Configuración y comprobación de la resolución de nombres DNS para puntos de conexión privados de Microsoft Purview
Información general conceptual
La resolución precisa de nombres es un requisito fundamental al configurar puntos de conexión privados para las cuentas de Microsoft Purview.
Es posible que necesite habilitar la resolución interna de nombres en la configuración de DNS para resolver las direcciones IP del punto de conexión privado en el nombre de dominio completo (FQDN) de los orígenes de datos y la máquina de administración a la cuenta de Microsoft Purview y al entorno de ejecución de integración autohospedado, en función de los escenarios que implemente.
En el ejemplo siguiente se muestra la resolución de nombres DNS de Microsoft Purview desde fuera de la red virtual o cuando no se configura un punto de conexión privado de Azure.
En el ejemplo siguiente se muestra la resolución de nombres DNS de Microsoft Purview desde dentro de la red virtual.
Opciones de implementación
Use cualquiera de las siguientes opciones para configurar la resolución interna de nombres al usar puntos de conexión privados para su cuenta de Microsoft Purview:
- Implemente nuevas zonas de Azure DNS privado en el entorno de Azure que forma parte de la implementación de puntos de conexión privados. (Opción predeterminada)
- Use zonas de Azure DNS privado existentes. Use esta opción si usa un punto de conexión privado en un modelo de concentrador y radio de una suscripción diferente o incluso dentro de la misma suscripción.
- Use sus propios servidores DNS si no usa reenviadores DNS y, en su lugar, administra registros A directamente en los servidores DNS locales.
Opción 1: Implementación de nuevas zonas de Azure DNS privado
Implementación de nuevas zonas de Azure DNS privado
Para habilitar la resolución interna de nombres, puede implementar las zonas DNS de Azure necesarias dentro de la suscripción de Azure donde se implementa la cuenta de Microsoft Purview.
Al crear puntos de conexión privados de ingesta, portal y cuenta, los registros de recursos CNAME de DNS para Microsoft Purview se actualizan automáticamente a un alias en pocos subdominios con el prefijo privatelink:
De forma predeterminada, durante la implementación del punto de conexión privado de cuenta para la cuenta de Microsoft Purview, también creamos una zona DNS privada que corresponde al
privatelinksubdominio de Microsoft Purview, yaprivatelink.purview.azure.comque incluye registros de recursos A de DNS para los puntos de conexión privados.Durante la implementación del punto de conexión privado del portal para su cuenta de Microsoft Purview, también creamos una nueva zona DNS privada que corresponde al
privatelinksubdominio de Microsoft Purview, comoprivatelink.purviewstudio.azure.comincluir registros de recursos A de DNS para Web.Si habilita puntos de conexión privados de ingesta, se requieren zonas DNS adicionales para los recursos administrados o configurados.
En la tabla siguiente se muestra un ejemplo de zonas de Azure DNS privado y registros A de DNS que se implementan como parte de la configuración del punto de conexión privado para una cuenta de Microsoft Purview si habilita DNS privado integración durante la implementación:
| Punto de conexión privado | Punto de conexión privado asociado a | Zona DNS (nueva) | Un registro (ejemplo) |
|---|---|---|---|
| Cuenta | Microsoft Purview | privatelink.purview.azure.com |
Contoso-Purview |
| Portal | Microsoft Purview | privatelink.purviewstudio.azure.com |
Web |
| Ingestión | Cuenta de almacenamiento administrada de Microsoft Purview: Blob | privatelink.blob.core.windows.net |
scaneastusabcd1234 |
| Ingestión | Cuenta de almacenamiento administrada de Microsoft Purview: cola | privatelink.queue.core.windows.net |
scaneastusabcd1234 |
| Ingestión | Cuenta de almacenamiento administrada de Microsoft Purview: Centro de eventos | privatelink.servicebus.windows.net |
atlas-12345678-1234-1234-abcd-123456789abc |
Validación de vínculos de red virtual en Azure DNS privado Zones
Una vez completada la implementación del punto de conexión privado, asegúrese de que hay un vínculo de red virtual en todas las zonas de Azure DNS privado correspondientes a la red virtual de Azure donde se implementó el punto de conexión privado.
Para más información, consulte Configuración de DNS del punto de conexión privado de Azure.
