Konfigurieren und Überprüfen der DNS-Namensauflösung für private Microsoft Purview-Endpunkte
Konzeptuelle Übersicht
Eine genaue Namensauflösung ist eine wichtige Anforderung beim Einrichten privater Endpunkte für Ihre Microsoft Purview-Konten.
Möglicherweise müssen Sie die interne Namensauflösung in Ihren DNS-Einstellungen aktivieren, um die IP-Adressen des privaten Endpunkts in den vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) von Datenquellen und Ihrem Verwaltungscomputer in das Microsoft Purview-Konto und die selbstgehostete Integration Runtime aufzulösen, je nachdem, welche Szenarien Sie bereitstellen.
Das folgende Beispiel zeigt die DNS-Namensauflösung von Microsoft Purview außerhalb des virtuellen Netzwerks oder wenn kein privater Azure-Endpunkt konfiguriert ist.
Das folgende Beispiel zeigt die DNS-Namensauflösung von Microsoft Purview innerhalb des virtuellen Netzwerks.
Bereitstellungsoptionen
Verwenden Sie eine der folgenden Optionen, um die interne Namensauflösung einzurichten, wenn Sie private Endpunkte für Ihr Microsoft Purview-Konto verwenden:
- Stellen Sie neue Azure Privates DNS Zones in Ihrer Azure-Umgebung als Teil der Bereitstellung privater Endpunkte bereit. (Standardoption)
- Verwenden Sie vorhandene Azure Privates DNS Zones. Verwenden Sie diese Option, wenn Sie einen privaten Endpunkt in einem Hub-and-Spoke-Modell aus einem anderen Abonnement oder sogar innerhalb desselben Abonnements verwenden.
- Verwenden Sie Ihre eigenen DNS-Server , wenn Sie keine DNS-Weiterleitungen verwenden und stattdessen A-Einträge direkt auf Ihren lokalen DNS-Servern verwalten.
Option 1: Bereitstellen neuer Azure Privates DNS-Zonen
Bereitstellen neuer Azure Privates DNS Zones
Um die interne Namensauflösung zu aktivieren, können Sie die erforderlichen Azure DNS-Zonen in Ihrem Azure-Abonnement bereitstellen, in dem das Microsoft Purview-Konto bereitgestellt wird.
Wenn Sie erfassungs-, Portal- und Kontoendpunkte erstellen, werden die DNS-CNAME-Ressourceneinträge für Microsoft Purview automatisch auf einen Alias in einigen Unterdomänen mit dem Präfix privatelinkaktualisiert:
Standardmäßig erstellen wir während der Bereitstellung des privaten Kontoendpunkts für Ihr Microsoft Purview-Konto auch eine private DNS-Zone, die der
privatelinkUnterdomäne für Microsoft Purview entspricht, daprivatelink.purview.azure.comDNS A-Ressourceneinträge für die privaten Endpunkte enthalten sind.Während der Bereitstellung eines privaten Portalendpunkts für Ihr Microsoft Purview-Konto erstellen wir auch eine neue private DNS-Zone, die der
privatelinkUnterdomäne für Microsoft Purview entspricht undprivatelink.purviewstudio.azure.comDNS-A-Ressourceneinträge für Web enthält.Wenn Sie private Erfassungsendpunkte aktivieren, sind zusätzliche DNS-Zonen für verwaltete oder konfigurierte Ressourcen erforderlich.
