WEB問題集
オンプレミス サイトとの IPsec/IKE 接続を Azure 上で実現する Site-to-Site VPN を構成する場合、Azure 側に必要なリソースとして適切なものはどれですか?
解説
【正解: B】の理由
Site-to-Site (S2S) VPN を Azure 側で終端させるには、ゲートウェイ サブネット (GatewaySubnet) を持つ VNet 上に Virtual Network Gateway を VPN タイプで作成します。これがオンプレミス VPN デバイスとの IPsec/IKE トンネルを終端し、Azure 側のサイトとして機能します。
【VPN Gateway 必須要件】
| 項目 | 説明 |
|---|---|
| GatewaySubnet | 名前固定 (/27 以上推奨、最小 /29) |
| Public IP | Standard SKU 推奨 (Static) |
| SKU | VpnGw1〜VpnGw5 (帯域・接続数で選択) |
| 世代 | Generation 1/2、Active-Active 構成可能 |
【他選択肢が違う理由】
- A: Azure Bastion は管理 RDP/SSH 用途、VPN 終端機能なし。
- C: Application Gateway は L7 HTTP/HTTPS LB で、IPsec/IKE 終端不可です。
- D: Azure Firewall は L3-L7 ファイアウォール、VPN 終端機能なし (Firewall + VPN Gateway は別リソース)。
【参考】
各 Azure ネットワーク接続シナリオで、推奨される接続方式を選んでください。
| ステートメント | 選択 |
|---|---|
オンプレ 1 拠点 + 帯域 200 Mbps + コスト最小化 Site-to-Site VPN は Public Internet 経由の IPsec トンネルで帯域 100 Mbps〜10 Gbps を提供し、月額コストも比較的安価です。そのため、1 拠点 + 200 Mbps + コスト最小化のように低帯域・少拠点シナリオに最適な選択肢となります。 | |
オンプレ DC + 専用回線で SLA 99.9% + 10 Gbps ExpressRoute は通信事業者の専用回線で Azure と接続する方式で、SLA 99.95% および 50 Mbps〜100 Gbps の高帯域に対応します。そのため、専用回線で SLA 99.9% + 10 Gbps を要求する大規模本番環境に適合します。 | |
50 拠点支社の Mesh 接続 + 中央 Firewall Virtual WAN は Microsoft マネージドの大規模 Hub-and-Spoke + Routing Intent でグローバル WAN を集中管理できる方式です。これにより、50 拠点支社の Mesh 接続と中央 Firewall 検査を低運用負荷で実現できます。 |
解説
【正解マッチング】
| 判定対象 | 正解 |
|---|---|
| オンプレ 1 拠点 + 帯域 200 Mbps + コスト最小化 | VPN Gateway |
| オンプレ DC + 専用回線で SLA 99.9% + 10 Gbps | ExpressRoute |
| 50 拠点支社の Mesh 接続 + 中央 Firewall | Virtual WAN |
【各判定の詳細】
- 「オンプレ 1 拠点 + 帯域 200 Mbps + コスト最小化」→ VPN Gateway: Site-to-Site VPN は Public Internet 経由の IPsec トンネルで帯域 100 Mbps〜10 Gbps を提供し、月額コストも比較的安価です。そのため、1 拠点 + 200 Mbps + コスト最小化のように低帯域・少拠点シナリオに最適な選択肢となります。
- 「オンプレ DC + 専用回線で SLA 99.9% + 10 Gbps」→ ExpressRoute: ExpressRoute は通信事業者の専用回線で Azure と接続する方式で、SLA 99.95% および 50 Mbps〜100 Gbps の高帯域に対応します。そのため、専用回線で SLA 99.9% + 10 Gbps を要求する大規模本番環境に適合します。
- 「50 拠点支社の Mesh 接続 + 中央 Firewall」→ Virtual WAN: Virtual WAN は Microsoft マネージドの大規模 Hub-and-Spoke + Routing Intent でグローバル WAN を集中管理できる方式です。これにより、50 拠点支社の Mesh 接続と中央 Firewall 検査を低運用負荷で実現できます。
【参考】
Azure に Site-to-Site VPN を構成する手順を正しい順序に並べてください。
- VNet + GatewaySubnet を作成
- Public IP を作成 (Standard SKU 推奨)
- Virtual Network Gateway を作成 (VPN タイプ)
- Local Network Gateway 作成 + Connection で紐付け (PSK)
解説
【正しい順序】
- ステップ 1: VNet + GatewaySubnet 作成
- ステップ 2: Public IP 作成
- ステップ 3: Virtual Network Gateway 作成
- ステップ 4: LNG + Connection 作成
【各ステップの理由】
- ステップ 1 VNet + GatewaySubnet 作成: GatewaySubnet は固定名で /27 以上推奨です。
- ステップ 2 Public IP 作成: VPN GW 用に Standard SKU + Static で作成します。
- ステップ 3 Virtual Network Gateway 作成: VPN タイプで SKU 選択。BGP 設定はオプション。
- ステップ 4 LNG + Connection 作成: オンプレ情報 (Public IP / Address Space) を Local Network Gateway に登録、Connection で VNet GW と紐付け (共有 PSK)。
【誤った順序の問題点】
- ❌ Connection を先に作成する: Connection は VNet GW と LNG の紐付けなので、両者が存在しないと作成できない。
- ❌ GatewaySubnet を後で作成する: VNet GW デプロイ時に GatewaySubnet が存在しないとエラー。
【参考】
5 拠点とのフル メッシュ S2S VPN 接続と高可用性 (Active-Active) を要求される本番環境で、推奨される最低 VPN Gateway SKU はどれですか?
解説
【正解: C】の理由
Active-Active 構成と Zone Redundant な可用性 (SLA 99.95%) を確保するには VpnGw2 AZ 以上の Availability Zone 対応 SKU が推奨されます。VpnGw1 でも Active-Active は構成可能ですが、AZ サフィックス付きの方がリージョン障害耐性が高くなります。
【SKU 比較】
| SKU | 帯域 | S2S 上限 | AZ |
|---|---|---|---|
| Basic | 100 Mbps | 10 | × |
| VpnGw1 / VpnGw1 AZ | 650 Mbps | 30 | ○ (AZ サフィックス) |
| VpnGw2 / VpnGw2 AZ | 1 Gbps | 30 | ○ |
| VpnGw5 AZ | 10 Gbps | 100 | ○ |
【他選択肢が違う理由】
- A: Basic は本番非推奨 (Active-Active 不可、BGP 不可、Zone 非対応)。
- B: VpnGw1 でも構成可能だが、AZ サフィックスなしのため Zone 障害耐性に劣る。
- D: VpnGw1 でも Active-Active は構成可能 (Basic のみ不可)。
【参考】
VPN Gateway の Active-Active 構成を選択する典型的な理由として正しいものをすべて選んでください (2 つ)。
解説
【正解: A / B】の理由
Active-Active は (1) スループット向上 (2 つの IPSec トンネルで合計帯域が約 2 倍)、(2) トンネル断時の自動フェイルオーバ の 2 点が主目的。BGP は必須 (Active-Active 必須要件)、GatewaySubnet / Public IP も引き続き必要 (むしろ Public IP は 2 つ必要)。
【他選択肢が違う理由】
- C: GatewaySubnet は必須 (Active-Active でも必要)。
- D: BGP は Active-Active で必須 (経路収束のため)。
- E: Public IP は 2 つ必要 (1 つ目より増える)。