先日、AZ-700試験に合格し無事にAzure Network Engineer Associate(以降、AZ-700)を取得することが出来ました。
AZ-700はその名前の通りAzureのネットワークに関する中級資格で、特に下位資格も上位資格もありません。
しかし、このAZ-700ですが個人的には直近で受験しているAZ-204やAZ-305と比べて最も実務に活きる資格だと感じました。
ちなみに、過去の試験対策記事はAZ-104、AZ-204、AZ-305となります。
難易度的にはAZ-204やAWS SAA-C03と同程度だと感じました。
簡単ではないので油断していると不合格になりますし、きちんと対策していても分からない問題は多少あったと思いますのでやや難しめの試験と感じる人もいるかもしれません。
特にネットワークはインフラの知識になるので開発経験しかないエンジニアにとっては少しハードルがあるかもしれませんが、逆に言えばCiscoやJuniperで本物のネットワークを触っている人にとっては難しくない内容も多いと思います。
本物のネットワークというのは、主にルーティングなどの話でクラウドでは基本的にピアリングなどでよろしく構成してくれますがバックボーンではOSPFなどの仕組みで動いており、そのバックボーンを指しています。(クラウドではVLANも出てこないし少しだけBGPが出てくるだけです)
少し脱線しましたが今回はAzureのAssociate資格の一つAZ-700の対策と勉強方法について紹介していきたいと思います。
AZ-700は冒頭で記載した通りかなり実用的な資格と思いますが、まだネット上には試験の情報が少ないのです。
なので試験含めて参考になるような情報を記載していきたいと思います。
では本題に入っていきたいと思います。
AZ-700: Microsoft Azure ネットワーク ソリューションの設計と実装の試験対策
毎度の紹介ですが、Microsoftの認定試験は資格試験と認定資格の名称が異なることが多いです。
今回紹介するAZ-700の認定に必要な試験は「AZ-700: Microsoft Azure ネットワーク ソリューションの設計と実装」となります。(MSの認定資格一覧は資格と試験の両方が表示されますが、認定に絞ると正式名称が分かります)
今回、インフラエンジニアである私の方で受験し、無事に一発で合格した経験から試験対策を書いていきます。
後述しますが、私はオンプレ時代からCisco、Junper、Brocade、富士通系や日立系などのネットワーク機器の運用を行っていた経験があります。
そのためルーティングやACL、VPNやFirewallに関して事前知識があったのでバイアスがあるとおもいますがご了承ください。
Microsoft Learnでとにかく仕様を覚える
まず、AZ-700ですがMicrosoft Learnで出てくる各サービスを覚えることで十分合格可能と思います。
Udemyで試験対策することも効果的なのですが、そもそもExpressRouteやVirtual WANのSKUやプランについて理解しておく必要があります。
また、Microsoft Learnで分からないネットワーク用語は疑問に思った時点で調べておかないと模擬試験をやっても意味がないと思います。
ネットワーク用語というのはWANやDNSなどに関する言葉を指します。
試験 AZ-700: Microsoft Azure ネットワーク ソリューションの設計と実装
プライベートDNSを使った問題も、そもそもDNSのAレコードやCNAMEが何のか分かっていないと本質的には理解しているとは言えません。
LANとWANの違いが分からなけばS2SとP2Sのことも本質は分からないと思います。
試験に受かることも大切ですが、予期しない設問が出てきたときには本質的な理解が求められるので基本的な用語は分からないままにしておかないことが大切です。
特にネットワークの世界は正解と不正解がはっきりしている(Aでも出来るけどBの方が効率的、という問題は少ない)ので、AZ-700を受験するうえではMicrosoft Learnの熟読は大切です。
インフラが得意な人と苦手な人でかける時間全く違う
似たようなことを何度も書いてしまいますが、インフラが得意な人やネットワークの経験者はわりとすぐにキャッチアップできる知識が多いと思います。
Virtaul WANもVMwareやCiscoでSD-WANをやっていれば難しくないでしょうし、NATやフローログなどもL3以上の機器を扱っていた人からすると呼吸をするかの如く理解できるでしょう。
逆に開発系の方はネットワークの世界に慣れるのは少し時間がかかるでしょう。
AZ-204も合格しているのではっきり書きますが、AZ-204で学んだ知識はAZ-700では一切問われません。
AZ-104は管理者向けの資格なのでStorage Accountに対するアクセスやDNSなどは通ずるものがありますがAZ-204とAZ-700は対極にあると言っていいかもしれません。
なのでインフラ系の人は20Hくらいもあれば受かるでしょうし、開発系の方は1か月くらいは学習に力を入れたほうがいいと感じています。
ケーススタディやコマンド問題などは少なめ
私が受験した時点ではケーススタディやコマンド実装などの問題は少なめでした。
ケーススタディは他の試験ではもっと多い場合もあります。
AZ-700ではケーススタディを含めて40問程度で、そこまで長文の問題も多くなかったので試験に苦痛を感じることはあまり無かったです。
たまに長文過ぎて苦痛な試験(まだ受けていないがAWS SAPなど)もありますが、AZ-700はきちんとドキュメントベースで知識を身に着けておけば読解に苦しむことはないと思います。
ただ、細かく見ておかないと「コストを最小に」といった記述があったり「AからBは拒否したい」といった条件がある場合があるので油断は大敵です。
AZ-700の勉強方法
ここまで試験の対策について紹介してきました。
次は具体的な勉強方法について紹介していきたいと思います。
まず、私が試験に合格した時の環境を紹介します。
勉強時間:15H程度(1日1H~1.5H 10日程度)
ネットワークの経験:
