AZ-305 Microsoft Azure Infrastructure Solutions 取得学習会 第6回
147 Views
March 26, 25
スライド概要
AZ-305 取得勉強会資料です
Microsoft MVP for Microsoft Azure.
関連スライド
各ページのテキスト
AZ-305: Microsoft Azure Infrastructure Solutions 試験問題サンプル © Techpit,inc All Rights Reserved.
1問目 問題 © Techpit,inc All Rights Reserved.
試験問題サンプル 1 負荷分散された Azure 仮想マシン上で実行されるアプリケーションがあります。このアプリケーションでは、Azure ストレージ アカウントと Azure キー コンテ ナーにアクセスする必要があります。 あなたは、Azure リソースにアクセスするためのID 戦略を推奨する必要があります。このソリューションでは、次の要件を満たす必要があります。 - アクセス許可に基づいてリソースへのアクセスをセキュリティで保護する。 作成する ID の数を最小限に抑える。 どの種類の ID をレコメンデーションに含める必要がありますか? 回答を 1 つだけ選択してください。 A. Azure AD グループ B. Azure AD ユーザー C. システム割り当てマネージドID D. ユーザー割り当てのマネージドID © Techpit,inc All Rights Reserved.
試験問題サンプル 1(ヒント) 負荷分散された Azure 仮想マシン上で実行されるアプリケーションがあります。 このアプリケーションでは、Azure ストレージ アカウントと Azure キー コンテ ナーにアクセスする必要があります。 あなたは、Azure リソースにアクセスするためのID 戦略を推奨する必要があります。このソリューションでは、次の要件を満たす必要があります。 - アクセス許可に基づいてリソースへのアクセスをセキュリティで保護する。 作成する ID の数を最小限に抑える。 どの種類の ID をレコメンデーションに含める必要がありますか? 回答を 1 つだけ選択してください。 A. Azure AD グループ B. Azure AD ユーザー C. システム割り当てマネージドID D. ユーザー割り当てのマネージドID © Techpit,inc All Rights Reserved.
1問目 解答 © Techpit,inc All Rights Reserved.
【回答】 D 【解説】 システム割り当てマネージド ID は、各 VM にそれぞれ作成されます。 ユーザ割り当てマネージド ID は、複数の VM へ割り当てすることが出来ます。 Azure AD ユーザ、グループを利用する場合、実体は サービスプリンシパル になりますが、サー ビスプリンシパル は、任意のクライアントから利用できる為、アクセス許可に基づいて厳密なアク 解答 セス制限がマネージド ID よりも難しくなります。 その為回答は、D になります。 https://learn.microsoft.com/ja-jp/azure/active-directory/managed-identities-azure-reso urces/overview © Techpit,inc All Rights Reserved.
1問目 解説 © Techpit,inc All Rights Reserved.
試験問題サンプル 1 負荷分散された Azure 仮想マシン上で実行されるアプリケーションがあります。このアプリケーションでは、Azure ストレージ アカウントと Azure キー コンテ ナーにアクセスする必要があります。 あなたは、Azure リソースにアクセスするためのID 戦略を推奨する必要があります。このソリューションでは、次の要件を満たす必要があります。 - アクセス許可に基づいてリソースへのアクセスをセキュリティで保護する。 作成する ID の数を最小限に抑える。 どの種類の ID をレコメンデーションに含める必要がありますか? 回答を 1 つだけ選択してください。 アクセス許可が厳しく設定できない A. Azure AD グループ B. Azure AD ユーザー C. システム割り当てマネージドID D. ユーザー割り当てのマネージドID © Techpit,inc All Rights Reserved. アクセス許可が厳しく設定できない リソース毎に作られるので、 Id の数を最小限に押さえられない
試験問題サンプル 1 マネージド ID の種類 システム割り当てマネージドID Azure のリソースとセットで作成される この Id を利用してアクセストークンを取得できるのは、紐づいているリソースのみ 紐づくリソースが削除されると、一緒に削除される アクセスポリシーをリソース毎に分離したい場合に利用する ユーザ割り当てマネージドID 単独の Azure リソースとして作成される 複数のリソースに紐づけることが出来る 紐づくリソースを削除しても、一緒に削除されない アクセスポリシーを複数のリソースで共有したい場合に利用する © Techpit,inc All Rights Reserved.
