Laboratório Técnico: Create and configure a virtual network gateway
Questões
Questão 1 — Múltipla Escolha
Ao provisionar um Virtual Network Gateway para uma conexão ExpressRoute, um arquiteto percebe que o throughput agregado das conexões privadas está próximo do limite suportado pelo SKU atual. Ele decide fazer upgrade para um SKU superior.
Qual é a consequência direta e obrigatória desse processo de upgrade de SKU em um Virtual Network Gateway já existente?
A) O gateway é recriado internamente, causando interrupção de conectividade de alguns minutos a algumas dezenas de minutos, dependendo do SKU de destino.
B) O upgrade é aplicado em modo hot-swap, sem qualquer interrupção, pois os gateways utilizam instâncias redundantes por padrão.
C) O upgrade exige que todas as conexões associadas sejam deletadas e recriadas manualmente após a conclusão.
D) O processo é transparente apenas para gateways em modo Active-Active, mas causa recriação completa em modo Active-Passive.
Questão 2 — Cenário Técnico
Uma empresa configurou um VPN Gateway com SKU VpnGw1 no modo Active-Passive para conectar sua rede on-premises ao Azure via Site-to-Site (S2S). Durante uma janela de manutenção programada, o Azure realizou uma atualização no nó ativo do gateway. A equipe de rede registrou uma queda de conectividade de aproximadamente 90 segundos.
Após a manutenção, o gerente questiona se esse comportamento era esperado ou se indica uma falha de configuração.
Qual é a explicação correta para o ocorrido?
A) O comportamento indica falha de configuração. No modo Active-Passive, o failover deveria ser imperceptível, pois a instância passiva assume imediatamente sem renegociar túneis.
B) O comportamento é esperado. No modo Active-Passive, o failover envolve a promoção da instância passiva e a renegociação dos túneis IKE, o que causa uma breve interrupção.
C) O comportamento indica que o dispositivo VPN on-premises não suporta IKEv2. A migração para IKEv1 eliminaria a janela de indisponibilidade.
D) O comportamento é esperado apenas quando o gateway usa endereço IP dinâmico. A migração para IP estático eliminaria a interrupção em eventos de failover.
Questão 3 — Verdadeiro ou Falso
Um Virtual Network Gateway do tipo VPN e um do tipo ExpressRoute podem coexistir na mesma GatewaySubnet, desde que a sub-rede possua prefixo igual ou maior que /27 para acomodar os dois recursos simultaneamente.
Questão 4 — Cenário Técnico
Uma equipe está implementando conectividade Point-to-Site (P2S) com autenticação via certificado para permitir que desenvolvedores remotos acessem recursos em uma VNet. Após concluir a configuração, os desenvolvedores relatam que conseguem conectar o cliente VPN com sucesso, mas não conseguem resolver nomes DNS de máquinas virtuais dentro da VNet.
O trecho de configuração relevante do gateway é o seguinte:
Address pool: 172.16.10.0/24
Tunnel type: OpenVPN (SSL)
Auth type: Azure Certificate
DNS servers: (não configurado)
Custom routes: (não configurado)
Qual é a causa raiz do problema de resolução de nomes?
A) O tipo de túnel OpenVPN não suporta resolução de DNS interna da VNet; é necessário migrar para IKEv2.
B) Nenhum servidor DNS foi especificado na configuração P2S do gateway. Os clientes conectados via P2S não herdam automaticamente os servidores DNS da VNet.
C) A causa é o pool de endereços P2S (172.16.10.0/24) estar em sobreposição com o espaço de endereços da VNet, corrompendo as rotas de DNS.
D) Certificados de cliente não transmitem informações de DNS durante o handshake. É necessário migrar para autenticação via Microsoft Entra ID para que o DNS funcione corretamente.
Questão 5 — Múltipla Escolha
Ao projetar uma solução de conectividade híbrida de alta disponibilidade, um engenheiro precisa garantir que o VPN Gateway permaneça funcional mesmo durante uma falha de zona de disponibilidade na região do Azure. Ele avalia os SKUs disponíveis.
Qual combinação de SKU e configuração atende obrigatoriamente a esse requisito?
A) SKU VpnGw2 no modo Active-Active com dois endereços IP públicos do tipo Standard.
B) SKU VpnGw2AZ com endereços IP públicos do tipo Standard alocados em zonas diferentes, no modo Active-Active.
C) SKU VpnGw1 no modo Active-Passive com endereço IP público do tipo Standard e redundância configurada via Azure Traffic Manager.
D) Qualquer SKU VpnGw é resiliente a falhas de zona por padrão, pois o Azure distribui automaticamente as instâncias entre zonas disponíveis.
