AZ700-CORE#96
Azure VNet 設計のベスト プラクティスのうち、最も重要な原則はどれですか?
解説
【正解: A】の理由
Azure VNet 設計の最重要原則は「初期段階で十分なアドレス空間を確保 + 専用サブネットを計画に含める」です。VNet 作成後のアドレス空間 + サブネット境界 変更は既存リソースに影響するため困難で、将来の機能追加 (Gateway、Bastion、Firewall、AppGW、Container 統合 等) を見越したアドレス計画が運用効率を大きく左右します。
【VNet 設計の主要原則】
| 原則 | 詳細 |
|---|---|
| アドレス計画 | RFC 1918 (10.0.0.0/8) で /16 以上、オンプレと重複しない範囲を選択 |
| 専用サブネット予約 | Gateway (/27)、Bastion (/26)、Firewall (/26)、AppGW (/24) の専用枠を事前確保 |
| 階層的サブネット分割 | Web/App/DB の層別 + 環境別 (Prod/Dev) |
| NSG/ASG 設計 | 最小権限、Defense in Depth、ASG ベース ルール |
| Hub-Spoke パターン | 10+ VNet で集中管理、AVNM で自動化 |
| 監視 + ログ | NSG Flow Logs V2、Traffic Analytics、Defender for Cloud |
【典型的なアドレス計画例】
Hub VNet: 10.0.0.0/16 (65,536 IP)
AzureFirewallSubnet: 10.0.1.0/26
AzureBastionSubnet: 10.0.2.0/26
GatewaySubnet: 10.0.3.0/27
Shared Services: 10.0.10.0/24
Resolver Inbound: 10.0.20.0/28
Resolver Outbound: 10.0.20.16/28
Spoke 1 (Prod): 10.1.0.0/16
Web tier: 10.1.1.0/24
App tier: 10.1.2.0/24
DB tier: 10.1.3.0/24
Private Endpoint: 10.1.10.0/24
Spoke 2 (Dev): 10.2.0.0/16 ...【避けるべき設計】
- アドレス空間 /28 のような最小限指定 (後から拡張不可)
- サブネット内に 1 VM のみ (NSG 関連付けが分散、管理破綻)
- 専用サブネット (Gateway/Bastion/Firewall) を計画外配置 (アドレス枯渇)
- オンプレと重複するアドレス空間 (ピアリング/VPN で衝突)
- Public IP の VM 直接付与 (Bastion 利用が標準)
【他選択肢が違う理由】
- B. 最小限 /24: VNet 全体が 256 IP しかなく、Bastion (/26 = 64 IP) や Firewall (/26 = 64 IP) を追加すると半分以上消費、拡張余地なし。
- C. VM ごとにサブネット: サブネット数 6,000 上限、運用コスト膨大、不要な粒度分割。
- D. すべて Public IP: セキュリティ ポスチャ最悪 (各 VM が直接インターネット曝露)。Bastion + Private 構成が標準です。
コメント