= виртуальная глобальная сеть с частными зонами DNS для служб PaaS — DNS-серверы =

Как правильно настроить vWAN, содержащую частные DNS-зоны Azure для служб PaaS, чтобы в дальнейшем лучевые виртуальные сети (и локальные сети) могли разрешить все, что необходимо?
Как мы знаем, одна виртуальная сеть может быть связана только с одной частной зоной DNS с определенным именем (например, у меня не может быть двух разных privatelink.azurewebsites.net, связанных с одной и той же виртуальной сетью).

В стандартном концентраторе, управляемом вручную& архитектура спиц Я бы связал все частные зоны DNS со своим концентратором

В vWAN Hub управляется Microsoft, поэтому я не могу ничего связать с Hub VNET. Я думаю, что мне следует создать отдельную «спицу», подключенную к концентратору, которая будет содержать все частные зоны DNS и виртуальную сеть со ссылками на зоны. Затем частные ссылки могут быть разрешены из этой виртуальной сети.

Должен ли я просто создать Azure Private DNS Resolver (или DNS-серверы на виртуальной машине, здесь не имеет значения) в этой виртуальной сети, а затем каждую лучевую виртуальную сеть следует настроить с этими адресами DNS-серверов? Как убедиться, что каждая лучевая виртуальная сеть имеет правильную настройку DNS-серверов? Используете политику Azure? Или, может быть, его следует развернуть в составе зоны высадки?
Для стандартного концентратора& , это задокументировано здесь: httpsdocs.microsoft.com/en-us/azure/cloud-adoption-framework/ready/azure-best-practices/private-link-and-dns-integration-at-scale #private-link-and-dns-integration-in-hub-and-spoke-network-архитектуры, однако мне интересно, как лучше всего использовать vWAN

Политика, позволяющая настроить все виртуальные сети на использование этого DNS-сервера, является хорошей идеей или создать шаблон в вашем развертывании (Terraform, BiCep, PowerShell и т. д.).

Я этого не делал, но я бы говорил об этом вне хаба, поскольку в хабе у меня есть виртуальные машины, поскольку это делает маршрутизацию такой сложной. И если вы не можете подключить зону к виртуальной сети-концентратору, я считаю, что ее отключение — единственный вариант для решения PaaS или IaaS.

YouâÃÂÃÂre, скорее всего, захочет какой-то âÃÂÃÂобщие сервисыâÃÂàVNET, если вы использовать vWAN

Если вы используете брандмауэр Azure в vWAN, вы также можете использовать его в качестве прокси-сервера DNS. Это будет прокси к вашей DNS-службе IAAS (которая будет перенаправлять/условно перенаправлять на волшебный IP-адрес Azure) или частному преобразователю DNS.
У меня серьезные смешанные чувства по поводу vWAN. Он значительно улучшился с момента его появления, но по-прежнему имеет массу недостатков по сравнению с хабом «создай свой собственный». Наблюдаемость и отладка сети затруднены, вы не должны владеть публичным IP-адресом в своем подписка, отсутствие защиты от DDOS и т. д. Я не хочу препятствовать вашему выбору дизайна, но просто убедитесь, что вы понимаете ограничения, прежде чем идти по этому пути.

Спасибо, я просто рассматриваю несколько вариантов

Как вы управляете UDR для периферийных устройств в вашей собственной архитектуре узловых и периферийных устройств?
Я слышал, что нескольким лучам необходимо взаимодействовать друг с другом (например, все лучи должны взаимодействовать с другим лучом с настраиваемыми DNS-серверами), становится очень сложно управлять всеми этими UDR вручную.