AZ700-CORE#59
UDR (User-Defined Route) の Next hop type のうち、Azure Firewall を経由させるときに指定すべき値はどれですか?
解説
【正解: A】の理由
Azure Firewall を経由させる UDR では Next hop type に Virtual appliance を指定し、Next hop address に Azure Firewall のプライベート IP (例: 10.0.1.4) を設定します。NVA (サードパーティ Firewall、SD-WAN 等) も同じ Virtual appliance タイプで処理します。
【UDR Next hop type 完全一覧】
| Next hop type | 用途 | Next hop address | 典型シナリオ |
|---|---|---|---|
| Virtual appliance | Azure Firewall / NVA | 必要 (IP 指定) | Firewall 強制経路 |
| Virtual network gateway | VPN / ExpressRoute Gateway | 不要 | オンプレ向け |
| VNet local | VNet 内部経路 | 不要 | VNet 内部 |
| Internet | インターネット直行 | 不要 | Public Internet |
| VirtualNetworkServiceEndpoint | Service Endpoint 経由 | 不要 | Storage 等への内部最適化 |
| None (Drop) | パケット破棄 | 不要 | 意図的な遮断 |
【UDR 設定の典型例 (Hub-Spoke + Firewall)】
名前: rt-spoke-to-firewall
Address prefix: 0.0.0.0/0
Next hop type: Virtual appliance
Next hop address: 10.0.1.4 (Azure Firewall プライベート IP)
適用サブネット: Spoke の全サブネット【設計上のポイント】
- Virtual appliance の Next hop IP は必ず VNet 内のプライベート IP (Public IP 指定は不可)
- Azure Firewall の場合、Firewall のプライベート IP を確認 (Firewall リソース > 概要)
- NVA (VM ベース Firewall) の場合、その VM の NIC で「IP 転送を有効化」する必要あり
- UDR は サブネット単位で適用、複数サブネットに同じ UDR を関連付け可能
【他選択肢が違う理由】
- B. Virtual network gateway: VPN/ExpressRoute Gateway 用、Firewall は別。Gateway 経由でオンプレへ流すときに使用します。
- C. Internet: Firewall を経由せず直接インターネットへ。Firewall 強制経路を実現できません。
- D. None: パケット破棄、通信不可です。Firewall を経由しないどころか通信そのものを止めます。
コメント