AZ700-CORE#114-1
注: この問題は、同じ前提を持つ一連の問題の一部です。それぞれの問題には異なる解決策が提示されます。
前提
あなたは Hub-Spoke 環境を運用しており、Spoke A の VM から Spoke B の VM への通信を実現する必要があります。Hub VNet には Azure Firewall がデプロイされています。VNet ピアリングは Spoke A↔Hub、Spoke B↔Hub で構成済みです。
解決策
Spoke A のサブネットに UDR を設定し、Spoke B のアドレス範囲への Next Hop を Hub の Azure Firewall のプライベート IP に向ける。Hub のピアリング設定で Allow forwarded traffic を true にする。
この解決策は要件を満たしますか?
解説
【正解: はい】の理由
VNet ピアリングは非推移的なため、Spoke A↔Spoke B の直接通信は標準ピアリングだけでは成立しません。そのため、Hub に配置した Azure Firewall や NVA を経由するように UDR を構成し、ピアリング側で Allow forwarded traffic を有効化する Hub-Spoke + NVA パターンが標準解となります。
【もし「いいえ」を選んだ場合】
「いいえ」と判定すると Hub Firewall 経由の Spoke 間通信が不要と読み取れますが、Hub-Spoke 設計では中央 Firewall による検査が前提となります。そのため、UDR + Allow forwarded traffic で Hub 経由のルーティングを成立させる方式が正解となります。
【シリーズ全体の正解一覧】
| 問 | ステートメント | 正解 |
|---|---|---|
| 問1 | この解決策は要件を満たしますか? | はい |
| 問2 | この解決策は要件を満たしますか? | いいえ |
| 問3 | この解決策は要件を満たしますか? | いいえ |
コメント