Freigeben über


Konfigurieren und Überprüfen der DNS-Namensauflösung für private Microsoft Purview-Endpunkte

Konzeptuelle Übersicht

Eine genaue Namensauflösung ist eine wichtige Anforderung beim Einrichten privater Endpunkte für Ihre Microsoft Purview-Konten.

Möglicherweise müssen Sie die interne Namensauflösung in Ihren DNS-Einstellungen aktivieren, um die IP-Adressen des privaten Endpunkts in den vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) von Datenquellen und Ihrem Verwaltungscomputer in das Microsoft Purview-Konto und die selbstgehostete Integration Runtime aufzulösen, je nachdem, welche Szenarien Sie bereitstellen.

Das folgende Beispiel zeigt die DNS-Namensauflösung von Microsoft Purview außerhalb des virtuellen Netzwerks oder wenn kein privater Azure-Endpunkt konfiguriert ist.

Screenshot: Microsoft Purview-Namensauflösung von außerhalb von CorpNet

Das folgende Beispiel zeigt die DNS-Namensauflösung von Microsoft Purview innerhalb des virtuellen Netzwerks.

Screenshot, der die Namensauflösung von Microsoft Purview in CorpNet zeigt.

Bereitstellungsoptionen

Verwenden Sie eine der folgenden Optionen, um die interne Namensauflösung einzurichten, wenn Sie private Endpunkte für Ihr Microsoft Purview-Konto verwenden:

Option 1: Bereitstellen neuer Azure Privates DNS-Zonen

Bereitstellen neuer Azure Privates DNS Zones

Um die interne Namensauflösung zu aktivieren, können Sie die erforderlichen Azure DNS-Zonen in Ihrem Azure-Abonnement bereitstellen, in dem das Microsoft Purview-Konto bereitgestellt wird.

Screenshot: DNS-Zonen

Wenn Sie erfassungs-, Portal- und Kontoendpunkte erstellen, werden die DNS-CNAME-Ressourceneinträge für Microsoft Purview automatisch auf einen Alias in einigen Unterdomänen mit dem Präfix privatelinkaktualisiert:

  • Standardmäßig erstellen wir während der Bereitstellung des privaten Kontoendpunkts für Ihr Microsoft Purview-Konto auch eine private DNS-Zone, die der privatelink Unterdomäne für Microsoft Purview entspricht, da privatelink.purview.azure.com DNS A-Ressourceneinträge für die privaten Endpunkte enthalten sind.

  • Während der Bereitstellung eines privaten Portalendpunkts für Ihr Microsoft Purview-Konto erstellen wir auch eine neue private DNS-Zone, die der privatelink Unterdomäne für Microsoft Purview entspricht und privatelink.purviewstudio.azure.com DNS-A-Ressourceneinträge für Web enthält.

  • Wenn Sie private Erfassungsendpunkte aktivieren, sind zusätzliche DNS-Zonen für verwaltete oder konfigurierte Ressourcen erforderlich.

Die folgende Tabelle zeigt ein Beispiel für Azure Privates DNS-Zonen und DNS A-Einträge, die als Teil der Konfiguration eines privaten Endpunkts für ein Microsoft Purview-Konto bereitgestellt werden, wenn Sie Privates DNS Integration während der Bereitstellung aktivieren:

Privater Endpunkt Privater Endpunkt, der zugeordnet ist DNS-Zone (neu) Ein Datensatz (Beispiel)
Konto Microsoft Purview privatelink.purview.azure.com Contoso-Purview
Portal Microsoft Purview privatelink.purviewstudio.azure.com Web
Einnahme Verwaltetes Microsoft Purview-Speicherkonto: Blob privatelink.blob.core.windows.net scaneastusabcd1234
Einnahme Von Microsoft Purview verwaltetes Speicherkonto– Warteschlange privatelink.queue.core.windows.net scaneastusabcd1234
Einnahme Von Microsoft Purview verwaltetes Speicherkonto – Event Hub privatelink.servicebus.windows.net atlas-12345678-1234-1234-abcd-123456789abc

Stellen Sie nach Abschluss der Bereitstellung des privaten Endpunkts sicher, dass in allen entsprechenden Azure Privates DNS Zonen eine Virtuelle Netzwerkverbindung mit dem virtuellen Azure-Netzwerk vorhanden ist, in dem der private Endpunkt bereitgestellt wurde.

Screenshot: Virtuelle Netzwerkverbindungen in der DNS-Zone

Weitere Informationen finden Sie unter DNS-Konfiguration für private Azure-Endpunkte.

Überprüfen der internen Namensauflösung

Wenn Sie die Microsoft Purview-Endpunkt-URL von außerhalb des virtuellen Netzwerks mit dem privaten Endpunkt auflösen, wird sie in den öffentlichen Endpunkt von Microsoft Purview aufgelöst. Wenn die Auflösung über das virtuelle Netzwerk, in dem der private Endpunkt gehostet wird, aufgelöst wird, wird die Microsoft Purview-Endpunkt-URL in die IP-Adresse des privaten Endpunkts aufgelöst.