試験問題サンプル 1 マネージド ID と Azure AD ユーザアカウント(サービスプリンシパルの違い) マネージド ID 割り当てられたリソースからしか利用できない VM 01 にのみ割り当てられているマネージドID を、VM 02 から利用することは出来ない 内部的には、サービスプリンシパルが生成されている 最終的な認証情報の実体は、サービスプリンシパル Azure 内のリソースから利用したい場合は、こちらを選択する サービスプリンシパル 任意のクライアントから利用できる VM 01、VM 02 で共通のものが利用できる オンプレミスのシステムから利用したい場合は、こちらを選択する サービスプリンシパルが流出すると不正アクセスに利用できるが、マネージド ID は、紐づけたリソースからのみ利用できるため、不正アクセスのリスクが無い © Techpit,inc All Rights Reserved.
2問目 問題 © Techpit,inc All Rights Reserved.
試験問題サンプル 2 あなたは、Azure でデータ ストレージ ソリューションを設計しています。このソリューションでは、次の要件を満たす必要があります。 - 非構造化データ用に最適化されている。 geo 冗長ストレージ (GRS) がサポートされている。 設計に何を組み込む必要がありますか? A. Azure Data Lake Storage B. Azure SQL Database C. Azure SQL Managed Instance D. Azure Synapse Analytics © Techpit,inc All Rights Reserved.
試験問題サンプル 2(ヒント) あなたは、Azure でデータ ストレージ ソリューションを設計しています。このソリューションでは、次の要件を満たす必要があります。 - 非構造化データ用に最適化されている。 geo 冗長ストレージ (GRS) がサポートされている。 設計に何を組み込む必要がありますか? ※ GRS は、元々どのサービスで用意されている冗長化構成でしょうか? A. Azure Data Lake Storage B. Azure SQL Database C. Azure SQL Managed Instance D. Azure Synapse Analytics © Techpit,inc All Rights Reserved.
2問目 解答 © Techpit,inc All Rights Reserved.
【回答】 A 【解説】 解答 Azure Data Lake Storage は、非構造化データ、半構造化データに最適化されています。 SQL Database、Managed Instance、Synapse Analytics は、構造化データに最適化されて い ます。 その為回答は、A になります。 © Techpit,inc All Rights Reserved.
2問目 解説 © Techpit,inc All Rights Reserved.
試験問題サンプル 2 あなたは、Azure でデータ ストレージ ソリューションを設計しています。このソリューションでは、次の要件を満たす必要があります。 - 非構造化データ用に最適化されている。 geo 冗長ストレージ (GRS) がサポートされている。 設計に何を組み込む必要がありますか? A. Azure Data Lake Storage 構造化データに最適化されている B. Azure SQL Database C. Azure SQL Managed Instance D. Azure Synapse Analytics 構造化データに最適化されている 構造化データに最適化されている © Techpit,inc All Rights Reserved.
試験問題サンプル 2 構造化データ、非構造化データ、半構造化データ 構造化データ 行、列で定義されるデータ構造 データベースのスキーマ、CSV、Excel 等 一度加工済みなデータを表すことが多い 非構造化データ 厳密に構造が定義されていないデータ メール、画像、Office 文書など データ利用時に加工される事が多い 半構造化データ 非構造化データにフレキシブルな構造を与えたもの json、xml、yaml など グラフ型、キーバリュー型、ドキュメント型、カラム型の 4つに分類される Azure Data Lake Storage について - Azure Blob Storage をベースとしたサービス Blob ストレージベースなので、冗長構成もAzure ストレージと同じレベルで提供される Hadoop 互換 © Techpit,inc All Rights Reserved.
3問目 問題 © Techpit,inc All Rights Reserved.
試験問題サンプル 3 あなたは、オンプレミスのデータセンターをAzure に接続するためのネットワーク接続ソリューションを設計しています。このソリューションでは、次の要件を満 たす必要があります。 - 米国西部 Azure リージョンへの高速で信頼性の高いプライベート接続を確立する。 オンプレミス データセンターと Azure の間のすべての通信を暗号化する。 トラフィックがオンプレミスデータセンターから米国西部リージョンを通過した後、南北アメリカおよびヨーロッパの他の商用 Azure リージョンに流れるよ うにする。 この接続には何を使用する必要がありますか? A. IPsec を使用した VPN B. ExpressRoute Premium Direct C. プロバイダーを介した ExpressRoute Premium D. プロバイダーを介した ExpressRoute Standard 回線 © Techpit,inc All Rights Reserved.
