Azure 104 연습 문제 41

---

문제 236

문제: 스토리지 계정 이름이 storage1인 Azure 스토리지 계정과 Azure Container Instance에서 실행되는 서비스 앱 이름이 app1과 app2인 Azure App Service가 있습니다. 각 앱은 관리 ID를 사용하며, app1과 app2가 storage1에서 Blob을 읽을 수 있도록 해야 합니다. 해결 방법은 다음 요구 사항을 충족해야 합니다.

첫째, 사용되는 비밀 수를 최소화해야 합니다.

둘째, app2는 다음 30일 동안만 storage1에서 읽을 수 있어야 합니다.

각 앱에 대해 storage1에서 무엇을 구성해야 합니까?

보기:

• A. 각 앱에 대해 읽기 권한과 30일 만료일이 있는 공유 액세스 서명 SAS(Shared Access Signature)를 만듭니다.
• B. 각 앱에 대해 읽기 권한과 1일 만료일이 있는 공유 액세스 서명 SAS(Shared Access Signature)를 만듭니다.
• C. 각 앱에 대해 읽기 권한과 7일 만료일이 있는 공유 액세스 서명 SAS(Shared Access Signature)를 만듭니다.
• D. 각 앱에 대해 읽기 권한과 365일 만료일이 있는 공유 액세스 서명 SAS(Shared Access Signature)를 만듭니다.

정답: A

해설: app1과 app2가 Azure의 storage1에서 Blob을 읽을 수 있도록 하려면 각 앱에 대해 읽기 전용 권한이 있는 **SAS(Shared Access Signature)**를 생성해야 합니다.

특히 app2는 다음 30일 동안만 액세스할 수 있어야 하므로,

해당 SAS의 만료일을 30일로 설정해야 합니다. 따라서 옵션 A가 정답입니다.

🔐 SAS (Shared Access Signature)란?

SAS는 Azure Storage 리소스(Blob, File, Queue 등)에 대한 제한된 액세스 권한을 안전하게 부여하는 URL 기반 토큰이야.
즉, 접근 권한이 없는 사람에게도 ‘제한된 범위와 시간’ 동안만 리소스를 열람 또는 수정할 수 있게 허용할 수 있는 일종의 임시 출입증이지.

---

📦 언제 쓰는가?

• 외부 개발자에게 특정 파일 다운로드 권한만 줄 때
• 백엔드 없이, 클라이언트에서 직접 Blob Storage에 업로드하도록 허용할 때
• 일회성 또는 자동화 스크립트에서 인증 없이 접근해야 할 때

 

---

문제 237

문제: storage1이라는 Azure 스토리지 계정을 포함하는 Azure 구독이 있고, 사용자는 다음 표와 같습니다. 

사용자 1, 2, 3은 각각 그룹 1, 그룹 2, 그룹 1의 구성원입니다.

사용자	Member of
사용자 1	Group1
사용자 2	Group2
사용자 3	Group1

storage1을 모니터링하고 다음 표에 표시된 신호에 대한 이메일 알림을 구성하려고 합니다.

이름	유형 알림	사용자
Ingress (Azure로 들어오는 데이터)	메트릭	사용자 1, 3
Egress (Azure에서 나가는 데이터)	메트릭	사용자 1
Delete Storage Account	활동 로그	사용자 1, 2, 3
Restore Blob Ranges	활동 로그	사용자 1, 3

계획된 모니터링에 필요한 최소 알림 규칙 수와 작업 그룹 수를 식별해야 합니다.

식별해야 할 알림 규칙 수와 작업 그룹 수는 각각 몇 개입니까?

