 admin이 되는가?”는 Azure AD device settings에서 제어된다는 점을 기억하세요. - 문제에서 “join될 모든 computers”를 언급하면, 개별 object 설정이 아니라 tenant-wide device configuration(Devices blade)을 떠올리세요. - P2는 종종 PIM을 암시하지만, 여기서 묻는 직접적인 구성은 여전히 Devices > Device settings에 있습니다.
Template1이라는 배포 템플릿이 있으며, 이 템플릿은 10개의 Azure web app을 배포하는 데 사용됩니다. Template1을 배포하기 전에 무엇을 배포해야 하는지 식별해야 합니다. 솔루션은 Azure 비용을 최소화해야 합니다. 무엇을 식별해야 합니까?
Application Gateway 5개는 web app을 배포하는 데 필요하지 않습니다. Application Gateway는 고급 라우팅, TLS 종료, 보호를 위해 사용되는 Layer 7 로드 밸런서/WAF입니다. 상당한 비용과 복잡성을 추가하며, 특정 요구 사항(WAF, 경로 기반 라우팅, ILB를 통한 프라이빗 액세스 등)이 있을 때만 정당화됩니다. App Service 배포의 전제 조건이 아닙니다.
App Service plan 1개는 10개의 web app을 호스팅하기 위한 필수 기반 리소스이며, app이 동일한 지역/OS 및 스케일링 경계를 공유할 수 있을 때 가장 비용 효율적인 옵션입니다. App Service 가격은 주로 plan(SKU 및 인스턴스 수) 기준이므로, 하나의 plan에 여러 app을 배치해도 일반적으로 컴퓨팅 비용이 곱절로 증가하지 않아 비용 최소화 관점에서 가장 적절한 사전 조건입니다.
App Service plan 10개는 app별 격리 및 독립적 스케일링을 가능하게 하지만, 각 plan이 자체 컴퓨팅 리소스를 프로비저닝하고 과금되므로 일반적으로 가장 비싼 접근 방식입니다. 이는 app에 서로 다른 SKU, 지역, OS 유형 또는 엄격한 격리가 필요한 경우에만 적절합니다. 비용 최소화 관점에서는 일반적으로 오답입니다.
Azure Traffic Manager는 엔드포인트/지역 간 DNS 기반 글로벌 라우팅 및 장애 조치를 제공합니다. web app을 배포하는 데 필요하지 않으며 App Service plan의 필요성을 대체하지도 않습니다. 다중 지역 배포가 있거나 성능/장애 조치 라우팅이 필요할 때 사용되며, 10개의 web app을 배포하기 위한 전제 조건을 넘어서는 내용입니다.
Application Gateway 1개는 Layer 7 라우팅 및 WAF를 위해 하나 이상의 web app 앞단에 둘 수 있지만, App Service app을 배포하기 전에 필수는 아닙니다. 또한 추가 비용을 유발합니다. 시나리오에서 WAF, 프라이빗 인그레스 또는 고급 라우팅이 명시적으로 요구되지 않는 한, Application Gateway를 식별/배포하는 것은 올바른 전제 조건이 아닙니다.
핵심 개념: Azure Web Apps(App Service apps)는 App Service plan에서 실행되어야 하며, 이 plan은 기본 컴퓨팅 리소스(지역, OS, 가격 책정 계층, 스케일 단위)를 정의합니다. web app 자체는 코드와 구성에 대한 논리적 컨테이너이지만, App Service plan 없이 생성할 수 없습니다. 정답인 이유: ARM/Bicep 템플릿을 사용하여 10개의 Azure web app을 배포하려면 App Service plan이 존재해야 합니다(또는 템플릿이 이를 생성해야 함). 질문이 Template1을 배포하기 전에 무엇을 식별/배포해야 하는지를 묻고, 목표가 Azure 비용 최소화라면, 가장 좋은 접근 방식은 단일 App Service plan을 사용하고 10개의 web app을 모두 해당 plan에 배치하는 것입니다(동일한 지역 및 OS 요구 사항을 공유한다고 가정). 여러 app이 동일한 plan을 공유할 수 있으며, 따라서 동일한 컴퓨팅 인스턴스를 공유하게 되어 일반적으로 별도의 plan을 각각 프로비저닝하는 것보다 훨씬 저렴합니다. 주요 기능 및 모범 사례: App Service plan은 App Service의 과금 및 스케일링 경계입니다. 비용은 주로 app 개수가 아니라 plan의 SKU(Free/Shared/Basic/Standard/Premium/Isolated)와 인스턴스 수에 의해 결정됩니다. 적절한 크기의 단일 plan에서 트래픽이 낮거나 중간 수준인 여러 app을 호스팅하는 것은 Azure Well-Architected Framework(비용 최적화 기둥)에 부합하는 일반적인 비용 최적화 패턴입니다. 또한 총 수요를 충족하기 위해 plan을 scale out/in할 수 있습니다. 일반적인 오해: Azure Application Gateway 또는 Traffic Manager 같은 로드 밸런싱 서비스는 web app을 배포하기 위한 필수 구성 요소가 아닙니다. 이들은 라우팅, WAF, TLS 오프로딩, 다중 지역 장애 조치(failover) 등을 위한 선택적 구성 요소입니다. 또한 많은 사람들이 각 web app에 자체 plan이 필요하다고 생각하지만, 이는 app에 격리, 서로 다른 SKU, 서로 다른 지역, 서로 다른 OS(Windows vs Linux), 또는 독립적인 스케일링이 필요한 경우에만 필요합니다. 시험 팁: AZ-104의 경우 기억할 점: Web App에는 App Service plan이 필요합니다. 비용을 최소화하려면 요구 사항이 허용하는 범위에서 app을 더 적은 수의 plan으로 통합하세요. plan을 분리하면 각 plan이 자체 컴퓨팅을 프로비저닝하므로 비용이 증가합니다. Gateway/Traffic Manager는 아키텍처 선택 사항이지, 기본적인 web app 생성에 대한 배포 전제 조건이 아닙니다.
VM1이라는 가상 머신이 포함된 Azure 구독이 있습니다. VM1은 하루 24시간 사용 가능한 기간 업무(line-of-business) 애플리케이션을 호스팅합니다. VM1에는 네트워크 인터페이스 1개와 managed disk 1개가 있습니다. VM1은 D4s v3 크기를 사용합니다. VM1에 대해 다음 변경을 계획하고 있습니다: ✑ 크기를 D8s v3로 변경합니다. ✑ 500-GB managed disk를 추가합니다. ✑ Puppet Agent extension을 추가합니다. ✑ Desired State Configuration Management를 사용하도록 설정합니다. 어떤 변경이 VM1에 다운타임을 발생시키나요?
