AZ-104 Microsoft Azure Infrastructure Solutions 取得学習会 2025年7月期_第5回

Transcript

1. © Techpit,inc All Rights Reserved. AZ-104: Microsoft Azure Infrastructure Solutions

   試験問題サンプル

2. © Techpit,inc All Rights Reserved. 問題 1問目

3. © Techpit,inc All Rights Reserved. 試験問題サンプル 1 複数のユーザーと管理者を含む Azure サブスクリプションがあります。

   次の JSON を使用して、新しいカスタムロールを作成します。 このカスタムロールが出来る 3つの操作は何ですか？ { "Name": "Custom Role", "Id": null, "IsCustom": true, "Description": "Custom Role description", "Actions": [ "Microsoft.Compute/*/read", "“Microsoft.Compute/snapshots/write”", "“Microsoft.Compute/snapshots/read”", "Microsoft.Support/*" ], "NotActions": [ "“Microsoft.Compute/snapshots/delete”" ], "AssignableScopes": [ "/subscriptions/00000000-0000-0000-0000-000000000000", "/subscriptions/11111111-1111-1111-1111-111111111111" ] } A. Microsoft サポートに連絡する B. スナップショットを作成して削除する。 C. スナップショットを作成して読み取る。 D. 仮想マシンを作成する。 E. 仮想マシンのすべての設定を読み取る。

4. © Techpit,inc All Rights Reserved. 試験問題サンプル 1（ヒント） 複数のユーザーと管理者を含む Azure サブスクリプションがあります。

   次の JSON を使用して、新しいカスタムロールを作成します。 このカスタムロールが出来る 3つの操作は何ですか？ ※ Action の項目に注目 { "Name": "Custom Role", "Id": null, "IsCustom": true, "Description": "Custom Role description", "Actions": [ "Microsoft.Compute/*/read", "“Microsoft.Compute/snapshots/write”", "“Microsoft.Compute/snapshots/read”", "Microsoft.Support/*" ], "NotActions": [ "“Microsoft.Compute/snapshots/delete”" ], "AssignableScopes": [ "/subscriptions/00000000-0000-0000-0000-000000000000", "/subscriptions/11111111-1111-1111-1111-111111111111" ] } A. Microsoft サポートに連絡する B. スナップショットを作成して削除する。 C. スナップショットを作成して読み取る。 D. 仮想マシンを作成する。 E. 仮想マシンのすべての設定を読み取る。

5. © Techpit,inc All Rights Reserved. 解答 1問目

6. © Techpit,inc All Rights Reserved. 解答 【回答】 A、C、E 【解説】 アクションの項目に

   VM への読み取り、スナップショットへの読み取り、書き込み、サポートへの全 ての権限が与えられています。 その為回答は、A、C、E になります。

7. © Techpit,inc All Rights Reserved. 解説 1問目

8. © Techpit,inc All Rights Reserved. 試験問題サンプル 1 カスタムロール カスタムロールは、Azure のリソースに対して細かくアクセス制御を設定する為の仕組みです。

   既存の組み込みロールでは実現出来ない細かな制御を提供できます。 カスタムロールは、 - JSON で定義 - 許可(Actions)、拒否(NotActions)、データアクション(DataActions)、スコープ(AssignableScopes) を定義 - サブスクリプションやリソースグループなど、スコープ単位で適用 作成する場合は、 PowerShell - New-AzRoleDefinition -InputFile xxx.json Azure CLI - az role definition create –role-definition xxx.json

9. © Techpit,inc All Rights Reserved. 試験問題サンプル 1 各プロパティの解説 プロパティ 説明

   name ロール名(ユニーク) IsCustom 必ず true Description ロールの説明 Actions 許可するアクション一覧(管理プレーン操作) NotActions 拒否する操作(例外) DataActions データプレーンの操作(Blob データの読み取り等) NotDataActions 拒否するデータプレーン操作 AssignableScopes このロールを割り当てるスコープ

