Azure 104 연습 문제 16

---

문제 111번

문제: contoso.com이라는 회사의 Azure Active Directory에 여러 사용자가 있어요.

표를 보면 사용자들의 종류(멤버/게스트)와 그룹 가입 정보가 나와요.

사용자 3은 그룹 1의 소유자이고, 그룹 2는 그룹 1의 멤버예요. '검토 1'이라는 접근 검토를 설정했는데,

게스트 사용자만 검토하도록 되어 있어요. 다음 설명들이 맞는지/틀린지 맞춰보세요.

사용자	유형	그룹 구성원
user 1	member	group one
user 2	guest	group one
user 3	member	(없음)
user A	member	group two
user B	guest	group two

보기:

A. 사용자 3은 사용자 1의 접근 검토를 할 수 있다.

B. 사용자 3은 사용자 A의 접근 검토를 할 수 있다.

C. 사용자 3은 사용자 B의 접근 검토를 할 수 있다.

 

 

답: A. 아니오 B. 아니오 C. 예

해설:

• A: 사용자 1은 멤버이기 때문에, 게스트 사용자만 검토하는 '검토 1'의 대상이 아니에요. 따라서 그룹 1의 소유자인 사용자 3도 사용자 1을 검토할 수 없어요. 마치 우리 반 친구(멤버)는 옆 반 선생님(사용자 3)이 함부로 평가할 수 없는 것과 같아요.
• B: 사용자 A도 멤버이기 때문에, '검토 1'의 대상이 아니에요. 따라서 사용자 3은 사용자 A를 검토할 수 없어요.
• C: 사용자 B는 게스트이기 때문에, '검토 1'의 검토 대상이 맞아요. 그리고 사용자 3은 그룹 1의 소유자이기 때문에, 그룹 1에 속한 그룹 2의 멤버인 게스트 사용자 B를 검토할 수 있어요. 마치 우리 동아리(그룹 1) 회장님(사용자 3)이 우리 동아리에 임시로 놀러온 친구(게스트 사용자 B)의 활동을 살펴볼 수 있는 것과 같아요.

---

문제 112번

문제: Azure 저장소 계정을 만들고 10개의 '블록 컨테이너'를 만들려고 해요.

그 중 하나의 컨테이너는 다른 키를 사용해서 데이터를 암호화하고 싶어요.

컨테이너를 만들기 전에 무엇을 해야 할까요?

보기:

A. SAS(Shared Access Signature) 생성

B. 최소 TLS 버전 수정

C. 접근 키 로테이트

D. 암호화 범위(Encryption Scope) 생성

답: D

해설: 특정 컨테이너만 다른 암호화 키를 사용하려면 암호화 범위를 만들어야 해요.

암호화 범위는 특정 컨테이너나 데이터 덩어리(블롭)에만 적용되는 암호화 설정을 말해요.

마치 여러 개의 방이 있는 금고에서, 특정 방만 다른 비밀번호로 잠그고 싶을 때 그 방에만 새로운 비밀번호를 설정하는 것과 같아요.

 

---

문제 113번

문제:

Koso cloud.onmicrosoft.com이라는 Azure Active Directory를 가지고 있는 회사가

contoso.com이라는 인터넷 주소(DNS 존)도 가지고 있어요.

이 contoso.com을 Azure AD에 사용자 지정 도메인 이름으로 추가하려고 하는데,

Azure가 이 도메인 이름을 확인하도록 하려면 어떤 종류의 DNS 레코드를 만들어야 할까요?

보기:

A. MX

B. NS

C. PTR

D. SRV

 

 

 

답: A

해설:

Azure가 사용자 지정 도메인 이름을 확인하려면

MX (Mail Exchanger) 레코드 또는 TXT 레코드를 DNS에 등록해야 해요.

MX 레코드는 이메일 서버를 지정하는 데 주로 사용되지만, 도메인 소유권을 확인하는 용도로도 쓰일 수 있어요.

