MCP

試験 70-533: Microsoft Azure Infrastructure Solutions の実装について

マイクロソフト認定資格の試験 70-533: Microsoft Azure Infrastructure Solutions の実装について

公式 https://www.microsoft.com/ja-jp/learning/exam-70-533.aspx

注)記載内容は自己責任でオネシャス

概要

試験時間・・・120分
問題数・・・・53問
合格点・・・・700点以上
試験範囲は以下の通り。

試験範囲

  1. Azure Appサービスアプリケーションの設計と実装 (10-15%)・・・5~8問
  2. 計算リソースの作成と管理(20〜25%)・・・10~13問
  3. ストレージ戦略の設計と実装(10-15%)・・・5問~8問
  4. 仮想ネットワークを実装する(15-20%)・・・8~11問
  5. ARMテンプレートの設計と展開(10-15%)・・・5問~8問
  6. Azureセキュリティと回復サービスを管理する(25〜30%)・・・13~16問
  7. Azure操作を管理する・・・?
  8. Azureのアイデンティティを管理する・・・?

試験範囲(旧)

2018/1頃までは、以下の範囲だった模様。

  1. Azure App Service アプリの設計と実装 (15-20%)
  2. Azure Resource Manager 仮想マシンの作成および管理 (20-25%)
  3. ストレージ戦略の設計と実装 (20-25%)
  4. Azure Active Directory の実装 (15-20%)
  5. 仮想ネットワークの実装 (10-15%)
  6. ARM テンプレートの設計とデプロイ (10-15%)

試験範囲比較

項目 傾向
Azure Appサービスアプリケーションの設計と実装 15-20% 10-15% ▲5%
計算リソースの作成と管理 20-25% 20-25%
ストレージ戦略の設計と実装 20-25% 10-15% ▲10%
仮想ネットワークを実装する 10-15% 15-20% △5%
ARMテンプレートの設計と展開 10-15% 10-15%
Azureセキュリティと回復サービスを管理する 0% 25-30% △25%
Azure操作を管理する 0% ?% △?%
Azureのアイデンティティを管理する 0% ?% △?%
Azure Active Directory の実装 15-20% 0% ▲20%

個々の詳細範囲

Azure Appサービスアプリケーションの設計と実装(10-15%)

参考:https://docs.microsoft.com/ja-jp/azure/app-service/

Web アプリを展開する

  • デプロイメントスロットを定義する
  • ロールバック展開する
  • 事前雇用と雇用後措置を実施する
  • パッケージの作成、構成、および展開する
  • Appサービスプランを作成する
  • App Apps計画間でWeb Appsを移行する
  • Appサービスプラン内にWeb Appを作成する
  • アプリケーションサービス環境(ASE)をいつ使用するかを決定する
  • Git、FTP、クラウドサービスなどの適切なデプロイメントメソッドを選択して使用する

Web アプリを構成する

  • アプリケーション設定、接続文字列、ハンドラ、および仮想ディレクトリを定義して使用する
  • 証明書とカスタムドメインを構成する
  • SSLバインディングと実行時設定を構成する
  • Azure PowerShellとAzure-CLIを使用してWebアプリケーションを管理する
  • App Serviceのバックアップを管理する
  • Web Appsの認証と認可を設定する

診断、監視、および分析を構成する

  • 診断データを取得する
  • ストリーミングログを表示する
  • エンドポイント監視を設定する
  • アラートを設定する
  • 診断を設定する
  • リモートデバッグを使用する
  • Webアプリケーションのリソースを監視する

スケーラブルで復元性がある Web アプリを構成する

  • ビルトインおよびカスタムスケジュールを使用して自動スケールを設定する
  • メトリックで構成する
  • インスタンスのサイズを変更する
  • トラフィックマネージャを設定する

メモ

  • アプリ数>10 or カスタムドメインはShared、アプリ数>100 or カスタムドメイン(SSL)はBasic、ストレージ>10GBは標準、ストレージ>50GBはPremium
  • ルートドメインはAレコード。サブドメインはCNAMEレコード
  • スロットの追加とスワップ
  • CDNは配置しユーザはキャッシュを使用し高速配信

