Laboratório Técnico: Plan and configure shared or dedicated subnets
Questões
Questão 1 — Múltipla Escolha
Uma equipe de arquitetura precisa hospedar um Azure Application Gateway v2 e um conjunto de máquinas virtuais de aplicação dentro da mesma Virtual Network. O requisito é que o Application Gateway não compartilhe sub-rede com nenhum outro recurso.
Qual é a principal razão técnica que justifica esse requisito de isolamento em uma sub-rede dedicada?
A) O Application Gateway v2 exige um bloco CIDR mínimo de /24, o que tornaria o endereçamento inviável em sub-redes compartilhadas.
B) Sub-redes compartilhadas com o Application Gateway causam falha na resolução DNS interna da Virtual Network.
C) O Application Gateway v2 implanta instâncias gerenciadas que precisam de endereços IP exclusivos na sub-rede, e NSGs com regras incompatíveis de outros recursos podem quebrar sua operação.
D) O Azure Policy impede por padrão a coexistência de recursos PaaS e IaaS na mesma sub-rede.
Questão 2 — Cenário Técnico
Um engenheiro configura a seguinte sub-rede para hospedar um Azure Kubernetes Service (AKS) com CNI plugin:
VNet: 10.0.0.0/16
Subnet: 10.0.1.0/24 (254 endereços utilizáveis)
Nodes planejados: 10
Pods por node: 30
Após o deploy, o cluster entra em estado de falha parcial com erros de alocação de IP para pods. Qual é a causa mais provável do problema?
A) O AKS com Azure CNI reserva 5 endereços IP por node para operações internas, esgotando o espaço disponível antes dos pods.
B) Com Azure CNI, cada pod recebe um IP diretamente da sub-rede da VNet, e 10 nodes com 30 pods cada exigem pelo menos 300 endereços, ultrapassando a capacidade da /24.
C) Sub-redes menores que /23 são bloqueadas pelo Azure para uso com AKS em modo produção.
D) O CNI plugin do AKS reserva um bloco /28 por node para IPs de sistema, reduzindo o espaço disponível para pods.
Questão 3 — Verdadeiro ou Falso
Um Network Security Group (NSG) associado a uma sub-rede que contém um Azure Bastion bloqueia corretamente ameaças externas se configurado para negar todo tráfego de entrada na porta 443, exceto origens da internet pública confiáveis.
Verdadeiro ou Falso?
Questão 4 — Cenário Técnico
Uma empresa precisa que seu Azure SQL Managed Instance seja acessível apenas de dentro da Virtual Network corporativa, sem expor nenhum endpoint público. O engenheiro responsável cria uma sub-rede comum com /25 e tenta o deploy. A operação falha.
Erro: Subnet is not delegated to Microsoft.Sql/managedInstances
Após adicionar a delegação correta, o deploy falha novamente com outro erro relacionado ao tamanho da sub-rede. Qual é a combinação de requisitos que o engenheiro deixou de atender?
A) A delegação deve ser para Microsoft.Network/virtualNetworks e o CIDR mínimo é /27.
B) A delegação para Microsoft.Sql/managedInstances é necessária, e o CIDR mínimo recomendado é /27 para instâncias de uso geral.
C) A delegação para Microsoft.Sql/managedInstances é necessária, e o CIDR mínimo é /24 para garantir endereços suficientes para operações internas do serviço.
D) A sub-rede precisa de delegação e de um Gateway de VPN associado para isolar o tráfego do Managed Instance.
Questão 5 — Múltipla Escolha
Em uma arquitetura hub-and-spoke, o time de segurança exige que um Azure Firewall seja provisionado no hub. A equipe discute se deve usar uma sub-rede compartilhada com outros recursos de rede ou criar uma dedicada.
Qual afirmação descreve corretamente o comportamento esperado da sub-rede do Azure Firewall?
A) O Azure Firewall pode compartilhar sub-rede com o Azure VPN Gateway, desde que o NSG permita o tráfego entre eles na porta 443.
B) A sub-rede deve ser nomeada obrigatoriamente AzureFirewallSubnet, não pode conter nenhum outro recurso e não suporta NSG associado a ela.
C) A sub-rede do Azure Firewall aceita NSG associado, mas exige que a regra de entrada padrão AllowAzureLoadBalancerInBound seja mantida.
