Pular para o conteúdo principal

Laboratório Técnico: Choose an Appropriate Tier

Questões

Questão 1 — Múltipla Escolha

Uma equipe de rede precisa publicar um aplicativo interno acessível apenas por funcionários via VPN site-to-site. O requisito é minimizar custos operacionais, e o tráfego esperado é de baixo volume, sem necessidade de alta disponibilidade garantida por SLA. Qual tier de Azure Load Balancer atende a esse cenário?

A) Standard Load Balancer, pois é o único que suporta regras de balanceamento com backends em redes virtuais diferentes.

B) Basic Load Balancer, pois atende cenários de baixo volume sem SLA exigido e com custo reduzido.

C) Gateway Load Balancer, pois integra appliances de rede virtual e reduz latência em ambientes internos.

D) Standard Load Balancer com SKU Regional, pois é necessário para qualquer cenário envolvendo VPN site-to-site.

Questão 2 — Cenário Técnico

Um arquiteto está projetando a conectividade de uma solução com os seguintes requisitos:

  • Conexão entre a rede on-premises e o Azure com largura de banda garantida de 10 Gbps
  • Latência previsível e consistente
  • O tráfego não deve passar pela internet pública

Ele avalia duas opções:

Opção A: VPN Gateway SKU VpnGw5
Opção B: ExpressRoute com circuit de 10 Gbps

Após revisar os requisitos, o arquiteto escolhe a Opção B. Qual é a justificativa técnica mais precisa para essa escolha?

A) O VPN Gateway VpnGw5 não suporta largura de banda acima de 1 Gbps agregado.

B) O ExpressRoute oferece conectividade privada sem tráfego pela internet pública, com largura de banda dedicada e latência previsível, características que o VPN Gateway não garante estruturalmente.

C) O VPN Gateway não é compatível com conexões site-to-site acima de 1 Gbps em nenhum SKU disponível.

D) O ExpressRoute é obrigatório sempre que a conexão envolver mais de um ambiente on-premises.

Questão 3 — Verdadeiro ou Falso

Afirmação: O Azure Firewall Premium pode ser usado no lugar do Azure Firewall Standard sem nenhuma alteração de configuração, pois todos os recursos do Standard estão incluídos no Premium e as políticas existentes são totalmente compatíveis entre os dois tiers.

Verdadeiro ou Falso?

Questão 4 — Cenário Técnico

Uma empresa implanta um ambiente com múltiplos hubs regionais conectados via Virtual WAN. O time de segurança exige inspeção de tráfego leste-oeste entre VNets spoke e também tráfego norte-sul para a internet. O time de rede questiona qual tier de Virtual WAN deve ser usado.

Considere o trecho de configuração abaixo:

Virtual WAN Type: Basic
Secured Virtual Hub: Not supported
Routing Intent: Not available

Qual seria a consequência direta de manter o tipo Basic nesse cenário?

A) O tráfego entre spokes funcionará normalmente, mas o Azure Firewall não poderá ser integrado ao hub.

B) O tipo Basic suporta Secured Virtual Hub, mas não permite configurar Routing Intent para tráfego leste-oeste.

C) O tipo Basic não suporta Secured Virtual Hub nem Routing Intent, tornando impossível centralizar a inspeção de tráfego pelo Azure Firewall no hub.

D) O tipo Basic suporta inspeção de tráfego norte-sul, mas exige uma NVA separada para tráfego leste-oeste.

Questão 5 — Múltipla Escolha

Ao projetar uma solução de DNS privado no Azure, um engenheiro precisa garantir resolução de nomes entre múltiplas VNets em regiões diferentes, sem depender de servidores DNS customizados. Qual combinação de tier e configuração atende a esse requisito?

A) Azure DNS Public Zone vinculada a cada VNet, com registros A manuais para cada recurso.

B) Azure Private DNS Zone com links de resolução para cada VNet participante, aproveitando o resolvedor padrão do Azure.

C) Azure DNS Resolver no tier Basic, configurado com regras de encaminhamento entre regiões.

