= Wirtualna sieć WAN z prywatnymi strefami DNS dla usług PaaS — serwery DNS =

Jaki byłby właściwy sposób skonfigurowania vWAN zawierającego Azure Private DNS Zones dla usług PaaS, aby później szprychowe sieci wirtualne (i sieci lokalne) mogły rozwiązać wszystko, co jest konieczne?
Jak wiemy, jeden VNET może być połączony tylko z jedną strefą Private DNS Zone o określonej nazwie (np. nie mogę mieć 2 odrębnych privatelink.azurewebsites.net połączonych z tą samą VNET)

W standardzie ręcznie zarządzany hub& architektura szprych Połączyłbym wszystkie prywatne strefy DNS z moim koncentratorem

W vWAN Hub jest zarządzany przez Microsoft, więc nie mogę nic połączyć z Hub VNET. Myślę, że powinienem utworzyć osobne „szprychy” połączone z Hubem, które będą zawierały wszystkie prywatne strefy DNS i VNET z linkami do stref. Następnie można rozpoznać łącza prywatne z tej sieci wirtualnej

Czy powinienem po prostu utworzyć usługę Azure Private DNS Resolver (lub serwery DNS na maszynie wirtualnej, nie ma to znaczenia) w tej sieci wirtualnej, a następnie każdą sieć wirtualną szprych należy skonfigurować przy użyciu tych adresów serwerów DNS? Jak zapewnić, że każda szprychowa sieć wirtualna ma poprawną konfigurację serwerów DNS? Używasz Azure Policy? A może powinien być rozmieszczony jako część strefy lądowania?
Dla standardowego koncentratora& mówił to jest udokumentowane tutaj — httpsdocs.microsoft.com/en-us/azure/cloud-adoption-framework/ready/azure-best-practices/private-link-and-dns-integration-at-scale #private-link-and-dns-integration-in-hub-and-spoke-network-architectures, jednak zastanawiam się, jaki jest najlepszy sposób dla vWAN

Dobrym pomysłem jest ustawienie zasad, aby wszystkie sieci wirtualne korzystały z tego serwera DNS lub mieć szablon we wdrożeniu (Terraform, BiCep, PowerShell itp.)

Nie zrobiłem tego, ale powiedziałbym to poza hubem, ponieważ mam maszyny wirtualne w hubie, ponieważ to bardzo komplikuje routing. A jeśli nie możesz dołączyć strefy do sieci VNET koncentratora, uważam, że wypowiedzenie jej jest jedyną opcją dla rozwiązania PaaS lub IaaS

Bardziej niż prawdopodobne jest, że będziesz potrzebować jakiegoś rodzaju âÃÂÃÂusług wspólnych, jeśli idź z vWANem

Jeśli korzystasz z zapory platformy Azure w sieci vWAN, możesz również służyć jako serwer proxy DNS. To byłoby proxy dla twojej usługi DNS IAAS (która przekazywała/warunkowo przekazywałaby magiczny adres IP platformy Azure) lub Private DNS Resolver
Mam bardzo mieszane uczucia co do vWAN. Od czasu wprowadzenia na rynek znacznie się poprawiła, ale nadal ma mnóstwo niedopatrzeń w porównaniu do własnego centrum. Obserwowalność i debugowanie sieci jest trudne, nie posiadasz publicznego adresu IP w swoim subskrypcja, brak ochrony DDOS itp. Nie chcę zniechęcać do wyboru projektu, ale po prostu upewnij się, że rozumiesz ograniczenia przed wybraniem tej trasy

Dzięki, właśnie rozważam kilka różnych opcji

Jak zarządzasz UDR dla szprych we własnym hubie i architekturze szprych?
Słyszałem, że wiele szprych musi się ze sobą komunikować (tak jak wszystkie szprychy muszą komunikować się z inną szprychą z niestandardowymi serwerami DNS), więc ręczne zarządzanie wszystkimi tymi UDR staje się naprawdę trudne.