Laboratório Técnico: Plan and configure subnetting for services, including virtual network gateways, private endpoints, service endpoints, firewalls, application gateways, VNet-integrated platform services, and Azure Bastion
Questões
Questão 1 — Múltipla Escolha
Uma equipe de rede precisa implantar um Azure Application Gateway v2 em uma VNet existente. O administrador reservou uma subnet /27 para esse fim. Durante o planejamento de capacidade, surge a dúvida sobre o dimensionamento mínimo adequado.
Qual é o comportamento correto do Application Gateway v2 em relação ao tamanho da subnet?
A) Uma subnet /27 é suficiente para qualquer escala, pois o Application Gateway v2 reserva no máximo 10 endereços IP privados.
B) O Application Gateway v2 pode consumir mais de um endereço IP por instância durante operações de escalonamento, tornando subnets pequenas um risco operacional.
C) O Application Gateway v2 exige uma subnet dedicada, mas o tamanho é irrelevante porque os IPs são alocados dinamicamente apenas quando há tráfego ativo.
D) Uma subnet /27 é suficiente porque o Application Gateway v2 utiliza apenas um único IP privado fixo, independentemente do número de instâncias.
Questão 2 — Cenário Técnico
Um arquiteto está projetando a conectividade para um ambiente híbrido. Ele precisa implantar um VPN Gateway na VNet principal. Ao criar a subnet para o gateway, ele utiliza o nome vpn-gateway-subnet e associa uma Network Security Group (NSG) para restringir o tráfego de gerenciamento.
Após a implantação, o gateway falha ao ser provisionado. Qual é a causa mais provável do problema?
A) O SKU do VPN Gateway selecionado não é compatível com subnets que possuem NSG associado.
B) A subnet do gateway deve obrigatoriamente ser nomeada GatewaySubnet e não pode ter um NSG associado.
C) O gateway falhou porque a subnet não tem uma rota definida para o endereço IP público do gateway.
D) O NSG bloqueou a porta 443 necessária para o processo de provisionamento do plano de controle do Azure.
Questão 3 — Verdadeiro ou Falso
Afirmação: Um Private Endpoint e um Service Endpoint podem coexistir na mesma subnet, e ambos permitem que recursos dentro da VNet acessem serviços PaaS sem que o tráfego passe pela internet pública. No entanto, apenas o Private Endpoint atribui um endereço IP privado da subnet ao serviço de destino, tornando-o acessível também a partir de redes conectadas via VPN ou ExpressRoute sem configuração adicional de roteamento.
Essa afirmação é verdadeira ou falsa?
Questão 4 — Cenário Técnico
Uma equipe implantou o Azure Bastion em uma VNet para acesso seguro a VMs. O administrador criou uma subnet chamada AzureBastionSubnet com prefixo /29 e implantou o Bastion com o SKU Basic. Alguns dias depois, a equipe decide habilitar funcionalidades como IP-based connection e tunneling. Ao tentar atualizar o SKU para Standard, a operação falha.
Qual é a causa raiz do problema?
A) O SKU Standard do Azure Bastion não é compatível com subnets criadas após a implantação inicial com SKU Basic.
B) A subnet AzureBastionSubnet com prefixo /29 não atende ao tamanho mínimo exigido para o SKU Standard, que requer pelo menos /26.
C) O Azure Bastion não permite atualização de SKU após a implantação; é necessário recriar o recurso com o SKU desejado.
D) A funcionalidade de IP-based connection exige uma subnet separada e dedicada, independente da AzureBastionSubnet.
Questão 5 — Múltipla Escolha
Uma organização utiliza um serviço PaaS de Azure Storage configurado com Service Endpoint na subnet app-subnet. O time de segurança exige que o Storage Account rejeite qualquer requisição originada fora dessa subnet, incluindo acessos de administradores via portal do Azure com IPs públicos não autorizados.
Qual configuração no Storage Account implementa corretamente esse requisito?
A) Habilitar o firewall do Storage Account com a opção "Allow access from selected networks" e adicionar apenas a app-subnet com Service Endpoint habilitado.
B) Configurar um Private Endpoint na app-subnet e desabilitar o acesso público ao Storage Account, mantendo o Service Endpoint para tráfego de dados.
C) Habilitar o firewall do Storage Account com a opção "Allow access from All networks" e usar NSG na app-subnet para bloquear tráfego de saída para a internet.
