Azure 구독에 10개의 VNET 이 있다. VNET 은 개별적인 리소스 그룹에서 호스팅 된다. 다른 Admin 이 여러 NSG를 만들려고 한다. NSG가 생성되면, VNET 간의 TCP 8080 포트를 차단하게끔 만들어야 한다.
답 : Resource lock 을 만들고, 구독에 lock 을 할당한다.
Resource Lock 은 생성을 제한하거나, 실수로 리소스를 삭제하는 것을 막기 위해 사용된다.
NSG 에서 TCP 8080 을 차단하는 inbound security rule 을 만들고, 우선순위는 낮게 줄수록 좋다.
문제가 너무 쉽다. 실제 문제는.. 개 어렵던데 -_ -
Q42.
Subscription1 이라는 구독이 있고, 그 구독에 VM1 이 있다. Win10 OS의 Computer1이 있고, 얘는 인터넷이 가능하다. 아래와 같이 VM1에 vm1173이라는 네트워크 인터페이스를 추가했다.
Computer 1에서 RDP를 통해 VM1에 연결하고자 했으나 실패했다. 요게 되게끔 해야한다. 첫 번째로 해야할 것은? A. RDP 룰의 우선순위를 변경한다. B. Network 인터페이스를 attach 한다. C. DenyAllInbound Rule 을 삭제한다. D. VM1 을 켠다.
D > 공용 IP 주소가 동적으로 할당된 경우, 할당된 리소스가 오프라인일 때 사용자가 지정한 [이름]을 표시한다.
동적 할당 + VM 켜져 있을 때. 공용 IP 주소가 보인다.
동적 할당 + VM 꺼져 있을 때는 이름이 보인다. 근데 생각해보니 이건 너무 당연하다.. "동적" 할당이니까.
VM이 꺼져 있으면 VM IP가 뭐가 될지는 며느리도 모르는 것이다. -_ -
정적 PUB IP + VM 꺼져 있는 경우든 켜져 있는 경우든 아래와 같이 공용 IP가 보인다.
지금 VM1-ip가 보이므로.. 서버가 꺼져 있다는 뜻임. 답은 D
Q43.
아래와 같이 VM을 갖고 있다. DNS 서비스는 VM1 에 설치되어 있음. 각각의 VNET 에 대해 아래와 같이 DNS 서버 세팅했음.
VM1에 있는 DNS 서비스를 이용해서 모든 VM이 DNS name 을 resolve 할 수 있도록 해야 한다. 어떻게 해야 하는가? A. VM1에 조건부 전달자를 구성한다. B. VNET1 에 서비스 엔드포인트를 추가한다. C. VNET2, VNET3 에 서비스 엔드포인트를 추가한다. D. VNET1, VNET2, VNET3 에 피어링을 구성한다.
답은 C. >
VNET 피어링은 다른 VNET의 VM과 가상 네트워크를 연결할 수 있도록 해준다.
틀린 답 B > 서비스 엔드포인트는 VNET 에 Public IP 할당이 없이도 VNET 내부에 Private IP 주소가 애저 서비스에 도달할 수 있게끔 한다.
틀린 답 D > 전달자를 설정하는 경우는, device가 DNS 서버에 reach 할 수도 없는 경우이다.
Q44.
아래와 같이 Azure VM을 포함한 Azure 구독이 있다. NSG1 이라는 NSG에 inbound 보안 규칙을 추가한다. NSG 구성은 아래와 같다. 아래와 같이 Azure Network Watcher 를 실행한다.
RG1의 VM1 에서 VM2 로 TCP 8080 연결이 안된다. 아래와 같이 Network Watcher 를 재실행 한다.
VM1에서 VM2로 ICMP 는 잘 간다. 아래 선지에 대해 맞으면 Y, 틀리면 N 를 골라라.
사이트에서 제시한 정답은 N - Y - N 이지만 사용자들의 답은 N - Y - Y 가 우세하다.
내가 헷갈렸던 부분은 우선순위 100이 TCP Any Port 를 허용하는데 어째서 Network Watcher 에서 차단을 뿜었는지이다.
왜 TCP 커넥션이 안되는 걸로 나오는걸까.. 아래와 같이 질문해 뒀는데 혹시 답변이 달리면 여기다가도 추가 수정해 두겠다.
1. NSG1이 VM1 의 트래픽을 제한 하고 있다. > No
Inbound 정책이기 때문에 VM2가 기준이다. VM1 의 트래픽을 막지 않는다.
2. NSG1은 VM2 에 적용된다. > Yes
Azure Network Watcher 가 VM1 >> VM2 로의 통신이 안되는 걸 보여줬다.
이 말은 NSG1 이 VM2 에 적용되어 있다는 말임.
3. VM1과 VM2는 동일한 가상 네트워크에 연결 되어 있다.> 사이트와 다수의 답이 다르나, Y로 추정 됨.
별도 구성 없이 ICMP 는 가는거 보니 YES 인 듯 하고
VM1에서 ICMP 의 마지막 Hop이 VM2 인 것을 봐도 그렇다.
Q45.
VNet1이라는 가상 네트워크와 그 안에 Subnet1 이라는 서브넷이 있다. Subnet1은 3개의 VM을 포함하고, 각각 VM 모두 Public IP가 있다. VM은 여러 어플리케이션을 호스팅하는데, 인터넷에 있는 유저들에 443 포트로 접근 가능하다. 온프레미스 네트워크는 VNET1과 Site-to-Site VPN 커넥션이 있고, 인터넷 및 온프레미스 네트워크에서 RDP를 통해 VM에 액세스할 수 있다는 것을 발견했다. 온프레미스 네트워크에서 RDP 연결을 허용하지 않는 이상 인터넷으로부터의 RDP 액세스를 차단해야 한다. 추가로, 인터넷 사용자는 계속 모든 어플리케이션에 액세스 할 수 있어야 한다. 어떻게 해야 할까?
A. 로컬 네트워크 게이트웨이의 주소 공간 수정 B. Subnet1과 연결된 NSG에 Deny Rule 추가 C. VM에서 동적 IP 제거 D. Subnet1의 주소 공간 수정
댓글