Azure 104 연습 문제 39

 

문제 226 (파트 14)

문제: 구독 이름이 subscription one인 Azure 구독이 있습니다. 아래와 같이 3계층 애플리케이션을 배포하려고 합니다. 규정 준수 요구 사항으로 인해 다음 사항에 대한 솔루션을 찾아야 합니다.

1. 웹 계층과 애플리케이션 계층 간의 트래픽은 모든 가상 머신에 동일하게 분산되어야 합니다.
2. 웹 계층은 SQL 삽입 공격으로부터 보호되어야 합니다.

아래 제시된 3계층 아키텍처를 살펴보겠습니다.

첫 번째 계층은 웹 계층,

두 번째 계층은 애플리케이션 계층,

세 번째 계층은 Microsoft SQL 서버인 데이터 계층입니다.

웹 계층은 인터넷에서 접근 가능하며,

애플리케이션 계층과 데이터 계층은 인터넷에서 접근할 수 없습니다.

웹 계층에는 5개의 가상 머신,

애플리케이션 계층에는 10개,

데이터 계층에는 2개의 가상 머신이 있습니다.

각 요구 사항에 대해 어떤 Azure 솔루션을 추천하시겠습니까? 드롭다운 메뉴에서 올바른 답을 선택하세요.

보기:

• 첫 번째 요구 사항 (웹 계층과 애플리케이션 계층 간 트래픽 분산)

1. 내부 부하 분산 장치
2. 공용 부하 분산 장치
3. Application Gateway Standard tier
4. Traffic Manager
5. Application Gateway WAF tier

• 두 번째 요구 사항 (웹 계층의 SQL 삽입 공격 방지): (보기는 첫 번째 요구 사항과 동일)

1. 내부 부하 분산 장치
2. 공용 부하 분산 장치
3. Application Gateway Standard tier
4. Traffic Manager
5. Application Gateway WAF tier

 

 

정답:

• 첫 번째 요구 사항: 내부 부하 분산 장치
• 두 번째 요구 사항: Application Gateway WAF 티어

해설:

첫 번째 요구 사항은 웹 계층과 애플리케이션 계층 사이의 트래픽을 모든 가상 머신에 균등하게 분산하는 것입니다. 이를 위해서는 내부 부하 분산 장치가 필요합니다. 내부 부하 분산 장치는 가상 네트워크 내의 리소스로 트래픽을 분산합니다. 반면, 공용 부하 분산 장치는 인터넷 연결 엔드포인트로 들어오고 나가는 트래픽을 분산합니다. Application Gateway는 웹 트래픽 관리에 특화된 서비스이며, WAF(Web Application Firewall) 기능을 제공하여 웹 애플리케이션을 보호할 수 있지만, 단순히 내부 트래픽을 균등하게 분산하는 기본 기능으로는 내부 부하 분산 장치가 더 적합합니다. Traffic Manager는 DNS 기반의 트래픽 라우팅 서비스로, 지역 간의 트래픽을 관리하는 데 주로 사용됩니다.

두 번째 요구 사항은 웹 계층을 SQL 삽입 공격으로부터 보호하는 것입니다. 이를 위해서는 Application Gateway WAF 티어를 배포해야 합니다. Application Gateway의 WAF 기능은 일반적인 익스플로잇 및 취약점으로부터 웹 애플리케이션을 능동적으로 보호합니다. 제공된 그림에서도 Application Gateway를 통해 SQL 삽입과 같은 공격을 방어하는 것을 확인할 수 있습니다.

 

Azure Load Balancer

Azure Load Balancer는 OSI(Open Systems Interconnection) 모델의 4계층에서 작동합니다. 클라이언트를 위한 단일 접점입니다. 이 서비스는 부하 분산 장치의 프런트엔드에 도착하는 인바운드 흐름을 백엔드 풀 인스턴스로 분산합니다. 이러한 흐름은 구성된 부하 분산 규칙 및 상태 프로브에 따라 분산됩니다. 백엔드 풀 인스턴스는 Azure 가상 머신(VM) 또는 가상 머신 확장 집합일 수 있습니다.

