Балансировка нагрузки в Azure - субдомены И SignalR

Я создаю стандартный мультитенантный сайт со следующей структурой:

• example.com
• tenant1.example.com
• tenant2.example.com

Хостинг - это веб-приложения Azure. Клиенты создаются динамически (их может быть много), а сайт включает компоненты, работающие в реальном времени, поэтому использует Azure SignalR. На сайте будет подстановочный сертификат SSL/TLS, чтобы включить структуру поддоменов.

Вместо того, чтобы напрямую обращаться к службе приложений в одном регионе, я хотел бы поставить перед ней балансировщик нагрузки и направлять трафик в региональные кластеры или, возможно, даже отдельные экземпляры для более крупных клиентов. Также было бы хорошо иметь встроенную защиту от DDOS-атак.

Azure Front Door было моим первым исследованием, оно может обрабатывать сертификаты с подстановочными знаками, но не поддерживает SignalR.

Следующим моим исследованием был Application Gateway, он может обрабатывать SignalR, но не поддерживает сертификаты Wilcard.

Что касается DDOS-атак, кажется, мы можем включить определенную форму защиты прямо в веб-приложениях. Однако мне кажется, что это будет сдерживать атаку, а не обеспечивать (недорогую) защиту, как я полагаю, балансировщик нагрузки.

Как я могу сбалансировать эту ситуацию, пожалуйста?