= WAN virtuale con zone DNS private per servizi PaaS - Server DNS =

Quale sarebbe il modo corretto di configurare la vWAN contenente le zone DNS private di Azure per i servizi PaaS in modo che in seguito le reti virtuali spoke (e le reti locali) possano risolvere tutto ciò che è necessario?
Come sappiamo, un VNET può essere collegato a una sola zona DNS privata con un nome specifico (ad esempio, non posso avere 2 privatelink.azurewebsites.net distinti collegati allo stesso VNET)

Nell'hub standard gestito manualmente& architettura spoke Collegherei tutte le zone DNS private al mio hub

Nella vWAN, Hub è gestito da Microsoft, quindi non posso collegare nulla a Hub VNET. Penso che dovrei creare uno "spoke"separato connesso all'hub che conterrà tutte le zone DNS private e VNET con collegamenti alle zone. Quindi, i collegamenti privati ​​possono essere risolti da questo VNET

Devo semplicemente creare Azure Private DNS Resolver (o server DNS su VM, non importa qui) in questo VNET e quindi ogni VNET spoke dovrebbe essere configurato con questi indirizzi di server DNS? In che modo si garantisce che ogni rete virtuale spoke abbia la configurazione corretta dei server DNS? Utilizzi i criteri di Azure? O forse dovrebbe essere distribuito come parte della zona di atterraggio?
Per l'hub standard& parlato questo è documentato qui - httpsdocs.microsoft.com/en-us/azure/cloud-adoption-framework/ready/azure-best-practices/private-link-and-dns-integration-at-scale #private-link-and-dns-integration-in-hub-and-spoke-network-architectures, tuttavia mi chiedo quale sia il modo migliore per vWAN

I criteri per impostare tutte le reti virtuali in modo che utilizzino quel server DNS sono una buona idea o hanno un modello nella distribuzione (Terraform, BiCep, PowerShell e così via)

Non l'ho fatto, ma lo parlerei dall'hub, avendo VM nell'hub in quanto rende il routing così complicato. E se non riesci a collegare la zona alla rete virtuale dell'hub, credo che parlarne sia l'unica opzione per la soluzione PaaS o IaaS

È molto probabile che vorrai una sorta di VNET con servizi condivisi se tu vai con una vWAN

Se usi un firewall di Azure nella vWAN, puoi anche fare in modo che funga da proxy DNS. Ciò farebbe il proxy al tuo servizio DNS IAAS (che inoltrerebbe/inoltrerebbe in modo condizionale al magico IP di Azure) o al risolutore DNS privato
Ho seri sentimenti contrastanti su vWAN. È migliorato in modo significativo da quando è stato introdotto, ma ha ancora un sacco di sviste rispetto all'hub creato da te. L'osservabilità e il debug della rete sono approssimativi, non possiedi l'IP pubblico nel tuo abbonamento, nessuna protezione DDOS, ecc. Non voglio scoraggiare la tua scelta di progettazione, ma assicurati solo di comprendere i limiti prima di seguire questa strada

Grazie, sto solo valutando più opzioni diverse

Come gestisci gli UDR per gli spoke nel tuo hub e l'architettura dei spoke?
Ho sentito che più raggi devono comunicare tra loro (come tutti i raggi devono comunicare con un altro raggio con server DNS personalizzati) sta diventando davvero difficile gestire manualmente tutti questi UDR.