공용 부하 분산 장치는 가상 네트워크 내 VM에 대한 인바운드 및 아웃바운드 연결을 모두 제공할 수 있습니다. 인바운드 트래픽 시나리오의 경우, Azure Load Balancer는 VM으로의 인터넷 트래픽 부하를 분산할 수 있습니다. 아웃바운드 트래픽 시나리오의 경우, 이 서비스는 VM에서 발생하는 모든 아웃바운드 연결에 대해 VM의 개인 IP 주소를 공용 IP 주소로 변환할 수 있습니다.

또는 내부(또는 프라이빗) 로드 밸런서는 프라이빗 네트워크 연결 시나리오(예: 하이브리드 환경에서 온프레미스 네트워크에서 로드 밸런서 프런트엔드에 액세스하는 경우)에서 VM에 대한 인바운드 연결을 제공할 수 있습니다. 내부 로드 밸런서는 가상 네트워크 내부 트래픽의 로드 밸런싱에 사용됩니다.

https://learn.microsoft.com/en-us/azure/load-balancer/load-balancer-overview

What is Azure Load Balancer? - Azure Load Balancer

 

Application Gateway WAF 티어

Azure Application Gateway의 Azure 웹 애플리케이션 방화벽(WAF)은 일반적인 익스플로잇 및 취약점으로부터 웹 애플리케이션을 적극적으로 보호합니다. 웹 애플리케이션이 악의적인 공격의 표적이 되는 경우가 많아짐에 따라, 이러한 공격은 SQL 삽입 및 크로스 사이트 스크립팅과 같은 잘 알려진 취약점을 악용하는 경우가 많습니다.

Application Gateway의 WAF는 OWASP(Open Web Application Security Project)의 CRS(Core Rule Set) 를 기반으로 합니다 .

다음 WAF 기능은 모두 WAF 정책 내에 존재합니다. 여러 정책을 생성하여 Application Gateway, 개별 리스너 또는 Application Gateway의 경로 기반 라우팅 규칙에 연결할 수 있으며, 필요한 경우 Application Gateway 뒤의 각 사이트에 대해 별도의 정책을 정의할 수 있습니다. 

 

 

 

What is Azure Web Application Firewall on Azure Application Gateway?

 

---

 

문제 227

문제: subscription one이라는 이름의 Azure 구독이 있으며, 다음과 같은 리소스 그룹을 포함하고 있습니다.

이름	지역	태그
RG1	West US	Tag 1	Value 1

 

다음 구성을 사용하여 policy 1이라는 Azure 정책을 subscription 1에 할당합니다.

• 제외 사항: 없음
• Policy 정의 : Append tag and its default value
•  Assignment name : policy1
• 매개 변수: 
  
  • Tag name : Tag2
  • Tag value : Value2

policy 1이 할당된 후 다음과 같은 구성을 가진 스토리지 계정을 만듭니다.

• 이름: Storage 1
• 위치: West US
• 리소스 그룹: RG1
• 태그: Tag3, Value3

각 리소스에 할당된 태그를 식별해야 합니다. 답 영역에서 적절한 옵션을 선택하세요. 각 올바른 선택 항목은 1점입니다.

보기:

• RG1에 할당된 태그:
  1. Tag1 - Value 1
  2. Tag 2 - Value 2
  3. Tag 1 - Value 1 and Tag 2 - Value 2
• Storage1에 할당된 태그:
  1. Tag 3 - Value 3
  2. Tag 1 - Value 1 and Tag 3 - Value 3
  3. Tag 2- Value 2 and Tag 3 - Value 33
  4. Tag 1 - Value 1, Tag 2 - Value 2 and Tag 3 - Value 3

 

 

 

정답:

• RG1에 할당된 태그: Tag 1 - Value 1
• Storage 1에 할당된 태그: Tag 2 - Value 2, Tag 3 - Value 3

해설:

리소스 그룹에 적용된 태그는 해당 리소스 그룹 내의 리소스에 상속되지 않습니다. 따라서 RG1에는 처음에 정의된 Tag 1 - Value 1만 유지됩니다.