Desired State Configuration(DSC) management를 사용하도록 설정(일반적으로 Azure Automation State Configuration/DSC를 통해)은 구성 관리 기능입니다. 이는 agent/extension 및 pull server 모델을 사용하여 게스트 OS에 구성을 적용합니다. 이는 일반적으로 VM이 실행 중인 상태에서 수행되며, 본질적으로 VM을 중지/할당 해제할 필요가 없습니다. DSC는 적용하는 구성에 따라 서비스(또는 OS)를 재시작할 수는 있지만, 관리 기능 자체를 활성화하는 행위는 시험에서 다운타임을 유발하는 것으로 기대되지 않습니다.
기존 Azure VM에 500-GB managed disk를 추가(attach)하는 것은 일반적으로 온라인 작업입니다. VM이 실행 중인 상태에서 새로운 managed data disk를 attach할 수 있으며, 플랫폼 차원에서 다운타임이 필요하지 않습니다. attach 후에는 게스트 OS 내부에서 디스크를 초기화/파티션/포맷해야 하는데, 이 또한 온라인으로 수행할 수 있습니다. 이는 AZ-104의 일반 포인트로, data disk attach는 보통 hot-add입니다.
VM 크기를 D4s v3에서 D8s v3로 변경하는 것은 리사이징 작업이며, Azure가 새로운 SKU를 지원하는 호스트에서 compute 리소스를 재할당할 수 있도록 VM을 중지(할당 해제)하고 재시작해야 하는 경우가 흔합니다. 이로 인해 VM1에서 실행 중인 워크로드에 다운타임이 발생합니다. 동일한 series 내에서도 용량 제약으로 인해 다른 하드웨어로 이동해야 할 수 있으므로, 다운타임이 예상되는 결과입니다.
Puppet Agent extension을 추가하는 것은 VM extension 배포를 통해 Azure VM Agent가 수행합니다. VM extension은 VM이 실행 중인 상태에서 설치 및 업데이트되도록 설계되었으며, 일반적으로 재부팅이나 할당 해제가 필요하지 않습니다. extension이 소프트웨어를 설치하고 구성에 따라 서비스를 재시작할 수는 있지만, extension을 추가하는 행위 자체는 AZ-104에서 다운타임을 유발하는 플랫폼 작업으로 간주되지 않습니다.
핵심 개념: 이 문제는 Azure VM 라이프사이클 작업과, 어떤 작업이 VM 재시작/할당 해제(다운타임)를 필요로 하는지 vs “hot” 변경(온라인 변경)인지 테스트합니다. AZ-104에서는 어떤 compute 변경이 온라인이고 어떤 변경이 VM을 중지해야 하는지 알아야 합니다. 정답이 맞는 이유: VM 크기를 D4s v3에서 D8s v3로 변경하는 것은 일반적으로 VM을 중지(할당 해제)한 다음 다시 시작해야 하며, Azure가 새로운 vCPU/메모리 할당을 지원하는 하드웨어로 VM을 이동할 수 있도록 해야 합니다. 동일한 VM family 내에서 리사이징하더라도, Azure는 종종 VM을 다른 호스트로 재할당해야 하며 이는 다운타임을 유발합니다. 24x7 기간 업무 워크로드의 경우 이는 중요한 가용성 고려 사항이며, Azure Well-Architected Framework(Reliability pillar)는 리사이징 같은 계획된 유지보수가 가용성에 영향을 주지 않도록 중복성(예: load balancer 뒤의 여러 인스턴스, Availability Zones/sets)을 갖춘 설계를 권장합니다. 주요 기능 및 모범 사례: - VM resize는 compute host 할당 변경이며, 일반적으로 stop/deallocate 작업을 트리거합니다. - 대상 크기가 현재 cluster/host에서 사용 불가능하면, Azure는 VM을 이동해야 하므로 다운타임이 확정됩니다. - 다운타임을 피하려면 scale up 대신 scale out(여러 VM)하거나, VM Scale Sets / 가용성 구성 요소를 사용합니다. 흔한 오해: - “같은 series로 resize하면 항상 온라인이다”: 사실이 아닙니다. Azure는 여전히 재할당이 필요할 수 있습니다. - “extension은 다운타임을 유발한다”: extension은 일반적으로 Azure VM Agent에 의해 설치되며 보통 재부팅이 필요하지 않습니다(다만 일부 extension 또는 구성에 따라 그럴 수 있음). 시험에서는 명시되지 않는 한 extension 설치는 비-다운타임으로 취급하는 것이 기대됩니다. 시험 팁: - 할당 해제가 필요한 작업을 암기하세요: VM SKU 리사이징은 대표적입니다. - disk attach/detach 및 대부분의 extension 설치는 일반적으로 온라인입니다. - 24/7 앱의 경우, 계획된 다운타임 작업을 처리하기 위한 HA 패턴(Availability Zones/sets, load balancing)을 언급하세요. 복습할 참고 자료: - Azure VM 리사이징 동작 및 할당 해제 요구 사항(Azure Virtual Machines 문서) - Azure Well-Architected Framework: Reliability
참고: 이 질문은 동일한 시나리오를 제시하는 일련의 질문 중 일부입니다. 이 시리즈의 각 질문에는 제시된 목표를 충족할 수도 있는 고유한 솔루션이 포함되어 있습니다. 일부 질문 세트에는 정답이 둘 이상 있을 수 있으며, 다른 세트에는 정답이 없을 수도 있습니다. 이 섹션에서 질문에 답한 후에는 해당 질문으로 돌아갈 수 없습니다. 따라서 이러한 질문은 검토 화면에 표시되지 않습니다. 10개의 virtual network가 포함된 Azure subscription이 있습니다. virtual network는 각각 별도의 resource group에 호스팅되어 있습니다. 다른 관리자가 subscription에서 여러 network security group(NSG)을 만들 계획입니다. NSG가 생성될 때 virtual network 간의 TCP port 8080을 자동으로 차단하도록 해야 합니다. 솔루션: Resource providers 블레이드에서 Microsoft.ClassicNetwork provider의 등록을 취소합니다. 이것이 목표를 충족합니까?
