Laboratório Técnico: Design a site-to-site VPN connection, including for high availability

Questões

Questão 1 — Múltipla Escolha

Uma organização precisa conectar sua sede local ao Azure por meio de uma VPN site-to-site. O time de redes identificou que o dispositivo VPN on-premises suporta BGP e que o volume de rotas trocadas será elevado. Ao configurar o Azure VPN Gateway, qual combinação de parâmetros é obrigatória para habilitar o roteamento dinâmico via BGP?

A) SKU Basic e atribuição de um ASN privado ao gateway, com IP público estático.

B) Qualquer SKU diferente de Basic, atribuição de um ASN ao gateway e habilitação explícita do BGP na conexão.

C) SKU VpnGw1 ou superior, uso obrigatório de roteamento estático e desabilitação do BGP na Local Network Gateway.

D) SKU Standard, uso de roteamento estático nas rotas locais e habilitação do BGP apenas no dispositivo on-premises.

Questão 2 — Cenário Técnico

Um arquiteto configurou uma VPN site-to-site com Active-Active no Azure VPN Gateway e dois túneis IPsec para o dispositivo on-premises. Após a implantação, ele observa que, quando um dos túneis falha, o tráfego continua fluindo sem interrupção, mas percebe que apenas um dos endereços IP públicos do gateway está sendo usado pelos dois túneis.

Examine a configuração abaixo:

Azure VPN Gateway:
  Mode: Active-Active
  Public IP 1: 52.10.1.1
  Public IP 2: 52.10.1.2

On-premises VPN device:
  Tunnel 1: peer 52.10.1.1
  Tunnel 2: peer 52.10.1.1

Qual é o problema desta configuração?

A) O modo Active-Active exige que os dois túneis usem o mesmo IP público do gateway para balanceamento interno.

B) Os dois túneis estão apontando para o mesmo IP público do gateway, o que elimina a redundância real entre as instâncias do gateway.

C) O dispositivo on-premises deveria usar um único túnel no modo Active-Active, pois o segundo túnel é gerenciado automaticamente pelo Azure.

D) O IP público secundário só é utilizado em gateways com SKU VpnGw5 ou superior, portanto a configuração está correta para SKUs inferiores.

Questão 3 — Verdadeiro ou Falso

Um Azure VPN Gateway configurado no modo Active-Standby garante continuidade de conectividade durante atualizações planejadas do gateway sem nenhuma interrupção perceptível de tráfego, pois o failover para a instância standby ocorre de forma completamente transparente e instantânea.

Questão 4 — Cenário Técnico

Uma equipe de infraestrutura precisa conectar três filiais on-premises ao Azure, cada uma com seu próprio dispositivo VPN. O requisito é que as filiais possam se comunicar entre si por meio do Azure, sem a necessidade de links diretos entre elas. O arquiteto propõe usar um Azure VPN Gateway em uma VNet hub com conexões site-to-site individuais para cada filial.

Qual configuração é necessária para que o tráfego entre as filiais flua pelo Azure VPN Gateway?

A) Habilitar o BGP no gateway e nas conexões, e configurar as filiais para anunciar suas rotas via BGP ao gateway.

B) Habilitar o recurso de Transit routing diretamente na propriedade da VNet hub, sem necessidade de BGP.

C) Criar uma rota estática na tabela de rotas de cada filial apontando para as outras filiais via IP público do gateway.

D) Configurar as três conexões como Active-Active e habilitar o VNet Peering entre as VNets das filiais.

Questão 5 — Múltipla Escolha

Ao projetar uma solução de alta disponibilidade para VPN site-to-site, um arquiteto considera combinar um Azure VPN Gateway em modo Active-Active com um segundo dispositivo VPN on-premises. Qual é o principal benefício desta topologia em relação ao uso de Active-Active com apenas um dispositivo on-premises?

A) Elimina completamente o downtime durante atualizações de firmware do Azure VPN Gateway.

B) Permite usar o SKU Basic do gateway, reduzindo custos sem perda de redundância.

C) Remove o dispositivo on-premises como ponto único de falha, garantindo redundância em ambos os lados da conexão.

D) Habilita automaticamente o roteamento entre VNets sem necessidade de configuração adicional de BGP.

