AZ-305-KR 문제 6
사례 연구 1 - Litware
기존 환경
Azure 환경
Litware에는 Litware.com 테넌트에 연결된 10개의 Azure 구독과 dev.litware.com 테넌트에 연결된 5개의 Azure 구독이 있습니다. 모든 구독은 기업 계약(EA)에 따라 제공됩니다.
litware.com 테넌트에는 DataActions에 Azure Storage의 Blob 및 파일에 대한 읽기 권한을 부여하는 Role1이라는 사용자 지정 Azure 역할 기반 액세스 제어(Azure RBAC) 역할이 포함되어 있습니다.
온프레미스 환경
Litware의 온프레미스 네트워크에는 다음 표에 표시된 리소스가 포함되어 있습니다.
네트워크 환경
Litware는 Azure에 ExpressRoute 연결을 제공합니다.
계획된 변경 사항 및 요구 사항
Litware는 다음과 같은 변경 사항을 구현할 계획입니다.
* DB1 및 DB2를 Azure로 마이그레이션합니다.
* App1을 Azure 가상 머신으로 마이그레이션합니다.
* App1에서 사용하는 외부 저장소를 Azure Storage로 마이그레이션합니다.
* App1을 호스팅할 Azure 가상 머신을 Azure 전용 호스트에 배포합니다.
인증 및 권한 부여 요구 사항
Litware는 다음과 같은 인증 및 권한 부여 요구 사항을 식별합니다.
* Azure Portal을 사용하여 프로덕션 환경을 관리하는 사용자만 하이브리드 Azure AD에 가입된 장치에서 연결하고 Azure Multi-Factor Authentication(MFA)을 사용하여 인증해야 합니다.
* 네트워크 관리자에게 모든 Azure 구독의 모든 가상 네트워크에 대한 권한을 부여하려면 네트워크 참여자 기본 제공 RBAC 역할을 사용해야 합니다.
* Azure의 리소스에 액세스하려면 App1은 앱을 호스팅할 가상 머신의 관리 ID를 사용해야 합니다.
* RBAC 역할은 가능한 가장 높은 수준에서 적용되어야 합니다.
복원력 요구 사항
Litware는 다음과 같은 복원력 요구 사항을 식별합니다.
* Azure로 마이그레이션한 후 DB1 및 DB2는 다음 요구 사항을 충족해야 합니다.
- 로컬 Azure 지역의 두 가용성 영역에 장애가 발생하더라도 가용성을 유지합니다.
- 자동으로 장애 조치합니다.
- I/O 지연 시간을 최소화합니다.
* App1은 다음 요구 사항을 충족해야 합니다.
- 가용성 영역을 지원하는 Azure 지역에 호스팅됩니다.
- 자동 크기 조정을 지원하는 Azure 가상 머신에 호스팅됩니다.
- 로컬 Azure 지역의 두 가용성 영역에 장애가 발생하더라도 가용성을 유지합니다.
보안 및 규정 준수 요구 사항
Litware는 다음과 같은 보안 및 규정 준수 요구 사항을 식별합니다.
* App1을 Azure로 마이그레이션한 후에는 앱에 새 데이터를 쓸 수 있는지 확인해야 하며, 3년 동안 새 데이터와 기존 데이터를 수정할 수 없도록 해야 합니다.
* 온-프레미스 사용자와 서비스는 App1의 데이터를 호스팅할 Azure Storage 계정에 액세스할 수 있어야 합니다.
* App1 데이터를 호스팅할 Azure Storage 계정의 공용 엔드포인트에 대한 액세스를 차단해야 합니다.
* 프로덕션 환경의 모든 Azure SQL 데이터베이스에서는 TDE(투명 데이터 암호화)가 활성화되어 있어야 합니다.
* App1은 다른 작업 부하와 물리적 하드웨어를 공유해서는 안 됩니다.
비즈니스 요구 사항
Litware는 다음과 같은 비즈니스 요구 사항을 식별합니다.
* 행정적 노력을 최소화합니다.
* 비용을 최소화합니다.
네트워크 기여자 역할에 대한 Azure RBAC 역할 할당을 구현해야 합니다. 솔루션은 인증 및 권한 부여 요구 사항을 충족해야 합니다.
