【正解: B】の理由

大規模環境のベスト プラクティスは 「Hub に 1 つの Private DNS Zone + すべての Spoke にリンク + オンプレは Private Resolver 経由」 です。Private DNS Zone は privatelink.[サービス名] という固定名で、各 Azure サービスに対応するゾーンを 1 サブスクリプションあたり 1 つ作るのが推奨です。

【DNS 解決フロー】

クライアント (オンプレ)
  → contosostor.blob.core.windows.net
オンプレ DNS フォワーダ
  → 条件付き転送
Azure DNS Private Resolver (Hub VNet)
  → 解決
privatelink.blob.core.windows.net Private Zone
  → 10.0.5.4 (Private Endpoint IP)
クライアントは 10.0.5.4 にアクセス (プライベート経路)

【他選択肢が違う理由】

A. Spoke 毎に DNS Zone

運用が破綻、管理コスト膨大。Hub 集約が標準です。

C. ホスト ファイル

スケールせず、IP 変更時にすべて手作業が必要です。

D. パブリック DNS で書き換え

パブリック リゾルバはインターネット全体に公開されるため、内部用途には不適切です。

【参考】

Private Endpoint DNS 統合 / Azure DNS Private Resolver