TXT 레코드는 텍스트 정보를 담는 레코드로, 도메인 소유권 확인에 더 일반적으로 사용돼요.

이 문제에서는 보기 중에 MX 레코드만 제시되었네요.

마치 우리 집 주소(contoso.com)가 진짜 우리 집인지 우편국(Azure)에 확인받기 위해, 우리 집 우편함(DNS)에 특별한 표지판(MX 또는 TXT 레코드)을 붙이는 것과 같아요.

 

---

문제 114 번

문제:

Azure 구독을 사용하는 회사에서 직원들이 집이나 고객사에서 Azure 리소스에 접근해요.

집에서는 Point-to-Site VPN을 사용하고, 고객사에서는 Site-to-Site VPN을 사용해요.

'앱 원'이라는 프로그램이 여러 Azure 가상 머신에서 실행되는데,

이 앱에 대한 연결이 모든 가상 머신에 골고루 분산되도록 하려면 어떤 Azure 서비스를 두 가지 사용해야 할까요?

보기:

A. 내부 부하 분산 장치 (Internal Load Balancer)

B. 공용 부하 분산 장치 (Public Load Balancer)

C. Azure CDN (Content Delivery Network)

D. Traffic Manager

E. Azure Application Gateway

 

 

답: A, E

해설:

• 내부 부하 분산 장치 (Internal Load Balancer): 내부 네트워크 안에서 트래픽을 여러 가상 머신에 분산시켜 줘요. 집이나 고객사에서 VPN을 통해 Azure 네트워크에 연결하는 것은 내부 네트워크와 비슷하게 취급되기 때문에, 내부 부하 분산 장치가 필요해요. 마치 회사 안에서 여러 대의 컴퓨터가 하나의 프린터를 공유할 때, 어떤 컴퓨터가 프린트 요청을 보내든 프린터들이 알아서 일을 나누어 처리하는 것과 같아요.
• Azure Application Gateway: 웹 애플리케이션 트래픽을 관리하고 보안 기능도 제공하는 똑똑한 부하 분산 장치예요. HTTP/HTTPS 트래픽을 기반으로 더 섬세하게 트래픽을 분산할 수 있고, 보안 기능도 강화할 수 있어서 '앱 원'과 같은 웹 기반 애플리케이션에 적합해요.

공용 부하 분산 장치는 외부 인터넷 트래픽을 분산시키는 데 사용되고,

CDN은 콘텐츠를 더 빠르게 제공하기 위해 사용되며,

Traffic Manager는 DNS 기반으로 트래픽을 라우팅하지만 실제 부하 분산 기능은 제공하지 않아요.

 

---

문제 115 번

문제:

storage1이라는 Azure 저장소 계정을 만들고 data1이라는 파일 공유를 만들려고 해요.

집에서 윈도우 10 컴퓨터를 사용하는 직원들이 이 파일 공유를 네트워크 드라이브로 연결해야 하는데,

집 컴퓨터와 파일 공유 사이에서 어떤 **나가는 포트(Outbound Port)**를 열어야 할까요?

보기:

A. 0

B. 443

C. 445

D. 3389

 

 

답: C

해설:

윈도우에서 파일 공유를 사용하려면 SMB (Server Message Block) 프로토콜을 사용하는데,

이 프로토콜은 보통 445번 포트를 사용해요.

따라서 집 컴퓨터에서 Azure 파일 공유에 접근하려면 445번 포트가 열려 있어야 해요.

443번 포트는 보안 웹 통신(HTTPS)에 사용되고,

3389번 포트는 원격 데스크톱 연결(RDP)에 사용돼요.

마치 택배(파일 공유)를 주고받을 때, 정해진 문(포트 445)을 통해서만 주고받아야 하는 것과 같아요.

