Laboratório Técnico: Design and Implement User-Defined Routes (UDRs)
Questões
Questão 1 — Múltipla Escolha
Uma equipe de redes precisa garantir que todo o tráfego saindo de uma sub-rede de aplicação em direção à internet passe obrigatoriamente por um Network Virtual Appliance (NVA) antes de sair. O NVA está implantado em uma sub-rede separada dentro da mesma VNet.
Qual combinação de configurações é necessária e suficiente para atingir esse objetivo?
A) Criar uma UDR na sub-rede do NVA com o prefixo 0.0.0.0/0 apontando para a internet, e associá-la à sub-rede do NVA.
B) Criar uma UDR na sub-rede de aplicação com o prefixo 0.0.0.0/0 apontando para o IP privado do NVA como Virtual Appliance, e associá-la à sub-rede de aplicação.
C) Criar uma UDR na sub-rede de aplicação com o prefixo 0.0.0.0/0 apontando para o IP público do NVA como Internet, e associá-la à sub-rede de aplicação.
D) Criar uma UDR na sub-rede de aplicação com o prefixo 0.0.0.0/0 apontando para o IP privado do NVA como VNet Local, e habilitá-la nas configurações da VNet.
Questão 2 — Cenário Técnico
Um administrador configurou a seguinte UDR em uma sub-rede:
Prefixo de destino : 10.2.0.0/16
Tipo do próximo salto : VirtualNetworkGateway
A VNet local usa o espaço 10.1.0.0/16 e está conectada via VNet Peering a uma VNet remota no espaço 10.2.0.0/16. O gateway de VPN está provisionado na VNet local.
Após aplicar a UDR, VMs na sub-rede perdem conectividade com a VNet 10.2.0.0/16. Qual é a causa mais provável?
A) O tipo de próximo salto VirtualNetworkGateway é inválido para rotas manuais em UDRs e deve ser substituído por VirtualAppliance.
B) O peering entre as VNets não propaga rotas quando uma UDR está presente na sub-rede, e a rota criada sobrescreve a rota de sistema do peering sem fornecer um caminho funcional até 10.2.0.0/16.
C) A sub-rede não tem permissão para usar VirtualNetworkGateway como próximo salto porque esse tipo é reservado para sub-redes de gateway.
D) O prefixo 10.2.0.0/16 é mais específico do que a rota de sistema do peering, por isso o Azure ignora ambas as rotas e descarta o tráfego.
Questão 3 — Verdadeiro ou Falso
Afirmação: É possível criar uma UDR com o próximo salto do tipo VirtualNetworkGateway para forçar tráfego de volta para um gateway de VPN local, mesmo quando a sub-rede alvo não é a sub-rede de gateway (GatewaySubnet).
Verdadeiro ou Falso?
Questão 4 — Cenário Técnico
Uma organização tem a seguinte topologia hub-and-spoke:
- Hub VNet: contém um NVA no IP
10.0.1.4e uma VPN Gateway - Spoke VNet A:
10.1.0.0/16, com peering para o hub - Spoke VNet B:
10.2.0.0/16, com peering para o hub
O requisito é que o tráfego de Spoke A para Spoke B passe pelo NVA no hub. O administrador criou a seguinte UDR e a associou à sub-rede de Spoke A:
Destino : 10.2.0.0/16
Próximo salto : VirtualAppliance
IP do próximo salto : 10.0.1.4
O tráfego de Spoke A chega ao NVA, mas não alcança Spoke B. Qual configuração adicional está faltando?
A) Habilitar IP Forwarding na interface de rede do NVA.
B) Criar uma UDR em Spoke B com destino 10.1.0.0/16 apontando para o NVA, e associá-la à sub-rede de Spoke B.
C) Adicionar uma rota estática no gateway de VPN do hub apontando para 10.2.0.0/16.
D) Habilitar a opção Use Remote Gateway no peering de Spoke A para o hub.
Questão 5 — Múltipla Escolha
Ao avaliar como o Azure seleciona a rota a ser aplicada quando múltiplas entradas se sobrepõem na tabela de rotas efetivas de uma NIC, qual afirmação descreve corretamente o comportamento do Azure?
A) Rotas de sistema sempre têm prioridade sobre UDRs, independentemente do comprimento do prefixo.