정책을 할당하면 해당 정책의 필터에 맞는 모든 항목을 검사합니다. 이 경우 policy 1이 subscription 1에 할당되었으므로, 해당 구독 내의 모든 리소스를 검사합니다. 리소스 그룹은 리소스로 간주되지 않으므로, 정책에 의한 태그 할당 대상이 아닙니다.

새로 생성된 storage 1 스토리지 계정은 생성 시에 Tag 3 - Value3 라는 태그를 가집니다. 또한, subscription 1에 적용된 policy 1에 의해 Tag 2- Value 2라는 태그가 추가로 할당됩니다. 따라서 storage 1에는 Tag 2 - Value 2와 Tag 3 - Value 3두 개의 태그가 할당됩니다.

 

---

 

문제 228

문제: test RG라는 이름의 리소스 그룹을 포함하는 Azure 구독이 있습니다. 이 test RG를 사용하여 Azure 배포를 검증해야 합니다. test RG에는 다음 리소스가 포함되어 있으며, test RG를 삭제해야 합니다. 가장 먼저 무엇을 해야 합니까?

이름	유형	설명
VM1	Virtual Machine	VM1이 동작하고 있고, 매일 Vault1을 백업하도록 세팅되어 있다.
Vault1	Recovery Services Vault	VM1의  모든 백업을 포함하는 Vault1
VNET1	Virtual network	VNET1 이 삭제 잠금이 되어 있는 리소스를 가지고 있음

 

보기:

• A. Virtual Machine 1의 백업 구성을 수정하고 vnet one의 리소스 잠금 유형을 수정합니다.
• B. Virtual Machine 1을 끄고 Vault1 의 모든 데이터를 삭제합니다.
• C. VNET1 에서 리소스 잠금을 제거하고 Vault1 의 모든 데이터를 삭제합니다.
• D. Virtual Machine 1 을 끄고 VNET1 에서 리소스 잠금을 제거합니다.

 

 

 

정답:

• C. VNET1 에서 리소스 잠금을 제거하고 Vault1 의 모든 데이터를 삭제합니다.

해설:

리소스 그룹을 삭제하면 해당 리소스 그룹 내의 모든 리소스가 함께 삭제됩니다. 리소스를 실수로 삭제하거나 수정하는 것을 방지하기 위해 리소스, 리소스 그룹, 구독에 잠금을 설정할 수 있습니다. 잠금은 사용자가 가진 모든 권한보다 우선합니다. 따라서 test RG를 삭제하기 전에 해당 리소스 그룹 내의 리소스와 관련된 모든 종속성을 제거해야 합니다.

문제의 표를 보면 VNET1  에 삭제 방지 리소스 잠금이 적용되어 있음을 알 수 있습니다. 따라서 리소스 그룹을 삭제하기 전에 먼저 VNET1  에서 리소스 잠금을 제거해야 합니다.

또한, 백업 데이터가 포함된 Recovery Services 자격 증명 모음은 바로 삭제할 수 없습니다. 따라서 vault one에 있는 vm1의 백업 데이터를 먼저 삭제해야 리소스 그룹 삭제가 가능합니다. 백업 데이터를 삭제하면 소프트 삭제 상태로 전환될 수 있으므로 완전히 삭제하는 단계를 거쳐야 합니다.

따라서 가장 먼저 해야 할 작업은 VNET1  에서 리소스 잠금을 제거하고 Vault1 의 모든 데이터를 삭제하는 것입니다.

 

잠금 구성

Azure 포털

왼쪽 탐색 패널에서 구독 잠금 기능의 이름은 리소스 잠금 이고 , 리소스 그룹 잠금 기능의 이름은 잠금 입니다 .