 

---

---

Azure 관련 용어 해설

• Azure (애저): 마이크로소프트라는 큰 회사가 만든 인터넷상의 거대한 컴퓨터 빌딩이라고 생각하면 돼요. 이 빌딩 안에는 여러 종류의 방(컴퓨터 시스템)이 있어서, 우리가 직접 컴퓨터를 사서 관리하지 않아도 인터넷만 연결되면 언제든지 필요한 만큼 빌려 쓸 수 있어요.
• Azure Active Directory (애저 액티브 디렉터리): 이 거대한 컴퓨터 빌딩(Azure)에 누가 들어올 수 있는지, 들어온 사람은 어떤 일을 할 수 있는지 등을 관리하는 출입 관리 시스템이라고 생각하면 돼요. 회사 직원들의 이름과 비밀번호를 저장하고, 각 직원이 어떤 프로그램이나 파일에 접근할 수 있는지를 결정하는 역할을 해요.
• Tenant (테넌트): Azure Active Directory를 사용하는 하나의 회사 또는 조직 단위를 말해요. 마치 하나의 건물에 여러 개의 회사가 입주해 있는 것처럼, 하나의 Azure에는 여러 개의 테넌트가 있을 수 있어요.
• Domain (도메인): 인터넷 주소처럼, Azure Active Directory를 구분하는 이름이라고 생각하면 돼요. 예를 들어 contoso.com이나 Koso cloud.onmicrosoft.com 같은 것이 도메인 이름이에요.
• Member (멤버): Azure Active Directory 테넌트에 소속된 일반 사용자를 말해요. 회사 직원이라고 생각하면 돼요.
• Guest (게스트): Azure Active Directory 테넌트에 초대받은 외부 사용자를 말해요. 협력업체 직원이나 다른 회사의 사람이라고 생각하면 돼요.
• Owner (소유자): 어떤 그룹이나 Azure 서비스에 대한 모든 권한을 가진 사람이에요. 해당 그룹의 멤버를 관리하거나 서비스 설정을 변경할 수 있어요. 마치 동아리의 회장님이나 건물의 주인과 같아요.
• Group (그룹): 여러 명의 사용자나 장치를 하나로 묶어 놓은 것이에요. 그룹에 권한을 부여하면 그룹에 속한 모든 사용자에게 동일한 권한이 주어지기 때문에, 권한 관리를 편리하게 할 수 있어요. 마치 학급이나 동아리와 같아요.
• Access Review (접근 검토): 특정 그룹이나 서비스에 접근할 수 있는 사용자들이 정말로 필요한 권한을 가지고 있는지 정기적으로 확인하는 과정이에요. 불필요한 접근 권한을 없애서 보안을 강화하는 데 도움이 돼요. 마치 학교에서 방과후 수업 신청자 명단을 확인해서 실제로 수업을 듣는 학생들만 남겨두는 것과 같아요.
• Encryption Scope (암호화 범위): Azure 저장소에서 데이터를 암호화하는 규칙을 적용하는 단위예요. 특정 폴더(컨테이너)나 파일(블롭)에만 특별한 암호화 설정을 할 수 있도록 해줘요. 마치 중요한 물건을 보관하는 특정한 금고에 더 강력한 잠금장치를 하는 것과 같아요.
• DNS Zone (DNS 존): 특정 도메인 이름에 대한 DNS 레코드 정보를 모아 놓은 곳이에요. 인터넷 주소를 실제 컴퓨터 주소로 변환하는 데 필요한 정보를 가지고 있어요. 마치 동네의 주소와 지도 정보를 관리하는 사무소와 같아요.
• Custom Domain Name (사용자 지정 도메인 이름): Azure Active Directory에서 기본으로 제공하는 이름(onmicrosoft.com으로 끝나는 이름) 대신 회사가 소유한 인터넷 주소를 사용하는 것을 말해요. 회사의 브랜드 이미지를 높이고 사용자들이 더 쉽게 기억할 수 있도록 도와줘요. 마치 학교 이름 대신 친숙한 동네 이름을 학교 이름으로 사용하는 것과 같아요.