 

 

정답: 알림 규칙: 4, 작업 그룹: 3

해설:

• 알림 규칙: Ingress, Egress, Delete Storage Account, Restore Blob Ranges와 같이 모니터링할 리소스 유형이 4가지로 다르므로, 최소 4개의 알림 규칙이 필요합니다. 하나의 알림 규칙으로는 서로 다른 유형의 리소스를 동시에 모니터링할 수 없습니다.
• 작업 그룹: 알림을 받을 사용자는 사용자 1, 사용자 2, 사용자 3의 세 가지 고유한 그룹으로 나눌 수 있습니다. 그룹 1 또는 그룹 2와 같은 기존 그룹을 기반으로 작업 그룹을 설정할 수 없으며, 사용자 1만 포함하는 특정 그룹이 없기 때문에 최소 3개의 작업 그룹을 생성해야 합니다. 각 작업 그룹은 특정 사용자 그룹에 알림을 보내도록 구성됩니다.

 

---

문제 238

문제: rg1이라는 리소스 그룹을 포함하는 subscription1이라는 Azure 구독이 있습니다.

이 rg1 리소스 그룹에 lb1이라는 내부 부하 분산 장치와 lb2라는 공용 부하 분산 장치를 만듭니다.

admin1이라는 관리자가 부하 분산 장치 1과 부하 분산 장치 2를 관리할 수 있도록 해야 합니다.

해결 방법은 최소 권한 원칙을 따라야 합니다. 각 작업에 대해 admin1에게 어떤 역할을 할당해야 합니까?

작업은 lb1에 백엔드 풀을 추가하는 것과 lb2에 상태 프로브를 추가하는 두 가지입니다.

 

 

정답: 두 작업 모두 rg1에 대한 네트워크 기여자(Network Contributor) 역할

해설: 최소 권한 원칙에 따라 admin1에게 특정 작업을 수행하는 데 필요한 최소한의 권한을 부여해야 합니다. 부하 분산 장치와 관련된 작업을 수행하려면 일반적으로 네트워크 기여자 역할이 필요합니다.

따라서 lb1에 백엔드 풀을 추가하고 lb2에 상태 프로브를 추가하는 두 작업 모두에 대해 admin1에게 rg1 리소스 그룹에 대한 네트워크 기여자 역할을 할당하는 것이 적절합니다.

 

---

문제 239

문제: BM1과 BM2라는 두 개의 가상 머신을 포함하는 Azure 구독이 있습니다.

Azure 부하 분산 장치를 만들고 VM1과 VM2 간에 HTTPS 트래픽을 부하 분산하는 규칙을 만들려고 합니다.

부하 분산 규칙을 만들기 전에 어떤 두 개의 추가 부하 분산 장치 리소스를 만들어야 합니까?

보기:

• A. 프런트 엔드 IP 주소
• B. 상태 프로브
• C. 인바운드 NAT 규칙
• D. 가상 네트워크
• E. 백엔드 풀

 

 

정답: B (상태 프로브) 및 E (백엔드 풀)

해설: HTTPS 트래픽을 부하 분산하는 규칙을 만들기 전에 다음 두 가지 필수 부하 분산 장치 리소스를 생성해야 합니다:

• 백엔드 풀: 백엔드 풀은 특정 부하 분산 규칙에 대한 트래픽을 처리하는 리소스 그룹을 정의합니다. 이 경우 VM1과 VM2가 백엔드 풀에 포함됩니다.
• 상태 프로브: 상태 프로브는 백엔드 풀에 있는 가상 머신의 상태를 모니터링하여 트래픽이 정상적인 인스턴스로만 전송되도록 합니다.

Azure 부하 분산 장치를 생성하면 프런트 엔드 IP 주소는 암시적으로 자동 생성되므로 추가로 생성할 필요가 없습니다.

인바운드 NAT 규칙은 특정 가상 머신의 특정 포트에 직접 액세스하는 데 사용되며,

부하 분산 규칙과는 다른 목적을 가집니다.

가상 네트워크는 가상 머신이 존재하는 네트워크 환경이므로 부하 분산 장치 규칙 생성 전에 이미 구성되어 있어야 합니다.

 

 

---

문제 240

문제: Azure Import and Export 서비스를 사용하여 파일을 Azure 스토리지 계정에 복사하려고 합니다.

가져오기 작업을 위해 드라이브를 준비하기 전에 어떤 두 개의 파일을 만들어야 합니까?

