Laboratório Técnico: Choose between Azure private peering only, Microsoft peering only, or both
Questões
Questão 1 — Múltipla Escolha
Uma empresa de serviços financeiros possui workloads críticos em máquinas virtuais dentro de uma VNet no Azure. O time de redes precisa conectar o datacenter on-premises ao Azure via ExpressRoute, garantindo que o tráfego destinado às VMs nunca passe pela internet pública.
Qual tipo de peering deve ser configurado para atender exclusivamente a esse requisito?
A) Microsoft peering, pois ele fornece conectividade privada com serviços PaaS do Azure
B) Azure private peering, pois ele estende o espaço de endereçamento da rede on-premises até as VNets do Azure
C) Ambos os peerings são necessários, pois o private peering sozinho não suporta tráfego de VMs
D) Microsoft peering com rota padrão anunciada, pois isso garante que o tráfego de VMs não use a internet
Questão 2 — Cenário Técnico
Uma organização configurou um circuito ExpressRoute com Azure private peering para acessar suas VMs no Azure. Após algumas semanas, o time de segurança solicita que os acessos ao Microsoft 365 e ao Azure Storage (endpoint público) também passem pelo circuito ExpressRoute, sem uso da internet.
O engenheiro de rede propõe simplesmente adicionar rotas estáticas na VNet apontando para o gateway ExpressRoute. Essa abordagem resolve o problema?
A) Sim, pois rotas estáticas no gateway ExpressRoute redirecionam qualquer tráfego, incluindo o de serviços públicos da Microsoft
B) Não, pois o private peering não anuncia os prefixos de endereços IP públicos dos serviços Microsoft; é necessário habilitar o Microsoft peering
C) Sim, desde que o BGP esteja configurado para aceitar rotas com next-hop apontando para os endpoints públicos
D) Não, pois o acesso ao Microsoft 365 via ExpressRoute exige um circuito dedicado separado, independente do tipo de peering
Questão 3 — Verdadeiro ou Falso
Um circuito ExpressRoute com apenas Microsoft peering configurado é suficiente para garantir conectividade privada entre o ambiente on-premises e máquinas virtuais hospedadas em uma VNet do Azure, sem necessidade de Azure private peering.
Questão 4 — Cenário Técnico
Uma empresa de saúde utiliza um circuito ExpressRoute e precisa atender simultaneamente a dois requisitos:
- Comunicação privada entre o datacenter on-premises e aplicações em VMs dentro de uma VNet do Azure
- Acesso ao Azure SQL Database via endpoint público e ao Exchange Online pelo circuito, sem passar pela internet
O engenheiro responsável avalia as opções abaixo. Qual configuração atende corretamente ambos os requisitos?
Opção 1: Private peering apenas
Opção 2: Microsoft peering apenas
Opção 3: Private peering + Microsoft peering
Opção 4: Microsoft peering + VNet Gateway com rota padrão
A) Opção 1, pois o private peering pode ser estendido para cobrir serviços PaaS com o uso de Private Endpoints
B) Opção 2, pois o Microsoft peering engloba tanto serviços públicos quanto acesso a VNets
C) Opção 3, pois cada peering cobre um domínio de roteamento distinto e nenhum substitui o outro
D) Opção 4, pois a rota padrão anunciada via Microsoft peering pode forçar o tráfego de VM pelo circuito
Questão 5 — Múltipla Escolha
Ao comparar Azure private peering e Microsoft peering em um circuito ExpressRoute, qual das afirmações abaixo descreve corretamente uma diferença fundamental entre os dois?
