CloudPass LogoCloud Pass
AWSGoogle CloudMicrosoftCiscoCompTIADatabricks
Certifications
AWSGoogle CloudMicrosoftCiscoCompTIADatabricks
Microsoft AZ-104
Microsoft AZ-104

Practice Test #7

50개 문제와 100분 시간 제한으로 실제 시험을 시뮬레이션하세요. AI 검증 답안과 상세 해설로 학습하세요.

50문제100분700/1000합격 점수
기출 문제 보기

AI 기반

3중 AI 검증 답안 및 해설

모든 답안은 3개의 최고 AI 모델로 교차 검증하여 최고의 정확도를 보장합니다. 선택지별 상세 해설과 심층 문제 분석을 제공합니다.

GPT Pro
Claude Opus
Gemini Pro
선택지별 상세 해설
심층 문제 분석
3개 모델 합의 정확도

기출 문제

1
문제 1

참고: 이 질문은 동일한 시나리오를 제시하는 일련의 질문 중 일부입니다. 이 시리즈의 각 질문에는 명시된 목표를 충족할 수도 있는 고유한 솔루션이 포함되어 있습니다. 일부 질문 세트에는 정답이 둘 이상 있을 수 있으며, 다른 세트에는 정답이 없을 수도 있습니다. 이 섹션에서 질문에 답한 후에는 해당 질문으로 돌아갈 수 없습니다. 따라서 이러한 질문은 검토 화면에 표시되지 않습니다. 10개의 virtual network를 포함하는 Azure subscription이 있습니다. virtual network는 각각 별도의 resource group에 호스팅됩니다. 다른 관리자가 subscription에서 여러 network security group(NSG)을 만들 계획입니다. NSG가 생성될 때 virtual network 간의 TCP port 8080을 자동으로 차단하도록 해야 합니다. 솔루션: subscription에 built-in policy definition을 할당합니다. 이것이 목표를 충족합니까?

Yes는 오답입니다. 어떤 built-in policy definition이든 단순히 할당하는 것만으로 NSGs가 virtual networks 간의 TCP port 8080을 자동으로 차단한다고 보장할 수 없기 때문입니다. 이 요구 사항은 일치하는 built-in policy가 존재한다고 가정하기에는 너무 구체적입니다. 이를 일관되게 적용하려면 일반적으로 필요한 NSG rule을 확인하거나 배포하는 custom Azure Policy definition이 필요합니다. 이러한 구체성이 없으면 제안된 솔루션은 불충분합니다.

No가 정답인 이유는, 이 솔루션이 단지 built-in policy definition을 할당하라고만 말할 뿐이며, virtual networks 간의 TCP 8080을 차단하는 NSG rule을 자동으로 생성하거나 적용하는 built-in policy가 존재한다는 근거가 없기 때문입니다. Azure Policy는 NSGs를 관리할 수 있지만, 이처럼 매우 구체적인 트래픽 rules는 일반적으로 custom policy definition이 필요합니다. subscription scope는 모든 resource groups에 대해 적절하지만, built-in policy의 한계 때문에 제시된 솔루션은 요구 사항을 안정적으로 충족하지 못합니다. 따라서 제안된 솔루션은 작성된 그대로는 목표를 충족하지 못합니다.

문제 분석

핵심 개념: 이 문제는 network security groups에 대한 Azure Policy 적용을 테스트합니다. Azure Policy는 리소스 생성 또는 업데이트 시점에 리소스 구성을 평가하고 적용할 수 있지만, 핵심 세부 사항은 virtual networks 간의 TCP port 8080을 NSGs가 차단하도록 구체적으로 보장하는 built-in policy definition이 존재하는지 여부입니다. 정답인 이유: 제안된 솔루션은 목표를 충족하지 않습니다. 정확히 필요한 NSG rule을 적용하는 built-in policy가 존재하지 않는 한, 단순히 built-in policy definition을 할당하는 것만으로는 충분하지 않기 때문입니다. 이 시나리오에서 요구 사항은 매우 구체적입니다. NSG가 생성될 때마다 virtual networks 간의 TCP 8080 트래픽을 자동으로 차단해야 합니다. 이 정도 수준의 custom rule 적용은 일반적으로 generic built-in policy에 의존하기보다, 주로 DeployIfNotExists 또는 Deny logic을 사용하는 custom Azure Policy definition이 필요합니다. 주요 기능: Azure Policy는 subscription scope에 할당할 수 있으며, virtual networks와 NSGs가 서로 다른 resource groups에 분산되어 있으므로 이는 적절합니다. Policy는 배포 중에 NSGs를 평가할 수 있으며, policy effect에 따라 비준수 리소스를 거부하거나 필요한 설정을 배포할 수 있습니다. 그러나 built-in policies는 일반적인 governance 시나리오를 다루며, VNets 간 TCP 8080에 대한 custom deny rule과 같은 매우 구체적인 network rule 요구 사항과 항상 일치하지는 않습니다. 흔한 오해: 흔한 실수는 어떤 built-in policy든 자동으로 세부적인 NSG rules를 추가하거나 적용할 수 있다고 가정하는 것입니다. Built-in policies는 Microsoft가 제공하는 definitions로 제한되며, 많은 구체적인 NSG rule 요구 사항에는 custom policy가 필요합니다. 또 다른 오해는 policy를 할당하는 것만으로 remediation이 보장된다고 생각하는 것입니다. 원하는 적용 동작을 위해서는 policy definition과 effect가 이를 명시적으로 지원해야 합니다. 시험 팁: AZ-104에서는 built-in policy가 매우 구체적인 구성을 적용할 수 있는지 묻는 문제가 나오면, 요구 사항이 알려진 built-in policy와 정확히 일치하지 않는 한 신중하게 판단해야 합니다. 요구 사항에 custom ports, directions, address prefixes 또는 traffic patterns가 포함되면, 보통 custom Azure Policy가 필요합니다. 또한 subscription-level assignment는 여러 resource-group에 걸친 governance에 유용하지만, scope만으로 policy가 정확한 rule을 적용할 수 있게 되는 것은 아니라는 점도 기억하세요.

