AZ-104 Azure 관리자 Cheat Sheet – 2026 시험 노트
발행: (2026년 1월 13일 오후 02:38 GMT+9)
9 분 소요
원문: Dev.to
Source: Dev.to
**Microsoft Azure Administrator (AZ‑104)**는 클라우드 관리자의 황금 표준입니다. 포털에서 버튼을 클릭하는 것만이 아니라 거버넌스, 네트워킹 로직, 그리고 문제 해결을 이해하는 것이 핵심입니다.
이 시험을 준비하고 있다면, 이 심층 치트 시트는 알아야 할 핵심 개념, 구체적인 SKU 제한, 그리고 구성 시 주의해야 할 “함정”들을 다룹니다.
Source: …
🆔 1. Identity & Governance (Azure AD / Entra ID)
보안 경계는 더 이상 방화벽이 아니라 아이덴티티입니다.
Users & Groups
- Dynamic Groups – 규칙을 평가하여 멤버를 자동으로 추가/제거합니다.
- 필요: Azure AD Premium P1 라이선스.
- 구문:
(user.department -eq "IT") -and (user.accountEnabled -eq true)
- Administrative Units – 관리 권한의 범위를 제한합니다 (예: “Helpdesk User”가 “Marketing” AU에 있는 사용자만 비밀번호를 재설정하도록 허용).
- External Identities (B2B) – 다른 테넌트에서 초대된 게스트 사용자. 월간 활성 사용자(MAU) 수가 적은 경우(첫 50 k 무료) 테넌트에 라이선스가 필요하지 않습니다.
Role‑Based Access Control (RBAC)
| Type | Controls | Scope hierarchy |
|---|---|---|
| Azure Roles | Resources (VM, Storage 등)에 대한 접근 | Management Group → Subscription → Resource Group → Resource |
| Azure AD Roles | Directory (사용자, 비밀번호 등)에 대한 접근 | Tenant‑wide (계층적 범위 없음) |
- 핵심 Azure Roles: Owner (전체 접근 + 관리), Contributor (관리만), Reader (읽기 전용), User Access Administrator (접근 관리만).
- 핵심 Azure AD Roles: Global Administrator, User Administrator.
Policy & Compliance
- Azure Policy – 리소스에 대한 규칙을 강제합니다 (예: “Allowed Locations = East US” 또는 “Require Tag
CostCenter”).- 효과:
Deny,Audit,Append,DeployIfNotExist.
- 효과:
- Resource Locks
CanNotDelete– 리소스를 읽고 수정할 수는 있지만 삭제할 수 없습니다.ReadOnly– 리소스를 읽기만 할 수 있습니다 (VM 시작/중지와 같은 작업을 방지).
💾 2. 스토리지 계정
스토리지는 백본이다. 중복성 및 액세스 티어를 알아두자.
중복성 옵션 (“내구성” 질문)
| Redundancy | Description |
|---|---|
| LRS (Locally Redundant) | 단일 데이터 센터에 3개의 복사본(가장 저렴). |
| ZRS (Zone Redundant) | 한 지역 내 3개의 가용 영역에 걸쳐 3개의 복사본(데이터 센터 화재에도 복구 가능). |
| GRS (Geo‑Redundant) | 기본 지역에 LRS + 페어링된 지역에 LRS. |
| GZRS (Geo‑Zone Redundant) | 기본 지역에 ZRS + 페어링된 지역에 LRS. |
액세스 티어
- Hot – 자주 액세스. 저장 비용은 높고 액세스 비용은 낮음.
- Cool – 드물게 액세스(30일 이상). 저장 비용은 낮고 액세스 비용은 높음.
- Archive – 극히 드물게 액세스(180일 이상). 가장 낮은 저장 비용, 가장 높은 재수화 비용(복구에 몇 시간 소요).
파일 공유
- Azure Files – SMB 프로토콜(Windows/Linux).
- Azure File Sync – 온프레미스 Windows Server 공유를 Azure와 동기화; 클라우드 티어링을 통해 핫 파일은 온프레미스에 유지하고 콜드 파일은 클라우드로 이동.
💻 3. Azure Compute (VMs & App Service)
워크로드를 실행하고 가용성을 유지하는 방법.
Virtual Machines
- Availability Sets – 하나의 데이터센터 내 하드웨어 장애로부터 보호합니다.
- Update Domain (UD) – 재부팅 그룹(패치 적용).
- Fault Domain (FD) – 랙/전원 그룹(하드웨어 장애).
- SLA: 99.95 %.
