연습 문제

문제 1

(2개 선택)

정책 기반 virtual network gateway인 GW1과 virtual network인 VNet1이 포함된 Azure subscription이 있습니다. 온-프레미스 컴퓨터에서 VNet1으로 point-to-site 연결을 구성할 수 있도록 해야 합니다. 어떤 두 가지 작업을 수행해야 합니까? 각 정답은 해결 방법의 일부를 제시합니다. 참고: 각 정답 선택은 1점입니다.

문제 2

최근 Admin1이라는 사용자가 포함된 새 Azure 구독을 만들었습니다. Admin1은 Azure Resource Manager 템플릿을 사용하여 Azure Marketplace 리소스를 배포하려고 합니다. Admin1은 Azure PowerShell을 사용하여 템플릿을 배포하고 다음 오류 메시지를 받습니다: User failed validation to purchase resources. Error message: Legal terms have not been accepted for this item on this subscription. To accept legal terms, please go to the Azure portal (http://go.microsoft.com/fwlink/?LinkId=534873) and configure programmatic deployment for the Marketplace item or create it there for the first time.` Admin1이 Marketplace 리소스를 성공적으로 배포할 수 있도록 해야 합니다. 무엇을 해야 합니까?

문제 분석

핵심 개념: 이 문제는 프로그래밍 방식 배포(ARM/Bicep/PowerShell/CLI)에서 Azure Marketplace 이미지/법적 약관 수락을 테스트합니다. 많은 Marketplace 오퍼는 자동화를 통해 배포하기 전에 구독 단위로 게시자 법적 약관을 수락해야 합니다. 이는 컴퓨팅 또는 RBAC 문제가 아니라 거버넌스 및 배포의 사전 요구 사항입니다. 정답이 맞는 이유: 오류는 “Legal terms have not been accepted for this item on this subscription”이라고 명시하며 “configure programmatic deployment for the Marketplace item or create it there for the first time”라고 안내합니다. Azure PowerShell에서는 Marketplace 약관을 수락하는 올바른 방법이 약관을 가져온 다음(Get-AzMarketplaceTerms) Set-AzMarketplaceTerms(일반적으로 -Accept 사용)로 수락하는 것입니다. 수락이 완료되면 해당 Marketplace 오퍼를 참조하는 ARM 템플릿 배포를 성공적으로 진행할 수 있습니다. 주요 기능 / 동작 방식: Marketplace 오퍼(VM 이미지, managed applications, 일부 SaaS)는 법적 수락이 필요할 수 있습니다. 수락은 특정 publisher/offer/plan 조합에 대해 구독 수준에 저장됩니다. 자동화를 위해서는 PowerShell/CLI/REST로 약관을 프로그래밍 방식으로 수락하거나, portal에서 한 번 배포(수락 프롬프트 표시)해야 합니다. 이는 Azure Well-Architected Framework 거버넌스 원칙과도 일치합니다. 즉, 자동화된 배포 전에 사전 요구 사항과 규정 준수 요구 사항이 충족되었는지 확인해야 합니다. 흔한 오해: 흔한 실수는 문제가 리소스 공급자 등록(Microsoft.Marketplace) 누락 또는 RBAC/청구 권한 부족이라고 가정하는 것입니다. 공급자 등록이 배포를 막을 수는 있지만, 그 경우 오류 메시지는 법적 약관이 아니라 공급자 등록 문제를 나타냅니다. 또한 Billing administrator를 할당해도 법적 약관이 자동으로 수락되지는 않으며, 단지 청구를 관리할 수 있는 사용자만 변경됩니다. 시험 팁: Marketplace 배포에서 “Legal terms have not been accepted”를 보면 “Marketplace 약관 수락”(Set-AzMarketplaceTerms / az vm image terms accept)을 떠올리십시오. 또한 수락은 구독별이며 plan별이라는 점을 기억하십시오. 템플릿에서 plan을 변경하면 약관을 다시 수락해야 할 수 있습니다. 참고: Microsoft 문서의 Azure Marketplace 프로그래밍 방식 배포 및 약관 수락(Get/Set-AzMarketplaceTerms).

