我正在为在世界各地设有办事处的多个组织设置 Anyconnect。他们将共享两个拥有 vASA 的 Azure 数据中心，一个在欧洲，另一个在美国。在每个位置，我们将为每个组织的所有站点提供一个中心辐射型拓扑。

我们计划使用 Anyconnect 进行远程访问。考虑到用户将来自世界各地并且还将进行国际旅行，我正在尝试找出最合乎逻辑的设置方式。以下是我的想法和问题：

三个主要业务组 biz1、biz2 和 biz3。他们都将在 Azure 数据中心拥有资源，并且可能需要访问特定站点的资源

选项 1：具有 FQDN vpn.biz1.com、vpn.biz2.com 和 vpn.biz3.com。将 DNS 记录指向“代表”每家公司的站点。为这些获取 SSL 证书。不利的一面是，需要访问数据中心的用户最终会在每个站点的 ASA 外发夹（掉头）并返回数据中心。使用两倍的数据。如果用户是国际用户，那么他们最终可能会遇到高延迟，具体取决于他们所从事的业务。Biz1 主要是美国，而 Biz2 和 Biz3 主要是欧盟。

选项 2：使用 Azure 数据中心作为这些连接的中心。无论如何，大多数人最终都需要访问那里的资源，如果他们确实需要访问站点本地的资源，那么他们将发夹到他们需要访问的站点。

选项 2 似乎最有意义，但我不知道我们应该如何解析名称。如果 Biz1 的用户在美国，那就太好了，他们会将 vpn.biz1.com 地址解析为美国 Azure 站点的公共 IP。如果他们在欧洲，他们会得到另一个。

有哪些选项可用于地理解析地址？

使用 SSL 证书会遇到哪些问题？不是我的强项，但我认为 SSL 证书需要绑定到 1 个域名和 1 个公共 IP。一个证书可以用于两个单独的公共 IP 地址吗？

所有站点都有 ASA。

感谢您的任何意见！