Die folgende Tabelle zeigt ein Beispiel für Azure Privates DNS-Zonen und DNS A-Einträge, die als Teil der Konfiguration eines privaten Endpunkts für ein Microsoft Purview-Konto bereitgestellt werden, wenn Sie Privates DNS Integration während der Bereitstellung aktivieren:
| Privater Endpunkt | Privater Endpunkt, der zugeordnet ist | DNS-Zone (neu) | Ein Datensatz (Beispiel) |
|---|---|---|---|
| Konto | Microsoft Purview | privatelink.purview.azure.com |
Contoso-Purview |
| Portal | Microsoft Purview | privatelink.purviewstudio.azure.com |
Web |
| Einnahme | Verwaltetes Microsoft Purview-Speicherkonto: Blob | privatelink.blob.core.windows.net |
scaneastusabcd1234 |
| Einnahme | Von Microsoft Purview verwaltetes Speicherkonto– Warteschlange | privatelink.queue.core.windows.net |
scaneastusabcd1234 |
| Einnahme | Von Microsoft Purview verwaltetes Speicherkonto – Event Hub | privatelink.servicebus.windows.net |
atlas-12345678-1234-1234-abcd-123456789abc |
Überprüfen von VNET-Verbindungen in Azure Privates DNS Zones
Stellen Sie nach Abschluss der Bereitstellung des privaten Endpunkts sicher, dass in allen entsprechenden Azure Privates DNS Zonen eine Virtuelle Netzwerkverbindung mit dem virtuellen Azure-Netzwerk vorhanden ist, in dem der private Endpunkt bereitgestellt wurde.
Weitere Informationen finden Sie unter DNS-Konfiguration für private Azure-Endpunkte.
Überprüfen der internen Namensauflösung
Wenn Sie die Microsoft Purview-Endpunkt-URL von außerhalb des virtuellen Netzwerks mit dem privaten Endpunkt auflösen, wird sie in den öffentlichen Endpunkt von Microsoft Purview aufgelöst. Wenn die Auflösung über das virtuelle Netzwerk, in dem der private Endpunkt gehostet wird, aufgelöst wird, wird die Microsoft Purview-Endpunkt-URL in die IP-Adresse des privaten Endpunkts aufgelöst.
Beispiel: Wenn ein Microsoft Purview-Kontoname "Contoso-Purview" lautet und er von außerhalb des virtuellen Netzwerks aufgelöst wird, das den privaten Endpunkt hostet, lautet dies:
| Name | Typ | Wert |
|---|---|---|
Contoso-Purview.purview.azure.com |
CNAME | Contoso-Purview.privatelink.purview.azure.com |
Contoso-Purview.privatelink.purview.azure.com |
CNAME | <Öffentlicher Microsoft Purview-Endpunkt> |
| <Öffentlicher Microsoft Purview-Endpunkt> | Ein | <Öffentliche Microsoft Purview-IP-Adresse> |
Web.purview.azure.com |
CNAME | <Öffentlicher Endpunkt des Microsoft Purview-Governanceportals> |
Die DNS-Ressourceneinträge für Contoso-Purview werden im virtuellen Netzwerk, in dem der private Endpunkt gehostet wird, aufgelöst:
| Name | Typ | Wert |
|---|---|---|
Contoso-Purview.purview.azure.com |
CNAME | Contoso-Purview.privatelink.purview.azure.com |
Contoso-Purview.privatelink.purview.azure.com |
Ein | <IP-Adresse des privaten Endpunkts des Microsoft Purview-Kontos> |
Web.purview.azure.com |
CNAME | <IP-Adresse des privaten Endpunkts im Microsoft Purview-Portal> |
Option 2: Verwenden vorhandener Azure Privates DNS-Zonen
Verwenden vorhandener Azure Privates DNS-Zonen
Während der Bereitstellung privater Microsft Purview-Endpunkte können Sie Privates DNS Integration mithilfe vorhandener Azure Privates DNS-Zonen auswählen. Dies ist üblich für Organisationen, in denen ein privater Endpunkt für andere Dienste in Azure verwendet wird. Stellen Sie in diesem Fall während der Bereitstellung privater Endpunkte sicher, dass Sie die vorhandenen DNS-Zonen auswählen, anstatt neue zu erstellen.
Dieses Szenario gilt auch, wenn Ihr organization ein zentrales Abonnement oder ein Hubabonnement für alle Azure Privates DNS Zones verwendet.
