AZ700-CORE#50
VNet ピアリング設定の "Allow forwarded traffic" を有効化すべきシナリオはどれですか?
解説
【正解: A】の理由
"Allow forwarded traffic" は、ピアリング先 VNet から「送信元 IP が当該 VNet 内部ではないトラフィック」を受け入れる設定です。Hub-Spoke + NVA 構成では Spoke→Hub の NVA→他 Spoke のように転送経路を通るため、転送元 NVA が異なる VNet にあると Spoke 受信側でこのフラグを true にする必要があります。
【ピアリング設定フラグの動作 完全表】
| フラグ | 動作 | 典型用途 | 既定値 |
|---|---|---|---|
| Allow virtual network access | ピア間の VM 通信を許可 | 常に true | true |
| Allow forwarded traffic | NVA 経由の転送パケットを受信 | Hub-Spoke + NVA で必須 | false |
| Allow gateway transit | この VNet の Gateway を相手に貸す | Hub 側で true | false |
| Use remote gateways | 相手の Gateway を借りる | Spoke 側で true | false |
【Hub-Spoke 構成での設定パターン】
| 方向 | Allow forwarded | Allow gateway transit | Use remote gateways |
|---|---|---|---|
| Hub → Spoke | true | true | false |
| Spoke → Hub | true | false | true |
【他選択肢が違う理由】
- B. 直接通信のみ: "Allow virtual network access" だけで足り、"Allow forwarded traffic" は不要です。
- C. Public Internet 許可: VNet ピアリング設定とは無関係 (NSG/UDR で制御)。Public Internet 通信は VNet の Internet 既定ルートで処理されます。
- D. VPN Gateway 経由のみ: これは "Use remote gateways" + "Allow gateway transit" の組み合わせです。
コメント