🎯 AZ-104: Microsoft Azure Administrator

📚 해설

왜 B가 정답인가:

• Azure Backup은 Windows와 Linux 운영 체제를 모두 지원합니다.
• 모든 Azure 가상 머신은 운영 체제에 관계없이 백업이 가능합니다.
• Recovery Services vault는 동일한 지역 또는 다른 지역의 VM을 백업할 수 있습니다.

Azure Backup 지원 항목:

• Azure Windows VM
• Azure Linux VM
• 온프레미스 Windows/Linux 시스템
• Azure Files
• SQL Server in Azure VM

📚 해설

왜 A가 정답인가:

• 작업 그룹(Action Group)은 Azure Monitor에서 알림이 트리거될 때 수행할 작업을 정의하는 컬렉션입니다.
• 이메일, SMS, 음성 통화, 웹후크 등 다양한 알림 방법을 지원합니다.
• 여러 사용자에게 동시에 알림을 보낼 수 있습니다.

작업 그룹의 기능:

• 이메일 알림
• SMS 메시지
• Azure Function 실행
• Logic App 트리거
• 웹후크 호출
• ITSM 도구 연동

📚 해설

왜 A가 정답인가:

• Recovery Services vault는 지역별로 생성되며, 동일한 지역의 리소스만 백업할 수 있습니다.
• VM3과 VM4가 기존 vault와 다른 지역에 있다면 새로운 vault가 필요합니다.
• 각 지역마다 별도의 Recovery Services vault를 생성해야 합니다.

Recovery Services vault 요구사항:

• VM과 동일한 지역에 위치해야 함
• 지역 간 백업은 지원되지 않음
• 각 vault는 독립적인 백업 정책을 가질 수 있음

📚 해설

알림 규칙 및 작업 그룹 계산:

• 알림 규칙: 각 메트릭/신호마다 별도의 규칙이 필요
• 작업 그룹: 동일한 알림 대상자들은 하나의 그룹으로 관리 가능
• 서로 다른 사용자 조합이면 별도의 작업 그룹 필요

최적화 원칙:

• 동일한 대상자들은 하나의 작업 그룹으로 통합
• 각 신호는 별도의 알림 규칙 필요
• 중복을 최소화하여 관리 효율성 향상

📚 해설

왜 D가 정답인가:

• Azure Resource Manager Role 알림은 사용자 계정에만 이메일을 전송합니다.
• 서비스 주체(Principal)는 이메일 주소가 없으므로 알림을 받을 수 없습니다.
• User2는 Group1의 구성원으로 간접적으로 Monitoring Reader 역할을 가집니다.

Azure Monitor 알림 동작:

• 사용자 계정: 이메일 알림 수신 가능
• 서비스 주체: 이메일 알림 수신 불가
• 그룹 구성원: 역할 상속으로 알림 수신 가능
• 역할 기반 알림: 해당 역할을 가진 모든 사용자에게 전송

📚 해설

1월 8일: 6개 복구 지점

• 5개 최신 일일 복구 지점
• 이전 일요일의 주간 백업 1개
• 월간 복구 지점 없음 (아직 1월 중)

1월 15일: 8개 복구 지점

• 5개 최신 일일 복구 지점
• 2개 주간 백업
• 1개 월간 복구 지점

백업 정책 이해:

• 일일 백업: 지정된 개수만큼 보관
• 주간 백업: 매주 지정 요일에 생성
• 월간 백업: 매월 지정 요일에 생성

📚 해설

Application Insights 구성 방법:

• .NET Framework: Application Insights 확장 사용
• .NET Core: Application Insights 확장 사용
• Java: Java 에이전트 사용
• Node.js: SDK 설치 또는 확장 사용

코드 수정 최소화 전략:

• Azure Portal에서 확장 활성화
• 자동 계측(Auto-instrumentation) 사용
• 런타임 시 모니터링 활성화
• 수동 SDK 설치는 최후 수단

📚 해설

왜 D가 정답인가:

• "기존 대체" 옵션은 VM의 구성과 디스크를 백업 시점으로 완전히 복원합니다.
• VM 크기, 암호, 디스크 구성은 Azure 수준에서 복원됩니다.
• 파일 시스템 내의 데이터는 백업 시점으로 복원되므로 새로 추가된 파일은 손실됩니다.

Azure VM 백업 복원 동작:

• VM 구성: 자동 복원 (크기, 네트워크 등)
• 디스크 구성: 자동 복원
• OS 설정: 백업 시점으로 복원 (암호 포함)
• 파일 데이터: 백업 시점으로 복원

📚 해설

SSPR(Self-Service Password Reset) 분석:

• 활성화 범위: Selected (특정 그룹만)
• 인증 방법: 휴대폰, 보안 질문
• 필요한 방법 수: 2개

사용자별 SSPR 가능 여부:

• 그룹에 포함된 사용자만 SSPR 사용 가능
• 충분한 인증 방법을 등록한 사용자만 가능
• 클라우드 전용 계정과 동기화된 계정 모두 지원

📚 해설

왜 B가 정답인가:

• User1이 과거에 디바이스를 조인할 수 있었다는 것은 조인 권한은 있다는 의미입니다.
• 사용자당 최대 디바이스 수 제한에 도달했을 가능성이 높습니다.
• 기본값은 보통 5-10개로 설정되어 있습니다.