Die folgende Liste enthält die erforderlichen Azure DNS-Zonen und A-Einträge für private Microsoft Purview-Endpunkte:
Hinweis
Aktualisieren Sie alle Namen mit Contoso-Purview,scaneastusabcd1234 und atlas-12345678-1234-1234-abcd-123456789abc mit dem entsprechenden Azure-Ressourcennamen in Ihrer Umgebung. Verwenden Sie beispielsweise anstelle des scaneastusabcd1234 Namens Ihres verwalteten Microsoft Purview-Speicherkontos.
| Privater Endpunkt | Privater Endpunkt, der zugeordnet ist | DNS-Zone (vorhanden) | Ein Datensatz (Beispiel) |
|---|---|---|---|
| Konto | Microsoft Purview | privatelink.purview.azure.com |
Contoso-Purview |
| Portal | Microsoft Purview | privatelink.purviewstudio.azure.com |
Web |
| Einnahme | Verwaltetes Microsoft Purview-Speicherkonto: Blob | privatelink.blob.core.windows.net |
scaneastusabcd1234 |
| Einnahme | Von Microsoft Purview verwaltetes Speicherkonto– Warteschlange | privatelink.queue.core.windows.net |
scaneastusabcd1234 |
| Einnahme | Von Microsoft Purview verwaltetes Speicherkonto – Event Hub | privatelink.servicebus.windows.net |
atlas-12345678-1234-1234-abcd-123456789abc |
Weitere Informationen finden Sie unter Virtuelle Netzwerkworkloads ohne benutzerdefinierten DNS-Server und lokale Workloads, die eine DNS-Weiterleitung in der DNS-Konfiguration für private Azure-Endpunkte verwenden.
Überprüfen von VNET-Verbindungen in Azure Privates DNS Zones
Stellen Sie nach Abschluss der Bereitstellung des privaten Endpunkts sicher, dass in allen entsprechenden Azure Privates DNS Zonen eine Virtuelle Netzwerkverbindung mit dem virtuellen Azure-Netzwerk vorhanden ist, in dem der private Endpunkt bereitgestellt wurde.
Weitere Informationen finden Sie unter DNS-Konfiguration für private Azure-Endpunkte.
Konfigurieren von DNS-Weiterleitungen, wenn benutzerdefiniertes DNS verwendet wird
Darüber hinaus ist es erforderlich, Ihre DNS-Konfigurationen in einem virtuellen Azure-Netzwerk zu überprüfen, in dem sich die selbstgehostete Integration Runtime-VM oder der Verwaltungs-PC befindet.
Wenn sie auf Standard konfiguriert ist, ist in diesem Schritt keine weitere Aktion erforderlich.
Wenn ein benutzerdefinierter DNS-Server verwendet wird, sollten Sie entsprechende DNS-Weiterleitungen in Ihren DNS-Servern für die folgenden Zonen hinzufügen:
- Purview.azure.com
- purviewstudio.azure.com
- Blob.core.windows.net
- Queue.core.windows.net
- Servicebus.windows.net
Überprüfen der internen Namensauflösung
Wenn Sie die Microsoft Purview-Endpunkt-URL von außerhalb des virtuellen Netzwerks mit dem privaten Endpunkt auflösen, wird sie in den öffentlichen Endpunkt von Microsoft Purview aufgelöst. Wenn die Auflösung über das virtuelle Netzwerk, in dem der private Endpunkt gehostet wird, aufgelöst wird, wird die Microsoft Purview-Endpunkt-URL in die IP-Adresse des privaten Endpunkts aufgelöst.
