AZ700-CORE#21
Hub-Spoke ピアリング設定の 4 つのフラグについて、Hub 側で設定する値を選んでください。Hub に VPN Gateway があり、Spoke がそれを利用 (Gateway Transit) する設計です。
| ステートメント | 選択 |
|---|---|
Allow virtual network access (Hub → Spoke の通信を許可) Allow virtual network access は VNet 間の基本通信を許可するフラグで、ピアリング作成時は通常両方向で有効化します。そのため、Hub-Spoke ピアリングでも Hub→Spoke / Spoke→Hub どちらもこのフラグを有効にしておく必要があります。 | |
Allow forwarded traffic (NVA 経由の転送トラフィックを受け入れる) Hub に配置した NVA / Azure Firewall を経由するトラフィックは送信元 IP が書き換えられた状態で Spoke に到達するため、Allow forwarded traffic が必須となります。このため、Firewall 集中検査構成では Hub / Spoke 両方でこのフラグを有効化します。 | |
Allow gateway transit (この VNet のゲートウェイを相手側に使わせる) Hub にゲートウェイ (VPN / ExpressRoute) を配置して Spoke から共有利用させる構成では、Hub 側の Allow gateway transit を有効化し、Spoke 側の Use remote gateways を有効化する組み合わせが必須となります。これにより、Spoke は独自 Gateway を持たずに Hub Gateway 経由でオンプレ接続できます。 |
解説
【正解マッチング】
| 判定対象 | 正解 |
|---|---|
| Allow virtual network access | はい |
| Allow forwarded traffic | はい |
| Allow gateway transit | はい |
【各判定の詳細】
- 「Allow virtual network access」→ はい: Allow virtual network access は VNet 間の基本通信を許可するフラグで、ピアリング作成時は通常両方向で有効化します。そのため、Hub-Spoke ピアリングでも Hub→Spoke / Spoke→Hub どちらもこのフラグを有効にしておく必要があります。
- 「Allow forwarded traffic」→ はい: Hub に配置した NVA / Azure Firewall を経由するトラフィックは送信元 IP が書き換えられた状態で Spoke に到達するため、Allow forwarded traffic が必須となります。このため、Firewall 集中検査構成では Hub / Spoke 両方でこのフラグを有効化します。
- 「Allow gateway transit」→ はい: Hub にゲートウェイ (VPN / ExpressRoute) を配置して Spoke から共有利用させる構成では、Hub 側の Allow gateway transit を有効化し、Spoke 側の Use remote gateways を有効化する組み合わせが必須となります。これにより、Spoke は独自 Gateway を持たずに Hub Gateway 経由でオンプレ接続できます。
コメント