計算リソースの作成と管理(20-25%)

参考:https://docs.microsoft.com/ja-jp/azure/virtual-machines/windows/

Azure Resource Manager (ARM) 仮想マシン (VM) にワークロードを展開する

  • デプロイできるワークロードと展開できないワークロードを特定する。
  • Microsoftを含むワークロードの実行、Linuxを含むワークロードの実行、 VMを作成する。
  • Windows / Linux VMに接続する。
  • 作業負荷を配備する。
  • デベロッパー独自のライセンス(BYOL)イメージを展開する

構成管理を実行する

  • PowerShell Desired State Configuration(DSC)とVM Agent(カスタムスクリプト拡張)を使用して構成管理を自動化する
  • リモートデバッグを有効にする

VM 記憶域を設計および実装する

  • ディスクキャッシュを構成する。
  • ストレージ容量を計画する。
  • オペレーティングシステムのディスク冗長性を構成する。
  • Azureファイルサービスを使用して共有ストレージを設定する。
  • Azure File Shareスナップショットを設定する。
  • ジオレプリケーションを設定する。
  • ディスクを暗号化する。
  • 標準およびプレミアムストレージでARM VMを実装する

ARM VM を監視する

  • ARM VMの監視を構成する
  • アラートを設定する
  • 診断の設定と保存場所の監視する

ARM VM の可用性を管理する

  • 複数のARM VMを冗長性のための可用性セットに構成する
  • 各アプリケーション層を個別の可用性セットに構成する
  • Load Balancerと可用性セットを結合する
  • フォルトドメインの構成とドメインの更新

ARM VM をスケールする

  • VMサイズを拡大縮小する
  • ARM VMスケールセット(VMSS)を配備する
  • ARM VMSSの自動スケールを設定する

Azureコンテナサービス(ACS)でコンテナを管理する

  • KubernetesクラスタをACSに展開する
  • コンテナイメージの作成と管理 Docker、DC / OS、Swarm、またはKubernetesを使用するsScaleアプリケーション
  • オープンソースツールを設定する Azureとのコンテナワークロードの移行 Microsoft Operations Management Suite(OMS)を使用してKubernetesを監視する Azureコンテナレジストリを実装する

メモ

ストレージ戦略の設計と実装(10-15%)

参考:https://docs.microsoft.com/ja-jp/azure/storage/

AzureストレージブロブとAzureファイルを実装する

  • 特定のストレージ要件に適したBLOBタイプを特定する
  • データを読み込む
  • データを変更する
  • コンテナにメタデータを設定する
  • ブロックおよびページブロブを使用してデータを格納する
  • ブロブを使用したストリームデータ
  • ブロブに安全にアクセスする
  • 非同期ブロブコピーを実装する
  • コンテンツ配信ネットワーク(CDN)を設定する
  • ブロブ階層を設計する
  • カスタムドメインを設定する
  • 大規模なブロブストレージ
  • SMBファイルストレージを管理する

アクセスの管理

  • 共有アクセスシグネチャの作成と管理、保存されたアクセスポリシーの使用、鍵の再生成、 Azure Key Vaultの統合を使用して鍵を暗号化する

診断、監視、および分析を構成する

  • 保持ポリシーとログ出力レベルの設定、ログの分析

ストレージの暗号化を実装する

  • Azureストレージサービス暗号化(SSE)を使用して、Azureストレージに書き込まれたデータを暗号化する
  • Azure Data Lake Storeで管理されているデータに対して暗号化されたロールベースのセキュリティを実装する

メモ

  • テーブルとキューは範囲外?
  • SQL Databaseも範囲外?
  • ページBLOBとブロックBLOB
  • アクセスキー、共有アクセス署名、アクセスポリシー、アクセスの種類(プライベート/BLOB/コンテナ)
  • ログのアクセスhttps://accountname.blob.core.windows.net/$logs/blob/2011/07/31/1800/000001.log
  • Azureファイルは共有を作成し、cmdkeyで永続化する。net use desired-drive-letter: \storage-account-name.file.core.windows.net\share-name storage-account-key /user:Azure\storage-account-name でマウントする
  • ローカル冗長、ジオ冗長、ゾーン冗長、読み取りアクセスジオ冗長は、『Azureセキュリティと回復サービスを管理する』にて?

