AZ-104Azure 仮想ネットワークの実装と管理MEDIUM単一選択

ある企業がAzure VMからAzure Storageへのアクセスをパブリックインターネットを経由せずにMicrosoftのバックボーンネットワーク上で行いたいと考えている。かつAzure StorageのファイアウォールでVNetからのアクセスのみを許可したい。最も適切な構成はどれか。

  1. A. Azure VPN GatewayでPoint-to-Site VPNを設定してStorageにアクセスする
  2. B. VMにパブリックIPを割り当て、StorageアカウントのファイアウォールでそのIPを許可する
  3. C. VNetにService Endpointを有効にしてMicrosoft.Storageを選択し、StorageアカウントのファイアウォールでそのVNet/サブネットを許可する
  4. D. StorageアカウントにPrivate Endpointを作成し、VNet内のプライベートIPアドレスでStorageにアクセスする
解答と解説を見る

正解: C

Service Endpointを使用すると、VNetからAzure Storage(やSQL DBなど)へのトラフィックがMicrosoftバックボーンネットワーク経由になり、インターネットを経由しない。StorageアカウントのファイアウォールでそのVNet/サブネットを許可することでVNet外からのアクセスを制限できる。ただしStorageのパブリックエンドポイント自体は残る点に注意(Private Endpointとの違い)。選択肢BはVMのパブリックIPを許可する方法で、インターネット経由となるため要件(バックボーン経由)を満たさない。選択肢DのPrivate Endpointも要件を満たす有効な手段だが、StorageアカウントのプライベートIPが割り当てられるためDNS設定の変更が必要で、本問では「ファイアウォールでVNetを許可する」という文脈からService Endpointが最適解として提示されている。選択肢Aは個人のクライアントのリモートアクセス向けであり、この要件には不適切で過剰な構成である。

📚 関連サービスの解説: Azure Virtual Network(VNet)
▸ この試験を本気で演習する(全150問・無料)

同じ分野の関連問題