WEB問題集
HTTP / HTTPS のレイヤ 7 機能 (URL パス ベース ルーティング、ホスト ヘッダ ベース ルーティング、SSL 終端) を提供する Azure リージョン内ロード バランサーはどれですか?
解説
【正解: B】の理由
Azure Application Gateway はリージョン内で L7 (HTTP / HTTPS) を扱うロード バランサーで、URL パス ベース ルーティング、ホスト ヘッダ ベース ルーティング、SSL 終端 (Offload)、Web Application Firewall 統合などの L7 機能を提供します。そのため、Web アプリケーション向けに L7 機能が必要な場合の標準選択肢となります。
【他選択肢が違う理由】
- A: Azure Load Balancer は L4 (TCP / UDP) ロード バランサーで、URL パスやホスト ヘッダによる L7 ルーティングには対応しません。
- C: Traffic Manager は DNS ベースで グローバル ルーティングを提供しますが、HTTP / HTTPS の L7 機能やトラフィック中継は行いません。
- D: Front Door はグローバル L7 サービスで、リージョン内専用の L7 ロード バランサーは Application Gateway となります。
【参考】
世界中のユーザに対し Azure バックボーン経由で最寄りエッジへ誘導し、グローバル ロード バランシングと WAF を提供する Microsoft マネージド サービスはどれですか?
解説
【正解: B】の理由
Azure Front Door は Microsoft グローバル ネットワーク上の 200 以上の POP (Point of Presence) を活用し、世界中のユーザを最寄りエッジに誘導するグローバル L7 ロード バランサーです。これにより、WAF・キャッシュ・SSL Offload・URL Rewrite を全エッジで提供しつつ、リージョン障害時の自動フェイルオーバも実現します。
【他選択肢が違う理由】
- A: Application Gateway はリージョン内 L7 サービスで、グローバル分散には Front Door が必要です。
- C: Load Balancer は L4 サービスで、グローバル L7 機能や POP 経由配信は提供しません。
- D: Azure CDN Standard はキャッシュ専用で、ロード バランシングや WAF は提供しません。
【参考】
Azure Load Balancer の SKU 機能差について、各機能に対応する SKU を選んでください。
| ステートメント | 選択 |
|---|---|
Availability Zone 対応 (Zone Redundant 構成) Standard SKU では Frontend IP と Backend Pool を Availability Zone 跨ぎでデプロイし、Zone Redundant 構成が可能となります。これにより、Zone 障害発生時にも継続的なサービス提供が実現します。 | |
Outbound Rules による NAT 制御 Outbound Rules は Standard SKU 限定の機能で、SNAT ポートの明示的な割り当てや Outbound 通信の動作制御を可能にします。これにより、SNAT ポート枯渇問題を解消する設計が可能となります。 | |
TCP / UDP の L4 ロード バランシング TCP / UDP の基本的なロード バランシングは Basic と Standard の両方の SKU で提供されます。そのため、機能要件が L4 基本のみであれば Basic でも構成可能ですが、Basic は廃止予定のため新規構築では Standard が推奨されます。 |
解説
【正解マッチング】
| 判定対象 | 正解 |
|---|---|
| Availability Zone 対応 | Standard SKU |
| Outbound Rules による NAT 制御 | Standard SKU |
| TCP / UDP の L4 ロード バランシング | どちらでも |
【各判定の詳細】
- 「Availability Zone 対応」→ Standard SKU: Standard SKU では Frontend IP と Backend Pool を Availability Zone 跨ぎでデプロイし、Zone Redundant 構成が可能となります。これにより、Zone 障害発生時にも継続的なサービス提供が実現します。
- 「Outbound Rules による NAT 制御」→ Standard SKU: Outbound Rules は Standard SKU 限定の機能で、SNAT ポートの明示的な割り当てや Outbound 通信の動作制御を可能にします。これにより、SNAT ポート枯渇問題を解消する設計が可能となります。
- 「TCP / UDP の L4 ロード バランシング」→ どちらでも: TCP / UDP の基本的なロード バランシングは Basic と Standard の両方の SKU で提供されます。そのため、機能要件が L4 基本のみであれば Basic でも構成可能ですが、Basic は廃止予定のため新規構築では Standard が推奨されます。
【参考】
Azure Application Gateway (WAF v2) を新規にデプロイして HTTPS リスナーで Web アプリへトラフィックを送る手順を、正しい順序に並べてください。
- VNet とサブネットを作成 (Application Gateway 専用サブネット)
- Public IP (Standard SKU) を作成して関連付け
- Application Gateway WAF_v2 を作成 (リスナー / バックエンド プール / ルール)
- TLS/SSL 証明書を Listener にアップロード + ルール紐付け
解説
【正しい順序】
- ステップ 1: VNet とサブネット作成
- ステップ 2: Public IP 作成
- ステップ 3: Application Gateway 作成
- ステップ 4: TLS 証明書アップロード
【各ステップの理由】
- ステップ 1 VNet とサブネット作成: Application Gateway は専用サブネットを必要とするため、最初に Application Gateway 用のサブネット (推奨 /24 以上) を作成します。
- ステップ 2 Public IP 作成: Standard SKU の Public IP を Static で作成し、Application Gateway のフロントエンドに関連付けます。
- ステップ 3 Application Gateway 作成: WAF_v2 SKU を選び、HTTP / HTTPS リスナー、バックエンド プール、ルーティング ルールを構成します。
- ステップ 4 TLS 証明書アップロード: HTTPS リスナーで TLS を終端させるため、サーバ証明書を Application Gateway にアップロードしてリスナーへ紐付けます。
【誤った順序の問題点】
- 証明書を先にアップロード: リスナーが存在しないため証明書を紐付ける先がなく、操作が完結しません。
- Application Gateway を VNet なしで作成: 専用サブネットが必須要件のため、VNet とサブネットなしで Application Gateway をデプロイすることはできません。
【参考】
DNS レベルで複数 region のエンドポイントへトラフィックを振り分け、Performance / Priority / Geographic / Weighted などのルーティング方式に対応する Azure サービスはどれですか?
解説
【正解: B】の理由
Azure Traffic Manager は DNS ベースのグローバル トラフィック ルーティング サービスで、Performance / Priority / Weighted / Geographic / MultiValue / Subnet の各ルーティング方式を提供します。クライアントは DNS 応答時点で適切なエンドポイントへ誘導されるため、トラフィック自体はサービス経由しない設計となります。
【他選択肢が違う理由】
- A: Front Door は L7 リバース プロキシで、DNS 応答だけを返す Traffic Manager とはアーキテクチャが異なります。
- C: Cross-region Load Balancer は Standard LB の L4 グローバル機能で、DNS ベースの細粒度ルーティング方式は提供しません。
- D: Application Gateway はリージョン内 L7 サービスで、グローバル DNS ルーティングは扱いません。