본문 바로가기
인공지능,프로그래밍/MS Azure

Azure 104 연습 문제 40

AI 마을1 2025. 4. 18. 23:27

문제 231

문제: 다음과 같이 Azure 관리 그룹이 구성되어 있습니다.

 


이 정보를 바탕으로 다음 각 문장이 참인지 거짓인지 답하십시오.

  1. Subscription 1에서 가상 네트워크를 생성할 수 있습니다. (예/아니요)
  2. Subscription 2에서 가상 네트워크를 생성할 수 있습니다. (예/아니요)
  3. Management Group 11에 Subscription 1을 추가할 수 있습니다. (예/아니요)

 

 

정답:

  1. 아니요

해설:

  1. 거짓입니다. policy 2는 테넌트 루트 그룹 범위에 적용되어 모든 하위 관리 그룹과 구독에 영향을 줍니다. Subscription one은 Management Group 21에 속하며, Management Group 21은  루트그룹의 영향을 받아서 가상 네트워크 생성이 허용되지 않습니다. 테넌트 루트 그룹에 적용된 정책으로 인해 가상 네트워크를 생성할 수 없습니다. 

 

 

루트 관리 그룹에 대한 중요한 사실

  • 기본적으로 루트 관리 그룹의 표시 이름은 테넌트 루트 그룹 이며 , 관리 그룹으로 작동합니다. ID는 Microsoft Entra 테넌트 ID와 동일합니다.
  • 표시 이름을 변경하려면 계정에 루트 관리 그룹의 소유자 또는 기여자 역할이 있어야 합니다. 자세한 내용은 관리 그룹 이름 변경을 참조하세요 .
  • 다른 관리 그룹과 달리 루트 관리 그룹은 이동하거나 삭제할 수 없습니다.
  • 모든 구독과 관리 그룹은 디렉토리 내에서 하나의 루트 관리 그룹으로 통합됩니다.
    • 디렉토리의 모든 리소스는 글로벌 관리를 위해 루트 관리 그룹으로 통합됩니다.
    • 새로운 구독은 생성되면 자동으로 루트 관리 그룹으로 지정됩니다.
  • 모든 Azure 고객은 루트 관리 그룹을 볼 수 있지만, 일부 고객은 해당 루트 관리 그룹을 관리할 수 있는 액세스 권한이 없습니다.
    • 구독에 액세스할 수 있는 모든 사람은 해당 구독이 계층 구조에서 어디에 있는지 확인할 수 있습니다.
    • 루트 관리 그룹에 대한 기본 액세스 권한은 누구에게도 없습니다. Microsoft Entra Global Administrators만 권한을 승격하여 액세스 권한을 얻을 수 있습니다. 루트 관리 그룹에 대한 액세스 권한을 얻은 후에는 다른 사용자에게 Azure 역할을 할당하여 그룹을 관리할 수 있습니다.

 중요한

루트 관리 그룹에 대한 사용자 액세스 또는 정책 할당은 디렉터리 내의 모든 리소스에 적용됩니다. 이 액세스 수준 때문에 모든 고객은 이 범위에 정의된 항목의 필요성을 평가해야 합니다. 사용자 액세스 및 정책 할당은 이 범위에서만 "필수"로 설정해야 합니다.

다음 차트는 관리 그룹에서 지원되는 역할과 작업 목록을 보여줍니다.

Azure 역할 이름 만들다 이름변경 이동하다 삭제 액세스 할당 정책할당 읽다
소유자 엑스 엑스 엑스 엑스 엑스 엑스 엑스
기부자 엑스 엑스 엑스 엑스     엑스
관리 그룹 기여자* 엑스 엑스 이동 세부 정보 엑스     엑스
리더             엑스
관리 그룹 리더*             엑스
리소스 정책 기여자           엑스  
사용자 액세스 관리자         엑스 엑스  

 

https://learn.microsoft.com/en-us/azure/governance/management-groups/overview

 

Organize your resources with management groups - Azure Governance - Azure governance

Learn about management groups, how their permissions work, and how to use them.

learn.microsoft.com

 

2. 참입니다. Subscription 2는 Management Group 12에 속합니다. Management Group 11에 적용된 policy 1은 가상 네트워크 생성을 금지하지만, 이는 Management Group 12에는 별도 정책에 의해 예외로 생성이 가능합니다. 이처럼 사용자가 필요한 RBAC 권한을 가지고 있다면 Subscription two에서 가상 네트워크를 생성할 수 있습니다.

