Azure-Free Certification Exam

https://docs.microsoft.com/en-us/learn/certifications/microsoft-build-cloud-skills-challenge-2020-free-certification-exam-offer

Microsoft Build Cloud Skills Challenge 2020 를 완료하면 시험 바우처를 제공합니다!!

과정은 이렇습니다.

https://mybuild.microsoft.com/

가입후 메일로 인증확인 개인정보 등록

https://docs.microsoft.com/ko-kr/users/

learm 프로필에서 확인

https://aka.ms/buildcloudskillschallenge

챌린지 진행!

AWS-GCP-Azure-network-none-rfc1918

VPC를 생성하는 경우, 다음과 같이 /16RFC 1918:규격에 따라 프라이빗(비공개적으로 라우팅 가능) IPv4 주소 범위에 속하는 CIDR 블록( 또는 이하)을 지정하는 것이 좋습니다.

-_-;공인IP를 쓸수있는건 아니지만 걍 아무대역 가져다 써도 VPC는 생성 가능하다.

갑자기 궁금해져서 퍼블릭클라우드는 비RFC1918을 지원하는지 모두 테스트 해보았고 모두 지원한다~

DOCS에서 명확하게 적혀있는것은 AWS 뿐이었다.

Azure

VNet 내에서 사용할 수 있는 주소 범위는 무엇입니까?

RFC 1918에 정의되어 있는 모든 IP 주소 범위를 사용할 수 있습니다. 예를 들어 10.0.0.0/16을 사용할 수 있습니다. 다음 주소 범위는 추가할 수 없습니다.

  • 224.0.0.0/4(멀티캐스트)
  • 255.255.255.255/32(브로드캐스트)
  • 127.0.0.0/8(루프백)
  • 169.254.0.0/16(링크-로컬)
  • 168.63.129.16/32(내부 DNS)

GCP

서브넷 및 IP 범위

서브넷을 만들 때 기본 IP 주소 범위를 정의해야 합니다. 선택사항으로 보조 IP 주소 범위를 정의할 수 있습니다.

  • 기본 IP 주소 범위: 서브넷의 기본 IP 주소 범위에 대한 비공개 RFC 1918 CIDR 블록을 선택할 수 있습니다. 이러한 IP 주소는 VM 기본 내부 IP 주소, VM 별칭 IP 주소, 내부 부하 분산기의 IP 주소에 사용할 수 있습니다.

뭐야.. 애매하잖아 다되는데

azure-AZ-300-Microsoft Azure Architect Technologies

AZ-300: Microsoft Azure Architect Technologies 취득 후기

3월부터 4월2일까지 내내 공부했다.

하루에 한시간은 꼭 공부했다. 재택근무도 도움이 됬다. 시험일정을 잡는걸 좀 급하게 잡아서 걱정이 많았지만 그래도 이렇게 급할때 더 집중이 잘됬다.

시험은 Technologies 에 대한 시험인 만큼 범위가 넓었다.

network / storage / ad / db / backup / vm / aks / docker / logic app / appweb

등 다양한 방법과 용도에 대해서 묻는 시험이 대부분이었다.

azure 시험은 유독 독특하다.

하나의 주제에대해서 정확한 답을알면 여러 문제를 풀수있고 케이스에서 요구하는 문제는 적절한 답안을 내야한다. 또한 lab 문제는 계정을 주고 로그인해서 셋팅하는 방식이다.

또한 한번풀면 다신 풀수없는 문제도 있다.

az-301취득까지 목표니까..

기세를 살려 5월중순엔 az-301 취득이 목표다.

같이 공부해주신 민형님 / 재호님 / 진국님 / 수현님께 깊은 감사를 드린다.

Azure-300-301-exam

https://docs.microsoft.com/ko-kr/learn/certifications/azure-solutions-architect#certification-exam-disclaimers

Microsoft Certified: Azure Solutions Architect Expert 자격을 획득하려면 300-301 시험을 봐야한다. 그래야..별세개..

https://docs.microsoft.com/ko-kr/learn/paths/architect-great-solutions-in-azure/

이URL에서 무료교육을 할수있다.

센터에 있는 데이터를 사용한 심층 방어를 보여주는 일러스트레이션. 데이터 주변의 보안 링에는 애플리케이션, 컴퓨팅, 네트워크, 경계, ID 및 액세스, 물리적 보안이 포함됩니다.
  • 보안: 액세스 및 데이터 무결성 보호 및 규정 요구 사항 충족
  • 성능 및 확장성: 모든 시나리오의 요청에 대해 효율적으로 충족
  • 가용성 및 복구 기능: 가동 중지 시간 최소화 및 영구 데이터 손실 방지
  • 효율성 및 운영: 유지 관리 극대화 및 요구 사항 확인은 모니터링을 통해 충족

보안

 CIA 중 하나 이상을 구현할 수 있습니다.

