AZ700-CORE#33
次の Hub-Spoke ネットワーク構成図を見て、Spoke A の VM (10.1.1.5) からインターネットへの通信経路として正しいものはどれですか? Spoke A サブネットには UDR で 0.0.0.0/0 → 10.0.1.4 (Azure Firewall プライベート IP) が設定されています。
Hub VNet (10.0.0.0/16)
├─ AzureFirewallSubnet (10.0.1.0/26)
│ └─ Azure Firewall: 10.0.1.4 + Public IP
└─ Peering ↔ Spoke A
Spoke A VNet (10.1.0.0/16)
└─ subnet-app (10.1.1.0/24)
└─ VM: 10.1.1.5 (UDR: 0.0.0.0/0 → 10.0.1.4)
解説
【正解: A】の理由
UDR (User-Defined Route) は VNet の System Default ルートより優先されます。Spoke A サブネットに 0.0.0.0/0 → 10.0.1.4 の UDR が設定されているため、VM のすべてのアウトバウンドが Azure Firewall (10.0.1.4) を経由し、Firewall が Public IP で SNAT 後 インターネットへ送信されます。これが Forced Tunneling パターン。
【経路詳細】
- VM (10.1.1.5) → サブネット デフォルト ゲートウェイ (10.1.1.1)
- UDR 適用: 0.0.0.0/0 → 10.0.1.4 (Virtual appliance)
- Spoke ↔ Hub ピアリング経由で Hub VNet へ
- Hub の Azure Firewall (10.0.1.4) 到達
- Firewall ルール検査
- Firewall の Public IP で SNAT
- Internet 送信
【他選択肢が違う理由】
- B. UDR 無視: UDR が設定されていれば System Default より優先される。
- C. Hub Public IP 直接: VM 自体は Hub Public IP に直接アクセスできず、Firewall 経由が必要。
- D. VPN Gateway 経由: VPN Gateway はオンプレ接続用、Internet 経由ではない。
コメント