= PaaS 서비스용 프라이빗 DNS 영역이 있는 가상 WAN - DNS 서버 =

나중에 스포크 VNET(및 온-프레미스 네트워크)에서 필요한 모든 것을 해결할 수 있도록 PaaS 서비스용 Azure 프라이빗 DNS 영역을 포함하는 vWAN을 구성하는 올바른 방법은 무엇입니까?
아시다시피 하나의 VNET은 특정 이름의 프라이빗 DNS 영역 하나만 연결할 수 있습니다(예: 동일한 VNET에 연결된 2개의 개별 privatelink.azurewebsites.net을 가질 수 없음).

수동으로 관리되는 표준 허브에서& 스포크 아키텍처 모든 프라이빗 DNS 영역을 내 허브에 연결하겠습니다.

vWAN에서 Hub는 Microsoft에서 관리하므로 Hub VNET에 아무 것도 연결할 수 없습니다. 모든 개인 DNS 영역과 영역에 대한 링크가 있는 VNET을 포함할 허브에 연결된 별도의 "스포크"를 만들어야 한다고 생각합니다. 그런 다음 이 VNET에서 privatelink를 확인할 수 있습니다.

이 VNET에서 Azure 프라이빗 DNS 확인자(또는 VM의 DNS 서버, 여기서는 중요하지 않음)를 만든 다음 각 스포크 VNET을 이러한 DNS 서버 주소로 구성해야 합니까? 각 스포크 VNET에 올바른 DNS 서버 설정이 있는지 어떻게 확인하나요? Azure 정책을 사용하시나요? 아니면 랜딩 존의 일부로 배포해야 할까요?
표준 허브의 경우& 스포크는 여기에 문서화되어 있습니다 - httpsdocs.microsoft.com/en-us/azure/cloud-adoption-framework/ready/azure-best-practices/private-link-and-dns-integration-at-scale #private-link-and-dns-integration-in-hub-and-spoke-network-architectures, 그러나 vWAN에 가장 적합한 방법이 무엇인지 궁금합니다.

해당 DNS 서버를 사용하도록 모든 VNET을 설정하는 정책은 좋은 생각이거나 배포(Terraform, BiCep, PowerShell 등)에서 템플릿으로 지정하는 것이 좋습니다.

나는 이 작업을 수행하지 않았지만 라우팅을 너무 복잡하게 만들기 때문에 허브에 VM이 있으므로 허브에서 이야기할 것입니다. 그리고 영역을 허브 VNET에 연결할 수 없는 경우 PaaS 또는 IaaS 솔루션을 위한 유일한 옵션은 차단하는 것입니다.

다음과 같은 경우 일종의 âÃÂÃÂshared servicesâÃÂÃâ VNET을 원할 것입니다. vWAN으로 이동

vWAN에서 Azure Firewall을 사용하는 경우 이를 DNS 프록시로 사용할 수도 있습니다. 그러면 IAAS DNS 서비스(매직 Azure IP로 전달/조건부 전달) 또는 개인 DNS 확인자로 프록시됩니다.
나는 vWAN에 대해 심각하게 복잡한 감정을 가지고 있습니다. 도입 이후 크게 개선되었지만 자체 허브 구축에 비해 여전히 많은 감독이 있습니다. 관찰 가능성 및 네트워크 디버깅은 거칠고, 당신은 당신의 퍼블릭 IP를 소유하지 않습니다. 구독, DDOS 보호 없음 등 디자인 선택을 방해하고 싶지는 않지만 이 경로를 진행하기 전에 제한 사항을 이해했는지 확인하십시오.

감사합니다. 다양한 옵션을 고려 중입니다.

자체 허브 및 스포크 아키텍처에서 스포크에 대한 UDR을 어떻게 관리합니까?
서로 통신해야 하는 여러 스포크가 있다고 들었습니다(모든 스포크가 사용자 지정 DNS 서버가 있는 다른 스포크와 통신해야 하는 것처럼) 이러한 모든 UDR을 수동으로 관리하기가 정말 어려워지고 있습니다.