 

3. 참입니다. 구독은 여러 관리 그룹에 속할 수 없습니다. 하지만 질문은 이미 Management Group 11아래에 있는  Management Group 21에 속한 Subscription 1을 Management Group 11에 추가할 수 있는지 묻는 것이므로, 기술적으로는 가능합니다. 다만, 이렇게 되면 Subscription 1은 Management Group 11에 적용된 policy one의 영향을 받아 가상 네트워크 생성이 금지될 것입니다.

 

 

문제 232

문제: Subscription 1이라는 Azure 구독이 있습니다. 다음 표와 같이 리소스가 포함되어 있습니다.

VM1과 VM2에 웹 서버 역할(Web Server role, IIS)을 설치하고, 이 두 가상 머신을 LB1이라는 로드 밸런서에 추가했습니다.

로드 밸런서 LB1 의 구성은 다음과 같습니다.

다음은 구성된 로드 밸런싱 규칙 rule1의 정보입니다.



이 정보를 바탕으로 다음 각 문장이 참인지 거짓인지 답하십시오.

  1. Virtual Machine 1은 Virtual Machine 2와 동일한 가용성 집합에 있습니다. (예/아니요)
  2. 가상 머신 1과 가상 머신 2 모두에 probe1.htm 파일이 있으면, 로드 밸런서 lb1은 가상 머신 1과 가상 머신 2 사이에서 TCP 포트 0으로 트래픽을 로드 밸런싱할 수 있습니다. (예/아니요)
  3. rule1을 삭제하면, 로드 밸런서 lb1은 가상 머신 1과 가상 머신 2 간의 모든 포트에 대한 모든 요청을 로드 밸런싱합니다. (예/아니요)

 

 

정답:

  3. 아니요

해설:

  1. 입니다. 기본 로드 밸런서는 단일 가용성 집합 또는 확장 집합 내의 모든 가상 머신을 지원합니다. 문제에서 명시적으로 가용성 집합에 대한 언급은 없지만, 두 가상 머신이 로드 밸런서에 함께 묶여 있는 것으로 보아 동일한 가용성 집합 또는 확장 집합 내에 있다고 가정할 수 있습니다.
  2. 입니다. 로드 밸런싱 규칙과 상태 프로브가 올바르게 구성되어 있고, 지정된 경로(probe1.htm)에 상태 확인 응답이 있다면, 로드 밸런서는 백엔드 풀의 가상 머신들이 정상 상태라고 판단하고 트래픽을 분산합니다. 질문에서 백엔드 포트가 80으로 설정되어 있지만, 로드 밸런서가 상태 프로브를 통해 백엔드 인스턴스의 상태를 확인하고 정상인 인스턴스에 트래픽을 전달하는 것은 포트 번호와는 별개의 기능입니다.. 따라서 상태 프로브가 정상적으로 응답한다면 로드 밸런서는 트래픽을 분산할 수 있습니다. (영상에서는 TCP 포트 0이라고 언급되었지만, 규칙은 TCP 80으로 설정되어 있습니다. 상태 확인 기능 자체는 포트와 독립적일 수 있습니다.)
  3. 거짓입니다. 특정 로드 밸런싱 규칙(rule1)은 특정 프런트 엔드 포트(여기서는 80)로 들어오는 트래픽을 특정 백엔드 포트(여기서는 80)로 전달하도록 정의합니다. 이 규칙을 삭제하면 해당 포트에 대한 로드 밸런싱이 중단됩니다. 규칙 없이 로드 밸런서가 모든 포트에 대한 트래픽을 자동으로 로드 밸런싱하지 않습니다.

 

 

관리 그룹과 구독의 유연한 구조를 구축하여 리소스를 계층 구조로 구성하고 통합 정책 및 액세스 관리를 수행할 수 있습니다. 다음 다이어그램은 관리 그룹을 사용하여 거버넌스를 위한 계층 구조를 만드는 예를 보여줍니다.

