AZ700-CORE#77
あなたは Web 層 VM 5 台に対し、すべて同じ NSG ルール (HTTP/HTTPS 許可、SSH 拒否) を適用する設計を考えています。NSG と ASG (Application Security Group) の使い分けとして最適なアプローチはどれですか?
解説
【正解: B】の理由
Application Security Group (ASG) は、複数の VM NIC を論理的にグループ化し、IP アドレスではなく ASG 名で NSG ルールを定義可能にします。VM の追加・削除や IP 変更があっても NSG ルールは変更不要で、運用効率が大幅に向上します。Web 層 5 台のような同一役割の VM グループに最適です。
【ASG の利点】
| 項目 | IP ベース NSG | ASG ベース NSG |
|---|---|---|
| VM 追加時の運用 | IP 追記必要 | NIC を ASG に追加するだけ |
| IP 変更時 | NSG ルール更新 | 変更不要 |
| ルール可読性 | IP 羅列で見づらい | 役割名で明確 |
| スケール アウト | 手動メンテ必要 | VMSS 自動追従 |
【ASG 設計パターン】
- 「web-tier」「app-tier」「db-tier」のような層ベース命名
- 「prod」「dev」「test」のような環境ベース
- NSG ルールで Source/Destination の両方に ASG 指定可能
- 1 NIC は複数の ASG に所属可能 (役割の組み合わせを表現)
【ASG の制約】
- 同一 VNet 内のリソースのみ ASG 所属可能
- ASG を NSG ルールで利用するには、NSG が ASG メンバーのいるサブネットに関連付けられている必要
- サブスクリプション間 ASG 共有不可
【他選択肢が違う理由】
- A. 各 VM 個別 IP 記載: 運用負担が大きく、VM 追加/IP 変更時に NSG メンテナンスが必要。スケールしない。
- C. VM 個別 NSG: NSG ルール重複の温床、管理工数増大。サブネット NSG + ASG 戦略が標準です。
- D. Public IP のみ: NSG なしでは細かい L4 制御不可、セキュリティ ポスチャ低下。
コメント