【正解: A】の理由

Gateway Transit は「Hub にゲートウェイがある側 = Allow gateway transit を true」「Spoke がそれを利用する側 = Use remote gateways を true」という対の設定です。これにより Spoke VM が Hub の VPN Gateway 経由でオンプレに到達できるようになります。Spoke 側に独自の VPN Gateway を持たせる必要がなくなり、Gateway リソースのコスト削減と管理集中化が実現します。

【ピアリング Gateway Transit 設定マトリクス】

【Gateway Transit の追加要件】

• Hub に VPN Gateway または ExpressRoute Gateway が既にデプロイ済み
• VPN Gateway 経由のオンプレ ルートが BGP または手動で広告されている
• Spoke のサブネットに UDR で適切な経路 (オンプレ アドレス → VirtualNetworkGateway) が設定されている (BGP の場合自動)
• 双方の VNet 接続が「Connected」状態

【他選択肢が違う理由】

• B. 両方 Use remote gateways: Hub には自身の Gateway があり「リモート」を使う必要なし。両方が「相手の Gateway を使う」と設定するのは矛盾。
• C. 両方 Allow gateway transit: Spoke 側に Gateway がないため transit を許可する意味なし。論理的に成立しません。
• D. 特別な設定不要: 明示的に対の設定が必要で、デフォルトでは Spoke→オンプレ通信は不可です。Allow virtual network access のみではオンプレ到達できません。

【関連設計上のポイント】

• 1 つの Spoke が 2 つ以上の Hub に Use remote gateways = true で接続することは制限あり (1 つの Hub からのみ Gateway を借りる)
• ExpressRoute と VPN Gateway を Hub に共存させる場合、各 Gateway の優先度設定が必要
• BGP を利用すると Gateway 経由の動的ルート広告が Spoke にも自動伝達

【参考】

VNet ピアリング Gateway Transit / VPN Gateway Transit