Windows Server 2019 OS의 Azure VM이 아래 표와 같이 구성되어 있다.
adatum.com 이라는 Public Azure DNS 존을 생성하고 contoso.com 이라는 Private Azure DNS 존을 생성 했다. contoso.com 을 위해, link1 이라는 Virtual Network Link를 아래와 같이 생성했다. VM1 이 contoso.com 에는 이름 resolve 가 되지만 adatum.com 에는 이름 resolve 가 안 되는 것을 발견했다. VM1 은 인터넷에 있는 다른 호스트는 resolve 가 된다. VM1 이 adatum.com 에 있는 호스트를 resolve 하려면 어떻게 해야 하는가?
A. VM1 의 DNS Suffix를 adatum.com 으로 업데이트 한다. B. Domain Register(도메인 등록 기관) 에서 adatum.com 을 위한 Name Server 를 구성한다. C. contoso.com 존에 SRV 레코드를 생성한다. D. link1 에 대한 Access control 설정을 수정한다.
사이트에서 제시한 정답은 A이나, 사람들이 주장하는 정답은 B 이다.
일단 Private DNS 영역부터.
아래와 같이 Private DNS 링크를 생성했다.
A레코드는 별도로 등록해주지 않았다. 자동 등록을 눌러야 A레코드가 제대로 등록되고 Resolve가 되는 것 같은데..
역시 자동 등록을 사용함으로 수정해줘야 아래와 같이 A레코드가 등록 된다.
A레코드를 등록해줘야 VM01이 어디 있는지 찾기 시작한다.
vm02 에서의 쿼리 결과
adatum.com 은 public DNS 존이고, 인터넷 루트 DNS 서버는 adatum.com 에 대한 DNS 쿼리를 할 DNS 서버를 알아야 한다.
공용 DNS 영역은 생서과 동시에 아래와 같이 네임서버가 등록된다.
vm02 A 레코드를 추가했는데... 얘가 자꾸 못 찾는다.
왜 그러는거야 !!!!!!!!!!
뭔가 더 해줘야 되는게 있는걸까.......?
아무튼 이 문제에서는 공용 DNS 영역의 resolve 를 못하고 있으므로
adatum.com 의 네임서버를 찾아서 구성해줘야 한다. 답은 B
Q53.
아래를 위해 Network Watcher 를 사용할 계획이다. Task1: 네트워크 패킷이 Azure VM 에 도달하지 못하도록 하는 Security Rule 을 식별한다. Task2: Azure VM 에서 외부 호스트로의 Outbound 연결을 확인한다. 각 작업에 활용할 기능을 선택해야 한다.
Task1: IP Flow Verify
IP Flow 는 내가 소스, 목적지의 IP 주소, 포트, 프로토콜, 트래픽 방향(인바운드 또는 아웃바운드)를 지정할 수 있게 함.
요걸 확인하면 통신을 테스트하고 연결 성공 여부를 알려 준다.
NSG 진단과 헷갈리는데 무슨 차이가 있는지 잘 모르겠다.
설명을 그대로 옮기면
IP 흐름 확인 : 패킷이 5 튜플 정보에 따라 가상머신에서 허용되는지, 거부되는지 확인한다. 패킷을 거부하는 규칙 이름과 보안 그룹이 반환 된다.
NSG 진단 : NSG 진단 도구는 네트워크의 보안 구성을 이해하고 디버그하기 위한 자세한 정보를 제공한다. 지정된 원본 대상 쌍의 경우는 API는 통과될 모든 NSG, 각 NSG에 적용될 규칙 및 흐름의 최종 허용/거부 상태를 반환한다.
>>> 결국 거의 똑같은 말이 아닌가. Security Group View 는 NSG 진단이라고 보기는 어려운 건가.
영어로 봐도 Security Group View 라는 메뉴는 없는데.. 음 -_ -
이런 질문을 남기긴 했다.
Task2 : Connection TroubleShoot
Connection Troubleshoot 를 사용하면 VM과 다른 VM, FQDN, URL 또는 IPv4 주소 간의 연결을 테스트할 수 있다.
Q54.
아래의 표와 같이 Azure VM 을 갖고 있는 구독이 있다.
다음 표 설정과 같이 VM의 네트워크 인터페이스 설정을 한다. 아래와 같이 VNET1에서 DNS 서버를 설정 한다.
VM들은 IP가 192.168.10.15 와 193.77.134.10 인 DNS 서버에 연결할 수 있다. 옳은 것을 고르시오.
1) VM1 은 DNS 쿼리를 위해 193.77.134.10 과 연결한다. O
VNET 설정에서 DNS 서버 IP를 지정할 수 있다. 이 설정은 VNET 의 모든 VM에 대한 기본 DNS 서버로 적용 된다.
지금은 기본 DNS가 193.77.134.10 인 셈이다.
레퍼런스 확인
vnet01 에 연결된 vm01 에 접속해 보면 NIC 어댑터에서는 DNS 서버가 설정되어 있지 않지만
CMD 쿼리를 할 때 기본으로 DNS 서버가 10.10.10.10 으로 설정되어 있음을 확인 할 수 있다.
Box 1: Yes - You can specify DNS server IP addresses in the VNet settings. The setting is applied as the default DNS server(s) for all VMs in the VNet.
Box 2: No - You can set DNS servers per VM or cloud service to override the default network settings.
Box 3: Yes - You can set DNS servers per VM or cloud service to override the default network settings.
Box 1: IP1, Storage1 - IP addresses and storage accounts can be moved. Virtual networks cannot be moved. There is no lock on RG1.
Box 2: None - There is a delete lock on RG2. Note: When you apply a lock at a parent scope, all resources within that scope inherit the same lock. Even resources you add later inherit the lock from the parent. The most restrictive lock in the inheritance takes precedence. CanNotDelete means authorized users can still read and modify a resource, but they can't delete the resource. ReadOnly means authorized users can read a resource, but they can't delete or update the resource. Applying this lock is similar to restricting all authorized users to the permissions granted by the Reader role.
댓글