• DNS Record (DNS 레코드): 도메인 이름과 IP 주소와 같은 정보를 연결해 주는 일종의 기록이에요. 어떤 종류의 기록이냐에 따라 이메일 서버 정보, 웹사이트 주소 정보 등을 담을 수 있어요. 마치 인터넷 전화번호부의 항목과 같아요.
• MX Record (메일 교환기 레코드): 특정 도메인의 이메일을 처리하는 서버를 지정하는 DNS 레코드예요.
• Point-to-Site VPN: 개별 사용자의 컴퓨터를 Azure 네트워크에 안전하게 연결하는 방법이에요. 마치 집에서 회사 네트워크에 비밀 통로를 만드는 것과 같아요.
• Site-to-Site VPN: 회사 네트워크와 Azure 네트워크를 항상 연결된 보안 터널처럼 만드는 방법이에요. 마치 회사 건물과 Azure 컴퓨터 빌딩 사이에 전용 다리를 놓는 것과 같아요.
• Virtual Machine (가상 머신): Azure 클라우드 안에서 실제 컴퓨터처럼 작동하는 소프트웨어예요. 필요한 만큼 만들어서 사용할 수 있고, 사용하지 않을 때는 끌 수도 있어요. 마치 컴퓨터 게임 속의 가상 세계에 있는 컴퓨터와 같아요.
• Load Balancer (부하 분산 장치): 들어오는 네트워크 트래픽을 여러 대의 서버에 골고루 나누어 주는 장치예요. 한 대의 서버에 과부하가 걸리지 않도록 해서 서비스의 안정성을 높여줘요. 마치 놀이공원에서 손님들이 한 줄로만 서 있지 않고 여러 줄로 분산되도록 안내하는 직원과 같아요.
• Internal Load Balancer (내부 부하 분산 장치): Azure 내부 네트워크 안에서 트래픽을 분산시키는 부하 분산 장치예요.
• Public Load Balancer (공용 부하 분산 장치): 외부 인터넷에서 들어오는 트래픽을 Azure 리소스로 분산시키는 부하 분산 장치예요.
• Azure CDN (Content Delivery Network): 웹사이트의 이미지나 동영상 같은 콘텐츠를 사용자에게 더 빠르게 전달하기 위해 전 세계 여러 곳에 복사해 두는 시스템이에요. 사용자와 가까운 곳에서 콘텐츠를 제공해서 속도를 높여줘요. 마치 인기 있는 드라마를 시청자들이 사는 지역의 여러 방송국에서 동시에 틀어주는 것과 같아요.
• Traffic Manager: 사용자의 위치나 서버의 상태에 따라 가장 적절한 서비스로 트래픽을 안내하는 DNS 기반의 서비스예요. 실제 트래픽 분산 기능은 하지 않아요. 마치 내비게이션 앱이 가장 빠른 길을 안내해 주는 것과 같아요.
• Azure Application Gateway: 웹 애플리케이션 트래픽을 관리하고 보안 기능(예: 웹 방화벽)도 제공하는 더 똑똑한 부하 분산 장치예요.
• Storage Account (저장소 계정): Azure에서 데이터를 저장하는 공간을 만들기 위한 기본 단위예요. 파일, 이미지, 동영상 등 다양한 종류의 데이터를 저장할 수 있어요. 마치 회사의 문서고나 창고와 같아요.
• File Share (파일 공유): 네트워크를 통해 여러 사용자가 공동으로 접근할 수 있는 폴더예요. 마치 학교의 공동 문서함과 같아요.
• Outbound Port (나가는 포트): 컴퓨터에서 외부로 데이터를 보낼 때 사용하는 통로 번호예요. 각 서비스는 정해진 포트 번호를 사용해요. 마치 택배를 보낼 때 어떤 문을 이용해야 하는지 정해져 있는 것과 같아요.
• SMB (Server Message Block): 윈도우 운영체제에서 파일이나 프린터 등의 자원을 공유하기 위해 사용하는 네트워크 프로토콜이에요.