보기:

• A. XML 매니페스트 파일
• B. 데이터 세트 CSV 파일
• C. JSON 구성 파일
• D. PowerShell PS1 파일
• E. 드라이브 세트 CSV 파일
•  

정답: B (데이터 세트 CSV 파일) 및 E (드라이브 세트 CSV 파일)

해설: Azure Import and Export 서비스를 사용하여 파일을 Azure 스토리지 계정에 복사하려면 드라이브를 준비하기 전에 다음 두 가지 유형의 파일을 생성해야 합니다:

• 데이터 세트 CSV 파일: 이 파일은 가져올 파일의 세부 정보 (예: 파일 이름, 파일 크기, 드라이브 내 파일 경로)를 포함합니다.
• 드라이브 세트 CSV 파일: 이 파일은 가져오기 작업에 사용할 드라이브의 세부 정보 (예: 드라이브 문자, 드라이브 경로, 드라이브 이름)를 지정합니다.

---

사용된 Azure 용어 설명 

다음은 위에 제시된 문제에 사용된 주요 Azure 용어에 대한 설명입니다.

• Azure: Microsoft에서 제공하는 클라우드 컴퓨팅 플랫폼입니다. 서버, 스토리지, 네트워크, 데이터베이스, 인공 지능 등 다양한 서비스를 인터넷을 통해 제공하여 사용자가 필요한 IT 자원을 필요할 때 필요한 만큼만 사용할 수 있도록 합니다. 마치 전기나 수도처럼 IT 자원을 서비스 형태로 이용한다고 생각하면 됩니다.
• Azure 구독 (Subscription): Azure 서비스를 사용하기 위한 계정입니다. 신용카드나 기타 결제 수단을 등록하고, 생성하는 모든 Azure 리소스는 특정 구독에 연결됩니다. 구독은 비용 청구 및 자원 관리를 위한 기본적인 단위입니다. 마치 통신사의 요금제와 비슷하다고 생각할 수 있습니다.
• 리소스 그룹 (Resource Group): Azure에서 생성하고 관리하는 모든 자원(가상 머신, 스토리지 계정, 네트워크 등)을 논리적으로 그룹화하는 컨테이너입니다. 리소스 그룹을 통해 관련된 자원들을 함께 배포, 관리, 모니터링, 삭제할 수 있습니다. 프로젝트별 또는 서비스별로 리소스 그룹을 구성하여 관리 효율성을 높일 수 있습니다. 마치 폴더와 유사하게 관련된 파일들을 묶어서 관리하는 것과 같습니다.
• 스토리지 계정 (Storage Account): Azure에서 데이터를 저장하기 위한 서비스입니다. 텍스트 파일, 이미지, 비디오, 백업 데이터 등 다양한 유형의 데이터를 안전하고 확장 가능하게 저장할 수 있습니다. 스토리지 계정은 여러 종류의 스토리지 서비스 (Blob Storage, File Storage, Queue Storage, Table Storage)를 제공합니다. 마치 대용량 USB 드라이브나 클라우드 기반의 하드디스크라고 생각할 수 있습니다.
• Blob Storage: 비정형 데이터를 대규모로 저장하는 서비스입니다. 이미지, 오디오, 비디오 파일, 문서 등을 저장하는 데 주로 사용됩니다. 웹사이트 이미지, 로그 데이터, 백업 데이터 등을 저장하는 데 유용합니다.
• Azure Files: 클라우드 기반의 파일 공유 서비스입니다. 온프레미스 환경의 파일 서버와 유사하게 여러 사용자가 공유 폴더에 접근하여 파일을 공유하고 공동 작업할 수 있습니다. SMB (Server Message Block) 프로토콜을 통해 접근이 가능합니다.
• Azure Container Instances (ACI): 서버를 관리할 필요 없이 Docker 컨테이너를 Azure에서 실행할 수 있는 서비스입니다. 간단한 컨테이너 기반 애플리케이션을 빠르게 배포하고 실행하는 데 적합합니다.