 

 로드밸런서 세팅 및 배포 방법

https://learn.microsoft.com/en-us/azure/load-balancer/manage

 

Azure Load Balancer portal settings

Get started learning about Azure Load Balancer portal settings.

learn.microsoft.com

 

 

 

 

문제 233

문제: subscription one이라는 Azure 구독이 있습니다. User1이라는 사용자가 있으며, 이 사용자가 가상 머신을 배포하고 가상 네트워크를 관리할 수 있도록 해야 합니다. 최소 권한 원칙을 따라야 합니다.  User1 에게 어떤 RBAC(역할 기반 액세스 제어) 역할을 할당해야 합니까?

보기:

A. 가상 머신 Contributor

B. 네트워크 Contributor

C. Owner

D. Contributor

 

 

 

정답: B. 네트워크 Contributor

해설:

최소 권한 원칙에 따라 사용자가 필요한 최소한의 권한만 부여해야 합니다. User1  은 가상 머신을 배포하고 가상 네트워크를 관리해야 합니다. 물론 C. Owner 역시 권한이 있지만 최소한의 권한 원칙에 의해 B가 정답이 됩니다.

  • 가상 머신 Contributor 역할은 가상 머신을 생성 및 관리하는 데 필요한 권한을 제공하지만, 가상 네트워크 관리 권한은 포함하지 않습니다.
  • 네트워크 Contributor 역할은 가상 네트워크 및 관련 네트워크 리소스(예: 서브넷, 네트워크 인터페이스, 공용 IP 주소 등)를 생성 및 관리하는 데 필요한 권한을 제공합니다. 가상 머신 배포 시 필요한 네트워크 리소스 관리 권한을 포함하므로, 가상 머신 배포에도 간접적으로 필요할 수 있습니다.
  • Owner 역할은 Azure 리소스에 대한 모든 권한을 가지므로 필요한 권한보다 훨씬 많은 권한을 부여하는 것입니다.
  • Contributor 역할은 대부분의 Azure 리소스를 생성 및 관리할 수 있는 권한을 제공하지만, 때로는 네트워크 관련 특정 작업에 필요한 권한이 없을 수 있습니다.

따라서 네트워크 Contributor 역할을 할당하는 것이 가상 머신 배포 및 가상 네트워크 관리에 필요한 최소한의 권한을 제공하면서 최소 권한 원칙을 충족하는 올바른 선택입니다.

 

 

문제 234

문제: 다음과 같은 리소스 그룹을 포함하는 Azure 구독이 있습니다.


RG2에는 다음과 같은 리소스가 포함되어 있습니다.( RG1에는 1이라는 이름으로 되어 있겠지? .. 추측 )

 

어떤 리소스를 RG 1에서 RG 2로 이동할 수 있고, 어떤 리소스를 RG2에서 RG1로 이동할 수 있는지 식별해야 합니다.

보기:

RG 1에서 RG 2로 이동 가능한 리소스:

  • 없음
  • IP1만
  • IP1 및 Storage1
  • IP1 및 VNET1
  • IP1 , VNET1 및 Storage1

 

RG 2에서 RG 1로 이동 가능한 리소스:

  • 없음
  • IP2 만
  • IP2  및 Storage2
  • IP2  및 VNET2
  • IP1 , VNET2 및 Storage2

 

 

정답:

RG 1에서 RG 2로 이동 가능한 리소스 : IP1 및 Storage1

RG 2에서 RG 1로 이동 가능한 리소스 : 없음

해설:

  • RG 1에서 RG 2로 이동 가능한 리소스: 
    • ip1: ip1에는 잠금이 없으므로 이동이 가능합니다.
    • storage1: storage1에는 '삭제' 유형의 lock1이 걸려 있지만, 리소스 그룹 간 리소스 이동은 삭제 작업이 아니므로 이동이 가능합니다.
    • VNET1 : VNET1 에는 '읽기 전용' 유형의 lock2가 걸려 있습니다. '읽기 전용' 잠금은 리소스의 변경을 막으므로 리소스 이동도 불가능합니다..
  • RG 2에서 RG 1로 이동 가능한 리소스: 
    • RG 2 에는 '삭제' 유형의 잠금이 걸려 있습니다. 상위 범위(리소스 그룹)에 잠금이 적용되면 해당 리소스 그룹 내의 모든 리소스와 이후 추가되는 리소스에도 동일한 잠금이 상속됩니다. 따라서 RG 2  내의 어떤 리소스도 삭제 잠금 때문에 다른 리소스 그룹으로 이동할 수 없습니다.

