= 具有用于 PaaS 服务的专用 DNS 区域的虚拟 WAN - DNS 服务器 =

为 PaaS 服务配置包含 Azure 私有 DNS 区域的 vWAN 的正确方法是什么,以便稍后辐射 VNET(和本地网络)可以解决所有必要的问题?
正如我们所知,一个 VNET 只能与一个特定名称的私有 DNS 区域链接(例如,我不能将 2 个不同的 privatelink.azurewebsites.net 链接到同一个 VNET)

在标准的手动管理集线器中& 辐条架构我会将所有私有 DNS 区域链接到我的集线器

在 vWAN 中,Hub 由 Microsoft 管理,因此我无法将任何内容链接到 Hub VNET。我认为我应该创建连接到集线器的单独“辐射”,它将包含所有私有 DNS 区域和带有区域链接的 VNET。然后,可以从此 VNET 解析私有链接

我是否应该在此 VNET 中创建 Azure 私有 DNS 解析器(或 VM 上的 DNS 服务器,此处无关紧要),然后每个分支 VNET 都应该配置这些 DNS 服务器地址?如何确保每个分支 VNET 都具有正确的 DNS 服务器设置?使用 Azure 策略?或者它应该作为着陆区的一部分部署?
对于标准集线器& 说这在此处记录 - httpsdocs.microsoft.com/en-us/azure/cloud-adoption-framework/ready/azure-best-practices/private-link-and-dns-integration-at-scale #private-link-and-dns-integration-in-hub-and-spoke-network-architectures,但是我想知道 vWAN 的最佳方式是什么

将所有 VNET 设置为使用该 DNS 服务器的策略是个好主意,或者在您的部署中将其模板化(Terraform、BiCep、PowerShell 等)

我没有这样做,但我会从集线器上讲出来,我在集线器中有虚拟机,因为它使路由变得如此复杂。如果您不能将该区域附加到中心 VNET,我相信说出来是 PaaS 或 IaaS 解决方案的唯一选择

如果你使用 vWAN

如果在 vWAN 中使用 Azure 防火墙,您还可以将其用作 DNS 代理。这将代理到您的 IAAS DNS 服务(将转发/有条件地转发到神奇的 Azure IP)或私有 DNS 解析器
我对 vWAN 的感觉很复杂。自推出以来,它有了显着改进,但与构建您自己的中心相比,它仍然存在大量疏忽。可观察性和网络调试很粗糙,你没有在你的公共 IP订阅,没有 DDOS 保护等。我不想阻止您的设计选择,但请确保您在走这条路之前了解这些限制

谢谢,我正在考虑多种不同的选择

您如何在自己的中心辐射架构中管理辐射的 UDR?
我听说有多个辐条需要相互通信(就像所有辐条都必须通过自定义 DNS 服务器与另一个辐条通信)手动管理所有这些 UDR 变得越来越困难。