1. 개요 Contoso, Ltd.는 전 세계에 지사를 두고 있는 제조 회사다. Contoso는 파트너 조직과 협력하여 제품을 시장에 출시한다. Contoso 제품은 회사에서 작성 및 유지 관리하는 Blueprint 파일을 사용하여 만들어진다.
2. 기존 환경 현재 Contoso는 다음과 같은 여러 유형의 서버를 비즈니스 운영에 사용한다. - 파일 서버 - 도메인 컨트롤러 - 마이크로소프트 SQL 서버 네트워크에는 contoso.com이라는 Active Directory 포레스트가 포함되어 있다. 모든 서버 및 클라이언트 시스템은 AD에 Join 되어 있다. App1이라는 Public 오픈된 App이 있습니다. App1은 다음 3가지 계층으로 구성됩니다.
1. SQL 데이터베이스 (SQL DB) 2. 웹 프런트 엔드 (Web Frontend) 3. 처리 중간 계층 (A processing middle tier) 각 계층은 5개의 VM으로 구성됩니다. 사용자는 HTTPS만 사용하여 Web Frontend에 접근한다.
3. 요구 사항 - 계획된 변경 사항 - Contoso가 아래와 같은 변경을 요구했다. - App1의 모든 tier를 Azure로 이동한다 - 기존에 있었던 제품 Blueprint 파일을 Azure Blob 스토리지로 이동한다 - 예정된 Microsoft Office 365 migration Project 를 지원하기 위한 Hybrid Directory 생성
4. 기술 요구 사항 - - App1의 모든 VM을 Azure로 이동 - App1 Tier 간에 열려 있는 포트 수를 최소화 - App1의 모든 VM이 백업으로 보호되는지 확인 - 인터넷을 통해 Blueprint 파일을 Azure에 복사 - Blueprint 파일이 아카이브 스토리지 계층에 저장되어 있는지 확인 - Blueprint 파일에 대한 파트너 액세스의 보안이 유지되고 임시적인지 확인합니다. - 사용자 암호 또는 암호 해시가 Azure에 저장되지 않도록 합니다. - VM 의 하드 디스크에 Unmanaged Standard Storage 사용 - 사용자가 Azure AD(Azure Active Directory)에 Join 할 때 사용자가 휴대폰을 사용하여 인증하도록 함 - 가능할 때마다 관리 작업 최소화
5. 사용자 요구 사항 - - Pilot이라는 그룹에 속한 사용자만 Device를 Azure AD에 Join 시킬 수 있도록 구성 - Admin1이라는 사용자를 Azure 구독의 서비스 관리자로 지정 - Admin1은 서비스 중단(Outage)과 관련된 e-메일 경고를 수신해야 함 - User3라는 사용자가 Azure 구독을 위한 네트워크 개체를 생성할 수 있는지 확인
기술 요구 사항과 사용자 요구 사항을 만족할 수 있게끔 구성해야 한다. 수정해야 하는 설정 두 개는 ?
Azure AD에 Join 할 때 핸드폰으로 인증하도록 했으므로 YES 로 수정
Pilot 이라는 그룹의 사용자만 Join 할 수 있도록 했으므로 Selected 에서 Pilot 이라는 그룹을 설정 함
Testlet1 > Q2
Admin1 에 대한 사용자 요구 사항을 충족해야 한다.
A. Azure AD 블레이드에서 그룹을 수정한다. B. Azure AD 블레이드에서 Properties 를 수정한다. C. 구독 블레이드에서 구독을 선택하고, Access Control 설정(IAM)을 수정한다. D. 구독 블레이드에서 구독을 선택하고 Properties를 수정한다.
Admin1을 Azure 구독의 서비스 관리자로 지정해야 하고,
Admin1은 서비스 중단과 관련된 이메일을 받아야 한다.
요기서 수정해 주면 된다.
Testlet2 > Q1
App 이 이동된 후에는 App1을 위한 백업 솔루션을 구현해야 한다. 먼저 무엇부터 만들어야 하는가?
A. a recovery plan B. an Azure Backup Server C. a Backup Policy D. a Recovery Service Vault
Recovery Service Vault 는 보호된 리소스의 백업 데이터를 저장하는 논리적인 컨테이너다.
보호된 리소스들에 대한 백업 작업이 실행될 때, RSV 내에 백업 지점을 만든다.
1. RSV 생성하기
2. 백업 정책 만들기
모든 Azure Backup 구성 요소는 온프레미스에서 데이터를 보호하든 클라우드에서든 상관 없이 Azure의 Recovery Services 자격 증명 모음에 데이터를 백업할 수 있다.
A. Access key 를 생성한다. 드라이브를 연결한 다음 File Explorer 를 사용하여 파일을 복사한다. B. Azure Storage Explorer 를 사용하여 파일을 복사한다. C. Azure Import / Export 서비스를 사용한다. D. 공유 액세스 서명(SAS) 를 생성하고, 드라이브를 연결하고, File Explorer를 사용하여 파일을 복사해라.
