[AZ-104] Azure Adminitrator Associate

 

 

40-60 questions

180 minutes

 

---

Azure Active Directory (현 Microsoft Entra ID)

• 클라우드 기반의 ID 및 엑세스 관리 서비스
• 사용자, 그룹 및 장치를 관리하고 온프레미스와 클라우드 모두에서 응용 프로그램 및 서비스에 안전하게 엑세스
• Azure AD를 통해 구성원들에게 권한을 할당하여 tenant 생성
• Azure AD Connect 기능을 사용하여 기존 AD와 Azure AD를 연결

Tenant 테넌트

Azure 관리 체계 [ 테넌트 > 관리 그룹 > 구독 > 리소스 그룹 > 리소스 ]

예시 [ 회사 > 한국 본사 > 서울지점/부산지점 > 운영부/개발부/영업부 > 책상/의자/컴퓨터 ]

•  Tenant 테넌트 : 쉽게 말해 한 회사나 조직
• Management Group 관리 그룹 : 구독을 그룹화
• Subscription 구독 : 모든 리소스를 아우르는 집합으로 리소스를 배포할 때 사용되는 논리적 컨테이너
• Resource Group 리소스 그룹 : 리소스의 집합
• Resource 리소스 : 가상머신, 가상 네트워크 및 스토리지 등 Azure IaaS, PaaS 서비스

Azure Policy

규정 및 규칙을 정의해서 사용자에게 정책을 권고

Policy	Initiative (권장)
개별의 정책 정의	관련 정책을 함께 그룹화

RBAC (Role-Based Access Control) 역할 기반 액세스 제어

Role에 따라서 User에게 권한 부여

Role은 가능한 Action들로 이루어져 있으며 PUT, POST, PATCH, DELETE 등을 수행

각각의 User에게 Subscription, Resource Group, Resource 등에 대해서 권한 부여

• Owner 소유자 : 모든 리소스에 액세스 가능, 다른 사람에게 역할 할당 가능
• Contributor 기여자 : 모든 리소스에 액세스 가능, 다른 사람에게 역할 할당 불가능
• Reader 독자 : 리소스 확인 가능, 편집 불가능

ARM (Azure Resource Manager)

• 배포 및 관리 서비스
• Azure 계정에서 리소스를 만들고 업데이트 및 삭제할 수 있는 관리 계층을 제공
• 사용자가 Azure 도구, API 또는 SDK에서 요청을 보내면 ARM이 요청을 받음 → ARM은 요청을 인증하고 권한을 부여 →  이후 ARM은 요청된 작업을 수행하는 Azure 서비스에 요청을 보냄
• 모든 요청이 동일한 API를 통해 처리되므로 일관적인 결과 및 기능 볼 수 있음
• ARM 템플릿 : 코드를 통해서 인프라스트럭처를 구성하는 서비스
• 템플릿 장점: 선언적 구문, 반복 가능한 결과, 오케스트레이션, 모듈식 파일, 확장성
• ARM Files 구성 : Parameters, Variables, Resources, Outputs

 

---

Virtual Network 가상 네트워크

가상 머신이 통신할 수 있도록 하는 가상 네트워크

가상 네트워크를 생성하면 자동으로 NIC(Network Interface Controller)가 생성

• 주소 공간 : 가상 네트워크를 만들 때 사용할 Private IP 대역을 설정하여 주소를 할당받음
• 서브넷 : 할당받은 주소를 나눠줌
• Network Security Group, NSG : 서브넷 단위에서의 보안으로 인바운드 및 아웃바운드 설정 가능
• 방화벽 : NSG는 서브넷이나 NIC 대상, 방화벽은 VN인 인프라 대상
• 서브넷 안에 Private VM 접근방법 : 점프박스 이용, Public IP 할당, Bastion Host 이용, 시리얼 콘솔 혹은 NAT

Peering

• VNet과 VNet을 연결하는 방법으로 Peering을 통해 동일 Region이나 다른 Resion 간에 통신 가능
• Peering으로 연결된 VNet 간에는 Azure 백본을 이용해 라우팅
• Peering 연결 후 VNet 간에 통신을 제어하고자 할 경우 NSG 사용

VPN Gateway

암호화된 트래픽을 양측에 보내기 위한 게이트웨이

일반적으로 Cloud의 VNet과 On-premises를 Public Internet을 통해서 연결하는 게이트웨이가 가장 흔함

Point to Site	Site to Site	Express Route
- 하나의 Client에서 Cloud Data Center로의 연결 - Client의 IP가 고정될 수 없기 때문에 22 포트 연결을 통한 SSH 연결이나 데스크롭 연결 등을 위해 사용	- Cloud와 On-premises의 연결 혹은 Hybrid 구조 - Multi Site를 지원하며 하나의 VPN 연결을 가지고 여러 개의 터널을 이용하여 서로 다른 데이터센터에 연결 가능	- On-premises와 Microsoft Data Center의 프라이빗 연결 - 보안적으로 우수하여 금융 데이터의 전송이나 Downtime이 허용되지 않는 연결