10. © Techpit,inc All Rights Reserved. 試験問題サンプル 1 { "Name": "Custom

    Storage Reader", "IsCustom": true, "Description": "Can read storage accounts and list blob containers", "Actions": [ "Microsoft.Storage/storageAccounts/read" ], "NotActions": [ "Microsoft.Compute/snapshots/delete" ], "DataActions": [ "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/re ad" ], "NotDataActions": [], "AssignableScopes": [ "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" ] } 例 Actions : ストレージアカウントの読み取り、 NotActions : スナップショットの削除を不許可 NotDataActions : 指定なし DataActions: Blob コンテナ内のファイル読み取りを許可 AssignableScopes: サブスクリプション単位

11. © Techpit,inc All Rights Reserved. 試験問題サンプル 1 データプレーン操作 データプレーン操作は、 Azure

    リソース内の実際のデータにアクセス、操作する為のアクションです Azure 内の操作は、管理プレーンとデータプレーンに分かれます。 種類 説明 例 管理プレーン Azure のリソースの管理操作 ストレージアカウントの作成 リソースグループの削除 タグの更新等 データプレーン リソース内のデータそのものへの操 作 Blob の読み書き SQL データベースへのクエリ実行 Key Vault のシークレット取得など

12. © Techpit,inc All Rights Reserved. 問題 2問目

13. © Techpit,inc All Rights Reserved. 試験問題サンプル 2 あなたは、次の仮想ネットワークを含む Azure サブスクリプションを所有しています。

    仮想ネットワーク ピアリングを構成する必要があります。 どの 2 つのピアリングを作成できますか ? 正しい解答はそれぞれ完全な解決策を示します。 A. VNET 1 を VNET 2 にピアリングする B. VNET 1 を VNET 3 にピアリングする C. VNET 2 を VNET 3 にピアリングする D. VNET 3 を VNET 1 にピアリングする VNET アドレス範囲 VNET 1 192.168.0.0/24 VNET 2 10.10.0.0/24 VNET 3 192.168.0.0/16

14. © Techpit,inc All Rights Reserved. 試験問題サンプル 2（ヒント） あなたは、次の仮想ネットワークを含む Azure サブスクリプションを所有しています。

    仮想ネットワーク ピアリングを構成する必要があります。 どの 2 つのピアリングを作成できますか ? 正しい解答はそれぞれ完全な解決策を示します。 ※ 一つのネットワークに同じアドレス範囲は複数存在できません。 A. VNET 1 を VNET 2 にピアリングする B. VNET 1 を VNET 3 にピアリングする C. VNET 2 を VNET 3 にピアリングする D. VNET 3 を VNET 1 にピアリングする VNET アドレス範囲 VNET 1 192.168.0.0/24 VNET 2 10.10.0.0/24 VNET 3 192.168.0.0/16

15. © Techpit,inc All Rights Reserved. 解答 2問目

16. © Techpit,inc All Rights Reserved. 解答 【回答】 A, C 【解説】

    VNET 1 と VNET 3 は、アドレス範囲が重複しているのでピアリング出来ません。 その為回答は、A と C になります

17. © Techpit,inc All Rights Reserved. 解説 2問目

18. © Techpit,inc All Rights Reserved. 試験問題サンプル 2 IP アドレスの範囲 VNET

    1 と VNET 3 は、アドレス範囲が重複している VNET 最小アドレス サブネットマスク 最大アドレス VNET 1 192.168.0.0 255.255.255.0 192.168.0.254 VNET 2 10.10.0.0 255.255.255.0 10.10.0.254 VNET 3 192.168.0.0 255.255.0.0 192.168.255.254 255 == 1111 1111 0000 0000 0000 0000 0000 0000 255.0.0.0 = /8 255.255.0.0 == 1111 1111 1111 1111 0000 0000 0000 0000 255.255.0.0 = /16 255.255.255.0 == 1111 1111 1111 1111 1111 1111 0000 0000 255.255.255.0 == /24 255.255.255.255 == 1111 1111 1111 1111 1111 1111 1111 1111 255.255.255.255 == /32