D) Azure Private DNS Zone com um único link de registro em uma VNet hub, assumindo que o peering propaga a resolução automaticamente para as spokes.

Gabarito e Explicações

Gabarito — Questão 1

Resposta: B

O Basic Load Balancer foi projetado exatamente para cenários de desenvolvimento, teste ou cargas de trabalho internas de baixo volume onde não há exigência de SLA formal. Ele não possui custo adicional e atende à necessidade descrita.

O principal equívoco representado pelos distratores é assumir que qualquer cenário produtivo, mesmo interno e de baixo volume, exige o SKU Standard. O Standard é obrigatório quando há necessidade de SLA de 99,99%, integração com Zonas de Disponibilidade ou backends em VNets distintas. O Gateway Load Balancer serve para encadear appliances de rede virtual, não para balanceamento simples interno. Escolher o Standard sem necessidade apenas aumenta o custo operacional sem benefício real.

Gabarito — Questão 2

Resposta: B

O ExpressRoute estabelece conectividade privada por meio de um provedor de conectividade, sem que o tráfego percorra a internet pública. Além disso, oferece largura de banda dedicada com SLA e latência previsível, características estruturais que o VPN Gateway não pode garantir, pois opera sobre a internet pública com criptografia IPsec.

O distrator A é parcialmente verdadeiro em intenção, mas incorreto tecnicamente: o VpnGw5 suporta até aproximadamente 10 Gbps em modo VNet-to-VNet, porém o ponto determinante não é apenas a largura de banda, mas a ausência de tráfego pela internet e a garantia de latência. O distrator C é falso. O distrator D confunde um requisito de topologia com um requisito de tier de produto.

Gabarito — Questão 3

Resposta: Falso

Embora o Azure Firewall Premium inclua todos os recursos do Standard, a migração não é transparente. O Premium introduz recursos como inspeção TLS, IDPS e categorização de URL que requerem configurações adicionais. Mais importante: as políticas do Azure Firewall Standard não são automaticamente promovidas para Premium sem revisão. Dependendo da configuração de IDPS e inspeção TLS, regras existentes podem ter comportamento diferente ou exigir ajustes para evitar bloqueio indevido de tráfego legítimo.

O erro conceitual aqui é tratar tiers superiores como substitutos transparentes dos inferiores. Em produtos de segurança de rede, a adição de inspeção ativa pode alterar o comportamento observado no tráfego mesmo sem mudança intencional de política.

Gabarito — Questão 4

Resposta: C

O tipo Basic do Virtual WAN suporta apenas conectividade site-to-site VPN e não permite a criação de Secured Virtual Hub (hub com Azure Firewall integrado) nem a configuração de Routing Intent, que é o mecanismo responsável por direcionar todo o tráfego através do firewall centralizado no hub.

Sem essas capacidades, é impossível centralizar a inspeção leste-oeste e norte-sul pelo Azure Firewall no hub, que é exatamente o requisito do cenário. O tipo Standard do Virtual WAN é necessário para viabilizar essa arquitetura. Os distratores A, B e D atribuem capacidades parciais ao tipo Basic que ele simplesmente não possui, representando um equívoco comum de quem confunde as limitações entre os dois tipos.

Gabarito — Questão 5

Resposta: B

A Azure Private DNS Zone com links de resolução para cada VNet participante é a abordagem correta. Cada VNet vinculada pode resolver os registros da zona privada usando o resolvedor DNS interno do Azure (endereço 168.63.129.16), sem necessidade de servidores DNS customizados.

O distrator D representa um equívoco muito comum: o peering de VNets não propaga automaticamente a resolução de Private DNS Zones. Cada VNet precisa ter seu próprio link de resolução com a zona privada. O distrator A usa DNS público, que não serve para resolução privada entre VNets. O distrator C menciona o Azure DNS Private Resolver, que é uma solução válida para cenários híbridos e de encaminhamento condicional, mas adiciona complexidade e custo desnecessários quando o requisito pode ser atendido com links de resolução da Private DNS Zone.