AZ-700 Deutsch試験無料問題集「Microsoft Designing and Implementing Microsoft Azure Networking Solutions (AZ-700 Deutsch Version) 認定」
Sie verfügen über ein Azure-Abonnement, das die in der folgenden Tabelle aufgeführten Ressourcen enthält.
NSG1 ist mit der Netzwerkkarte von VM1 verknüpft und enthält die in der folgenden Tabelle gezeigten Regeln.
Sie erfassen fünf Minuten lang NSG-Flussprotokolle für die folgenden Aktivitäten:
* Zwei RDP-Sitzungen von VM1 zu VM2, jede von einem anderen TCP-Port aus initiiert
* Drei SSH-Sitzungen von VM2 zu VM1, jede von einem anderen TCP-Port aus initiiert. Sie analysieren die Protokolle mithilfe von Traffic Analytics in Azure Network Watcher. Wie viele aggregierte Flusseinträge identifiziert Traffic Analytics?
NSG1 ist mit der Netzwerkkarte von VM1 verknüpft und enthält die in der folgenden Tabelle gezeigten Regeln.
Sie erfassen fünf Minuten lang NSG-Flussprotokolle für die folgenden Aktivitäten:
* Zwei RDP-Sitzungen von VM1 zu VM2, jede von einem anderen TCP-Port aus initiiert
* Drei SSH-Sitzungen von VM2 zu VM1, jede von einem anderen TCP-Port aus initiiert. Sie analysieren die Protokolle mithilfe von Traffic Analytics in Azure Network Watcher. Wie viele aggregierte Flusseinträge identifiziert Traffic Analytics?
正解:A
解答を投票する
Sie haben ein Azure-Abonnement, das ein virtuelles Netzwerk mit dem Namen VNet1 enthält.
Sie müssen eine Instanz von Azure Application Gateway v2 mit dem Namen AppGw1 in VNet1 bereitstellen. AppGw1 umfasst einen Basislistener und zwei Multisite-Listener. Auf die Listener kann nur von VNet1 aus zugegriffen werden.
Wie viele IP-Adressen sind für AppGw1 mindestens erforderlich? Wählen Sie zur Beantwortung die entsprechenden Optionen im Antwortbereich aus. HINWEIS: Jede richtige Auswahl ist einen Punkt wert.
Sie müssen eine Instanz von Azure Application Gateway v2 mit dem Namen AppGw1 in VNet1 bereitstellen. AppGw1 umfasst einen Basislistener und zwei Multisite-Listener. Auf die Listener kann nur von VNet1 aus zugegriffen werden.
Wie viele IP-Adressen sind für AppGw1 mindestens erforderlich? Wählen Sie zur Beantwortung die entsprechenden Optionen im Antwortbereich aus. HINWEIS: Jede richtige Auswahl ist einen Punkt wert.
正解:
Explanation:
Sie implementieren die Anforderungen an virtuelle Netzwerke für VM Analyze.
Was sollten Sie in eine benutzerdefinierte Route aufnehmen, die mit Subnet2 verknüpft ist? Um zu antworten, wählen Sie die entsprechenden Optionen im Antwortbereich aus.
HINWEIS: Jede richtige Auswahl ist einen Punkt wert.
Was sollten Sie in eine benutzerdefinierte Route aufnehmen, die mit Subnet2 verknüpft ist? Um zu antworten, wählen Sie die entsprechenden Optionen im Antwortbereich aus.
HINWEIS: Jede richtige Auswahl ist einen Punkt wert.
正解:
Explanation:
Reference:
https://docs.microsoft.com/en-us/azure/virtual-network/virtual-networks-udr-overview
Sie haben eine Instanz von Azure Web Application Firewall (WAF) auf Azure Front Door.
Sie planen, eine WAF-Regel zu erstellen, die eine hohe Anzahl von Anfragen von einer einzelnen IP-Adresse blockiert.
Sie müssen Log Analytics abfragen, um den optimalen Schwellenwert für die Regel zu ermitteln.
Welche Tabelle sollten Sie in Log Analytics abfragen?
Sie planen, eine WAF-Regel zu erstellen, die eine hohe Anzahl von Anfragen von einer einzelnen IP-Adresse blockiert.
Sie müssen Log Analytics abfragen, um den optimalen Schwellenwert für die Regel zu ermitteln.
Welche Tabelle sollten Sie in Log Analytics abfragen?