문제 3

참고: 이 질문은 동일한 시나리오를 제시하는 일련의 질문 중 일부입니다. 이 시리즈의 각 질문에는 제시된 목표를 충족할 수도 있는 고유한 솔루션이 포함되어 있습니다. 일부 질문 세트에는 정답이 둘 이상 있을 수 있으며, 다른 세트에는 정답이 없을 수도 있습니다. 이 섹션에서 질문에 답한 후에는 해당 질문으로 돌아갈 수 없습니다. 따라서 이러한 질문은 검토 화면에 표시되지 않습니다. 10개의 virtual network가 포함된 Azure subscription이 있습니다. virtual network는 각각 별도의 resource group에 호스팅되어 있습니다. 다른 관리자가 subscription에서 여러 network security group(NSG)을 만들 계획입니다. NSG가 생성될 때 virtual network 간의 TCP port 8080을 자동으로 차단하도록 해야 합니다. 솔루션: Resource providers 블레이드에서 Microsoft.ClassicNetwork provider의 등록을 취소합니다. 이것이 목표를 충족합니까?

문제 분석

핵심 개념: 이 문제는 Azure VM maintenance controls와 platform maintenance에 사전에 대응하는 방법을 테스트합니다. Azure는 VM이 maintenance 대상으로 예약되었다고 알릴 수 있습니다(예: host OS updates 또는 hardware servicing). 관련 기능은 VM Maintenance/Updates 아래에 있으며, “Redeploy”(새 host로 이동) 같은 옵션과 경우에 따라 “Self-service maintenance” controls를 포함합니다. 정답인 이유: VM1 Updates blade에서 “One-time update”를 선택하는 것은 VM을 즉시 다른 host로 이동시키는 목표를 충족하지 않습니다. “One-time update”는 updates/patches 적용(guest OS updates 또는 update management actions)과 관련이 있으며 host 변경을 강제하지 않습니다. VM을 즉시 다른 host로 이동시키려면 일반적으로 VM을 Redeploy하는 작업(새 node에서 중지/deallocate 후 시작) 또는 platform maintenance events를 위해 특별히 설계된 maintenance controls를 사용해야 합니다. 따라서 제안된 솔루션은 요구 사항을 충족하지 않습니다. 주요 기능 및 모범 사례: - “Redeploy”는 VM을 새로운 Azure host로 강제로 이동시키는 일반적인 운영 작업입니다. 이 작업은 downtime을 발생시키고 새로운 host assignment를 수행하지만, disks와 configuration은 유지합니다. - 더 높은 availability를 위해 Availability Sets 또는 Availability Zones를 사용하여 platform maintenance가 instance의 일부에만 영향을 주도록 하고 application layer에서 fail over할 수 있도록 합니다. - Azure Well-Architected Framework (Reliability)는 reactive host moves에 의존하기보다 redundancy(zones/sets)를 통해 planned maintenance에 대비하도록 설계할 것을 권장합니다. 일반적인 오해: “Updates”(patching/Update Management)와 “Maintenance”(platform host maintenance)를 혼동하기 쉽습니다. 둘 다 “maintenance”와 관련이 있지만, host placement에 영향을 주는 것은 redeploy/maintenance controls뿐입니다. one-time update를 적용하면 guest OS vulnerability를 줄일 수는 있지만 기본 host는 변경되지 않습니다. 시험 팁: AZ-104에서는 다음을 기억하세요: “Redeploy” = VM을 새로운 host로 이동. “Restart”는 host 변경을 보장하지 않습니다. “Updates/One-time update”는 patching과 관련이 있으며 host migration이 아닙니다. 문제에서 명시적으로 “즉시 다른 host로 이동”이라고 하면 Redeploy를 떠올리세요(또는 예방을 묻는 경우 zone/availability design).