요구 사항 :
- 기존에 있었던 제품 Blueprint 파일을 Azure Blob 스토리지로 이동한다
- 인터넷을 통해 Blueprint 파일을 Azure에 복사 - Blueprint 파일이 아카이브 스토리지 계층에 저장되어 있는지 확인 - Blueprint 파일에 대한 파트너 액세스의 보안이 유지되고 임시적인지 확인합니다.
Azure Storage Explorer 는 Windows, Mac OS, Linux 에서 Azure Storage 데이터로 작업할 수 있도록 지원하는 도구임.
Azure Blob Storage 에서 데이터를 업로드, 다운로드 하는데 사용할 수 있음.
인터넷을 통해 데이터를 복사 / 관리 작업을 최소화 할 수 있는 솔루션임.
* 오답 노트
A : 아직 스토리지 계정이 없음
C : Azure Import / Export 서비스는 인터넷을 사용하지 않고, 데이터를 FedEx, UPS, DHL 로 데이터를 옮긴다.
D : Mapped Drive 에서는 SAS를 사용할 수 없다. 대신 Access key 를 사용해야 함.
BluePrint 파일에 Temporary 하게, Secured 되게 접근해야 하므로 임시 액세스 권한이 있는 SAS만 사용할 수 있고, SAS를 사용하여 드라이브를 매핑할 수 없으므로 Storage Explorer 만이 유일한 대안이 된다.
SAS를 이용해서는 드라이브를 매핑할 수 없고,
VM 디스크나 Storage account key 를 사용하는 Azure Files 를 매핑하려면
- 포탈을 통해 Azure 가 제공한 파워셸 스크립트를 다운로드- storage account 이름이나 key를 인증으로 사용하여 로컬 서버나 윈도우 클라이언트 컴퓨터 파일 탐색기를 사용하는 방법 으로만 매핑이 가능하다.
B가 옳은 이유는 BluePrint 를 Azure 를 통해 복사하기 때문임
* SAS (Shared Access Signatures)
공유 액세스 서명은 하나 혹은 여러 개의 스토리지 리소스를 가리키는 signed 된 URL 이다.요 서명은 Azure Storage 에서 스토리지 리소스에 대한 액세스 권한을 부여할때 사용 한다.
SAS 유형
권한 부여 유형
사용자 위임 SAS ※ Blob 스토리지만 가능
Azure AD
서비스 SAS
공유 키 (Shared Key)
계정 SAS
공유 키 (Shared Key)
SAS를 사용하는 이유는 스토리지 계정에 있는 리소스에 대한 Secured 된 액세스를,
해당 리소스에 권한이 없는 모든 클라이언트에게 부여할 수 있기 때문이다.
* 실습
뭔지 잘 모르겠으니까 일단 만들어 본다.
요거를 꼭 확인해야 SAS를 만들 수 있다.
요렇게 컨테이너 구성이 가능한데.. 음 -_ -
컨테이너 외에 파일 공유, 큐, 테이블에는 다 SAS 가 없다.
요기서는 접근이 안되고 요렇게 컨테이너에서 SAS를 생성해야 접근이 가능하다.
Testlet2 > Q3
Contoso 의 스토리지 요구 사항을 식별한다. Y - N - N
- 파일을 Blob 스토리지로 이동하고, VM 디스크에 Unmanaged Storage를 사용한다.
- Azure Files : 기본적으로 NFS, SMB 프로토콜에 의해 접근하는 managed file share 를 사용한다. Azure Files 는 아카이브 할 수 없다.
- Azure Tables : 구조화된 NoSQL 의 역할. VM의 SQL 에서는 필요하지 않다
Testlet 5 > Q1
App1 을 위한 솔루션을 추천해야 한다. 솔루션은 기술 요구사항을 만족시켜야 한다.
답은 1 / 3 1. SQL 데이터베이스 (SQL DB) 2. 웹 프런트 엔드 (Web Frontend) 3. 처리 중간 계층 (A processing middle tier) 각 계층은 5개의 VM으로 구성됩니다. 사용자는 HTTPS만 사용하여 Web Frontend에 접근한다.
4. 기술 요구 사항 - - App1 Tier 간에 열려 있는 포트 수를 최소화
>> VNET을 1개 사용하면 App1 계층 간에 모든 포트가 오픈되어 있다.
Testlet 5 > Q2
App1을 Azure 로 이동 하려고 한다. NSG 를 생성한다. 사용자에게 App1 에 대한 액세스 권한을 제공해야 한다.
A. 인터넷에서 포트 443에 대한 incoming 보안 규칙을 생성합니다. 웹 서버가 포함된 서브넷에 NSG를 연결한다 B. 인터넷에서 포트 443에 대한 outgoing 보안 규칙을 생성합니다. 웹 서버가 포함된 서브넷에 NSG를 연결한다 C. 인터넷에서 포트 443에 대한 incoming security rule 을 생성합니다. NSG를 모든 서브넷에 연결합니다. D. 인터넷에서 포트 443에 대한 outgoing security rule 을 생성합니다. NSG를 모든 서브넷에 연결합니다.
댓글