Azure AD 디바이스 조인 제한사항:

• 사용자당 최대 디바이스 수
• 디바이스 조인 권한 설정
• MFA 요구사항
• 조건부 액세스 정책

문제 해결 순서:

1. 사용자의 현재 등록된 디바이스 수 확인
2. 최대 디바이스 수 제한 확인 및 조정
3. 불필요한 디바이스 제거

📚 해설

App Service 백업 기능 분석:

• 백업 설정: 앱별로 독립적으로 구성
• 슬롯별 백업: 배포 슬롯마다 별도 설정 가능
• 자동 백업: 스케줄 기반으로 실행

App Service 백업 요구사항:

• Standard 이상의 App Service 플랜
• Azure Storage 계정 필요
• 백업 크기 제한 (10GB)
• 데이터베이스 연결 문자열 구성 시 DB도 백업

📚 해설

하이브리드 환경에서의 SSPR:

• 동기화된 사용자: Azure AD와 온프레미스 AD 모두에서 암호 변경
• 클라우드 전용 사용자: Azure AD에서만 암호 변경
• 암호 쓰기 백: Azure AD 변경 사항을 온프레미스로 동기화

SSPR 요구사항:

• Azure AD P1 또는 P2 라이선스
• 충분한 인증 방법 등록
• Azure AD Connect 구성 (하이브리드 환경)

📚 해설

왜 A가 정답인가:

• User1이 새로운 테넌트를 생성했다면, 자동으로 해당 테넌트의 전역 관리자가 됩니다.
• 전역 관리자는 새 사용자 계정을 생성할 수 있는 모든 권한을 가집니다.
• 테넌트 생성자는 기본적으로 최고 권한을 가집니다.

Azure AD 테넌트 생성 시 권한:

• 테넌트 생성자: 자동으로 전역 관리자 역할 할당
• 전역 관리자 권한: 모든 Azure AD 리소스에 대한 완전한 제어
• 사용자 관리: 생성, 수정, 삭제 모든 작업 가능

📚 해설

왜 A가 정답인가:

• 리소스 그룹 블레이드에서 "배포" 섹션을 통해 과거 배포 기록을 확인할 수 있습니다.
• 각 배포의 세부 정보에서 사용된 ARM 템플릿을 다운로드하거나 확인할 수 있습니다.
• 배포 기록은 성공, 실패 여부와 관계없이 저장됩니다.

ARM 템플릿 확인 방법:

• 리소스 그룹 → 배포: 배포 기록 및 템플릿 확인
• 활동 로그: 배포 작업 로그 확인
• 배포 세부 정보: 사용된 템플릿 다운로드
• 템플릿 내보내기: 현재 상태 기반 템플릿 생성

📚 해설

Box 1: four times (4배)

• 시간 단위가 6시간이므로 30일 = 120시간 (30 × 4 = 120, 4배)
• Last 30 days (Automatic - 6 hours) 표시

Box 2: scaled up (강화)

• 높은 CPU 사용률은 성능 향상이 필요함을 의미
• Scale up: 더 강력한 인스턴스로 업그레이드
• Scale out: 인스턴스 수 증가

App Service 스케일링:

• Scale Up: CPU, 메모리 등 리소스 증가
• Scale Out: 인스턴스 수 증가로 부하 분산

📚 해설

파일 복구 순서:

1. Azure Portal에서 File Recovery 선택: 자격 증명 모음에서 파일 복구 시작
2. 복구 지점 선택: 삭제된 파일이 포함된 복구 지점 선택
3. 스크립트 다운로드 및 실행: 로컬 컴퓨터에 드라이브 마운트
4. 파일 탐색기로 파일 복사: 마운트된 드라이브에서 파일 복사

Azure Backup 파일 복구 특징:

• 전체 VM 복원 없이 개별 파일 복구 가능
• 크로스 플랫폼 지원 (Linux → Windows)
• 임시 드라이브 마운트로 빠른 액세스

📚 해설

Box 1: Recovery Services vault

• Azure VM 백업을 위해서는 Recovery Services vault가 필요합니다.
• 여러 Azure VM에 대한 백업을 설정하고 구성할 수 있습니다.

Box 2: Backup policy

• 백업 시간과 보존 정책을 정의하는 정책이 필요합니다.
• 기본 정책을 사용하거나 새 정책을 생성할 수 있습니다.
• 01:00 백업과 30일 보존을 위한 커스텀 정책 생성

VM 백업 설정 순서:

1. Recovery Services vault 생성
2. 백업 정책 구성
3. VM에 백업 적용

📚 해설

왜 D가 정답인가:

• 시스템 이벤트 로그는 Log Analytics 작업 영역에 수집되고 저장됩니다.
• 로그 기반 알림을 만들려면 Log Analytics 작업 영역을 대상으로 해야 합니다.
• VM 자체가 아닌 로그 데이터가 저장된 위치를 모니터링해야 합니다.

Azure Monitor 알림 유형:

• 메트릭 알림: VM 리소스를 직접 모니터링
• 로그 알림: Log Analytics 작업 영역을 모니터링
• 활동 로그 알림: Azure 활동을 모니터링

로그 수집 흐름:

VM → Azure Monitor Agent → Log Analytics 작업 영역 → 알림 규칙

📚 해설

왜 D가 정답인가:

• Azure Advisor는 사용하지 않는 리소스를 자동으로 식별하고 비용 절약 권장 사항을 제공합니다.
• 연결되지 않은 디스크는 비용 최적화 권장 사항에 포함됩니다.
• Cost Management에서 Advisor 권장 사항을 통합하여 볼 수 있습니다.

Azure Advisor 권장 사항 유형:

• 비용: 사용하지 않는 리소스, 과도한 크기의 리소스
• 성능: 성능 향상 방법
• 안정성: 가용성 향상 방법
• 보안: 보안 강화 방법

미사용 디스크 식별 방법:

• Azure Advisor 자동 분석
• PowerShell/CLI 스크립트
• Azure Resource Graph 쿼리

📚 해설

왜 A가 정답인가:

• HTTP 500 오류는 서버 측 오류로, 웹 서버 로그에 기록됩니다.
• 웹 서버 로깅은 HTTP 요청/응답, 상태 코드, 오류 세부 정보를 제공합니다.
• 연결 오류의 상세한 분석을 위해서는 웹 서버 로그가 필수입니다.