반드시 사용해야 하는 최소 과제 수는 얼마입니까?
기존 환경
Azure 환경
Litware에는 Litware.com 테넌트에 연결된 10개의 Azure 구독과 dev.litware.com 테넌트에 연결된 5개의 Azure 구독이 있습니다. 모든 구독은 기업 계약(EA)에 따라 제공됩니다.
litware.com 테넌트에는 DataActions에 Azure Storage의 Blob 및 파일에 대한 읽기 권한을 부여하는 Role1이라는 사용자 지정 Azure 역할 기반 액세스 제어(Azure RBAC) 역할이 포함되어 있습니다.
온프레미스 환경
Litware의 온프레미스 네트워크에는 다음 표에 표시된 리소스가 포함되어 있습니다.
네트워크 환경
Litware는 Azure에 ExpressRoute 연결을 제공합니다.
계획된 변경 사항 및 요구 사항
Litware는 다음과 같은 변경 사항을 구현할 계획입니다.
* DB1 및 DB2를 Azure로 마이그레이션합니다.
* App1을 Azure 가상 머신으로 마이그레이션합니다.
* App1에서 사용하는 외부 저장소를 Azure Storage로 마이그레이션합니다.
* App1을 호스팅할 Azure 가상 머신을 Azure 전용 호스트에 배포합니다.
인증 및 권한 부여 요구 사항
Litware는 다음과 같은 인증 및 권한 부여 요구 사항을 식별합니다.
* Azure Portal을 사용하여 프로덕션 환경을 관리하는 사용자만 하이브리드 Azure AD에 가입된 장치에서 연결하고 Azure Multi-Factor Authentication(MFA)을 사용하여 인증해야 합니다.
* 네트워크 관리자에게 모든 Azure 구독의 모든 가상 네트워크에 대한 권한을 부여하려면 네트워크 참여자 기본 제공 RBAC 역할을 사용해야 합니다.
* Azure의 리소스에 액세스하려면 App1은 앱을 호스팅할 가상 머신의 관리 ID를 사용해야 합니다.
* RBAC 역할은 가능한 가장 높은 수준에서 적용되어야 합니다.
복원력 요구 사항
Litware는 다음과 같은 복원력 요구 사항을 식별합니다.
* Azure로 마이그레이션한 후 DB1 및 DB2는 다음 요구 사항을 충족해야 합니다.
- 로컬 Azure 지역의 두 가용성 영역에 장애가 발생하더라도 가용성을 유지합니다.
- 자동으로 장애 조치합니다.
- I/O 지연 시간을 최소화합니다.
* App1은 다음 요구 사항을 충족해야 합니다.
- 가용성 영역을 지원하는 Azure 지역에 호스팅됩니다.
- 자동 크기 조정을 지원하는 Azure 가상 머신에 호스팅됩니다.
- 로컬 Azure 지역의 두 가용성 영역에 장애가 발생하더라도 가용성을 유지합니다.
보안 및 규정 준수 요구 사항
Litware는 다음과 같은 보안 및 규정 준수 요구 사항을 식별합니다.
* App1을 Azure로 마이그레이션한 후에는 앱에 새 데이터를 쓸 수 있는지 확인해야 하며, 3년 동안 새 데이터와 기존 데이터를 수정할 수 없도록 해야 합니다.
* 온-프레미스 사용자와 서비스는 App1의 데이터를 호스팅할 Azure Storage 계정에 액세스할 수 있어야 합니다.
* App1 데이터를 호스팅할 Azure Storage 계정의 공용 엔드포인트에 대한 액세스를 차단해야 합니다.
* 프로덕션 환경의 모든 Azure SQL 데이터베이스에서는 TDE(투명 데이터 암호화)가 활성화되어 있어야 합니다.
* App1은 다른 작업 부하와 물리적 하드웨어를 공유해서는 안 됩니다.
비즈니스 요구 사항
Litware는 다음과 같은 비즈니스 요구 사항을 식별합니다.
* 행정적 노력을 최소화합니다.
* 비용을 최소화합니다.
네트워크 기여자 역할에 대한 Azure RBAC 역할 할당을 구현해야 합니다. 솔루션은 인증 및 권한 부여 요구 사항을 충족해야 합니다.
