= PaaS サービス用のプライベート DNS ゾーンを備えた仮想 WAN - DNS サーバー =

PaaS サービス用の Azure プライベート DNS ゾーンを含む vWAN を構成して、後でスポーク VNET (およびオンプレミス ネットワーク) が必要なことをすべて解決できるようにする正しい方法は何でしょうか?
ご存知のとおり、1 つの VNET は特定の名前の 1 つのプライベート DNS ゾーンにのみリンクできます (たとえば、2 つの異なる privatelink.azurewebsites.net を同じ VNET にリンクすることはできません)。

標準の手動管理ハブ& スポーク アーキテクチャ すべてのプライベート DNS ゾーンをハブにリンクします

vWAN では、ハブは Microsoft によって管理されているため、ハブ VNET に何もリンクできません。すべてのプライベート DNS ゾーンとゾーンへのリンクを持つ VNET を含む、ハブに接続された別の「スポーク」を作成する必要があると思います。その後、この VNET からプライベートリンクを解決できます。

この VNET に Azure プライベート DNS リゾルバー (または VM 上の DNS サーバー、ここでは関係ありません) を作成し、各スポーク VNET をこれらの DNS サーバー アドレスで構成する必要がありますか?各スポーク VNET に正しい DNS サーバーが設定されていることを確認するにはどうすればよいでしょうか? Azure ポリシーを使用しますか?それともランディングゾーンの一部として配備されるべきなのでしょうか?
標準ハブの場合& スポーク これはここに文書化されています - httpsdocs.microsoft.com/en-us/azure/cloud-adoption-framework/ready/azure-best-practices/private-link-and-dns-integration-at-scale #private-link-and-dns-integration-in-hub-and-spoke-network-architectures ですが、vWAN の最適な方法は何かを考えています。

その DNS サーバーを使用するようにすべての VNET を設定するポリシーを設定するか、デプロイでテンプレート化することをお勧めします (Terraform、BiCep、PowerShell など)。

私はこれを行っていませんが、ルーティングが非常に複雑になるため、ハブに VM があると、ハブから離れて話します。また、ゾーンをハブ VNET に接続できない場合は、それを無効にすることが PaaS または IaaS ソリューションの唯一のオプションであると考えています。

何らかの種類の「共有サービス」「VNET」が必要になる可能性が高くなります。 vWAN を使用する

vWAN で Azure Firewall を使用する場合は、それを DNS プロキシとして機能させることもできます。これは、IAAS DNS サービス (魔法の Azure IP に転送/条件付きで転送) またはプライベート DNS リゾルバーにプロキシします。
私は vWAN について深刻な複雑な感情を抱いています。導入以来、大幅に改善されましたが、独自のハブと比較して、まだ見落としがたくさんあります。オブザーバビリティとネットワークのデバッグは大雑把です。サブスクリプション、DDOS 保護なしなど。設計の選択を思いとどまらせたくありませんが、この方法を追求する前に制限を理解していることを確認してください。

ありがとう、私は複数の異なるオプションを検討しています

独自のハブ アンド スポーク アーキテクチャでスポークの UDR をどのように管理しますか?
複数のスポークが相互に通信する必要があると聞いています (すべてのスポークがカスタム DNS サーバーを使用して別のスポークと通信する必要があるように)、これらすべての UDR を手動で管理するのは非常に難しくなっています。