Azure Support Engineer for Connectivity Specialty 認定資格（AZ-720）取った話

はじめに

今回はAzure認定資格の中でも少々珍しい資格を取得してみた、という内容です。取得した認定は 「Microsoft Certified: Azure Support Engineer for Connectivity Specialty」 です。2022/06にGAした比較的新しい資格で 「AZ-720: Troubleshooting Microsoft Azure Connectivity」 に合格すると取得できる Specialty の認定資格になります。
試験はほぼ全ての設問で「こんな構成なんだけどXXのエラーが出たよ。どんな調査が必要？また、どんな対策する？」みたいな内容になっています。他の資格試験も同様の設問はありますが、この試験はネットワークに関するあらゆるサービスが対象になるので出題範囲は広めです。これまで5年間お客様のAzure環境を運用してきた身としては良い腕試しになるかなと思い受験してみました。

これまでの認定資格取得実績

ちなみに、私のAzure資格の歴史は遡ること2017年から、まだ”Az-XXX”みたいな名前ではなく"70-533"みたいな名前の頃から取得を進めていました。その後、認定制度も年々変わり数も多くなってきました。これまで私が取得している認定資格は下記の9個でしたので、今回で10個目の取得となりました。

• Associate
  • Microsoft Certified: Azure Administrator Associate
  • Microsoft Certified: Azure Developer Associate
  • Microsoft Certified: Azure Security Engineer Associate
  • Microsoft Certified: Azure Network Engineer Associate
  • Microsoft Certified: Security Operations Analyst Associate
  • Microsoft Certified: Identity and Access Administrator Associate
  • Microsoft Certified: Information Protection Administrator Associate
• Expert
  • Microsoft Certified: Azure Solutions Architect Expert
  • Microsoft Certified: DevOps Engineer Expert
• Speciality
  • Microsoft Certified: Azure Support Engineer for Connectivity Specialty ← NEW!

AZ-720: Troubleshooting Microsoft Azure Connectivity

本試験ですが、日本語だと「Microsoft Azure 接続のトラブルシューティング」という名前です。MSサイトの説明では、 "この試験の受験者は、Azure におけるネットワークおよび接続性の問題を解決するために、高度なトラブルシューティング手法を使用する、深い専門知識を持つサポート エンジニアです。" とのことです。”トラブルシューティング”とありますが、結局はAzureのネットワークサービスに関する知見をどれだけ持っているか？という点を問われる試験です。

試験範囲

MSサイトに掲載されている試験範囲は以下の通りです。合格スコアは他の試験と同じく700/1000です。

• ビジネス継続性に関する問題のトラブルシューティング (5–10%)
• ハイブリッドとクラウドの接続に関する問題のトラブルシューティング (20–25%)
• サービスとしてのプラットフォームに関する問題のトラブルシューティング (5–10%)
• 認証とアクセスの制御に関する問題のトラブルシューティング (15–20%)
• ネットワークのトラブルシューティング (25–30%)
• VM の接続に関する問題のトラブルシューティング (5–10%)

教材は？

MS Learn

まずはMS Learnですが、ラーニングパスを見てみますと、なんと1つしか出てきません。。とりあえずこちらは素直にやっておいた方がよいですが、他にどんな対策が必要かについては、後述している「出題された内容」を参考にしてみてください。

模擬テスト

ありませんでした！(2022年11月現在)

EXAMTOPOICS

ありませんでした！(2022年11月現在)

出題された内容

さて、当日の試験ですが、問題の内訳は以下の通りでした。

• 全設問数：51問
  • ケーススタディ：12問（1ケース×12問）
  • 一問一答形式　：36問
  • Yes/No問題　　： 3問（1ケース×3問）

ここからは覚えている限りどんな問題が出たかを書いていきます。

ケーススタディ

Contoso社のAzure上の業務システムについて。3つのVNETをHub-Spokeで繋いでいてSpokeにはそれぞれVMが存在。Hubはオンプレと接続している。あとはPublic DNSやPrivate DNSが構成されていたり、Storageはサービスエンドポイント、CosmosDBはプライベートエンドポイントで繋いでいたり（その他諸々）。そんな環境に対して、例えば、Spoke間のVMの通信ができない、オンプレからCosmosDBに繋がらない、オンプレからStorageにプライベートに繋ぎたいがパブリックネットワークを通ってしまっている等々12個の課題があり、それを一つ一つトラブルシュートしましょう、という問題です。名前解決（オンプレDNSとAuzre上のパブリック/プライベートDNSの関係）、オンプレ環境からHubを経由したCosmosDBへの接続、あとは、VPN（MACOSやWindowsからの接続をどのように構成するか？）あたり押さえておくとよいかと思います。

