Laboratório Técnico: Create and configure inbound NAT rules
Questões
Questão 1 — Múltipla Escolha
Um engenheiro precisa acessar via RDP três máquinas virtuais distintas que estão atrás de um único Azure Load Balancer com um único endereço IP público. As VMs não possuem IPs públicos individuais.
Qual recurso do Load Balancer permite mapear portas externas distintas (por exemplo, 50001, 50002, 50003) para a porta 3389 de cada VM individualmente?
A) Load balancing rules com session persistence configurada por IP de origem
B) Inbound NAT rules associadas diretamente a cada NIC de destino
C) Health probes com protocolos distintos por instância
D) Outbound rules com mapeamento de porta estático por backend pool
Questão 2 — Cenário Técnico
Um administrador configura uma inbound NAT rule em um Load Balancer Standard com as seguintes definições:
Frontend IP: 20.10.5.100
Frontend port: 8080
Backend port: 80
Target VM NIC: nic-webserver-01
Protocol: TCP
Floating IP: Disabled
Ao tentar acessar http://20.10.5.100:8080, a conexão é recusada. A VM está em execução, o serviço web responde localmente na porta 80, e a regra está provisionada com sucesso. O que deve ser verificado primeiro?
A) Se o frontend IP está associado a uma load balancing rule conflitante na porta 8080
B) Se o Network Security Group associado à NIC ou à subnet da VM permite tráfego TCP na porta 80 em Inbound
C) Se o backend pool contém outras VMs além da nic-webserver-01
D) Se o health probe está configurado para a porta 8080 em vez da porta 80
Questão 3 — Múltipla Escolha
Ao comparar inbound NAT rules individuais com inbound NAT rule pools em um Azure Load Balancer, qual afirmação descreve corretamente a diferença de comportamento entre os dois modelos?
A) NAT rule pools exigem que todas as VMs do backend usem a mesma porta de destino, enquanto regras individuais permitem portas distintas por VM
B) NAT rule pools atribuem automaticamente faixas de portas frontend a instâncias de um backend pool, enquanto regras individuais mapeiam uma porta frontend específica a uma NIC específica
C) Regras individuais funcionam apenas com Load Balancer Basic, enquanto NAT rule pools são exclusivas do Load Balancer Standard
D) NAT rule pools requerem floating IP habilitado, enquanto regras individuais são incompatíveis com floating IP
Questão 4 — Cenário Técnico
Uma equipe utiliza um Virtual Machine Scale Set (VMSS) com 5 instâncias atrás de um Load Balancer Standard. Para permitir acesso SSH a cada instância individualmente, o arquiteto opta por criar um inbound NAT rule pool com a seguinte configuração:
Frontend port range start: 50000
Backend port: 22
Protocol: TCP
Backend pool: vmss-backend-pool
Após o deploy, o engenheiro tenta acessar a instância 0 via ssh usuario@<frontend-ip> -p 50000 e não obtém resposta. A instância 1 responde normalmente na porta 50001. Qual é a causa mais provável?
A) O NAT rule pool não suporta protocolo SSH; apenas RDP é permitido em faixas de porta
B) A instância 0 do VMSS foi removida do backend pool por falha no health probe, e a porta 50000 não está mais mapeada
C) O frontend port range start deve ser maior que 1024, e a porta 50000 está abaixo desse limite
D) Instâncias de VMSS requerem regras NAT individuais; NAT rule pools são incompatíveis com scale sets
Questão 5 — Verdadeiro ou Falso
Quando o Floating IP está habilitado em uma inbound NAT rule de um Load Balancer Standard, o sistema operacional da VM de destino deve ser configurado para escutar no endereço IP do frontend do Load Balancer, e não apenas no IP privado da própria NIC, para que a conexão seja estabelecida corretamente.
( ) Verdadeiro
( ) Falso
Gabarito e Explicações
Gabarito — Questão 1
Resposta: B
Inbound NAT rules são o mecanismo correto para mapear portas externas específicas do frontend para portas internas de VMs individuais. A associação é feita diretamente à NIC da VM de destino, permitindo que múltiplas VMs sejam acessadas por portas distintas em um mesmo IP público.
