Partekatu honen bidez:


Configuración y comprobación de la resolución de nombres DNS para puntos de conexión privados de Microsoft Purview

Información general conceptual

La resolución precisa de nombres es un requisito fundamental al configurar puntos de conexión privados para las cuentas de Microsoft Purview.

Es posible que necesite habilitar la resolución interna de nombres en la configuración de DNS para resolver las direcciones IP del punto de conexión privado en el nombre de dominio completo (FQDN) de los orígenes de datos y la máquina de administración a la cuenta de Microsoft Purview y al entorno de ejecución de integración autohospedado, en función de los escenarios que implemente.

En el ejemplo siguiente se muestra la resolución de nombres DNS de Microsoft Purview desde fuera de la red virtual o cuando no se configura un punto de conexión privado de Azure.

Captura de pantalla que muestra la resolución de nombres de Microsoft Purview desde fuera de CorpNet.

En el ejemplo siguiente se muestra la resolución de nombres DNS de Microsoft Purview desde dentro de la red virtual.

Captura de pantalla que muestra la resolución de nombres de Microsoft Purview desde corpnet.

Opciones de implementación

Use cualquiera de las siguientes opciones para configurar la resolución interna de nombres al usar puntos de conexión privados para su cuenta de Microsoft Purview:

Opción 1: Implementación de nuevas zonas de Azure DNS privado

Implementación de nuevas zonas de Azure DNS privado

Para habilitar la resolución interna de nombres, puede implementar las zonas DNS de Azure necesarias dentro de la suscripción de Azure donde se implementa la cuenta de Microsoft Purview.

Captura de pantalla que muestra zonas DNS.

Al crear puntos de conexión privados de ingesta, portal y cuenta, los registros de recursos CNAME de DNS para Microsoft Purview se actualizan automáticamente a un alias en pocos subdominios con el prefijo privatelink:

  • De forma predeterminada, durante la implementación del punto de conexión privado de cuenta para la cuenta de Microsoft Purview, también creamos una zona DNS privada que corresponde al privatelink subdominio de Microsoft Purview, ya privatelink.purview.azure.com que incluye registros de recursos A de DNS para los puntos de conexión privados.

  • Durante la implementación del punto de conexión privado del portal para su cuenta de Microsoft Purview, también creamos una nueva zona DNS privada que corresponde al privatelink subdominio de Microsoft Purview, como privatelink.purviewstudio.azure.com incluir registros de recursos A de DNS para Web.

  • Si habilita puntos de conexión privados de ingesta, se requieren zonas DNS adicionales para los recursos administrados o configurados.

En la tabla siguiente se muestra un ejemplo de zonas de Azure DNS privado y registros A de DNS que se implementan como parte de la configuración del punto de conexión privado para una cuenta de Microsoft Purview si habilita DNS privado integración durante la implementación:

Punto de conexión privado Punto de conexión privado asociado a Zona DNS (nueva) Un registro (ejemplo)
Cuenta Microsoft Purview privatelink.purview.azure.com Contoso-Purview
Portal Microsoft Purview privatelink.purviewstudio.azure.com Web
Ingestión Cuenta de almacenamiento administrada de Microsoft Purview: Blob privatelink.blob.core.windows.net scaneastusabcd1234
Ingestión Cuenta de almacenamiento administrada de Microsoft Purview: cola privatelink.queue.core.windows.net scaneastusabcd1234
Ingestión Cuenta de almacenamiento administrada de Microsoft Purview: Centro de eventos privatelink.servicebus.windows.net atlas-12345678-1234-1234-abcd-123456789abc

Una vez completada la implementación del punto de conexión privado, asegúrese de que hay un vínculo de red virtual en todas las zonas de Azure DNS privado correspondientes a la red virtual de Azure donde se implementó el punto de conexión privado.

Captura de pantalla que muestra los vínculos de red virtual en la zona DNS.

Para más información, consulte Configuración de DNS del punto de conexión privado de Azure.

Comprobación de la resolución interna de nombres

Al resolver la dirección URL del punto de conexión de Microsoft Purview desde fuera de la red virtual con el punto de conexión privado, se resuelve en el punto de conexión público de Microsoft Purview. Cuando se resuelve desde la red virtual que hospeda el punto de conexión privado, la dirección URL del punto de conexión de Microsoft Purview se resuelve en la dirección IP del punto de conexión privado.

