AZ700-CORE#92
Service Chaining (サービス チェイニング) とは何ですか?
解説
【正解: A】の理由
Service Chaining は Azure VNet の機能で、VNet ピアリング + UDR (User-Defined Route) を組み合わせて、特定の経路 (例: Hub の NVA、Azure Firewall、サードパーティ Firewall) を経由するようトラフィックを誘導するアーキテクチャ パターンです。例えば Spoke→Spoke の通信を Hub の Firewall 経由で強制することで、セキュリティ検査を集中化できます。
【Service Chaining の典型パターン】
| パターン | 用途 | 実装 |
|---|---|---|
| Spoke→Hub→Spoke | Spoke 間通信を Hub Firewall 経由で検査 | UDR で Spoke の他 Spoke 範囲 → Hub Firewall |
| Spoke→Internet via Hub | すべてのアウトバウンドを Hub Firewall 経由 | UDR で 0.0.0.0/0 → Hub Firewall |
| Multi-tier NVA chain | 複数の NVA (WAF + Firewall + IDS) を順次通過 | 各層で UDR を設定 |
【設計上のポイント】
- VNet ピアリングは非推移的 (Spoke A↔Hub、Hub↔Spoke B でも A↔B 直接不可)、これを UDR で迂回する
- Hub の NVA (Firewall) で「Allow forwarded traffic」がピアリング設定で true 必須
- NVA が VM の場合、NIC で「IP 転送を有効化」が必要
- 非対称ルーティング (Asymmetric Routing) を避けるため、戻りトラフィックの経路も計画
- UDR がない場合、VNet Peering 設定のみでは Spoke 間直接通信になる (NVA を経由しない)
【設定例: Spoke A → Spoke B を Hub Firewall 経由】
Spoke A の UDR:
Address prefix: 10.2.0.0/16 (Spoke B 範囲)
Next hop type: Virtual appliance
Next hop address: 10.0.1.4 (Hub Firewall プライベート IP)
Spoke B の UDR:
Address prefix: 10.1.0.0/16 (Spoke A 範囲)
Next hop type: Virtual appliance
Next hop address: 10.0.1.4 (Hub Firewall)【他選択肢が違う理由】
- B. Logic Apps の機能: Service Chaining はネットワーク概念で、Logic Apps とは無関係。
- C. Storage Account 連携: 無関係。
- D. AKS サービス間通信: AKS は内部に独自の Service Mesh (Istio、Linkerd) を持つが、Service Chaining とは別概念。
コメント