Beispiel: Wenn ein Microsoft Purview-Kontoname "Contoso-Purview" lautet und er von außerhalb des virtuellen Netzwerks aufgelöst wird, das den privaten Endpunkt hostet, lautet dies:
| Name | Typ | Wert |
|---|---|---|
Contoso-Purview.purview.azure.com |
CNAME | Contoso-Purview.privatelink.purview.azure.com |
Contoso-Purview.privatelink.purview.azure.com |
CNAME | <Öffentlicher Microsoft Purview-Endpunkt> |
| <Öffentlicher Microsoft Purview-Endpunkt> | Ein | <Öffentliche Microsoft Purview-IP-Adresse> |
Web.purview.azure.com |
CNAME | <Öffentlicher Endpunkt des Microsoft Purview-Governanceportals> |
Die DNS-Ressourceneinträge für Contoso-Purview werden im virtuellen Netzwerk, in dem der private Endpunkt gehostet wird, aufgelöst:
| Name | Typ | Wert |
|---|---|---|
Contoso-Purview.purview.azure.com |
CNAME | Contoso-Purview.privatelink.purview.azure.com |
Contoso-Purview.privatelink.purview.azure.com |
Ein | <IP-Adresse des privaten Endpunkts des Microsoft Purview-Kontos> |
Web.purview.azure.com |
CNAME | <IP-Adresse des privaten Endpunkts im Microsoft Purview-Portal> |
Option 3: Verwenden Eigener DNS-Server
Wenn Sie keine DNS-Weiterleitungen verwenden und stattdessen A-Einträge direkt auf Ihren lokalen DNS-Servern verwalten, um die Endpunkte über ihre privaten IP-Adressen aufzulösen, müssen Sie möglicherweise die folgenden A-Einträge auf Ihren DNS-Servern erstellen.
Hinweis
Aktualisieren Sie alle Namen mit Contoso-Purview,scaneastusabcd1234 und atlas-12345678-1234-1234-abcd-123456789abc mit dem entsprechenden Azure-Ressourcennamen in Ihrer Umgebung. Verwenden Sie beispielsweise anstelle des scaneastusabcd1234 Namens Ihres verwalteten Microsoft Purview-Speicherkontos.
| Name | Typ | Wert |
|---|---|---|
web.purview.azure.com |
Ein | <IP-Adresse des privaten Endpunkts des Portals von Microsoft Purview> |
scaneastusabcd1234.blob.core.windows.net |
Ein | <IP-Adresse des privaten Endpunkts für die Bloberfassung von Microsoft Purview> |
scaneastusabcd1234.queue.core.windows.net |
Ein | <IP-Adresse des privaten Endpunkts für die Warteschlangenerfassung von Microsoft Purview> |
atlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net |
Ein | <IP-Adresse des privaten Endpunkts für die Namespaceerfassung von Microsoft Purview> |
Contoso-Purview.Purview.azure.com |
Ein | <IP-Adresse des privaten Endpunkts des Kontos von Microsoft Purview> |
Contoso-Purview.scan.Purview.azure.com |
Ein | <IP-Adresse des privaten Endpunkts des Kontos von Microsoft Purview> |
Contoso-Purview.catalog.Purview.azure.com |
Ein | <IP-Adresse des privaten Endpunkts des Kontos von Microsoft Purview> |
Contoso-Purview.proxy.purview.azure.com |
Ein | <IP-Adresse des privaten Endpunkts des Kontos von Microsoft Purview> |
Contoso-Purview.guardian.purview.azure.com |
Ein | <IP-Adresse des privaten Endpunkts des Kontos von Microsoft Purview> |
gateway.purview.azure.com |
Ein | <IP-Adresse des privaten Endpunkts des Kontos von Microsoft Purview> |
insight.prod.ext.web.purview.azure.com |
Ein | <IP-Adresse des privaten Endpunkts des Portals von Microsoft Purview> |
manifest.prod.ext.web.purview.azure.com |
Ein | <IP-Adresse des privaten Endpunkts des Portals von Microsoft Purview> |
cdn.prod.ext.web.purview.azure.com |
Ein | <IP-Adresse des privaten Endpunkts des Portals von Microsoft Purview> |
hub.prod.ext.web.purview.azure.com |
Ein | <IP-Adresse des privaten Endpunkts des Portals von Microsoft Purview> |
catalog.prod.ext.web.purview.azure.com |
Ein | <IP-Adresse des privaten Endpunkts des Portals von Microsoft Purview> |
cseo.prod.ext.web.purview.azure.com |