Comprobación de la resolución interna de nombres
Al resolver la dirección URL del punto de conexión de Microsoft Purview desde fuera de la red virtual con el punto de conexión privado, se resuelve en el punto de conexión público de Microsoft Purview. Cuando se resuelve desde la red virtual que hospeda el punto de conexión privado, la dirección URL del punto de conexión de Microsoft Purview se resuelve en la dirección IP del punto de conexión privado.
Por ejemplo, si un nombre de cuenta de Microsoft Purview es "Contoso-Purview", cuando se resuelva desde fuera de la red virtual que hospeda el punto de conexión privado, será:
| Nombre | Tipo | Valor |
|---|---|---|
Contoso-Purview.purview.azure.com |
CNAME | Contoso-Purview.privatelink.purview.azure.com |
Contoso-Purview.privatelink.purview.azure.com |
CNAME | <Punto de conexión público de Microsoft Purview> |
| <Punto de conexión público de Microsoft Purview> | A | <Dirección IP pública de Microsoft Purview> |
Web.purview.azure.com |
CNAME | <Punto de conexión público del portal de gobernanza de Microsoft Purview> |
Los registros de recursos DNS para Contoso-Purview, cuando se resuelvan en la red virtual que hospeda el punto de conexión privado, serán:
| Nombre | Tipo | Valor |
|---|---|---|
Contoso-Purview.purview.azure.com |
CNAME | Contoso-Purview.privatelink.purview.azure.com |
Contoso-Purview.privatelink.purview.azure.com |
A | <Dirección IP del punto de conexión privado de la cuenta de Microsoft Purview> |
Web.purview.azure.com |
CNAME | <Dirección IP del punto de conexión privado del portal de Microsoft Purview> |
Opción 2: Uso de Azure DNS privado Zones existente
Uso de Azure DNS privado Zones existente
Durante la implementación de puntos de conexión privados de Microsft Purview, puede elegir DNS privado integración mediante zonas de Azure DNS privado existentes. Este es el caso común de las organizaciones en las que se usa un punto de conexión privado para otros servicios de Azure. En este caso, durante la implementación de puntos de conexión privados, asegúrese de seleccionar las zonas DNS existentes en lugar de crear otras nuevas.
Este escenario también se aplica si la organización usa una suscripción central o central para todas las zonas de Azure DNS privado.
En la lista siguiente se muestran las zonas DNS de Azure necesarias y los registros A para los puntos de conexión privados de Microsoft Purview:
Nota:
Actualice todos los nombres con Contoso-Purviewy atlas-12345678-1234-1234-abcd-123456789abcscaneastusabcd1234 con el nombre de recursos de Azure correspondiente en su entorno. Por ejemplo, en lugar de scaneastusabcd1234 usar el nombre de la cuenta de almacenamiento administrada de Microsoft Purview.
| Punto de conexión privado | Punto de conexión privado asociado a | Zona DNS (existente) | Un registro (ejemplo) |
|---|---|---|---|
| Cuenta | Microsoft Purview | privatelink.purview.azure.com |
Contoso-Purview |
| Portal | Microsoft Purview | privatelink.purviewstudio.azure.com |
Web |
| Ingestión | Cuenta de almacenamiento administrada de Microsoft Purview: Blob | privatelink.blob.core.windows.net |
scaneastusabcd1234 |
| Ingestión | Cuenta de almacenamiento administrada de Microsoft Purview: cola | privatelink.queue.core.windows.net |
scaneastusabcd1234 |
| Ingestión | Cuenta de almacenamiento administrada de Microsoft Purview: Centro de eventos | privatelink.servicebus.windows.net |
atlas-12345678-1234-1234-abcd-123456789abc |
Para obtener más información, consulte Cargas de trabajo de red virtual sin servidor DNS personalizado y cargas de trabajo locales con escenarios de reenviador DNS en la configuración de DNS de punto de conexión privado de Azure.
Comprobación de vínculos de red virtual en Azure DNS privado Zones
Una vez completada la implementación del punto de conexión privado, asegúrese de que hay un vínculo de red virtual en todas las zonas de Azure DNS privado correspondientes a la red virtual de Azure donde se implementó el punto de conexión privado.
Para más información, consulte Configuración de DNS del punto de conexión privado de Azure.
Configuración de reenviadores DNS si se usa DNS personalizado
Además, es necesario validar las configuraciones de DNS en la red virtual de Azure donde se encuentra la máquina virtual o el equipo de administración del entorno de ejecución de integración autohospedado.
