AZ-700-CORE#3-3
注: この問題は、同じ前提を持つ一連の問題の一部です。それぞれの問題には異なる解決策が提示されます。
前提
(設問 1 と同じシナリオ)
解決策
Hub VNet の Azure Firewall (Standard tier) を経由してすべての外部 SaaS への HTTPS 通信を強制トンネリングする。
この解決策は要件を満たしますか?
解説
【判定: いいえ】の理由
Azure Firewall も SNAT を行いますが、SNAT ポートは Firewall インスタンスあたり 2,496 ポート/IP と比較的少なく、大量並列接続 (数千同時) の用途では枯渇しやすいです。Azure Firewall はセキュリティ検査用途で利用すべきで、純粋な SNAT スケール目的では NAT Gateway が適切です。
【併用パターン】
本要件をセキュリティ + スケールの両立で解決する場合は、「NAT Gateway + Azure Firewall サブネットには別 NAT Gateway」のようにサブネット単位で NAT Gateway を関連付けるのが最善です。Azure Firewall のサブネットに NAT Gateway を関連付けることで、Firewall 経由のアウトバウンドも SNAT スケール可能となります。
コメント