Virtual WAN

• 애저 백본망을 이용하여 최적의 경로로 이동하는 네트워크 워크로드
• Virtual WAN Hub로 클라우드 연결 서비스를 단일 인터페이스로 통합하여 지원

Azure 부하 분산 장치

	Application Gateway	Front Door	Load Balancer	Traffic Manager
사용법	L7에서 작동하며 애플리케이션에 대한 웹 트래픽 관리	사용자와 애플리케이션의 정적 및 동적 웹 콘텐츠 간에 빠르고 안전한 액세스 제공하는 CDN	L4에서 작동하며 프론트엔드에 도착하는 인바운드 흐름을 백엔드 풀 인스턴스에 분산	DNS 기반 트래픽 부하 분산 장치로 전 세계 Azure 지역에서 서비스 트래픽을 최적으로 분산
프로토콜	HTTP, HTTPS, HTTP2	HTTP, HTTPS, HTTP2	TCP, UDP	모두
프라이빗	Y		Y
퍼블릭		Y		Y
보안	WAF	WAF, NSG	NSG

 

---

Storage

스토리지 계정 > 데이터 스토리지 > 컨테이너(Blob) / 파일 공유 / 큐 / 테이블  

• Azure Blob : 구조화되지 않은 텍스트 및 이진 데이터 저장소 (이미지, 문서, 비디오, 오디오 etc)
• Azure Files  : 파일 공유 서비스로 가격, 편리성, 속도면에서 많이 사용 (여러 가상머신에 공유 데이터 저장하거나 액세스)
• Azure Queue : 안정적인 메시징이 가능하며 비동기처리에 최적화
• Azure Tables : 스키마가 없는 NoSQL 저장소

 

---

Virtual Machine 가상 머신

Scale Up & Down 보다는 Scale In & Out

Azure VM에는 두 개 이상의 디스크가 포함 (4TB)

• OS 디스크
• 임시 디스크 (내용 손실)
• 데이터 디스크 (선택사항)

가용성 옵션

• 가용성 영역 : VM을 3개 만들었을 때 zone 1, 2, 3에 물리적으로 분리해놓는 것
• 가상 머신 확장 집합 : VM을 3개 만들었을 때 zone 1, 2, 3에 분리해놓고(가용성) Load Balancer 생성해서 붙이는 것(고가용성)
• 가용성 집합 : 가용 영역이 안될 때 VM 3개를 논리적으로 분리해놓는 것

가용성 영역

• 전체에 장애가 발생하는 경우를 방지하기 위해 데이터센터를 분산 구성하는 방식
• 각 영역은 독립된 전원, 냉각 및 네트워킹을 갖춘 하나 이상의 데이터센터로 구성

가용성 집합

최대 3개의 Fault Domain, 20개의 Udate Domain으로 구성

• 장애 도메인 : 분산 배포
• 업데이트 도메인 : 예약된 유지 관리, 성능 또는 보안 업데이트는 업데이트 도메인을 통해 순서가 정해짐

 

---

Azure App Services

• 개발자를 위한 완전 관리형 PaaS 제품
• 인프라를 관리할 필요 없이 선택한 프로그래밍 언어로 웹 애플리케이션, 모바일 백엔드 및 RESTful API를 빌드하고 호스트할 수 있음
• Windows 및 Linux를 모두 지원
• GitHub, Azure DevOps, Docker Hub 등 DevOps 기능 활용 가능
• 사용한 리소스는 App Service Plan에 따라 결정

 

---

 

쿠버네티스

• 클러스터 : 쿠버네티스를 사용하면서 쓰는 하나의 전체 단위
• 노드 : 클러스터 안에 있는 물리적인 컴퓨터나 가상머신
• Pod : 쿠버네티스에서 하나의 배포 단위
• 크기 순서 [ 쿠버네티스 > 노드 > 파드 > 컨테이너 ]

ACI (Azure Container Instances) vs. AKS (Azure Container Services)

ACI	AKS
- Azure에서 컨테이너를 실행하는 가장 빠르고 간단한 PaaS - 경량 컨테이너 실행환경 - ARM 템플릿을 사용하여 ACI 배포 가능	- Azure의 컨테이너 오케스트레이션 서비스 - 완전 관리형 쿠버네티스 서비스 - 여러 컨테이너의 빌드, 관리 및 배포
1. 빠른 애플리케이션 개발 및 테스트 2. 버스팅 워크로드 : 수요에 따라 유연한 확장성 3. 개별 작업 및 배치 실행 4. 마이크로서비스 배포 5. 이벤트 중심 워크로드	1. 컨테이너화된 애플리케이션 배포 : 대규모 배포 및 관리 2. 프로덕션 등급 워크로드 : 고가용성, 확장성 및 복원력 3. 마이크로서비스 아키텍처 4. CI/CD 도구와 원활하게 통합 : 안정적인 파이프라인 보장 5. DevOps 협업 : 일관된 환경 제공 6. 하이브리드 및 멀티 클라우드 배포