1. 잠그려는 리소스, 리소스 그룹 또는 구독의 설정 블레이드에서 잠금을 선택합니다 .

    메모

   관리 그룹에 잠금을 추가할 수 없습니다.

   1. 

2. 잠금을 추가하려면 '추가'를 선택하세요 . 상위 수준에서 잠금을 생성하려면 상위 항목을 선택하세요. 현재 선택된 리소스는 상위 항목의 잠금을 상속받습니다. 예를 들어, 리소스 그룹을 잠가서 해당 리소스의 모든 리소스에 잠금을 적용할 수 있습니다.

   1. 

3. 잠금 장치에 이름과 잠금 수준을 지정하세요. 원하는 경우 잠금 장치에 대한 설명을 추가할 수 있습니다.

   1. 

4. 잠금을 삭제하려면 삭제 버튼을 선택하세요.

   1. 

https://learn.microsoft.com/en-us/azure/azure-resource-manager/management/lock-resources?tabs=json

Lock your Azure resources to protect your infrastructure - Azure Resource Manager

 

 

---

문제 229

문제: Subscription 1이라는 이름의 Azure 구독이 있습니다. 이 구독에는 다음 표와 같이 리소스 그룹이 포함되어 있습니다. RG1에는 WebApp1이라는 웹앱이 있으며, 이 웹앱은 West Europe에 있습니다. 이 WebApp1 을 North Europe에 있는 RG2로 이동해야 합니다. 이 이동의 결과는 무엇입니까?

Name	Azure Reion	정책
RG1	West Europe	Policy 1
RG2	North Europe	Policy 2
RG3	France Central	Policy 3

 

보기

• A. WebApp1 의 App Service Plan은 West Europe에 남아 있고 Policy 2가 WebApp1 에 적용됩니다.
• B. WebApp1 의 App Service Plan은 North Europe으로 이동하고 Policy 2가 WebApp1 에 적용됩니다.
• C. WebApp1 의 App Service Plan은 West Europe에 남아 있지만 Policy 1이 WebApp1 에 적용됩니다.
• D. WebApp1 의 App Service Plan은 North Europe으로 이동하고 Policy 1이 WebApp1 에 적용됩니다.

정답:

• A. WebApp1 의 App Service Plan은 West Europe에 남아 있고 Policy 2가 WebApp1 에 적용됩니다.

해설:

웹앱을 다른 리소스 그룹으로 이동할 때, App Service Plan은 원래 있던 지역(West Europe)에 그대로 유지됩니다.

App Service Plan을 변경하려면 원본 App Service Plan과 대상 App Service Plan이 동일한 리소스 그룹에 있어야 합니다.

정책은 구독 또는 리소스 그룹에 적용되며, 리소스를 다른 리소스 그룹으로 이동하면 **새로운 리소스 그룹에 적용된 정책(Policy two)**이 해당 리소스에 적용됩니다. 따라서 web app one을 rg2로 이동하면 Policy two가 적용됩니다.

따라서 정답은 WebApp1 의 App Service Plan은 West Europe에 남아 있고 Policy 1가 WebApp1 에 적용됩니다. 

 

 

---

문제 230

문제: 다음 표의 리소스를 포함하는 Azure 구독이 있습니다.Store 1은 Azure 스토리지 계정이며, Data라는 파일 공유를 포함하고 있습니다. Data에는 5,000개의 파일이 있습니다. Data라는 파일 공유의 파일을 Server1이라는 온프레미스 서버에 동기화해야 합니다. 수행해야 하는 세 가지 작업은 무엇입니까? 각 정답 선택은 솔루션의 일부를 나타내며, 각 올바른 선택 항목은 1점입니다.