Beispiel: Wenn ein Microsoft Purview-Kontoname "Contoso-Purview" lautet und er von außerhalb des virtuellen Netzwerks aufgelöst wird, das den privaten Endpunkt hostet, lautet dies:

Name Typ Wert
Contoso-Purview.purview.azure.com CNAME Contoso-Purview.privatelink.purview.azure.com
Contoso-Purview.privatelink.purview.azure.com CNAME <Öffentlicher Microsoft Purview-Endpunkt>
<Öffentlicher Microsoft Purview-Endpunkt> Ein <Öffentliche Microsoft Purview-IP-Adresse>
Web.purview.azure.com CNAME <Öffentlicher Endpunkt des Microsoft Purview-Governanceportals>

Die DNS-Ressourceneinträge für Contoso-Purview werden im virtuellen Netzwerk, in dem der private Endpunkt gehostet wird, aufgelöst:

Name Typ Wert
Contoso-Purview.purview.azure.com CNAME Contoso-Purview.privatelink.purview.azure.com
Contoso-Purview.privatelink.purview.azure.com Ein <IP-Adresse des privaten Endpunkts des Microsoft Purview-Kontos>
Web.purview.azure.com CNAME <IP-Adresse des privaten Endpunkts im Microsoft Purview-Portal>

Option 2: Verwenden vorhandener Azure Privates DNS-Zonen

Verwenden vorhandener Azure Privates DNS-Zonen

Während der Bereitstellung privater Microsft Purview-Endpunkte können Sie Privates DNS Integration mithilfe vorhandener Azure Privates DNS-Zonen auswählen. Dies ist üblich für Organisationen, in denen ein privater Endpunkt für andere Dienste in Azure verwendet wird. Stellen Sie in diesem Fall während der Bereitstellung privater Endpunkte sicher, dass Sie die vorhandenen DNS-Zonen auswählen, anstatt neue zu erstellen.

Dieses Szenario gilt auch, wenn Ihr organization ein zentrales Abonnement oder ein Hubabonnement für alle Azure Privates DNS Zones verwendet.

Die folgende Liste enthält die erforderlichen Azure DNS-Zonen und A-Einträge für private Microsoft Purview-Endpunkte:

Hinweis

Aktualisieren Sie alle Namen mit Contoso-Purview,scaneastusabcd1234 und atlas-12345678-1234-1234-abcd-123456789abc mit dem entsprechenden Azure-Ressourcennamen in Ihrer Umgebung. Verwenden Sie beispielsweise anstelle des scaneastusabcd1234 Namens Ihres verwalteten Microsoft Purview-Speicherkontos.

Privater Endpunkt Privater Endpunkt, der zugeordnet ist DNS-Zone (vorhanden) Ein Datensatz (Beispiel)
Konto Microsoft Purview privatelink.purview.azure.com Contoso-Purview
Portal Microsoft Purview privatelink.purviewstudio.azure.com Web
Einnahme Verwaltetes Microsoft Purview-Speicherkonto: Blob privatelink.blob.core.windows.net scaneastusabcd1234
Einnahme Von Microsoft Purview verwaltetes Speicherkonto– Warteschlange privatelink.queue.core.windows.net scaneastusabcd1234
Einnahme Von Microsoft Purview verwaltetes Speicherkonto – Event Hub privatelink.servicebus.windows.net atlas-12345678-1234-1234-abcd-123456789abc

Diagramm, das die Namensauflösung von Microsoft Purview zeigt

Weitere Informationen finden Sie unter Virtuelle Netzwerkworkloads ohne benutzerdefinierten DNS-Server und lokale Workloads, die eine DNS-Weiterleitung in der DNS-Konfiguration für private Azure-Endpunkte verwenden.

Stellen Sie nach Abschluss der Bereitstellung des privaten Endpunkts sicher, dass in allen entsprechenden Azure Privates DNS Zonen eine Virtuelle Netzwerkverbindung mit dem virtuellen Azure-Netzwerk vorhanden ist, in dem der private Endpunkt bereitgestellt wurde.

Screenshot: Virtuelle Netzwerkverbindungen in der DNS-Zone

Weitere Informationen finden Sie unter DNS-Konfiguration für private Azure-Endpunkte.

Konfigurieren von DNS-Weiterleitungen, wenn benutzerdefiniertes DNS verwendet wird

Darüber hinaus ist es erforderlich, Ihre DNS-Konfigurationen in einem virtuellen Azure-Netzwerk zu überprüfen, in dem sich die selbstgehostete Integration Runtime-VM oder der Verwaltungs-PC befindet.

