CloudPass LogoCloud Pass
AWSGoogle CloudMicrosoftCiscoCompTIADatabricks
Certifications
AWSGoogle CloudMicrosoftCiscoCompTIADatabricks
Microsoft AZ-305
Microsoft AZ-305

Practice Test #2

50개 문제와 100분 시간 제한으로 실제 시험을 시뮬레이션하세요. AI 검증 답안과 상세 해설로 학습하세요.

50문제100분700/1000합격 점수
기출 문제 보기

AI 기반

3중 AI 검증 답안 및 해설

모든 답안은 3개의 최고 AI 모델로 교차 검증하여 최고의 정확도를 보장합니다. 선택지별 상세 해설과 심층 문제 분석을 제공합니다.

GPT Pro
Claude Opus
Gemini Pro
선택지별 상세 해설
심층 문제 분석
3개 모델 합의 정확도

기출 문제

1
문제 1

HOTSPOT - 자주 사용되는 대량의 데이터를 저장할 app을 위한 storage solution을 설계해야 합니다. 이 solution은 다음 요구 사항을 충족해야 합니다: ✑ 데이터 throughput을 최대화합니다. ✑ 1년 동안 데이터 수정을 방지합니다. ✑ 읽기 및 쓰기 작업의 latency를 최소화합니다. 어떤 Azure Storage account type과 storage service를 권장해야 합니까? 답하려면, 답안 영역에서 적절한 옵션을 선택하세요. 참고: 각 정답 선택에는 1점이 부여됩니다. Hot Area:

파트 1:

Storage account 유형: ______

BlockBlobStorage가 올바른 account 유형입니다. 이는 높은 처리량과 낮은 지연 시간이 필요한 premium block blob 워크로드에 최적화되어 있기 때문입니다. 또한 데이터는 1년 동안 수정으로부터 보호되어야 하므로, immutability policy를 적용하려면 Blob storage가 필요하며, BlockBlobStorage는 해당 서비스에 부합하는 premium account 유형입니다. BlobStorage는 레거시 account 유형이고, FileStorage는 blob이 아니라 Azure Files용이며, Standard 성능의 StorageV2는 동일한 성능 특성을 제공하지 않습니다. 따라서 BlockBlobStorage가 성능 및 immutability 요구 사항을 모두 가장 잘 충족합니다.

파트 2:

Storage 서비스: ______

Blob storage가 올바른 서비스인 이유는 1년과 같이 정의된 기간 동안의 time-based retention을 포함한 immutability policies를 통해 immutable storage (WORM)를 지원하기 때문입니다. 이는 1년 동안 데이터 수정을 방지해야 한다는 요구 사항을 직접적으로 충족합니다. Blob storage는 또한 대량의 unstructured data를 저장하는 데 매우 적합하며, 특히 Premium 성능과 함께 사용할 때 높은 throughput을 제공할 수 있습니다. 다른 선택지가 틀린 이유: - File (B): Azure Files는 SMB/NFS file shares에 최적화되어 있습니다. Premium tier에서는 매우 높은 성능을 제공할 수 있지만, 시험 관점에서 “1년 동안 수정 방지”를 위한 대표적인 immutability/WORM 기능은 Blob의 기능입니다 (immutability policies). - Table (C): Table storage는 structured data를 위한 NoSQL key/attribute store이며, 대규모 unstructured datasets 또는 WORM 스타일의 immutability 요구 사항을 위한 용도가 아닙니다.

2
문제 2
(2개 선택)

온-프레미스 Active Directory domain과 동기화되는 Azure Active Directory (Azure AD) tenant가 있습니다. 온-프레미스에서 호스팅되는 WebApp1이라는 내부 web app이 있습니다. WebApp1은 Integrated Windows authentication을 사용합니다. 일부 사용자는 원격으로 근무하며 온-프레미스 네트워크에 대한 VPN 액세스가 없습니다. 원격 사용자에게 WebApp1에 대한 single sign-on (SSO) 액세스를 제공해야 합니다. 솔루션에 포함해야 하는 두 가지 기능은 무엇입니까? 각 정답은 솔루션의 일부를 나타냅니다. 참고: 각 정답 선택에는 1점이 부여됩니다.

Azure AD Application Proxy는 VPN 연결 없이 온-프레미스 web application에 대한 원격 액세스를 제공하도록 특별히 구축되었기 때문에 정답입니다. 이는 Azure로 아웃바운드 연결을 수행하는 온-프레미스 connector를 사용하므로 내부 application을 인터넷에 직접 노출할 필요가 없습니다. Integrated Windows authentication을 사용하는 app의 경우, Application Proxy는 Kerberos Constrained Delegation을 통한 single sign-on을 지원하여 Azure AD로 인증된 사용자가 app에 원활하게 액세스할 수 있도록 합니다. 이는 원격 사용자에게 WebApp1에 대한 SSO 액세스를 제공해야 한다는 요구 사항과 정확히 일치합니다.

Azure AD Privileged Identity Management (PIM)는 privileged role을 관리하고 관리 액세스를 위한 just-in-time elevation을 제공하는 데 사용되므로 오답입니다. 이는 상시 privileged 권한을 줄이고 privileged account에 대한 승인 workflow, 알림 및 access review를 지원합니다. 그러나 온-프레미스 application을 게시하거나, 원격 연결을 제공하거나, 내부 web app에 액세스하는 최종 사용자에게 SSO를 활성화하지는 않습니다. 따라서 이 시나리오의 핵심 요구 사항을 해결하지 못합니다.

Conditional Access policies는 사용자가 application에 액세스할 수 있는 조건(예: MFA 요구, 규정 준수 device, 신뢰할 수 있는 위치)을 제어할 뿐이므로 주된 정답으로는 오답입니다. 이는 VPN 액세스가 없는 원격 사용자에게 온-프레미스 web application을 노출하는 메커니즘을 제공하지 않습니다. Conditional Access는 추가 보안을 위해 Application Proxy 위에 계층적으로 적용할 수 있지만, application에 도달 가능하게 하고 SSO를 제공하는 데 필요한 기능 중 하나는 아닙니다. 이 시나리오는 핵심 솔루션 구성 요소를 묻고 있으며, 그것은 Application Proxy와 enterprise application 구성입니다.

