Pular para o conteúdo principal

Laboratório Técnico: Plan and implement network segmentation and address spaces

Questões

Questão 1 — Múltipla Escolha

Uma equipe de arquitetura precisa planejar o espaço de endereçamento de uma Virtual Network (VNet) no Azure. A VNet será dividida em quatro sub-redes: uma para VMs de aplicação, uma para banco de dados, uma para um Azure Application Gateway v2 e uma para um Azure Bastion. O time discute qual intervalo CIDR deve ser reservado para o Application Gateway v2.

Qual é o requisito mínimo correto de tamanho de sub-rede para o Application Gateway v2?

A) /29, pois o Application Gateway v2 exige ao menos 3 endereços utilizáveis
B) /28, pois o Application Gateway v2 exige uma sub-rede dedicada com ao menos 100 endereços disponíveis
C) /24, pois o Application Gateway v2 compartilha a sub-rede com outros recursos e precisa de espaço amplo
D) /27, pois o Application Gateway v2 requer uma sub-rede dedicada com ao menos 27 endereços disponíveis

Questão 2 — Cenário Técnico

Um engenheiro configura peering entre duas VNets na mesma região:

  • VNet-A: 10.1.0.0/16
  • VNet-B: 10.1.128.0/17

Após configurar o peering nos dois lados, os recursos nas VNets não conseguem se comunicar. Nenhuma regra de NSG está bloqueando o tráfego.

Qual é a causa mais provável da falha?

A) O peering entre VNets da mesma região não suporta roteamento automático e exige UDRs
B) Os espaços de endereçamento das duas VNets se sobrepõem, impedindo o estabelecimento do peering
C) O peering foi configurado apenas em um dos lados e precisa ser habilitado nas duas VNets separadamente
D) VNets com prefixos /16 e /17 não podem ser pareadas porque os tamanhos de prefixo são incompatíveis

Questão 3 — Verdadeiro ou Falso

Afirmação: Em uma Virtual Network do Azure, é possível adicionar espaços de endereçamento adicionais a uma VNet existente sem que as sub-redes já provisionadas ou as conexões de peering ativas precisem ser removidas previamente.

A afirmação é Verdadeira ou Falsa?

Questão 4 — Cenário Técnico

Uma organização opera três ambientes isolados no Azure: Produção, Desenvolvimento e DMZ. Cada ambiente é uma VNet separada. O time precisa garantir que:

  • A DMZ possa se comunicar com Produção e com Desenvolvimento
  • Produção e Desenvolvimento não se comuniquem diretamente entre si

O arquiteto propõe o seguinte design:

VNet-Prod    <--> VNet-DMZ
VNet-Dev     <--> VNet-DMZ
VNet-Prod    <--> VNet-Dev  (sem peering direto)

Um desenvolvedor argumenta que, como VNet-Prod e VNet-Dev são ambas pareadas com VNet-DMZ, o tráfego entre elas fluirá automaticamente pela DMZ como hub.

Qual é a avaliação correta dessa proposta?

A) O desenvolvedor está correto: o peering transitivo é suportado nativamente pelo Azure quando uma VNet central atua como hub
B) O desenvolvedor está incorreto: o VNet peering no Azure não é transitivo, mas o tráfego entre Prod e Dev pode fluir pela DMZ se forem configuradas UDRs e um NVA ou Azure Firewall na DMZ
C) O desenvolvedor está incorreto: a única forma de permitir comunicação entre Prod e Dev é criar um peering direto entre elas
D) O desenvolvedor está correto, mas apenas se as três VNets estiverem na mesma região do Azure

Questão 5 — Múltipla Escolha

Uma equipe planeja segmentar uma VNet com o CIDR 10.0.0.0/16 em sub-redes funcionais. O Azure reserva cinco endereços IP em cada sub-rede. Considere a sub-rede 10.0.1.0/24:

Quais são os endereços reservados pelo Azure nessa sub-rede?

