AZ700-CONN#60
各 vWAN Hub 接続に対する Routing Intent 適用について、適切なものを選んでください。
| ステートメント | 選択 |
|---|---|
Spoke VNet から Internet への Outbound 検査 Spoke VNet から Internet への Outbound トラフィックは Internet Routing Intent の対象となり、Azure Firewall または NVA 経由で集中検査されます。そのため、Egress 監視や Web フィルタリング要件のある環境ではこの Intent を有効化します。 | |
Spoke VNet ↔ Spoke VNet 間通信検査 Spoke VNet 同士の通信は Private Routing Intent の対象となり、すべての VNet 間トラフィックが Hub の Firewall を経由するようになります。これにより、東西方向 (East-West) のトラフィック検査が UDR 手動構成なしで実現します。 | |
Branch (VPN) ↔ Spoke VNet 通信検査 Branch (VPN / ER) と Spoke VNet 間の通信は両端が Private エンドポイントとなるため、Private Routing Intent の対象になります。そのため、オンプレ → Azure VNet 方向の通信も Hub Firewall で検査する設計が成立します。 |
解説
【正解マッチング】
| 判定対象 | 正解 |
|---|---|
| Spoke VNet から Internet への Outbound 検査 | Internet Intent |
| Spoke VNet ↔ Spoke VNet 間通信検査 | Private Intent |
| Branch | Private Intent |
【各判定の詳細】
- 「Spoke VNet から Internet への Outbound 検査」→ Internet Intent: Spoke VNet から Internet への Outbound トラフィックは Internet Routing Intent の対象となり、Azure Firewall または NVA 経由で集中検査されます。そのため、Egress 監視や Web フィルタリング要件のある環境ではこの Intent を有効化します。
- 「Spoke VNet ↔ Spoke VNet 間通信検査」→ Private Intent: Spoke VNet 同士の通信は Private Routing Intent の対象となり、すべての VNet 間トラフィックが Hub の Firewall を経由するようになります。これにより、東西方向 (East-West) のトラフィック検査が UDR 手動構成なしで実現します。
- 「Branch」→ Private Intent: Branch (VPN / ER) と Spoke VNet 間の通信は両端が Private エンドポイントとなるため、Private Routing Intent の対象になります。そのため、オンプレ → Azure VNet 方向の通信も Hub Firewall で検査する設計が成立します。
コメント