Azure Arc는 Azure에서 server, Kubernetes cluster 및 data service를 관리하는 것과 같은 hybrid 및 multicloud resource management를 위한 것이므로 오답입니다. 이는 Azure governance, policy 및 management 기능을 비-Azure 환경으로 확장합니다. 그러나 온-프레미스 web application에 대한 원격 사용자 액세스를 제공하지 않으며, 이 시나리오의 Integrated Windows authentication SSO와도 관련이 없습니다. 따라서 제시된 요구 사항과는 무관합니다.

Azure AD enterprise applications는 게시된 온-프레미스 application이 Azure AD에서 enterprise application으로 관리되기 때문에 정답입니다. 관리자는 여기서 사용자 및 그룹 할당, SSO 관련 설정, 그리고 application의 액세스 동작을 구성합니다. Application Proxy 배포에서 app은 Azure AD의 enterprise application으로 표시되므로, 이 기능은 전체 솔루션의 일부입니다. enterprise application object가 없으면 WebApp1에 대한 액세스를 관리하는 데 필요한 Azure AD application integration 계층을 가질 수 없습니다.

Azure Application Gateway는 SSL termination, path-based routing 및 Web Application Firewall integration과 같은 기능을 갖춘 HTTP/HTTPS traffic용 Layer 7 load balancer이므로 오답입니다. web application을 게시할 수는 있지만, VPN 없이 내부 app에 대한 원격 액세스를 위해 설계된 Azure AD 기반 reverse proxy service는 아닙니다. 또한 Integrated Windows authentication app에 대해 Azure AD Application Proxy가 사용하는 것과 같은 Azure AD preauthentication 및 KCD 기반 SSO 패턴을 기본적으로 제공하지도 않습니다. Application Proxy와 비교하면, 이 정확한 시나리오에 필요한 직접적인 identity integration이 부족합니다.

문제 분석

핵심 개념: 이 문제는 VPN 연결이 없는 원격 사용자에게 Integrated Windows authentication을 사용하는 온-프레미스 web application에 대한 보안 single sign-on 액세스를 제공하는 방법을 묻습니다. 이 시나리오의 핵심 Azure AD 기능은 Azure AD를 통해 온-프레미스 application을 외부에 게시하고, enterprise application object를 통해 authentication 및 액세스 관리를 활성화하는 것입니다. 정답인 이유: Azure AD Application Proxy는 인바운드 firewall port 또는 VPN 액세스 없이 온-프레미스 web application을 외부 사용자에게 게시하도록 특별히 설계되었습니다. 이는 온-프레미스에 설치된 connector를 사용하며, 이 connector는 Azure로 아웃바운드 연결을 설정하므로 원격 사용자가 내부 app에 안전하게 접근할 수 있습니다. Integrated Windows authentication을 사용하는 WebApp1과 같은 application의 경우, Application Proxy는 Kerberos Constrained Delegation (KCD)용으로 구성할 수 있으며, 이를 통해 Azure AD에서 온-프레미스 app으로의 single sign-on이 가능합니다. Azure AD enterprise applications도 필요합니다. 게시된 app은 Azure AD에서 enterprise application으로 표시되고 관리되며, 여기서 사용자 할당, SSO 설정 및 액세스 동작을 구성하기 때문입니다. 주요 기능 / 구성: - Azure AD Application Proxy는 VPN 없이 외부 액세스를 위해 내부 web app을 게시합니다. - Application Proxy connector는 온-프레미스에 설치되며 Azure와 아웃바운드로 통신합니다. - Integrated Windows authentication app은 SSO를 위해 Kerberos Constrained Delegation을 사용할 수 있습니다. - Azure AD enterprise applications는 할당, 액세스 제어 및 SSO 구성에 사용되는 application object를 제공합니다. - 사용자는 먼저 Azure AD로 인증한 다음, Azure AD/Application Proxy가 내부 app에 대한 액세스를 중개합니다. 일반적인 오해: - Conditional Access는 누가 app에 액세스할 수 있는지 제어할 수 있지만, 그 자체로 온-프레미스 application을 게시하거나 연결 경로를 제공하지는 않습니다. - Privileged Identity Management는 just-in-time role activation 및 privileged access governance를 위한 것이며, application 게시 또는 내부 web app에 대한 사용자 SSO를 위한 것이 아닙니다. - Azure Application Gateway는 load balancer 및 web traffic management service이지만, VPN 없이 원격 사용자에게 내부 Integrated Windows auth app을 게시하기 위한 Azure AD Application Proxy 패턴을 기본적으로 제공하지는 않습니다. - Azure Arc는 hybrid resource에 Azure management를 확장하지만, 온-프레미스 web application에 대한 원격 SSO 액세스와는 관련이 없습니다. 시험 팁: - 시나리오에 온-프레미스 web app + 원격 사용자 + VPN 없음이 나오면 Azure AD Application Proxy를 떠올리십시오. - app이 Integrated Windows authentication을 사용하는 경우, Application Proxy를 통한 Kerberos Constrained Delegation 지원을 찾으십시오. - Azure AD의 enterprise applications는 SSO, 사용자 할당 및 app 액세스를 구성할 때 일반적으로 관련됩니다. - Conditional Access는 종종 보완적으로 사용되지만, 핵심 게시 솔루션은 아닙니다. - identity/access service와 network/load-balancing service를 구분하십시오.

3
문제 3

참고: 이 문제는 동일한 시나리오를 제시하는 일련의 문제 중 일부입니다. 시리즈의 각 문제에는 제시된 목표를 충족할 수 있는 고유한 솔루션이 포함되어 있습니다. 일부 문제 세트에는 둘 이상의 올바른 솔루션이 있을 수 있지만, 다른 문제 세트에는 올바른 솔루션이 없을 수도 있습니다. 이 섹션의 문제에 답한 후에는 해당 문제로 돌아갈 수 없습니다. 따라서 이러한 문제는 검토 화면에 표시되지 않습니다. Azure subscription에서 stateless web app을 호스팅하기 위한 리소스를 배포해야 합니다. 솔루션은 다음 요구 사항을 충족해야 합니다: ✑ 전체 .NET framework에 대한 액세스를 제공해야 합니다. Azure region에 장애가 발생하는 경우 redundancy를 제공해야 합니다.