試験問題サンプル 3(ヒント) あなたは、オンプレミスのデータセンターをAzure に接続するためのネットワーク接続ソリューションを設計しています。このソリューションでは、次の要件を満 たす必要があります。 - 米国西部 Azure リージョンへの高速で信頼性の高いプライベート接続を確立する。 オンプレミス データセンターと Azure の間のすべての通信を暗号化する。 トラフィックがオンプレミスデータセンターから米国西部リージョンを通過した後、南北アメリカおよびヨーロッパの他の商用 Azure リージョンに流れるよ うにする。 この接続には何を使用する必要がありますか? A. IPsec を使用した VPN B. ExpressRoute Premium Direct C. プロバイダーを介した ExpressRoute Premium D. プロバイダーを介した ExpressRoute Standard 回線 © Techpit,inc All Rights Reserved.
3問目 解答 © Techpit,inc All Rights Reserved.
【回答】 B 【解説】 Express Route premium では、グローバルなアクセスが可能です。 解答 また、Direct では、MACsec によって L2 まで暗号化が可能です。 Standard では、地域外のリージョンへトラフィックを流せません。 IPSec の VPN では、プライベートな接続は提供されません。 その為回答は、B になります。 © Techpit,inc All Rights Reserved.
3問目 解説 © Techpit,inc All Rights Reserved.
試験問題サンプル 3 あなたは、オンプレミスのデータセンターをAzure に接続するためのネットワーク接続ソリューションを設計しています。このソリューションでは、次の要件を満 たす必要があります。 - 米国西部 Azure リージョンへの高速で信頼性の高いプライベート接続を確立する。 オンプレミス データセンターと Azure の間のすべての通信を暗号化する。 トラフィックがオンプレミスデータセンターから米国西部リージョンを通過した後、南北アメリカおよびヨーロッパの他の商用 Azure リージョンに流れるよ うにする。 物理的には分離されない為、プライベート接続は出来ない この接続には何を使用する必要がありますか ? A. IPsec を使用した VPN B. ExpressRoute Premium Direct C. プロバイダーを介した ExpressRoute Premium D. プロバイダーを介した ExpressRoute Standard 回線 MACsec が利用できない為、 L2 の暗号化が出来ない 地域を超えて通信が出来ない © Techpit,inc All Rights Reserved.
試験問題サンプル 3 Express Route の接続モデル Direct 直接専用線を引き、Azure と接続する方式 導入コストが非常に高い分、10 Gbps、100 Gbps といった高速回線を利用可能 政府機関、銀行、特定の小売業等、規制によってデータの取り扱い制限が厳しい業種に向いている 通常 - サービスプロバイダ経由で接続する方式 直接専用線を引く必要が無い為、Direct と比べて設備コストが低くなる 多くの場合は、こちらを使うことが多いと思われる Express Route のピアリング方式 Microsoft ピアリング Azure の PaaS、Microsoft 365、Dynamics 365、Power Platform 等を Express Route 経由で利用する為の方式 M 365 を繋ぎたい場合は、MS 側の商品が必要なので注意 プライベートピアリング VNET 内の IaaS、PaaS 等と接続する為の方式 プライベートエンドポイントと接続する為に利用 パブリックピアリング Azure の PaaS と接続する為の方式 Microsoft ピアリングに統合されたので、2024年1月に廃止 © Techpit,inc All Rights Reserved.
試験問題サンプル 3 SKU の比較 Local - ピアリング場所の近くにある1つ or 2つのリージョンにのみアクセスできる Local のみ、エグレスデータ転送に料金が掛からない為、回線の価格に通信料金が含まれる 転送するデータが大量にある場合は、コストメリットがある Standard ピアリング場所の近くのリージョン+ そのリージョンのペアリージョンにアクセスできる 東日本にピアリングした場合は、西日本にもアクセスできる Premium 世界中の全てのリージョンにアクセス可能 © Techpit,inc All Rights Reserved.
ありがとうございました © Techpit,inc All Rights Reserved.