2
문제 2

contoso.onmicrosoft.com이라는 Azure Active Directory (Azure AD) 테넌트가 있으며, 이 테넌트에는 100개의 사용자 계정이 포함되어 있습니다. 테넌트에 대해 Azure AD Premium P2 라이선스 10개를 구매합니다. 10명의 사용자가 모든 Azure AD Premium 기능을 사용할 수 있도록 해야 합니다. 어떻게 해야 합니까?

정답입니다. Azure AD Premium P2는 per-user license이므로, 10명의 사용자가 모든 Premium 기능을 사용하려면 P2 license가 할당되어 있어야 합니다. Licenses blade에서 license를 할당하는 것은 entitlement를 제공하는 직접적이고 표준적인 방법입니다. 할당이 완료되면 해당 사용자들은 configuration에 따라 Identity Protection 및 Privileged Identity Management와 같은 P2 capabilities를 사용할 수 있습니다. 이는 선택된 10명의 사용자만 Premium feature rights를 받도록 보장하므로 요구 사항과 정확히 일치합니다.

오답입니다. 단순히 사용자를 group에 추가하거나 초대하는 것만으로는 Azure AD Premium P2 features가 자동으로 부여되지 않습니다. Group membership는 group-based licensing이 구성되어 있고 해당 group에 P2 license가 할당된 경우에만 도움이 되는데, 이 선택지에는 그 내용이 명시되어 있지 않습니다. 문구는 사용자를 group에 초대하라고 되어 있을 뿐, group을 통해 licenses를 할당하라고 하지는 않습니다. 따라서 이 작업만으로는 10명의 사용자가 모든 Premium features를 사용할 수 있다고 보장할 수 없습니다.

오답입니다. enterprise application 추가는 application integration, single sign-on, 그리고 service principal management에 사용됩니다. 이것은 사용자에게 Azure AD Premium P2 licenses를 할당하는 것과는 관련이 없습니다. tenant에 enterprise application이 존재한다고 해서 사용자가 Premium directory capabilities를 얻는 것은 아닙니다. 이 선택지는 문제의 licensing requirement를 해결하지 못합니다.

오답입니다. Directory roles는 Azure AD 내의 administrative permissions를 결정합니다. 예를 들어 User Administrator 또는 Global Administrator 같은 역할입니다. 하지만 이는 Azure AD Premium P2 features에 대한 license entitlement를 제공하지 않습니다. 사용자에게 admin role이 있어도 P2 license가 할당되지 않았다면 Premium features에 대한 access rights가 없을 수 있습니다. 따라서 directory role을 수정하는 것은 요구 사항을 충족하지 못합니다.

문제 분석

핵심 개념: 이 문제는 Azure AD (Microsoft Entra ID) licensing을 테스트합니다. Azure AD Premium 기능은 적절한 Premium license가 해당 사용자에게 직접 또는 group-based licensing을 통해 할당된 경우에만 사용자에게 활성화됩니다. 정답인 이유: tenant가 10개의 Azure AD Premium P2 licenses를 구매했고 10명의 사용자가 모든 Premium 기능을 사용해야 하므로, 필요한 작업은 해당 10명의 대상 사용자에게 그 licenses를 할당하는 것입니다. license assignment가 없으면 tenant의 사용자는 Identity Protection, Privileged Identity Management, access reviews와 같은 Premium P2 capabilities를 사용할 자격이 법적 또는 기술적으로 있다고 간주될 수 없습니다. 주요 기능: - Azure AD Premium P2는 per-user license입니다. - Licenses는 Azure AD Licenses에서 직접 할당하거나 group-based licensing으로 간접 할당할 수 있습니다. - P2 license가 할당된 사용자만 P2-only features를 사용해야 합니다. - Administrative roles와 group membership만으로는 Premium feature entitlement가 부여되지 않습니다. 자주 하는 오해: - 사용자를 groups에 추가하는 것만으로는 해당 group에 license가 할당되지 않는 한 Premium features가 부여되지 않습니다. - Directory roles는 permissions를 제어하며 licensing을 제어하지 않습니다. - Enterprise applications는 app integration 및 SSO configuration을 제공하며, user license entitlement를 제공하지 않습니다. 시험 팁: AZ-104에서 특정 사용자에 대해 Azure AD Premium 기능을 활성화하는 방법을 묻는 문제가 나오면, 먼저 license assignment를 떠올리세요. 선택지에 license를 할당하라고 명시되어 있다면, 문제에서 group-based licensing을 구체적으로 언급하지 않는 한 그것이 보통 정답입니다.