B) O Azure aplica a rota com o prefixo mais longo (mais específico) que corresponda ao destino; se houver empate no comprimento, UDRs têm precedência sobre rotas aprendidas via BGP, que por sua vez têm precedência sobre rotas de sistema.
C) O Azure aplica a rota com o prefixo mais longo correspondente ao destino; em caso de empate, rotas de sistema têm precedência sobre UDRs.
D) BGP sempre supera UDRs porque rotas dinâmicas são consideradas mais atualizadas pelo plano de controle do Azure.
Gabarito e Explicações
Gabarito — Questão 1
Resposta: B
A UDR deve ser associada à sub-rede de origem do tráfego (sub-rede de aplicação), não à sub-rede do NVA. O prefixo 0.0.0.0/0 captura todo o tráfego sem destino mais específico, e o tipo de próximo salto correto para encaminhar tráfego a um appliance dentro da VNet é Virtual Appliance, utilizando o IP privado do NVA.
O principal erro conceitual dos distratores é confundir onde a rota deve ser aplicada (sub-rede de origem vs. sub-rede do appliance) e qual tipo de próximo salto usar. Usar o IP público com o tipo Internet ignora o NVA por completo. Usar o tipo VNet Local não é um tipo válido de próximo salto para esse cenário.
Gabarito — Questão 2
Resposta: B
UDRs sobrescrevem rotas de sistema, incluindo as rotas geradas automaticamente pelo VNet Peering. Ao criar uma rota manual com destino 10.2.0.0/16 e próximo salto VirtualNetworkGateway, o administrador substituiu a rota de sistema do peering por uma rota que aponta para o gateway de VPN, um caminho que não possui conectividade direta com a VNet remota via peering.
O tipo VirtualNetworkGateway é válido em UDRs (eliminando a alternativa A). Esse tipo não é exclusivo da GatewaySubnet (eliminando a alternativa C). A lógica de prefixo mais longo não descarta ambas as rotas; ela simplesmente aplica a mais específica, que neste caso é a UDR incorreta (eliminando a alternativa D).
Gabarito — Questão 3
Resposta: Verdadeiro
O próximo salto do tipo VirtualNetworkGateway pode ser usado em UDRs aplicadas a qualquer sub-rede, não apenas à GatewaySubnet. Isso permite forçar tráfego de sub-redes comuns em direção ao gateway de VPN, um padrão utilizado, por exemplo, para redirecionar tráfego entre spokes via gateway em topologias hub-and-spoke sem NVA.
A confusão comum é acreditar que esse tipo de salto é exclusivo da GatewaySubnet. A restrição real é o inverso: a GatewaySubnet é a única sub-rede onde UDRs não devem ser aplicadas com rotas que possam quebrar o funcionamento do gateway.
Gabarito — Questão 4
Resposta: A
O tráfego chega ao NVA porque a UDR em Spoke A está correta. O problema é que o NVA, ao receber um pacote destinado a 10.2.0.0/16, precisa encaminhá-lo, mas por padrão o Azure descarta pacotes cujo IP de destino não corresponde ao IP da NIC receptora. Habilitar o IP Forwarding na interface de rede do NVA no portal do Azure (ou via configuração do sistema operacional no NVA) resolve esse comportamento.
A alternativa B descreve uma configuração necessária para o tráfego de retorno (Spoke B para Spoke A), mas não é a causa do problema descrito. A alternativa D (Use Remote Gateway) afeta como rotas de gateway são propagadas para o spoke, sem relação com o encaminhamento pelo NVA.
Gabarito — Questão 5
Resposta: B
O Azure usa longest prefix match como critério principal de seleção de rota. Quando dois prefixos têm o mesmo comprimento, a precedência é: UDRs > rotas BGP > rotas de sistema. Esse comportamento garante que rotas definidas pelo administrador sempre possam sobrescrever comportamentos automáticos quando necessário.
A alternativa A inverte a prioridade correta. A alternativa C erra a ordem de desempate. A alternativa D representa um equívoco comum: BGP fornece flexibilidade dinâmica, mas é deliberadamente subordinado a UDRs para que o administrador mantenha controle explícito sobre o roteamento da rede.