一問一答形式

Azure Monitorのクエリ検索

問題が発生した時の調査方法として、Azure MonitorでどのようなKQLを書くか？というのが虫食いで出題されます。AzureDiagnostics とそのカテゴリを覚えておくとよいです。私の場合はApplicationGatewayFirewallLogやTunnelDiagnosticLogを選択される問題がでました。

Azure Firewall

ある通信に対して、どのレイヤのルールを適用すればよいか？という問題が出ました。NATルール/ネットワークルール/アプリケーションルールそれぞれで何が定義できるかを押さえておきましょう。

Azure Load Balancer

LBについてはBasic SKUでできないのでStandard SKUにしましょうという問題がありました。Global Vnet Peering の場合はStandardを使うなど。

Azure Bastion

AzureBastionSubnetに登録するデフォルトのNSGルールについて虫食い形式で出題されました。まさに下記の表ですね。

Azure Backup

Microsoft Azure Recovery Services (MARS) やAzure Site Recoveryに関する問題は多数出題されます。
バックアップやレプリケーションに失敗した時にどのログ（サービスのログなのかNSGフローログやNetwork Watcher診断ログなのか）を見るべきか、あとは、エラーが出た時にやり直すべき手順（そもそもの構成手順）を確認しておくのが良いです。Azure Backup周りは比較的多く出された印象です。

ExpressRoute

ExpressRoute Circuitの状態を確認するためにどのAPI(PowerShell)を叩いてステータスを確認するか？という問題です。
Get-AzExpressRouteCircuit/Get-AzExpressRouteCircuitPeeringConfig/Get-AzExpressRouteCircuitStatなどのコマンドで何が取得できるかを押さえておくとよいです。

VPN

VPNについても比較的多く出題された印象です。知見が少ないので当てずっぽうで回答した絶問が多かったですが、Site-to-Site、Point-to-Siteそれぞれでうまく接続されない時に何を確認すべきかが問われます。証明書やシークレット、クライアント側のデバイスと構成に関わる回答が多かったと思います。

Network Watcher

NSGフローログはよく登場します。Traffic AnalycisやNetwork Watcher診断ログに何が出力されるかは確認しておいた方がよいです。あとは、GatewaySubnetではOutboundのログが出ないからバックエンド側で出力するようにするとか。

Auzre DNS

AレコードやCNAMEの利用用途、Private DNS Zoneの利用方法について

RBAC

「XXをしたいけど権限エラーでた」という問題も比較的多く出力された印象です。最小権限の原則を意識しながら考えていきましょう。Storage Accountのコンテナ参照を可能にしたいとか、KeyVaultの参照権限、OwnerとContributerの違いあたりは押さえておきましょう。

Azure AD

オンプレ環境とのレプリケーションエラーに関する問題が出ます。Azure AD Connect回りでどんなログが出るか確認しておくのがよいでしょう。

性能評価

Windows→latte、Linux→SockPerfといった性能測定ツールの話

Yes/No問題

Azure Backupに失敗した時の解決方法についての問題でした。No-No-Yesとしましたが、正直なところ正解はよくわからなかったです。

試験結果

試験中の私の感覚としては「全然分からない訳ではないけど、うーん、合格ラインに達してるかは微妙だなぁ・・」でした。制限時間ギリギリまで使い切るつもりで、不明点がある設問（「あとから確認」にチェックしている問）については悩みに悩み・・・ヘトヘトになりましたが結果は707点でギリギリ合格でした。（危なかった・・・）

おわりに

今回はAz-720を受けて「Azure Support Engineer for Connectivity Specialty」を取った、という内容でした。この認定試験はまだまだ新しい試験なので中々ネットの情報が見つからない状況です。なので、この記事が多少なりとも参考になれば幸いです。それではまた！