3
문제 3

Subscription1이라는 Azure 구독과 온-프레미스에 배포된 Microsoft System Center Service Manager가 있습니다. Subscription1에는 VM1이라는 virtual machine이 포함되어 있습니다. VM1에서 사용 가능한 메모리 양이 10% 미만일 때 Service Manager에서 alert가 설정되도록 해야 합니다. 먼저 무엇을 해야 합니까?

automation runbook을 생성하는 것은 Service Manager와 Azure alerts를 통합하기 위한 첫 단계가 아닙니다. Runbooks(Azure Automation)는 remediation 또는 커스텀 통합을 실행하는 데 사용할 수 있지만, ticket 생성 로직을 직접 구축하고 유지 관리해야 합니다(대개 APIs 사용). 이 문제는 Service Manager에서 alert가 설정되도록 하기 위해 먼저 무엇을 해야 하는지를 묻고 있으며, 표준 전제 조건은 ITSM Connector 통합입니다.

function app을 배포하는 것은 Azure Monitor alerts를 수신한 뒤 Service Manager APIs를 호출하는 커스텀 webhook endpoint를 구현하는 데 사용할 수 있습니다. 하지만 이는 커스텀 솔루션이며 AZ-104 맥락에서 기대되는 첫 단계가 아닙니다. Microsoft는 Service Manager 같은 ITSM 도구와 Azure Monitor를 통합하기 위해 IT Service Management Connector를 제공하므로, 기본 요구 사항에는 Function App이 필요하지 않습니다.

IT Service Management Connector(ITSM)를 배포하는 것이 올바른 첫 단계인 이유는 Azure Monitor와 System Center Service Manager 간의 통합을 설정하기 때문입니다. ITSMC가 구성되면 VM1 메모리에 대한 Azure Monitor alert rule을 만들고 action group을 사용하여 Service Manager에서 해당 incident/alert를 생성할 수 있습니다. ITSMC가 없으면 Azure Monitor는 기본적으로 Service Manager work item을 열 수 없습니다.

notification을 생성하는 것만으로는 충분하지 않습니다. notification(email/SMS/push)은 사람이나 endpoint로 전달될 뿐, Service Manager 내부에 alert/incident 레코드를 생성하지는 않습니다. Service Manager는 work item을 생성하기 위한 통합 경로가 필요합니다. Azure Monitor에서는 일반적으로 단순 notification이 아니라 ITSM Connector에 연결된 action group을 통해 이 통합을 구현합니다.

문제 분석

핵심 개념: 이 문제는 Azure monitoring/alerting을 ITSM 도구(System Center Service Manager)와 통합하여 Azure alert가 Service Manager에서 incident/alert를 생성하도록 하는 것을 테스트합니다. Azure에서 일반적인 흐름은 다음과 같습니다. metrics 수집(Azure Monitor) → alert rule 생성(Metric alert) → action group을 통해 IT Service Management Connector(ITSMC)로 alert를 ITSM 시스템에 전달. 정답이 맞는 이유: Azure 리소스에서 “Service Manager에 alert가 설정”되게 하려면, 가장 먼저 필요한 전제 조건은 Azure Monitor와 Service Manager 간의 통합을 설정하는 것입니다. 이 통합은 IT Service Management Connector(ITSM)에서 제공합니다. ITSMC가 구성되어 있지 않으면 Azure Monitor action group은 Service Manager에서 work item(incidents/alerts)을 생성할 수 없습니다. ITSMC를 배포하고 구성한 후에는 VM1에 대해 “Available memory”(또는 필요 시 VM insights/AMA/Log Analytics를 통해 적절한 memory metric) 기준으로 임계값 <10%의 metric alert를 만들고, ITSM connector를 대상으로 하는 action group을 연결합니다. 주요 기능 / 모범 사례: - Azure Monitor metric alerts는 일정에 따라 platform metrics를 평가하고 action group을 트리거합니다. - Action groups는 ITSMC를 통해 ITSM과 통합하여 Service Manager에 incident를 생성할 수 있습니다. - Azure Well-Architected Framework 관점(Reliability/Operational Excellence)에서 alert-to-ticket 자동화를 중앙화하면 MTTR을 줄이고 일관된 incident management를 보장합니다. - VM이 필요한 memory telemetry를 내보내고 있는지 확인합니다(대개 Azure Monitor Agent + VM insights/Log Analytics를 통해 guest memory 신호 수집). 그 다음 alert를 만들고 ITSM을 통해 라우팅합니다. 흔한 오해: - automation runbook 또는 Function App부터 시작해야 한다고 생각하는 것: 이는 커스텀 ticketing workflow를 만들 수 있지만, Service Manager 통합을 위한 표준/필수 첫 단계는 아닙니다. - “notification”만으로 충분하다고 생각하는 것: notifications(email/SMS/webhook)는 connector 없이 Service Manager work item을 자동으로 생성하지 않습니다. 시험 팁: 요구 사항에 “Service Manager에 alert를 설정”이라고 명시되어 있다면(온-프레미스 ITSM 도구), Azure Monitor-to-ITSM 통합 구성 요소를 찾으세요. Microsoft 시험 시나리오에서는 alert rules와 action groups를 구성하기 전에 ITSM Connector가 정석적인 첫 단계입니다.

4
문제 4

HOTSPOT - 다음 표에 표시된 리소스를 포함하는 Azure 구독이 있습니다.

VM1의 상태는 Running입니다. 그림과 같이 Azure policy를 할당합니다. (Exhibit 탭을 클릭하세요.)

다음 매개 변수를 사용하여 policy를 할당합니다: Microsoft.ClassicNetwork/virtualNetworks Microsoft.Network/virtualNetworks Microsoft.Compute/virtualMachines 다음 각 문장에 대해 문장이 참이면 Yes를 선택합니다. 그렇지 않으면 No를 선택합니다. 참고: 각 정답 선택은 1점입니다. 핫 영역:

파트 1:

VNET1은 RG1에 있는 Virtual network입니다.

아닙니다. policy assignment는 RG2에만 scope가 지정되어 있으므로, RG1의 resources는 assignment scope 밖에 있습니다. VNET1은 RG1의 virtual network이므로 이 deny policy assignment의 적용을 받지 않습니다. 따라서 이 진술은 policy 영향의 맥락에서 false이며, RG2 범위의 enforcement가 RG1 resources에 적용된다고 암시하는 선택지는 올바르지 않습니다.