✑ 관리자가 custom application dependency를 설치할 수 있도록 operating system에 대한 액세스를 부여해야 합니다. 솔루션: 두 개의 Azure virtual machine을 두 개의 Azure region에 배포하고, Azure Traffic Manager profile을 생성합니다. 이것이 목표를 충족합니까?

파트 1:

기본적으로, HTTPS 트래픽은 NSG outbound security rules에서 허용됩니다.

아니요. 기본적으로 NSG의 outbound security rules에는 기본 제공 rule set인 AllowVnetOutbound, AllowInternetOutbound, 그리고 DenyAllOutbound가 포함됩니다. AllowInternetOutbound는 Internet으로의 outbound 트래픽을 허용하지만, 이것은 명시적인 “HTTPS 허용” rule이 아닙니다. 이는 Internet으로의 모든 outbound protocols/ports를 허용합니다(다른 더 높은 priority의 rules 적용 대상). 또한 많은 시험 문제에서는 “HTTPS 트래픽이 허용된다”는 것을 TCP/443에 대한 명시적 rule이 필요하다는 의미로 해석합니다. 실제로 더 높은 priority의 deny rule을 추가하거나 대상이 “Internet”으로 간주되지 않는 경우(예: service tags, private endpoints)에는 HTTPS가 허용되지 않을 수 있습니다. 따라서 HTTPS가 특정 outbound rule로 기본 허용된다고 말하는 것은 올바르지 않습니다. 기본값은 더 광범위합니다(Internet으로의 모든 outbound 허용) 그리고 override될 수 있습니다.

파트 2:

Azure premises를 on-premises에 연결하려면 VPN Gateway가 필요합니다.

아니요. Azure를 on-premises에 연결하기 위해 VPN Gateway가 반드시 필요한 것은 아닙니다. 여러 연결 패턴이 있습니다: - Site-to-Site VPN은 Azure VPN Gateway를 사용합니다(이 옵션에는 필요). - ExpressRoute는 ExpressRoute circuit와 ExpressRoute virtual network gateway를 통해 private connectivity를 제공합니다(VPN gateway는 아님). - Point-to-Site VPN도 VPN gateway를 사용하지만, 개별 클라이언트를 위한 것입니다. 문장에서 모든 Azure-to-on-premises connectivity에 대해 “VPN Gateway가 필요하다”고 말하고 있으므로, 이는 거짓입니다. AZ-305에서는 요구 사항에 따라 connectivity를 선택해야 합니다: 더 높은 reliability/throughput과 private peering이 필요하면 ExpressRoute, 더 낮은 비용과 빠른 설정이 필요하면 VPN을 선택합니다. 둘 다 “on-premises에 연결” 요구를 충족할 수 있으므로, VPN Gateway가 항상 필요한 것은 아닙니다.

파트 3:

Azure Load Balancer는 inbound 및 outbound 시나리오를 지원합니다.

예. Azure Load Balancer는 inbound 및 outbound 시나리오를 모두 지원합니다. inbound의 경우, load-balancing rules 및 health probes를 사용하여 들어오는 TCP/UDP 트래픽을 backend 인스턴스(VMs/VMSS)로 분산하며, 특정 인스턴스로의 port forwarding을 위한 inbound NAT rules도 제공할 수 있습니다. outbound의 경우, Standard Load Balancer는 outbound rules(그리고 과거에는 implicit SNAT 동작을 통해)로 outbound connectivity를 지원하여, public IP가 없는 인스턴스가 load balancer의 frontend를 통해 Internet으로 연결을 시작할 수 있게 합니다. 이는 일반적인 AZ-305 포인트입니다: Standard Load Balancer는 Layer 4 서비스이며(Application Gateway처럼 HTTP를 인식하지 않음), 대규모 환경에서 inbound 분산과 제어된 outbound SNAT를 모두 관리하는 데 사용할 수 있습니다.

4
문제 4

Basic Azure virtual WAN인 VirtualWAN1과 다음 표에 표시된 virtual hub가 포함된 Azure subscription이 있습니다.

diagram

US East Azure region에 ExpressRoute circuit이 있습니다. VirtualWAN1에 대한 ExpressRoute association을 만들어야 합니다. 가장 먼저 무엇을 해야 합니까?

오답입니다. Virtual WAN 기능 지원은 중요한 고려 사항이지만, WAN SKU 업그레이드는 association 워크플로에서 직접적인 첫 번째 작업이 아닙니다. ExpressRoute circuit을 연결하기 위한 실질적인 필수 조건은 대상 hub에 ExpressRoute gateway가 존재하는 것입니다. 이 시나리오에서 필요한 운영 단계는 Hub1에 gateway를 만드는 것입니다.

정답입니다. ExpressRoute circuit은 virtual hub에 배포된 ExpressRoute gateway를 통해 Azure Virtual WAN에 연결됩니다. circuit이 US East region에 있으므로 Hub1이 연결에 적합한 hub입니다. Hub1에 gateway를 만들지 않으면 ExpressRoute association을 완료할 수 있는 hub 측 리소스가 없습니다.

오답입니다. ExpressRoute Premium은 circuit의 route 제한과 연결 범위를 확장하는 선택적 add-on입니다. 이는 virtual hub에 ExpressRoute gateway를 배포하지 않으며, 그 자체로 VirtualWAN1에 대한 association을 활성화하지도 않습니다. 따라서 여기서 필요한 첫 번째 단계가 아닙니다.

오답입니다. Azure Virtual WAN은 ExpressRoute 연결에 고객이 만드는 hub virtual network가 아니라 관리형 virtual hub를 사용합니다. 환경에는 이미 virtual hub인 Hub1과 Hub2가 있으며, Hub1은 올바른 region에 있습니다. 별도의 hub virtual network를 만들어도 ExpressRoute association을 설정하는 데 도움이 되지 않습니다.

