Practice Test #2

정답: A (group). 명령 `az group create --location centralus --name $resourcegroupname` 는 Azure Resource Group을 생성하며, 이는 App Service plan, web app, deployment slot을 위한 논리적 컨테이너입니다. Resource group은 lifecycle, RBAC, billing 경계를 구성하고 관리하는 데 필요합니다. 다른 선택지가 틀린 이유: - B (webapp)는 App Service Web App을 생성하며, resource group은 생성하지 않습니다. - C (appservice plan)는 hosting plan을 생성하지만, 기존 resource group 내에 배치되어야 합니다. - D (webapp deployment slot)는 기존 web app 아래에 slot을 생성합니다. - E (webapp deployment source)는 기존 web app/slot에 대한 source control deployment를 구성합니다. Azure CLI에서 `az group`은 항상 resource group 작업에 사용되며, resource group에는 region metadata 값이 있기 때문에 `--location`이 필요합니다.

정답: C (`appservice plan`). `az appservice plan create --name $webappname --resource-group $resourcegroupname --sku S3` 명령은 web app을 호스팅할 App Service plan을 생성합니다. web app을 생성하기 전에 반드시 App Service plan이 존재해야 하며, Standard-tier SKU는 deployment slot을 지원합니다. 다른 옵션이 틀린 이유는 서로 다른 resource type을 생성하기 때문입니다. `group`은 resource group을 생성하고, `webapp`은 app 자체를 생성하며, `webapp deployment slot`은 app이 이미 존재한 후에만 slot을 생성할 수 있고, `webapp deployment source`는 호스팅 용량이 아니라 source control deployment를 구성합니다.

정답: B (webapp). 명령 `az webapp create --name $webappname --resource-group $resourcegroupname --plan $webappname` 는 App Service web app을 생성하고, 앞서 생성한 App Service plan에 연결합니다. `--plan` 파라미터는 web app을 compute resources 및 pricing tier에 바인딩합니다. 다른 선택지가 틀린 이유: - A (group)는 관련이 없습니다. resource group은 이미 존재합니다. - C (appservice plan)은 plan을 생성/수정하는 데 사용되지만, 여기서는 plan에서 실행될 web app을 생성하고 있습니다. - D (webapp deployment slot)은 기존 web app이 필요합니다. main app 자체를 생성하지는 않습니다. - E (webapp deployment source)는 deployment를 구성하는 것이지, web app 자체를 생성하는 것은 아닙니다. 실무 참고: Java의 경우 runtime stack(예: `--runtime "JAVA|11-java11"`)을 추가로 설정하거나 `az webapp config set`을 사용하는 경우가 많지만, 이 문제는 app + slot + GitHub deployment를 위한 최소 명령에 초점을 맞추고 있습니다.

정답: D (`webapp deployment slot`). 명령 `az webapp deployment slot create --name $webappname --resource-group $resourcegroupname --slot staging`는 기존 web app에 대해 `staging`이라는 이름의 deployment slot을 생성합니다. 이는 초기 코드 릴리스를 production에 직접 배포하는 대신 staging slot에 배포해야 하기 때문에 필요합니다. 다른 옵션들은 slot을 생성하지 않습니다. `group`은 resource group을 생성하고, `appservice plan`은 hosting plan을 생성하며, `webapp`은 기본 app을 생성하고, `webapp deployment source`는 slot이 이미 존재한 후에만 repository 기반 deployment를 구성합니다.

정답: E (webapp deployment source). 명령 `az webapp deployment source config --name $webappname --resource-group $resourcegroupname --slot staging --repo-url $gitrepo --branch master --manual-integration` 는 staging slot에 대해 specifically GitHub 기반 deployment를 구성합니다. `deployment source config`, `--repo-url`, `--branch`의 존재는 source control integration을 나타냅니다. 다른 선택지가 틀린 이유: - A (group), C (appservice plan), D (webapp deployment slot)는 repository integration을 관리하지 않습니다. - B (webapp)는 app resource를 관리하지만 deployment source configuration subcommand는 아닙니다. 핵심 시험 포인트: `--slot staging`은 code가 production이 아니라 staging slot에 배포되도록 보장합니다. `--manual-integration`은 Azure가 webhook을 통해 모든 commit마다 자동으로 pull하지 않음을 의미합니다. 대신 수동으로 sync합니다(제어된 평가에 유용). production CI/CD에서는 일반적으로 GitHub Actions 또는 Azure DevOps pipelines를 더 자주 사용하지만, 이 CLI 방식도 유효하며 자주 출제됩니다.