Yes는 오답입니다. Microsoft.ClassicNetwork를 unregister하는 것은 legacy classic networking resource provider에만 영향을 주며 새로 생성되는 NSG에 security rules를 적용하지 않습니다. TCP port 8080에 대한 deny rule을 생성하지도 않고, ARM-based virtual networks 간의 트래픽을 제어하지도 않습니다. 요구 사항은 생성 시점에 NSG를 자동으로 구성하는 것이므로 governance 또는 deployment tooling이 필요합니다. 따라서 Yes라고 답하면 provider registration이 NSG 동작을 강제할 수 있다고 잘못 가정하게 됩니다.
No가 정답인 이유는 Microsoft.ClassicNetwork provider를 unregister해도 NSG를 구성하거나 그 안에 deny rules를 삽입하지 않기 때문입니다. 현재 Azure 환경의 NSG는 Microsoft.Network 아래의 ARM resources이므로 classic provider는 이 요구 사항과 관련이 없습니다. virtual networks 간의 TCP port 8080을 자동으로 차단하려면 Azure Policy 또는 automation처럼 NSG rules를 평가하거나 배포하는 메커니즘이 필요합니다. 따라서 제안된 작업은 명시된 목표를 충족하지 않습니다.
핵심 개념: 이 문제는 Azure VM maintenance controls와 platform maintenance에 사전에 대응하는 방법을 테스트합니다. Azure는 VM이 maintenance 대상으로 예약되었다고 알릴 수 있습니다(예: host OS updates 또는 hardware servicing). 관련 기능은 VM Maintenance/Updates 아래에 있으며, “Redeploy”(새 host로 이동) 같은 옵션과 경우에 따라 “Self-service maintenance” controls를 포함합니다. 정답인 이유: VM1 Updates blade에서 “One-time update”를 선택하는 것은 VM을 즉시 다른 host로 이동시키는 목표를 충족하지 않습니다. “One-time update”는 updates/patches 적용(guest OS updates 또는 update management actions)과 관련이 있으며 host 변경을 강제하지 않습니다. VM을 즉시 다른 host로 이동시키려면 일반적으로 VM을 Redeploy하는 작업(새 node에서 중지/deallocate 후 시작) 또는 platform maintenance events를 위해 특별히 설계된 maintenance controls를 사용해야 합니다. 따라서 제안된 솔루션은 요구 사항을 충족하지 않습니다. 주요 기능 및 모범 사례: - “Redeploy”는 VM을 새로운 Azure host로 강제로 이동시키는 일반적인 운영 작업입니다. 이 작업은 downtime을 발생시키고 새로운 host assignment를 수행하지만, disks와 configuration은 유지합니다. - 더 높은 availability를 위해 Availability Sets 또는 Availability Zones를 사용하여 platform maintenance가 instance의 일부에만 영향을 주도록 하고 application layer에서 fail over할 수 있도록 합니다. - Azure Well-Architected Framework (Reliability)는 reactive host moves에 의존하기보다 redundancy(zones/sets)를 통해 planned maintenance에 대비하도록 설계할 것을 권장합니다. 일반적인 오해: “Updates”(patching/Update Management)와 “Maintenance”(platform host maintenance)를 혼동하기 쉽습니다. 둘 다 “maintenance”와 관련이 있지만, host placement에 영향을 주는 것은 redeploy/maintenance controls뿐입니다. one-time update를 적용하면 guest OS vulnerability를 줄일 수는 있지만 기본 host는 변경되지 않습니다. 시험 팁: AZ-104에서는 다음을 기억하세요: “Redeploy” = VM을 새로운 host로 이동. “Restart”는 host 변경을 보장하지 않습니다. “Updates/One-time update”는 patching과 관련이 있으며 host migration이 아닙니다. 문제에서 명시적으로 “즉시 다른 host로 이동”이라고 하면 Redeploy를 떠올리세요(또는 예방을 묻는 경우 zone/availability design).
가능한 한 빠르게 5개의 인스턴스를 포함하는 Azure virtual machine scale set을 배포해야 합니다. 무엇을 해야 합니까?
오답입니다. 5개의 독립형 virtual machines를 배포하는 것은 virtual machine scale set을 전혀 생성하지 않으므로, 문제의 핵심 요구 사항을 충족하지 못합니다. 각 VM에서 Availability Zones를 조정하는 것은 구성 작업만 더 늘릴 뿐이며, scale set orchestration, 중앙 집중식 관리 또는 단순화된 scaling 동작을 제공하는 데 아무런 도움이 되지 않습니다. 이 접근 방식은 각 VM을 개별적으로 생성하고 관리해야 하므로 운영 측면에서도 더 느립니다. 또한 VMSS가 특별히 제공하도록 설계된 일관성과 자동화 이점도 부족합니다.
오답입니다. 5개의 개별 virtual machines를 배포하고 해당 size 설정을 수정하더라도 여전히 virtual machine scale set이 되지는 않습니다. VM size는 compute capacity에 영향을 주는 것이지 배포 모델에 영향을 주는 것이 아니므로, size를 변경해도 instances가 scale set으로 관리되는지 여부나 전체 솔루션이 얼마나 빨리 배포될 수 있는지에는 아무런 관련이 없습니다. 이 선택지는 VM별 관리 작업을 불필요하게 추가하며, 단일 확장 가능한 resource에 대한 요구 사항도 충족하지 못합니다. 따라서 기술적으로도 맞지 않고 VMSS를 사용하는 것보다 효율성도 떨어집니다.
정답입니다. VM (virtual machines) orchestration mode에서 하나의 virtual machine scale set을 배포하면, 5개의 개별 VM 배포가 필요하지 않고 단일 resource 정의를 통해 Azure가 필요한 5개 instances를 provisioning할 수 있습니다. 이 orchestration mode는 flexible VMSS 모델에 매핑되며, 이는 많은 Azure 시나리오에서 더 최신이고 더 폭넓게 권장되는 배포 방식입니다. 이는 효율적인 provisioning과 중앙 집중식 관리를 지원하면서도 scale set을 빠르게 배포해야 한다는 요구 사항을 충족합니다. 문제는 5개 instances가 있는 VM scale set을 배포하는 가장 빠른 방법을 묻고 있으므로, 제공된 선택지 중 이것이 가장 적합합니다.
