AZ700-CORE#93
Hub-Spoke + Azure Firewall を新規構築し、すべての Spoke のアウトバウンドを Firewall 強制経由する設計を構築する手順を順序付けてください。
- IP アドレス計画 (Hub: 10.0.0.0/16、Spoke 1: 10.1.0.0/16、Spoke 2: 10.2.0.0/16)、Firewall サブネット要件確認
- Hub VNet + 各 Spoke VNet を作成、相互ピアリング (Allow forwarded traffic 双方向 true)
- Hub VNet に AzureFirewallSubnet (/26) を作成
- Azure Firewall (Standard SKU、Public IP 付き) を Hub にデプロイ
解説
【正しい順序】
- ステップ 1: IP 計画 + 専用サブネット要件確認
- ステップ 2: VNet + ピアリング設定
- ステップ 3: AzureFirewallSubnet 作成
- ステップ 4: Firewall デプロイ
【各ステップの理由】
- ステップ 1: IP 計画: 後から修正困難な要素 (アドレス空間、サブネット境界) を最初に確定。Firewall 専用サブネット (/26)、Bastion (/26)、Gateway (/27) 等の予約スペースを計画段階で盛り込みます。
- ステップ 2: VNet + ピアリング: Hub と Spoke の VNet を作成、ピアリング設定で双方向「Allow forwarded traffic」を true (Hub の Firewall 経由通信に必須)。
- ステップ 3: AzureFirewallSubnet 作成: 名前固定 + /26 必須、Firewall デプロイ前に存在が必要。
- ステップ 4: Firewall デプロイ: Standard SKU + Static Public IP で Firewall ホストをデプロイ。プライベート IP がここで決定される (例: 10.0.1.4)。
【UDR vs Firewall ルールの順序の理由】
| 順序 | 理由 |
|---|---|
| UDR 先 + ルール後 | UDR で Firewall に強制経路、Firewall が「許可リストないと全拒否」の既定動作で安全に検証可能 |
| ルール先 + UDR 後 | UDR 未設定の間は Firewall を経由せず、ルールが有効でも実際の通信に影響しないため意味なし |
【誤った順序の問題点】
- ❌ Firewall デプロイ前に UDR 設定: Firewall のプライベート IP が未確定のため、Next Hop アドレスを指定できない。
- ❌ ピアリング後設定: ピアリングなしでは Spoke から Hub の Firewall に到達できないため、UDR が機能しない。
- ❌ AzureFirewallSubnet なしで Firewall デプロイ: 「AzureFirewallSubnet が見つからない」エラーで Firewall デプロイ失敗です。
コメント