【正解: A】の理由

Hub-Spoke で Spoke のインターネット出口を Hub NVA 経由にするには、各 Spoke サブネットに Route Table を関連付け、0.0.0.0/0 → Next Hop = NVA の Private IP (Virtual Appliance タイプ) を設定します。これにより Spoke → Hub NVA → インターネットの経路になります。

【UDR 必要設定】

• Next Hop タイプ: Virtual Appliance
• Next Hop IP: NVA の Hub 側 NIC IP
• NVA 側で IP Forwarding 有効化必須
• Hub VNet で NVA は専用サブネット推奨
• NVA から先のインターネット出口は NVA Public IP / SNAT

【他選択肢が違う理由】

• B: Use Remote Gateway は VPN/ER GW 経由用、NVA とは別。
• C: NSG でインターネット拒否では検査されない (NSG はパススルー or 拒否のみ)。
• D: DDoS Protection は防御機能、UDR とは無関係。

【参考】

Hub-Spoke + NVA