App Service 로깅 유형:

• 웹 서버 로깅: HTTP 요청, 상태 코드, 오류
• 애플리케이션 로깅: 애플리케이션 코드의 커스텀 로그
• 진단 로깅: 시스템 수준 정보

HTTP 500 오류 진단:

1. 웹 서버 로깅 활성화
2. 로그 스트림 또는 로그 파일 확인
3. 오류 패턴 분석
4. 애플리케이션 코드 수정

📚 해설

왜 B가 정답인가:

• Azure Application Insights는 웹 애플리케이션의 가용성 모니터링을 위한 전용 서비스입니다.
• 다단계 웹 테스트(Multi-step web test)를 지원하여 복잡한 사용자 시나리오를 테스트할 수 있습니다.
• URL ping 테스트, 다단계 웹 테스트, 커스텀 가용성 테스트를 제공합니다.

Application Insights 가용성 테스트:

• URL ping 테스트: 단순한 HTTP 요청 테스트
• 다단계 웹 테스트: Visual Studio 웹 테스트 파일 업로드
• 커스텀 테스트: TrackAvailability() API 사용
• 전 세계 위치: 여러 지역에서 동시 테스트

다른 옵션들이 적합하지 않은 이유:

• Service Health: Azure 서비스 상태 모니터링
• 진단 설정: 로그 및 메트릭 내보내기
• 메트릭: 단순한 성능 지표만 제공

📚 해설

Box 1: AzureActivity

• AzureActivity 테이블은 Azure 활동 로그의 항목을 포함합니다.
• 구독 수준 또는 관리 그룹 수준의 이벤트에 대한 인사이트를 제공합니다.
• 서비스 중단과 관련된 관리 작업을 추적하는 데 적합합니다.

Box 2: | project

• project 연산자는 결과에 포함할 열을 선택하는 데 사용됩니다.
• 필요한 열만 선택하여 결과를 간소화하고 성능을 향상시킵니다.
• TimeGenerated, OperationNameValue, _ResourceId 등 필요한 필드만 추출합니다.

KQL 쿼리 구조:

• 데이터 소스: AzureActivity
• 필터링: where 절로 조건 지정
• 열 선택: project로 필요한 열만 추출
• 정렬: order by로 시간순 정렬

📚 해설

왜 D가 정답인가:

• "새로 만들기" 옵션은 다운타임을 최소화하는 방법입니다.
• 기존 VM을 중단하지 않고 새로운 VM을 생성하여 복원합니다.
• 복원 완료 후 트래픽을 새 VM으로 전환할 수 있습니다.

복원 옵션 비교:

• 새로 만들기: 새 VM 생성, 다운타임 최소화
• 기존 대체: 현재 VM 교체, 다운타임 발생
• 디스크 복원: 디스크만 복원, 수동 구성 필요

다운타임 최소화 전략:

1. 새로운 VM으로 복원
2. 복원된 VM 테스트
3. DNS 또는 로드 밸런서 설정 변경
4. 기존 VM 제거

📚 해설

Box 1: VM1만

• 데이터 수집 규칙(DCR)은 가상 머신, 가상 머신 확장 집합, Arc 서버에만 연결할 수 있습니다.
• VM1만이 DCR의 데이터 원본으로 사용 가능합니다.
• 저장소 계정이나 Log Analytics 작업 영역은 데이터 원본이 될 수 없습니다.

Box 2: Workspace1만

• DCR의 대상은 Log Analytics 작업 영역 또는 Azure Monitor 메트릭입니다.
• Workspace1만이 수집된 데이터의 대상이 될 수 있습니다.
• 여러 작업 영역으로 멀티 호밍도 가능합니다.

DCR의 주요 기능:

• 데이터 수집 범위 및 제어 개선
• VM 하위 집합에서 단일 작업 영역으로 수집
• Log Analytics와 Azure Monitor 메트릭으로 동시 전송
• 개선된 확장 관리

📚 해설

역할 할당 파일 분석:

• Principal: 역할이 할당되는 사용자, 그룹 또는 서비스 주체
• Role Definition: 부여되는 권한의 집합
• Scope: 역할이 적용되는 범위 (구독, 리소스 그룹, 리소스)

RBAC 권한 상속:

• 상위 범위의 권한은 하위 범위로 상속됩니다
• 구독 → 리소스 그룹 → 리소스 순으로 상속
• 명시적 거부 설정이 없으면 권한이 누적됩니다

역할 할당 적용 순서:

1. 구독 수준 역할 확인
2. 리소스 그룹 수준 역할 확인
3. 리소스 수준 역할 확인
4. 모든 권한 통합 적용

📚 해설

사용자 지정 RBAC 역할 분석:

• Actions: 허용되는 작업 목록
• NotActions: 명시적으로 거부되는 작업
• AssignableScopes: 역할을 할당할 수 있는 범위

권한 계산 방식:

• 유효 권한 = Actions - NotActions
• NotActions는 Actions에서 제외되는 작업을 정의
• 와일드카드(*)는 모든 작업을 의미

AssignableScopes 이해:

• 역할을 할당할 수 있는 구독, 리소스 그룹, 리소스 지정
• 여러 범위 설정 가능
• 하위 범위에서만 역할 할당 가능

📚 해설

NSG 규칙 처리 순서:

• 우선순위가 낮은 숫자부터 높은 숫자 순으로 처리
• 일치하는 첫 번째 규칙이 적용되고 나머지는 무시
• 기본 규칙은 가장 낮은 우선순위를 가짐

NSG 기본 규칙:

• AllowVNetInBound: VNet 내부 트래픽 허용
• AllowAzureLoadBalancerInBound: Azure Load Balancer 트래픽 허용
• DenyAllInBound: 모든 인바운드 트래픽 거부
• AllowVNetOutBound: VNet 내부 아웃바운드 허용
• AllowInternetOutBound: 인터넷 아웃바운드 허용
• DenyAllOutBound: 모든 아웃바운드 트래픽 거부

트래픽 분석 방법:

1. 소스와 대상 IP 확인
2. 포트와 프로토콜 확인
3. 우선순위 순으로 규칙 평가
4. 일치하는 첫 번째 규칙 적용

📚 해설

왜 C가 정답인가:

• 가상 네트워크 피어링을 구성한 후 VPN 클라이언트 구성을 업데이트해야 합니다.
• 새로운 피어링된 네트워크의 라우팅 정보가 VPN 클라이언트 구성에 포함되어야 합니다.
• 클라이언트 구성 패키지를 다시 다운로드하면 업데이트된 라우팅 테이블이 포함됩니다.