正解:C
解答を投票する
Sie haben ein virtuelles Azure-Netzwerk mit dem Namen „Vnet1“, das zwei Subnetze mit den Namen „Subnet1“ und „Subnet2“ enthält.
Sie haben das NAT-Gateway, das in der NATgateway1-Ausstellung gezeigt wird.
Sie haben die in der VM1-Ausstellung gezeigte virtuelle Maschine.
Subnet1 ist wie in der Subnet1-Ausstellung gezeigt konfiguriert.
Wählen Sie für jede der folgenden Aussagen Ja, wenn die Aussage wahr ist. Andernfalls wählen Sie Nein.
HINWEIS: Jede richtige Auswahl ist einen Punkt wert.
Sie haben das NAT-Gateway, das in der NATgateway1-Ausstellung gezeigt wird.
Sie haben die in der VM1-Ausstellung gezeigte virtuelle Maschine.
Subnet1 ist wie in der Subnet1-Ausstellung gezeigt konfiguriert.
Wählen Sie für jede der folgenden Aussagen Ja, wenn die Aussage wahr ist. Andernfalls wählen Sie Nein.
HINWEIS: Jede richtige Auswahl ist einen Punkt wert.
正解:
Explanation:
Box 1: No
VM1 is in Zone2 whereas the NAT Gateway is in Zone1. The VM would need to be in the same zone as the NAT Gateway to be able to use it. Therefore, VM1 cannot use the NAT gateway.
Box 2: Yes
NATgateway1 is configured in the settings for Subnet2.
Box 3: No
The NAT gateway does not have a single public IP address, it has an IP prefix which means more than one IP address. The VMs the use the NAT Gateway can use different public IP addresses contained within the IP prefix.
Reference:
https://docs.microsoft.com/en-us/azure/virtual-network/nat-gateway/nat-gateway-resource
Sie haben ein Azure-Anwendungsgateway namens AppGw1.
Sie müssen eine Umschreibungsregel für AppGw1 erstellen. Die Lösung muss die URL von Anforderungen von https://www.contoso.com/fashion/shirts in ttps://www.contoso.com/buy.aspx?category-fashion&product=shirts umschreiben.
Wie sollten Sie die Regel vervollständigen? Zur Beantwortung HINWEIS: Jede richtige Auswahl ist einen Punkt wert, entsprechende Optionen im Antwortbereich.
Sie müssen eine Umschreibungsregel für AppGw1 erstellen. Die Lösung muss die URL von Anforderungen von https://www.contoso.com/fashion/shirts in ttps://www.contoso.com/buy.aspx?category-fashion&product=shirts umschreiben.
Wie sollten Sie die Regel vervollständigen? Zur Beantwortung HINWEIS: Jede richtige Auswahl ist einen Punkt wert, entsprechende Optionen im Antwortbereich.
正解:
Sie müssen ein P2S-VPN für die Benutzer in der Zweigstelle implementieren. Die Lösung muss die Anforderungen an hybride Netzwerke erfüllen.
Was tun? Um zu antworten, wählen Sie die entsprechenden Optionen im Antwortbereich aus.
HINWEIS: Jede richtige Auswahl ist einen Punkt wert.
Was tun? Um zu antworten, wählen Sie die entsprechenden Optionen im Antwortbereich aus.
HINWEIS: Jede richtige Auswahl ist einen Punkt wert.
正解:
Explanation:
Reference:
https://docs.microsoft.com/en-us/azure/vpn-gateway/openvpn-azure-ad-tenant
Aufgabe 10
Sie müssen VNET1 so konfigurieren, dass alle Ereignisse und Metriken protokolliert werden. Die Lösung muss sicherstellen, dass Sie die Ereignisse und Metriken mithilfe von KQL direkt vom Azure-Portal aus abfragen können.
Sie müssen VNET1 so konfigurieren, dass alle Ereignisse und Metriken protokolliert werden. Die Lösung muss sicherstellen, dass Sie die Ereignisse und Metriken mithilfe von KQL direkt vom Azure-Portal aus abfragen können.
正解:
See the Explanation below for step by step instructions.
Explanation:
Here are the steps and explanations for configuring VNET1 to log all events and metrics and query them by using KQL:
* To enable logging for VNET1, you need to create a diagnostic setting that collects the platform metrics and logs from the virtual network and routes them to one or more destinations. You can choose to send the data to a Log Analytics workspace, a storage account, an event hub, or a partner solution1.
* To create a diagnostic setting, you need to go to the Azure portal and select your virtual network. Then select Diagnostic settings under Monitoring and select + Add diagnostic setting1.