문제 분석

핵심 개념: 이 문제는 ExpressRoute circuit을 Azure Virtual WAN virtual hub와 연결하기 위한 필수 조건을 테스트합니다. ExpressRoute circuit은 해당 hub에 배포된 ExpressRoute gateway를 통해 virtual hub에 연결되며, hub는 circuit에 적절한 region에 있어야 합니다. 정답인 이유: ExpressRoute circuit이 US East에 있고 Hub1도 US East에 있으므로, 필요한 첫 번째 작업은 Hub1에 ExpressRoute gateway를 만드는 것입니다. 연결을 종료하는 gateway 리소스가 hub에 배포되기 전까지는 association을 만들 수 없습니다. 주요 특징: - Virtual WAN의 ExpressRoute association은 ExpressRoute gateway를 통해 virtual hub에 연결됩니다. - Region 일치가 중요합니다. circuit이 US East에 있으므로 Hub1이 올바른 hub입니다. - Virtual WAN hub는 Microsoft 관리형 구조이므로, 이 시나리오에서는 별도의 hub VNet을 만들지 않습니다. 흔한 오해: - 기능 업그레이드나 add-on 활성화 자체가 association 단계는 아닙니다. 운영상 필수 조건은 hub의 gateway입니다. - ExpressRoute Premium은 circuit 기능을 확장하지만, association에 필요한 hub 측 gateway를 만들지는 않습니다. - hub virtual network는 Azure Virtual WAN 관리형 hub 아키텍처가 아니라 전통적인 hub-and-spoke 설계의 일부입니다. 시험 팁: 문제에서 ExpressRoute를 Virtual WAN에 연결하기 위해 가장 먼저 무엇을 해야 하는지 묻는다면, 올바른 virtual hub와 region에 ExpressRoute gateway를 배포하는 선택지를 찾으십시오. Virtual WAN hub와 일반 VNet을 구분하고, circuit add-on이 hub gateway 배포를 대체하지 않는다는 점을 기억하십시오.

5
문제 5

App1 및 App2라는 두 개의 애플리케이션이 포함된 Azure subscription이 있습니다. App1은 판매 처리 애플리케이션입니다. App1의 트랜잭션에 배송이 필요한 경우, Azure Storage account queue에 메시지가 추가되고, 이후 App2가 관련 트랜잭션을 위해 queue를 수신합니다. 향후에는 트랜잭션의 특정 세부 정보에 따라 일부 배송 요청을 처리할 추가 애플리케이션이 추가될 예정입니다. 각 추가 애플리케이션이 관련 트랜잭션을 읽을 수 있도록 storage account queue를 대체할 항목을 권장해야 합니다. 무엇을 권장해야 합니까?

Azure Data Factory는 ETL/ELT 및 데이터 통합 서비스이지 실시간 메시징 broker가 아닙니다. ADF는 데이터 이동 및 변환을 오케스트레이션할 수 있지만, 여러 애플리케이션에 대한 저지연 이벤트 배포용으로 설계되지 않았고, transactional processing을 위한 pub-sub semantics, message lock, dead-letter queue 또는 subscription filtering도 제공하지 않습니다.

여러 storage account queue는 App1(또는 중간 구성 요소)이 각 메시지를 올바른 queue에 복제하는 경우에만 작동할 수 있습니다. 이는 강한 결합을 만들고 사용자 지정 fan-out 및 라우팅 로직을 요구하여 복잡성과 운영 위험을 증가시킵니다. 또한 Storage queue는 Service Bus와 비교해 subscription filter, dead-lettering, session 및 더 풍부한 delivery guarantee와 같은 고급 기능이 부족합니다.

하나의 Azure Service Bus queue는 consumer 경쟁이 있는 point-to-point 패턴입니다. App2와 미래의 앱이 모두 동일한 queue에서 읽는다면, 각 메시지는 모든 관련 receiver가 아니라 오직 하나의 receiver에 의해 소비됩니다. 메시지를 전달하는 사용자 지정 로직을 추가할 수는 있지만, 그러면 다시 복잡성이 증가하고 각 추가 애플리케이션이 관련 트랜잭션을 읽을 수 있어야 한다는 요구 사항을 충족하지 못합니다.

하나의 Azure Service Bus topic은 publish/subscribe 메시징을 제공합니다. App1은 배송 요청을 topic에 게시하고, 각 처리 애플리케이션은 자체 subscription을 생성합니다. Subscription은 SQL/correlation filter를 사용하여 메시지 속성에 따라 관련 트랜잭션만 받을 수 있습니다. 각 subscription은 메시지의 자체 복사본을 받으므로 여러 애플리케이션이 동일한 요청을 엔터프라이즈 메시징 기능과 함께 독립적으로 처리할 수 있습니다.

문제 분석

핵심 개념: 이 문제는 분리된 애플리케이션을 위한 메시징 패턴, 특히 point-to-point queue와 Azure Service Bus를 사용하는 publish/subscribe (pub-sub)의 차이를 테스트합니다. Azure Storage queue는 단순하고 비용 효율적이지만 고급 라우팅 및 다중 consumer 패턴에서는 제한이 있습니다. 정답인 이유: 여러 미래 애플리케이션이 자신과 관련된 트랜잭션만 읽을 수 있도록 하는 대체 방안이 필요합니다. 하나의 Azure Service Bus topic은 pub-sub를 가능하게 합니다. 즉, App1이 각 배송 요청을 topic에 메시지로 게시하고, 각 다운스트림 애플리케이션이 자체 subscription을 생성합니다. 각 subscription은 메시지 스트림의 자체 복사본을 받으므로, 여러 앱이 단일 queue에서 consumer 경쟁으로 메시지가 제거되는 일 없이 동일한 배송 요청을 독립적으로 처리할 수 있습니다. 주요 기능 및 모범 사례: Service Bus topic은 SQL filter 및 correlation filter를 사용하는 subscription을 지원하여 트랜잭션 세부 정보(예: 지역, 배송 방법, 우선순위, 고객 등급)에 따라 라우팅할 수 있습니다. 이는 추가 애플리케이션이 특정 세부 정보에 따라 “일부” 요청을 처리한다는 요구 사항과 일치합니다. Topic은 또한 dead-lettering, duplicate detection, session (정렬/그룹화), scheduled delivery, at-least-once delivery semantics와 같은 엔터프라이즈 메시징 기능을 제공합니다. Azure Well-Architected Framework 관점에서 topic은 reliability (DLQ, 재시도), operational excellence (subscription을 통한 명확한 분리), performance efficiency (filtering으로 불필요한 처리 감소)를 향상시킵니다. 일반적인 오해: Service Bus queue (단일 queue)는 여전히 consumer 경쟁을 사용하므로 하나의 메시지는 하나의 receiver만 받습니다. 따라서 여러 애플리케이션이 각각 동일한 트랜잭션을 읽도록 자연스럽게 지원하지 않습니다. 여러 storage queue는 메시지를 복제하여 사용할 수 있지만, 그러면 fan-out 및 라우팅 로직을 App1(또는 다른 구성 요소)에 넣어야 하므로 결합도와 복잡성이 증가합니다. 시험 팁: 요구 사항이 “여러 독립적인 consumer가 각각 복사본을 받아야 한다”를 의미하면 Service Bus topic을 떠올리십시오. “각 메시지를 오직 하나의 consumer만 처리해야 한다”를 의미하면 queue를 떠올리십시오. 메시지 속성에 따른 라우팅이 언급되면, topics + subscriptions + filters가 Azure의 대표적인 설계입니다.