파트 2:

VNET2는 RG2에 있는 Virtual network입니다.

아니요. RG2에 할당된 policy는 기본 제공되는 'Not allowed resource types' definition을 사용하며 Microsoft.Network/virtualNetworks를 포함합니다. 이는 RG2에서 virtual network에 대한 create 또는 update 작업이 허용되지 않음을 의미합니다. 기존 resource는 삭제되지 않지만, policy 기준의 hotspot true/false 평가에서는 정답이 Yes가 아니라 No입니다.

파트 3:

VM1은 RG2에 있는 Virtual machine입니다.

아니요. RG2의 assignment에는 허용되지 않는 resource types 목록에 Microsoft.Compute/virtualMachines가 포함되어 있습니다. 그 결과, RG2 내에서는 virtual machine resource에 대한 create 및 update 작업이 거부됩니다. VM1은 이미 존재하며 계속 실행되지만, 이 policy에 따라 RG2에서는 VM이 허용되지 않으므로 의도된 hotspot 정답은 No입니다.

파트 4:

아래 이미지에서 올바른 답(들)을 선택하세요.

question-image

정답입니다. 제시된 자료는 시나리오에 답하기에 충분한 정보를 제공합니다. policy definition은 'Not allowed resource types'이고, assignment scope는 RG2이며, denied types에는 classic virtual networks, ARM virtual networks, 그리고 virtual machines가 포함됩니다. 이를 통해 RG2의 resources와 write operations만 영향을 받는다는 것을 판단할 수 있습니다. 기존 resources는 제거되거나 전원이 꺼지지 않지만, 해당 resource types에 대한 create, update, 그리고 move-into-scope operations는 거부됩니다.

파트 5:

관리자는 VNET1을 RG2로 이동할 수 있습니다

아니요. VNET1(Microsoft.Network/virtualNetworks 리소스)을 RG1에서 RG2로 이동하면 대상 범위(RG2)에서 VNet이 생성/업데이트되는 결과가 됩니다. Azure Policy deny 할당은 대상 범위에서의 쓰기 작업에 대해 평가됩니다. RG2에는 Microsoft.Network/virtualNetworks를 거부하는 policy 할당이 있으므로, 이동 작업은 차단됩니다. 실제로 리소스 이동은 대상 리소스 그룹에서 policy 평가를 통과해야 하는 관리 평면 작업으로 처리됩니다. “예”가 틀린 이유: Policy 범위가 중요합니다. RG1이 범위에 포함되지 않더라도, 대상(RG2)은 범위에 포함되어 해당 리소스 유형을 거부하므로 이동을 완료할 수 없습니다.

파트 6:

VM1의 상태가 deallocated로 변경되었습니다

아니요. “Not allowed resource types”(deny)가 포함된 Azure Policy는 기존 리소스의 런타임 전원 상태를 변경하지 않습니다. VM1은 현재 Running이며, deny policy를 할당해도 VM이 deallocate, stop 또는 restart되지 않습니다. Policy는 관리 평면(management-plane) 작업(create/update/delete) 및 규정 준수 보고에 대한 거버넌스 제어입니다. 다른 도구(예: Azure Automation, Logic Apps 또는 remediation task가 있는 DeployIfNotExists/Modify policy)를 사용하지 않는 한 compute 상태를 변경하는 자동화/수정 메커니즘이 아닙니다. (이 시나리오에는 해당되지 않습니다.) “예”가 틀린 이유: 여기에는 deallocation을 트리거하는 policy effect가 없습니다. Deny는 RG2에서 향후 VM create/update 작업만 차단합니다.

파트 7:

관리자는 VNET2의 address space를 수정할 수 있다

아니오. VNET2의 address space를 수정하는 것은 Microsoft.Network/virtualNetworks 유형의 리소스에 대한 업데이트 작업입니다. RG2에 할당된 policy는 Microsoft.Network/virtualNetworks를 명시적으로 deny합니다. deny policy가 적용되어 있으면, VNet 리소스를 업데이트하는 모든 PUT/PATCH(예: address space 변경, DNS 설정, subnet 변경 등)는 RG2의 리소스에 대해 ARM control plane에서 거부됩니다. “예”가 틀린 이유: VNET2가 이미 존재하더라도, deny policy는 deny된 리소스 유형에 대한 업데이트를 여전히 차단합니다. 기존 리소스가 제거되지는 않지만, 업데이트 작업이 필요한 변경에 대해서는 사실상 “잠금” 상태가 됩니다.

5
문제 5

Azure 구독에 Azure Storage 계정이 포함되어 있습니다. Docker 이미지인 Image1을 사용할 container1이라는 Azure container instance를 생성할 계획입니다. Image1에는 영구 스토리지가 필요한 Microsoft SQL Server 인스턴스가 포함되어 있습니다. Container1에 대한 스토리지 서비스를 구성해야 합니다. 무엇을 사용해야 합니까?

Azure Files가 정답인 이유는 ACI가 Azure File share를 볼륨으로 마운트할 수 있어 컨테이너 재시작 및 재배포 전반에 걸쳐 영구 스토리지를 제공하기 때문입니다. 이는 데이터베이스 파일을 위한 내구성 있는 스토리지가 필요한 SQL Server 같은 상태 저장 워크로드에 이상적입니다. storage account에서 file share를 구성하고, container group 정의에서 이를 참조합니다(share 이름과 storage account 자격 증명).

