ある企業がAzure上でハブアンドスポーク構成を採用している。ハブVNetには共有サービス(ファイアウォール等)が配置されており、スポークVNet-AとスポークVNet-Bはそれぞれハブとピアリングされているが、スポーク同士は直接ピアリングされていない。スポーク-Aからスポーク-B宛てのトラフィックをハブのAzure Firewallを経由させたい。この構成に必要なものはどれか。
- A. スポーク-Aのサブネットにユーザー定義ルート(UDR)を設定し、スポーク-B宛てのトラフィックをAzure FirewallのプライベートIPにネクストホップとして指定する
- B. スポーク-Aとスポーク-Bの間に直接VNet Peeringを追加する
- C. スポーク-AのNSGにスポーク-B宛てのトラフィックを明示的に許可するルールを追加する
- D. Azure Route Serverをハブに展開し、スポーク間のトラフィックを自動的にルーティングする
解答と解説を見る
正解: A
VNet Peeringはトランジットルーティングをサポートしていない(スポーク-AからハブVNetを経由してスポーク-Bに到達することは標準では不可能)。スポーク-AのサブネットにUDR(ユーザー定義ルート)を設定し、スポーク-Bのアドレス空間宛てのネクストホップをAzure Firewallの内部IPアドレスに指定することで、トラフィックをファイアウォール経由で転送できる。加えて本番VNetの「転送トラフィックを許可する」の設定も必要である。選択肢BはスポークABを直接ピアリングする方法だが、この場合はAzure Firewallを経由しないため要件(ファイアウォール経由)を満たさない。選択肢CのNSGはレイヤー4のトラフィックフィルタリングツールであり、ルーティングの変更はできない。選択肢DのAzure Route ServerはオンプレミスのルーターとのBGPルート交換に使うサービスであり、スポーク間トランジットの直接解決策ではない。
📚 関連サービスの解説: Azure Firewall