Por ejemplo, si un nombre de cuenta de Microsoft Purview es "Contoso-Purview", cuando se resuelva desde fuera de la red virtual que hospeda el punto de conexión privado, será:

Nombre Tipo Valor
Contoso-Purview.purview.azure.com CNAME Contoso-Purview.privatelink.purview.azure.com
Contoso-Purview.privatelink.purview.azure.com CNAME <Punto de conexión público de Microsoft Purview>
<Punto de conexión público de Microsoft Purview> A <Dirección IP pública de Microsoft Purview>
Web.purview.azure.com CNAME <Punto de conexión público del portal de gobernanza de Microsoft Purview>

Los registros de recursos DNS para Contoso-Purview, cuando se resuelvan en la red virtual que hospeda el punto de conexión privado, serán:

Nombre Tipo Valor
Contoso-Purview.purview.azure.com CNAME Contoso-Purview.privatelink.purview.azure.com
Contoso-Purview.privatelink.purview.azure.com A <Dirección IP del punto de conexión privado de la cuenta de Microsoft Purview>
Web.purview.azure.com CNAME <Dirección IP del punto de conexión privado del portal de Microsoft Purview>

Opción 2: Uso de Azure DNS privado Zones existente

Uso de Azure DNS privado Zones existente

Durante la implementación de puntos de conexión privados de Microsft Purview, puede elegir DNS privado integración mediante zonas de Azure DNS privado existentes. Este es el caso común de las organizaciones en las que se usa un punto de conexión privado para otros servicios de Azure. En este caso, durante la implementación de puntos de conexión privados, asegúrese de seleccionar las zonas DNS existentes en lugar de crear otras nuevas.

Este escenario también se aplica si la organización usa una suscripción central o central para todas las zonas de Azure DNS privado.

En la lista siguiente se muestran las zonas DNS de Azure necesarias y los registros A para los puntos de conexión privados de Microsoft Purview:

Nota:

Actualice todos los nombres con Contoso-Purviewy atlas-12345678-1234-1234-abcd-123456789abcscaneastusabcd1234 con el nombre de recursos de Azure correspondiente en su entorno. Por ejemplo, en lugar de scaneastusabcd1234 usar el nombre de la cuenta de almacenamiento administrada de Microsoft Purview.

Punto de conexión privado Punto de conexión privado asociado a Zona DNS (existente) Un registro (ejemplo)
Cuenta Microsoft Purview privatelink.purview.azure.com Contoso-Purview
Portal Microsoft Purview privatelink.purviewstudio.azure.com Web
Ingestión Cuenta de almacenamiento administrada de Microsoft Purview: Blob privatelink.blob.core.windows.net scaneastusabcd1234
Ingestión Cuenta de almacenamiento administrada de Microsoft Purview: cola privatelink.queue.core.windows.net scaneastusabcd1234
Ingestión Cuenta de almacenamiento administrada de Microsoft Purview: Centro de eventos privatelink.servicebus.windows.net atlas-12345678-1234-1234-abcd-123456789abc

Diagrama que muestra la resolución de nombres de Microsoft Purview

Para obtener más información, consulte Cargas de trabajo de red virtual sin servidor DNS personalizado y cargas de trabajo locales con escenarios de reenviador DNS en la configuración de DNS de punto de conexión privado de Azure.

Una vez completada la implementación del punto de conexión privado, asegúrese de que hay un vínculo de red virtual en todas las zonas de Azure DNS privado correspondientes a la red virtual de Azure donde se implementó el punto de conexión privado.

Captura de pantalla que muestra los vínculos de red virtual en la zona DNS.

Para más información, consulte Configuración de DNS del punto de conexión privado de Azure.

Configuración de reenviadores DNS si se usa DNS personalizado

Además, es necesario validar las configuraciones de DNS en la red virtual de Azure donde se encuentra la máquina virtual o el equipo de administración del entorno de ejecución de integración autohospedado.

Diagrama que muestra dns personalizado de red virtual de Azure

  • Si está configurado como Predeterminado, no se requiere ninguna acción adicional en este paso.