Azure Blob storage는 HTTP/SDK를 통해 액세스하는 object storage이며, SQL Server가 데이터 및 로그 파일에 기대하는 방식으로 ACI에 일반적인 마운트형 파일 시스템 볼륨을 제공하지 않습니다. Blob은 내구성이 높고 백업, 아카이브, 비정형 데이터에 적합하지만, ACI에서 SQL Server 데이터베이스를 영구적으로 저장하는 데 필요한 표준 파일 공유 시맨틱을 제공하지 않습니다.

Azure Queue storage는 애플리케이션 구성 요소 간에 메시지를 저장하고 검색하는 데 사용되는 메시징 서비스입니다. 컨테이너에 영구 볼륨으로 마운트할 수 있는 스토리지 옵션이 아니며, SQL Server 데이터베이스 파일을 저장할 수도 없습니다. 컨테이너에서 실행되는 애플리케이션이 디커플링을 위해 사용할 수는 있지만, 영구 디스크/파일 요구 사항을 충족하지 못합니다.

Azure Table storage는 반정형 데이터를 위한 NoSQL key-value 저장소입니다. API를 통해 액세스하며 ACI에서 파일 시스템 볼륨으로 마운트할 수 없습니다. SQL Server가 데이터베이스 엔진 스토리지 계층으로 직접 읽기/쓰기를 할 수 있는 방식으로 SQL Server 데이터/로그 파일을 저장하는 데 사용할 수 없습니다.

문제 분석

핵심 개념: Azure Container Instances (ACI)는 기본적으로 ephemeral이며, 이는 컨테이너 로컬 스토리지가 재시작/재배포 시에도 지속되지 않음을 의미합니다. Microsoft SQL Server 같은 워크로드는 컨테이너 수명 주기 이후에도 데이터베이스 파일(데이터/로그)을 유지하기 위해 영구적인 POSIX/SMB 유사 파일 스토리지가 필요합니다. 이 문제는 ACI에 마운트하여 영구 스토리지를 제공할 수 있는 Azure Storage 서비스를 묻고 있습니다. 정답이 맞는 이유: Azure Files는 완전 관리형 SMB/NFS 파일 공유를 제공하며, 이를 볼륨으로 ACI에 마운트할 수 있습니다. ACI는 Azure File share를 컨테이너에 직접 마운트하는 것을 지원하므로, SQL Server가 데이터베이스 파일을 내구성 있는 스토리지에 저장할 수 있습니다. 이는 VM을 실행하거나 디스크를 관리하지 않고도 영구 스토리지 요구 사항을 충족합니다. 실제로는 storage account에서 file share를 만든 다음, ACI 볼륨 구성에서 storage account 이름/키와 share 이름을 참조합니다. 주요 기능 및 모범 사례: - ACI 볼륨 지원: Azure Files는 ACI의 주요 영구 볼륨 옵션입니다(파일 공유로 마운트). - 내구성 및 가용성: Azure Files 데이터는 중복 저장됩니다(지역/계정 구성에 따라 LRS/ZRS/GRS 옵션), 이는 Azure Well-Architected Framework의 신뢰성 목표와 부합합니다. - 보안: (ACI에서 일반적으로 사용하는) storage account 키를 사용하고, 가능하면 private endpoints/방화벽을 통해 액세스를 제한하세요. 인접 서비스에서 지원되는 경우 managed identities도 고려하세요. - 성능 고려 사항: IOPS/지연 시간 요구 사항에 따라 적절한 storage account 성능 티어(Standard vs Premium FileStorage)를 선택하세요. SQL Server는 스토리지 성능에 민감할 수 있습니다. 흔한 오해: Blob storage는 영구적이지만 REST API를 통해 액세스하는 object storage이며, Azure Files처럼 ACI에 전통적인 파일 시스템 형태로 마운트되는 방식이 아닙니다. Queue 및 Table storage도 영구적이지만 메시징/NoSQL 서비스로, 마운트 가능한 볼륨이 아닙니다. 시험 팁: “ACI를 위한 영구 스토리지” 질문에서는 기본적으로 Azure Files를 선택하세요. 컨테이너는 상태 저장 데이터에 대해 마운트된 볼륨이 필요하며, Azure Files가 대표적인 관리형 파일 공유입니다. Blob/Queue/Table은 애플리케이션 코드로 액세스하는 것이지, ACI에서 SQL Server 데이터 파일을 위한 마운트된 디스크/파일 시스템으로 사용하지 않습니다.

이동 중에도 모든 문제를 풀고 싶으신가요?

Cloud Pass를 다운로드하세요 — 모의고사, 학습 진도 추적 등을 제공합니다.

6
문제 6

참고: 이 질문은 동일한 시나리오를 제시하는 일련의 질문 중 하나입니다. 이 시리즈의 각 질문에는 명시된 목표를 충족할 수도 있는 고유한 솔루션이 포함되어 있습니다. 일부 질문 세트에는 정답이 둘 이상 있을 수 있으며, 다른 세트에는 정답이 없을 수도 있습니다. 이 섹션의 질문에 답한 후에는 해당 질문으로 돌아갈 수 없습니다. 따라서 이러한 질문은 검토 화면에 표시되지 않습니다. Azure 구독에 대해 Traffic Analytics를 사용하도록 설정하기 위해 Admin1이라는 Azure Active Directory (Azure AD) 사용자에게 필요한 역할이 할당되었는지 확인해야 합니다. 솔루션: 구독 수준에서 Admin1에 Network Contributor 역할을 할당합니다. 이것이 목표를 충족합니까?

