AZ700-CORE#80
VM Scale Set (Flexible Orchestration) をゾーン跨ぎで構築するネットワーク設計の標準手順を順序付けてください。
- VNet + 各ゾーン用サブネット (3 ゾーン: zone1-subnet、zone2-subnet、zone3-subnet) を作成
- Standard Load Balancer (Zone-redundant) を作成、Public IP も Zone-redundant Standard SKU
- NAT Gateway を各ゾーンに 1 つずつ配置 (合計 3 つ)、各サブネットに関連付け
- NSG を作成し、各サブネットに関連付け (Inbound 80/443、Outbound 制限)
解説
【正しい順序】
- ステップ 1: VNet + ゾーン別サブネット作成
- ステップ 2: Zone-redundant LB + Public IP
- ステップ 3: 各ゾーンに NAT Gateway 配置
- ステップ 4: NSG 作成 + 関連付け
【各ステップの理由】
- ステップ 1: ゾーン別サブネット: VM のゾーン配置に合わせてサブネットを分けることで、ゾーン単位での障害分離が明確化。設計の保守性が向上。
- ステップ 2: Zone-redundant LB: Standard LB は Zone-redundant 設定で 3 ゾーン全体にトラフィック分散します。Public IP も Zone-redundant Standard SKU が必須です。
- ステップ 3: NAT Gateway 配置: NAT Gateway はゾーン依存リソース。各ゾーンに 1 つずつ配置 (合計 3 つ) しないと、1 ゾーン障害時に該当ゾーンの VM アウトバウンドが停止。
- ステップ 4: NSG 関連付け: VM デプロイ前に NSG を関連付けることで、デプロイ時点から最小権限を適用 (Defense in Depth)。
【Zone-redundant 構成のコスト + 利点】
| 項目 | Zonal (1 ゾーン) | Zone-redundant (3 ゾーン) |
|---|---|---|
| SLA | 99.9% | 99.99% |
| NAT Gateway | 1 つ | 3 つ |
| Public IP | 1 つ | 1 つ (Zone-redundant) |
| コスト | 低 | 高 (NAT Gateway × 3) |
【誤った順序の問題点】
- ❌ NAT Gateway を 1 つだけ配置: そのゾーン障害時に全アウトバウンドが停止 (SPOF: Single Point of Failure)。Zone fault tolerance が達成できない。
- ❌ VMSS を先にデプロイ: LB/NAT/NSG なしでデプロイすると、デプロイ直後から無防備な状態 + アウトバウンド経路未確立。
コメント