Laboratório Técnico: Associate a route table with a subnet

Questões

Questão 1 — Múltipla Escolha

Uma equipe de rede precisa garantir que todo o tráfego originado em uma subnet de aplicação seja inspecionado por um Network Virtual Appliance (NVA) antes de atingir a internet. A rota padrão do sistema (0.0.0.0/0) ainda está ativa na subnet.

Qual é a abordagem correta para forçar esse comportamento?

A) Criar uma rota na route table com prefixo 0.0.0.0/0 e next hop do tipo Internet, associando a route table à subnet da aplicação.

B) Criar uma rota na route table com prefixo 0.0.0.0/0 e next hop do tipo Virtual Appliance apontando para o IP privado do NVA, associando a route table à subnet da aplicação.

C) Criar uma rota na route table com prefixo 0.0.0.0/0 e next hop do tipo VNet Gateway, associando a route table à subnet do NVA.

D) Criar uma rota na route table com prefixo 10.0.0.0/8 e next hop do tipo Virtual Appliance, associando a route table à subnet da aplicação.

Questão 2 — Cenário Técnico

Um administrador criou uma route table com a seguinte rota personalizada e a associou à subnet app-subnet:

Prefixo de destino : 10.1.0.0/16
Next hop type      : Virtual Appliance
Next hop address   : 10.0.1.4

Após a associação, VMs na app-subnet perdem conectividade com outras subnets dentro da própria VNet (10.0.0.0/16), mas o comportamento esperado era inspecionar apenas o tráfego destinado a 10.1.0.0/16.

Qual é a causa mais provável do problema?

A) A route table foi associada à subnet errada; ela deveria estar associada à subnet do NVA.

B) O next hop Virtual Appliance não é suportado para tráfego dentro de uma mesma VNet.

C) As rotas do sistema para o espaço de endereçamento da VNet foram substituídas por uma rota mais específica na route table, e o NVA não está encaminhando o tráfego corretamente.

D) O Azure não permite que route tables contenham rotas cujo prefixo pertença ao espaço de endereçamento de outra VNet.

Questão 3 — Verdadeiro ou Falso

Uma route table pode ser associada a múltiplas subnets dentro da mesma VNet ou em VNets diferentes, desde que esteja na mesma região e assinatura.

Questão 4 — Cenário Técnico

Um engenheiro associa uma route table à GatewaySubnet de uma VNet para controlar o tráfego entre a rede on-premises e as subnets spoke. Após a associação, o circuito ExpressRoute para de propagar rotas corretamente para os recursos da VNet.

Qual é a explicação técnica para esse comportamento?

A) Route tables associadas à GatewaySubnet substituem as rotas aprendidas via BGP, o que pode interromper a propagação de rotas do gateway para as subnets.

B) O Azure bloqueia automaticamente qualquer route table associada à GatewaySubnet se houver um circuito ExpressRoute ativo.

C) A GatewaySubnet exige que a route table contenha obrigatoriamente uma rota 0.0.0.0/0 para funcionar com ExpressRoute.

D) Route tables não podem ser criadas na mesma região que um gateway ExpressRoute.

Questão 5 — Múltipla Escolha

Considere duas subnets em uma VNet: subnet-A com uma route table associada contendo uma rota para 192.168.0.0/24 via NVA, e subnet-B sem nenhuma route table associada.

Uma VM em subnet-B tenta se comunicar com 192.168.0.0/24. Qual rota será usada?

A) A rota definida na route table de subnet-A, pois ela é propagada automaticamente para todas as subnets da VNet.

B) A rota padrão do sistema, pois subnet-B não tem route table associada e route tables não são compartilhadas entre subnets.

C) Nenhuma rota, pois o Azure bloqueia tráfego para prefixos externos quando não há route table associada à subnet de origem.

D) A rota mais específica aprendida via BGP do gateway da VNet, independentemente da route table de subnet-A.