예, 맞습니다. Network Contributor에는 Traffic Analytics를 활성화하는 데 필요한 Azure networking resources를 관리할 수 있는 권한이 포함되어 있기 때문입니다. Traffic Analytics는 Network Watcher와 NSG flow logs에 의존하며, 이러한 구성은 Network Contributor 역할 범위에 포함됩니다. 이 역할이 subscription 수준에서 할당되었으므로 Admin1은 subscription의 network resources 전반에서 필요한 작업을 수행할 수 있습니다. 이는 필요한 역할을 할당하라는 요구 사항을 직접적으로 충족합니다.

아니요, 틀렸습니다. 제안된 솔루션은 설명된 작업에 충분하기 때문입니다. 문제는 subscription 수준에서 Network Contributor를 할당하면 Admin1이 필요한 Traffic Analytics 구성을 수행할 수 있는지를 묻고 있으며, 가능합니다. 이 특정 networking 작업에 대해 Contributor 또는 Owner와 같은 더 광범위한 역할이 필요하다는 근거는 없습니다. 따라서 이 솔루션을 거부하는 것은 필요한 권한을 지나치게 제한적으로 해석한 것입니다.

문제 분석

핵심 개념: 이 문제는 Azure subscription에 대해 Traffic Analytics를 활성화하는 데 필요한 권한을 테스트합니다. Traffic Analytics는 Network Watcher를 통해 구성되며 Log Analytics workspace와 함께 NSG flow logs를 사용하므로, 사용자에게는 관련 networking 구성 요소를 관리할 수 있는 Azure RBAC 권한이 필요합니다. 정답인 이유: subscription 수준에서 Admin1에게 Network Contributor 역할을 할당하면 목표를 충족합니다. Network Contributor는 Traffic Analytics에 필요한 Network Watcher, NSGs, flow log 설정과 같은 network resources를 관리할 수 있기 때문입니다. subscription 범위에서는 이 역할이 충분히 넓게 적용되어 해당 subscription의 관련 resources에 대해 기능을 구성할 수 있습니다. 주요 특징: Network Contributor는 Contributor 또는 Owner처럼 subscription 전체에 대한 완전한 관리 권한을 부여하지 않으면서 network resources를 관리하기 위한 기본 제공 Azure RBAC 역할입니다. Traffic Analytics는 Azure network monitoring의 일부이며 Azure AD directory roles가 아니라 networking resources를 통해 활성화됩니다. subscription 수준 할당이 중요한 이유는 해당 subscription의 모든 적용 가능한 network resources 전반에 대한 액세스를 제공하기 때문입니다. 일반적인 오해: 많은 응시자는 Azure AD roles와 Azure RBAC roles를 혼동하고, 문제에서 Azure AD user를 언급한다는 이유로 directory role이 필요하다고 가정합니다. 하지만 할당 대상의 identity 유형은 필요한 권한이 Azure resources에 대한 Azure RBAC 역할이라는 사실을 바꾸지 않습니다. 또 다른 흔한 실수는 monitoring 기능을 활성화하려면 Contributor 또는 Owner만 가능하다고 생각하는 것이지만, Network Contributor와 같은 특화된 역할만으로도 충분한 경우가 많습니다. 시험 팁: AZ-104에서는 Network Watcher, NSG flow logs, 또는 Traffic Analytics가 보이면 먼저 network 중심의 RBAC roles를 떠올리세요. 항상 역할과 범위를 모두 확인해야 합니다. 올바른 역할이라도 범위가 너무 좁으면 실패할 수 있지만, 여기서는 subscription 범위가 충분히 넓습니다. 또한 기본 제공 역할은 과도한 권한 없이도 정확히 이러한 운영 작업을 지원하도록 설계된 경우가 많다는 점을 기억하세요.

7
문제 7

참고: 이 문제는 동일한 시나리오를 제시하는 일련의 문제 중 일부입니다. 이 시리즈의 각 문제에는 명시된 목표를 충족할 수도 있는 고유한 솔루션이 포함되어 있습니다. 일부 문제 세트에는 정답이 둘 이상 있을 수 있으며, 다른 문제 세트에는 정답이 없을 수도 있습니다. 이 섹션에서 문제에 답한 후에는 해당 문제로 돌아갈 수 없습니다. 따라서 이러한 문제는 검토 화면에 표시되지 않습니다. Subscription1이라는 Azure 구독이 있습니다. Subscription1에는 RG1이라는 리소스 그룹이 포함되어 있습니다. RG1에는 템플릿을 사용하여 배포된 리소스가 포함되어 있습니다. RG1에서 리소스가 생성된 날짜와 시간을 확인해야 합니다. 솔루션: RG1 블레이드에서 Automation script를 클릭합니다. 이것이 목표를 충족합니까?

예는 오답인 이유는 RG1 blade에서 Automation script를 클릭해도 리소스가 생성된 날짜와 시간이 표시되지 않기 때문입니다. 이 기능은 그룹 내 기존 리소스를 기반으로 재사용 가능한 deployment template를 생성하기 위한 것입니다. 원래 deployment timestamps 또는 리소스별 생성 metadata를 제공하지 않습니다. template deployments의 생성 시점을 조사하는 올바른 위치는 resource group의 Deployments blade입니다.

아니요가 정답인 이유는 Automation script 옵션이 리소스가 생성된 시점을 표시하지 않기 때문입니다. Automation script는 현재 리소스 구성을 ARM template 및 지원 scripts로 내보내 나중에 다시 배포할 수 있게 합니다. 이것은 구성 및 배포를 돕는 기능이지, 과거 감사 기록을 보여주는 보기가 아닙니다. RG1에서 template로 배포된 리소스의 생성 시점을 확인하려면 대신 resource group의 deployment history를 검토해야 합니다.