Si está configurado como Predeterminado, no se requiere ninguna acción adicional en este paso.
Si se usa un servidor DNS personalizado, debe agregar los reenviadores DNS correspondientes dentro de los servidores DNS para las zonas siguientes:
- Purview.azure.com
- purviewstudio.azure.com
- Blob.core.windows.net
- Queue.core.windows.net
- Servicebus.windows.net
Comprobación de la resolución interna de nombres
Al resolver la dirección URL del punto de conexión de Microsoft Purview desde fuera de la red virtual con el punto de conexión privado, se resuelve en el punto de conexión público de Microsoft Purview. Cuando se resuelve desde la red virtual que hospeda el punto de conexión privado, la dirección URL del punto de conexión de Microsoft Purview se resuelve en la dirección IP del punto de conexión privado.
Por ejemplo, si un nombre de cuenta de Microsoft Purview es "Contoso-Purview", cuando se resuelva desde fuera de la red virtual que hospeda el punto de conexión privado, será:
| Nombre | Tipo | Valor |
|---|---|---|
Contoso-Purview.purview.azure.com |
CNAME | Contoso-Purview.privatelink.purview.azure.com |
Contoso-Purview.privatelink.purview.azure.com |
CNAME | <Punto de conexión público de Microsoft Purview> |
| <Punto de conexión público de Microsoft Purview> | A | <Dirección IP pública de Microsoft Purview> |
Web.purview.azure.com |
CNAME | <Punto de conexión público del portal de gobernanza de Microsoft Purview> |
Los registros de recursos DNS para Contoso-Purview, cuando se resuelvan en la red virtual que hospeda el punto de conexión privado, serán:
| Nombre | Tipo | Valor |
|---|---|---|
Contoso-Purview.purview.azure.com |
CNAME | Contoso-Purview.privatelink.purview.azure.com |
Contoso-Purview.privatelink.purview.azure.com |
A | <Dirección IP del punto de conexión privado de la cuenta de Microsoft Purview> |
Web.purview.azure.com |
CNAME | <Dirección IP del punto de conexión privado del portal de Microsoft Purview> |
Opción 3: Usar sus propios servidores DNS
Si no usa reenviadores DNS y, en su lugar, administra registros A directamente en los servidores DNS locales para resolver los puntos de conexión a través de sus direcciones IP privadas, es posible que tenga que crear los siguientes registros A en los servidores DNS.
Nota:
Actualice todos los nombres con Contoso-Purviewy atlas-12345678-1234-1234-abcd-123456789abcscaneastusabcd1234 con el nombre de recursos de Azure correspondiente en su entorno. Por ejemplo, en lugar de scaneastusabcd1234 usar el nombre de la cuenta de almacenamiento administrada de Microsoft Purview.
| Nombre | Tipo | Valor |
|---|---|---|
web.purview.azure.com |
A | <Dirección IP del punto de conexión privado del portal de Microsoft Purview> |
scaneastusabcd1234.blob.core.windows.net |
A | <dirección IP del punto de conexión privado de ingesta de blobs de Microsoft Purview> |
scaneastusabcd1234.queue.core.windows.net |
A | <dirección IP del punto de conexión privado de ingesta de cola de Microsoft Purview> |
atlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net |
A | <dirección IP del punto de conexión privado de ingesta de espacio de nombres de Microsoft Purview> |
Contoso-Purview.Purview.azure.com |
A | <dirección IP del punto de conexión privado de la cuenta de Microsoft Purview> |
Contoso-Purview.scan.Purview.azure.com |
A | <dirección IP del punto de conexión privado de la cuenta de Microsoft Purview> |
Contoso-Purview.catalog.Purview.azure.com |
A | <dirección IP del punto de conexión privado de la cuenta de Microsoft Purview> |
Contoso-Purview.proxy.purview.azure.com |
A | <dirección IP del punto de conexión privado de la cuenta de Microsoft Purview> |
Contoso-Purview.guardian.purview.azure.com |
A | <dirección IP del punto de conexión privado de la cuenta de Microsoft Purview> |
gateway.purview.azure.com |
A | <dirección IP del punto de conexión privado de la cuenta de Microsoft Purview> |
insight.prod.ext.web.purview.azure.com |
A | <Dirección IP del punto de conexión privado del portal de Microsoft Purview> |
manifest.prod.ext.web.purview.azure.com |
A | <Dirección IP del punto de conexión privado del portal de Microsoft Purview> |