A) O private peering utiliza endereços IP públicos roteáveis para estabelecer a sessão BGP, enquanto o Microsoft peering utiliza endereços IP privados da VNet
B) O Microsoft peering requer que o cliente possua ou alugue um bloco de endereços IP públicos validados para configurar a sessão BGP, enquanto o private peering utiliza endereços IP privados
C) Apenas o Microsoft peering suporta o protocolo BGP; o private peering utiliza roteamento estático por padrão
D) O private peering e o Microsoft peering compartilham a mesma tabela de roteamento BGP, diferindo apenas nos prefixos anunciados
Gabarito e Explicações
Gabarito — Questão 1
Resposta: B
O Azure private peering é o domínio de roteamento projetado especificamente para conectar o ambiente on-premises às VNets do Azure, estendendo o espaço de endereçamento privado até as redes virtuais. O tráfego destinado a VMs utiliza endereços IP privados e nunca transita pela internet pública quando roteado por esse peering.
O principal equívoco representado pelos distratores é confundir os domínios de roteamento: o Microsoft peering não oferece acesso a recursos dentro de VNets, ele é direcionado a serviços com endpoints públicos. Escolher o Microsoft peering para acessar VMs resultaria em falha de conectividade, pois os prefixos das VNets não são anunciados por esse domínio.
Gabarito — Questão 2
Resposta: B
O Azure private peering opera exclusivamente com prefixos de endereços IP privados das VNets. Os serviços como Microsoft 365 e Azure Storage (endpoint público) possuem endereços IP públicos e seus prefixos são anunciados apenas pelo Microsoft peering. Adicionar rotas estáticas na VNet não resolve o problema porque o próprio circuito, no domínio do private peering, não anuncia nem aceita esses prefixos públicos.
O erro conceitual das alternativas A e C é supor que o plano de dados pode ser manipulado por configurações locais de roteamento para contornar a separação estrutural entre os domínios de peering. A alternativa D representa um equívoco sobre a arquitetura do ExpressRoute: ambos os peerings podem coexistir no mesmo circuito.
Gabarito — Questão 3
Resposta: Falso
O Microsoft peering fornece conectividade apenas com serviços Microsoft que possuem endpoints públicos, como Microsoft 365, Azure Storage e outros serviços PaaS via IPs públicos. Ele não anuncia nem roteia tráfego destinado a endereços IP privados de VNets.
Para acessar VMs em uma VNet, é obrigatório o Azure private peering. Essa é uma separação arquitetural deliberada: os dois peerings operam em tabelas de roteamento BGP completamente distintas. Confundir os escopos dos dois domínios é um dos erros mais comuns ao dimensionar um circuito ExpressRoute.
Gabarito — Questão 4
Resposta: C
Os dois requisitos pertencem a domínios de roteamento distintos e mutuamente exclusivos no ExpressRoute. O Azure private peering é o único caminho para tráfego entre on-premises e VMs em VNets. O Microsoft peering é o único caminho para serviços como Azure SQL Database via endpoint público e Exchange Online.
A alternativa A representa um equívoco sutil: Private Endpoints de fato permitem acessar serviços PaaS com IPs privados dentro da VNet, mas isso pressupõe que a VNet já está acessível via private peering, e o tráfego ainda sai do on-premises por esse domínio. Não elimina a necessidade do Microsoft peering para serviços sem Private Endpoint, como o Exchange Online. A alternativa B é incorreta porque o Microsoft peering não tem visibilidade sobre VNets.
Gabarito — Questão 5
Resposta: B
Uma diferença operacional crítica entre os dois peerings está nos requisitos de endereçamento para a sessão BGP. O Microsoft peering exige que o cliente utilize endereços IP públicos registrados (próprios ou providos pelo provedor de conectividade) para estabelecer a sessão BGP e para anunciar prefixos. Isso é necessário porque o Microsoft peering opera no espaço de roteamento público da internet.
O Azure private peering, por sua vez, utiliza endereços IP privados para a sessão BGP, refletindo seu escopo de operação dentro do espaço de endereçamento privado das VNets.
A alternativa A inverte a relação corretamente. A alternativa C é falsa: ambos os peerings utilizam BGP. A alternativa D é incorreta porque cada peering mantém sua própria tabela de roteamento BGP isolada, o que é justamente o mecanismo que garante a separação dos domínios.