Point-to-Site VPN과 피어링:

• 피어링된 네트워크에 액세스하려면 클라이언트 구성 업데이트 필요
• 새로운 주소 공간이 클라이언트 라우팅 테이블에 추가되어야 함
• Azure Portal에서 새 구성 패키지 다운로드 가능

문제 해결 단계:

1. VPN 게이트웨이에서 새 클라이언트 구성 다운로드
2. 클라이언트에서 기존 VPN 연결 제거
3. 새 구성으로 VPN 연결 재설정
4. 피어링된 네트워크 연결 테스트

📚 해설

RBAC 권한 상속 구조:

• 관리 그룹 → 구독 → 리소스 그룹 → 리소스 순으로 권한 상속
• 상위 범위의 권한은 하위 범위로 자동 상속됩니다
• 여러 역할이 할당되면 권한이 결합됩니다

주요 Azure RBAC 역할:

• Owner: 모든 리소스에 대한 완전한 액세스 권한
• Contributor: 리소스 관리 권한 (RBAC 제외)
• Reader: 읽기 전용 권한
• User Access Administrator: 사용자 액세스 관리

권한 분석 방법:

1. 사용자에게 할당된 모든 역할 확인
2. 각 역할의 범위 확인
3. 상속된 권한 계산
4. 최종 유효 권한 결정

📚 해설

왜 D가 정답인가:

• Log Analytics 작업 영역은 여러 구독의 로그 데이터를 중앙 집중식으로 수집하고 분석할 수 있습니다.
• 모든 구독의 활동 로그를 단일 작업 영역으로 전송하여 통합 모니터링 가능
• KQL 쿼리를 사용하여 크로스 구독 분석 수행 가능

Log Analytics 작업 영역의 이점:

• 중앙 집중식 로깅: 여러 소스의 데이터 통합
• 크로스 구독 쿼리: 모든 구독 데이터 동시 분석
• 사용자 지정 대시보드: 통합 보고서 생성
• 알림 및 자동화: 패턴 기반 자동 응답

다른 옵션들이 부적절한 이유:

• Application Insights Profiler: 애플리케이션 성능 분석 전용
• 액세스 검토: 권한 관리 도구
• 활동 로그 필터: 단일 구독 범위

📚 해설

Azure 디스크 백업 순서:

1. Backup vault 생성: 디스크 백업 전용 자격 증명 모음
2. 백업 정책 생성: 백업 일정 및 보존 정책 정의
3. 디스크 백업 구성: 특정 디스크에 백업 적용

Azure 디스크 백업 vs VM 백업:

• 디스크 백업: 개별 디스크 백업, Backup vault 사용
• VM 백업: 전체 VM 백업, Recovery Services vault 사용
• 스냅샷 기반: 인크리멘털 스냅샷으로 효율적

Backup vault 특징:

• Azure 디스크 전용 백업 서비스
• 더 빠른 백업 및 복원
• 세분화된 백업 정책
• 애플리케이션 일관성 지원

📚 해설

왜 C가 정답인가:

• 서비스 태그는 특정 Azure 서비스의 IP 주소 범위를 나타내는 미리 정의된 그룹입니다.
• Azure Portal 접근을 차단하려면 "AzurePortal" 서비스 태그를 사용할 수 있습니다.
• 서비스 태그를 사용하면 Azure가 IP 주소 범위를 자동으로 관리합니다.

주요 Azure 서비스 태그:

• AzurePortal: Azure Portal 서비스
• Storage: Azure Storage 서비스
• Sql: Azure SQL Database
• AzureActiveDirectory: Azure AD
• Internet: 모든 인터넷 트래픽

서비스 태그의 장점:

• IP 주소 범위 자동 업데이트
• 관리 부담 감소
• 특정 서비스만 타겟팅 가능
• 보안 정책 간소화

📚 해설

왜 A가 정답인가:

• search 연산자는 KQL(Kusto Query Language)의 전문 검색 기능입니다.
• "error"라는 텍스트를 Event 테이블의 모든 열에서 검색합니다.
• 가장 간단하고 효과적인 오류 이벤트 검색 방법입니다.

다른 옵션들이 틀린 이유:

• B번: "is" 연산자는 정확한 일치만 찾으며, EventType 필드가 정확히 "error"인 경우만 검색
• C번: SQL 문법이므로 KQL에서 사용 불가
• D번: PowerShell 문법이므로 Log Analytics에서 사용 불가

KQL search 연산자 특징:

• 모든 열에서 텍스트 검색
• 대소문자 구분 없음
• 부분 문자열 매칭
• 빠른 전문 검색

📚 해설

왜 A가 정답인가:

• Application Insights Profiler는 .NET 애플리케이션의 성능 추적을 위한 전용 도구입니다.
• 메서드 수준의 상세한 성능 데이터를 제공합니다.
• CPU 사용량, 메모리 할당, 콜 스택 정보를 수집합니다.

Application Insights Profiler 기능:

• 샘플링 기반 프로파일링: 프로덕션 영향 최소화
• 콜 스택 분석: 병목 지점 식별
• 메모리 프로파일링: 메모리 누수 탐지
• 플레임 그래프: 시각적 성능 분석

다른 옵션들과 비교:

• 활동 로그: Azure 리소스 관리 작업 로그
• 배포 센터: CI/CD 관리 도구
• 문제 진단: 일반적인 문제 해결 가이드

📚 해설

왜 B가 정답인가:

• App Service 백업은 동일한 지역 또는 페어링된 지역의 저장소 계정을 사용해야 합니다.
• 비용 최소화를 위해서는 가장 저렴한 저장소 계층을 선택해야 합니다.
• storage2가 요구사항을 충족하는 가장 비용 효율적인 옵션입니다.