cdn.prod.ext.web.purview.azure.com |
A | <Dirección IP del punto de conexión privado del portal de Microsoft Purview> |
hub.prod.ext.web.purview.azure.com |
A | <Dirección IP del punto de conexión privado del portal de Microsoft Purview> |
catalog.prod.ext.web.purview.azure.com |
A | <Dirección IP del punto de conexión privado del portal de Microsoft Purview> |
cseo.prod.ext.web.purview.azure.com |
A | <Dirección IP del punto de conexión privado del portal de Microsoft Purview> |
datascan.prod.ext.web.purview.azure.com |
A | <Dirección IP del punto de conexión privado del portal de Microsoft Purview> |
datashare.prod.ext.web.purview.azure.com |
A | <Dirección IP del punto de conexión privado del portal de Microsoft Purview> |
datasource.prod.ext.web.purview.azure.com |
A | <Dirección IP del punto de conexión privado del portal de Microsoft Purview> |
policy.prod.ext.web.purview.azure.com |
A | <Dirección IP del punto de conexión privado del portal de Microsoft Purview> |
sensitivity.prod.ext.web.purview.azure.com |
A | <Dirección IP del punto de conexión privado del portal de Microsoft Purview> |
web.privatelink.purviewstudio.azure.com |
A | <Dirección IP del punto de conexión privado del portal de Microsoft Purview> |
workflow.prod.ext.web.purview.azure.com |
A | <Dirección IP del punto de conexión privado del portal de Microsoft Purview> |
Comprobación y conectividad de la resolución y la conectividad de nombres de prueba de DNS
Si usa Azure DNS privado Zones, asegúrese de que se crean las siguientes zonas DNS y los registros A correspondientes en la suscripción de Azure:
Punto de conexión privado Punto de conexión privado asociado a Zona DNS A Record )(example) Cuenta Microsoft Purview privatelink.purview.azure.comContoso-Purview Portal Microsoft Purview privatelink.purviewstudio.azure.comWeb Ingestión Cuenta de almacenamiento administrada de Microsoft Purview: Blob privatelink.blob.core.windows.netscaneastusabcd1234 Ingestión Cuenta de almacenamiento administrada de Microsoft Purview: cola privatelink.queue.core.windows.netscaneastusabcd1234 Ingestión Event Hubs configurado por Microsoft Purview: Centro de eventos privatelink.servicebus.windows.netatlas-12345678-1234-1234-abcd-123456789abc Cree vínculos de red virtual en Azure DNS privado Zones para las redes virtuales de Azure para permitir la resolución interna de nombres.
Desde el equipo de administración y la máquina virtual del entorno de ejecución de integración autohospedado, pruebe la resolución de nombres y la conectividad de red con su cuenta de Microsoft Purview mediante herramientas como Nslookup.exe y PowerShell.
Para probar la resolución de nombres, debe resolver los siguientes FQDN a través de sus direcciones IP privadas: (en lugar de Contoso-Purview, scaneastusabcd1234 o atlas-12345678-1234-1234-abcd-123456789abc, use el nombre de host asociado con el nombre de cuenta de Purview y los nombres de recursos administrados o configurados).
Contoso-Purview.purview.azure.comweb.purview.azure.comscaneastusabcd1234.blob.core.windows.netscaneastusabcd1234.queue.core.windows.netatlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net
Para probar la conectividad de red, desde la máquina virtual del entorno de ejecución de integración autohospedado puede iniciar la consola de PowerShell y probar la conectividad mediante Test-NetConnection.
Debe resolver cada punto de conexión por su punto de conexión privado y obtener TcpTestSucceeded como True. (En lugar de Contoso-Purview, scaneastusabcd1234 o atlas-12345678-1234-1234-abcd-123456789abc, use el nombre de host asociado con el nombre de cuenta de Purview y los nombres de recursos administrados o configurados).
Test-NetConnection -ComputerName Contoso-Purview.purview.azure.com -port 443Test-NetConnection -ComputerName web.purview.azure.com -port 443Test-NetConnection -ComputerName scaneastusabcd1234.blob.core.windows.net -port 443Test-NetConnection -ComputerName scaneastusabcd1234.queue.core.windows.net -port 443Test-NetConnection -ComputerName atlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net -port 443