Diagramm: Benutzerdefiniertes DNS für virtuelle Azure-Netzwerke

  • Wenn sie auf Standard konfiguriert ist, ist in diesem Schritt keine weitere Aktion erforderlich.

  • Wenn ein benutzerdefinierter DNS-Server verwendet wird, sollten Sie entsprechende DNS-Weiterleitungen in Ihren DNS-Servern für die folgenden Zonen hinzufügen:

    • Purview.azure.com
    • purviewstudio.azure.com
    • Blob.core.windows.net
    • Queue.core.windows.net
    • Servicebus.windows.net

Überprüfen der internen Namensauflösung

Wenn Sie die Microsoft Purview-Endpunkt-URL von außerhalb des virtuellen Netzwerks mit dem privaten Endpunkt auflösen, wird sie in den öffentlichen Endpunkt von Microsoft Purview aufgelöst. Wenn die Auflösung über das virtuelle Netzwerk, in dem der private Endpunkt gehostet wird, aufgelöst wird, wird die Microsoft Purview-Endpunkt-URL in die IP-Adresse des privaten Endpunkts aufgelöst.

Beispiel: Wenn ein Microsoft Purview-Kontoname "Contoso-Purview" lautet und er von außerhalb des virtuellen Netzwerks aufgelöst wird, das den privaten Endpunkt hostet, lautet dies:

Name Typ Wert
Contoso-Purview.purview.azure.com CNAME Contoso-Purview.privatelink.purview.azure.com
Contoso-Purview.privatelink.purview.azure.com CNAME <Öffentlicher Microsoft Purview-Endpunkt>
<Öffentlicher Microsoft Purview-Endpunkt> Ein <Öffentliche Microsoft Purview-IP-Adresse>
Web.purview.azure.com CNAME <Öffentlicher Endpunkt des Microsoft Purview-Governanceportals>

Die DNS-Ressourceneinträge für Contoso-Purview werden im virtuellen Netzwerk, in dem der private Endpunkt gehostet wird, aufgelöst:

Name Typ Wert
Contoso-Purview.purview.azure.com CNAME Contoso-Purview.privatelink.purview.azure.com
Contoso-Purview.privatelink.purview.azure.com Ein <IP-Adresse des privaten Endpunkts des Microsoft Purview-Kontos>
Web.purview.azure.com CNAME <IP-Adresse des privaten Endpunkts im Microsoft Purview-Portal>

Option 3: Verwenden Eigener DNS-Server

Wenn Sie keine DNS-Weiterleitungen verwenden und stattdessen A-Einträge direkt auf Ihren lokalen DNS-Servern verwalten, um die Endpunkte über ihre privaten IP-Adressen aufzulösen, müssen Sie möglicherweise die folgenden A-Einträge auf Ihren DNS-Servern erstellen.

Hinweis

Aktualisieren Sie alle Namen mit Contoso-Purview,scaneastusabcd1234 und atlas-12345678-1234-1234-abcd-123456789abc mit dem entsprechenden Azure-Ressourcennamen in Ihrer Umgebung. Verwenden Sie beispielsweise anstelle des scaneastusabcd1234 Namens Ihres verwalteten Microsoft Purview-Speicherkontos.

Name Typ Wert
web.purview.azure.com Ein <IP-Adresse des privaten Endpunkts des Portals von Microsoft Purview>
scaneastusabcd1234.blob.core.windows.net Ein <IP-Adresse des privaten Endpunkts für die Bloberfassung von Microsoft Purview>
scaneastusabcd1234.queue.core.windows.net Ein <IP-Adresse des privaten Endpunkts für die Warteschlangenerfassung von Microsoft Purview>
atlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net Ein <IP-Adresse des privaten Endpunkts für die Namespaceerfassung von Microsoft Purview>
Contoso-Purview.Purview.azure.com Ein <IP-Adresse des privaten Endpunkts des Kontos von Microsoft Purview>
Contoso-Purview.scan.Purview.azure.com Ein <IP-Adresse des privaten Endpunkts des Kontos von Microsoft Purview>
Contoso-Purview.catalog.Purview.azure.com Ein <IP-Adresse des privaten Endpunkts des Kontos von Microsoft Purview>
Contoso-Purview.proxy.purview.azure.com Ein <IP-Adresse des privaten Endpunkts des Kontos von Microsoft Purview>
Contoso-Purview.guardian.purview.azure.com Ein <IP-Adresse des privaten Endpunkts des Kontos von Microsoft Purview>
gateway.purview.azure.com Ein <IP-Adresse des privaten Endpunkts des Kontos von Microsoft Purview>
insight.prod.ext.web.purview.azure.com Ein <IP-Adresse des privaten Endpunkts des Portals von Microsoft Purview>
manifest.prod.ext.web.purview.azure.com Ein <IP-Adresse des privaten Endpunkts des Portals von Microsoft Purview>
cdn.prod.ext.web.purview.azure.com Ein <IP-Adresse des privaten Endpunkts des Portals von Microsoft Purview>
hub.prod.ext.web.purview.azure.com Ein <IP-Adresse des privaten Endpunkts des Portals von Microsoft Purview>
catalog.prod.ext.web.purview.azure.com Ein <IP-Adresse des privaten Endpunkts des Portals von Microsoft Purview>
cseo.prod.ext.web.purview.azure.com Ein <IP-Adresse des privaten Endpunkts des Portals von Microsoft Purview>
datascan.prod.ext.web.purview.azure.com Ein <IP-Adresse des privaten Endpunkts des Portals von Microsoft Purview>
datashare.prod.ext.web.purview.azure.com Ein <IP-Adresse des privaten Endpunkts des Portals von Microsoft Purview>
datasource.prod.ext.web.purview.azure.com Ein <IP-Adresse des privaten Endpunkts des Portals von Microsoft Purview>
policy.prod.ext.web.purview.azure.com Ein <IP-Adresse des privaten Endpunkts des Portals von Microsoft Purview>
sensitivity.prod.ext.web.purview.azure.com Ein <IP-Adresse des privaten Endpunkts des Portals von Microsoft Purview>
web.privatelink.purviewstudio.azure.com Ein <IP-Adresse des privaten Endpunkts des Portals von Microsoft Purview>
workflow.prod.ext.web.purview.azure.com Ein <IP-Adresse des privaten Endpunkts des Portals von Microsoft Purview>