App Service 백업 요구사항:

• 지역 제한: 동일 지역 또는 페어링된 지역
• 저장소 유형: General Purpose v1 또는 v2
• 액세스 계층: Hot 또는 Cool (Archive 불가)
• 복제 옵션: LRS, GRS, RA-GRS 모두 지원

비용 최적화 고려사항:

• Cool 액세스 계층 사용으로 저장 비용 절약
• LRS 복제로 복제 비용 최소화
• 백업 빈도 조정으로 트랜잭션 비용 절약

📚 해설

활동 로그 알림 분석:

• 알림 규칙의 범위와 조건을 확인해야 합니다
• 사용자 작업이 알림 조건에 해당하는지 평가
• 리소스 계층 구조에 따른 알림 트리거 여부 판단

User1 작업 분석:

• 가상 디스크 생성: 새로운 리소스 생성 작업
• 디스크 연결: VM 구성 변경 작업
• 해당 작업들이 알림 규칙의 조건과 일치하는지 확인

User2 작업 분석:

• 리소스 태그 생성: 메타데이터 관리 작업
• 태그 할당: 리소스 속성 변경 작업
• 태그 관련 작업이 알림 범위에 포함되는지 확인

📚 해설

왜 A가 정답인가:

• DSC 확장은 Azure VM에서 소프트웨어 설치 및 구성을 자동화하는 표준 방법입니다.
• ARM 템플릿과 통합되어 배포 시점에 자동으로 NGINX를 설치할 수 있습니다.
• Windows Server에서 PowerShell DSC를 사용하여 구성 관리를 수행합니다.

DSC 확장의 장점:

• 선언적 구성: 원하는 상태를 정의
• idempotent: 여러 번 실행해도 동일한 결과
• 자동 복구: 구성 드리프트 자동 수정
• ARM 통합: 인프라 배포와 함께 구성

다른 옵션들이 적합하지 않은 이유:

• New-AzConfigurationAssignment: Azure Policy 관련 cmdlet
• Application Insights: 애플리케이션 모니터링 도구
• Endpoint Manager: 디바이스 관리 솔루션

📚 해설

왜 B가 정답인가:

• VNet 피어링: VNET1과 VNET2 간 통신은 서비스 엔드포인트가 아닌 VNet 피어링으로 해결
• Microsoft.Storage: storage1과 storage2 액세스를 위한 서비스 엔드포인트 1개
• Microsoft.AzureActiveDirectory: Azure AD 액세스를 위한 서비스 엔드포인트 1개

서비스 엔드포인트 이해:

• Microsoft 백본 사용: 퍼블릭 인터넷 우회
• 서비스별 엔드포인트: 각 Azure 서비스마다 별도 엔드포인트
• 보안 강화: VNet에서 직접 Azure 서비스 액세스

주요 서비스 엔드포인트:

• Microsoft.Storage (Blob, File, Queue, Table)
• Microsoft.Sql (Azure SQL Database)
• Microsoft.AzureActiveDirectory
• Microsoft.KeyVault
• Microsoft.ServiceBus

📚 해설

왜 B가 정답인가:

• 도메인 확인은 커스텀 도메인을 App Service에 연결하기 전 필수 단계입니다.
• asuid TXT 레코드는 Azure가 도메인 소유권을 확인하는 표준 방법입니다.
• 도메인 확인 ID는 Azure Portal에서 제공되는 고유한 문자열입니다.

App Service 커스텀 도메인 설정 순서:

1. 도메인 확인: asuid TXT 레코드 생성
2. 도메인 매핑: CNAME 또는 A 레코드 생성
3. SSL 인증서: HTTPS를 위한 인증서 설정
4. DNS 전파: 변경 사항이 전파될 때까지 대기

도메인 확인의 중요성:

• 도메인 소유권 증명
• 보안 위험 방지
• Azure 정책 준수
• 자동화된 인증서 관리 지원

📚 해설

왜 D가 정답인가:

• NSG 플로우 로그는 네트워크 트래픽 분석의 기본 데이터 소스입니다.
• 의심스러운 트래픽 패턴을 감지하려면 먼저 트래픽 데이터를 수집해야 합니다.
• Network Insights는 NSG 플로우 로그 데이터를 기반으로 분석을 수행합니다.

NSG 플로우 로그 기능:

• 트래픽 모니터링: 인바운드/아웃바운드 플로우 기록
• 보안 분석: 비정상적인 패턴 감지
• 네트워크 포렌식: 보안 사고 조사
• Traffic Analytics 연동: AI 기반 분석

의심스러운 트래픽 감지 과정:

1. NSG 플로우 로그 활성화
2. Log Analytics 작업 영역으로 데이터 전송
3. Traffic Analytics 구성
4. Network Insights 알림 규칙 설정

📚 해설

알림 처리 규칙 분석:

• 알림 억제 규칙은 지정된 기간 동안 알림 전송을 차단합니다
• 규칙이 활성화된 기간(8월 10일-13일) 동안은 모든 알림이 억제됩니다
• 기간 외에는 정상적으로 알림이 발송됩니다

알림 처리 규칙 유형:

• 알림 억제: 지정된 기간/조건에서 알림 차단
• 작업 그룹 추가: 기존 알림에 추가 작업 그룹 연결
• 작업 그룹 제거: 특정 작업 그룹 실행 방지

사용 시나리오:

• 유지보수 기간 중 알림 차단
• 휴일 기간 알림 조정
• 특정 이벤트 기간 중 노이즈 감소

📚 해설

왜 B가 정답인가:

• 개체 복제(Object Replication)는 특정 지역으로 Blob를 비동기적으로 복제하는 기능입니다.
• 관리 노력을 최소화하면서 자동으로 복제를 수행합니다.
• 규칙 기반으로 선택적 복제가 가능합니다.

