Laboratório Técnico: Associate public IP addresses to resources
Questões
Questão 1 — Múltipla Escolha
Uma equipe de operações precisa garantir que uma máquina virtual em Azure mantenha sempre o mesmo endereço IP público, mesmo após reinicializações ou realocações pela plataforma. O endereço será registrado em DNS externo e utilizado por parceiros para conexões de entrada.
Qual configuração de SKU e método de alocação atende a esse requisito de forma adequada?
A) SKU Basic com alocação Estática
B) SKU Standard com alocação Dinâmica
C) SKU Standard com alocação Estática
D) SKU Basic com alocação Dinâmica, pois o IP só muda quando o recurso é desalocado
Questão 2 — Cenário Técnico
Um engenheiro cria um Standard Load Balancer público e tenta associar a ele um endereço IP público de SKU Basic previamente existente na assinatura. A operação falha com erro de incompatibilidade.
Error: PublicIPAddressSkuMismatch
The public IP address SKU must match the load balancer SKU.
Qual é a causa raiz e a ação correta para resolver esse problema?
A) O endereço IP Basic precisa ser convertido para SKU Standard diretamente pelo portal do Azure
B) O Standard Load Balancer exige IPs públicos de SKU Standard; o IP Basic deve ser substituído por um novo de SKU Standard
C) O erro ocorre porque o IP está associado a outra NIC; basta desassociá-lo antes de vincular ao Load Balancer
D) Basta alterar o método de alocação do IP Basic de Dinâmico para Estático para compatibilizá-lo com o Standard Load Balancer
Questão 3 — Verdadeiro ou Falso
Um endereço IP público de SKU Standard com alocação Estática, quando desassociado de todos os recursos e mantido como recurso autônomo na assinatura, continua gerando cobrança.
Questão 4 — Cenário Técnico
Uma arquiteta está projetando uma solução com um Azure Firewall em uma VNet de hub. Ela precisa associar múltiplos endereços IP públicos ao firewall para suportar diferentes intervalos de SNAT para workloads distintas. Ao tentar configurar, percebe que o portal solicita um recurso específico além dos IPs públicos individuais.
Qual recurso deve ser criado e associado ao Azure Firewall para agrupar e gerenciar múltiplos endereços IP públicos de forma eficiente?
A) Um Network Security Group com regras de saída para cada IP público
B) Um prefixo de IP público (Public IP Prefix), que garante IPs contíguos e facilita a configuração de regras de firewall externo
C) Um IP público adicional de SKU Basic para cada workload, associado individualmente
D) Uma rota definida pelo usuário (UDR) apontando cada prefixo de destino para o IP público correspondente
Questão 5 — Múltipla Escolha
Uma organização associou um endereço IP público de SKU Standard diretamente à NIC de uma máquina virtual. Posteriormente, a equipe de segurança exige que todo o tráfego de saída dessa VM passe por inspeção antes de sair para a internet.
Qual é o comportamento padrão do SKU Standard que mais impacta essa decisão de arquitetura em comparação ao SKU Basic?
A) O SKU Standard bloqueia por padrão todo o tráfego de entrada, exigindo regras explícitas de NSG para liberação
B) O SKU Standard não permite associação direta a NICs de VMs, sendo restrito a Load Balancers e Application Gateways
C) O SKU Standard utiliza alocação Dinâmica por padrão, alterando o IP após cada reinicialização da VM
D) O SKU Standard aplica redundância de zona automaticamente, o que impede associação com NICs em zonas de disponibilidade específicas
Gabarito e Explicações
Gabarito — Questão 1
Resposta: C
O SKU Standard com alocação Estática é o único que garante as duas propriedades exigidas: permanência do endereço IP mesmo em desalocações e suporte a cenários de produção com conectividade confiável. O SKU Basic com alocação Estática (alternativa A) mantém o IP fixo enquanto o recurso existe, mas o SKU Basic está sendo descontinuado e não oferece as garantias de redundância de zona e segurança por padrão do Standard. A alternativa D é incorreta porque, mesmo com alocação Dinâmica no SKU Basic, o IP pode mudar após uma desalocação completa da VM, o que quebraria o registro DNS externo. O SKU Standard com alocação Dinâmica (alternativa B) não existe: IPs Standard são sempre Estáticos.
Gabarito — Questão 2
Resposta: B
O Azure impõe que o SKU do IP público deve corresponder ao SKU do Load Balancer. Um Standard Load Balancer só aceita IPs públicos de SKU Standard. Não existe mecanismo nativo para converter um IP público de SKU Basic em Standard; o recurso precisa ser recriado. A alternativa A é incorreta porque essa conversão direta não é suportada pela plataforma. A alternativa C descreve um problema diferente (conflito de associação), não a causa do erro de SKU. A alternativa D é incorreta porque o método de alocação (Dinâmico ou Estático) é independente do SKU e não resolve a incompatibilidade entre Basic e Standard.
Gabarito — Questão 3
Verdadeiro
Endereços IP públicos de SKU Standard geram cobrança com base na existência do recurso, independentemente de estarem associados a algum recurso. Ao contrário de alguns recursos do Azure que só cobram durante o uso ativo, o IP público Standard começa a acumular custo a partir do momento em que é provisionado. Isso representa uma diferença comportamental relevante em relação ao SKU Basic, onde IPs não associados também geram cobrança, mas o modelo de precificação difere. A implicação prática é que IPs públicos Standard ociosos devem ser excluídos, não apenas desassociados, para evitar custos desnecessários.
Gabarito — Questão 4
Resposta: B
O Public IP Prefix é um recurso do Azure que reserva um bloco contíguo de endereços IP públicos de SKU Standard. Para o Azure Firewall, ele permite associar múltiplos IPs públicos de forma organizada e também facilita a criação de regras de liberação em firewalls externos ou parceiros, pois todos os IPs pertencem ao mesmo intervalo CIDR. A alternativa A é incorreta porque NSGs controlam tráfego, não agrupam IPs públicos. A alternativa C usa SKU Basic, incompatível com o Azure Firewall. A alternativa D descreve UDRs, que controlam roteamento interno da VNet e não têm relação com o agrupamento de IPs públicos no firewall.
Gabarito — Questão 5
Resposta: A
O comportamento de segurança mais relevante do SKU Standard é que ele é seguro por padrão: todo tráfego de entrada é negado até que regras explícitas de NSG sejam criadas. Isso contrasta diretamente com o SKU Basic, que permite tráfego de entrada por padrão. Para a decisão arquitetural descrita, isso significa que a equipe de segurança já tem uma camada de controle obrigatória, mas deve ser complementada com rotas e políticas para garantir inspeção do tráfego de saída. A alternativa B é incorreta porque IPs Standard podem sim ser associados a NICs de VMs. A alternativa C é incorreta porque IPs Standard são sempre Estáticos. A alternativa D é incorreta porque a redundância de zona não impede a associação com NICs em zonas específicas.