Laboratório Técnico: Implement Azure Extended Network
Questões
Questão 1 — Múltipla Escolha
Uma equipe de infraestrutura precisa migrar gradualmente servidores on-premises para o Azure sem alterar os endereços IP das máquinas virtuais que serão movidas. O ambiente on-premises utiliza a faixa 192.168.10.0/24 e as aplicações dependem de comunicação direta por IP entre servidores que permanecerão on-premises e os que serão migrados.
Qual é a principal função do Azure Extended Network nesse cenário?
A) Criar uma VPN site-to-site para roteamento entre sub-redes distintas no Azure e on-premises, permitindo NAT automático dos endereços IP.
B) Estender a sub-rede on-premises para o Azure, permitindo que VMs no Azure operem com endereços IP da mesma faixa da sub-rede local sem alterar suas configurações de IP.
C) Replicar a tabela de rotas do switch on-premises para o Azure Route Server, sincronizando prefixos BGP entre os dois ambientes.
D) Provisionar um gateway de aplicação no Azure que intercepta o tráfego e substitui os IPs de origem antes de encaminhar os pacotes às VMs migradas.
Questão 2 — Cenário Técnico
Um engenheiro configurou o Azure Extended Network entre um datacenter on-premises e uma VNet no Azure. Após a configuração, as VMs no Azure com IPs estendidos conseguem se comunicar com servidores on-premises, mas o tráfego de retorno originado on-premises não chega corretamente às VMs no Azure.
A análise de logs indica que o roteamento no ambiente on-premises está enviando o tráfego destinado à sub-rede estendida diretamente para o gateway padrão local, sem encaminhá-lo pelo túnel.
Qual é a causa mais provável desse comportamento e como corrigi-lo?
A) O túnel VXLAN entre os appliances não foi estabelecido corretamente; a solução é reiniciar o serviço de extensão de rede nos dois lados.
B) A sub-rede estendida não foi adicionada ao peering da VNet; é necessário habilitar o trânsito de gateway no peering para que o tráfego seja roteado corretamente.
C) O roteamento on-premises não possui uma rota estática ou BGP apontando o prefixo da sub-rede estendida para o appliance do Azure Extended Network no lado local; a rota precisa ser adicionada ao equipamento de rede on-premises.
D) O Network Security Group (NSG) aplicado à sub-rede da VNet está bloqueando o tráfego de retorno; basta adicionar uma regra de entrada permitindo o prefixo on-premises.
Questão 3 — Verdadeiro ou Falso
O Azure Extended Network utiliza encapsulamento VXLAN para transportar o tráfego Layer 2 entre o ambiente on-premises e o Azure, e exige que ambos os lados da extensão executem um appliance de VM dedicado que atua como endpoint do túnel.
Verdadeiro ou Falso?
Questão 4 — Cenário Técnico
Uma organização implantou o Azure Extended Network com sucesso. O arquiteto responsável agora precisa garantir alta disponibilidade para o appliance do Azure Extended Network no lado do Azure, pois uma falha nessa VM interromperia toda a comunicação da sub-rede estendida.
Considerando as limitações e o modelo de implantação do Azure Extended Network, qual abordagem é tecnicamente correta para aumentar a resiliência do appliance no Azure?
A) Implantar dois appliances do Azure Extended Network no Azure em um conjunto de disponibilidade e configurar um Azure Load Balancer interno na frente deles para distribuir o tráfego VXLAN.
B) Habilitar o Azure Site Recovery na VM do appliance para garantir failover automático para outra região em caso de falha.
C) Implantar um segundo appliance do Azure Extended Network no Azure e configurar o appliance on-premises para apontar para ambos os endpoints, utilizando o mecanismo de failover suportado pela solução.
D) Converter o appliance para um Virtual Machine Scale Set com autoescalonamento baseado em métricas de CPU para garantir disponibilidade contínua.
Questão 5 — Múltipla Escolha
Ao planejar a implantação do Azure Extended Network, um arquiteto precisa escolher o mecanismo de conectividade entre o ambiente on-premises e o Azure. A documentação da solução especifica requisitos de conectividade subjacente.
Qual das opções abaixo representa corretamente o pré-requisito de conectividade exigido pelo Azure Extended Network?
A) Requer exclusivamente o Azure ExpressRoute com peering privado ativado, pois o tráfego VXLAN não pode trafegar sobre conexões criptografadas por IPsec.
B) Requer conectividade entre o ambiente on-premises e o Azure por meio de VPN site-to-site ou ExpressRoute, com os appliances se comunicando sobre essa conectividade já estabelecida.