 

 

문제 235

문제: Azure 구독에 스토리지 계정이 있습니다.

Image1이라는 Docker 이미지에 사용할 Container1이라는 Azure Container Instances를 만들려고 합니다.

이 이미지는 영구 스토리지를 필요로 하는 MS SQL Server 인스턴스를 포함합니다.

Container1에 대한 스토리지 서비스를 구성하려면 무엇을 사용해야 합니까?

보기:

A. Azure Blob Storage

B. Azure Files

C. Azure Queue Storage

D. Azure Table Storage

 

 

 

 

정답: B. Azure Files

해설:

  • Azure Blob Storage: 대규모의 비정형 데이터를 저장하는 데 주로 사용되며, 드라이브로 마운트할 수 없으므로 이 시나리오에는 적합하지 않습니다.
  • Azure Files: Windows, Linux, macOS에서 SMB(Server Message Block) 프로토콜을 통해 접근 가능한 관리형 파일 공유를 제공합니다. Docker 컨테이너에서 영구 스토리지로 사용하기에 적합하며, 파일 시스템 인터페이스를 제공하여 SQL Server 데이터베이스 파일 저장에 필요한 기능을 제공합니다.
  • Azure Queue Storage: 대량의 메시지를 저장하고 큐잉하는 서비스로, SQL Server 스토리지 요구 사항과는 관련이 없습니다.
  • Azure Table Storage: NoSQL 키-값 데이터 저장소로, 파일 시스템 인터페이스를 제공하지 않으므로 SQL Server 스토리지로는 부적합합니다.

따라서 Docker 컨테이너에서 실행되는 SQL Server 인스턴스에 영구 스토리지를 제공하고 파일 시스템 인터페이스를 지원하는 Azure Files가 올바른 선택입니다.

Azure 용어 설명 

다음은 위 문제들에 사용된 주요 Azure 용어들에 대한 쉬운 설명입니다.