Gabarito e Explicações

Gabarito — Questão 1

Resposta: B

A substituição da rota padrão do sistema exige uma user-defined route (UDR) com o mesmo prefixo (0.0.0.0/0). O Azure aplica a rota mais específica, e uma UDR tem precedência sobre rotas do sistema com o mesmo prefixo. O next hop Virtual Appliance redireciona o tráfego ao IP privado do NVA antes de qualquer saída.

A alternativa A mantém o tráfego saindo diretamente pela internet, sem inspeção. A alternativa C usaria o gateway VPN/ExpressRoute como saída, o que não atende ao objetivo. A alternativa D limita a inspeção ao espaço RFC1918 e não cobre o tráfego para a internet, deixando 0.0.0.0/0 intacta como rota de sistema.

Gabarito — Questão 2

Resposta: C

Quando uma UDR é associada a uma subnet, ela não opera em isolamento: o Azure avalia todas as rotas disponíveis e seleciona a mais específica. Se o NVA na rota 10.1.0.0/16 não estiver configurado para encaminhar pacotes além de inspecioná-los (ou seja, IP forwarding desabilitado, ou rotas internas ausentes), o tráfego destinado a 10.1.0.0/16 será descartado silenciosamente, causando perda de conectividade percebida como abrangente.

A alternativa A confunde a direção da associação: a route table deve estar na subnet de origem do tráfego que se deseja redirecionar. A alternativa B está incorreta: Virtual Appliance é um next hop válido para tráfego intra-VNet. A alternativa D é falsa; o Azure permite rotas para qualquer prefixo IPv4, inclusive de outras VNets.

Gabarito — Questão 3

Resposta: Verdadeiro

Uma route table é um recurso de escopo regional e de assinatura. Ela pode ser associada a qualquer número de subnets dentro da mesma região, inclusive em VNets distintas, desde que todas estejam na mesma assinatura. A associação é feita no nível da subnet, e cada subnet aceita no máximo uma route table. O mesmo objeto de route table sendo reutilizado em múltiplas subnets é um padrão válido e comum para centralizar políticas de roteamento.

O ponto não óbvio aqui é que a limitação é de uma route table por subnet, não de uma subnet por route table.

Gabarito — Questão 4

Resposta: A

A GatewaySubnet tem comportamento especial: o Azure não recomenda associar route tables a ela exatamente porque UDRs podem sobrescrever rotas aprendidas dinamicamente via BGP (usadas por ExpressRoute e VPN Gateway). Quando uma UDR com prefixo conflitante é aplicada, o gateway pode parar de anunciar ou de processar corretamente as rotas recebidas do peer BGP on-premises.

A alternativa B é incorreta: o Azure não bloqueia automaticamente a associação, o que torna o erro silencioso e difícil de diagnosticar. A alternativa C é falsa: não há exigência de rota 0.0.0.0/0 para funcionamento do ExpressRoute. A alternativa D é tecnicamente inválida como afirmação geral.

Gabarito — Questão 5

Resposta: B

Route tables são associadas individualmente a subnets e não são propagadas entre elas. A subnet-B usa exclusivamente as rotas do sistema padrão do Azure, que incluem rotas para o espaço de endereçamento da VNet, rotas aprendidas via gateway (se habilitado) e a rota padrão para internet. Nenhuma UDR de outra subnet influencia o roteamento de subnet-B.

A alternativa A representa um equívoco comum: imagine que as UDRs funcionam como políticas de VNet. A alternativa C é incorreta: o Azure não bloqueia tráfego para prefixos externos por ausência de route table; ele simplesmente usa as rotas do sistema. A alternativa D pode ser parcialmente verdadeira se o gateway estiver propagando rotas BGP, mas isso é independente da route table de subnet-A e não é a causa direta do comportamento descrito.

Questões​

Questão 1 — Múltipla Escolha​

Questão 2 — Cenário Técnico​

Questão 3 — Verdadeiro ou Falso​

Questão 4 — Cenário Técnico​

Questão 5 — Múltipla Escolha​

Gabarito e Explicações​

Gabarito — Questão 1​

Gabarito — Questão 2​

Gabarito — Questão 3​

Gabarito — Questão 4​

Gabarito — Questão 5​