= віртуальна глобальна мережа з приватними зонами DNS для служб PaaS - сервери DNS =

Яким буде правильний спосіб налаштувати vWAN, що містить приватні зони DNS Azure, для служб PaaS, щоб пізніше спільні VNET (і локальні мережі) могли вирішити все, що потрібно?
Як ми знаємо, одна VNET може бути пов’язана лише з однією приватною зоною DNS із певним ім’ям (наприклад, я не можу мати 2 окремі privatelink.azurewebsites.net, пов’язані з тією самою VNET)

У стандартному концентраторі з ручним керуванням& спільна архітектура Я б пов’язав усі приватні зони DNS зі своїм концентратором

У vWAN концентратором керує Microsoft, тому я не можу нічого зв’язати з Hub VNET. Я думаю, що мені слід створити окрему «спицю», підключену до концентратора, яка міститиме всі приватні зони DNS і VNET із посиланнями на зони. Тоді приватні посилання можна розв’язати з цієї VNET

Чи варто мені просто створити Azure Private DNS Resolver (або DNS-сервери на віртуальній машині, тут не має значення) у цій VNET, а потім кожну спільну VNET слід налаштувати за допомогою цих адрес DNS-серверів? Як забезпечити правильні налаштування DNS-серверів для кожної роз’ємної VNET? Використовуєте політику Azure? А може, його варто розгорнути як частину зони висадки?
Для стандартного концентратора& spoke це задокументовано тут - httpsdocs.microsoft.com/en-us/azure/cloud-adoption-framework/ready/azure-best-practices/private-link-and-dns-integration-at-scale #private-link-and-dns-integration-in-hub-and-spoke-network-architectures, однак мені цікаво, який спосіб є найкращим для vWAN

Гарною ідеєю є політика налаштувати всі віртуальні мережі на використання цього DNS-сервера або мати його шаблон у своєму розгортанні (Terraform, BiCep, PowerShell тощо)

Я цього не робив, але я б говорив про це поза концентратором, оскільки я маю віртуальні машини в концентраторі, оскільки це ускладнює маршрутизацію. І якщо ви не можете під’єднати зону до концентратора VNET, я вважаю, що її вимкнення є єдиним варіантом для рішення PaaS або IaaS

Ви, ймовірно, захочете створити спільний доступ до служб VNET, якщо ви використовувати vWAN

Якщо ви використовуєте брандмауер Azure у vWAN, ви також можете використовувати його як DNS-проксі. Це буде проксі-сервер до вашої служби IAAS DNS (яка пересилатиме/умовно пересилатиме магічну IP-адресу Azure) або приватний DNS Resolver
У мене серйозні змішані почуття щодо vWAN. Він значно покращився з моменту появи, але все ще має масу недоліків порівняно з центром створення власного хабу. Спостереження та налагодження мережі є грубими, ви не маєте загальнодоступної IP-адреси у своєму підписка, без захисту від DDOS тощо. Я не хочу перешкоджати вашому вибору дизайну, але просто переконайтеся, що ви розумієте обмеження, перш ніж продовжувати цей шлях

Дякую, я просто розглядаю кілька різних варіантів

Як ви керуєте UDR для спілок у своєму власному концентраторі та архітектурі спілок?
Я чув, що коли кільком спіцям потрібно спілкуватися одна з одною (як усі спіці мають спілкуватися з іншою спіцею за допомогою спеціальних DNS-серверів), стає дуже важко керувати всіма цими UDR вручну.