이름	유형
RG1	Resource Group
Store 1	Storage Account
Sync 1	Azure File Sync

 

보기:

• A. 컨테이너 인스턴스 만들기
• B. Server 1 등록
• C. Server 1에 Azure File Sync 에이전트 설치
• D. 자동화 스크립트 다운로드
• E. 동기화 그룹 만들기

정답:

• B. Server 1등록
• C. Server 1에 Azure File Sync 에이전트 설치
• E. 동기화 그룹 만들기

해설:

Azure File Sync를 사용하여 Azure 파일 공유와 온프레미스 서버 간에 파일을 동기화하려면 다음과 같은 단계를 수행해야 합니다:

1. Azure File Sync 에이전트를 온프레미스 서버(Server1)에 설치합니다. 이 에이전트는 Windows Server를 Azure 파일 공유와 동기화할 수 있도록 해주는 다운로드 가능한 패키지입니다.
2. 온프레미스 서버(Server 1)를 스토리지 동기화 서비스에 등록합니다. 이는 서버와 스토리지 동기화 서비스 간의 신뢰 관계를 설정하는 과정입니다.
3. 동기화 그룹을 만듭니다. 동기화 그룹은 동기화할 Azure 파일 공유와 서버 엔드포인트를 정의합니다.

보기 A (컨테이너 인스턴스 만들기)와 D (자동화 스크립트 다운로드)는 Azure File Sync를 설정하는 데 직접적으로 필요한 단계는 아닙니다.

따라서 올바른 세 가지 작업은 Server one에 Azure File Sync 에이전트 설치, Server 1 등록, 동기화 그룹 만들기입니다. 이 순서대로 작업을 수행해야 파일 동기화가 올바르게 구성됩니다.

사용된 Azure 용어 설명 

다음은 문제에 사용된 주요 Azure 용어들을 이해하기 쉬운 수준으로 설명한 것입니다.