다른 옵션들과 비교:

• GRS: Microsoft가 관리하는 지역이며, East US로 복제 보장 안됨
• 운영 백업: 백업 서비스이지 실시간 복제가 아님
• 수명 주기 관리: 데이터 계층 전환 및 삭제 관리

개체 복제의 장점:

• 지역 선택: 원하는 지역으로 복제 가능
• 선택적 복제: 특정 컨테이너나 prefix 기반
• 비동기 복제: 원본 성능에 영향 최소화
• 자동화: 설정 후 자동 복제

📚 해설

왜 A가 정답인가:

• Azure Monitor Agent(AMA)는 멀티 호밍을 지원하여 여러 작업 영역으로 데이터를 전송할 수 있습니다.
• 데이터 수집 규칙(DCR)을 통해 세밀한 데이터 수집 제어가 가능합니다.
• 모든 Windows 이벤트와 보안 이벤트를 포함한 포괄적인 데이터 수집을 지원합니다.

Azure Monitor Agent의 장점:

• 멀티 호밍: 여러 작업 영역으로 동시 전송
• DCR 기반: 선언적 구성 관리
• 향상된 보안: 관리 ID 사용
• 성능 개선: 리소스 사용량 최적화

다른 에이전트와 비교:

• Log Analytics Agent: 레거시, 단일 작업 영역만 지원
• WAD: 저장소 계정 중심, 제한적 기능
• VM Agent: 기본 VM 관리만 담당

📚 해설

왜 C가 정답인가:

• 작업 그룹(Action Group)은 알림이 트리거될 때 실행할 작업들을 정의하는 컬렉션입니다.
• Azure Function을 호출하는 작업을 포함할 수 있습니다.
• 알림 규칙과 실제 대응 작업을 연결하는 핵심 구성 요소입니다.

작업 그룹에서 지원하는 작업 유형:

• Azure Function: 서버리스 함수 실행
• Logic App: 워크플로 자동화
• Webhook: HTTP 엔드포인트 호출
• 이메일/SMS: 알림 전송
• Runbook: 자동화 스크립트 실행

VM 중지 감지 → Function 실행 흐름:

1. VM 상태 메트릭 모니터링
2. 알림 규칙 조건 충족 시 트리거
3. 작업 그룹의 Azure Function 작업 실행
4. Function에서 필요한 대응 로직 수행

📚 해설

왜 A가 정답인가:

• Azure Monitor Network Insights는 네트워크 리소스의 상태와 성능을 종합적으로 시각화하는 전용 솔루션입니다.
• ExpressRoute, VPN Gateway, 로드 밸런서 등의 상세한 메트릭을 제공합니다.
• 네트워크 토폴로지를 시각적으로 표현하는 대시보드를 제공합니다.

Network Insights의 주요 기능:

• 토폴로지 뷰: 네트워크 구성 요소 간 연결 상태 시각화
• 메트릭 대시보드: 성능, 처리량, 연결 상태 모니터링
• ExpressRoute 모니터링: 회로 상태, 대역폭 사용률, 연결성
• 알림 통합: 임계값 기반 자동 알림

다른 옵션들과 비교:

• Network Watcher: 진단 도구, 시각적 대시보드 제한적
• DCR: 데이터 수집 규칙, 시각화 기능 없음
• Log Analytics: 원시 데이터 분석, 사전 구축된 대시보드 없음

📚 해설

왜 B와 D가 정답인가:

• IP 플로우 확인: 특정 IP와 포트 조합에 대한 NSG 규칙 분석
• 연결 문제 해결: 종단 간 연결성 테스트 및 경로 분석
• 두 도구 모두 포트 33000 연결 실패 원인을 정확히 진단할 수 있습니다.

각 도구의 진단 능력:

• IP 플로우 확인: NSG 규칙 허용/거부 여부 확인
• 연결 문제 해결: 전체 네트워크 경로와 장애 지점 식별
• 종합 분석: 라우팅, 보안, 연결성 문제 통합 진단

다른 옵션들이 부적절한 이유:

• Network Manager: 네트워크 관리 도구, 진단 기능 제한적
• Network Insights: 모니터링 도구, 실시간 진단 제한적
• 유효 보안 규칙: 단일 VM의 NSG만 확인, 종단 간 분석 불가

📚 해설

왜 A가 정답인가:

• 활동 로그 알림의 기본 구성 요소는 리소스 범위, 조건, 작업 그룹입니다.
• 리소스 잠금 제거는 관리 작업으로 활동 로그에 기록됩니다.
• Log Analytics 작업 영역은 활동 로그 알림에 필수가 아닙니다.

활동 로그 알림 구성 요소:

• 리소스/범위: 모니터링할 구독, 리소스 그룹 또는 리소스
• 조건: 특정 작업 유형 (예: 리소스 잠금 삭제)
• 작업 그룹: 알림 발송 방법 및 대상

리소스 잠금 제거 감지:

• 작업 유형: "Microsoft.Authorization/locks/delete"
• 활동 범주: Administrative
• 이벤트 수준: Informational

작업 그룹 알림 방법:

• 이메일 주소
• SMS 메시지
• Azure Function
• Logic App

📚 해설

알림 상태 분석:

• 활성(Fired): 조건을 충족하여 트리거된 알림
• 해결됨(Resolved): 조건이 더 이상 충족되지 않아 자동 해결
• 새로운 알림: 최근에 트리거된 알림

알림 심각도 수준:

• Sev 0(Critical): 심각한 시스템 장애
• Sev 1(Error): 오류 상황
• Sev 2(Warning): 경고 상황
• Sev 3(Informational): 정보성 알림
• Sev 4(Verbose): 상세 정보

알림 관리 모범 사례:

