AZ700-SEC#4
Hub VNet 中央に Azure Firewall Standard SKU をデプロイして全 Spoke の Outbound 検査を実現する手順を、正しい順序に並べてください。
- Hub VNet に AzureFirewallSubnet (固定名 /26 推奨) を作成
- Azure Firewall Standard を Hub VNet にデプロイ + Public IP 関連付け
- Firewall Policy + Network Rules / Application Rules を構成
- 各 Spoke サブネットに UDR (0.0.0.0/0 → Firewall Private IP) を関連付け
解説
【正しい順序】
- ステップ 1: AzureFirewallSubnet 作成
- ステップ 2: Firewall デプロイ
- ステップ 3: Firewall Policy 構成
- ステップ 4: UDR 関連付け
【各ステップの理由】
- ステップ 1 AzureFirewallSubnet 作成: Azure Firewall は AzureFirewallSubnet という名前固定 (最小 /26) のサブネットを必須要件とします。
- ステップ 2 Firewall デプロイ: Azure Firewall Standard を AzureFirewallSubnet にデプロイし、Public IP (Standard SKU) を Frontend に関連付けます。
- ステップ 3 Firewall Policy 構成: 中央管理用の Firewall Policy を作成し、Network Rules (L3-L4) と Application Rules (FQDN / URL) を定義します。
- ステップ 4 UDR 関連付け: Spoke サブネットの Route Table で 0.0.0.0/0 → Firewall Private IP の UDR を構成し、Outbound トラフィックを Firewall 経由化します。
【誤った順序の問題点】
- UDR を先に構成: Firewall がまだ存在しないため、Next Hop となる Firewall Private IP がなく、UDR が機能しません。
- AzureFirewallSubnet を作らずに Firewall デプロイ: 専用サブネット名 (AzureFirewallSubnet) が必須要件のため、デプロイ自体が失敗します。
コメント