仮想ネットワークを実装する(15-20%)

参考:https://docs.microsoft.com/ja-jp/azure/networking/networking-overview

仮想ネットワークを構成する

  • 仮想ネットワークにVMを展開する
  • 外部および内部ロードバランシングを構成する
  • アプリケーションゲートウェイを実装する
  • サブネットを設計する
  • 静的IPアドレス、パブリックIPアドレス、プライベートIPアドレスを設定する
  • ネットワーク・セキュリティ・グループ(NSG)、仮想ネットワーク・レベルでのDNS、HTTPおよびTCPヘルス・プローブ、パブリックIP、ユーザー定義経路(UDR)、ファイアウォール・ルール、およびダイレクト・サーバー・リターンを設定する
  • 仮想ネットワークピアリングによってVNetsを接続する
  • PuppetやChefなどの構成管理ツールを使用してVMを構成する

マルチサイトまたはハイブリッドネットワーク接続の設計と実装

  • ExpressRoute、サイトツーサイト、およびポイントサイトの間の適切なソリューションを選択する
  • 適切なゲートウェイを選択する
  • サポートされているデバイスとソフトウェアのVPNソリューションを特定する
  • ネットワーキングの前提条件を特定する
  • 仮想ネットワークとマルチサイト仮想ネットワークを構成する
  • 仮想ネットワークピアリングとサービス連鎖を実装する
  • ハイブリッド接続を実装してオンプレミスデータソースにアクセスし、S2S VPNを活用してオンプレミスインフラストラクチャに接続する

ARM VM ネットワークを構成する

  • スタティックIPアドレス、NSG(Network Security Group)、DNS、UDR(User Defined Routes)、HTTPおよびTCPヘルスプローブによる外部および内部ロードバランシング、パブリックIP、ファイアウォールルール、およびダイレクトサーバリターンを設定します
  • アプリケーションゲートウェイの設計と実装

接続戦略の設計と実装

  • ハイブリッド接続を実装して、オンプレミスのデータソースにアクセスする
  • オンプレミスインフラストラクチャに接続するためにS2S VPNを活用する

メモ

  • サブネットCIDR 表記のアドレス数-5 /24=256-5=251,/27=32-5=27
  • NSGの適用順は、受信はサブネット->NIC、送信はNIC->サブネット
  • 仮想ネットワーク ピアリング、サイト対サイト接続、ポイント対サイト接続、ExpressRoute

ARMテンプレートの設計と展開(10-15%)

参考:https://docs.microsoft.com/ja-jp/azure/azure-resource-manager/

ARM テンプレートを実装する

  • ARMテンプレートを作成する
  • カウントテンプレートを使用して異なるタイプの複数のARMリソースプロバイダリソースを展開するためのARMテンプレートを作成する
  • PowerShell、Azure CLI、Azure Portal、およびREST APIを使用したテンプレートの展開

コントロールアクセス

  • ARM 認証によるサービス プリンシパルの利用、ARM による Azure Active Directory 認証の使用、管理ポリシーの設定、リソースのロック

ロールベースのアクセス制御 (RBAC) 戦略の設計

  • ソース スコープ (VM や Azure Web Apps を作成できることなど) のセキュリティ保護、Azure の RBAC の標準ロールの実装、Azure RBAC カスタム ロールの設計

Azureセキュリティと回復サービスを管理する(25-30%)

データ保護とセキュリティコンプライアンスの管理

参考:
https://docs.microsoft.com/ja-jp/azure/key-vault/
https://docs.microsoft.com/ja-jp/azure/security-center/
https://docs.microsoft.com/ja-jp/azure/active-directory/