• App Service: 웹 애플리케이션, 모바일 백엔드, API 등을 호스팅하기 위한 플랫폼 서비스입니다. 서버 관리, 확장, 보안, 로드 밸런싱 등의 인프라 관리를 Azure가 대신 처리해 줍니다.
• 관리 ID (Managed Identity): Azure Active Directory (Azure AD)에서 자동으로 관리되는 ID입니다. Azure 서비스가 Azure AD 인증을 지원하는 다른 서비스에 안전하게 액세스할 수 있도록 해줍니다. 개발자가 애플리케이션 내에 자격 증명을 직접 관리할 필요가 없어 보안성이 향상됩니다.
• SAS (Shared Access Signature): Azure Storage 리소스 (Blob, File, Queue, Table)에 대한 안전한 위임 액세스를 제공하는 메커니즘입니다. 특정 기간 동안 특정 권한으로 리소스에 접근할 수 있는 URL을 생성하여 공유할 수 있습니다. 비밀 키를 직접 공유하지 않고 제한적인 액세스를 허용하는 데 유용합니다.
• 부하 분산 장치 (Load Balancer): 들어오는 네트워크 트래픽을 여러 서버 (예: 가상 머신)에 분산시켜 애플리케이션의 가용성과 성능을 향상시키는 네트워크 장비 또는 서비스입니다. 트래픽을 균등하게 분산하여 특정 서버에 과부하가 걸리는 것을 방지하고, 서버 장애 시에도 정상적인 서비스를 유지할 수 있도록 합니다.
• 내부 부하 분산 장치 (Internal Load Balancer): Azure 가상 네트워크 내의 리소스 간 트래픽을 분산하는 데 사용됩니다. 공용 인터넷에서 직접 접근할 수 없습니다.
• 공용 부하 분산 장치 (Public Load Balancer): 공용 인터넷에서 들어오는 트래픽을 Azure 가상 네트워크 내의 리소스로 분산하는 데 사용됩니다. 웹 애플리케이션과 같이 외부 사용자에게 서비스를 제공하는 경우에 사용됩니다.
• 백엔드 풀 (Backend Pool): 부하 분산 장치에 의해 트래픽이 분산될 대상 서버 (예: 가상 머신)의 그룹입니다.
• 상태 프로브 (Health Probe): 부하 분산 장치가 백엔드 풀의 각 서버의 상태를 주기적으로 확인하는 메커니즘입니다. 상태 프로브를 통해 정상적인 서버에만 트래픽을 전달하고, 비정상적인 서버는 트래픽 분산 대상에서 제외하여 서비스의 안정성을 높입니다.
• 최소 권한 원칙 (Principle of Least Privilege): 사용자 또는 애플리케이션에게 작업을 수행하는 데 필요한 최소한의 권한만 부여해야 한다는 보안 원칙입니다. 불필요한 권한 부여를 줄여 보안 사고 발생 가능성을 낮춥니다.
• 네트워크 기여자 (Network Contributor): Azure의 네트워킹 리소스 (가상 네트워크, 부하 분산 장치, 네트워크 인터페이스 등)를 관리할 수 있는 권한을 부여하는 역할입니다.
• Azure Import and Export 서비스: 대량의 데이터를 Azure 스토리지로 또는 Azure 스토리지에서 물리적인 디스크 드라이브를 통해 전송하는 데 사용되는 서비스입니다. 네트워크 대역폭이 제한적이거나 매우 큰 데이터를 이동해야 하는 경우에 유용합니다.
• 데이터 세트 CSV 파일 (Dataset CSV file): Azure Import and Export 작업 시 가져올 파일 목록과 대상 Blob 컨테이너 및 디렉터리 정보를 포함하는 CSV (Comma Separated Values) 형식의 파일입니다.
• 드라이브 세트 CSV 파일 (Driveset CSV file): Azure Import and Export 작업 시 사용할 물리적 디스크 드라이브의 정보 (일련 번호, 레이블 등)와 해당 드라이브에 복사될 데이터 세트 CSV 파일의 경로를 매핑하는 CSV 형식의 파일입니다.