Pular para o conteúdo principal

Laboratório Técnico: Design and implement ExpressRoute to meet requirements, including cross-region connectivity, redundancy, and disaster recovery

Questões

Questão 1 — Múltipla Escolha

Uma empresa possui duas regiões do Azure: East US e West Europe. Ela dispõe de um único circuito ExpressRoute conectado ao East US. A equipe de rede precisa que as redes virtuais em West Europe também alcancem o ambiente on-premises via esse mesmo circuito, sem provisionar um segundo circuito.

Qual recurso do ExpressRoute permite essa conectividade entre regiões utilizando um único circuito?

A) ExpressRoute Global Reach
B) ExpressRoute Premium add-on
C) VNet Peering entre as regiões combinado com o gateway existente
D) ExpressRoute FastPath habilitado no gateway de West Europe

Questão 2 — Cenário Técnico

Um arquiteto está desenhando a solução de recuperação de desastres para uma conexão ExpressRoute crítica. O requisito é: tolerância total à falha de um único provedor de conectividade, mantendo o tráfego on-premises para o Azure sem interrupção.

Qual topologia atende ao requisito?

A) Um circuito ExpressRoute com dois links físicos redundantes no mesmo provedor de conectividade, com ambos os gateways em modo ativo-ativo
B) Dois circuitos ExpressRoute em provedores de conectividade distintos, cada um com seu próprio gateway ExpressRoute em VNets separadas
C) Dois circuitos ExpressRoute em provedores de conectividade distintos, conectados ao mesmo gateway ExpressRoute configurado em modo ativo-ativo
D) Um circuito ExpressRoute primário com uma conexão VPN Site-to-Site como caminho de backup, usando o mesmo gateway

Questão 3 — Verdadeiro ou Falso

O ExpressRoute Global Reach permite que duas redes on-premises distintas, cada uma conectada ao Azure por seu próprio circuito ExpressRoute, troquem tráfego diretamente entre si por meio da backbone da Microsoft, sem que esse tráfego precise atravessar nenhuma rede virtual do Azure.

Verdadeiro ou Falso?

Questão 4 — Cenário Técnico

Uma organização configurou o seguinte ambiente:

Circuito A: São Paulo -> ExpressRoute Provider X -> Azure Brazil South
Circuito B: São Paulo -> ExpressRoute Provider Y -> Azure Brazil South

Gateway ExpressRoute: SKU HighPerformance, modo ativo-ativo
Ambos os circuitos conectados ao mesmo gateway
BGP: AS Path prepending não configurado

Após alguns dias, a equipe percebe que todo o tráfego de saída do Azure para on-premises flui exclusivamente pelo Circuito A, ignorando o Circuito B.

Qual é a causa mais provável desse comportamento?

A) O modo ativo-ativo no gateway só se aplica ao tráfego de entrada no Azure, não ao de saída
B) O gateway HighPerformance não suporta balanceamento entre dois circuitos distintos
C) O BGP está preferindo o Circuito A por atributos como AS Path ou LOCAL_PREF anunciados pelo Provider X, resultando em rota preferencial assimétrica
D) O ExpressRoute não realiza balanceamento de carga entre dois circuitos em regiões do Azure fora dos EUA e Europa

Questão 5 — Múltipla Escolha

Ao projetar a redundância de um circuito ExpressRoute, qual é a diferença fundamental entre configurar dois circuitos ExpressRoute e configurar um único circuito com redundância no nível do provedor (dual links)?

DimensãoDois circuitosÚnico circuito, dual links
Escopo da proteção??
Custo relativoMaiorMenor
Proteção contra falha do provedor??

A) Dois circuitos protegem contra falha lógica de configuração; dual links protegem contra falha física do cabo
B) Dois circuitos oferecem proteção contra falha do próprio provedor de conectividade; dual links protegem apenas contra falha de um único link físico dentro do mesmo provedor
C) Ambas as topologias oferecem o mesmo nível de proteção, diferindo apenas no custo de implementação
D) Dual links oferecem maior proteção porque utilizam caminhos físicos independentes gerenciados pela Microsoft, enquanto dois circuitos dependem de acordos de SLA distintos

Gabarito e Explicações

Gabarito — Questão 1

Resposta: B

O ExpressRoute Premium add-on expande o alcance geográfico de um circuito ExpressRoute para além da região geopolítica de origem, permitindo que VNets em regiões remotas, como West Europe, sejam associadas a um circuito provisionado em outra região, como East US.