이동 중에도 모든 문제를 풀고 싶으신가요?

Cloud Pass를 다운로드하세요 — 모의고사, 학습 진도 추적 등을 제공합니다.

6
문제 6

HOTSPOT - 다음 그림에 표시된 backup policy를 배포할 계획입니다.

그림에 제시된 정보를 기반으로 각 문장을 완성하는 정답을 선택하려면 드롭다운 메뉴를 사용하세요. 참고: 각 정답 선택에는 1점이 부여됩니다. Hot Area:

파트 1:

아래 이미지에서 정답을 선택하세요.

question-image

하위 질문 2008에는 답변 가능한 certification 항목이 포함되어 있지 않습니다. 제공된 옵션('Pass'/'Fail')은 보기의 Azure Backup policy와 관련이 없으며 유효한 hotspot 선택에 해당하지 않습니다. 실제 hotspot 프롬프트가 누락되었고 이미지에는 backup policy 구성만 표시되어 있으므로, 이 하위 질문의 정답을 판단하기에 충분한 컨텍스트가 없습니다.

파트 2:

정책을 사용하여 백업된 Virtual machines는 최대 ______까지 복구할 수 있습니다:

최대 복구 기간은 daily + weekly + monthly를 합산하여 결정되는 것이 아니라, 활성화된 보존 범위 중 가장 긴 보존 기간에 의해 결정됩니다. 정책에서: - Daily recovery points는 90일 동안 보존됩니다. - Weekly recovery points는 26주 동안 보존됩니다. - Monthly recovery points는 36개월 동안 보존됩니다. - Yearly retention은 구성되지 않았습니다. Monthly retention이 36개월로 활성화되어 있으므로, 최대 36개월 전의 recovery point로 복구할 수 있습니다(해당 기간에 대한 monthly recovery point가 있는 경우). 90일 및 26주 설정은 더 최근 기간에 대해 추가 restore points를 제공하지만, 가장 긴 계층을 넘어 최대 기간을 확장하지는 않습니다. 다른 선택지가 틀린 이유: - 90일과 26주는 36개월보다 더 짧습니다. - 45개월은 어디에도 구성되어 있지 않습니다. 이러한 보존 기간은 서로 겹치고 서로 다른 granularity tiers를 나타내며 누적 시간이 아니므로, 36개월 + 26주 + 90일로 더할 수 없습니다.

파트 3:

policy를 사용하여 백업되는 virtual machines의 최소 recovery point objective (RPO)는 ______입니다:

Recovery Point Objective (RPO)는 시간으로 측정되는 허용 가능한 최대 데이터 손실량이며, Azure VM backups의 경우 이는 주로 백업이 수행되는 빈도(backup schedule frequency)에 의해 결정됩니다. policy는 다음을 보여줍니다: - Frequency: Daily - Time: 오후 6:00 (UTC) 이는 Azure Backup이 하루에 하나의 예약된 recovery point를 생성한다는 의미입니다. 따라서 이 policy로 달성할 수 있는 최소(최상의 경우) RPO는 1일입니다. 왜냐하면 최악의 경우 백업 사이의 변경 사항이 거의 24시간까지 손실될 수 있기 때문입니다. 다른 선택지가 틀린 이유: - 1시간은 daily schedule로는 달성할 수 없습니다(더 빈번한 백업이 필요함). - 1주, 1개월, 1년은 여기서 backup frequency가 아니라 retention/granularity 개념입니다. Weekly/monthly retention은 특정 recovery points를 얼마나 오래 보관하는지를 제어할 뿐, 얼마나 자주 생성되는지를 제어하지 않습니다. - Instant Restore (3일)는 restore 속도/위치에 영향을 주는 것이지 backup frequency에 영향을 주는 것이 아니므로, RPO를 daily보다 더 낮추지 않습니다.

7
문제 7

Azure virtual machine에서 SQL Server를 사용하고 있습니다. 데이터베이스는 batch process의 일부로 매일 밤 기록됩니다. 데이터에 대한 disaster recovery 솔루션을 권장해야 합니다. 솔루션은 다음 요구 사항을 충족해야 합니다: ✑ regional outage 발생 시 복구할 수 있는 기능 제공. ✑ 15분의 recovery time objective (RTO) 지원. ✑ 24시간의 recovery point objective (RPO) 지원. ✑ automated recovery 지원. ✑ 비용 최소화. 권장 사항에 무엇을 포함해야 합니까?

Azure virtual machine availability sets는 VM을 fault domain 및 update domain에 분산하여 단일 Azure region 내의 host 및 rack 장애로부터 보호합니다. 그러나 cross-region replication 또는 regional outage 중 복구는 제공하지 않습니다. 따라서 regional outage로부터 복구해야 하는 요구 사항을 충족할 수 없으며, 다른 region으로의 automated DR failover도 제공하지 않습니다.

Azure Disk Backup(또는 disk/VM용 Azure Backup)은 point-in-time restore 기능을 제공하고 cross-region restore 옵션을 지원할 수 있지만, 이는 주로 backup/restore 솔루션이지 automated DR failover 솔루션이 아닙니다. disk/VM 복원 및 networking/app dependency 재구성에는 일반적으로 더 오랜 시간이 걸리고 ASR과 같은 orchestration된 automated failover가 아니므로, 15분 RTO 충족 가능성은 낮습니다.