* On the Add diagnostic setting page, enter or select the following information:
* Diagnostic setting name: Type a unique name for your diagnostic setting.
* Destination details: Select the destination where you want to send the data. For example, you can select Send to Log Analytics workspace and choose your workspace from the list.
* Log: Select the categories of logs that you want to collect. For VNET1, you can select NetworkSecurityGroupEvent and NetworkSecurityGroupRuleCounter as the log categories2.
* Metric: Select AllMetrics to collect all the platform metrics for VNET12.
* Select Save to create your diagnostic setting1.
* To query the events and metrics from the Azure portal by using KQL, you need to go to the Log Analytics workspace that you selected as the destination. Then select Logs under General and enter your KQL query in the query editor3.
* For example, you can use the following KQL query to get the top 10 network security group events for VNET1 in the last 24 hours:
NetworkSecurityGroupEvent
| where TimeGenerated > ago(24h)
| where ResourceId contains "VNET1"
| summarize count() by EventID
| top 10 by count_
Copy
* Select Run to execute your query and view the results in a table or a chart3.
Explanation:
Here are the steps and explanations for configuring VNET1 to log all events and metrics and query them by using KQL:
* To enable logging for VNET1, you need to create a diagnostic setting that collects the platform metrics and logs from the virtual network and routes them to one or more destinations. You can choose to send the data to a Log Analytics workspace, a storage account, an event hub, or a partner solution1.
* To create a diagnostic setting, you need to go to the Azure portal and select your virtual network. Then select Diagnostic settings under Monitoring and select + Add diagnostic setting1.
* On the Add diagnostic setting page, enter or select the following information:
* Diagnostic setting name: Type a unique name for your diagnostic setting.
* Destination details: Select the destination where you want to send the data. For example, you can select Send to Log Analytics workspace and choose your workspace from the list.
* Log: Select the categories of logs that you want to collect. For VNET1, you can select NetworkSecurityGroupEvent and NetworkSecurityGroupRuleCounter as the log categories2.
* Metric: Select AllMetrics to collect all the platform metrics for VNET12.
* Select Save to create your diagnostic setting1.
* To query the events and metrics from the Azure portal by using KQL, you need to go to the Log Analytics workspace that you selected as the destination. Then select Logs under General and enter your KQL query in the query editor3.
* For example, you can use the following KQL query to get the top 10 network security group events for VNET1 in the last 24 hours:
NetworkSecurityGroupEvent
| where TimeGenerated > ago(24h)
| where ResourceId contains "VNET1"
| summarize count() by EventID
| top 10 by count_
Copy
* Select Run to execute your query and view the results in a table or a chart3.
Sie planen die Bereitstellung von Azure Virtual WAN.
Sie müssen einen virtuellen WAN-Hub bereitstellen, der die folgenden Anforderungen erfüllt:
Unterstützt 10 Standorte, die sich über eine Site-to-Site VPN-Verbindung mit dem virtuellen WAN-Hub verbinden. Unterstützt 8 Gbit/s ExpressRoute-Datenverkehr. Minimiert die Kosten. Was sollten Sie konfigurieren? Um zu antworten, wählen Sie die entsprechenden Optionen im Antwortbereich aus.
HINWEIS: Jede richtige Auswahl ist einen Punkt wert.
Sie müssen einen virtuellen WAN-Hub bereitstellen, der die folgenden Anforderungen erfüllt:
Unterstützt 10 Standorte, die sich über eine Site-to-Site VPN-Verbindung mit dem virtuellen WAN-Hub verbinden. Unterstützt 8 Gbit/s ExpressRoute-Datenverkehr. Minimiert die Kosten. Was sollten Sie konfigurieren? Um zu antworten, wählen Sie die entsprechenden Optionen im Antwortbereich aus.
HINWEIS: Jede richtige Auswahl ist einen Punkt wert.
正解:
Explanation:
Reference:
https://docs.microsoft.com/en-us/azure/virtual-wan/virtual-wan-about
Aufgabe 2
Sie müssen eine Azure Firewall-Instanz mit dem Namen FW1 erstellen, die die folgenden Anforderungen erfüllt:
* Hat eine IP-Adresse aus dem Adressbereich 10.1.255.0/24
* Verwendet eine neue Premium-Firewall-Richtlinie namens FW-pohcy1
* Leitet den Verkehr direkt ins Internet
Sie müssen eine Azure Firewall-Instanz mit dem Namen FW1 erstellen, die die folgenden Anforderungen erfüllt:
* Hat eine IP-Adresse aus dem Adressbereich 10.1.255.0/24
* Verwendet eine neue Premium-Firewall-Richtlinie namens FW-pohcy1
* Leitet den Verkehr direkt ins Internet
正解:
See the Explanation below for step by step instructions.