C) Requer uma conexão de peering de rede direta (Direct Peering) entre o roteador on-premises e o Microsoft Edge, sem a necessidade de gateway de VPN.
D) Pode operar diretamente sobre a internet pública sem nenhuma conectividade dedicada prévia, pois o encapsulamento VXLAN provê isolamento e segurança suficientes.
Gabarito e Explicações
Gabarito — Questão 1
Resposta: B
O Azure Extended Network foi projetado exatamente para o cenário de migração lift-and-shift onde a preservação do endereço IP é um requisito. A solução estende a sub-rede Layer 2 do ambiente on-premises para dentro de uma VNet no Azure, fazendo com que as VMs no Azure se comportem como se estivessem conectadas diretamente ao mesmo segmento de rede local, sem necessidade de reconfiguração de IP.
As alternativas A e C descrevem soluções de roteamento Layer 3 (VPN e BGP), que exigiriam mudança de endereçamento ou NAT. A alternativa D descreve um Application Gateway, que opera em Layer 7 e não resolve o problema de identidade de IP das VMs.
O erro conceitual central dos distratores é confundir extensão Layer 2 com roteamento Layer 3: são abordagens com propósitos e consequências distintas.
Gabarito — Questão 2
Resposta: C
O problema descrito é clássico de roteamento assimétrico. O tráfego originado nas VMs do Azure alcança on-premises corretamente pelo túnel, mas o retorno falha porque o equipamento de rede on-premises desconhece que o prefixo da sub-rede estendida agora tem um caminho pelo appliance local do Azure Extended Network. Sem uma rota estática (ou anúncio BGP) apontando aquele prefixo para o appliance, o tráfego de retorno segue o gateway padrão local e nunca entra no túnel.
A alternativa A é plausível mas incorreta: o túnel já funciona em uma direção, o que descarta falha no estabelecimento do VXLAN. A alternativa B confunde o peering de VNet com o problema de roteamento on-premises. A alternativa D poderia ser uma causa secundária, mas um NSG bloquearia o tráfego de chegada na VM, não o roteamento on-premises, e o sintoma descrito é anterior ao Azure.
Gabarito — Questão 3
Resposta: Verdadeiro
O Azure Extended Network utiliza VXLAN como mecanismo de encapsulamento para transportar frames Layer 2 sobre a infraestrutura Layer 3 existente entre on-premises e Azure. A solução exige a implantação de uma VM appliance em cada lado da extensão: uma no ambiente on-premises (Windows Server com o papel de Extended Network habilitado via Windows Admin Center) e uma no Azure. Cada appliance atua como Virtual Tunnel Endpoint (VTEP) do túnel VXLAN.
Esse detalhe é relevante para o planejamento de capacidade e alta disponibilidade, pois a falha do appliance em qualquer lado interrompe toda a comunicação Layer 2 estendida, tornando a resiliência dessas VMs um ponto crítico de design.
Gabarito — Questão 4
Resposta: C
O Azure Extended Network suporta a implantação de um segundo appliance no Azure como mecanismo de failover. O appliance on-premises pode ser configurado com dois endpoints de destino: o primário e o secundário. Em caso de falha do appliance primário no Azure, o tráfego é redirecionado para o secundário.
A alternativa A é incorreta porque o protocolo VXLAN utilizado pelo Azure Extended Network não foi projetado para operar atrás de um Load Balancer padrão: o balanceamento de conexões stateful com VXLAN apresenta problemas de simetria de fluxo. A alternativa B trata de recuperação de desastre regional, não de alta disponibilidade local, e introduz latência e complexidade inadequadas para o cenário. A alternativa D é inadequada porque um Scale Set adiciona instâncias dinamicamente sem coordenação com o appliance on-premises, o que quebraria o modelo de túnel ponto a ponto da solução.
Gabarito — Questão 5
Resposta: B
O Azure Extended Network não estabelece conectividade por conta própria: ele depende de uma conectividade de rede subjacente já funcional entre on-premises e Azure, seja por VPN site-to-site seja por ExpressRoute. O túnel VXLAN da extensão é transportado sobre essa conectividade existente. Os appliances nos dois lados precisam se alcançar na camada IP para que o encapsulamento Layer 2 funcione.
A alternativa A está errada porque a solução também suporta VPN, não apenas ExpressRoute. A alternativa C descreve Direct Peering do Microsoft Azure Peering Service, que é um modelo de conectividade diferente e não é o requisito da solução. A alternativa D é a mais perigosa como distrator: embora o VXLAN encapsule o tráfego, a documentação da solução exige conectividade dedicada e não suporta operação direta sobre internet pública, tanto por questões de segurança quanto de latência e confiabilidade para tráfego Layer 2 estendido.