Gabarito e Explicações
Gabarito — Questão 1
Resposta: A
O processo de upgrade de SKU em um Virtual Network Gateway não é transparente. Internamente, o Azure recria o gateway com o novo SKU, o que provoca interrupção de conectividade. A duração varia tipicamente entre alguns minutos e cerca de 30 a 45 minutos, dependendo do SKU de origem e de destino.
O principal equívoco representado pelos distratores B e D é assumir que a redundância de instâncias do gateway (Active-Active ou Active-Passive) protege contra operações de reconfiguração estrutural do próprio recurso. Essa redundância protege contra falhas de runtime, não contra operações de ciclo de vida como upgrade de SKU. A alternativa C é incorreta porque as conexões existentes são preservadas após o upgrade; não é necessário recriá-las manualmente.
Planejar uma janela de manutenção com comunicação prévia é obrigatório para esse tipo de operação em ambientes produtivos.
Gabarito — Questão 2
Resposta: B
No modo Active-Passive, o gateway opera com dois nós: um ativo processando tráfego e um passivo em standby. Quando o nó ativo é interrompido por manutenção ou falha, o nó passivo precisa ser promovido e os túneis IKE (tanto IKEv1 quanto IKEv2) precisam ser renegociados com o dispositivo on-premises. Esse processo tipicamente leva entre 60 e 90 segundos, o que torna o comportamento relatado esperado e documentado.
As alternativas A, C e D representam equívocos frequentes. A alternativa A confunde o modo Active-Active (onde o failover é mais rápido pois ambos os nós já mantêm túneis ativos) com Active-Passive. As alternativas C e D introduzem causas técnicas sem relação com o mecanismo de failover de gateway. Se o requisito for minimizar essa janela, a solução correta é migrar para o modo Active-Active.
Gabarito — Questão 3
Resposta: Falso
Não é possível ter dois Virtual Network Gateways na mesma VNet apontando para a mesma GatewaySubnet quando são de tipos diferentes (VPN e ExpressRoute) compartilhando esse recurso de sub-rede de forma simultânea como instâncias separadas. Na realidade, o modelo suportado é a coexistência de conexões VPN e ExpressRoute em gateways distintos dentro da mesma VNet, cada um criado como recurso separado, mas ambos associados à GatewaySubnet. O tamanho mínimo recomendado da GatewaySubnet para suportar essa coexistência é /27, mas o erro da afirmação está em descrever como se dois gateways pudessem "coexistir na mesma GatewaySubnet" como se fosse uma questão apenas de tamanho de prefixo. Cada gateway é um recurso independente que requer implantação individual; a sub-rede os hospeda, mas o provisionamento é separado e a afirmação sugere incorretamente uma condição de capacidade como único requisito.
Gabarito — Questão 4
Resposta: B
Clientes conectados via Point-to-Site recebem um endereço IP do pool P2S configurado no gateway, mas não herdam automaticamente as configurações de DNS da VNet. O gateway precisa ter servidores DNS explicitamente definidos na configuração P2S para que esses endereços sejam distribuídos aos clientes via opções DHCP do túnel.
A alternativa A é incorreta porque o OpenVPN suporta plenamente resolução de DNS; o tipo de túnel não é o fator limitante. A alternativa C é incorreta porque o pool P2S (172.16.10.0/24) opera em espaço separado e não interfere diretamente na resolução de nomes a não ser que haja sobreposição de rotas com recursos DNS, o que não está descrito. A alternativa D é tecnicamente infundada: o método de autenticação não tem relação com a capacidade de distribuir configurações DNS.
A correção é simples: adicionar o endereço IP do servidor DNS interno da VNet (ou o DNS do Azure, 168.63.129.16) na seção de DNS da configuração P2S do gateway.
Gabarito — Questão 5
Resposta: B
Para garantir resiliência a falhas de zona de disponibilidade, é obrigatório usar SKUs com sufixo AZ (como VpnGw2AZ, VpnGw3AZ). Esses SKUs implantam as instâncias do gateway em zonas de disponibilidade fisicamente separadas. Além disso, os endereços IP públicos associados devem ser do tipo Standard e devem ser alocados em zonas distintas para que a resiliência seja efetiva fim a fim.
A alternativa A usa um SKU sem sufixo AZ, que não oferece proteção de zona mesmo em modo Active-Active. O modo Active-Active com SKU regular protege contra falha de instância dentro de uma única zona, não contra falha de zona inteira. A alternativa C é incorreta porque Traffic Manager opera na camada de DNS e não substitui resiliência de infraestrutura de gateway. A alternativa D é incorreta: a distribuição automática entre zonas não ocorre com SKUs regulares; ela é exclusiva dos SKUs com sufixo AZ.