오답입니다. ScaleSetVM orchestration mode는 기존 uniform VMSS 모델을 의미하며, 제공된 선택지와 현재 Azure orchestration 가이드를 고려할 때 여기서는 최선의 정답이 아닙니다. scale set을 생성하기는 하지만, 시험의 구분에서는 일반적으로 하나의 scale set resource 아래에서 여러 VM instances를 더 빠르고 더 유연하게 배포할 수 있는 VM orchestration mode를 선호합니다. Uniform mode는 instances가 더 동일하게 취급되고 기존 scale set 모델을 따르기 때문에 더 제한적입니다. 문제는 가장 빠른 배포 방식을 묻고 있고 VM orchestration mode를 선택지로 포함하고 있으므로, D는 최선의 정답이 아닙니다.
핵심 개념: 이 문제는 Azure Virtual Machine Scale Sets (VMSS)의 orchestration modes를 테스트합니다. Azure는 scale sets에 대해 두 가지 orchestration mode를 지원합니다: Uniform 및 Flexible. 일부 시험 표현에서는 각각 ScaleSetVM orchestration mode와 VM (virtual machines) orchestration mode로 나타납니다. Flexible/VM orchestration mode는 특히 scale set의 관리 범위 아래에서 표준 Azure VMs를 생성하고 관리하려는 경우, VM instances를 더 빠르고 더 유연하게 배포하도록 설계되었습니다. 정답인 이유: 가능한 한 빠르게 5개의 instances를 배포하려면, VM (virtual machines) orchestration mode를 사용하는 하나의 virtual machine scale set을 생성해야 합니다. 이 mode는 표준 Azure VMs의 신속한 provisioning을 지원하며, 많은 범용 VMSS 배포에 대해 최신 Azure 가이드에서 권장되는 선택입니다. 이를 통해 더 단순한 instance 처리와 더 넓은 기능 호환성의 이점을 얻으면서, 단일 scale set resource를 통해 여러 VMs를 배포하고 관리할 수 있습니다. 주요 특징: - VM orchestration mode는 더 유연한 VMSS 모델에 해당하며 표준 IaaS VM 동작을 지원합니다. - 이는 기존 uniform orchestration의 더 엄격한 제약 없이 scale set 관리를 원하는 시나리오에 최적화되어 있습니다. - 단일 VMSS 배포는 여전히 5개의 개별 virtual machines를 수동으로 배포하는 것보다 훨씬 빠르고 관리하기 쉽습니다. 흔한 오해: - ScaleSetVM orchestration mode는 기본적인 scale set 옵션처럼 들리기 때문에 종종 최선의 정답으로 오해되지만, Azure 시험은 점점 더 최신 flexible orchestration 모델에 맞춰지고 있습니다. - 5개의 독립형 VMs를 배포하는 것은 virtual machine scale set을 배포해야 한다는 요구 사항을 충족하지 않습니다. - VM size 또는 Availability Zone 설정을 변경하는 것은 5개 instances의 빠르고 중앙 집중식 배포 필요성을 해결하지 못합니다. 시험 팁: - AZ-104에서 scale set에서 여러 VM instances를 배포하는 가장 빠른 방법을 묻는 경우, 개별 VMs보다 단일 VMSS를 우선적으로 선택하세요. - orchestration mode 용어에 주의하세요: VM은 종종 Flexible에 매핑되고, ScaleSetVM은 Uniform에 매핑됩니다. - 문제가 속도와 최신 VMSS 배포 패턴을 강조한다면, VM orchestration mode가 일반적으로 더 나은 정답입니다.
이동 중에도 모든 문제를 풀고 싶으신가요?
Cloud Pass를 무료로 다운로드하세요 — 모의고사, 학습 진도 추적 등을 제공합니다.
참고: 이 질문은 동일한 시나리오를 제시하는 일련의 질문 중 일부입니다. 이 시리즈의 각 질문에는 명시된 목표를 충족할 수도 있는 고유한 솔루션이 포함되어 있습니다. 일부 질문 세트에는 정답이 둘 이상 있을 수 있으며, 다른 세트에는 정답이 없을 수도 있습니다. 이 섹션에서 질문에 답한 후에는 해당 질문으로 돌아갈 수 없습니다. 따라서 이러한 질문은 검토 화면에 표시되지 않습니다. 10개의 virtual network가 포함된 Azure subscription이 있습니다. virtual network는 각각 별도의 resource group에 호스팅됩니다. 다른 관리자가 subscription에서 여러 network security group(NSG)을 만들 계획입니다. NSG가 생성될 때 virtual network 간의 TCP port 8080을 자동으로 차단하도록 해야 합니다. 솔루션: resource lock을 만든 다음 lock을 subscription에 할당합니다. 이것이 목표를 충족합니까?
Yes는 오답입니다. resource lock은 네트워크 보안 적용 기능이 아니기 때문입니다. lock은 NSG 내용을 검사하거나, deny rule을 배포하거나, TCP port 8080의 트래픽이 VNet 전반에서 차단되도록 보장하지 않습니다. lock이 subscription의 리소스에 상속되더라도 삭제 또는 수정과 같은 management 작업만 제한합니다. 요구 사항은 NSG에 대한 자동 rule 적용에 관한 것이며, 이는 lock으로 제공할 수 없습니다.
No가 정답인 이유는 resource lock이 NSG security rule을 생성, 수정 또는 검증하지 않기 때문입니다. subscription 범위에서 lock을 적용하면 lock 유형에 따라 management plane을 통해 리소스를 삭제하거나 변경할 수 있는지에만 영향을 줍니다. 새 NSG가 생성될 때 virtual network 간의 TCP port 8080을 자동으로 차단할 수는 없습니다. 요구 사항을 충족하려면 필요한 deny rule의 존재를 적용할 수 있는 Azure Policy와 같은 거버넌스 메커니즘이 필요합니다.