  • Si se usa un servidor DNS personalizado, debe agregar los reenviadores DNS correspondientes dentro de los servidores DNS para las zonas siguientes:

    • Purview.azure.com
    • purviewstudio.azure.com
    • Blob.core.windows.net
    • Queue.core.windows.net
    • Servicebus.windows.net

Comprobación de la resolución interna de nombres

Al resolver la dirección URL del punto de conexión de Microsoft Purview desde fuera de la red virtual con el punto de conexión privado, se resuelve en el punto de conexión público de Microsoft Purview. Cuando se resuelve desde la red virtual que hospeda el punto de conexión privado, la dirección URL del punto de conexión de Microsoft Purview se resuelve en la dirección IP del punto de conexión privado.

Por ejemplo, si un nombre de cuenta de Microsoft Purview es "Contoso-Purview", cuando se resuelva desde fuera de la red virtual que hospeda el punto de conexión privado, será:

Nombre Tipo Valor
Contoso-Purview.purview.azure.com CNAME Contoso-Purview.privatelink.purview.azure.com
Contoso-Purview.privatelink.purview.azure.com CNAME <Punto de conexión público de Microsoft Purview>
<Punto de conexión público de Microsoft Purview> A <Dirección IP pública de Microsoft Purview>
Web.purview.azure.com CNAME <Punto de conexión público del portal de gobernanza de Microsoft Purview>

Los registros de recursos DNS para Contoso-Purview, cuando se resuelvan en la red virtual que hospeda el punto de conexión privado, serán:

Nombre Tipo Valor
Contoso-Purview.purview.azure.com CNAME Contoso-Purview.privatelink.purview.azure.com
Contoso-Purview.privatelink.purview.azure.com A <Dirección IP del punto de conexión privado de la cuenta de Microsoft Purview>
Web.purview.azure.com CNAME <Dirección IP del punto de conexión privado del portal de Microsoft Purview>

Opción 3: Usar sus propios servidores DNS

Si no usa reenviadores DNS y, en su lugar, administra registros A directamente en los servidores DNS locales para resolver los puntos de conexión a través de sus direcciones IP privadas, es posible que tenga que crear los siguientes registros A en los servidores DNS.

Nota:

Actualice todos los nombres con Contoso-Purviewy atlas-12345678-1234-1234-abcd-123456789abcscaneastusabcd1234 con el nombre de recursos de Azure correspondiente en su entorno. Por ejemplo, en lugar de scaneastusabcd1234 usar el nombre de la cuenta de almacenamiento administrada de Microsoft Purview.

Nombre Tipo Valor
web.purview.azure.com A <Dirección IP del punto de conexión privado del portal de Microsoft Purview>
scaneastusabcd1234.blob.core.windows.net A <dirección IP del punto de conexión privado de ingesta de blobs de Microsoft Purview>
scaneastusabcd1234.queue.core.windows.net A <dirección IP del punto de conexión privado de ingesta de cola de Microsoft Purview>
atlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net A <dirección IP del punto de conexión privado de ingesta de espacio de nombres de Microsoft Purview>
Contoso-Purview.Purview.azure.com A <dirección IP del punto de conexión privado de la cuenta de Microsoft Purview>
Contoso-Purview.scan.Purview.azure.com A <dirección IP del punto de conexión privado de la cuenta de Microsoft Purview>
Contoso-Purview.catalog.Purview.azure.com A <dirección IP del punto de conexión privado de la cuenta de Microsoft Purview>
Contoso-Purview.proxy.purview.azure.com A <dirección IP del punto de conexión privado de la cuenta de Microsoft Purview>
Contoso-Purview.guardian.purview.azure.com A <dirección IP del punto de conexión privado de la cuenta de Microsoft Purview>
gateway.purview.azure.com A <dirección IP del punto de conexión privado de la cuenta de Microsoft Purview>
insight.prod.ext.web.purview.azure.com A <Dirección IP del punto de conexión privado del portal de Microsoft Purview>
manifest.prod.ext.web.purview.azure.com A <Dirección IP del punto de conexión privado del portal de Microsoft Purview>
cdn.prod.ext.web.purview.azure.com A <Dirección IP del punto de conexión privado del portal de Microsoft Purview>
hub.prod.ext.web.purview.azure.com A <Dirección IP del punto de conexión privado del portal de Microsoft Purview>
catalog.prod.ext.web.purview.azure.com A <Dirección IP del punto de conexión privado del portal de Microsoft Purview>
cseo.prod.ext.web.purview.azure.com A <Dirección IP del punto de conexión privado del portal de Microsoft Purview>
datascan.prod.ext.web.purview.azure.com A <Dirección IP del punto de conexión privado del portal de Microsoft Purview>
datashare.prod.ext.web.purview.azure.com A <Dirección IP del punto de conexión privado del portal de Microsoft Purview>
datasource.prod.ext.web.purview.azure.com A <Dirección IP del punto de conexión privado del portal de Microsoft Purview>
policy.prod.ext.web.purview.azure.com A <Dirección IP del punto de conexión privado del portal de Microsoft Purview>
sensitivity.prod.ext.web.purview.azure.com A <Dirección IP del punto de conexión privado del portal de Microsoft Purview>
web.privatelink.purviewstudio.azure.com A <Dirección IP del punto de conexión privado del portal de Microsoft Purview>
workflow.prod.ext.web.purview.azure.com A <Dirección IP del punto de conexión privado del portal de Microsoft Purview>

