AZ-104Azure 仮想ネットワークの実装と管理MEDIUM単一選択

ある企業がAzureで多層Webアプリケーションを運用している。Webサーバー(10個)とアプリサーバー(5個)が存在し、WebサーバーからアプリサーバーへのポートTCP/8080の通信のみを許可したい。NSGルールの管理を最小限にしつつ、新しいWebサーバーが追加された際にも自動的にルールが適用されるようにしたい。最も適切な構成はどれか。

  1. A. WebサーバーのサブネットCIDRをソースにしたNSGルールをアプリサーバーのNICに適用する
  2. B. WebサーバーのIPアドレスを列挙したNSGインバウンド規則をアプリサーバーのサブネットに適用する
  3. C. アプリケーションセキュリティグループ(ASG)をWebサーバーとアプリサーバーで作成し、ASGをソース/宛先に指定したNSGルールを設定する
  4. D. Service Tagの「Internet」をソースに指定したNSGルールでポート8080を許可する
解答と解説を見る

正解: C

アプリケーションセキュリティグループ(ASG)を使用することで、個々のIPアドレスやCIDRブロックではなく、論理グループを単位としてNSGルールを記述できる。WebサーバーをASG-Webとしてグループ化し、アプリサーバーをASG-Appとしてグループ化した後、「ASG-WebからASG-AppへのTCP/8080を許可」という1つのルールを設定するだけでよい。新しいWebサーバーのNICをASG-Webに追加するだけでルールが自動適用される。選択肢Bは各IPを列挙するため管理負担が大きく、サーバー追加時に毎回ルールを更新する必要がある。選択肢AはサブネットCIDRを使うため一定の管理は楽だが、同一サブネット内に別用途のサーバーが混在する場合に過剰許可となるリスクがある。選択肢DのService Tag「Internet」はインターネットからの通信を表すため要件と完全に異なり誤りである。

📚 関連サービスの解説: ネットワーク セキュリティ グループ(NSG)
▸ この試験を本気で演習する(全150問・無料)

同じ分野の関連問題