O principal equívoco representado pelos distratores é confundir o propósito de outros componentes do Load Balancer. Load balancing rules distribuem tráfego entre múltiplas instâncias de um backend pool, não para instâncias específicas. Health probes monitoram disponibilidade e não têm função de roteamento de porta. Outbound rules controlam o tráfego de saída das VMs, não o tráfego de entrada direcionado.
Escolher a alternativa A, por exemplo, levaria o tráfego a ser distribuído entre instâncias, não garantindo o acesso individual a uma VM específica.
Gabarito — Questão 2
Resposta: B
Mesmo com a inbound NAT rule corretamente provisionada e o serviço respondendo localmente, o NSG (Network Security Group) atua como uma camada de controle independente do Load Balancer. O tráfego traduzido pela NAT rule chega à NIC da VM na porta de backend (80), e o NSG avalia esse tráfego antes de entregá-lo à aplicação. Se não houver uma regra de entrada permitindo TCP/80 no NSG da NIC ou da subnet, o pacote será descartado silenciosamente.
A alternativa A representa um equívoco comum: load balancing rules e NAT rules podem coexistir em diferentes portas sem conflito. A alternativa C é irrelevante porque NAT rules individuais são associadas a uma NIC específica, não ao pool. A alternativa D confunde a função do health probe, que serve para determinar a saúde do backend e não interfere no fluxo de NAT diretamente.
Gabarito — Questão 3
Resposta: B
A distinção central é o modelo de associação. Regras individuais exigem que o administrador mapeie explicitamente cada porta frontend a uma NIC específica. NAT rule pools automatizam esse processo para backends dinâmicos: o Load Balancer atribui uma faixa de portas frontend e mapeia cada instância do pool para uma porta dentro dessa faixa, sem intervenção manual por instância.
A alternativa A inverte a lógica: é o modelo de pool que padroniza a porta de destino (backend port), enquanto varia as portas frontend. A alternativa C é falsa porque ambos os modelos estão disponíveis no Load Balancer Standard; NAT rule pools não existem no Basic, mas regras individuais funcionam em ambos os SKUs. A alternativa D não reflete nenhum requisito real de floating IP para NAT rule pools.
Gabarito — Questão 4
Resposta: B
Em um inbound NAT rule pool, a atribuição de portas frontend às instâncias do VMSS é feita dinamicamente com base na ordem e disponibilidade das instâncias no backend pool. Quando uma instância é removida do pool por falha no health probe (ou por outros motivos como reimplantação), a porta correspondente deixa de estar mapeada. O fato de a instância 1 responder na porta 50001 confirma que o pool e o mapeamento geral estão funcionando, isolando o problema à instância 0 especificamente.
A alternativa A é falsa: NAT rule pools suportam TCP genérico, incluindo SSH. A alternativa C é incorreta pois 50000 está dentro de faixas válidas para portas frontend. A alternativa D contradiz diretamente o caso de uso principal de NAT rule pools, que foram projetados exatamente para simplificar o acesso individual a instâncias de scale sets.
Gabarito — Questão 5
Resposta: Verdadeiro
Quando Floating IP está habilitado, o Load Balancer não realiza a tradução do IP de destino antes de entregar o pacote à VM. O pacote chega à NIC com o IP de destino ainda sendo o IP do frontend do Load Balancer. Por isso, a aplicação ou o sistema operacional precisa ter esse IP configurado como um IP adicional na interface de loopback ou na própria NIC para que o stack de rede aceite e processe o pacote.
Esse comportamento é diferente do modo padrão (Floating IP desabilitado), onde o Load Balancer substitui o IP de destino pelo IP privado da VM antes da entrega, e a aplicação não precisa de nenhuma configuração adicional de IP. O Floating IP é necessário em cenários como clusters de alta disponibilidade (por exemplo, SQL Server Always On) onde o IP virtual do cluster precisa ser reconhecido diretamente pela VM ativa.