핵심 개념: 이 문제는 Azure 거버넌스와 네트워크 보안 적용을 테스트합니다. 새로 생성되는 network security group이 virtual network 간의 TCP port 8080을 차단하도록 자동으로 보장하려면, 비준수 NSG 구성을 감사하거나 거부하거나 필요한 규칙을 배포할 수 있는 Azure Policy와 같은 정책 기반 제어가 필요합니다. resource lock은 리소스의 수정 또는 삭제만 방지할 뿐 보안 규칙을 구성하지는 않습니다. 정답인 이유: 제시된 솔루션은 목표를 충족하지 못합니다. subscription 수준에서 resource lock을 할당해도 NSG에 deny rule이 자동으로 추가되지 않기 때문입니다. lock은 delete 또는 update 보호와 같은 management-plane 작업을 제어하지만, NSG rule 내용을 검사하거나 적용하지는 않습니다. 따라서 NSG가 생성될 때마다 virtual network 간의 TCP 8080이 차단되도록 보장할 수 없습니다. 주요 기능: - resource lock은 리소스를 실수로 변경하는 것을 방지하기 위해 CanNotDelete 및 ReadOnly 동작을 지원합니다. - Azure Policy는 NSG 리소스를 평가하고 subscription 전체에서 필요한 inbound 또는 outbound rule을 적용할 수 있습니다. - NSG는 source, destination, protocol 및 port 일치를 포함한 security rule을 사용하여 트래픽을 제어합니다. - subscription 범위의 거버넌스 도구는 많은 resource group 전반에서 자동 적용이 필요할 때 적합합니다. 일반적인 오해: 흔한 실수는 subscription 수준의 모든 제어가 네트워크 동작을 적용할 수 있다고 가정하는 것입니다. lock은 management 변경으로부터 리소스를 보호하지만, NSG rule과 같은 구성 세부 정보를 배포하거나 검증하지는 않습니다. 또 다른 오해는 NSG가 source 및 destination address range 또는 service tag를 명시적으로 정의하지 않아도 'virtual network 간'을 자동으로 이해한다는 것입니다. 시험 팁: AZ-104에서는 resource lock은 리소스를 보호하고, RBAC는 액세스를 제어하며, Azure Policy는 구성 준수를 적용한다는 점을 기억하세요. 요구 사항에 '자동으로 보장' 또는 '리소스가 생성될 때'가 포함되어 있다면, lock보다 Azure Policy를 떠올리세요. 요구 사항이 특히 트래픽 필터링에 관한 것이라면, 실제 적용은 여전히 NSG rule을 통해 이루어집니다.
회사에는 세 개의 사무실이 있습니다. 사무실은 Miami, Los Angeles, New York에 위치해 있습니다. 각 사무실에는 datacenter가 있습니다. East US 및 West US Azure region에 리소스가 포함된 Azure subscription이 있습니다. 각 region에는 virtual network가 있습니다. virtual network는 peered되어 있습니다. datacenter를 subscription에 연결해야 합니다. 솔루션은 datacenter 간 network latency를 최소화해야 합니다. 무엇을 생성해야 합니까?
오답입니다. Azure Application Gateway는 Layer 7(HTTP/HTTPS) load balancer이며 WAF 기능을 제공할 수 있지만, 온-프레미스 네트워크를 Azure VNet에 연결하지는 않습니다. On-premises data gateway는 Microsoft cloud 서비스(Power BI, Power Apps, Logic Apps)에서 온-프레미스 데이터 원본에 안전하게 액세스하기 위해 사용되며, site-to-site network 연결이나 latency 최적화 WAN 설계를 위한 것이 아닙니다.
정답입니다. 하나의 Virtual WAN과 세 개의 Virtual Hub를 생성합니다(일반적으로 Miami/New York 및 Los Angeles에 가장 가까운 region—예: East US와 West US, 필요 시 추가 hub region). 각 datacenter는 S2S VPN 또는 ExpressRoute를 사용하여 가장 가까운 hub에 연결하여 latency를 최소화합니다. Virtual WAN은 Microsoft backbone을 통한 관리형 라우팅과 inter-hub 연결을 제공하고, 대규모 multi-site 연결을 단순화합니다.
오답입니다. 일반적이고 권장되는 아키텍처는 하나의 Virtual WAN과 여러 Virtual Hub입니다. 세 개의 별도 Virtual WAN을 생성하면 관리 및 라우팅 도메인이 분절되며, latency를 본질적으로 최소화하지도 않습니다. 또한 단일 vWAN이 제공하는 중앙집중형 글로벌 transit 이점을 잃게 되어 사이트와 Azure 네트워크 간 상호 연결이 더 복잡해질 수 있습니다.
오답입니다. On-premises data gateway는 네트워킹 구성 요소가 아니며, 특정 Microsoft 서비스에 대한 애플리케이션 수준 데이터 연결을 가능하게 합니다. Azure Application Gateway는 웹 트래픽 관리용이며 site-to-site VPN/ExpressRoute 연결을 제공하지 않습니다. 이 옵션은 datacenter를 VNet에 연결하거나 지리적으로 분산된 사이트 간 network latency를 최적화하는 요구 사항을 충족하지 못합니다.
핵심 개념: 이 문제는 여러 branch/datacenter 사이트를 Azure에 연결할 때 확장 가능하고 Microsoft에서 관리하는 hub-and-spoke 연결 서비스로서 Azure Virtual WAN(vWAN)과 Virtual Hub를 사용하여 최적화된 라우팅과 더 낮은 latency를 제공하는지를 평가합니다. 정답이 맞는 이유: 온-프레미스 datacenter가 세 곳(Miami, Los Angeles, New York) 있고, East US 및 West US에 각각 VNet이 있는 Azure 리소스가 있습니다(이미 peered됨). latency를 최소화하려면 각 datacenter가 가장 가까운 Azure 진입 지점/region에 연결되어야 합니다. Azure Virtual WAN은 하나의 Virtual WAN 리소스를 배포한 다음 여러 Azure region에 여러 Virtual Hub를 배포하는 글로벌 transit 아키텍처를 제공합니다. 각 온-프레미스 사이트는 (Site-to-Site VPN 또는 ExpressRoute를 통해) 가장 가까운 virtual hub에 연결하여 round-trip time을 줄이고 단일 gateway/region을 통한 hairpinning을 방지합니다. 그런 다음 hub는 Microsoft backbone을 통해 관리형 inter-hub 연결을 제공하며, VNets를 hub에 연결합니다. 주요 기능 / 모범 사례: - 아키텍처당 Virtual WAN은 하나, regional Virtual Hub는 여러 개. - 각 hub는 VPN/ER gateway를 호스팅하고 on-prem 사이트와 VNets 간 트래픽을 라우팅할 수 있습니다. - any-to-any 연결 및 hub 간 최적화된 라우팅이 기본 제공됩니다. - Azure Well-Architected Framework(Performance Efficiency 및 Reliability)에 부합: regional hub가 latency를 줄이고, 관리형 라우팅이 운영 일관성을 향상합니다. - 실무 참고: 현재 VNets가 peered되어 있지만, vWAN 설계에서는 일반적으로 글로벌 transit을 위해 VNet peering에 의존하기보다 VNet을 hub(들)에 연결합니다. 흔한 오해: - Application Gateway는 HTTP(S) load balancing/WAF용이며, private WAN 연결용이 아닙니다. - On-premises data gateway는 Power BI/Power Platform의 데이터 액세스용이며, network 연결용이 아닙니다. - 여러 Virtual WAN을 생성하는 것은 보통 불필요하며 라우팅/관리를 복잡하게 만듭니다. 표준 패턴은 하나의 vWAN과 여러 hub입니다. 시험 팁: “여러 branch/datacenter” + “latency 최소화” + “Azure region에 연결”을 보면, 여러 regional virtual hub가 있는 Virtual WAN을 떠올리세요. 기억할 점: Virtual WAN은 컨테이너이고, Virtual Hub는 regional이며 gateway를 호스팅합니다.
