次のリソースを含むAzureサブスクリプションがあります。
Vnet1 という名前の仮想ネットワーク
Subnet1 および AzureFirewallSubnet という名前の2つのサブネット
FW1 という名前のパブリック Azure Firewall
Subnet1 に関連付けられた RT1 という名前のルートテーブル
RT1 内の、
0.0.0.0/0(すべてのトラフィック)を FW1 にルーティングする規則
Windows Serverを実行する10台のサーバーをSubnet1にデプロイした後、どの仮想マシンもライセンス認証(アクティベーション)されていないことが判明しました。
仮想マシンをアクティブ化できるようにする必要があります。何をすべきですか?
正解:A
この問題は、Azure Firewallを経由する「強制トンネリング」環境における、Windowsライセンス認証(KMS)の特殊な動作に関する知識を問うものです。
問題の回避: Azureで実行されるWindows VMは、Azure専用のKMSサーバー(
kms.core.windows.net)に接続してアクティベーションを行います。非対称ルーティングの発生: 通常、Azureのインフラストラクチャトラフィック(KMSなど)は、Azureのホストネットワークを通じて直接行われます。
しかし、ルートテーブルで
0.0.0.0/0(デフォルトルート)を Azure Firewall などのネットワーク仮想アプライアンス(NVA)に向けてしまうと、戻りのパケットと行きのリクエストで経路が異なる「非対称ルーティング」が発生し、接続が切断されてしまいます。
解決策: * KMSトラフィックを Azure Firewall(NVA)経由にせず、直接インターネット(Azureの既定のルート)へ送るようにルートテーブル(RT1)を構成する必要があります。
具体的には、Azure KMS のパブリック IP アドレス(例:
23.102.135.246など)へのネクストホップを「Internet」とする特定のルートを追加します。これにより、ライセンス認証トラフィックがファイアウォールをバイパスして正常に完了します。
コメント