19. © Techpit,inc All Rights Reserved. 試験問題サンプル 2 VNET ピアリング VNET

    ピアリングは、複数の VNET をシームレスに接続するための機能です ピアリングされた VNET は、見かけ上1つのネットワークとして機能します その為ピアリングする VNET は、アドレス範囲が被らない必要があります VNET ピアリングは、下記の 2種類の接続がサポートされます。 - VNET ピアリング : 同一リージョン内の VNET を接続します - グローバル VNET ピアリング : リージョン間で VNET を接続します VNET ピアリングを行うことで、主に下記のようなメリットを受けられます - 異なる VNET 内のリソース間で、より低遅延、高帯域幅なネットワーク通信を行う - パブリックネットワークからのアクセスを遮断しているサービスに、異なる VNET からアクセスする - VNET 経由の通信による料金の最適化 (パブリックネットワーク経由より安いアウトバウンド通信 ) また VNET ピアリングを行った際に各ネットワークは、ダウンタイム無しで構成変更されます

20. © Techpit,inc All Rights Reserved. 問題 3問目

21. © Techpit,inc All Rights Reserved. 試験問題サンプル 3 Subnet1 と Subnet2

    という名前の 2 つのサブネットを含む Azure 仮想ネットワークがあります。 VM1 という名前の仮想マシンが Subnet1 に接続されています。 VM1 は Windows Server を実行します。 VM1 が両方のサブネットに直接接続されるようにする必要があります。 最初に何をする必要がありますか ? A. Azure portal から、ネットワークインターフェースを追加する B. Azure portal から、IP グループを作成する C. Azure portal から、既存のネットワークインターフェースの IP 構成を変更する D. Windows Server にサインインして、ネットワークブリッジを作成する

22. © Techpit,inc All Rights Reserved. 試験問題サンプル 3（ヒント） Subnet1 と Subnet2

    という名前の 2 つのサブネットを含む Azure 仮想ネットワークがあります。 VM1 という名前の仮想マシンが Subnet1 に接続されています。 VM1 は Windows Server を実行します。 VM1 が両方のサブネットに直接接続されるようにする必要があります。 最初に何をする必要がありますか ? ※ 仮想マシンからサブネットを認識させるためには？ A. Azure portal から、ネットワークインターフェースを追加する B. Azure portal から、IP グループを作成する C. Azure portal から、既存のネットワークインターフェースの IP 構成を変更する D. Windows Server にサインインして、ネットワークブリッジを作成する

23. © Techpit,inc All Rights Reserved. 解答 3問目

24. © Techpit,inc All Rights Reserved. 解答 【回答】 A 【解説】 仮想マシンをサブネットに接続するためにネットワーク

    インターフェイスが使用されます。 1つのサブネットに対応するネットワークインターフェースは 1つです。 また、仮想マシンには複数のネットワークインターフェースをアタッチ出来ます。 Virtual networks and virtual machines in Azure | Microsoft Learn

25. © Techpit,inc All Rights Reserved. 解説 3問目

26. © Techpit,inc All Rights Reserved. 試験問題サンプル 3 仮想マシンとサブネット VM をサブネットに接続する為には、

    NIC が使用されます。 1つのサブネットに対応する NIC は1つなので、既に NIC がアタッチされている場合は、別途 NIC を VM にアタッチする必要があります。 VM に NIC を追加する場合、VM を停止させる必要があります。 また、複数の NIC を利用する場合、VM による設定後に OS 側でも複数の NIC が認識されるように設定が必要な点に注意が必要です。 サブネット間には、既定ではセキュリティ境界が無いため、それぞれのサブネットにある VM は通信できます。 その為セキュリティ境界が必要な場合は、 NSG を利用してサブネット間、 VM 間の制御を行います。

27. © Techpit,inc All Rights Reserved. 試験問題サンプル 3 IP グループ IP

    グループとは、Azure Firewall ルールの IP アドレスをグループ化して管理する為の機能です。 主に下記のような用途として利用されます。 - DNAT 規則での送信元アドレス - ネットワーク規則での送信元 or 送信先アドレス - アプリケーション規則での送信元アドレス IP グループには、1つの IP アドレス、1つ以上の IP アドレス範囲、または、それらの組み合わせを含めることが出来ます。

28. © Techpit,inc All Rights Reserved. ありがとうございました