* To create an Azure Firewall instance, you need to go to the Azure portal and select Create a resource.
Type firewall in the search box and press Enter. Select Firewall and then select Create1.
* To assign an IP address from the address range of 10.1.255.0/24 to the firewall, you need to select a public IP address that belongs to that range. You can either create a new public IP address or use an existing one1.
* To use a new Premium firewall policy named FW-policy1, you need to select Premium as the Firewall tier and create a new policy with the name FW-policy12. A Premium firewall policy allows you to configure advanced features such as TLS Inspection, IDPS, URL Filtering, and Web Categories3.
* To route traffic directly to the internet, you need to enable SNAT (Source Network Address Translation) for the firewall. SNAT allows the firewall to use its public IP address as the source address for outbound traffic4.
* To create an Azure Firewall instance, you need to go to the Azure portal and select Create a resource.
Type firewall in the search box and press Enter. Select Firewall and then select Create1.
* To assign an IP address from the address range of 10.1.255.0/24 to the firewall, you need to select a public IP address that belongs to that range. You can either create a new public IP address or use an existing one1.
* To use a new Premium firewall policy named FW-policy1, you need to select Premium as the Firewall tier and create a new policy with the name FW-policy12. A Premium firewall policy allows you to configure advanced features such as TLS Inspection, IDPS, URL Filtering, and Web Categories3.
* To route traffic directly to the internet, you need to enable SNAT (Source Network Address Translation) for the firewall. SNAT allows the firewall to use its public IP address as the source address for outbound traffic4.
Sie haben eine Website, die einen FQDN von www.contoso.com verwendet. Der DNS-Eintrag für www.contoso.com wird in einen lokalen Webserver aufgelöst.
Sie planen, die Website zu einer Azure-Web-App mit dem Namen „Web1“ zu migrieren. Die Website auf „Web1“ wird mithilfe einer Azure Front Door-Instanz mit dem Namen „ContosoFD1“ veröffentlicht.
Sie erstellen die Website auf Web1.
Sie planen, ContosoFD1 so zu konfigurieren, dass die Website zu Testzwecken veröffentlicht wird.
Wenn Sie versuchen, eine benutzerdefinierte Domäne für www.contoso.com auf ContosoFD1 zu konfigurieren, erhalten Sie die in der Abbildung gezeigte Fehlermeldung.
Sie müssen die Website und ContosoFD1 testen, ohne den Benutzerzugriff auf den lokalen Webserver zu beeinträchtigen.
Welchen Eintrag sollten Sie in der DNS-Domäne „contoso.com“ erstellen?
Sie planen, die Website zu einer Azure-Web-App mit dem Namen „Web1“ zu migrieren. Die Website auf „Web1“ wird mithilfe einer Azure Front Door-Instanz mit dem Namen „ContosoFD1“ veröffentlicht.
Sie erstellen die Website auf Web1.
Sie planen, ContosoFD1 so zu konfigurieren, dass die Website zu Testzwecken veröffentlicht wird.
Wenn Sie versuchen, eine benutzerdefinierte Domäne für www.contoso.com auf ContosoFD1 zu konfigurieren, erhalten Sie die in der Abbildung gezeigte Fehlermeldung.
Sie müssen die Website und ContosoFD1 testen, ohne den Benutzerzugriff auf den lokalen Webserver zu beeinträchtigen.
Welchen Eintrag sollten Sie in der DNS-Domäne „contoso.com“ erstellen?
正解:D
解答を投票する
解説: (GoShiken メンバーにのみ表示されます)
Ihr lokales Netzwerk verwendet einen IP-Adressbereich von 10.1.0.0 bis 10.1.255.255.
Sie planen die Bereitstellung einer neuen virtuellen Azure-Netzwerklösung, die die folgenden Elemente umfasst:
* Ein virtuelles Netzwerk mit dem Namen VNet1
* Eine Site-to-Site (S2S) VPN-Verbindung zwischen VNet1 und dem lokalen Netzwerk
* GatewaySubnet in VNet1, das als routenbasiertes virtuelles Netzwerkgateway verwendet wird. Sie müssen empfehlen, welche Subnetzmasken VNet1 und GatewaySubnet zugewiesen werden sollen. Die Lösung muss die folgenden Anforderungen erfüllen:
* Maximieren Sie die Anzahl der verfügbaren IP-Adressen auf VNet1.