문제 분석

핵심 개념: 이 문제는 Azure VM maintenance controls와 platform maintenance에 사전에 대응하는 방법을 테스트합니다. Azure는 VM이 maintenance 대상으로 예약되었다고 알릴 수 있습니다(예: host OS updates 또는 hardware servicing). 관련 기능은 VM Maintenance/Updates 아래에 있으며, “Redeploy”(새 host로 이동) 같은 옵션과 경우에 따라 “Self-service maintenance” controls를 포함합니다. 정답인 이유: VM1 Updates blade에서 “One-time update”를 선택하는 것은 VM을 즉시 다른 host로 이동시키는 목표를 충족하지 못합니다. “One-time update”는 updates/patches 적용(guest OS updates 또는 update management 작업)과 관련이 있으며 host 변경을 강제하지 않습니다. VM을 즉시 다른 host로 이동시키려면 일반적으로 VM을 Redeploy하는 작업(새 node에서 중지/deallocate 후 시작) 또는 platform maintenance events를 위해 특별히 설계된 maintenance controls를 사용해야 합니다. 따라서 제안된 솔루션은 요구 사항을 충족하지 않습니다. 주요 기능 및 모범 사례: - “Redeploy”는 VM을 새로운 Azure host로 강제로 이동시키는 일반적인 운영 작업입니다. 이 작업은 downtime을 발생시키고 새로운 host 할당을 수행하지만, disks와 configuration은 유지합니다. - 더 높은 availability를 위해 Availability Sets 또는 Availability Zones를 사용하여 platform maintenance가 instances의 일부에만 영향을 주도록 하고 application layer에서 fail over할 수 있게 하세요. - Azure Well-Architected Framework (Reliability)는 reactive한 host 이동에 의존하기보다 redundancy(zones/sets)를 통해 planned maintenance에 대비하도록 설계할 것을 권장합니다. 일반적인 오해: “Updates”(patching/Update Management)와 “Maintenance”(platform host maintenance)를 혼동하기 쉽습니다. 둘 다 “maintenance”와 관련이 있지만, host 배치에 영향을 주는 것은 redeploy/maintenance controls뿐입니다. one-time update를 적용하면 guest OS vulnerability는 줄일 수 있지만 기본 host는 변경되지 않습니다. 시험 팁: AZ-104에서는 다음을 기억하세요: “Redeploy” = VM을 새로운 host로 이동. “Restart”는 host 변경을 보장하지 않습니다. “Updates/One-time update”는 patching과 관련 있으며 host migration이 아닙니다. 문제에서 명시적으로 “즉시 다른 host로 이동”이라고 하면 Redeploy를 떠올리세요(또는 예방 방법을 묻는 경우 zone/availability 설계).

8
문제 8

HOTSPOT - 다음 요구 사항을 충족하는 Azure Storage account를 만들어야 합니다: ✑ 비용을 최소화함 ✑ hot, cool 및 archive blob tier를 지원함 ✑ account가 위치한 Azure region에 재해가 발생하는 경우 내결함성을 제공함 명령을 어떻게 완성해야 합니까? 답하려면 답안 영역에서 적절한 옵션을 선택하십시오. 참고: 각 정답 선택은 1점입니다. Hot Area:

파트 1:

az storage account create -g RG1 -n storageaccount1 --kind ______

정답: C (StorageV2). Blob의 hot, cool, archive를 포함한 Blob access tier를 지원하려면 StorageV2 (general-purpose v2) storage account가 필요합니다. 이는 현재 권장되는 account type이며, 가장 광범위한 storage 기능(Blob, File, Queue, Table)을 지원하고, 비용 최적화를 위해 tier 간 데이터 이동을 수행하는 lifecycle management policy도 지원합니다. 다른 선택지가 틀린 이유: - A (FileStorage)는 Azure Files (SMB/NFS) 시나리오를 위한 premium 전용 account kind입니다. Blob Storage에 대한 표준 blob tiering 모델(hot/cool/archive)을 제공하지 않으며 비용 최소화에도 적합하지 않습니다. - B (Storage)는 general-purpose v1 (GPv1)을 의미합니다. GPv1은 레거시이며 StorageV2에 비해 기능 제한이 있습니다. 시험 관점에서 modern blob tiering과 best-practice 기능이 필요할 때는 StorageV2가 정답입니다.

파트 2:

--sku ______

정답: A (Standard_GRS). Standard_GRS (Geo-Redundant Storage)는 페어링된 Azure region의 보조 region으로 데이터를 비동기적으로 복제하여, 재해가 기본 region에 영향을 미치는 경우에도 복원력을 제공합니다. 이는 region 수준의 내결함성 요구사항을 직접 충족합니다. 다른 선택지가 틀린 이유: - B (Standard_LRS)는 단일 region 내에서만 복제(구현에 따라 datacenter/zone 세트 내)하며, region 전체 장애로부터 보호하지 못합니다. - C (Standard_RAGRS)는 GRS의 모든 기능에 더해 보조 region에 대한 읽기 액세스를 포함합니다. 이 추가 읽기 액세스 기능은 비용을 증가시키며, 문제에서 요구하지 않으므로 GRS에 비해 “비용 최소화”를 충족하지 못합니다. - D (Premium_LRS)는 비용이 더 높고 여전히 로컬 중복만 제공(교차 region 재해 내성 없음)하므로, 비용 및 region DR 요구사항 모두를 충족하지 못합니다.