문제 4

Subscription1이라는 Azure 구독이 있으며, 여기에는 VNet1 및 VNet2라는 두 개의 Azure virtual network가 포함되어 있습니다. VNet1에는 static routing을 사용하는 VPNGW1이라는 VPN gateway가 포함되어 있습니다. 온-프레미스 네트워크와 VNet1 간에 site-to-site VPN connection이 있습니다. Windows 10을 실행하는 Client1이라는 컴퓨터에서 VNet1에 대한 point-to-site VPN connection을 구성합니다. VNet1과 VNet2 간에 virtual network peering을 구성합니다. 온-프레미스 네트워크에서 VNet2로 연결할 수 있음을 확인합니다. Client1은 VNet2에 연결할 수 없습니다. Client1을 VNet2에 연결할 수 있도록 해야 합니다. 무엇을 해야 합니까?

문제 5

귀사의 런던 본사에는 100대의 클라이언트 컴퓨터가 있습니다. 3년 전, Azure Active Directory (Azure AD)로 마이그레이션했습니다. 회사의 보안 정책에 따르면 모든 개인 디바이스와 회사 소유 디바이스는 Azure AD에 등록되거나 조인되어야 합니다. User1이라는 원격 사용자가 가정 네트워크에서 개인 디바이스를 Azure AD에 조인할 수 없습니다. User1이 과거에는 Azure AD에 디바이스를 조인할 수 있었음을 확인했습니다. User1이 해당 디바이스를 Azure AD에 조인할 수 있도록 해야 합니다. 어떻게 해야 합니까?

문제 분석

핵심 개념: 이 문제는 Azure AD (Microsoft Entra ID) 디바이스 ID 관리, 특히 누가 디바이스를 조인/등록할 수 있는지와 사용자가 조인할 수 있는 디바이스 수를 제어하는 설정을 평가합니다. Azure AD에서 사용자는 디바이스를 Azure AD join(일반적으로 회사 소유)하거나 register(BYOD를 위한 workplace join)할 수 있습니다. 관리자는 Device settings를 통해 디바이스 조인/등록을 제한할 수 있으며, 여기에는 사용자별 디바이스 할당량이 포함됩니다. 정답이 맞는 이유: User1은 과거에는 디바이스를 조인할 수 있었지만 지금은 할 수 없습니다. 흔한 원인 중 하나는 사용자가 “Maximum number of devices per user” 한도에 도달한 경우입니다. 할당량을 초과하면 회사 네트워크든 집이든 상관없이 Azure AD가 해당 사용자에 대한 추가 디바이스 조인/등록을 차단합니다. 이 한도를 늘리거나(또는 오래된 디바이스 개체를 정리) 하면 User1이 개인 디바이스를 조인할 수 있는 기능이 복구됩니다. 주요 기능/구성: Entra admin center에서: Identity > Devices > Device settings. 관련 제어 항목은 “Maximum number of devices per user”입니다. 기본값은 종종 50이지만, 조직에서는 보안/자산 통제를 위해 이를 낮추기도 합니다. 모범 사례는 적절한 한도를 설정하고 주기적으로 오래된 디바이스를 제거(또는 device cleanup rules 사용)하여 위험과 관리 오버헤드를 줄이는 것입니다. 이는 Azure Well-Architected Framework의 보안 원칙(최소 권한 및 ID/디바이스 수명주기에 대한 강력한 거버넌스 유지)과도 부합합니다. 흔한 오해: - “Users may join devices to Azure AD”는 테넌트 전체에 적용되는 게이트입니다. 이것이 비활성화되었거나 제한되어 있었다면 User1은 과거에도 디바이스를 조인하지 못했을 가능성이 높고(또는 많은 사용자가 영향을 받았을 것) 시나리오와 덜 일치합니다. - User administrator를 할당하는 것은 디바이스 조인 기능을 부여하지 않으며 최소 권한 원칙을 위반합니다. - Azure AD join/registration에는 VPN이 필요하지 않습니다. 이는 인터넷 기반의 클라우드 작업입니다. 시험 팁: 특정 사용자 한 명이 갑자기 디바이스를 조인하지 못하지만 이전에는 가능했다면, 먼저 할당량과 사용자별 제한을 떠올리십시오. 아무도 조인할 수 없다면 테넌트 전체 Device settings 또는 conditional access/디바이스 제한을 의심하십시오. 또한 hybrid join 시나리오가 아니라면(여기서는 언급되지 않음) Azure AD join은 온프레미스 AD 또는 회사 네트워크에 대한 line-of-sight가 필요하지 않다는 점도 기억하십시오.