• Azure (애저): Microsoft에서 제공하는 클라우드 컴퓨팅 플랫폼입니다. 쉽게 말해, 인터넷을 통해 서버, 스토리지, 네트워크, 소프트웨어 등 다양한 IT 자원을 빌려 쓰고 관리할 수 있게 해주는 서비스입니다. 마치 전기나 수도처럼 필요한 만큼만 사용하고 사용한 만큼만 비용을 지불하는 방식이라고 생각하면 됩니다.
• 구독 (Subscription): Azure 서비스를 사용하기 위한 계정 단위입니다. 신용카드나 결제 정보를 등록하고, 이 구독 안에서 다양한 Azure 리소스를 만들고 관리할 수 있습니다. 프로젝트별, 부서별로 구독을 나누어 관리할 수도 있습니다.
• 리소스 (Resource): Azure에서 제공하는 모든 IT 자원을 의미합니다. 가상 머신, 데이터베이스, 웹 애플리케이션, 스토리지 계정, 네트워크 등 다양한 종류가 있습니다. 마치 컴퓨터, 모니터, 키보드 같은 하드웨어나 운영체제, 응용 프로그램 같은 소프트웨어를 클라우드 환경에서 사용하는 것이라고 생각하면 됩니다.
• 리소스 그룹 (Resource Group): Azure 리소스를 논리적으로 그룹화하는 컨테이너입니다. 관련 있는 리소스들을 함께 묶어서 쉽게 관리, 배포, 모니터링, 삭제할 수 있습니다. 마치 폴더를 만들어 관련 파일을 정리하는 것과 비슷합니다.
• 가상 머신 (Virtual Machine, VM): 클라우드 환경에서 제공되는 가상의 컴퓨터입니다. 운영체제, 애플리케이션 등을 설치하고 마치 실제 컴퓨터처럼 사용할 수 있습니다. 필요한 사양의 VM을 선택하여 생성하고, 사용량에 따라 비용을 지불합니다.
• 부하 분산 장치 (Load Balancer): 들어오는 네트워크 트래픽을 여러 서버에 분산시켜서 애플리케이션의 가용성과 성능을 향상시키는 서비스입니다. 웹사이트에 사용자가 몰릴 때 여러 대의 서버가 나누어서 처리하도록 해주는 역할을 합니다. 마치 교통량이 많은 도로에서 여러 개의 길로 차량을 분산시키는 것과 같습니다.
  • 내부 부하 분산 장치 (Internal Load Balancer): Azure 가상 네트워크 내의 리소스 간의 트래픽을 분산합니다.
  • 공용 부하 분산 장치 (Public Load Balancer): 인터넷에서 들어오는 트래픽을 Azure 리소스로 분산합니다.
• Application Gateway: 웹 애플리케이션 트래픽을 관리하는 부하 분산 장치입니다. 일반적인 부하 분산 기능 외에도 SSL 종료, 사용자 지정 도메인, 웹 애플리케이션 방화벽 (Web Application Firewall, WAF) 등의 고급 기능을 제공합니다.
  • 웹 애플리케이션 방화벽 (WAF): 웹 애플리케이션을 악의적인 공격으로부터 보호하는 보안 서비스입니다. SQL 삽입, 크로스 사이트 스크립팅(XSS)과 같은 일반적인 웹 공격을 탐지하고 차단합니다.
• Traffic Manager: DNS (Domain Name System) 기반의 트래픽 라우팅 서비스입니다. 전 세계 여러 지역에 배포된 애플리케이션으로 트래픽을 지리적 위치, 성능, 가용성 등의 규칙에 따라 분산시킵니다. 마치 여러 개의 웹사이트 주소 중 가장 가까운 또는 응답 속도가 빠른 곳으로 안내해주는 네비게이션 시스템과 같습니다.
• Azure Policy (애저 정책): Azure 리소스에 대한 규칙을 정의하고 적용하는 서비스입니다. 보안, 규정 준수, 비용 관리 등을 위한 정책을 만들어 조직 내의 모든 Azure 리소스에 일관성 있게 적용할 수 있습니다. 마치 회사의 IT 보안 규정을 정의하고 모든 직원들에게 적용하는 것과 같습니다.
• 태그 (Tag): Azure 리소스에 메타데이터를 추가하는 기능입니다. 리소스를 분류하고 관리하는 데 유용하며, 비용 추적, 정책 적용 등에 활용될 수 있습니다. 마치 파일에 꼬리표를 붙여서 쉽게 찾고 분류하는 것과 같습니다.
• App Service Plan: 웹앱, API 앱, 모바일 앱과 같은 App Service를 실행하는 데 필요한 컴퓨팅 리소스 집합입니다. CPU, 메모리, 스토리지 용량, 가격 티어 등을 정의합니다. 마치 웹사이트를 호스팅하기 위한 서버의 사양이라고 생각하면 됩니다.
• Recovery Services Vault: Azure Backup, Azure Site Recovery와 같은 데이터 보호 서비스에서 백업 데이터, 복제된 가상 머신 등을 저장하는 중앙 집중식 관리 공간입니다. 중요한 데이터를 안전하게 보관하고 재해 발생 시 복구할 수 있도록 지원합니다. 마치 회사의 중요한 문서를 보관하는 금고와 같습니다.
• 리소스 잠금 (Resource Lock): Azure 리소스가 실수로 삭제되거나 변경되는 것을 방지하는 기능입니다. 삭제 금지 (CanNotDelete) 또는 읽기 전용 (ReadOnly)의 두 가지 유형이 있습니다. 중요한 리소스에 잠금을 설정하여 안정성을 높일 수 있습니다.
• Azure File Sync: 온프레미스 Windows Server의 파일 공유를 Azure Files와 동기화하는 서비스입니다. 클라우드의 유연성과 온프레미스의 성능 및 호환성을 결합하여 파일 공유를 중앙 집중식으로 관리할 수 있도록 해줍니다. 마치 개인용 클라우드 서비스를 회사 내부에 구축하는 것과 유사합니다.
• Azure Files: 클라우드에서 완전히 관리되는 파일 공유 서비스입니다. SMB (Server Message Block) 프로토콜을 통해 접근할 수 있으며, 온프레미스 파일 서버처럼 사용할 수 있습니다.