 

ACR (Azure Container Registry)

Azure에서 제공하는 프라이빗 보안 레지스트리

 

---

백업 센터

Azure에서 기업이 대규모 백업을 제어, 모니터링, 운영, 분석하는 데 사용할 수 있는 단일 통합 관리 환경 제공

• 백업을 관리하기 위한 단일 창 : 대규모 분산 환경에서 잘 작동되도록 디자인
• 데이터 원본 중심 관리 : 백업되는 자격 증명 모음에 입증하지 않고도 관련 작업 수행 가능
• 연결된 환경 : 기존 Azure 서비스에 대한 네이티브 통합 제공
• 대규모 모니터링 기능 : Azure Site Recovery에 대한 대규모 모니터링 및 관리 기능 제공

Recovery Services 자격 증명 모음 vs. 백업 자격 증명 모음

Recovery Services 자격 증명 모음	백업 자격 증명 모음
데이터를 저장하는 Azure의 Storage Entity	Azure Backup이 지원하는 특정 최신 워크로드에 대한 백업 데이터를 저장하는 Storage Entity
- 백업 데이터 보호 기능 향상 - 하이브리드 IT 환경을 위한 중앙 모니터링 : Azure IaaS VM 뿐만 아니라 중앙 포털에서 On-premises 자산도 모니터링 가능 - Azure RBAC : 세밀한 액세스 관리 제어 제공 - 일시 삭제 : 실수로 백업 데이터가 삭제 되어도 14일 동안 보관 - CRR 지역 간 복원 : 보조 지역에서 Azure VM 복원 가능	- 백업 데이터 보호 기능 향상 - Azure RBAC : 세밀한 액세스 관리 제어 제공

Azure Backup (MARS) agent vs. Azure Backup Server (MABS)

	MARS	MABS
Description	Dist-to-Cloud	Disk-Disk-Cloud
Backup supported	Files & Folders ONLY	Files & Folders Hyper-v SQL Server SharePoint Exchange
Backup Storage	Recovery Services vault	Recovery Services vault Locally attached disk

 

---

Azure Monitor - 데이터 플랫폼

• 메트릭 : 시간 간격에 따른 추세를 분석할 수 있는 시계열 데이터베이스
• 로그 : 다양한 형식의 데이터를 기록할 수 있으며 타임스탬프를 포함
• 변경 분석 : 일련의 이벤트(업데이트된 코드 배포 등)가 시스템에서 문제를 일으켰을 때 추적 가능
• 인사이트 : 데이터 플랫폼의 데이터를 사용하는 구성 요소

Azure Advisor

• 배포를 최적화하기 위한 모범 사례를 따르는 데 도움이 되는 개인 설정 클라우드 컨설턴트
• 리소스 구성 및 사용량 원격 분석을 수행
• Azure 리소스의 안전성, 보안, 성능, 비용 및 최적의 운영을 개선

Azure Alerts 경고

• 경고 규칙 : 특정 리소스의 문제 발생 신호를 캡처하고 조건을 충족하는지 확인한 후 경고 상태를 업데이트
• 작업 그룹 : 경고가 트리거될 때 정의된 알림 및 작업 집합을 호출
• 경고 처리 규칙 : 특정 유형의 경고에 특정 작업을 적용하는 등 경고가 트리거될 때 발생하는 작업을 결정

Log Analytics

• Azure Portal에서 로그 데이터에 대해 로그 쿼리를 편집하고 실행하는 데 사용되는 도구
• 간단한 쿼리를 작성하여 정렬, 필터링, 분석을 할 수 있음
• 고급 쿼리를 작성하여 통계 분석을 수행하고 결과를 시각화할 수 있음

Network Watcher

Resion에 하나씩 생김

Matrix를 모니터링, 진단 및 확인하고 Azure IaaS 리소스에 대한 로그를 사용하는 도구 모음

Monitoring	Network Diagnostic Tools 진단 도구	Traffic
- 토폴로지 : 네트워크의 시각화 - 연결 모니터 : End-to-End 연결 모터링	- IP 흐름 확인 : IP 주소와 패킷 통신 확인 - NSG 진단 : 트래픽 필터링 문제 감지 - 다음 홉 : 라우팅 문제 진단 - 유효한 보안 규칙 - 연결 문제 해결 - 패킷 캡처 : 트래픽 추적 - VPN 문제 해결	- 흐름 로그 : Azure IP 트래픽에 대한 정보를 기록하고 Azure Storage에 저장 - 트래픽 분석 : 흐름 로그 데이터에 대한 시각화 제공