💬

AZ-305 Microsoft Azure Infrastructure Solutions の設計 自分用メモ

に公開
Azure
資格試験
AZ-305
tech

自分用の試験対策あんちょこです。
合格するまで更新します。⇒2025/7/6合格しました!

データストレージソリューションを設計する

  • Q: IoT Hubからのストリーミングデータを保存し、クエリするためのサービス 2つ
    -> Azure Cosmos DB SQL API
    -> Azure Time Series Insights

  • Q: 仮想マシン上のSQL Serverのパフォーマンスに関するベストプラクティス

    • ログファイル:なし
    • データファイル:読み取り専用

  • Q: Azure SQL Managed Instance 透過的なデータ暗号化(TDE) 暗号化アルゴリズムと鍵長
    -> RSA 3072

  • Q:Azure SQL Database 開発者がCostomersという名前のテーブルを参照する場合、クレジットカードの下4桁のみ表示されること

  • Q:特権を持つユーザーのみが個人情報を見ることができるようにする必要

    • -> 動的データマスキング

  • Q:Azure Cosmos DBの使いどころ

    • SQLコマンドをサポート
    • マルチマスターの書き込み
    • 複数の Azure リージョンで同時に書き込み
    • 低遅延の読み取り操作を保証
    • JSONベース
    • 複数の整合性レベルをサポート
      • 厳密(強固)
      • 有界整合性制約
      • セッション
      • 一貫性のあるプレフィックス
      • 最終的

  • Q:データベースで最大100TB

    • Azure SQL Database の HtyperScale 一択。
    • HyperscaleはGeo冗長をサポート。

  • Q:統合コンポーネントはメッセージを処理し、注文の種類に応じて Function1、または、Function2をトリガーする

    • Azure Data Factory パイプライン
      • Azure Data Factoryは、データの移動と変換を行うためのサービスであり、複数のアクティビティを組み合わせてパイプラインを作成できる。

  • Q:Azure SQL DatabaseでAzure予約の節約コストを推定するには

    • Azureポータルの予約ブレード

  • Q:Azure SQL Managed Instanceの特徴

    • ユーザー主導のバックアップをサポートすること
    • データベースを別のリージョンに複製し、読み取り専用ワークロードをオフロードする目的で使用できること
      • ⇒自動フェールオーバーグループ
    • ビジネス継続性を実装し維持するための管理労力を最小化すること

  • Q:Azure Databricks 以下要件の場合

    • エンジニアがアクセス権を持っているフォルダにのみアクセスできること
      • ⇒クラスタ設定:クレデンシャルパススルー
      • ⇒Databricksの価格レベル:Premium
        • 「Azure Data Lake Storage 資格情報(クレデンシャル)パススルー」を使用するには Premium プランが必要

インフラストラクチャソリューションを設計する

  • オンプレミスとサイト間VPNで接続する場合、オンプレミスのネットワークアドレスと重複させることはできない

  • Q: Azure Event Gridにルーティングされたイベントに応答してカスタムC#コードを実行するソリューション

    • 実行されるコードは、Azure仮想マシン上で実行されるMicrosoft SQL ServerインスタンスのプライベートIPアドレスにアクセスできること
    • コストを最小限に抑えること
      -> PremiumプランのAzure Functions

  • Q:インターネットから仮想マシンを管理するためのソリューション

    • 仮想マシンへの着信接続は、ネットワーク接続が許可される前に、多要素認証(MFA)を使用して認証されること

    • 着信接続は TLS を使用し、TCP ポート 443 に接続すること

    • RDP と SSH の両方をサポートすること

    • VNET1上の仮想マシンへのアクセスを提供するために -> Azure Bastion

    • 多要素認証(MFA)を要求するため -> クラウドアプリの割り当てがAzure VM サインインに設定されている条件付きアクセスポリシー

  • Q:開発者が Logic Apps にアクセスできるように

    • 開発者からの Logic Apps へのリクエストは、Contosoのユーザーからのリクエストよりも低いレートに制限できること
    • 開発者は、既存のOAuth 2.0プロバイダーを使用して Logic Apps にアクセスできること
    • Logic Apps を変更する必要がないこと
    • Microsoft Entra ID のゲストアカウントを使用しないこと
      -> Azure API Management
      バックエンドにあるAPIを安全に公開するための中継(ゲートウェイ)
      その他、セキュリティ、レート制限、キャッシュ、モニタリングなどの機能を提供

  • Q:アプリのための負荷分散ソリューション

    • 負荷分散オプションで「レート制限」ときたら:Azure Front Door一択。
    • リージョン障害から保護するには:グローバルサービスを選択する。Azure Front Door・Azure Traffic Managerのいずれか。

