ある企業がハブアンドスポーク構成でAzureを運用している。ハブVNetにはAzure VPN GatewayとAzure Firewallが配置されており、スポークVNetがピアリングされている。スポークVNet内のVMからのすべてのインターネット宛てトラフィックをAzure Firewallを経由させるために必要な構成として完全に正しいものはどれか。
- A. スポークVNetのNSGで「インターネット」サービスタグへの送信を「拒否」に設定すれば、自動的にFirewallを経由するようになる
- B. Azure FirewallのDNATルールでスポークVNetのアドレス空間からのトラフィックをインターネットに転送するよう設定する
- C. スポークVNetの各サブネットにUDRを作成し、0.0.0.0/0のネクストホップをAzure FirewallのプライベートIPに設定する。またハブVNetのピアリングで「転送されたトラフィックを許可する」を有効にする
- D. ハブVNetのVPN GatewayにデフォルトルートをBGPでアドバタイズする設定を追加する
解答と解説を見る
正解: C
スポークVNetからのインターネット宛てトラフィックをAzure Firewall経由にするには、スポークVNetの各サブネットに0.0.0.0/0(デフォルトルート)をAzure FirewallのプライベートIPアドレスにネクストホップとして指定するUDRを設定する。これによりスポーク内のVMのデフォルトゲートウェイがFirewallに向く。加えてハブVNetのピアリング設定で「転送されたトラフィックを許可する(Allow forwarded traffic)」を有効にしないと、スポークからのトラフィックがハブに到達してもFirewallに転送されない。選択肢DのVPN GatewayのBGPアドバタイズはオンプレミスへのルート伝達に使うものであり、VNet内のデフォルトルートをFirewallに向けるUDRの代替にはならない。選択肢AのNSGでインターネット宛てを拒否してもFirewallを経由するようにはならず、単に通信が遮断されるだけである。選択肢BのFirewallのDNATルールは外部からの受信トラフィックを内部に転送するためのものであり、内部からインターネットへの送信トラフィックの制御とは用途が異なる。
📚 関連サービスの解説: Azure Virtual Network(VNet) ・ Azure Firewall