Comprobación y conectividad de la resolución y la conectividad de nombres de prueba de DNS

  1. Si usa Azure DNS privado Zones, asegúrese de que se crean las siguientes zonas DNS y los registros A correspondientes en la suscripción de Azure:

    Punto de conexión privado Punto de conexión privado asociado a Zona DNS A Record )(example)
    Cuenta Microsoft Purview privatelink.purview.azure.com Contoso-Purview
    Portal Microsoft Purview privatelink.purviewstudio.azure.com Web
    Ingestión Cuenta de almacenamiento administrada de Microsoft Purview: Blob privatelink.blob.core.windows.net scaneastusabcd1234
    Ingestión Cuenta de almacenamiento administrada de Microsoft Purview: cola privatelink.queue.core.windows.net scaneastusabcd1234
    Ingestión Event Hubs configurado por Microsoft Purview: Centro de eventos privatelink.servicebus.windows.net atlas-12345678-1234-1234-abcd-123456789abc
  2. Cree vínculos de red virtual en Azure DNS privado Zones para las redes virtuales de Azure para permitir la resolución interna de nombres.

  3. Desde el equipo de administración y la máquina virtual del entorno de ejecución de integración autohospedado, pruebe la resolución de nombres y la conectividad de red con su cuenta de Microsoft Purview mediante herramientas como Nslookup.exe y PowerShell.

Para probar la resolución de nombres, debe resolver los siguientes FQDN a través de sus direcciones IP privadas: (en lugar de Contoso-Purview, scaneastusabcd1234 o atlas-12345678-1234-1234-abcd-123456789abc, use el nombre de host asociado con el nombre de cuenta de Purview y los nombres de recursos administrados o configurados).

  • Contoso-Purview.purview.azure.com
  • web.purview.azure.com
  • scaneastusabcd1234.blob.core.windows.net
  • scaneastusabcd1234.queue.core.windows.net
  • atlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net

Para probar la conectividad de red, desde la máquina virtual del entorno de ejecución de integración autohospedado puede iniciar la consola de PowerShell y probar la conectividad mediante Test-NetConnection. Debe resolver cada punto de conexión por su punto de conexión privado y obtener TcpTestSucceeded como True. (En lugar de Contoso-Purview, scaneastusabcd1234 o atlas-12345678-1234-1234-abcd-123456789abc, use el nombre de host asociado con el nombre de cuenta de Purview y los nombres de recursos administrados o configurados).

  • Test-NetConnection -ComputerName Contoso-Purview.purview.azure.com -port 443
  • Test-NetConnection -ComputerName web.purview.azure.com -port 443
  • Test-NetConnection -ComputerName scaneastusabcd1234.blob.core.windows.net -port 443
  • Test-NetConnection -ComputerName scaneastusabcd1234.queue.core.windows.net -port 443
  • Test-NetConnection -ComputerName atlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net -port 443

Siguientes pasos