  • Key Vaultを使用して暗号化キーを作成およびインポートする
  • SSL / TLS証明書のタスクを自動化する
  • Azure Security Centerでセキュリティ上の脅威を防止し、対応する
  • フェデレーションとパスワードベースのSaaSアプリケーションでシングルサインオンを設定する
  • ユーザーとグループをアプリケーションに追加する
  • SaaSアプリケーションへのアクセスを取り消す
  • アクセスを設定する
  • FacebookやGoogleなどのパブリックコンシューマIDプロバイダでフェデレーションを構成する

リカバリ サービスを実装する

参考:
https://docs.microsoft.com/ja-jp/azure/backup/
https://docs.microsoft.com/ja-jp/azure/site-recovery/

  • バックアップ格納域を作成する。
  • バックアップエージェントを導入する。
  • データのバックアップと復元、スナップショットとジオレプリケーションによる復旧、 DRをサービスとして実装する。
  • Azure Site Recovery(ASR)エージェントを展開し、ASRを設定する。
  • ASRワンクリック・フェイルオーバーの構成

メモ

  • Azure Backupの手順(Recovery Services コンテナー作成、資格情報ダウンロード、エージェント、インストール、サーバの登録)
  • Azure Site Recovery(ASR)の手順(インフラストラクチャの準備、アプリケーションのレプリケート、Recovery Planの管理)

Azure操作を管理する(?%)

自動化によるクラウド管理の強化

  • PowerShellランブックを実装する
  • Azure AutomationとWeb Appsを統合する
  • PowerShell Desired State Configurations(DSC)の作成と管理
  • DSCリソースをインポートする
  • DSCノード構成を生成する
  • Azure Automation DSでマシン構成を監視し、自動的に更新する

クラウド環境とオンプレミス環境でリソースによって生成されたデータの収集と分析

  • 複数のシステムからデータソースを収集して検索する
  • カスタムビジュアライゼーションを構築する
  • Azureのリソースを複数のサブスクリプションに視覚化する
  • Azureのアクティビティデータと管理対象のリソースデータを柔軟な検索クエリを使用した洞察に変換する
  • システムのアップデートとマルウェアの状態を監視する
  • Azure Log Analyticsを使用してサーバー構成の変更を追跡する

Azureのアイデンティティを管理する(?%)

Azure AD Connect Healthを使用してオンプレミスのIDインフラストラクチャと同期サービスを監視する

  • AD FSプロキシおよびWebアプリケーションプロキシサーバーを監視する
  • 重要なアラートの電子メール通知をセットアップする
  • 利用報告書を作成する
  • 同期エンジンを監視する
  • ドメインコントローラを監視する
  • 複製を監視する

Azure Active Directoryドメインサービスでドメインを管理する

  • Azure仮想マシンをドメインに参加させ、グループポリシーを使用してドメインに参加した仮想マシンを安全に管理する
  • オンプレミスアプリをAzureに移行する
  • 従来のディレクトリ対応アプリケーションをSaaSアプリケーションとともに扱う

Azure Active Directoryとの統合(Azure AD)

  • オンプレミスのWindows Server 2016 R2でAzure AD Connectとシングルサインオンを実装する
  • カスタムドメインを追加する
  • Azure AD、MFA、Azure ADドメイン参加のWindows 10を監視する
  • Azure ADの統合をWebアプリケーションとデスクトップアプリケーションに実装する
  • Microsoft Graph APIを活用する

Azure AD B2CとAzure AD B2Bを実装する

  • Azure AD B2C ディレクトリの作成、アプリケーションの登録、ソーシャル ID プロバイダー認証の実装、Multi-Factor Authentication の有効化、セルフサービスのパスワード リセットの設定、B2B コラボレーションの実装、パートナー ユーザーの構成、アプリケーションとの統合

神問題集

http://hackerlife.blog.fc2.com/blog-entry-54.html

関連

https://qiita.com/y_ohr/items/26181b59fef4ca6d1d4b
https://channel9.msdn.com/Events/Ignite/2016/BRK3262
https://qiita.com/shingo_kawahara/items/2038b63a537b925bab8f
https://qiita.com/akiyoshi-t/items/662c9dd7dcb80f16d600
https://channel9.msdn.com/Events/Ignite/Microsoft-Ignite-Orlando-2017/BRK3168