Ein | <IP-Adresse des privaten Endpunkts des Portals von Microsoft Purview> |
datascan.prod.ext.web.purview.azure.com |
Ein | <IP-Adresse des privaten Endpunkts des Portals von Microsoft Purview> |
datashare.prod.ext.web.purview.azure.com |
Ein | <IP-Adresse des privaten Endpunkts des Portals von Microsoft Purview> |
datasource.prod.ext.web.purview.azure.com |
Ein | <IP-Adresse des privaten Endpunkts des Portals von Microsoft Purview> |
policy.prod.ext.web.purview.azure.com |
Ein | <IP-Adresse des privaten Endpunkts des Portals von Microsoft Purview> |
sensitivity.prod.ext.web.purview.azure.com |
Ein | <IP-Adresse des privaten Endpunkts des Portals von Microsoft Purview> |
web.privatelink.purviewstudio.azure.com |
Ein | <IP-Adresse des privaten Endpunkts des Portals von Microsoft Purview> |
workflow.prod.ext.web.purview.azure.com |
Ein | <IP-Adresse des privaten Endpunkts des Portals von Microsoft Purview> |
Überprüfen und DNS-Testnamenauflösung und Konnektivität
Wenn Sie Azure Privates DNS Zones verwenden, stellen Sie sicher, dass die folgenden DNS-Zonen und die entsprechenden A-Einträge in Ihrem Azure-Abonnement erstellt werden:
Privater Endpunkt Privater Endpunkt, der zugeordnet ist DNS-Zone A Record )(Beispiel) Konto Microsoft Purview privatelink.purview.azure.comContoso-Purview Portal Microsoft Purview privatelink.purviewstudio.azure.comWeb Einnahme Verwaltetes Microsoft Purview-Speicherkonto: Blob privatelink.blob.core.windows.netscaneastusabcd1234 Einnahme Von Microsoft Purview verwaltetes Speicherkonto– Warteschlange privatelink.queue.core.windows.netscaneastusabcd1234 Einnahme Microsoft Purview-konfigurierte Event Hubs – Event Hub privatelink.servicebus.windows.netatlas-12345678-1234-1234-abcd-123456789abc Erstellen Sie Virtuelle Netzwerkverbindungen in Ihren Azure Privates DNS Zones für Ihre virtuellen Azure-Netzwerke, um die interne Namensauflösung zu ermöglichen.
Testen Sie über Ihren Verwaltungs-PC und die selbstgehostete Integration Runtime-VM die Namensauflösung und Netzwerkkonnektivität mit Ihrem Microsoft Purview-Konto mithilfe von Tools wie Nslookup.exe und PowerShell.
Zum Testen der Namensauflösung müssen Sie die folgenden FQDNs über ihre privaten IP-Adressen auflösen: (Verwenden Sie anstelle von Contoso-Purview, scaneastusabcd1234 oder atlas-12345678-1234-1234-abcd-123456789abc den Hostnamen, der Ihrem Purview-Kontonamen und verwalteten oder konfigurierten Ressourcennamen zugeordnet ist.)
Contoso-Purview.purview.azure.comweb.purview.azure.comscaneastusabcd1234.blob.core.windows.netscaneastusabcd1234.queue.core.windows.netatlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net
Um die Netzwerkkonnektivität zu testen, können Sie auf einer selbstgehosteten Integration Runtime-VM die PowerShell-Konsole starten und die Konnektivität mit Test-NetConnectiontesten.
Sie müssen jeden Endpunkt nach ihrem privaten Endpunkt auflösen und TcpTestSucceeded als True abrufen. (Verwenden Sie anstelle von Contoso-Purview, scaneastusabcd1234 oder atlas-12345678-1234-1234-abcd-123456789abc den Hostnamen, der Ihrem Purview-Kontonamen und verwalteten oder konfigurierten Ressourcennamen zugeordnet ist.)
Test-NetConnection -ComputerName Contoso-Purview.purview.azure.com -port 443Test-NetConnection -ComputerName web.purview.azure.com -port 443Test-NetConnection -ComputerName scaneastusabcd1234.blob.core.windows.net -port 443Test-NetConnection -ComputerName scaneastusabcd1234.queue.core.windows.net -port 443Test-NetConnection -ComputerName atlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net -port 443