AZ700-CORE#114-2
注: この問題は、同じ前提を持つ一連の問題の一部です。それぞれの問題には異なる解決策が提示されます。
前提
あなたは Hub-Spoke 環境を運用しており、Spoke A の VM から Spoke B の VM への通信を実現する必要があります。Hub VNet には Azure Firewall がデプロイされています。VNet ピアリングは Spoke A↔Hub、Spoke B↔Hub で構成済みです。
解決策
Spoke A と Spoke B の VNet 間に直接 VNet ピアリングを追加する。
この解決策は要件を満たしますか?
解説
【正解: いいえ】の理由
Spoke 間ピアリングを直接張ること自体は技術的に可能ですが、Hub-Spoke 設計の本来の目的である中央セキュリティ検査が損なわれ、N×(N-1)/2 のペア管理は 50 以上の Spoke 規模で破綻します。そのため、原則は Hub Firewall 経由とし、例外的に低レイテンシ要件がある場合のみ AVNM の Hub-Spoke with Direct Connectivity を検討します。
【もし「はい」を選んだ場合】
「はい」と判定すると Spoke 間直接ピアリングを推奨することになりますが、運用負荷とセキュリティ検査の観点から本番では避けるべき設計です。そのため、Spoke 間通信は Hub の Firewall を経由させるのが原則となります。
【シリーズ全体の正解一覧】
| 問 | ステートメント | 正解 |
|---|---|---|
| 問1 | この解決策は要件を満たしますか? | はい |
| 問2 | この解決策は要件を満たしますか? | いいえ |
| 問3 | この解決策は要件を満たしますか? | いいえ |
コメント