  • Q:Azure仮想マシンやオンプレファイルサーバからAzure Data Factoryにデータコピーしたい

    • セルフホステッド統合ランタイム
      • Azure仮想マシンやオンプレミスのファイルサーバーに「セルフホステッド統合ランタイム」というエージェントのようなものをインストールしAzure Data Factoryと接続することで、オンプレミスのデータをストレージアカウントのBLOBやファイル共有などにコピーすることができる。

  • Q:コンテナアプリのホスト環境 以下の場合は「コンテナを使用するAzure App Service」。

    • 自動スケール
    • Azure Container Registry (ACR) からの継続的なデプロイ
    • Microsoft Entra ID を使用してアプリのユーザーを認証するための組み込み機能を提供

  • Q:Azure仮想マシンからオンプレの仮想アプライアンスに接続するためのソリューション

    • ⇒Azure ExpressRouteを実装する
    • ⇒ルートテーブルを構成する

  • Q:Azure Virtual WAN(仮想WAN)の種類

    • Basic仮想WAN:サイト間VPN接続だけ。
    • Standard仮想WAN:サイト間VPN接続とExpressRoute接続の両方をサポート。

ビジネス継続性ソリューションを設計する

  • Q:ディスクの複製が進行している間、仮想マシンが利用可能である必要がある AzCopyは満たしてる?
    • ⇒No。
      • 仮想マシンに変更が加えられると整合が取れなくなるため
      • 使うなら、Azure Site Recovery

ID、ガバナンス、および監視ソリューションを設計する

  • Q:高可用性のAzure SQL Database
    ・データベースのレプリカ間でデータ損失なしにフェールオーバーできること
    ・データベースは、ゾーン停止時に利用可能であること
    ・コストを最小限に抑えること
    -> Azure SQL Database Premium

  • Q:開発者が行うAzure仮想マシンのデプロイを管理するためのソリューション
    ・仮想マシンを作成できるリージョンを特定のリージョンだけに限定すること
    ・作成する仮想マシンのサイズを特定のサイズだけに限定すること
    -> Azure Policy

  • Q:ユーザーはVPN接続せずともインターネット経由で安全にオンプレミスのWebアプリケーションにシングルサインオン(SSO)でアクセス
    -> Microsoft Entra アプリケーションプロキシ
    -> Microsoft Entra エンタープライズアプリケーション

  • Q:Azure Policyの効果

    • AuditIfNotExists:リソースが存在しない場合に監査
    • Append:プロパティを追加
    • DeployIfNotExists:リソースが存在しない場合にデプロイ・修復タスク
    • Deny:リソースの作成更新を拒否
    • Modify:タグ付け

  • Q:Azure BlueprintsとAzure Resource Manager(ARM)テンプレートを使用することの違い

    • Azure Blueprintsは、リソースのデプロイに加えて、ポリシー、ロール、タグなどのガバナンス要素を含むことができる。
    • ARMテンプレートは、リソースのデプロイに特化している。

  • Q:ユーザーが会社所有のパソコンからのみApp1にアクセスできるようにするには

    • 条件付きアクセス ポリシー

  • Q:LDAPをサポートするには

    • Microsoft Entra Domain Services
      • Microsoft Entra Domain Servicesは、Azureの仮想NW上にドメコンを構築するためのPaaSのサービス。
      • 従来の(Windows Serverの) Active Directoryドメインサービス 環境と完全に互換性がある。
      • ドメイン参加やグループ ポリシー、LDAP、Kerberos 認証、NTLM 認証など従来の Active Directory ドメインに要求していた処理を Microsoft Entra Domain Services に対して行うことが可能。
      • Microsoft Entra Domain Servicesには、Microsoft Entra ID上のユーザーが自動的に同期されるため、オンプレミス環境と同じようにユーザーを認証することができる。

  • Q:Microsoft Entra IDのサインインログでアラートをトリガーするには

    • Log Analytics ワークスペース を Microsoft Entra IDのログの送信先にする
    • シグナルの種類:ログ

  • Q:Azure MFA を要求して認証するための設定箇所

    • 条件付きアクセス ポリシー
    • アクセス制御の[許可]ブレード

  • Q:Azure のリソースにアクセスするために、App1 は、アプリをホストする仮想マシンのマネージド ID を使用する

    • Azure Instance Metadata Service (IMDS)

  • Q:レガシー認証のブロックをするには

    • Microsoft Entra IDのセキュリティの既定値群の有効化

  • Q:SQL Insights を Log Analytics ワークスペースに保存できる最大日数

    • 730日

  • Q:ブループリント定義を割り当てる場所は?

    • サブスクリプション

  • Q:ディレクトリの同期サービスに関連する問題が発生した場合、ITサポート担当者にメール通知を送信するには

    • Microsoft Entra ID Connect Health のアラート

Discussion