D) O Azure Firewall pode ser implantado em qualquer sub-rede com pelo menos /26, desde que não haja User Defined Routes conflitantes já configuradas.
Gabarito e Explicações
Gabarito — Questão 1
Resposta: C
O Azure Application Gateway v2 opera com um conjunto de instâncias gerenciadas pelo Azure que são alocadas dinamicamente na sub-rede designada. Cada instância precisa de um endereço IP próprio, e o serviço exige que NSGs aplicados à sub-rede sigam regras específicas, como permitir tráfego do tag GatewayManager e do AzureLoadBalancer. Se a sub-rede for compartilhada com outros recursos, as regras de NSG necessárias para esses recursos podem conflitar com as regras exigidas pelo Application Gateway, causando falhas silenciosas ou bloqueios de health probe.
A alternativa A é parcialmente verdadeira em termos de recomendação de tamanho, mas não é a razão técnica que impede o compartilhamento. As alternativas B e D não correspondem a nenhum comportamento real documentado do serviço.
Gabarito — Questão 2
Resposta: B
Com o Azure CNI (modo de rede avançada), cada pod recebe um endereço IP diretamente do espaço de endereçamento da sub-rede da VNet, diferentemente do kubenet, onde os pods usam um espaço de endereçamento interno separado. Com 10 nodes e 30 pods por node, são necessários ao menos 300 IPs apenas para pods, além dos IPs dos próprios nodes e dos 5 endereços reservados pelo Azure em toda sub-rede. Uma /24 oferece apenas 251 endereços utilizáveis, o que é insuficiente.
A alternativa A descreve uma reserva real do Azure (5 IPs por sub-rede, não por node), mas esse não é o fator determinante do esgotamento. A alternativa C é falsa; não existe restrição de tamanho mínimo por ambiente no portal. A alternativa D descreve um comportamento fictício.
Gabarito — Questão 3
Resposta: Falso
O Azure Bastion exige uma sub-rede dedicada chamada AzureBastianSubnet e possui requisitos específicos de NSG que incluem permitir tráfego de entrada nas portas 443 e 8080 a partir da internet (Internet tag), além de tráfego de entrada do GatewayManager na porta 443 e do AzureLoadBalancer. Bloquear a porta 443 vinda da internet pública destrói a funcionalidade do Bastion, pois é exatamente por essa porta que os usuários se conectam ao serviço via navegador. A ideia de "negar 443 de origens não confiáveis" parece segura, mas o Bastion não opera com IPs de origem fixos e previsíveis para os usuários finais, tornando esse controle incompatível com sua operação.
Gabarito — Questão 4
Resposta: C
O Azure SQL Managed Instance exige dois requisitos obrigatórios e combinados para o deploy em sub-rede:
- Delegação de sub-rede para
Microsoft.Sql/managedInstances, que garante que o plano de controle do Azure possa gerenciar os recursos de rede do serviço. - Tamanho mínimo de /24, pois o Managed Instance utiliza um grande número de endereços IP internos para réplicas, operações de manutenção, comunicação entre nós e infraestrutura de suporte. Um /25 oferece apenas 123 endereços utilizáveis, insuficiente para as operações internas do serviço.
A alternativa B aponta /27 como mínimo, o que seria adequado para outros serviços delegados, mas está incorreto para o SQL Managed Instance. A alternativa A menciona uma delegação de namespace errada. A alternativa D introduz um requisito inexistente (VPN Gateway).
Gabarito — Questão 5
Resposta: B
O Azure Firewall possui três requisitos rígidos para sua sub-rede:
- O nome deve ser exatamente
AzureFirewallSubnet(sensível a maiúsculas e minúsculas). - Nenhum outro recurso pode ser implantado na mesma sub-rede.
- NSGs não são suportados na sub-rede do Azure Firewall. O próprio serviço opera como o ponto central de inspeção e filtragem de tráfego, tornando um NSG adicional redundante e potencialmente conflitante.
A alternativa A é falsa porque o Azure Firewall não pode compartilhar sub-rede com nenhum recurso, incluindo o VPN Gateway. A alternativa C contradiz a regra de que NSGs não são suportados. A alternativa D omite os requisitos de nome obrigatório e exclusividade da sub-rede, que são inegociáveis.