D) Configurar uma política de Service Endpoint no Storage Account para restringir o acesso apenas à subscription onde a app-subnet está localizada.
Gabarito e Explicações
Gabarito — Questão 1
Resposta: B
O Application Gateway v2 opera com autoescalonamento e pode provisionar múltiplas instâncias simultaneamente. Cada instância consome um endereço IP privado da subnet, e durante operações de escalonamento, instâncias antigas e novas coexistem temporariamente. A Microsoft recomenda uma subnet com no mínimo /24 para ambientes de produção, exatamente para acomodar picos de escalonamento sem esgotamento de endereços.
O principal equívoco representado pelos distratores é tratar o Application Gateway v2 como um recurso com consumo de IP fixo e previsível. A alternativa A subestima o consumo real; a C ignora que IPs são reservados durante o provisionamento de instâncias, não apenas durante tráfego ativo; a D descreve um comportamento inexistente.
Gabarito — Questão 2
Resposta: B
O Azure exige que a subnet destinada a qualquer tipo de gateway virtual (VPN ou ExpressRoute) seja nomeada exatamente GatewaySubnet, com esse nome preciso. Além disso, associar um NSG a essa subnet é explicitamente não suportado e pode causar falha no provisionamento ou comportamento imprevisível, pois o plano de controle do Azure precisa de acesso irrestrito a essa subnet para gerenciar o gateway.
Os distratores exploram equívocos reais: a alternativa A inverte a causalidade, já que o problema não é de SKU; a C introduz um requisito de roteamento inexistente para o provisionamento; a D especula sobre uma porta específica, mas o problema real é a incompatibilidade estrutural entre NSG e GatewaySubnet.
Gabarito — Questão 3
Resposta: Verdadeiro
A afirmação está correta em todos os seus aspectos. Service Endpoints e Private Endpoints podem coexistir na mesma subnet sem conflito. Ambos mantêm o tráfego fora da internet pública, mas por mecanismos distintos: o Service Endpoint otimiza a rota de saída para o backbone da Microsoft sem mudar o endereço de destino do serviço; o Private Endpoint injeta um IP privado da subnet no serviço PaaS, tornando-o um recurso com presença real na VNet.
Essa diferença de representação de IP é o que permite ao Private Endpoint ser alcançável via VPN e ExpressRoute sem configuração adicional de roteamento, já que o endereço de destino é um IP RFC 1918 já conhecido pelas rotas da VNet. O Service Endpoint, por sua vez, não é acessível por padrão de redes conectadas remotamente sem configurações específicas adicionais.
Gabarito — Questão 4
Resposta: B
O Azure Bastion com SKU Standard exige que a AzureBastionSubnet tenha um prefixo de no mínimo /26, o que fornece 64 endereços IP. O SKU Basic tolera subnets menores (mínimo /26 também é recomendado, mas /27 pode funcionar em cenários limitados). Ao tentar escalar para o SKU Standard, o Azure valida o tamanho da subnet e bloqueia a operação se o requisito não for atendido.
A alternativa C é um distrator relevante porque muitos recursos do Azure de fato não permitem atualização de SKU in-place, o que torna essa opção plausível. No entanto, o Bastion Standard suporta upgrade, desde que os pré-requisitos de subnet sejam atendidos. As alternativas A e D descrevem restrições que não existem na documentação do produto.
Gabarito — Questão 5
Resposta: A
A combinação de firewall do Storage Account na modalidade "Allow access from selected networks" com a subnet específica que possui Service Endpoint habilitado é exatamente o mecanismo projetado para esse cenário. Quando um Service Endpoint está ativo, o Storage Account consegue identificar a origem da requisição como aquela subnet e pode aceitar ou rejeitar com base nisso. Acessos de IPs públicos não listados, incluindo administradores via portal, são bloqueados.
A alternativa B descreve uma abordagem válida de segurança, mas tecnicamente incorreta para o enunciado: misturar Private Endpoint com Service Endpoint ativo para o mesmo serviço cria ambiguidade e geralmente resulta em desativação implícita do Service Endpoint. A alternativa C não atende ao requisito porque permite acesso de qualquer rede no nível do Storage Account. A alternativa D descreve Service Endpoint Policies, que restringem quais recursos PaaS podem ser acessados a partir da subnet, e não o sentido inverso de quem pode acessar o Storage Account.