Gabarito e Explicações

Gabarito — Questão 1

Resposta: B

O SKU Basic do Azure VPN Gateway não suporta BGP, portanto qualquer SKU que habilite BGP deve ser diferente de Basic (ex.: VpnGw1, VpnGw2 etc.). Além disso, é necessário atribuir um ASN (Autonomous System Number) ao gateway e habilitar o BGP explicitamente tanto no gateway quanto na conexão com a Local Network Gateway. Sem essa habilitação explícita na conexão, o BGP não é ativado mesmo que o gateway suporte o recurso.

A alternativa A erra ao citar o SKU Basic. A alternativa C contradiz o objetivo do BGP ao exigir roteamento estático. A alternativa D comete o mesmo equívoco de C e ignora que o BGP precisa ser configurado no lado do Azure também, não apenas no dispositivo on-premises.

Gabarito — Questão 2

Resposta: B

No modo Active-Active, o Azure VPN Gateway provisiona duas instâncias ativas, cada uma com seu próprio IP público. Para que a redundância seja real, o dispositivo on-premises deve estabelecer um túnel IPsec com cada um dos IPs públicos separadamente. Na configuração apresentada, os dois túneis apontam para 52.10.1.1, o que significa que toda a conectividade depende da instância associada a esse IP. Se essa instância falhar, ambos os túneis caem simultaneamente.

A alternativa A inverte a lógica do Active-Active. A alternativa C descreve um comportamento inexistente; o segundo túnel não é gerenciado automaticamente pelo Azure. A alternativa D é falsa; o uso de dois IPs públicos independe do SKU específico.

Gabarito — Questão 3

Resposta: Falso

No modo Active-Standby, durante atualizações planejadas do gateway, o failover para a instância standby não é instantâneo nem transparente. A Microsoft documenta que conexões baseadas em IKEv2 podem ter interrupção de aproximadamente 10 segundos e conexões IKEv1 podem sofrer interrupções de até 90 segundos. O failover ocorre e a conectividade é restaurada, mas há uma janela de indisponibilidade observável. Isso é relevante para aplicações que não toleram qualquer interrupção, caso em que o modo Active-Active é a escolha adequada.

Gabarito — Questão 4

Resposta: A

O Azure VPN Gateway, por padrão, não age como roteador de trânsito entre conexões site-to-site. Para que o tráfego de uma filial chegue a outra passando pelo gateway, é necessário habilitar o BGP no gateway e em cada conexão, e configurar cada dispositivo on-premises para anunciar suas rotas locais via BGP. Com isso, o gateway aprende as rotas de todas as filiais e pode encaminhar o tráfego corretamente entre elas.

A alternativa B descreve um recurso inexistente; não existe uma propriedade chamada "Transit routing" configurável diretamente na VNet. A alternativa C é inviável operacionalmente e não resolve o roteamento no plano do Azure. A alternativa D confunde Active-Active, que é um mecanismo de alta disponibilidade, com roteamento entre conexões, que são conceitos independentes.

Gabarito — Questão 5

Resposta: C

Em uma topologia com Active-Active e apenas um dispositivo on-premises, o gateway Azure tem alta disponibilidade, mas o dispositivo local permanece como ponto único de falha. Ao adicionar um segundo dispositivo on-premises, cada um estabelece túneis com ambos os IPs públicos do gateway, resultando em quatro túneis no total. Isso garante redundância end-to-end: uma falha em qualquer componente isolado (instância do gateway ou dispositivo on-premises) não interrompe a conectividade.

A alternativa A é incorreta; atualizações do gateway ainda podem causar breves interrupções independente da topologia on-premises. A alternativa B é falsa; o SKU Basic não suporta Active-Active. A alternativa D atribui ao Active-Active um benefício de roteamento entre VNets que não é intrínseco a esse modo.

Questões​

Questão 1 — Múltipla Escolha​

Questão 2 — Cenário Técnico​

Questão 3 — Verdadeiro ou Falso​

Questão 4 — Cenário Técnico​

Questão 5 — Múltipla Escolha​

Gabarito e Explicações​

Gabarito — Questão 1​

Gabarito — Questão 2​

Gabarito — Questão 3​

Gabarito — Questão 4​

Gabarito — Questão 5​