A) 10.0.1.0, 10.0.1.1, 10.0.1.2, 10.0.1.3 e 10.0.1.255
B) 10.0.1.0, 10.0.1.1, 10.0.1.2, 10.0.1.254 e 10.0.1.255
C) 10.0.1.1, 10.0.1.2, 10.0.1.3, 10.0.1.4 e 10.0.1.255
D) 10.0.1.0, 10.0.1.1, 10.0.1.128, 10.0.1.254 e 10.0.1.255

Gabarito e Explicações

Gabarito — Questão 1

Resposta: B

O Application Gateway v2 exige uma sub-rede dedicada e a Microsoft recomenda que ela tenha ao menos um prefixo /24 para ambientes de produção, mas o requisito mínimo funcional documentado é /28 para instâncias menores. O ponto crítico é que a sub-rede deve ser exclusiva para o Application Gateway v2, ou seja, nenhum outro recurso pode ser alocado nela. Um /29 fornece apenas 3 endereços utilizáveis (descontando as 5 reservas do Azure), o que é insuficiente para acomodar o escalonamento automático do serviço. Um /27 é maior que /28, mas o requisito mínimo documentado é /28. Escolher /29 resultaria em falha de implantação ou impossibilidade de escalonamento, enquanto /24 é uma recomendação de boas práticas para produção, não o mínimo exigido.

Gabarito — Questão 2

Resposta: B

O Azure não permite peering entre VNets cujos espaços de endereçamento se sobrepõem. No cenário descrito, 10.1.0.0/16 abrange o intervalo 10.1.0.0 a 10.1.255.255, e 10.1.128.0/17 abrange 10.1.128.0 a 10.1.255.255. O segundo intervalo está inteiramente contido no primeiro, o que configura sobreposição completa. O peering simplesmente não pode ser estabelecido nessa condição, independentemente de NSGs ou configurações de roteamento. O erro conceitual das alternativas A e D é confundir limitações de roteamento ou de prefixo com a restrição fundamental de sobreposição de endereços. A alternativa C é um erro real e comum, mas não se aplica aqui porque o enunciado afirma que o peering foi configurado nos dois lados.

Gabarito — Questão 3

Resposta: Falsa

Esta é uma limitação importante e frequentemente subestimada. Para adicionar novos espaços de endereçamento a uma VNet que possui peerings ativos, é necessário remover os peerings existentes antes de realizar a alteração e recriá-los após. O Azure impede a modificação do espaço de endereçamento de uma VNet peerada para evitar inconsistências nas tabelas de roteamento das VNets parceiras. Sub-redes existentes dentro do espaço já alocado não precisam ser removidas, mas a dependência nos peerings é a restrição real. Ignorar esse comportamento em um planejamento de expansão pode causar indisponibilidade inesperada durante a janela de manutenção.

Gabarito — Questão 4

Resposta: B

O VNet peering no Azure não é transitivo por padrão. Isso significa que, mesmo que VNet-Prod e VNet-Dev sejam ambas pareadas com VNet-DMZ, o tráfego entre Prod e Dev não flui automaticamente pela DMZ. Cada peering é uma relação ponto a ponto e o Azure não roteia pacotes através de uma VNet intermediária sem configuração explícita. Para viabilizar a comunicação transitiva usando a DMZ como hub, é necessário implantar um NVA (Network Virtual Appliance) ou o Azure Firewall na VNet-DMZ e configurar UDRs (User Defined Routes) nas sub-redes de Prod e Dev apontando para esse dispositivo como próximo salto. A alternativa C está errada porque existem outros meios além do peering direto. As alternativas A e D contradizem o comportamento documentado do serviço.

Gabarito — Questão 5

Resposta: A

O Azure reserva exatamente cinco endereços em cada sub-rede, com funções específicas:

EndereçoFunção
10.0.1.0Endereço de rede (identificação da sub-rede)
10.0.1.1Gateway padrão reservado pelo Azure
10.0.1.2DNS interno do Azure
10.0.1.3Reservado para uso futuro pelo Azure
10.0.1.255Endereço de broadcast (não utilizado, mas reservado)

O equívoco mais comum, representado pela alternativa B, é assumir que 10.0.1.254 é reservado como no modelo clássico de redes, o que não ocorre no Azure. Os endereços reservados são sempre os quatro primeiros e o último. Escolher B resultaria em alocar 10.0.1.3 como endereço de VM, o que o Azure silenciosamente nunca atribuiria, causando confusão no planejamento de capacidade.