반드시 사용해야 하는 최소 과제 수는 얼마입니까?
AZ-305-KR 문제 7
핫스팟 질문
Azure 구독이 있습니다.
문서를 저장할 저장소 계정을 만듭니다.
다음 요구 사항을 충족하도록 저장소 계정을 구성해야 합니다.
- 보존 정책이 표준화되었는지 확인하십시오.
신청.
- 데이터가 복사되는 경우 데이터를 삭제할 수 있는지 확인하십시오.
허가받지 않은 위치.
어떤 두 가지 설정을 활성화해야 할까요? 답변하려면 답변 영역에서 적절한 설정을 선택하세요.
참고: 정답 하나당 1점입니다.
Azure 구독이 있습니다.
문서를 저장할 저장소 계정을 만듭니다.
다음 요구 사항을 충족하도록 저장소 계정을 구성해야 합니다.
- 보존 정책이 표준화되었는지 확인하십시오.
신청.
- 데이터가 복사되는 경우 데이터를 삭제할 수 있는지 확인하십시오.
허가받지 않은 위치.
어떤 두 가지 설정을 활성화해야 할까요? 답변하려면 답변 영역에서 적절한 설정을 선택하세요.
참고: 정답 하나당 1점입니다.
AZ-305-KR 문제 8
다음 표에 나와 있는 리소스가 있습니다.
CDB1은 지속적으로 업데이트된 운영 데이터를 저장하는 컨테이너를 호스팅합니다.
AS1을 사용하여 매일 운영 데이터를 분석하는 솔루션을 설계하고 있습니다.
운영 데이터 저장소의 성능에 영향을 주지 않고 데이터를 분석할 수 있는 솔루션을 추천해야 합니다.
추천서에는 무엇을 포함해야 하나요?
CDB1은 지속적으로 업데이트된 운영 데이터를 저장하는 컨테이너를 호스팅합니다.
AS1을 사용하여 매일 운영 데이터를 분석하는 솔루션을 설계하고 있습니다.
운영 데이터 저장소의 성능에 영향을 주지 않고 데이터를 분석할 수 있는 솔루션을 추천해야 합니다.
추천서에는 무엇을 포함해야 하나요?
AZ-305-KR 문제 9
사례 연구 3 - Contoso
기존 환경: 기술 환경
온프레미스 네트워크에는 contoso.com이라는 단일 Active Directory 도메인이 포함되어 있습니다.
Contoso에는 Azure 구독이 하나 있습니다.
기존 환경: 비즈니스 파트너십
Contoso는 Fabrikam, Inc.와 비즈니스 파트너십을 맺고 있습니다. Fabrikam 사용자는 Azure Active Directory(Azure AD) 게스트 계정을 사용하여 인터넷을 통해 일부 Contoso 애플리케이션에 액세스합니다.
요구 사항: 계획된 변경 사항
Contoso는 App1과 App2라는 두 개의 애플리케이션을 Azure에 배포할 계획입니다.
요구사항: App1
App1은 Azure App Service에서 호스팅되는 Python 웹앱으로, Linux 런타임이 필요합니다. Contoso와 Fabrikam의 사용자가 App1에 액세스합니다.
App1은 타사 자격 증명과 액세스 문자열이 필요한 여러 서비스에 액세스합니다. 자격 증명과 액세스 문자열은 Azure Key Vault에 저장됩니다.
App1에는 인스턴스가 6개 있습니다. 3개는 미국 동부 Azure 지역에 있고 3개는 유럽 서부 Azure 지역에 있습니다.
App1에는 다음과 같은 데이터 요구 사항이 있습니다.
* 각 인스턴스는 인스턴스와 동일한 가용성 영역에 있는 데이터 저장소에 데이터를 씁니다.
* App1 인스턴스에서 작성된 데이터는 모든 App1 인스턴스에서 볼 수 있어야 합니다.
App1은 인터넷에서만 접속 가능합니다. App1의 연결 요구 사항은 다음과 같습니다.
* App1에 대한 연결은 WAF(웹 애플리케이션 방화벽)를 통과해야 합니다.
* App1에 대한 연결은 인스턴스 간에 활성-활성 부하 분산이 이루어져야 합니다.