• 적절한 심각도 수준 설정
• 알림 피로 방지를 위한 임계값 조정
• 자동 해결 조건 구성
• 작업 그룹을 통한 적절한 대응 절차 수립

📚 해설

백업 정책 구성 요소 분석:

• 백업 빈도: 일일, 주간, 월간 백업 스케줄
• 보존 기간: 각 백업 유형별 보관 기간
• 백업 시간: 백업이 실행되는 시간대

백업 유형별 특징:

• 일일 백업: 매일 지정된 시간에 실행
• 주간 백업: 특정 요일에 실행되는 백업
• 월간 백업: 매월 특정 날짜/요일에 실행
• 연간 백업: 장기 보존을 위한 연간 백업

보존 정책 이해:

• 복구 지점은 보존 기간에 따라 자동 삭제
• 더 긴 보존 기간 = 더 많은 저장소 비용
• 규정 준수 요구사항에 따른 보존 기간 설정

📚 해설

Recovery Services Vault 지역 제한:

• 동일 지역 제한: VM은 같은 지역의 Recovery Services vault에만 백업 가능
• 크로스 지역 백업 불가: 다른 지역의 vault로는 백업할 수 없음
• 백업 정책 적용: vault와 동일 지역의 VM에만 적용 가능

백업 가능성 확인 요소:

• 지역 일치: VM과 vault가 같은 Azure 지역에 위치
• 구독 권한: 백업 수행에 필요한 권한
• VM 상태: 실행 중이거나 중지된 상태의 VM
• 디스크 암호화: 일부 암호화 유형 제한

백업 모범 사례:

• 각 지역별로 Recovery Services vault 생성
• 적절한 백업 정책 설정
• 정기적인 복원 테스트 수행
• 비용 최적화를 위한 보존 정책 조정

📚 해설

왜 C가 정답인가:

• AMPLS는 Azure Monitor 서비스에 대한 프라이빗 연결을 관리하는 핵심 구성 요소입니다.
• VNet 내에서만 Azure Monitor와 통신하도록 하는 네트워크 격리를 제공합니다.
• 프라이빗 엔드포인트 생성의 전제 조건입니다.

Azure Monitor Private Link 구성 순서:

1. AMPLS 생성: Azure Monitor 리소스의 범위 정의
2. 리소스 연결: Log Analytics 작업 영역, Application Insights 등 연결
3. 프라이빗 엔드포인트 생성: VNet에서 AMPLS로의 연결
4. DNS 구성: 프라이빗 DNS 영역 설정

AMPLS의 이점:

• 네트워크 격리: 퍼블릭 인터넷 트래픽 차단
• 데이터 유출 방지: 승인된 리소스에만 액세스
• 규정 준수: 보안 정책 요구사항 충족
• 성능 향상: Azure 백본 네트워크 사용

📚 해설

백업 자격 증명 모음 유형별 지원 리소스:

• Recovery Services Vault: VM, Azure Files, SQL in VM, SAP HANA
• Backup Vault: Azure Disks, Azure Blobs, Azure Database for PostgreSQL

cont1 (Blob Container) 백업:

• Backup Vault만 지원: Azure Blob 저장소 백업 전용
• 운영 백업 모드로 지속적인 데이터 보호
• 특정 시점 복원(Point-in-time restore) 지원

share1 (File Share) 백업:

• Recovery Services Vault만 지원: Azure Files 전용 백업
• 파일 및 폴더 수준 복원 가능
• 스냅샷 기반 백업 메커니즘

백업 서비스 선택 가이드:

• 백업할 리소스 유형 확인
• 적절한 자격 증명 모음 유형 선택
• 지역 및 가용성 요구사항 고려

📚 해설

왜 D가 정답인가:

• 백로그된 입력 이벤트(Backlogged Input Events)는 처리를 대기 중인 이벤트의 수를 나타냅니다.
• Stream Analytics 작업이 처리할 수 있는 속도보다 더 빠르게 들어오는 이벤트를 측정합니다.
• 처리되지 않은 이벤트의 정확한 수치를 제공합니다.

다른 메트릭들과 비교:

• 순서가 잘못된 이벤트: 타임스탬프 순서 문제
• 출력 이벤트: 처리 완료된 이벤트 수
• 늦은 입력 이벤트: 허용 시간 창을 벗어난 이벤트

Stream Analytics 성능 메트릭:

• SU 사용률: 스트리밍 단위 사용률
• 입력 이벤트: 초당 수신 이벤트 수
• 지연시간: 이벤트 처리 지연 시간
• 백로그: 처리 대기 중인 이벤트 수

백로그 문제 해결:

• 스트리밍 단위(SU) 증가
• 쿼리 최적화
• 파티셔닝 전략 개선

📚 해설

왜 A가 정답인가:

• Log Analytics 작업 영역은 로그 데이터에 대한 쿼리 분석을 지원하는 유일한 대상입니다.
• KQL(Kusto Query Language)을 사용하여 복잡한 분석 쿼리를 실행할 수 있습니다.
• Azure Monitor와 완전히 통합되어 대시보드와 알림을 구성할 수 있습니다.

진단 설정 대상별 특징:

• Log Analytics: 쿼리 분석, 대시보드, 알림
• 저장소 계정: 장기 아카이브, 비용 효율적 보관
• 이벤트 허브: 실시간 스트리밍, 외부 시스템 연동

SQL Database 모니터링 로그:

• SQLInsights: 성능 인사이트 및 권장사항
• QueryStoreRuntimeStatistics: 쿼리 실행 통계
• QueryStoreWaitStatistics: 쿼리 대기 통계
• Errors: 데이터베이스 오류 로그

KQL 쿼리 예시:

• CPU 사용률 분석
• 느린 쿼리 식별
• 연결 실패 분석
• 리소스 사용 패턴 분석

📚 해설

왜 B가 정답인가:

• XPath 쿼리는 Windows 이벤트 로그에서 특정 이벤트를 필터링하는 표준 방법입니다.
• Azure Monitor Agent와 데이터 수집 규칙에서 Windows 이벤트 필터링에 사용됩니다.
• 이벤트 ID, 로그 레벨, 소스 등을 기준으로 정확한 필터링이 가능합니다.