L2~L7の運用経験あり。VALN、ルーティング、LB、Firewall、VPNなどなど概ね5年以上経験がある
上記の通り、ネットワークの経験があると短期間の学習で十分合格が可能です。
スコアは900点程度でしたが想像より難しい問題もそこそこあり少し自信に欠けていましたが40分程度終了しました
やってみるとよいと思うチュートリアル
試験勉強とはいえ、実際に手を動かさないとわかりにくいことが多いです。
基本的なハブスポークネットワークの構築、ピアリングで異なる仮想ネットワーク間で疎通が取れるレベルのことが出来ないと試験自体も非常に難易度が高くなってしまうと感じました。
実務レベルでも仮想ネットワークとサブネット、ピアリングやNSGは当たり前のように触ります。
そんな中、基礎レベル以外ではAzure Firewallはチュートリアルの中でも比較的簡単にできるため勧めです。
Azure portal を使用して Azure Firewall をデプロイして構成する
AZ-104でも問われますが、AzureFirewallの専用サブネットを用意して画面通りにデプロイするだけなので失敗することなく手順の確認が出来ると思います。(ただし結構コストがかかるので検証が終わったらすぐリソースを消すことをお勧めします。)
可能なら仮想ネットワークで0.0.0.0/0宛をFirewallに向けるルートテーブル(UDR)を用意して経路変更などまで試せると尚良いかと思いますし、実務でも実際に使う知識です。
あとは、私はやっていないのですがプライベートリンク、プライベートエンドポイント、サービスエンドポイントがややこしいと感じる人はこちらもいいと思います。
Azure portal を使用して Azure プライベート エンドポイント経由で Azure SQL サーバーに接続する
実際、パブリックエンドポイント使いたくないセキュリティ要件もありますし、それぞれの接続方法の違いも試験範囲ですのでPaaSサービスへのネットワークアクセス方法を理解するには良いチュートリアルと思います。
あとはAWS環境など、他クラウドは知っているという人はクラスメソッド様の記事ですが圧倒的にこちらがお勧めです。
BGPを使っていない方法ですが、こちらを実施するだけVPNのことが分かってきます。
また、出来ればクラウドネットワークを扱う上ではBGPについても学習しておくことをお勧めします。
しかし、とりあえず手を動かしてみるというだけでネットワークの世界が少しずつ見えてくると思います。
模擬試験はUdemyの英語教材のみ
AZ-700の教材は今のところ英語のものしかありません。(2023年10月時点)
もっと資格保有者が増えると日本語教材も出てくるかもしれませんが、現状はUdemyの英語教材で学習や対策するしかありません。
こちらもAZ-305で使った教材と同じ作成者なのでブレインダンプの可能性があるのですが試験そのものの方が難しかったので今回はあまり言及しません。
AZ-700 Dsgn and Implement MS Azure Networking Practice Tests
実試験で類似問題もあったのは事実ですが、正直もう少し踏み込んだ問題があったり、良い話ですが試験問題で出てくる画像が最新化されている(Azureの設定画面が最新のもの)ので過去問の知識では答えが分からなかったり、ちゃんと手を動かして勉強していないと解けない問題もあります。
そのため、試験対策のところで「本質的に理解する」ことを大切だと記載いたしました。
本質が分かっていれば画面が最新になっても勘が働くでしょうし、逆に問題と答えを覚えただけですとこういった想定外の設問を落とすことになるでしょう。
とはいえ、こちらの問題集を3周ほど行って8割くらいは解けるようにしておくと試験対策としては有効と思います。
集中して学習しておく良いサービス
集中的に学習しておくとよいサービスや機能について列挙しておきます。
特にこれらで理解が中々及ばないものは、ある程度腹落ちするまでリサーチするなりAzureで試してみることをお勧めします。
- ExpressRoute(検証では実装出来ないのでとにかくドキュメントを読み込むこと)
- Virtual WAN
- VPN(BasicとStandard、S2SとP2S)
- オンプレミスとのハイブリッド接続
- NAT Gateway
- NSG
- プライベートリンク
- DNS
他にもFrontDoorやLoad Balancerについても問われます。
あとはリージョナルなサービスや非機能要件に対してリージョンごとに必要なリソース数などが結構細かく問われました。
何のサービスが何個必要か、というところを意識して考えていくとよいでしょう。
(例えばNSGはサブネットごとに割り当てするので、サブネットごとに通信要件が異なる場合は1つの仮想ネットワークの2つのサブネットに対してそれぞれNSGを作成し、1つずつ割り当てする、など)
ネットワークが苦手な人や開発系の人はまず上の3つ(ExpressRoute、Virtual WAN、VPN)はとにかく理解できるまで勉強しましょう。
正直、ここの理解が甘いとほぼ落ちると思います。
これらを使う前提の設問が多いですし、実務レベルでもかなり必要とされる知識です。
資格を取ることだけが目的だとしてもここを抑えないと合格はかなり厳しいものと思います。
最後に
AZ-700の対策と勉強方法について紹介してきました。
個人的にはとても実務に活きる有益な資格取得となりました。
実際にExpressRouteも使いますし、VPNも使いますし、ネットワークの設定やNSGもAzureのインフラエンジニアであれば日々触ると思います。
グローバルなネットワーク統合でVirtual WANを使うケースも十分想像できますし、セキュリティ要件を厳しくするためにPaaSはプライベートリンク経由しかアクセスさせないという企業もあるでしょう。
ネットワークが苦手な人もAZ-700をきっかけにスキルアップできると思います。
相変わらずUdemyのコンテンツ自体は怪しいですが、試験が最新化されているということで手を動かして確認することの大切さがよくわかる試験でした。
これから試験を受ける方もUdemyの模擬試験を暗記するだけではなくて、気になるところは実装できる範囲でやってみるとよいでしょう。