Subscription1이라는 Azure 구독이 있으며, 여기에는 VNet1 및 VNet2라는 두 개의 Azure virtual network가 포함되어 있습니다. VNet1에는 static routing을 사용하는 VPNGW1이라는 VPN gateway가 포함되어 있습니다. 온-프레미스 네트워크와 VNet1 간에 site-to-site VPN connection이 있습니다. Windows 10을 실행하는 Client1이라는 컴퓨터에서 VNet1에 대한 point-to-site VPN connection을 구성합니다. VNet1과 VNet2 간에 virtual network peering을 구성합니다. 온-프레미스 네트워크에서 VNet2로 연결할 수 있음을 확인합니다. Client1은 VNet2에 연결할 수 없습니다. Client1을 VNet2에 연결할 수 있도록 해야 합니다. 무엇을 해야 합니까?
VPN client configuration package를 다운로드하고 다시 설치하면 point-to-site 클라이언트가 받는 route 정보가 업데이트됩니다. VNet peering이 구성된 후에도 package가 새로 고쳐지기 전까지는 클라이언트에 여전히 VNet1에 대한 route만 있을 수 있으므로, VNet2로 가는 트래픽이 VPN tunnel을 통해 전송되지 않습니다. on-premises가 이미 VNet2에 도달할 수 있으므로, Azure 측의 peering과 gateway 경로는 정상적으로 동작하고 있습니다. 남아 있는 문제는 클라이언트 측 route 집합이며, 이는 업데이트된 VPN package를 다시 설치하면 해결됩니다.
Allow gateway transit는 gateway를 포함하는 VNet에서 사용되며, peered VNet이 해당 gateway를 remote gateway로 사용할 수 있게 합니다. 이 설정은 특히 site-to-site 또는 ExpressRoute 시나리오에서 VNet 간 gateway 공유와 관련이 있지만, 이미 설치된 P2S 클라이언트의 route table을 그 자체로 업데이트하지는 않습니다. 이 문제에서는 클라이언트가 VNet1에 연결할 수 있고 peering이 이미 Azure 측 연결을 허용하고 있으므로, 문제는 gateway transit를 활성화하는 것만으로 해결되지 않습니다. 클라이언트는 여전히 VNet2가 VPN tunnel을 통해 도달되어야 한다는 것을 알기 위해 새로 고쳐진 route 정보가 필요합니다.
VNet2에서 Allow gateway transit를 선택하는 것은 올바르지 않습니다. 왜냐하면 VNet2에는 VPN gateway가 없기 때문입니다. Azure peering에서 gateway가 있는 VNet은 Allow gateway transit를 사용해 이를 노출하고, peered VNet은 Use remote gateways를 사용해 이를 소비합니다. gateway-sharing 설정이 관련이 있다고 하더라도, 이 특정 옵션은 잘못된 쪽에 적용된 것입니다. 따라서 Client1이 VNet2에 도달하지 못하는 문제를 해결하지 못합니다.
BGP는 호환되는 VPN device 및 gateway와 동적 route 교환에 사용되지만, 이 시나리오의 gateway는 static routing을 사용합니다. 더 중요한 점은, 설명된 문제는 Azure와 on-premises 간 동적 route 교환 부족이 아니라는 것입니다. 왜냐하면 on-premises는 이미 VNet2에 성공적으로 도달하고 있기 때문입니다. 실패 원인은 point-to-site 클라이언트에 peered VNet에 대한 업데이트된 도달 가능 정보가 없다는 점에만 해당합니다. 여기서 BGP를 활성화하는 것은 필요한 해결책도 아니고 직접적인 해결책도 아닙니다.
핵심 개념: Point-to-site VPN 클라이언트는 도달 가능한 address space에 대해 클라이언트로 푸시되는 route가 포함된 client configuration package를 사용합니다. virtual network peering과 같은 연결을 추가하거나 변경하면, 새로운 peered VNet prefix가 클라이언트에 포함되도록 P2S 클라이언트에 업데이트된 VPN package가 필요할 수 있습니다. 정답인 이유: Client1은 이미 VNet1에 연결할 수 있고, on-premises는 VNet2에 도달할 수 있으므로 peering 자체는 정상적으로 동작하고 있음을 보여줍니다. 빠진 부분은 P2S 클라이언트에 아직 VNet2에 대한 route 정보가 없다는 점이며, 따라서 VPN client package를 다시 설치하면 클라이언트 측 route가 업데이트됩니다. 핵심 기능: P2S route distribution은 client-profile 기반이고, peering은 도달 범위를 확장할 수 있으며, route 업데이트는 종종 VPN client package를 다시 생성/다운로드해야 합니다. 흔한 오해: 많은 사람들이 VNet 간 gateway 공유에 사용되는 gateway transit 설정과, topology 변경 후 P2S 클라이언트 route를 새로 고쳐야 하는 별도의 요구 사항을 혼동합니다. 시험 팁: P2S 클라이언트가 새로 peered된 address space에 도달할 수 없지만 VNet끼리는 통신할 수 있다면, 먼저 다운로드한 VPN client package를 업데이트하는 것을 생각하세요.