Always On availability group은 낮은 RPO/RTO와 automatic failover를 갖춘 cross-region DR을 제공할 수 있습니다(적절한 구성, quorum/witness, synchronous/asynchronous replica 필요). 그러나 일반적으로 다른 region에서 실행 중인 보조 SQL Server VM(추가 라이선스/compute/storage 포함)이 필요하므로 비용이 증가합니다. 완화된 RPO(24시간)와 비용 최소화 요구 사항을 고려하면, 이는 일반적으로 ASR에 비해 과도한 솔루션입니다.

Azure Site Recovery는 Azure VM을 보조 region으로 복제하고 Recovery Plans를 사용하여 automated failover/failback을 orchestration합니다. 이는 regional outage 시나리오를 위해 설계되었으며, 적절한 계획과 테스트를 통해 많은 VM workload에서 15분 RTO를 충족할 수 있습니다. 또한 보조 region에서 SQL compute를 지속적으로 실행할 필요가 없으므로 비용을 최소화합니다. 일반적으로 failover 전까지는 replication 및 storage 비용만 주로 지불합니다.

문제 분석

핵심 개념: 이 문제는 Azure VM에서 실행되는 SQL Server workload에 대한 disaster recovery (DR) 설계를 평가하며, regional resiliency, RTO/RPO 목표, automation, 비용 최적화에 중점을 둡니다. VM 기반 workload의 경우 Azure Site Recovery (ASR)는 Azure의 주요 DR orchestration 서비스입니다. 정답인 이유: Azure Site Recovery는 Azure VM(OS 및 data disk 포함)을 보조 Azure region으로 복제하고 automated failover/failback orchestration을 제공합니다. 이는 “regional outage 발생 시 복구” 및 “automated recovery 지원” 요구 사항을 직접 충족합니다. 15분의 RTO는 많은 VM workload에서 ASR로 달성 가능하며, failover가 orchestration된 작업이기 때문입니다(replicated VM 부팅, networking 적용, recovery plan 실행). RPO 요구 사항은 24시간으로 비교적 완화되어 있습니다. ASR은 일반적으로 churn 및 replication 설정에 따라 훨씬 더 낮은 RPO(대개 몇 분)를 지원하므로, 24시간 충족은 제약이 되지 않습니다. 비용 측면에서도 database 수준 HA/DR 솔루션보다 최소화됩니다. ASR은 상시 실행되는 보조 SQL Server instance를 피할 수 있기 때문입니다. ASR과 storage/replication 비용을 지불하며, 대상 region의 compute는 주로 테스트 또는 실제 failover 시에만 발생합니다. 주요 기능 / 구성 참고 사항: - SQL VM에 대해 paired/secondary region으로 ASR replication을 활성화하고, 적절한 replication policy 및 대상 storage를 선택합니다. - Recovery Plans를 사용하여 순서를 automation합니다(예: SQL보다 먼저 domain controller/app tier) 그리고 failover 후 작업을 위한 script를 실행합니다. - 정기적인 DR drill(test failover)로 RTO를 검증하고, dependency(DNS, connection string, networking)가 포함되도록 합니다. - Azure Well-Architected Framework (Reliability)에 맞춥니다: regional failure에 대비해 설계하고, recovery를 automation하며, 정기적으로 테스트합니다. 일반적인 오해: - Availability sets는 region 내에서의 가용성을 향상시키지만, regional DR은 제공하지 않습니다. - Disk Backup/VM backup은 restore 기능은 제공하지만, 15분 RTO를 갖는 빠르고 automated된 regional failover는 제공하지 않습니다. - Always On availability groups는 RTO/RPO를 충족할 수 있지만, 일반적으로 보조 SQL instance를 실행하고 라이선스를 부여해야 하므로(더 높은 비용) 구성이 더 복잡합니다. 시험 팁: 요구 사항에 “regional outage” + “automated recovery” + VM 기반 workload가 포함되면, ASR이 일반적으로 가장 적합합니다. SQL Always On은 active secondary replica와 함께 거의 0에 가까운 RPO와 매우 낮은 RTO가 필요할 때 database 수준 HA/DR에 사용하지만, 더 높은 비용과 운영 복잡성을 예상해야 합니다.

8
문제 8

HOTSPOT - Azure App Service web app을 설계하고 있습니다. web app을 North Europe Azure region과 West Europe Azure region에 배포할 계획입니다. web app에 대한 솔루션을 권장해야 합니다. 솔루션은 다음 요구 사항을 충족해야 합니다. ✑ 사용자는 region에 장애가 발생하지 않는 한 항상 North Europe region에서 web app에 액세스해야 합니다. ✑ Azure region을 사용할 수 없는 경우에도 사용자는 web app을 사용할 수 있어야 합니다. ✑ 배포 비용은 최소화되어야 합니다. 권장 사항에 무엇을 포함해야 합니까? 답하려면 답안 영역에서 적절한 옵션을 선택하세요. 참고: 각 정답 선택에는 1점이 부여됩니다. Hot Area:

파트 1:

요청 라우팅 방법: ______

정답: Traffic Manager 프로필. Azure Traffic Manager는 엔드포인트(예: North Europe 및 West Europe의 두 App Service 앱) 전반에 걸쳐 전역 DNS 기반 라우팅을 제공합니다. 엔드포인트 상태를 지속적으로 프로브하며, 사용자를 기본 지역으로 보내고 기본 지역을 사용할 수 없게 되면 자동으로 장애 조치할 수 있습니다. 이는 사용자가 해당 지역에 장애가 발생하지 않는 한 항상 North Europe에 액세스해야 한다는 요구 사항을 직접적으로 충족하며, 지역 가용성을 제공합니다. Azure Application Gateway(B)가 아닌 이유: Application Gateway는 지역별 Layer 7 load balancer입니다. 두 지역을 포괄하려면 일반적으로 지역마다 하나씩 배포한 다음, 여전히 지역 간 선택을 위한 전역 라우팅 메커니즘(보통 Traffic Manager 또는 Front Door)이 필요합니다. 이는 요구 사항을 충족하는 데 필요한 것보다 더 많은 비용과 복잡성을 추가합니다. Azure Load Balancer(C)가 아닌 이유: Azure Load Balancer는 지역별 Layer 4이며 App Service 엔드포인트에 대해 지역 간 DNS 기반 장애 조치를 제공할 수 없습니다. 전역/지역 장애 조치 라우팅에 적합한 도구가 아닙니다.

