Laboratório Técnico: Plan and configure subnet delegation
Questões
Questão 1 — Múltipla Escolha
Uma equipe de plataforma precisa implantar instâncias do Azure SQL Managed Instance em uma rede virtual existente. O arquiteto responsável afirma que é necessário criar uma sub-rede dedicada e aplicar subnet delegation antes do provisionamento.
Qual é a consequência técnica direta de aplicar subnet delegation a uma sub-rede?
A) A sub-rede passa a aceitar apenas recursos do tipo indicado na delegação, bloqueando qualquer outro recurso do Azure, incluindo máquinas virtuais.
B) O Azure obtém permissão para criar e gerenciar recursos de rede auxiliares na sub-rede em nome do serviço delegado, como rotas e regras de segurança de rede.
C) A sub-rede é isolada da rede virtual principal e passa a funcionar como um segmento de rede independente com espaço de endereçamento próprio.
D) O Network Security Group associado à sub-rede é automaticamente removido para evitar conflitos com as políticas do serviço delegado.
Questão 2 — Cenário Técnico
Um engenheiro configura subnet delegation para o serviço Microsoft.Web/serverFarms em uma sub-rede chamada snet-appservice. Após a configuração, ele tenta adicionar uma máquina virtual à mesma sub-rede e recebe o seguinte erro:
The subnet 'snet-appservice' is delegated to service 'Microsoft.Web/serverFarms'.
Resources of type 'Microsoft.Compute/virtualMachines' cannot be deployed into this subnet.
Qual afirmação descreve corretamente o comportamento observado?
A) O erro ocorre porque o Network Security Group da sub-rede tem uma regra de negação para tráfego de gerenciamento de VMs.
B) O erro ocorre porque subnet delegation para Microsoft.Web/serverFarms converte a sub-rede em uma sub-rede de serviço gerenciado, onde apenas o serviço delegado pode injetar interfaces de rede.
C) O erro ocorre porque a sub-rede não possui espaço de endereçamento suficiente para hospedar simultaneamente recursos de App Service e máquinas virtuais.
D) O erro ocorre porque a delegação foi aplicada antes de o App Service Plan ser criado, tornando a configuração inválida.
Questão 3 — Verdadeiro ou Falso
Uma sub-rede pode ter subnet delegation configurada e, ao mesmo tempo, ter um Network Security Group (NSG) e uma User Defined Route (UDR) associados, sem que isso impeça o funcionamento da delegação.
Verdadeiro ou Falso?
Questão 4 — Cenário Técnico
Uma equipe precisa implantar o serviço Azure Container Instances (ACI) em modo de integração com rede virtual. O arquiteto propõe a seguinte configuração para a sub-rede:
Sub-rede: snet-aci
Espaço de endereçamento: 10.1.2.0/26
Delegação: Microsoft.ContainerInstance/containerGroups
NSG: nsg-aci (associado)
Serviço endpoint: Microsoft.Storage
Após o provisionamento dos primeiros grupos de contêiner, a equipe observa que novas implantações falham com erros de alocação de endereço IP.
Qual é a causa mais provável do problema?
A) O NSG associado está bloqueando as requisições de DHCP internas usadas pelo ACI para alocar endereços.
B) O service endpoint para Microsoft.Storage conflita com a delegação e impede a reserva de IPs para novos grupos de contêiner.
C) O espaço /26 fornece apenas 59 endereços utilizáveis e, com o overhead de IPs reservados pelo Azure e pelo serviço delegado, o espaço foi esgotado.
D) A delegação Microsoft.ContainerInstance/containerGroups exige que a sub-rede utilize um bloco /24 como tamanho mínimo.
Questão 5 — Múltipla Escolha
Em um ambiente com múltiplas sub-redes em uma mesma rede virtual, uma equipe precisa delegar diferentes sub-redes para serviços distintos: uma para Microsoft.Sql/managedInstances e outra para Microsoft.Web/serverFarms.
Qual afirmação descreve corretamente o comportamento esperado nesse cenário?
A) Não é possível ter duas sub-redes com delegações diferentes na mesma rede virtual, pois cada VNet aceita apenas um serviço delegado ativo por vez.
B) Cada sub-rede pode ter no máximo uma delegação ativa, mas diferentes sub-redes dentro da mesma VNet podem ser delegadas a serviços distintos sem conflito.
C) As duas sub-redes delegadas passam a compartilhar automaticamente uma tabela de rotas gerenciada pelo Azure, o que pode causar sobreposição de rotas.
