= WAN virtual cu zone DNS private pentru servicii PaaS - servere DNS =

Care ar fi modalitatea corectă de a configura vWAN care conține Azure Private DNS Zones pentru serviciile PaaS, astfel încât mai târziu rețelele virtuale spoke (și rețelele locale) să poată rezolva tot ceea ce este necesar?
După cum știm, o rețea virtuală poate fi conectată cu o singură zonă DNS privată cu un nume specific (de exemplu, nu pot avea 2 privatelink.azurewebsites.net distincte conectate la același rețea virtuală)

În hub-ul standard, gestionat manual& Arhitectura vorbite Aș lega toate zonele DNS private la Hub-ul meu

În vWAN, Hub este gestionat de Microsoft, așa că nu pot conecta nimic la Hub VNET. Cred că ar trebui să creez „spoke” separate conectate la Hub, care va conține toate zonele DNS private și VNET cu link-uri către zone. Apoi, privatelink-urile pot fi rezolvate din acest VNET

Ar trebui doar să creez Azure Private DNS Resolver (sau servere DNS pe VM, nu contează aici) în acest VNET și apoi fiecare VNET cu vorbire ar trebui configurat cu aceste adrese de servere DNS? Cum s-ar asigura că fiecare spoke VNET are configurarea corectă a serverelor DNS? Folosești Politica Azure? Sau poate ar trebui să fie desfășurat ca parte a zonei de aterizare?
Pentru hub-ul standard& a vorbit acest lucru este documentat aici - httpsdocs.microsoft.com/en-us/azure/cloud-adoption-framework/ready/azure-best-practices/private-link-and-dns-integration-at-scale #private-link-and-dns-integration-in-hub-and-spoke-network-architectures, cu toate acestea, mă întreb care este cea mai bună modalitate pentru vWAN

Politica de a seta toate rețelele virtuale virtuale să utilizeze acel server DNS este o idee bună sau de a-l modela în implementarea dvs. (Terraform, BiCep, PowerShell etc.)

Nu am făcut asta, dar l-aș vorbi în afara hub-ului, am VM-uri în hub, deoarece face rutarea atât de complicată. Și dacă nu puteți atașa zona la hub-ul VNET, cred că vorbirea este singura opțiune pentru soluția PaaS sau IaaS

Mai mult ca sigur vei dori un fel de âÃÂÃÂservicii partajateâ¢ÃÂàVNET dacă mergi cu un vWAN

Dacă utilizați un paravan de protecție Azure în vWAN, îl puteți folosi și ca proxy DNS. Acest lucru ar trimite proxy către serviciul dvs. DNS IAAS (care ar transmite/redirecționează condiționat către IP-ul magic Azure) sau Private DNS Resolver
Am sentimente mixte despre vWAN. ItâÃÂÃÂs-a îmbunătățit semnificativ de la introducerea sa, dar are încă o mulțime de neglijențe în comparație cu build-your-your-hub. Observabilitatea și depanarea rețelei sunt dificile, nu dețineți IP-ul public din dvs. abonament, fără protecție DDOS etc. Nu vreau să vă descurajez alegerea de proiectare, dar asigurați-vă că înțelegeți limitările înainte de a urma această rută.

Mulțumesc, mă gândesc doar la mai multe opțiuni diferite

Cum gestionați UDR-urile pentru spițe în propria arhitectură hub și spițe?
Am auzit că mai multe spițe trebuie să comunice între ele (la fel cum toate spițele trebuie să comunice cu o altă spiță cu servere DNS personalizate) devine foarte greu să gestionezi toate aceste UDR-uri manual.