* 북미에서 App1로 연결되는 모든 연결은 미국 동부 지역으로 연결되어야 합니다. 그 외 모든 연결은 유럽 서부 지역으로 연결되어야 합니다.
매 시간마다 모든 App1 인스턴스에서 파일을 복사하는 PowerShell 스크립트를 호출하여 유지 관리 작업을 실행합니다. PowerShell 스크립트는 중앙 위치에서 실행됩니다.
요구 사항: App2
App2는 Windows 런타임이 필요한 App Service에서 호스팅되는 NET 앱입니다. App2의 파일 저장 요구 사항은 다음과 같습니다.
* Azure Storage 계정에 파일을 저장합니다.
* 온프레미스 위치로 파일을 복제합니다.
* 온프레미스 클라이언트가 SMB 프로토콜을 사용하여 LAN을 통해 파일을 읽을 수 있는지 확인하세요.
애플리케이션 내에서 다양한 트랜잭션을 수행하는 데 걸리는 시간을 분석하려면 App2를 모니터링해야 합니다. 솔루션은 애플리케이션 코드를 변경할 필요가 없어야 합니다.
애플리케이션 개발 요구 사항
애플리케이션 개발자는 App1과 App2의 새로운 버전을 지속적으로 개발합니다. 개발 프로세스는 다음 요구 사항을 충족해야 합니다.
* 새로운 애플리케이션 버전의 스테이징 인스턴스는 새로운 버전을 프로덕션에 사용하기 전에 애플리케이션 호스트에 배포되어야 합니다.
* 새로운 버전을 테스트한 후, 애플리케이션의 스테이징 버전이 프로덕션 버전을 대체하게 됩니다.
* 스테이징에서 프로덕션으로의 새로운 애플리케이션 버전으로의 전환은 애플리케이션을 중단하지 않고 이루어져야 합니다.
신원 요구 사항
Contoso는 Fabrikam의 리소스 액세스를 관리하기 위해 다음과 같은 요구 사항을 파악했습니다.
* 매달 Fabrikam의 계정 관리자는 App1에 대한 접근 권한이 있는 Fabrikam 사용자를 검토해야 합니다. 더 이상 권한이 필요하지 않은 계정은 게스트 계정에서 삭제해야 합니다.
* 솔루션은 개발 노력을 최소화해야 합니다.
보안 요구 사항
Azure 서비스에서 사용하는 모든 비밀은 Azure Key Vault에 저장되어야 합니다.
자격 증명이 필요한 서비스는 서비스 인스턴스에 연결된 자격 증명을 가져야 합니다. 자격 증명은 서비스 간에 공유되어서는 안 됩니다.
App2에 대한 모니터링 요구 사항을 충족하기 위해 무엇을 권장해야 합니까?
기존 환경: 기술 환경
온프레미스 네트워크에는 contoso.com이라는 단일 Active Directory 도메인이 포함되어 있습니다.
Contoso에는 Azure 구독이 하나 있습니다.
기존 환경: 비즈니스 파트너십
Contoso는 Fabrikam, Inc.와 비즈니스 파트너십을 맺고 있습니다. Fabrikam 사용자는 Azure Active Directory(Azure AD) 게스트 계정을 사용하여 인터넷을 통해 일부 Contoso 애플리케이션에 액세스합니다.
요구 사항: 계획된 변경 사항
Contoso는 App1과 App2라는 두 개의 애플리케이션을 Azure에 배포할 계획입니다.
요구사항: App1
App1은 Azure App Service에서 호스팅되는 Python 웹앱으로, Linux 런타임이 필요합니다. Contoso와 Fabrikam의 사용자가 App1에 액세스합니다.
App1은 타사 자격 증명과 액세스 문자열이 필요한 여러 서비스에 액세스합니다. 자격 증명과 액세스 문자열은 Azure Key Vault에 저장됩니다.
App1에는 인스턴스가 6개 있습니다. 3개는 미국 동부 Azure 지역에 있고 3개는 유럽 서부 Azure 지역에 있습니다.
App1에는 다음과 같은 데이터 요구 사항이 있습니다.
* 각 인스턴스는 인스턴스와 동일한 가용성 영역에 있는 데이터 저장소에 데이터를 씁니다.