D) Delegar duas sub-redes na mesma VNet para serviços diferentes exige que cada uma esteja em um espaço de endereçamento de prefixo /24 ou maior.
Gabarito e Explicações
Gabarito — Questão 1
Resposta: B
Explicar o que é subnet delegation exige distinguir o que muda efetivamente no plano de controle. Quando uma sub-rede é delegada a um serviço, o Azure concede permissão para que esse serviço injete recursos de rede gerenciados diretamente na sub-rede, como interfaces de rede virtuais, rotas de sistema específicas e regras de NSG automáticas, conforme necessário para seu funcionamento.
A alternativa A é o distrator mais comum: subnet delegation não impede tecnicamente a coexistência de outros recursos em todos os casos. Alguns serviços delegados permitem coexistência (por exemplo, Microsoft.Web/serverFarms permite outros recursos em determinados contextos), enquanto outros impõem exclusividade. O comportamento depende do serviço, não de uma regra universal da delegação em si.
A alternativa C descreve isolamento de rede, que não ocorre por delegação. A alternativa D é falsa: NSGs não são removidos automaticamente pela delegação, embora alguns serviços delegados possam criar ou modificar regras dentro do NSG existente.
Gabarito — Questão 2
Resposta: B
O erro apresentado é o comportamento padrão do Azure quando uma sub-rede delegada para Microsoft.Web/serverFarms (usado pela integração de VNet do App Service) recebe uma tentativa de implantação de um recurso incompatível. A delegação para esse serviço reserva a sub-rede para injeção de interfaces de rede gerenciadas pelo App Service, tornando-a exclusiva para esse propósito.
A alternativa A descreve um problema de NSG, mas o erro exibido é emitido pelo Azure Resource Manager no momento da validação da implantação, antes mesmo de qualquer verificação de regras de rede. A alternativa C confunde esgotamento de endereços com restrição de tipo de recurso. A alternativa D é tecnicamente inválida: a ordem de criação entre a delegação e o App Service Plan não afeta a validade da configuração.
Gabarito — Questão 3
Resposta: Verdadeiro
Subnet delegation é compatível com NSGs e UDRs associados à mesma sub-rede. A delegação não substitui nem remove esses controles de rede. Na prática, muitos serviços delegados exigem que NSGs e UDRs estejam presentes e corretamente configurados para que o serviço funcione.
O ponto não óbvio aqui é que alguns serviços delegados, como o Microsoft.Sql/managedInstances, exigem UDRs e NSGs específicos como pré-requisito de implantação. A ausência desses controles pode impedir o provisionamento. Portanto, a coexistência não apenas é permitida, como frequentemente é obrigatória.
Gabarito — Questão 4
Resposta: C
Uma sub-rede /26 possui 64 endereços no total. O Azure reserva 5 endereços em toda sub-rede (rede, broadcast e três para uso interno), resultando em 59 utilizáveis. Serviços delegados como o ACI consomem endereços IP por grupo de contêiner implantado. Em ambientes com múltiplos grupos de contêiner, esse espaço pode ser esgotado rapidamente, causando falhas de alocação.
A alternativa A é incorreta porque NSGs não interferem em alocação de endereços IP. A alternativa B é incorreta: service endpoints e subnet delegation coexistem sem conflito direto na alocação de IPs. A alternativa D é um distrator plausível, mas o ACI não impõe um tamanho mínimo de /24 como requisito obrigatório da delegação. O problema real é de capacidade de endereçamento, não de validação de prefixo.
Gabarito — Questão 5
Resposta: B
O modelo de subnet delegation opera no escopo da sub-rede, não da rede virtual. Uma VNet pode conter múltiplas sub-redes, cada uma com sua própria delegação independente. Cada sub-rede, porém, aceita apenas uma delegação ativa por vez, o que impede que uma mesma sub-rede seja compartilhada por dois serviços delegados distintos.
A alternativa A representa o equívoco mais frequente: confundir o escopo da delegação (sub-rede) com um limite da VNet. A alternativa C é falsa porque as tabelas de rotas gerenciadas por serviços delegados são aplicadas por sub-rede e não se propagam automaticamente entre sub-redes distintas. A alternativa D impõe uma restrição de tamanho de prefixo que não existe como regra geral de delegação. Alguns serviços têm requisitos próprios de tamanho, mas isso é específico do serviço, não uma regra universal da funcionalidade de delegação.