AZ700-CORE#38
あなたは Azure VPN Gateway を Active-Active モードでデプロイする予定です。BGP も併用し、将来的に ExpressRoute Gateway も同一 VNet に共存させる可能性があります。GatewaySubnet として推奨される最小プレフィックス サイズはどれですか?
解説
【正解: C】の理由
Microsoft 公式は GatewaySubnet に /27 以上 を推奨しています。Active-Active 構成では 2 インスタンスの Gateway がそれぞれ IP を必要とし、BGP ピアリング用 IP、Azure 内部用予約 IP、将来の Gateway SKU アップグレード予備、ExpressRoute Gateway 共存時の追加 IP を考慮すると /27 (32 アドレス) が安全です。
【サイズ要件 詳細比較】
| サイズ | 利用可能 IP | Active-Standby | Active-Active | + ER 共存 |
|---|---|---|---|---|
| /29 | 3 | ○ (最低限) | △ (BGP 共存厳しい) | × |
| /28 | 11 | ○ | ○ | △ |
| /27 | 27 | ○ | ○ | ○ (推奨) |
| /24 | 251 | ○ | ○ | ○ (浪費) |
【他選択肢が違う理由】
- A. /29: Active-Active + BGP では IP 数が不足する可能性あり。最小 Active-Standby なら動作するが推奨外。
- B. /28: Active-Active で機能しますが、将来の SKU 変更や ExpressRoute Gateway 共存で予備が枯渇しやすい。
- D. /24: 機能上問題ないが大幅なアドレス浪費 (VNet 全体のアドレス計画から見ても過大)。
【設計時の注意点】
- GatewaySubnet 名は固定 (変更不可)
- NSG を GatewaySubnet に関連付けると問題が起きるケースあり (Microsoft 推奨は NSG 関連付けなし)
- UDR を関連付けた場合、Azure 内部管理トラフィックを誤って遮断しないよう注意
- Azure VPN Gateway は 30 分以上のデプロイ時間が必要
コメント