이동 중에도 모든 문제를 풀고 싶으신가요?

Cloud Pass를 무료로 다운로드하세요 — 모의고사, 학습 진도 추적 등을 제공합니다.

문제 6

App1이라는 Azure web app이 있습니다. App1에는 다음 표에 표시된 배포 슬롯이 있습니다:

diagram

webapp1-test에서 App1에 대한 여러 변경 사항을 테스트합니다. App1을 백업합니다. webapp1-test를 webapp1-prod로 스왑한 후 App1에 성능 문제가 발생하고 있음을 발견합니다. 가능한 한 빨리 App1을 이전 버전으로 되돌려야 합니다. 무엇을 해야 합니까?

문제 7

여러 부서에서 사용하는 Subscription1이라는 Azure 구독이 있습니다. Subscription1에는 다음 표의 리소스가 포함되어 있습니다: 이름 유형 storage1 Storage account RG1 Resource group container1 Blob container share1 File share 다른 관리자가 단일 Azure Resource Manager 템플릿을 사용하여 VM1이라는 가상 머신과 storage2라는 Azure Storage account를 배포합니다. 배포에 사용된 템플릿을 확인해야 합니다. 배포에 사용된 템플릿은 어떤 블레이드에서 확인할 수 있습니까?

문제 8

기존 virtual machine을 기반으로 한 Azure Resource Manager template을 다운로드합니다. 해당 template은 100개의 virtual machine을 배포하는 데 사용됩니다. administrative password를 참조하도록 template을 수정해야 합니다. password가 plain text로 저장되지 않도록 해야 합니다. password를 저장하기 위해 무엇을 생성해야 합니까?

