Laboratório Técnico: Seleção de SKU de Gateway de Rede Virtual para VPN Point-to-Site
Questões
Questão 1 — Múltipla Escolha
Uma equipe de segurança exige que todos os clientes remotos se autentiquem via certificado do Microsoft Entra ID ao conectar por VPN Point-to-Site. O gateway precisa suportar até 500 conexões simultâneas e o protocolo OpenVPN.
Qual SKU atende a esses requisitos com o menor custo?
A) Basic
B) VpnGw1
C) VpnGw2
D) VpnGw1AZ
Questão 2 — Cenário Técnico
Um arquiteto está planejando uma solução de conectividade remota e precisa escolher entre os SKUs disponíveis para o gateway VPN. Ele levanta as seguintes premissas:
- Autenticação via certificado nativo do Azure (não Entra ID, não RADIUS)
- Máximo de 128 conexões P2S simultâneas
- Sem requisito de redundância de zona
- Menor custo operacional possível
Após revisar a documentação, ele considera o SKU Basic. Qual afirmação descreve corretamente uma limitação crítica do SKU Basic que pode forçar uma revisão dessa escolha?
A) O SKU Basic não suporta o protocolo IKEv2, impedindo clientes Windows nativos de se conectar via P2S
B) O SKU Basic não pode ser migrado para um SKU superior sem recriar o gateway
C) O SKU Basic limita o throughput agregado a 10 Mbps, inviabilizando qualquer carga de trabalho corporativa
D) O SKU Basic exige que a VNet utilize um prefixo de endereço /24 ou maior
Questão 3 — Verdadeiro ou Falso
Afirmação: Os SKUs da família VpnGw1 a VpnGw5 suportam os três tipos de autenticação P2S (certificado nativo do Azure, RADIUS e Microsoft Entra ID) de forma simultânea em um único gateway, sem necessidade de gateways separados.
Verdadeiro ou Falso?
Questão 4 — Cenário Técnico
Uma empresa financeira exige alta disponibilidade com redundância de zona de disponibilidade para sua VPN P2S. A equipe escolheu o SKU VpnGw2 e configurou o gateway com um IP público padrão de zona regional.
Após a implantação, a equipe percebe que o requisito de resiliência zonal não foi atendido. Qual é a causa raiz do problema?
A) O SKU VpnGw2 não suporta P2S com redundância zonal; apenas VpnGw4AZ e superiores suportam
B) O SKU com redundância zonal exige o sufixo AZ (ex.: VpnGw2AZ), e o IP público deve ser do tipo Zone-redundant
C) A redundância zonal em gateways VPN requer que o protocolo P2S seja exclusivamente OpenVPN
D) O IP público precisa ser do tipo Static em vez de Dynamic, independentemente do SKU escolhido
Questão 5 — Múltipla Escolha
Ao comparar os SKUs VpnGw1 e VpnGw1AZ para uma implantação P2S, qual diferença é tecnicamente precisa?
A) O VpnGw1AZ suporta mais conexões P2S simultâneas do que o VpnGw1
B) O VpnGw1AZ oferece redundância de zona de disponibilidade, enquanto o VpnGw1 é implantado em uma única zona
C) O VpnGw1AZ suporta autenticação via Microsoft Entra ID, enquanto o VpnGw1 suporta apenas certificados
D) O VpnGw1AZ exige o protocolo SSTP, enquanto o VpnGw1 é agnóstico de protocolo
Gabarito e Explicações
Gabarito — Questão 1
Resposta: B
O SKU VpnGw1 é o menor SKU da família Generation1 que suporta o protocolo OpenVPN e a autenticação via Microsoft Entra ID. Esses dois requisitos eliminam imediatamente o SKU Basic, que não suporta OpenVPN nem autenticação Entra ID nativamente. O VpnGw1 comporta até 650 conexões P2S simultâneas, cobrindo com folga o requisito de 500.
Os SKUs VpnGw2 e VpnGw1AZ também atendem aos requisitos funcionais, mas com custo superior sem justificativa técnica: VpnGw2 oferece maior throughput e mais conexões, e VpnGw1AZ adiciona redundância zonal, nenhum dos quais foi exigido no cenário.
O principal equívoco que os distratores exploram é assumir que mais conexões ou resiliência zonal são necessárias quando o enunciado não as exige.
Gabarito — Questão 2
Resposta: B
A limitação crítica do SKU Basic frequentemente ignorada é que ele não pode ser redimensionado (resize) para um SKU superior. Ao contrário dos SKUs VpnGw1 a VpnGw5, que permitem upgrade sem recriação, migrar do Basic exige excluir o gateway e reimplantá-lo, causando indisponibilidade e perda da configuração existente.
A alternativa A é falsa: o SKU Basic suporta IKEv2, portanto clientes Windows podem se conectar via P2S. A alternativa C distorce o valor real: o Basic oferece throughput agregado de até 100 Mbps, não 10 Mbps. A alternativa D é completamente fictícia; não há restrição de prefixo de VNet associada ao SKU do gateway.
Essa limitação de migração é especialmente relevante em ambientes que começam pequenos mas têm projeção de crescimento.
Gabarito — Questão 3
Resposta: Verdadeiro
Os SKUs da família VpnGw1 a VpnGw5 (e suas variantes AZ) permitem configurar os três métodos de autenticação P2S de forma simultânea no mesmo gateway: certificado nativo do Azure, RADIUS e Microsoft Entra ID. Isso significa que diferentes grupos de clientes podem usar métodos distintos sem necessidade de gateways separados.
Essa característica é relevante em cenários híbridos onde parte dos clientes usa dispositivos não compatíveis com Entra ID ou onde a integração RADIUS já existe. O SKU Basic, por contraste, não oferece essa flexibilidade de múltiplos métodos simultâneos, sendo mais uma razão para evitá-lo em ambientes corporativos complexos.
Gabarito — Questão 4
Resposta: B
A redundância de zona de disponibilidade em gateways VPN do Azure requer dois fatores simultâneos: o SKU deve pertencer à família AZ (ex.: VpnGw2AZ) e o IP público associado deve ser do tipo Zone-redundant (SKU Standard com configuração zonal redundante). Usar o SKU VpnGw2 sem o sufixo AZ implanta o gateway em uma única zona lógica, sem proteção contra falha zonal.
A alternativa A é falsa: a redundância zonal está disponível a partir do VpnGw1AZ, não apenas nos SKUs superiores. A alternativa C é falsa: o protocolo P2S não tem relação com a topologia de disponibilidade do gateway. A alternativa D confunde propriedades de IP público com SKU do gateway; o tipo Static/Dynamic é relevante para outros cenários, mas não é o fator determinante aqui.
Gabarito — Questão 5
Resposta: B
A única diferença técnica real entre VpnGw1 e VpnGw1AZ é a topologia de implantação: o VpnGw1AZ é distribuído entre zonas de disponibilidade, oferecendo resiliência contra falha de zona, enquanto o VpnGw1 reside em uma única zona lógica.
As alternativas A, C e D representam equívocos comuns. Ambos os SKUs suportam o mesmo número de conexões P2S simultâneas (650 na Generation1). Ambos suportam os mesmos métodos de autenticação, incluindo Microsoft Entra ID. E ambos são agnósticos de protocolo, suportando SSTP, IKEv2 e OpenVPN. A variante AZ não adiciona capacidade funcional, apenas resiliência arquitetural, o que é uma distinção importante ao justificar o custo adicional.