VNet1 및 VNet2라는 두 개의 Azure virtual network가 있습니다. VNet1에는 VM1이라는 Azure virtual machine이 포함되어 있습니다. VNet2에는 VM2라는 Azure virtual machine이 포함되어 있습니다. VM1은 데이터를 가져오기 위해 VM2에 연결하는 frontend application을 호스팅합니다. 사용자들은 frontend application이 평소보다 느리다고 보고합니다. VM1에서 VM2로 전송되는 패킷의 평균 round-trip time (RTT)을 확인해야 합니다. 어떤 Azure Network Watcher 기능을 사용해야 합니까?
IP flow verify는 특정 트래픽 flow(소스/대상 IP, port, protocol)가 VM의 NIC 또는 subnet에서 NSG 규칙에 의해 허용되는지 또는 거부되는지를 검증합니다. 이는 보안/라우팅 권한 확인이며 성능 도구가 아닙니다. latency, round-trip time을 측정하거나 시계열 성능 메트릭을 제공하지 않으므로 “평소보다 느림”을 정량화하는 데 도움이 되지 않습니다.
Connection troubleshoot는 소스와 대상 간 연결성을 확인하고 실패가 발생하는 위치(NSG, UDR, DNS, firewall 등)를 식별하는 on-demand 진단입니다. 단일 테스트 동안 일부 latency 관련 세부 정보를 제공할 수는 있지만, 이 문제가 요구하는 것처럼 시간에 따른 평균 RTT를 지속적으로 모니터링하거나 보고하기 위한 용도는 아닙니다.
Connection monitor는 엔드포인트 간 연결성과 성능을 지속적으로 모니터링하고 reachability 및 평균 round-trip time (RTT)과 같은 메트릭을 보고합니다. 지속적인 probing, 과거 추세 분석, 그리고 Azure Monitor를 통한 경고를 지원합니다. 따라서 사용자가 애플리케이션 성능 저하를 보고하는 상황에서 VM1에서 VM2로의 평균 RTT를 확인하기 위한 올바른 기능입니다.
NSG flow logs는 NSG를 통과하는 IP 트래픽에 대한 정보(허용/거부 flow, 5-tuple, counts/bytes)를 기록하며 트래픽 분석, 감사, 보안 조사에 사용됩니다. 이는 end-to-end latency 또는 RTT를 캡처하지 않습니다. 트래픽이 흐르는지 확인하는 데는 사용할 수 있지만, 요구되는 평균 RTT 메트릭을 제공하지는 않습니다.
핵심 개념: 이 문제는 두 엔드포인트 간 네트워크 성능을 측정하기 위한 Azure Network Watcher 모니터링 기능을 테스트합니다. 특히 VM1에서 VM2로의 트래픽에 대한 평균 round-trip time (RTT)을 표시할 수 있는 기능을 묻습니다. 정답이 맞는 이유: Connection monitor(Network Watcher 내 기능)는 소스와 대상 간 연결성과 성능을 지속적으로 모니터링하도록 설계되었습니다. 시간 경과에 따른 latency/RTT를 측정하고, packet loss를 추적하며, 과거 추세를 제공합니다. 사용자가 애플리케이션이 평소보다 느리다고 보고하므로, 일회성 연결성 확인이 아니라 성능 텔레메트리(평균 RTT)가 필요합니다. Connection monitor는 “average RTT” 메트릭과 시계열 뷰를 제공하므로 가장 적합합니다. 주요 기능 / 동작 방식: - Network Watcher agent/VM extension(또는 시나리오에 따라 Azure-managed probing)을 사용하여 엔드포인트 간 주기적 테스트를 실행합니다. - Azure VM, VNet, on-premises 엔드포인트 간 모니터링을 지원하며, 다양한 protocol/port를 통해 모니터링할 수 있습니다. - reachability, latency (RTT), 경우에 따라 packet loss 등의 메트릭을 생성하고, 시각화 및 경고 통합(Azure Monitor)을 제공합니다. - latency 저하를 사전에 감지하고 기준선을 설정할 수 있게 하여 Azure Well-Architected Framework(Reliability 및 Performance Efficiency)에 부합합니다. 흔한 오해: - “Connection troubleshoot”는 이름이 비슷하지만, 주로 연결이 설정될 수 있는지와 실패 지점을 파악하기 위한 on-demand 진단이며, 지속적인 average RTT 추세 분석을 위한 용도가 아닙니다. - NSG flow logs는 트래픽 메타데이터(5-tuple, allow/deny, bytes/packets)를 제공하지만 RTT/latency를 직접 제공하지는 않습니다. - IP flow verify는 특정 flow가 NSG에 의해 허용/거부되는지만 확인하며 성능을 측정하지 않습니다. 시험 팁: 문제가 엔드포인트 간 latency/RTT, packet loss, 또는 성능 추세를 묻는다면 Connection monitor를 떠올리세요. “트래픽이 허용되는가?”를 묻는다면 IP flow verify를 떠올리세요. “지금 왜 연결이 안 되는가?”를 묻는다면 Connection troubleshoot를 떠올리세요. “어떤 트래픽이 흐르거나 차단되는가?”를 묻는다면 NSG flow logs를 떠올리세요.
VNet1이라는 virtual network를 포함하는 Azure subscription이 있습니다. VNet1에는 Gateway, Perimeter, NVA 및 Production이라는 네 개의 subnet이 포함되어 있습니다. NVA subnet에는 Perimeter subnet과 Production subnet 간의 network traffic inspection을 수행할 두 개의 network virtual appliance(NVA)가 포함되어 있습니다. NVA에 대해 Azure load balancer를 구현해야 합니다. 솔루션은 다음 요구 사항을 충족해야 합니다. ✑ NVA는 automatic failover를 사용하는 active-active 구성으로 실행되어야 합니다. ✑ load balancer는 Production subnet의 두 서비스로 트래픽을 load balance해야 합니다. 해당 서비스는 서로 다른 IP address를 가집니다. 수행해야 하는 세 가지 작업은 무엇입니까? 각 정답은 솔루션의 일부를 제시합니다. 참고: 각 정답 선택은 1점입니다.
Basic Load Balancer는 active-active 동작과 자동 장애 조치가 필요한 최신 NVA architecture에 적합한 선택이 아닙니다. 이는 기능이 더 적은 legacy SKU이며 production network virtual appliance 배포에 권장되는 옵션이 아닙니다. Azure certification 시나리오에서는 문제가 명시적으로 Basic으로 제한하지 않는 한 Standard Load Balancer가 예상되는 답입니다. 따라서 Basic을 선택하는 것은 모범 사례나 필요한 기능 집합과 맞지 않습니다.