* Minimieren Sie die Anzahl der verfügbaren IP-Adressen im GatewaySubnet
Welche Adressräume sollen Sie VNet1 und GatewaySubnet zuweisen? Wählen Sie zur Beantwortung die entsprechenden Optionen im Antwortbereich aus.
HINWEIS: Jede richtige Auswahl ist einen Punkt wert.
Sie planen die Bereitstellung einer neuen virtuellen Azure-Netzwerklösung, die die folgenden Elemente umfasst:
* Ein virtuelles Netzwerk mit dem Namen VNet1
* Eine Site-to-Site (S2S) VPN-Verbindung zwischen VNet1 und dem lokalen Netzwerk
* GatewaySubnet in VNet1, das als routenbasiertes virtuelles Netzwerkgateway verwendet wird. Sie müssen empfehlen, welche Subnetzmasken VNet1 und GatewaySubnet zugewiesen werden sollen. Die Lösung muss die folgenden Anforderungen erfüllen:
* Maximieren Sie die Anzahl der verfügbaren IP-Adressen auf VNet1.
* Minimieren Sie die Anzahl der verfügbaren IP-Adressen im GatewaySubnet
Welche Adressräume sollen Sie VNet1 und GatewaySubnet zuweisen? Wählen Sie zur Beantwortung die entsprechenden Optionen im Antwortbereich aus.
HINWEIS: Jede richtige Auswahl ist einen Punkt wert.
正解:
Explanation:
Sie verfügen über ein Azure-Abonnement, das die in der folgenden Tabelle aufgeführten Ressourcen enthält.
Sie müssen sicherstellen, dass die virtuellen Maschinen mithilfe von Serviceendpunkten auf Storage1, Storage2 und DB1 zugreifen können.
Wie viele Service-Endpunkte sollten Sie mindestens erstellen?
Sie müssen sicherstellen, dass die virtuellen Maschinen mithilfe von Serviceendpunkten auf Storage1, Storage2 und DB1 zugreifen können.
Wie viele Service-Endpunkte sollten Sie mindestens erstellen?
正解:D
解答を投票する
Aufgabe 11
Sie müssen sicherstellen, dass nur Hosts auf VNET1 auf das Speicherkonto slcnage42150372 zugreifen können. Die Lösung muss sicherstellen, dass der Zugriff über das Azure-Backbone-Netzwerk erfolgt.
Sie müssen sicherstellen, dass nur Hosts auf VNET1 auf das Speicherkonto slcnage42150372 zugreifen können. Die Lösung muss sicherstellen, dass der Zugriff über das Azure-Backbone-Netzwerk erfolgt.
正解:
See the Explanation below for step by step instructions.
Explanation:
To ensure that only hosts on VNET1 can access the slcnage42150372 storage account and that access occurs over the Azure backbone network, you can use Azure Private Endpoints. This method secures the connection by assigning a private IP address from your virtual network to the storage account, ensuring that traffic does not traverse the public internet.
Step-by-Step Solution
Step 1: Create a Private Endpoint for the Storage Account
* Navigate to the Azure Portal.
* Search for "Storage accounts" and select the slcnage42150372 storage account.
* In the storage account blade, select "Networking" under the "Security + networking" section.
* Under "Private endpoint connections", click on "Add private endpoint".
* Enter the following details:
* Name: Enter a name for the private endpoint (e.g., PrivateEndpoint-VNET1).
* Region: Select the same region as your virtual network (VNET1).
* Click on "Next: Resource".
Step 2: Configure the Resource
* Select "Target sub-resource": Choose the storage service you want to connect to (e.
g., blob, file, queue, table).
* Click on "Next: Virtual network".
Step 3: Select the Virtual Network and Subnet
* Select the virtual network: Choose VNET1.
* Select the subnet: Choose the appropriate subnet within VNET1.
* Click on "Next: Configuration".
Step 4: Configure DNS Integration (Optional)
* Configure DNS settings if needed to ensure proper name resolution within your virtual network.
* Click on "Next: Tags", add any tags if necessary, and then click on "Review + create".
* Review your settings and click on "Create".
Step 5: Restrict Public Network Access
* Navigate back to the storage account.
* Select "Networking" under the "Security + networking" section.