9
문제 9

DRAG DROP - 10개의 Azure virtual machines를 Azure Automation State Configuration에 온보딩합니다. Azure Automation State Configuration을 사용하여 virtual machine 구성의 지속적인 일관성을 관리해야 합니다. 어떤 세 가지 작업을 순서대로 수행해야 합니까? 답하려면 작업 목록에서 적절한 작업을 답변 영역으로 이동하고 올바른 순서로 정렬하십시오. 참고: 정답 선택지의 순서는 하나 이상이 맞을 수 있습니다. 선택한 올바른 순서 중 어떤 것이든 정답으로 인정됩니다. 선택 및 배치:

파트 1:

아래 이미지에서 올바른 답(들)을 선택하세요.

question-image

올바른 순서(가능한 순서 중 하나): 1) Azure Automation State Configuration에 configuration 업로드 2) configuration을 compile하여 node configuration 생성 3) node의 compliance status 확인 이것이 올바른 이유: 지속적인 일관성을 강제하려면 Azure Automation DSC에 Automation account 내 DSC configuration이 필요합니다. 업로드/가져오기 후에는 이를 compile하여 노드가 적용할 수 있는 node configuration(MOF artifacts)을 생성해야 합니다. 노드가 configuration을 적용한 뒤에는 node compliance status를 사용해 drift를 확인하고 지속적으로 모니터링합니다. 다른 선택지가 틀린 이유: VM에 tag를 할당하고 management group을 생성하는 것은 governance/조직화 작업이며, DSC configuration을 생성/compile/apply하지 않으므로 configuration 일관성을 직접적으로 관리하지 않습니다. 제공된 목록에서 DSC 운영 라이프사이클을 나타내는 작업은 업로드, compile, compliance 확인뿐입니다.

10
문제 10

HOTSPOT - 다음 표에 표시된 대로 구성된 Windows Server 2019를 실행하는 Azure virtual machines가 있습니다.

diagram

adatum.com이라는 private Azure DNS zone을 만듭니다. VNET1에서 auto registration을 허용하도록 adatum.com zone을 구성합니다. 각 virtual machine에 대해 adatum.com zone에 어떤 A record가 추가됩니까? 답하려면, 답안 영역에서 적절한 옵션을 선택하십시오. 참고: 각 정답 선택은 1점입니다. Hot Area:

파트 1:

VM1에 대한 A 레코드: ______

VM1은 VNET1에 있으며, private DNS zone adatum.com이 auto-registration이 활성화된 상태로 VNET1에 연결되어 있습니다. Azure Private DNS의 auto-registration은 해당 VNet 내에서 VM의 NIC에 있는 private IP address에 대한 A 레코드를 생성합니다. VM1의 private IP는 10.1.0.4이므로, 10.1.0.4를 가리키는 A 레코드(일반적으로 vm1.adatum.com)가 생성됩니다. 왜 public IP가 아닌가? Azure Private DNS zone은 private name resolution을 위한 것이며, auto-registration은 public IP address를 private zone에 게시하지 않습니다. Public IP는 일반적으로 public DNS(Azure DNS public zones 또는 외부 DNS provider)를 통해 확인되며, Private DNS를 통해 확인되지 않습니다. 왜 없음이 아닌가? VM이 연결된 VNet에 있고 auto-registration 조건을 충족하기 때문입니다. Windows Server DNS suffix(Adatum.com)는 Azure가 레코드를 등록하는 데 필요하지 않으며, VNet link와 private IP를 기반으로 Azure가 등록한다는 사실을 바꾸지 않습니다.

파트 2:

VM2에 대한 A 레코드: ______

VM2도 VNET1에 있으며, VNET1은 auto-registration이 활성화된 private DNS zone adatum.com에 연결되어 있습니다. 따라서 Azure는 VM2의 private IP address인 10.1.0.5에 매핑되는 VM2용 A 레코드를 추가합니다. VM 내부에 구성된 DNS suffix(Contoso.com)는 오답 유도 요소입니다. 해당 설정은 이름 확인(name resolution) 중 VM의 OS가 domain suffix를 어떻게 추가하는지, 그리고 구성된 경우 on-premises DNS server에 어떻게 등록할 수 있는지에 영향을 주지만, Azure Private DNS auto-registration 동작을 결정하지는 않습니다. Azure는 private DNS zone 이름(adatum.com)과 VNet link를 사용하여 어디에 등록할지 결정합니다. 왜 public IP only 또는 둘 다가 아닌가? Auto-registration은 private DNS zone에서 public IP에 대한 레코드를 생성하지 않습니다. Private zone에 public IP를 섞으면 내부/외부 이름 확인의 분리를 훼손하게 되며, 이는 해당 기능의 설계 방식이 아닙니다.

다른 모의고사

Practice Test #1

50 문제·100분·합격 700/1000

Practice Test #2

50 문제·100분·합격 700/1000

Practice Test #3

50 문제·100분·합격 700/1000

Practice Test #4

50 문제·100분·합격 700/1000

Practice Test #5

50 문제·100분·합격 700/1000

Practice Test #6

50 문제·100분·합격 700/1000

Practice Test #8

50 문제·100분·합격 700/1000

Practice Test #9

50 문제·100분·합격 700/1000
← 모든 Microsoft AZ-104 문제 보기

지금 학습 시작하기

Cloud Pass를 다운로드하고 모든 Microsoft AZ-104 기출 문제를 풀어보세요.

Get it on Google PlayDownload on the App Store
Cloud PassCloud Pass

IT 자격증 문제풀이 앱

Get it on Google PlayDownload on the App Store

자격증

AWSGCPMicrosoftCiscoCompTIADatabricks

법률

FAQ개인정보 처리방침서비스 약관

회사

문의하기계정 삭제

© Copyright 2026 Cloud Pass, All rights reserved.

이동 중에도 모든 문제를 풀고 싶으신가요?

앱 받기

Cloud Pass를 다운로드하세요 — 모의고사, 학습 진도 추적 등을 제공합니다.