= Virtuelles WAN mit privaten DNS-Zonen für PaaS-Dienste – DNS-Server =

Was wäre der richtige Weg, um vWAN mit privaten Azure-DNS-Zonen für PaaS-Dienste zu konfigurieren, damit später Spoke-VNETs (und lokale Netzwerke) alles Notwendige auflösen können?
Wie wir wissen, kann ein VNET nur mit einer privaten DNS-Zone mit einem bestimmten Namen verknüpft werden (z. B. ich kann nicht zwei unterschiedliche privatelink.azurewebsites.net mit demselben VNET verknüpfen).

Im standardmäßigen, manuell verwalteten Hub& Spoke-Architektur Ich würde alle privaten DNS-Zonen mit meinem Hub verknüpfen

Im vWAN wird Hub von Microsoft verwaltet, sodass ich nichts mit Hub VNET verknüpfen kann. Ich denke, ich sollte einen separaten "Spoke"erstellen, der mit dem Hub verbunden ist und alle privaten DNS-Zonen und VNET mit Links zu Zonen enthält. Dann können private Links von diesem VNET aufgelöst werden

Soll ich einfach Azure Private DNS Resolver (oder DNS-Server auf VM, spielt hier keine Rolle) in diesem VNET erstellen und dann sollte jedes Spoke-VNET mit diesen DNS-Serveradressen konfiguriert werden? Wie würde sichergestellt, dass jedes Spoke-VNET über die richtige DNS-Servereinrichtung verfügt? Verwenden Sie Azure Policy? Oder sollte es vielleicht als Teil der Landezone eingesetzt werden?
Für den Standard-Hub& sprach, dies ist hier dokumentiert – httpsdocs.microsoft.com/en-us/azure/cloud-adoption-framework/ready/azure-best-practices/private-link-and-dns-integration-at-scale #private-link-and-dns-integration-in-hub-and-spoke-network-architectures, aber ich frage mich, was der beste Weg für vWAN ist

Eine Richtlinie zum Festlegen aller VNETs für die Verwendung dieses DNS-Servers ist eine gute Idee, oder lassen Sie sie in Ihrer Bereitstellung (Terraform, BiCep, PowerShell usw.)

Ich habe das nicht getan, aber ich würde es vom Hub wegsprechen, da ich VMs im Hub habe, da dies das Routing so kompliziert macht. Und wenn Sie die Zone nicht an das Hub-VNET anhängen können, ist das Aussprechen meiner Meinung nach die einzige Option für die PaaS- oder IaaS-Lösung

Sie werden höchstwahrscheinlich irgendeine Art von „Shared Services“ VNET wollen, wenn Sie das möchten Gehe mit einem vWAN

Wenn Sie im vWAN eine Azure Firewall verwenden, können Sie diese auch als DNS-Proxy fungieren lassen. Das wäre ein Proxy für Ihren IAAS-DNS-Dienst (der an die magische Azure-IP weiterleiten/bedingt weiterleiten würde) oder den privaten DNS-Resolver
Ich habe ernsthafte gemischte Gefühle in Bezug auf vWAN. Es hat sich seit seiner Einführung erheblich verbessert, hat aber im Vergleich zum Bau eines eigenen Hubs immer noch eine Menge Versäumnisse. Beobachtbarkeit und Netzwerk-Debugging sind grob, Sie besitzen die öffentliche IP nicht in Ihrem Abonnement, kein DDOS-Schutz usw. Ich möchte Ihre Designwahl nicht entmutigen, aber stellen Sie einfach sicher, dass Sie die Einschränkungen verstehen, bevor Sie diesen Weg einschlagen

Danke, ich ziehe gerade mehrere verschiedene Optionen in Betracht

Wie verwalten Sie UDRs für Spokes in Ihrer eigenen Hub-and-Spoke-Architektur?
Ich habe gehört, dass es bei mehreren Spokes, die miteinander kommunizieren müssen (wie alle Spokes mit einem anderen Spoke mit benutzerdefinierten DNS-Servern kommunizieren müssen), sehr schwierig wird, alle diese UDRs manuell zu verwalten.