* Under "Firewalls and virtual networks", select "Selected networks".
* Ensure that only VNET1 is listed under the virtual networks section.
* Click on "Save".
Explanation:
* Private Endpoints: These provide secure connectivity to Azure services by assigning a private IP address from your VNet to the service, ensuring that traffic stays within the Azure backbone network12.
* Firewall and Virtual Networks: Configuring the storage account to allow access only from selected networks (VNET1) ensures that no other network can access the storage account3.
By following these steps, you can ensure that only hosts on VNET1 can access the slcnage42150372 storage account, and that all access occurs over the secure Azure backbone network.
Explanation:
To ensure that only hosts on VNET1 can access the slcnage42150372 storage account and that access occurs over the Azure backbone network, you can use Azure Private Endpoints. This method secures the connection by assigning a private IP address from your virtual network to the storage account, ensuring that traffic does not traverse the public internet.
Step-by-Step Solution
Step 1: Create a Private Endpoint for the Storage Account
* Navigate to the Azure Portal.
* Search for "Storage accounts" and select the slcnage42150372 storage account.
* In the storage account blade, select "Networking" under the "Security + networking" section.
* Under "Private endpoint connections", click on "Add private endpoint".
* Enter the following details:
* Name: Enter a name for the private endpoint (e.g., PrivateEndpoint-VNET1).
* Region: Select the same region as your virtual network (VNET1).
* Click on "Next: Resource".
Step 2: Configure the Resource
* Select "Target sub-resource": Choose the storage service you want to connect to (e.
g., blob, file, queue, table).
* Click on "Next: Virtual network".
Step 3: Select the Virtual Network and Subnet
* Select the virtual network: Choose VNET1.
* Select the subnet: Choose the appropriate subnet within VNET1.
* Click on "Next: Configuration".
Step 4: Configure DNS Integration (Optional)
* Configure DNS settings if needed to ensure proper name resolution within your virtual network.
* Click on "Next: Tags", add any tags if necessary, and then click on "Review + create".
* Review your settings and click on "Create".
Step 5: Restrict Public Network Access
* Navigate back to the storage account.
* Select "Networking" under the "Security + networking" section.
* Under "Firewalls and virtual networks", select "Selected networks".
* Ensure that only VNET1 is listed under the virtual networks section.
* Click on "Save".
Explanation:
* Private Endpoints: These provide secure connectivity to Azure services by assigning a private IP address from your VNet to the service, ensuring that traffic stays within the Azure backbone network12.
* Firewall and Virtual Networks: Configuring the storage account to allow access only from selected networks (VNET1) ensures that no other network can access the storage account3.
By following these steps, you can ensure that only hosts on VNET1 can access the slcnage42150372 storage account, and that all access occurs over the secure Azure backbone network.
Sie müssen eine Konfiguration für die ExpressRoute-Verbindung vom Rechenzentrum Boston empfehlen. Die Lösung muss die hybriden Netzwerkanforderungen und Geschäftsanforderungen erfüllen.
Was sollten Sie empfehlen? Um zu antworten, wählen Sie die entsprechenden Optionen im Antwortbereich aus.
HINWEIS: Jede richtige Auswahl ist einen Punkt wert.
Was sollten Sie empfehlen? Um zu antworten, wählen Sie die entsprechenden Optionen im Antwortbereich aus.
HINWEIS: Jede richtige Auswahl ist einen Punkt wert.
正解:
Explanation:
For the first question, only ExpressRoute GW SKU Ultra Performance support FastPath feature.
For the second question, vnet1 will connect to ExpressRoute gw, once Vnet1 peers with Vnet2, the traffic from on-premise network will bypass GW and Vnet1, directly goes to Vnet2, while this feature is under public preview.
====Reference
ExpressRoute virtual network gateway is designed to exchange network routes and route network traffic.
FastPath is designed to improve the data path performance between your on-premises network and your virtual network. When enabled, FastPath sends network traffic directly to virtual machines in the virtual network, bypassing the gateway.
To configure FastPath, the virtual network gateway must be either:
Ultra Performance
ErGw3AZ
VNet Peering - FastPath will send traffic directly to any VM deployed in a virtual network peered to the one connected to ExpressRoute, bypassing the ExpressRoute virtual network gateway.
https://docs.microsoft.com/en-us/azure/expressroute/about-fastpath
Gateway SKU
https://docs.microsoft.com/en-us/azure/expressroute/expressroute-about-virtual-network-gateways