* App1 인스턴스에서 작성된 데이터는 모든 App1 인스턴스에서 볼 수 있어야 합니다.
App1은 인터넷에서만 접속 가능합니다. App1의 연결 요구 사항은 다음과 같습니다.
* App1에 대한 연결은 WAF(웹 애플리케이션 방화벽)를 통과해야 합니다.
* App1에 대한 연결은 인스턴스 간에 활성-활성 부하 분산이 이루어져야 합니다.
* 북미에서 App1로 연결되는 모든 연결은 미국 동부 지역으로 연결되어야 합니다. 그 외 모든 연결은 유럽 서부 지역으로 연결되어야 합니다.
매 시간마다 모든 App1 인스턴스에서 파일을 복사하는 PowerShell 스크립트를 호출하여 유지 관리 작업을 실행합니다. PowerShell 스크립트는 중앙 위치에서 실행됩니다.
요구 사항: App2
App2는 Windows 런타임이 필요한 App Service에서 호스팅되는 NET 앱입니다. App2의 파일 저장 요구 사항은 다음과 같습니다.
* Azure Storage 계정에 파일을 저장합니다.
* 온프레미스 위치로 파일을 복제합니다.
* 온프레미스 클라이언트가 SMB 프로토콜을 사용하여 LAN을 통해 파일을 읽을 수 있는지 확인하세요.
애플리케이션 내에서 다양한 트랜잭션을 수행하는 데 걸리는 시간을 분석하려면 App2를 모니터링해야 합니다. 솔루션은 애플리케이션 코드를 변경할 필요가 없어야 합니다.
애플리케이션 개발 요구 사항
애플리케이션 개발자는 App1과 App2의 새로운 버전을 지속적으로 개발합니다. 개발 프로세스는 다음 요구 사항을 충족해야 합니다.
* 새로운 애플리케이션 버전의 스테이징 인스턴스는 새로운 버전을 프로덕션에 사용하기 전에 애플리케이션 호스트에 배포되어야 합니다.
* 새로운 버전을 테스트한 후, 애플리케이션의 스테이징 버전이 프로덕션 버전을 대체하게 됩니다.
* 스테이징에서 프로덕션으로의 새로운 애플리케이션 버전으로의 전환은 애플리케이션을 중단하지 않고 이루어져야 합니다.
신원 요구 사항
Contoso는 Fabrikam의 리소스 액세스를 관리하기 위해 다음과 같은 요구 사항을 파악했습니다.
* 매달 Fabrikam의 계정 관리자는 App1에 대한 접근 권한이 있는 Fabrikam 사용자를 검토해야 합니다. 더 이상 권한이 필요하지 않은 계정은 게스트 계정에서 삭제해야 합니다.
* 솔루션은 개발 노력을 최소화해야 합니다.
보안 요구 사항
Azure 서비스에서 사용하는 모든 비밀은 Azure Key Vault에 저장되어야 합니다.
자격 증명이 필요한 서비스는 서비스 인스턴스에 연결된 자격 증명을 가져야 합니다. 자격 증명은 서비스 간에 공유되어서는 안 됩니다.
App2에 대한 모니터링 요구 사항을 충족하기 위해 무엇을 권장해야 합니까?
AZ-305-KR 문제 10
Azure 구독이 있습니다.
Azure 지역의 단일 영역에 5개의 가상 머신을 포함하는 가상 머신 확장 집합을 배포하려고 합니다. 가상 머신은 관리 디스크를 사용합니다.
확장 집합에 맞는 오케스트레이션 모드를 권장해야 합니다. 솔루션은 각 가상 머신이 자체 업데이트 도메인과 장애 도메인에 상주하도록 보장해야 합니다.
무엇을 추천해야 할까요?
Azure 지역의 단일 영역에 5개의 가상 머신을 포함하는 가상 머신 확장 집합을 배포하려고 합니다. 가상 머신은 관리 디스크를 사용합니다.
확장 집합에 맞는 오케스트레이션 모드를 권장해야 합니다. 솔루션은 각 가상 머신이 자체 업데이트 도메인과 장애 도메인에 상주하도록 보장해야 합니다.
무엇을 추천해야 할까요?