- Availability Zones – 데이터센터 전체 장애로부터 보호합니다.
- SLA: 99.99 %.
- Scale Sets (VMSS) – 메트릭(예: CPU > 75 %)에 따라 자동 확장합니다.
- Orchestration Mode: Uniform(동일 VM) vs. Flexible(다양한 VM 유형 혼합).
App Service (PaaS)
- App Service Plan – 지역, OS, SKU(리소스)를 정의합니다.
- Scaling
- Scale Up – SKU를 변경하여(RAM/CPU 증가) 예: B1 → S1.
- Scale Out – 인스턴스 수를 늘림(예: 1 → 3 인스턴스).
- Deployment Slots (Standard 티어 +) – “Staging”을 “Production”으로 즉시 스와핑; 실패 시 다시 스와핑 가능.
Containers
- ACI (Azure Container Instances) – “서버리스 컨테이너.” 급증 작업이나 간단한 앱에 적합; 오케스트레이션 없음.
- AKS (Azure Kubernetes Service) – 전체 오케스트레이션; 워커 노드(노드 풀)를 직접 관리합니다.
🌐 4. Networking
시험에서 가장 어려운 부분. VNET와 DNS를 마스터하세요.
VNET Peering
- 두 VNET을 연결합니다; 트래픽은 Microsoft 백본(프라이빗)에서 유지됩니다.
- Global Peering – 서로 다른 지역에 있는 VNET을 연결합니다.
- Gateway Transit – VNET A가 VNET B의 VPN 게이트웨이를 사용할 수 있게 합니다.
- VNET A는 Use Remote Gateway를 설정해야 하고; VNET B는 Allow Gateway Transit를 설정해야 합니다.
Load Balancing
| Service | Layer | Typical Use |
|---|---|---|
| Azure Load Balancer | 4 (TCP/UDP) | 5‑tuple 해시 분산 (source IP/port, dest IP/port, protocol). Internal – 프라이빗 IP 전용. Public – 퍼블릭 IP 프론트엔드. |
| Application Gateway | 7 (HTTP/HTTPS) | WAF, 쿠키 어피니티, URL‑path 라우팅. |
| Front Door | 7 (global) | 글로벌 로드 밸런서 + CDN. |
DNS
- Public DNS – Azure가 도메인(e.g.,
contoso.com)을 호스팅합니다. - Private DNS – VNET 내에서 호스트명을 해석합니다.
- Auto‑registration – 연결된 VNET의 VM에 대해 자동으로 A‑레코드를 생성합니다.
🛡️ 5. 모니터링 및 백업
전원을 유지하고 정전 시 복구하기.
Azure Monitor
- Metrics – 수치 데이터 (CPU %, Disk IO). 실시간.
- Logs – 구조화된 데이터 (이벤트 로그, 쿼리 로그). Log Analytics 워크스페이스에 저장 (KQL).
- Alerts – 액션 그룹이 알림을 트리거 (이메일, SMS, 웹훅, ITSM 티켓).
Network Watcher
- IP Flow Verify – “VM A가 VM B와 통신할 수 있나요?” (NSG 규칙 확인).
- Next Hop – “내 트래픽은 어디로 가나요?” (UDR/라우트 확인).
- Connection Monitor – 엔드포인트 간 연결성을 지속적으로 모니터링.
# Recovery Services Vault백업
- 파일, 폴더, 시스템 상태, Azure VMs
Soft Delete
- 삭제된 백업 데이터를 14일 동안 보관합니다 (랜섬웨어/실수 삭제에 대한 보호).
Site Recovery (ASR)
- 재해 복구(DR) 솔루션으로, VM을 보조 지역으로 복제합니다.
RTO (복구 시간 목표)
- 복구에 걸리는 시간은?
RPO (Recovery Point Objective)
- 얼마나 많은 데이터를 잃을 수 있나요?
## 📝 Exam “Gotchas”
- **Tags don’t inherit** – Tagging a Resource Group does **not** automatically apply the tag to the resources inside. Use Azure Policy to enforce inheritance.
- **Resource moves** – You *can* move resources between subscriptions/resource groups, but the source and destination must be in the same **Azure AD tenant**.
- **NSG priority** – Lower number = higher priority. A rule with priority **100** overrides a rule with priority **200**.
- **Import/Export job** – You must ship the physical hard drive to an Azure datacenter; you cannot efficiently “download” 50 TB over the internet.
- **PIM (Privileged Identity Management)** – Requires **Azure AD Premium P2**.
*Good luck with your AZ‑104!*