문제 분석

핵심 개념: 이 문제는 compute 리소스를 대규모로 배포할 때 Azure Resource Manager (ARM) templates에서 secret을 안전하게 처리하는 방법을 평가합니다. ARM templates는 선언적 JSON 파일이며, 자격 증명을 직접 포함(파라미터로 포함하더라도)하면 source control, template export, deployment history 또는 logs를 통해 노출될 위험이 있습니다. 정답이 맞는 이유: Azure Key Vault는 secrets(passwords, keys, certificates)를 저장하고 접근을 제어하기 위해 설계된 Azure의 전용 서비스입니다. ARM template에서는 Key Vault reference가 포함된 parameter를 사용하여(또는 linked template/secure parameter 패턴을 사용하여) Key Vault secret을 참조할 수 있습니다. 이를 통해 password가 template 파일에 plain text로 저장되는 것을 방지할 수 있습니다. access policy(또는 vault 구성에 따라 Azure RBAC permissions)는 deployment identity(user, service principal 또는 managed identity)가 배포 시점에 secret을 읽을 수 있도록 권한을 부여합니다. 주요 기능 및 best practices: - Secret storage: Key Vault는 secrets를 at rest에서 암호화하여 저장하며 versioning 및 rotation을 지원합니다. - Access control: Key Vault access policies 또는 RBAC를 통해 least privilege를 적용합니다(예: secrets에 대한 “Get” permission). ARM deployments의 경우 deploying principal이 secret을 읽을 수 있도록 보장해야 합니다. - Secure parameters: ARM은 “secureString” parameter type을 지원하지만, 이는 outputs에서 값이 표시되는 것을 방지할 뿐입니다. 값을 hardcode하거나 parameter files에 커밋하면 값이 어디에 저장되는지 문제를 해결하지 못합니다. Key Vault가 권장되는 안전한 외부 저장소입니다. - Well-Architected Framework alignment: 이는 Security pillar(secrets 보호, least privilege, 중앙화된 secret management) 및 Operational Excellence(수동 password 처리 없이 반복 가능한 deployments)를 지원합니다. 흔한 오해: - “secureString이면 충분하다”: 배포 중 값 마스킹에는 도움이 되지만, parameter file 또는 template에 값을 저장하면 여전히 노출될 수 있습니다. Key Vault는 template에 secret을 저장하지 않도록 합니다. - “Storage account와 policies”: Storage는 secret management system이 아니며, access policies는 secret별 제어, auditing 또는 rotation을 제공하지 않습니다. Exam tips: ARM/Bicep deployments에서 passwords, connection strings 또는 keys가 필요할 때, 정답은 거의 항상 Azure Key Vault입니다. 기억할 점: Key Vault references를 사용하고 deployment identity에 secrets를 읽을 권한을 부여하세요. 이는 특히 대규모 deployments(예: 100 VMs)에서 credentials를 중앙화하고 관리 가능하게 유지하는 데 중요합니다.

문제 9

HOTSPOT - 다음 표에 표시된 리소스 그룹을 포함하는 Azure 구독이 있습니다.

diagram

RG1에는 다음 표에 표시된 리소스가 포함되어 있습니다.

VM1은 실행 중이며 NIC1 및 Disk1에 연결됩니다. NIC1은 VNET1에 연결됩니다. RG2에는 East US 위치에 있는 IP2라는 공용 IP 주소가 포함되어 있습니다. IP2는 가상 머신에 할당되어 있지 않습니다. 다음 각 문에 대해 문이 참이면 Yes를 선택합니다. 그렇지 않으면 No를 선택합니다. 참고: 각 정답 선택은 1점입니다. 핫 영역:

파트 1:

storage1은 West US에 위치한 Storage account입니다.

파트 2:

VNet1은 West US에 위치한 Virtual network입니다.

파트 3:

NIC1은 West US에 위치한 Network interface입니다.

파트 4:

Disk1은 West US에 위치한 Disk입니다.

파트 5:

VM1은 West US에 위치한 Virtual machine입니다.

파트 6:

storage1을(를) RG2로 이동할 수 있습니다.

파트 7:

NIC1을 RG2로 이동할 수 있습니다.

파트 8:

IP2를 RG1으로 이동하면 IP2의 위치가 변경됩니다.

문제 10

HOTSPOT - Subscription1 및 Subscription2라는 Azure subscription이 있습니다. Subscription1에는 다음 resource group이 있습니다:

diagram

RG1에는 West Europe 위치에 App1이라는 web app이 포함되어 있습니다. Subscription2에는 다음 resource group이 포함되어 있습니다: Name Region Lock type RG3 East Europe Delete RG4 Central US none 다음 각 문장에 대해 문장이 참이면 Yes를 선택합니다. 그렇지 않으면 No를 선택합니다. 참고: 각 정답 선택은 1점입니다. Hot Area:

파트 1:

App1을 RG2로 이동할 수 있습니다

파트 2:

App1은 RG3로 이동할 수 있습니다

파트 3:

App1은 RG4로 이동할 수 있습니다

Practice Test #4

3중 AI 검증 답안 및 해설

연습 문제

다른 모의고사

Practice Test #1

Practice Test #2

Practice Test #3

Practice Test #5

Practice Test #6

Practice Test #7

Practice Test #8

Practice Test #9

지금 학습 시작하기