Standard Load Balancer는 고가용성과 자동 장애 조치가 필요한 NVA 배포에 적합한 올바른 SKU입니다. 이는 HA Ports, health probe, 그리고 최신 Azure network architecture에서 기대되는 production-grade 기능을 지원합니다. Basic Load Balancer는 legacy이며 이러한 설계에 일반적으로 필요한 기능 집합이 부족합니다. AZ-104에서는 NVA 및 active-active 요구 사항이 있으면 Standard SKU를 강하게 시사합니다.
이 옵션이 틀린 이유는 Azure gateway/NVA 시나리오의 HA Ports rule에서는 Floating IP를 활성화하면 안 되기 때문입니다. Floating IP를 활성화하면 이 load-balancing 패턴에 필요하지 않은 방식으로 packet 처리 동작이 변경되며, NVA와 함께 사용하는 HA Ports에 대한 Microsoft 지침과도 일치하지 않습니다. HA Ports 자체는 맞지만 Floating IP가 포함되어 있으므로 전체 옵션은 틀립니다. 시험에서는 이것이 미묘하지만 중요한 차이입니다.
HA Ports가 필요한 이유는 NVA가 소수의 정의된 port만이 아니라 광범위하게 트래픽을 검사해야 하기 때문입니다. Azure Load Balancer의 gateway 스타일 구성에서는 HA Ports load-balancing rule을 Floating IP를 비활성화한 상태로 만들어야 합니다. 문제에서는 Production subnet에 서로 다른 IP 주소를 가진 두 개의 서비스가 있다고 했으므로, HA Ports를 계속 사용하면서도 트래픽을 적절히 전달하기 위해 두 개의 rule이 필요합니다. 이는 rule 동작을 잘못 구성하지 않으면서 요구 사항을 충족합니다.
frontend IP configuration, backend pool, health probe는 이 설계에 필요한 핵심 구성 요소입니다. frontend IP는 트래픽을 수신하는 가상 주소를 제공하고, backend pool에는 두 개의 NVA 인스턴스가 포함되며, health probe는 자동 장애 조치를 위해 appliance 장애를 감지합니다. 이는 두 NVA가 모두 트래픽을 받을 수 있고 비정상 인스턴스는 rotation에서 제거되므로 active-active 요구 사항을 직접 지원합니다. load balancer는 Production 서비스 간이 아니라 NVA 간에 load balancing을 수행하므로 하나의 backend pool이면 충분합니다.
두 개의 backend pool은 필요하지 않습니다. backend pool에는 Production subnet의 두 대상 서비스가 아니라 검사를 수행하는 두 개의 NVA가 포함되어야 하기 때문입니다. 서로 다른 IP 주소를 가진 서비스는 appliance 뒤쪽의 downstream 대상이므로, 이 설계에서 각각 별도의 load balancer backend pool이 필요한 것은 아닙니다. 필요한 것은 NVA용 하나의 backend pool과 서로 다른 서비스 대상을 처리하기 위한 별도의 load-balancing rule입니다. 두 개의 backend pool을 사용하면 이 architecture에서 load balancer의 역할을 잘못 표현하게 됩니다.
핵심 개념: 이 문제는 두 개의 NVA 앞에 Azure Standard Load Balancer를 설계하여, 서브넷 간 트래픽을 검사하면서 자동 장애 조치가 가능한 active-active 구성으로 동작하게 하는 것에 관한 것입니다. Azure에서는 이것이 전형적인 internal load balancer + health probe 설계이며, NVA를 하나의 backend pool에 배치하고 트래픽을 그들 사이에 분산합니다. 이 시나리오에 맞는 올바른 rule 유형은 HA Ports이며, 이를 통해 많은 개별 port rule을 만들지 않고도 appliance가 모든 flow를 처리할 수 있습니다. 정답인 이유: Standard Load Balancer는 최신의 production-grade NVA 배포에 필요하며 HA Ports를 지원합니다. 또한 frontend IP configuration, 두 NVA를 포함하는 하나의 backend pool, 장애를 감지하고 비정상 appliance를 자동으로 제거하는 health probe와 같은 standard load balancer의 기본 구성 요소도 필요합니다. Production subnet에는 서로 다른 IP 주소를 가진 두 개의 서비스가 있으므로 두 개의 load-balancing rule이 필요하지만, 이 NVA 패턴에서는 해당 rule이 Floating IP를 비활성화한 상태의 HA Ports를 사용해야 합니다. 주요 기능: Standard Load Balancer는 health probe, backend pool, 여러 frontend IP, 그리고 모든 port에 대한 load balancing을 위한 HA Ports를 지원합니다. HA Ports는 appliance가 많은 protocol과 port를 검사해야 하는 NVA와 같은 시나리오를 위해 특별히 설계되었습니다. health probe는 문제에서 요구하는 자동 장애 조치 동작을 제공합니다. 흔한 오해: 자주 하는 실수는 NVA load-balancing rule에 Floating IP를 활성화하는 것입니다. Floating IP는 direct server return 및 SQL failover 패턴과 같은 특정 시나리오에 사용되지만, gateway/NVA 설계용 HA Ports rule에서는 Floating IP를 비활성화 상태로 유지해야 합니다. 또 다른 오해는 대상 서비스용으로 여러 backend pool을 만드는 것인데, backend pool에는 최종 application endpoint가 아니라 NVA가 포함되어야 합니다. 시험 팁: Azure NVA가 active-active 모드이고 자동 장애 조치가 필요하다고 나오면, Standard Load Balancer + health probe + HA Ports를 떠올리세요. load balancer가 application server에 직접 분산하는 것이 아니라 NVA로 트래픽을 분산한다면, backend pool은 NVA 인스턴스입니다. 이 Azure NVA 패턴에서 HA Ports를 사용할 때는 Floating IP를 비활성화해야 한다는 점을 기억하세요.
Cloud Pass를 다운로드하여 모든 Microsoft AZ-104 연습 문제를 무료로 이용하세요.
이동 중에도 모든 문제를 풀고 싶으신가요?
무료 앱 받기
Cloud Pass를 무료로 다운로드하세요 — 모의고사, 학습 진도 추적 등을 제공합니다.
