AZ700-CORE#94
Multi-region Hub-Spoke 構成 (East US と West Europe にそれぞれ Hub-Spoke) で、2 つの Hub を相互接続する標準的な手法はどれですか?
解説
【正解: A】の理由
Multi-region Hub-Spoke で 2 つの Hub VNet を結ぶ標準手法は Global VNet Peering です。Microsoft バックボーン経由で低レイテンシ + 高帯域、暗号化なし (バックボーン内信頼) で接続。Spoke→Spoke の リージョン跨ぎ通信は「Spoke A → Hub 1 → Hub 2 (Global Peering) → Spoke B」のように Hub 経由でルーティングします。
【Multi-region Hub-Spoke のトラフィック フロー】
Spoke A (East US)
↓ UDR で Firewall 1 経由
Hub 1 (East US) Firewall
↓ Global VNet Peering
Hub 2 (West Europe)
↓ Hub 2 Firewall (オプション)
Spoke B (West Europe)【接続手法 比較】
| 手法 | レイテンシ | 帯域 | 暗号化 | コスト |
|---|---|---|---|---|
| Global VNet Peering | 低 (Backbone) | 高 | なし (Backbone 信頼) | データ転送料 |
| VPN over Internet | 高 | VPN GW SKU 依存 | IPsec | VPN GW + 転送料 |
| ExpressRoute (Premium で複数リージョン) | 低 (専用) | 10/100 Gbps | MACsec (ER Direct) | 高 (回線 + ER 料金) |
| Virtual WAN | 低 (Backbone) | 高 | なし (Backbone 信頼) | Virtual WAN コスト |
【Global Peering の制約】
- 暗号化されない (Microsoft バックボーンの物理セキュリティに依存)
- Multicast/Broadcast 非対応
- UDP Bidirectional Streaming は一部制限
- VNet Gateway を介した Transit は対応 (Hub の Gateway を Spoke が利用)
- 2 リージョン以上の Mesh は管理複雑、Virtual WAN を検討
【代替: Azure Virtual WAN】
- 3 リージョン以上または 10+ ブランチで複雑化する場合、Virtual WAN が推奨
- Hub 間接続が自動 (Mesh Backbone)
- VPN/ExpressRoute/P2S を統合管理
【他選択肢が違う理由】
- B. Internet 経由 VPN: レイテンシ高 + Public Internet 通過 + 帯域制限です。Global Peering より劣る。
- C. VNet 統合: Azure では異リージョン VNet を 1 つに統合する機能なし。
- D. ExpressRoute Direct: オンプレ↔Azure 用、VNet↔VNet には不適。
コメント