= WAN เสมือนพร้อมโซน DNS ส่วนตัวสำหรับบริการ PaaS - เซิร์ฟเวอร์ DNS =

ข้อใดคือวิธีที่ถูกต้องในการกำหนดค่า vWAN ที่มี Azure Private DNS Zones สำหรับบริการ PaaS ดังนั้นในภายหลัง VNET ที่พูด (และเครือข่ายภายในองค์กร) จึงสามารถแก้ไขทุกสิ่งที่จำเป็นได้
ดังที่เราทราบ VNET หนึ่งสามารถเชื่อมโยงกับโซน DNS ส่วนตัวของชื่อเฉพาะได้เพียงโซนเดียว (เช่น ฉันไม่สามารถมี privatelink.azurewebsites.net ที่แตกต่างกัน 2 อันที่เชื่อมโยงกับ VNET เดียวกันได้)

ในมาตรฐาน ฮับที่จัดการด้วยตนเอง& สถาปัตยกรรมแบบพูด ฉันจะเชื่อมโยงโซน DNS ส่วนตัวทั้งหมดกับฮับของฉัน

ใน vWAN ฮับได้รับการจัดการโดย Microsoft ดังนั้นฉันจึงไม่สามารถเชื่อมโยงสิ่งใดกับ Hub VNET ได้ ฉันคิดว่าฉันควรสร้าง "spoke"แยกต่างหากที่เชื่อมต่อกับ Hub ซึ่งจะมีโซน DNS ส่วนตัวและ VNET ทั้งหมดที่มีลิงก์ไปยังโซนต่างๆ จากนั้น ลิงก์ส่วนตัวสามารถแก้ไขได้จาก VNET นี้

ฉันควรสร้าง Azure Private DNS Resolver (หรือเซิร์ฟเวอร์ DNS บน VM ไม่สำคัญที่นี่) ใน VNET นี้ จากนั้น VNET ที่พูดแต่ละรายการควรได้รับการกำหนดค่าด้วยที่อยู่เซิร์ฟเวอร์ DNS เหล่านี้ จะแน่ใจได้อย่างไรว่า VNET แต่ละซี่มีการตั้งค่าเซิร์ฟเวอร์ DNS ที่ถูกต้อง ใช้นโยบาย Azure? หรือบางทีมันควรจะปรับใช้เป็นส่วนหนึ่งของเขตลงจอด?
สำหรับฮับมาตรฐาน& พูดสิ่งนี้เป็นเอกสารที่นี่ - httpsdocs.microsoft.com/en-us/azure/cloud-adoption-framework/ready/azure-best-practices/private-link-and-dns-integration-at-scale #private-link-and-dns-integration-in-hub-and-spoke-network-architectures แต่ฉันสงสัยว่าอะไรคือวิธีที่ดีที่สุดสำหรับ vWAN

นโยบายในการตั้งค่า VNET ทั้งหมดให้ใช้เซิร์ฟเวอร์ DNS นั้นเป็นความคิดที่ดี หรือมีเทมเพลตในการปรับใช้ของคุณ (Terraform, BiCep, PowerShell เป็นต้น)

ฉันไม่ได้ทำสิ่งนี้ แต่ฉันจะพูดนอกฮับ ฉันมี VM อยู่ในฮับ เพราะมันทำให้การกำหนดเส้นทางซับซ้อนมาก และถ้าคุณไม่สามารถแนบโซนเข้ากับฮับ VNET ได้ ฉันเชื่อว่าการปิดโซนนั้นเป็นทางเลือกเดียวสำหรับโซลูชัน PaaS หรือ IaaS

คุณมักจะต้องการ âÃÂÃÂshared servicesâÃÂàVNET หากคุณ ไปกับ vWAN

หากคุณใช้ไฟร์วอลล์ Azure ใน vWAN คุณยังสามารถใช้เป็นพร็อกซี DNS ได้อีกด้วย ที่จะพร็อกซีไปยังบริการ IAAS DNS ของคุณ (ซึ่งจะส่งต่อ/ส่งต่ออย่างมีเงื่อนไขไปยัง Magic Azure IP) หรือตัวแก้ไข DNS ส่วนตัว
ฉันมีความรู้สึกที่หลากหลายเกี่ยวกับ vWAN ItâÃÂÃÂs ปรับปรุงอย่างมีนัยสำคัญตั้งแต่มีการแนะนำ แต่ก็ยังมีการกำกับดูแลมากมายเมื่อเทียบกับฮับที่สร้างขึ้นเอง ความสามารถในการสังเกตและการดีบักเครือข่ายนั้นค่อนข้างหยาบ คุณไม่ได้เป็นเจ้าของ IP สาธารณะในของคุณ การสมัครสมาชิก ไม่มีการป้องกัน DDOS ฯลฯ ฉันไม่ต้องการกีดกันตัวเลือกการออกแบบของคุณ แต่เพียงต้องแน่ใจว่าคุณเข้าใจข้อจำกัดก่อนที่จะดำเนินการตามเส้นทางนี้

ขอบคุณ ฉันแค่กำลังพิจารณาตัวเลือกต่างๆ มากมาย

คุณจะจัดการ UDR สำหรับซี่ในฮับและซี่ล้อของคุณเองได้อย่างไร?
ฉันได้ยินมาว่าซี่หลายซี่จำเป็นต้องสื่อสารกัน (เช่นซี่ทั้งหมดต้องสื่อสารกับซี่อื่นด้วยเซิร์ฟเวอร์ DNS แบบกำหนดเอง) การจัดการ UDR ทั้งหมดเหล่านี้ด้วยตนเองนั้นยากมาก