AZ700-CORE#32
NSG (Network Security Group) と ASG (Application Security Group) の動作に関する次の各記述について、正しい場合は「はい」、誤っている場合は「いいえ」を選択してください。
注: 正解 1 つにつき 1 点が与えられます。
| ステートメント | はい | いいえ |
|---|---|---|
NSG ルールは Priority の値が低い番号 (例: 100) から評価され、最初にマッチしたルールで決定される NSG ルールは Priority の値が低い番号 (100〜4096) から順に評価され、最初にマッチしたルールでアクセス可否が決定されます。そのため、特定 IP のみ許可するルールは拒否ルールより低い番号で配置する必要があります。 | ||
1 つの NIC は最大 1 つの ASG にのみ所属できる 1 つの NIC は複数の ASG に所属できるため、「Web 層 + 監視対象」のような役割の組み合わせを表現できます。これにより、NSG ルールで Source / Destination に ASG を指定する設計の柔軟性が大きく高まります。 | ||
AVNM の Security Admin Rules は NSG より優先され、Always Deny で NSG の許可を上書きできる AVNM の Security Admin Rules はテナント / Subscription レベルで強制され、NSG より高い優先度で評価されます。そのため、Always Deny に設定したルールは Subscription 内のすべての NSG 許可を上書きできます。 |
解説
【正解一覧】
| ステートメント | 正解 |
|---|---|
| NSG ルールは Priority の値が低い番号 | はい |
| 1 つの NIC は最大 1 つの ASG にのみ所属できる | いいえ |
| AVNM の Security Admin Rules は NSG より優先され、Always Deny で NSG… | はい |
【各判定の詳細】
- 「NSG ルールは Priority の値が低い番号」→ はい: NSG ルールは Priority の値が低い番号 (100〜4096) から順に評価され、最初にマッチしたルールでアクセス可否が決定されます。そのため、特定 IP のみ許可するルールは拒否ルールより低い番号で配置する必要があります。
- 「1 つの NIC は最大 1 つの ASG にのみ所属できる」→ いいえ: 1 つの NIC は複数の ASG に所属できるため、「Web 層 + 監視対象」のような役割の組み合わせを表現できます。これにより、NSG ルールで Source / Destination に ASG を指定する設計の柔軟性が大きく高まります。
- 「AVNM の Security Admin Rules は NSG より優先され、Always …」→ はい: AVNM の Security Admin Rules はテナント / Subscription レベルで強制され、NSG より高い優先度で評価されます。そのため、Always Deny に設定したルールは Subscription 内のすべての NSG 許可を上書きできます。
コメント