O erro conceitual central dos distratores:

  • A (Global Reach) conecta redes on-premises entre si, não estende o alcance de VNets para um circuito remoto.
  • C (VNet Peering) permite que o tráfego de West Europe use a rota, mas sem o Premium add-on o circuito não aceita a associação cross-region da VNet.
  • D (FastPath) otimiza a latência no caminho de dados, ignorando o gateway para determinados fluxos, mas não resolve o problema de escopo geográfico do circuito.

Escolher a alternativa A seria um equívoco especialmente perigoso em produção: Global Reach resolveria um problema diferente e não estabeleceria a conectividade desejada das VNets.

Gabarito — Questão 2

Resposta: C

O requisito central é tolerância à falha de um único provedor. Isso exige circuitos em provedores distintos. Conectá-los ao mesmo gateway em modo ativo-ativo garante que o gateway Azure continue operacional independentemente de qual circuito está ativo.

Análise dos distratores:

  • A usa dois links no mesmo provedor: uma falha sistêmica do provedor derruba ambos simultaneamente, violando o requisito.
  • B coloca os gateways em VNets separadas, o que fragmenta a conectividade e adiciona complexidade desnecessária sem benefício para o requisito declarado.
  • D é uma alternativa válida de DR, mas VPN Site-to-Site tem largura de banda e latência significativamente inferiores ao ExpressRoute, o que pode ser inadequado para cargas críticas. Além disso, "backup" implica failover, não tolerância contínua.

Gabarito — Questão 3

Resposta: Verdadeiro

O ExpressRoute Global Reach cria um caminho de roteamento diretamente entre dois circuitos ExpressRoute distintos, atravessando exclusivamente a backbone global da Microsoft. O tráfego entre os ambientes on-premises não precisa ser roteado por nenhuma VNet do Azure nem processado por nenhum gateway virtual.

Esse comportamento é não intuitivo porque a maioria dos cenários de conectividade híbrida passa obrigatoriamente por VNets. O Global Reach é a exceção explícita a essa regra, e entender esse limite é essencial para projetar topologias de interconexão entre filiais via Azure sem sobrecarregar gateways.

Gabarito — Questão 4

Resposta: C

O comportamento descrito é roteamento assimétrico causado por preferência BGP. Quando dois circuitos anunciam os mesmos prefixos ao Azure, o BGP do gateway seleciona a rota preferencial com base em atributos como LOCAL_PREF (influencia tráfego de saída do Azure) e AS Path length. Se o Provider X anuncia uma rota com LOCAL_PREF mais alto ou AS Path mais curto, o Azure sempre preferirá o Circuito A para tráfego de saída.

Análise dos distratores:

  • A é falso: o modo ativo-ativo distribui conexões de gateway, mas o BGP ainda determina qual circuito é preferido para cada prefixo anunciado.
  • B é falso: o SKU HighPerformance suporta múltiplos circuitos normalmente.
  • D é falso: o comportamento do BGP é global e não depende da região geográfica do Azure.

A solução seria ajustar atributos BGP, como AS Path prepending no Circuito A ou configurar LOCAL_PREF equivalente em ambos, para forçar distribuição simétrica.

Gabarito — Questão 5

Resposta: B

A diferença fundamental está no escopo da proteção:

  • Dois circuitos em provedores distintos protegem contra falha total do provedor de conectividade, incluindo falhas sistêmicas, falências, manutenções programadas prolongadas ou incidentes na infraestrutura do provedor.
  • Único circuito com dual links protege apenas contra a falha de um único cabo ou porta dentro da infraestrutura do mesmo provedor. Uma falha sistêmica do provedor afeta ambos os links simultaneamente.

Análise dos distratores:

  • A inverte a lógica: a proteção contra falha física de cabo é justamente o papel dos dual links, não dos dois circuitos.
  • C é tecnicamente incorreto e perigoso: equiparar as duas topologias em termos de proteção levaria ao subdimensionamento do plano de DR.
  • D é falso: os dual links são gerenciados pelo provedor, não pela Microsoft, e SLAs distintos são justamente uma vantagem dos dois circuitos, não uma desvantagem.