파트 2:

요청 라우팅 구성: ______

정답: Priority 트래픽 라우팅. Traffic Manager의 Priority 라우팅은 active/passive 설계를 위해 특별히 사용됩니다. North Europe endpoint를 가장 높은 우선순위(가장 낮은 priority number)로 구성하고, West Europe endpoint를 그다음 우선순위로 구성합니다. Traffic Manager는 North Europe이 정상 상태인 동안 모든 사용자를 North Europe으로 보내고, North Europe이 health probe에 실패할 때만 West Europe으로 라우팅합니다. Performance 라우팅(B)이 아닌 이유: Performance 라우팅은 각 사용자에게 가장 낮은 network latency를 가진 endpoint를 선택하므로, North Europe이 정상이어도 일부 사용자를 West Europe으로 보낼 수 있어 요구 사항을 위반합니다. Weighted 라우팅(D)이 아닌 이유: Weighted 라우팅은 가중치에 따라 endpoint 간에 트래픽을 분산(active/active)하므로, 정상 운영 중에도 일부 트래픽을 West Europe으로 보내게 됩니다. Cookie 기반 session affinity(A)가 아닌 이유: 이것은 sticky session을 위한 Application Gateway 기능이지 Traffic Manager 라우팅 방식이 아니며, regional failover 선호를 해결하지도 않습니다.

9
문제 9

Azure subscription에 storage account가 포함되어 있습니다. 애플리케이션이 때때로 storage account에 중복 파일을 씁니다. storage account에서 중복 파일을 식별하고 삭제하는 PowerShell 스크립트가 있습니다. 현재 이 스크립트는 operations manager의 승인을 받은 후 수동으로 실행됩니다. 다음 작업을 수행하는 serverless 솔루션을 권장해야 합니다: ✑ 중복 파일이 존재하는지 식별하기 위해 스크립트를 한 시간에 한 번 실행 ✑ 중복 파일 삭제 승인을 요청하는 이메일 알림을 operations manager에게 전송 ✑ 삭제가 승인되었는지 여부를 지정하는 operations manager의 이메일 응답 처리 ✑ 삭제가 승인된 경우 스크립트 실행 권장 사항에 무엇을 포함해야 합니까?

Azure Logic Apps는 일정 실행과 이메일/승인 워크플로를 처리할 수 있지만, Event Grid는 주로 event routing(pub/sub)을 위한 것이며 PowerShell 스크립트를 실행하지 않습니다. 삭제 로직을 실행하려면 여전히 Azure Functions와 같은 compute 서비스가 필요합니다. 또한 Event Grid는 기본적인 “승인 응답 대기” 기능을 제공하지 않으며, 이는 Logic Apps의 워크플로 기능입니다.

Logic Apps는 매시간 Recurrence trigger를 제공하고, 승인 이메일을 보내며, 기본 제공 승인 actions/connectors를 사용하여 승인 응답을 기다리고 처리할 수 있습니다. Azure Functions는 PowerShell 기반 중복 감지/삭제 로직을 실행하는 serverless compute를 제공합니다(대개 Logic Apps에서 호출되는 HTTP-triggered function을 통해). 이것이 “워크플로 + 사용자 지정 스크립트 실행”을 위한 가장 직접적인 serverless 패턴입니다.

Azure Pipelines는 CI/CD 자동화를 위한 것이지, 사람의 이메일 승인과 런타임 오케스트레이션이 포함된 매시간 운영 워크플로를 위한 것이 아닙니다. Service Fabric은 클러스터 관리가 필요한 microservices 플랫폼이며 serverless가 아닙니다. 이 옵션은 serverless 솔루션 요구 사항을 위반하며 불필요한 운영 오버헤드와 복잡성을 추가합니다.

Azure Functions는 코드를 실행할 수 있고, Azure Batch는 대규모 병렬/배치 compute 작업을 위한 것이지 이메일을 통한 사람의 승인을 오케스트레이션하기 위한 것이 아닙니다. 승인 요청을 보내고 응답을 기다리려면 여전히 Logic Apps와 같은 워크플로 엔진이 필요합니다. 또한 Batch는 일반적으로 같은 방식의 serverless로 간주되지 않으며, 매시간 중복 파일 정리 작업에는 과도한 선택입니다.

문제 분석

핵심 개념: 이 시나리오는 일정 실행, 사람의 승인, 이메일 상호 작용, 그리고 PowerShell 기반 정리 프로세스의 조건부 실행을 포함하는 serverless 오케스트레이션 및 자동화 접근 방식을 선택하는지를 평가합니다. Azure에서 가장 일반적인 패턴은 워크플로/오케스트레이션(승인 및 이메일 커넥터 포함)에 Azure Logic Apps를 사용하고, 사용자 지정 코드/스크립트 실행에 Azure Functions를 사용하는 것입니다. 정답인 이유: Azure Logic Apps는 일정에 따라(Recurrence trigger) 한 시간에 한 번 실행되고, operations manager에게 승인 요청을 보내며(기본 제공 Approvals connector 또는 Outlook/SMTP connectors), 이후 응답을 기다리고 처리할 수 있습니다("Start and wait for an approval" action). 승인 결과에 따라 Logic Apps는 중복 파일 삭제 로직을 실행하기 위해 Azure Function(HTTP action)을 조건부로 호출할 수 있습니다. Azure Functions는 사용자 지정 PowerShell(PowerShell 기반 Function)을 실행하거나 기존 스크립트를 최소한의 리팩터링으로 래핑하는 데 적합한 serverless compute 구성 요소입니다. 이 조합은 워크플로(Logic Apps)와 compute(Functions)를 깔끔하게 분리하며, Azure Well-Architected Framework 원칙인 operational excellence(반복 가능한 자동화), reliability(재시도가 포함된 관리형 서비스), cost optimization(사용량 기반 serverless)에 부합합니다. 주요 기능 및 구성 참고 사항: - Logic Apps: Recurrence trigger(매시간), 이메일/Approvals connector, 조건부 분기, 기본 제공 retry policies, 감사용 run history. - Human-in-the-loop: Approvals action은 사용자가 상태를 직접 관리하지 않아도 durable wait state를 제공합니다. - Azure Functions: PowerShell runtime 지원, storage account에 안전하게 액세스하기 위한 managed identity 사용(비밀 정보 사용 방지), HTTP trigger를 통한 통합. - Storage 액세스: Function의 managed identity에 RBAC(예: Storage Blob Data Contributor)를 사용합니다. 일반적인 오해: Event Grid는 event-driven이며, 그 자체로는 “사람의 이메일 승인 대기” 패턴을 위해 설계되지 않았습니다. 또한 스크립트를 실행하지도 않습니다. Azure Pipelines/Service Fabric 및 Functions/Batch는 더 무겁고, 이메일 승인 및 워크플로 오케스트레이션에 초점이 맞춰져 있지 않습니다. 시험 팁: “일정 실행 + 승인 이메일 + 응답 대기 + 조건부 실행”이 보이면 오케스트레이션에는 Logic Apps를 떠올리십시오. “serverlessly 스크립트/코드 실행”이 보이면 Azure Functions를 떠올리십시오. 사람의 승인 게이트가 포함된 end-to-end serverless 자동화를 위해 둘을 함께 사용하십시오.