  • Azure 구독(Subscription): Azure 서비스를 사용하기 위한 기본 단위입니다. 신용카드나 청구서와 연결되어 있으며, 리소스 사용량을 추적하고 비용을 지불하는 데 사용됩니다. 마치 휴대폰 요금제와 비슷하다고 생각하시면 됩니다.
  • 리소스 그룹(Resource Group): Azure에서 생성하는 다양한 리소스(가상 머신, 스토리지, 네트워크 등)들을 논리적으로 묶어 관리하는 컨테이너입니다. 폴더와 비슷하게 생각하시면 됩니다. 관련된 리소스들을 하나의 그룹으로 묶어 쉽게 배포, 관리, 삭제할 수 있습니다.
  • Azure 정책(Azure Policy): Azure 리소스에 대한 규칙을 정의하고 적용하여 조직의 표준 및 규정을 준수하도록 돕는 서비스입니다. 예를 들어, 특정 지역에서만 리소스를 만들도록 강제하거나 특정 종류의 리소스 생성을 금지할 수 있습니다. 학교나 회사에서 지켜야 하는 규칙과 비슷합니다.
  • 관리 그룹(Management Group): 여러 Azure 구독을 계층적으로 관리할 수 있도록 해주는 서비스입니다. 구독보다 더 큰 범위에서 정책 및 액세스 제어를 적용할 수 있습니다. 여러 학과나 부서가 있는 대학교나 회사 전체에 대한 관리 체계와 비슷합니다.
  • RBAC (역할 기반 액세스 제어, Role-Based Access Control): 누가 어떤 Azure 리소스에 대해 어떤 작업을 수행할 수 있는지 세밀하게 제어하는 메커니즘입니다. 다양한 역할(예: 읽기 권한자, 기여자, 소유자)을 사용자, 그룹, 서비스 주체에 할당하여 보안을 강화합니다. 웹사이트 관리자, 편집자, 일반 사용자와 같이 역할에 따라 접근 권한이 다른 것과 같습니다.
  • 가상 네트워크(Virtual Network, VNet): Azure 내에서 생성하는 사설 네트워크입니다. 격리된 네트워크 환경을 제공하며, 가상 머신과 같은 Azure 리소스들이 서로 안전하게 통신할 수 있도록 합니다. 집이나 학교 내의 사설 IP 주소 네트워크와 비슷합니다.
  • 가상 머신(Virtual Machine, VM): 클라우드 상에서 운영체제와 애플리케이션을 실행할 수 있는 가상 컴퓨터입니다. 실제 컴퓨터와 동일하게 작동하지만, 물리적인 서버 대신 Azure의 컴퓨팅 자원을 사용합니다.
  • 로드 밸런서(Load Balancer): 들어오는 네트워크 트래픽을 여러 서버(예: 가상 머신)에 분산시켜 애플리케이션의 가용성과 응답성을 높이는 서비스입니다. 많은 학생들이 접속하는 웹사이트의 트래픽을 여러 웹 서버에 나누어 처리하는 것과 같습니다.
  • 상태 프로브(Health Probe): 로드 밸런서가 백엔드 서버의 상태를 주기적으로 확인하여 트래픽을 정상적인 서버로만 전달하도록 하는 기능입니다. 서버가 응답하지 않으면 트래픽 분산 대상에서 제외합니다. 병원에 가서 의사가 환자의 상태를 확인하는 것과 비슷합니다.
  • 가용성 집합(Availability Set): Azure에서 가상 머신을 배포할 때, 하드웨어 장애나 계획된 유지 관리로부터 애플리케이션을 보호하기 위해 사용하는 논리적 그룹입니다. 동일한 가용성 집합 내의 VM은 서로 다른 물리적 서버 및 랙에 분산되어 배포됩니다.
  • Azure Container Instances (ACI): 서버를 관리할 필요 없이 Azure에서 Docker 컨테이너를 쉽고 빠르게 실행할 수 있는 서비스입니다. 간단한 컨테이너 기반 애플리케이션을 실행하는 데 유용합니다.
  • Docker 이미지: 컨테이너를 실행하는 데 필요한 모든 것(애플리케이션 코드, 라이브러리, 시스템 도구, 런타임 등)을 포함하는 패키지입니다.
  • 영구 스토리지(Persistent Storage): 컨테이너가 종료되거나 다시 시작되더라도 데이터가 유지되는 저장 공간입니다.
  • Azure Files: 클라우드 기반의 완전 관리형 파일 공유 서비스입니다. SMB 프로토콜을 통해 접근할 수 있어, 온프레미스 환경과 클라우드 환경 모두에서 편리하게 사용할 수 있습니다. 마치 네트워크 드라이브와 비슷합니다.
  • Azure Blob Storage: 텍스트, 이미지, 비디오 등 대규모의 비정형 데이터를 저장하는 데 최적화된 서비스입니다.
  • Azure Queue Storage: 대량의 메시지를 안정적으로 저장하고 검색하기 위한 서비스입니다. 분산된 애플리케이션 간의 비동기 통신에 주로 사용됩니다.
  • Azure Table Storage: 구조화된 NoSQL 데이터를 저장하는 서비스입니다. 유연한 스키마를 제공하며, 대규모 데이터를 효율적으로 저장하고 쿼리할 수 있습니다.
  • 잠금(Lock): Azure 리소스가 실수로 삭제되거나 변경되는 것을 방지하는 메커니즘입니다. '삭제' 잠금은 리소스 삭제를 막고, '읽기 전용' 잠금은 리소스의 변경을 막습니다. 중요한 파일을 잠가서 함부로 지우거나 수정하지 못하도록 하는 것과 같습니다.
  • 최소 권한 원칙(Principle of Least Privilege): 사용자 또는 애플리케이션에게 필요한 최소한의 권한만 부여해야 한다는 보안 원칙입니다. 불필요한 권한 부여로 인한 보안 사고를 예방하는 데 중요합니다. 은행원이 자신의 업무에 필요한 권한만 가지는 것과 같습니다.

'인공지능,프로그래밍 > MS Azure' 카테고리의 다른 글

Azure 104 연습 문제 42  (0) 2025.04.19
Azure 104 연습 문제 41  (0) 2025.04.19
Azure 104 연습 문제 39  (2) 2025.04.18
Azure 104 연습 문제 38  (0) 2025.04.18
Azure 104 연습 문제 37  (1) 2025.04.18

'인공지능,프로그래밍/MS Azure' Related Articles

티스토리툴바