XPath 쿼리 예시:

• 특정 이벤트 ID: System!*[System[EventID=1001]]
• 오류 레벨: System!*[System[Level=2]]
• 특정 소스: System!*[System[Provider[@Name='ServiceName']]]
• 시간 범위: TimeCreated[@SystemTime>='2023-01-01']

다른 쿼리 유형과 비교:

• SQL: 관계형 데이터베이스 쿼리 언어
• KQL: Log Analytics에서 수집된 데이터 분석용
• XPath: XML 구조 데이터(Windows 이벤트) 필터링용

DCR에서 XPath 사용:

• 수집 시점에서 필터링으로 네트워크 및 저장소 비용 절약
• 정확한 이벤트만 수집하여 노이즈 감소
• 복잡한 필터 조건 지원

📚 해설

왜 D가 정답인가:

• Connection Monitor는 최신 버전에서 Azure Monitor Agent를 사용합니다.
• 온프레미스 서버에서 Azure VM으로의 연결성을 모니터링하려면 AMA가 필요합니다.
• 네트워크 지연 시간 측정 및 연결 품질 분석을 지원합니다.

Connection Monitor 요구사항:

• Azure VM: Network Watcher Agent 또는 Azure Monitor Agent
• 온프레미스: Azure Monitor Agent 필수
• Arc 서버: Azure Arc 연결 시 AMA 사용

다른 에이전트와 비교:

• Azure Arc Agent: 하이브리드 연결 관리, 모니터링 기능 제한적
• Network Watcher Agent: 레거시, Azure VM 전용
• Log Analytics Agent: 로그 수집 전용, 네트워크 모니터링 불가

Connection Monitor 기능:

• 종단 간 연결성 모니터링
• 지연 시간 및 패킷 손실 측정
• 네트워크 경로 추적
• 자동 알림 및 대시보드

📚 해설

왜 B가 정답인가:

• Traffic Analytics는 NSG 플로우 로그 데이터를 기반으로 작동합니다.
• VM1의 네트워크 트래픽을 분석하려면 연결된 NSG(NSG1)의 플로우 로그를 활성화해야 합니다.
• NSG 플로우 로그가 Traffic Analytics의 데이터 소스입니다.

NSG 플로우 로그 구성 요소:

• NSG 플로우 로그: 네트워크 트래픽 기록
• 저장소 계정: 로그 데이터 저장
• Log Analytics 작업 영역: Traffic Analytics 분석
• Network Watcher: 플로우 로그 활성화

Traffic Analytics 설정 순서:

1. Network Watcher 활성화
2. NSG 플로우 로그 구성
3. Traffic Analytics 활성화
4. Log Analytics 작업 영역 연결

Traffic Analytics 제공 정보:

• 네트워크 트래픽 패턴
• 보안 위협 탐지
• 대역폭 사용량 분석
• 지리적 트래픽 매핑

📚 해설

정답 수정: 실제로는 데이터 수집 규칙(DCR)이 정답입니다.

Azure Monitor Agent에서 IIS 로그 수집:

• 데이터 수집 규칙(DCR)이 Azure Monitor Agent의 데이터 수집을 제어합니다.
• IIS 로그는 텍스트 파일 형태로 수집되므로 DCR에서 파일 경로와 형식을 정의해야 합니다.
• DCR을 통해 어떤 VM에서 어떤 로그를 수집할지 정의합니다.

IIS 로그 수집 구성 순서:

1. 데이터 수집 규칙 생성: IIS 로그 파일 경로 및 형식 지정
2. VM 연결: DCR을 해당 VM들에 연결
3. Log Analytics 작업 영역 지정: 수집된 로그의 대상
4. 모니터링 및 확인: 로그 수집 상태 확인

DCR의 장점:

• 중앙 집중식 구성 관리
• 선택적 데이터 수집
• 네트워크 및 저장소 비용 최적화
• 보안 강화 (관리 ID 사용)

📚 해설

서비스 엔드포인트 정책 분석:

• 서비스 엔드포인트: VNet에서 Azure 서비스로의 직접 연결
• 서비스 엔드포인트 정책: 특정 Azure 리소스에만 액세스 허용
• 화이트리스트 방식: 정책에 명시된 리소스만 액세스 가능

정책 적용 로직:

• 서비스 엔드포인트가 활성화된 서브넷에서만 적용
• 정책에 포함된 저장소 계정만 액세스 허용
• 정책이 없는 서브넷은 모든 저장소 계정 액세스 가능

VM별 액세스 권한:

• 서브넷 위치: VM이 속한 서브넷 확인
• 서비스 엔드포인트 활성화: 해당 서브넷의 설정
• 정책 적용: 서비스 엔드포인트 정책 규칙
• 최종 결과: 액세스 허용/거부 여부

🎓 학습 성취 축하

훌륭합니다! 60문제를 완주하셨습니다!

• 📈 모니터링 마스터: Azure Monitor의 다양한 기능 학습 완료
• 🛡️ 보안 전문가: 네트워크 보안 및 액세스 제어 이해
• 🔧 문제 해결사: 각종 진단 도구 활용법 습득
• ⚡ 성능 최적화: 리소스 성능 분석 및 개선 방법 숙지

🚀 다음 단계 추천:

• 실제 Azure 환경에서 학습한 내용 실습
• Microsoft Learn의 추가 학습 경로 탐색
• AZ-104 공식 연습 테스트 응시
• Azure 커뮤니티 참여 및 경험 공유

🎯 시험 성공을 위한 마지막 조언:

이론과 실습을 병행하여 실무 경험을 쌓으시고, 꾸준한 복습으로 기억을 강화하세요. 여러분의 Azure 전문가 여정을 응원합니다! 💪