10
문제 10

HOTSPOT - 귀사의 회사는 사내에서 개발된 20개의 web API를 보유하고 있습니다. 회사는 web API를 사용할 10개의 web app을 개발하고 있습니다. web app과 API는 회사의 Azure Active Directory (Azure AD) tenant에 등록되어 있습니다. web API는 Azure API Management를 사용하여 게시됩니다. web app에서 발생하는 권한 없는 요청이 web API에 도달하지 못하도록 차단하는 솔루션을 권장해야 합니다. 이 솔루션은 다음 요구 사항을 충족해야 합니다. ✑ Azure AD에서 생성된 claim을 사용합니다. 구성 및 관리 작업을 최소화합니다.

권장 사항에 무엇을 포함해야 합니까? 답하려면 답안 영역에서 적절한 옵션을 선택하세요. 참고: 각 정답 선택에는 1점이 부여됩니다. Hot Area:

파트 1:

아래 이미지에서 정답을 선택하세요.

question-image

정답이 적절합니다. 올바른 설계는 일반적인 AZ-305 identity + API protection 패턴이기 때문입니다. 즉, Azure AD에서 authorize하고 API Management에서 JWT validation을 사용해 적용합니다. 요구 사항에는 Azure AD에서 생성된 claims를 사용하고 configuration/management를 최소화해야 한다고 명시되어 있습니다. 이는 20개의 각 API 내부에 authorization을 구현하는 방식(더 많은 노력 필요)보다는 APIM policies에서 중앙 집중식으로 적용하는 방식을 가리킵니다. 따라서 솔루션은 다음과 같습니다. 웹 앱이 API를 호출할 수 있도록 Azure AD permissions(scopes/app roles)을 구성하고, APIM이 JWT와 필요한 claims를 validate하도록 구성합니다. 이렇게 하면 unauthorized requests가 API에 도달하기 전에 gateway에서 차단됩니다.

파트 2:

웹 앱이 웹 API에 액세스할 수 있도록 권한을 부여하려면 다음을 사용합니다: ______

웹 앱이 웹 API에 액세스할 수 있도록 권한을 부여하는 작업은 Azure AD (Microsoft Entra ID)에서 app registrations를 통해 수행됩니다. 방법은 다음 중 하나입니다: - API app registration에서 API를 노출하고(OAuth2 scopes 정의) 웹 앱에 delegated/application permissions를 부여하거나, - API에 app roles를 정의하고 이를 호출하는 웹 앱/service principal에 할당합니다. 이곳이 consent 및 permission grants가 관리되는 권한 있는 위치이며, Azure AD가 관련 claims(예: scopes의 경우 scp, app roles의 경우 roles)를 포함하는 tokens를 발급하는 곳입니다. 왜 APIM이 아닌가요? APIM은 tokens를 적용할 수는 있지만 Azure AD permissions를 정의하거나 부여하지는 않으며, Azure AD와 통합됩니다. 왜 “웹 API”가 아닌가요? 각 API에 직접 permissions를 구현하면 관리 노력이 증가하고 Azure AD가 발급한 tokens에 대한 중앙 권한 부여 메커니즘이 되지 않습니다.

파트 3:

다음을 사용하여 JSON Web Token (JWT) 유효성 검사 정책을 구성합니다: ______

Azure API Management에서 JWT 유효성 검사를 구성합니다. APIM은 다음을 검증하기 위한 기본 제공 validate-jwt 정책을 제공합니다: - Token signature (Azure AD OpenID metadata 사용) - Issuer (iss) - Audience (aud) - Token lifetime - scopes (scp) 또는 roles (roles)와 같은 필수 claims 이는 APIM이 gateway 계층에서 유효하지 않거나 권한이 없는 호출을 거부하기 때문에 “권한이 없는 요청이 웹 APIs에 도달하지 못하도록 차단” 요구 사항을 직접 충족합니다. 왜 Azure AD가 아닌가요? Azure AD는 tokens를 발급하고 권한을 정의하지만, 모든 API 요청을 검증하기 위해 inline으로 위치하지는 않습니다. resource server/gateway가 JWT를 검증해야 합니다. 왜 “웹 APIs”가 아닌가요? 각 API에서 JWT를 검증할 수는 있지만, 그렇게 하면 20개의 APIs 전반에 걸쳐 구성과 지속적인 관리가 증가하여 노력을 최소화해야 한다는 요구 사항을 위반합니다. APIM에서 중앙 집중화하는 것이 의도된 설계입니다.

다른 모의고사

Practice Test #1

50 문제·100분·합격 700/1000

Practice Test #3

50 문제·100분·합격 700/1000

Practice Test #4

50 문제·100분·합격 700/1000
← 모든 Microsoft AZ-305 문제 보기

지금 학습 시작하기

Cloud Pass를 다운로드하고 모든 Microsoft AZ-305 기출 문제를 풀어보세요.

Get it on Google PlayDownload on the App Store
Cloud PassCloud Pass

IT 자격증 문제풀이 앱

Get it on Google PlayDownload on the App Store

자격증

AWSGCPMicrosoftCiscoCompTIADatabricks

법률

FAQ개인정보 처리방침서비스 약관

회사

문의하기계정 삭제

© Copyright 2026 Cloud Pass, All rights reserved.

이동 중에도 모든 문제를 풀고 싶으신가요?

앱 받기

Cloud Pass를 다운로드하세요 — 모의고사, 학습 진도 추적 등을 제공합니다.