요구 사항에 의해 올바른 authentication mechanism이 명확하게 정의되어 있으므로 “Pass”라고 답하는 것이 적절합니다. API 호출을 안전하게 유지하면서 호출자가 API에 credentials를 보내지 않도록 하려면, Microsoft Entra ID (Azure AD)가 access tokens (JWTs)를 발급하는 OAuth 2.0/OpenID Connect를 사용해야 합니다. 호출자는 Entra ID에 authenticate하고, access token을 획득한 다음, 해당 token (Bearer)으로 API를 호출합니다. API는 token을 검증하고 scopes/roles를 기반으로 authorize합니다. 대안이 틀린 이유: API keys, shared access signatures 또는 basic authentication은 호출자가 secret/credential를 API에 보내야 하므로 요구 사항을 위반합니다. Mutual TLS/client certificates 역시 API endpoint에 credential를 제시하는 방식입니다. Entra ID의 token-based auth는 API에서 credential 처리를 피하고, short-lived tokens를 지원하며, 중앙 집중식 policy controls (conditional access, MFA, app roles/scopes)를 가능하게 하므로 exam best practices에 부합합니다.

optionalClaims는 Azure AD group membership claims를 활성화하는 데 사용되지 않습니다. 이는 ID, access 또는 SAML tokens에서 특정 user attributes와 같은 추가 token claims를 요청하기 위한 것입니다. 요구 사항은 AD groups를 기반으로 사이트를 개인화하는 것이므로, 관련 manifest 설정은 groupMembershipClaims입니다. 따라서 이 요구 사항에 대해 optionalClaims를 "All"로 설정해서는 안 됩니다.

groupMembershipClaims는 토큰에 어떤 group membership을 포함할지와 포함 여부를 제어하며, "None", "SecurityGroup", "DirectoryRole", 또는 "All"과 같은 string 값을 사용합니다. Active Directory groups를 기반으로 개인화하는 웹사이트의 경우, 이 속성을 "All"로 설정하면 필요한 group claims가 포함되도록 보장합니다. true 값은 이 속성에 대한 올바른 manifest 형식이 아닙니다. optionalClaims는 group claims를 활성화하는 것과 관련이 없으므로, 이 요구 사항에 대한 올바른 메커니즘이 아닙니다.

빈칸은 "--name $webappname --resource-group myResourceGroup --sku FREE"로 끝나며, 이는 App Service plan을 생성하는 구문과 일치합니다: "az appservice plan create --name <planName> --resource-group <rg> --sku <tier>". Web app은 plan에서 실행되어야 하므로(특정한 specialized offering을 사용하는 경우 제외) Web app을 생성하기 전에 plan이 필요합니다. 다른 선택지가 틀린 이유: - A (az webapp)는 Web app을 생성할 때 사용되지만, "--sku FREE"가 있다는 것은 Web app 속성이 아니라 plan SKU를 나타냅니다. - C (az webapp deployment)는 deployment 관련 작업용이며, plan 생성과는 관련이 없습니다. - D (az group delete)는 resource group을 삭제하는 명령으로, provisioning과 관련이 없습니다.

이 fragment는 "--repo-url", "--branch", "--manual-integration"과 같은 repository 관련 인수를 포함하고 있으므로 web app의 source control 구성과 관련되어 있습니다. plan parameter는 app을 App Service plan과 연결하기 위해 "az webapp create" 중에만 사용되며, deployment source configuration 단계에서는 유효하지 않습니다. 제공된 선택지 중에서 "git clone $gitrepo"만이 repository 관련 옵션이지만, 실제 Azure CLI script에서는 올바른 command가 로컬 Git clone이 아니라 "az webapp deployment source config"의 일부가 됩니다. 현재 explanation은 이 fragment를 잘못된 command context에 배치하고 있으므로 부정확합니다.

Azure CLI는 App Service web app에 대해 GitHub 또는 기타 source control deployment를 구성하기 위해 "az webapp deployment source config" 명령을 사용합니다. 문제에 이미 "source config"가 포함되어 있으므로, 빠진 접두사는 "az webapp deployment"여야 합니다. 옵션 A인 "az webapp"은 불완전하며 이 구문에서 유효한 명령을 형성하지 않습니다. 나머지 옵션은 plan 생성 또는 resource group 삭제용이므로 해당되지 않습니다.

"az webapp deployment source config" 뒤에는 repository 설정을 제공합니다. 올바른 이어지는 부분은 "--repo-url $gitrepo --branch master --manual-integration"입니다. 이는 web app이 지정된 GitHub repository와 branch에서 pull하도록 구성합니다. "--manual-integration"은 App Service가 GitHub webhook integration을 자동으로 생성/관리하지 않음을 의미합니다(CLI session에서 GitHub에 authenticate하지 않을 때 자주 사용됨). 하지만 여전히 deployment source를 설정합니다. 다른 옵션이 틀린 이유: - B (--plan $webappname)는 web app을 생성할 때만 관련이 있습니다(App Service plan에 바인딩). 이는 "deployment source config"에 대한 유효한 parameter가 아닙니다.