# 예제 원칙
1데이터Azure Blob 스토리지의 미사용 데이터 암호화무결성
2애플리케이션SSL/TLS 암호화 세션무결성
3컴퓨팅정기적으로 OS 및 계층화 소프트웨어 패치 적용가용성
4네트워크네트워크 보안 규칙기밀성
5경계DDoS 보호가용성
6ID 및 액세스Azure Active Directory 사용자 인증무결성
7물리적 보안Azure 데이터 센터 생체 인식 액세스 제어기밀성

Azure-네트워크 구성 및 망분리

azure 에서 망분리가 먼저 선행되어야 할 과제이다.
aws 에서의 망분리는 계층적 망분리로 서브넷과 라우팅 테이블을 이용하여 망분리를 구현한다. 하지만 gcp / azure는 망분리의 개념이 좀 다르다.

서브넷을 통한 망분리가 아닌 공인IP의 유무로 망분리를 구현한다.

근래에 구성도를 작성하면서 한편으로 계층적 망구성이 구성도 그리긴 불편한 생각이 들긴한데 그래도 익숙하고 편한데 azure 와 gcp 를 보니까 aws 의 망구성이 관리의 편의성이 떨어지는 느낌이기도 하고..조금 애매한 느낌이 든다.

azure 에서는 어떤 인프라도 리소스그룹안에서 만들어진다. gcp의 프로젝트 개념과도 같다. 그렇지만 좀 다른게 리전에 종속된다.

한국리전은 중부와 남부로 나뉘는데 중부를 azure 에선 중부를 주로 추천하는데 나는 중부말고 남부를 선택했다.

요구하는 바는 구독 그룹네임 리전 리소스 그룹다음에는 virtual network 를 생성하는데 VN은 서브넷을 생성하게 된다.

가상네트웤의 최대 크기는 10.0.0.0/8 까지로 16777216개 주소 를 사용할수 있다.

서브넷을 3개로 나누었고 서브넷은

보안그룹을 서브넷에 설정하여 접근제어가 가능하다.

aws 의 구성의 경우엔 az 별 서비스별 서브넷을 설정했지만 azure 는 az가 명시적으로 지정되지 않아 서비스별 서브넷을 생성해서 사용하는것이 최선으로보인다.

서브넷의 보안그룹으로 막으려면 tag ip id 로 명시적으로 막자.

서브넷별 nsg 가 구성되는게 좋을것 같다.

가상머신은 공용아이피를 없앤 채로 생성한후 나중에 공용IP를 부여할수있었다.

직렬연결은 가상화 머신의 화면을 그대로 포워딩해주는 방식으로 보이며 공용IP가 없는 상태에서도 연결할수 있었다.

굉장히 불편한 부분은 이다음에 발생했는데 lb 는 sku 개념덕분에 혼파망이 되었다.

sku는 basic / standard 두가지로 나누어져있는데

Configures outbound SNAT for the instances in the backend pool to use the public IP address specified in the frontend.

인터넷 통신

기본적으로 VNet의 모든 리소스는 인터넷으로 아웃바운드 통신을 할 수 있습니다. 공용 IP 주소 또는 공용 Load Balancer를 할당하여 리소스에 대해 인바운드로 통신할 수 있습니다. 공용 IP 또는 공용 Load Balancer를 사용하여 아웃바운드 연결을 관리할 수도 있습니다. Azure의 아웃바운드 연결에 대한 자세한 내용은 아웃바운드 연결공용 IP 주소 및 Load Balancer를 참조하세요.

하...모든인스턴스는 인터넷과 통신이 가능하다. 이거때문에 한참을 헤멧다.

nat gw가 필요가 없다..............................충격 막으려면 NSG로 막아라.

그래서 일단 정리하자면 azure 의 모든 네트워크 접근제어는 네트워크 단위가 아니라 NSG에서 모두 컨트롤한다.

선택한 서브넷 'linuxer-subnet-pri(10.0.0.0/24)'이(가) 네트워크 보안 그룹 'pri-sub-sg'에 이미 연결되어 있습니다. 여기에 새 네트워크 보안 그룹을 만드는 대신 기존 네트워크 보안 그룹을 통해 이 가상 머신과 연결을 관리하는 것이 좋습니다.

azure LB사용할땐 가용성 집합을 이용해서 VM을 만든다.

리소스그룹-vpc-subnet-가용성집합-vm-lb 순으로 생성하게 된다.

LB는 베이직과 스텐다드..하 sku 개념이 제일짜증난다.

LB를 베이직으로 생성시에

???같은 가용성 집합인데????

음...이유는 다음에 찾아보기로 하고..

sku 가 스텐다드인경우엔 잘 된다..음 베이직이라 제한이 있는것으로 이해하고 지나가기로 한다.

상태 체크는 로드벨런스 안에서..아니면 zure monitor 을 이용하자.

근데 LB에서 페이지가 뜨는건 잘안됬다 왜지?

그리고 스터디를 마치고 집에와서 백엔드 규칙만 재생성하니 정상적으로 잘됨..뭐야이거..빡치네..