Überprüfen und DNS-Testnamenauflösung und Konnektivität

  1. Wenn Sie Azure Privates DNS Zones verwenden, stellen Sie sicher, dass die folgenden DNS-Zonen und die entsprechenden A-Einträge in Ihrem Azure-Abonnement erstellt werden:

    Privater Endpunkt Privater Endpunkt, der zugeordnet ist DNS-Zone A Record )(Beispiel)
    Konto Microsoft Purview privatelink.purview.azure.com Contoso-Purview
    Portal Microsoft Purview privatelink.purviewstudio.azure.com Web
    Einnahme Verwaltetes Microsoft Purview-Speicherkonto: Blob privatelink.blob.core.windows.net scaneastusabcd1234
    Einnahme Von Microsoft Purview verwaltetes Speicherkonto– Warteschlange privatelink.queue.core.windows.net scaneastusabcd1234
    Einnahme Microsoft Purview-konfigurierte Event Hubs – Event Hub privatelink.servicebus.windows.net atlas-12345678-1234-1234-abcd-123456789abc
  2. Erstellen Sie Virtuelle Netzwerkverbindungen in Ihren Azure Privates DNS Zones für Ihre virtuellen Azure-Netzwerke, um die interne Namensauflösung zu ermöglichen.

  3. Testen Sie über Ihren Verwaltungs-PC und die selbstgehostete Integration Runtime-VM die Namensauflösung und Netzwerkkonnektivität mit Ihrem Microsoft Purview-Konto mithilfe von Tools wie Nslookup.exe und PowerShell.

Zum Testen der Namensauflösung müssen Sie die folgenden FQDNs über ihre privaten IP-Adressen auflösen: (Verwenden Sie anstelle von Contoso-Purview, scaneastusabcd1234 oder atlas-12345678-1234-1234-abcd-123456789abc den Hostnamen, der Ihrem Purview-Kontonamen und verwalteten oder konfigurierten Ressourcennamen zugeordnet ist.)

  • Contoso-Purview.purview.azure.com
  • web.purview.azure.com
  • scaneastusabcd1234.blob.core.windows.net
  • scaneastusabcd1234.queue.core.windows.net
  • atlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net

Um die Netzwerkkonnektivität zu testen, können Sie auf einer selbstgehosteten Integration Runtime-VM die PowerShell-Konsole starten und die Konnektivität mit Test-NetConnectiontesten. Sie müssen jeden Endpunkt nach ihrem privaten Endpunkt auflösen und TcpTestSucceeded als True abrufen. (Verwenden Sie anstelle von Contoso-Purview, scaneastusabcd1234 oder atlas-12345678-1234-1234-abcd-123456789abc den Hostnamen, der Ihrem Purview-Kontonamen und verwalteten oder konfigurierten Ressourcennamen zugeordnet ist.)

  • Test-NetConnection -ComputerName Contoso-Purview.purview.azure.com -port 443
  • Test-NetConnection -ComputerName web.purview.azure.com -port 443
  • Test-NetConnection -ComputerName scaneastusabcd1234.blob.core.windows.net -port 443
  • Test-NetConnection -ComputerName scaneastusabcd1234.queue.core.windows.net -port 443
  • Test-NetConnection -ComputerName atlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net -port 443

Nächste Schritte