예. 이 코드는 다음을 호출합니다: - line 06: var id = await src.AcquireLeaseAsync(null); Azure Storage .NET client library에서 AcquireLeaseAsync는 lease duration에 대해 nullable TimeSpan?을 받습니다. blob의 경우, duration에 null을 지정하면 무기한 lease를 요청합니다(15–60초의 고정 기간 lease와 반대). 무기한 lease는 명시적으로 해제될 때까지(lease ID와 함께 ReleaseLeaseAsync) 또는 중단될 때까지(BreakLeaseAsync) 유지됩니다. “아니요”가 틀린 이유: 유한한 lease는 허용된 범위 내의 특정 duration 값이 필요합니다. 이 코드에서는 null을 전달하므로, 무기한 lease 동작을 명시적으로 요청하는 것입니다.

아니요. 06행의 코드는 새로운 blob을 생성하지 않습니다. 06행은 기존 source blob(src)에 대해 AcquireLeaseAsync를 호출합니다. 해당 작업은 기존 blob의 lease 상태만 변경할 뿐, 어떤 blob도 생성하지 않습니다. 질문의 의도가 “07행” (GetBlockBlobReference)을 의미한 것이었다고 하더라도, 그것 역시 service에서 blob을 생성하지는 않습니다. 그것은 단지 blob 이름을 가리키는 로컬 object를 생성할 뿐입니다. destination blob은 아직 존재하지 않는 경우 나중에 StartCopyAsync(08행)에 의해 생성될 수 있습니다. 따라서 “항상 새로운 blob을 생성한다”라는 진술은 올바르지 않습니다. leasing은 절대 blob을 생성하지 않으며, destination reference 생성 역시 server-side create 작업이 아닙니다.

아니요. finally 블록은 lease를 “release”하지 않습니다. 대신 break를 시도합니다. 구체적으로: - src.Properties.LeaseState != LeaseState.Available를 확인합니다 - 그런 다음 BreakLeaseAsync(TimeSpan.Zero)를 호출합니다 Release vs Break: - ReleaseLeaseAsync는 lease를 해제하는 일반적인 방법이며 AcquireLeaseAsync에서 반환된 lease ID가 필요합니다. - BreakLeaseAsync는 lease ID 없이 lease를 강제로 종료하며, lease를 Broken을 거쳐 결국 Available 상태로 전환합니다. 또한 로직 문제가 있습니다: src.Properties.LeaseState는 FetchAttributesAsync 이후에만 채워지지만, 코드는 src != null 블록 밖에서 LeaseState를 확인합니다. src가 null이면 예외가 발생합니다. src가 null이 아니라고 가정하더라도, 이 작업은 여전히 release가 아니라 break이므로, 해당 문장은 거짓입니다.

정답: D. JWT 검증. validate-jwt 정책은 OAuth 2.0/OpenID Connect access token (JWT)을 사용하여 호출자를 인증/권한 부여하기 위한 전용 APIM 메커니즘입니다. 이 정책은 token signature(신뢰), token lifetime(exp/nbf), 그리고 intended recipient(aud)를 검증하며, issuer(iss) 및 필요한 claims/scopes/roles도 강제할 수 있습니다. 프롬프트가 인증을 위해 APIM을 구성하는 것에 관한 경우, 이것이 기대되는 정답입니다. 다른 선택지가 틀린 이유: A. HTTP header 확인은 header가 존재하는지 또는 값이 일치하는지만 확인하며, token을 cryptographically 검증하거나 identity를 증명하지는 않습니다. B. 호출자 IP 제한은 network control(노출 범위를 좁히는 데 유용함)이지만 user/app을 인증하지 않으며 roaming clients/NAT 환경에서는 실패합니다. C. key별 호출 속도 제한은 throttling/abuse protection입니다. subscription key를 사용할 수는 있지만 이는 강력한 인증이 아니며, 일반적으로 primary auth라기보다 추가적인 control로 간주됩니다.

정답: A. Inbound. 인증은 요청이 backend service로 전송되기 전에 강제되어야 합니다. inbound policy 섹션은 요청이 APIM에 들어올 때 실행되므로, credentials/tokens를 검증하고 권한이 없는 요청을 즉시 401/403으로 거부하기에 올바른 위치입니다. 이는 backend 부하를 줄이고, 보안 상태를 개선하며, best practices(게이트웨이에서 fail fast)와도 일치합니다. 왜 outbound가 아닌가: B. Outbound policies는 backend가 요청을 처리한 후 APIM이 client에 응답을 반환할 때 실행됩니다. 그 시점에는 backend가 이미 business logic을 실행하고 data에 접근했을 수 있으므로, 인증 강제의 목적에 어긋납니다. Outbound는 response transformations, response headers 추가/제거, response caching directives, 그리고 이와 유사한 post-processing 작업을 위한 것입니다.