Partage via


Configurer et vérifier la résolution de noms DNS pour les points de terminaison privés Microsoft Purview

Présentation conceptuelle

La résolution de noms précise est une exigence essentielle lors de la configuration de points de terminaison privés pour vos comptes Microsoft Purview.

Vous devrez peut-être activer la résolution de noms interne dans vos paramètres DNS pour résoudre les adresses IP du point de terminaison privé en nom de domaine complet (FQDN) à partir des sources de données et de votre ordinateur de gestion vers le compte Microsoft Purview et le runtime d’intégration auto-hébergé, selon les scénarios que vous déployez.

L’exemple suivant montre la résolution de noms DNS Microsoft Purview en dehors du réseau virtuel ou lorsqu’un point de terminaison privé Azure n’est pas configuré.

Capture d’écran montrant la résolution de noms Microsoft Purview en dehors de CorpNet.

L’exemple suivant illustre la résolution de noms DNS Microsoft Purview à partir du réseau virtuel.

Capture d’écran montrant la résolution de noms Microsoft Purview à partir de CorpNet.

Options de déploiement

Utilisez l’une des options suivantes pour configurer la résolution de noms interne lors de l’utilisation de points de terminaison privés pour votre compte Microsoft Purview :

Option 1 : Déployer de nouvelles zones DNS privé Azure

Déployer de nouvelles zones de DNS privé Azure

Pour activer la résolution de noms interne, vous pouvez déployer les zones Azure DNS requises dans votre abonnement Azure où le compte Microsoft Purview est déployé.

Capture d’écran montrant zones DNS.

Lorsque vous créez des points de terminaison privés d’ingestion, de portail et de compte, les enregistrements de ressources CNAME DNS pour Microsoft Purview sont automatiquement mis à jour vers un alias dans quelques sous-domaines avec le préfixe privatelink:

  • Par défaut, lors du déploiement d’un point de terminaison privé de compte pour votre compte Microsoft Purview, nous créons également une zone DNS privée qui correspond au privatelink sous-domaine de Microsoft Purview, en incluant privatelink.purview.azure.com les enregistrements de ressources DNS A pour les points de terminaison privés.

  • Lors du déploiement du point de terminaison privé du portail pour votre compte Microsoft Purview, nous créons également une zone DNS privée qui correspond au privatelink sous-domaine de Microsoft Purview, en incluant privatelink.purviewstudio.azure.com les enregistrements de ressources DNS A pour le web.

  • Si vous activez les points de terminaison privés d’ingestion, des zones DNS supplémentaires sont requises pour les ressources managées ou configurées.

Le tableau suivant montre un exemple de zones Azure DNS privé et d’enregistrements DNS A déployés dans le cadre de la configuration d’un point de terminaison privé pour un compte Microsoft Purview si vous activez l’intégration DNS privé pendant le déploiement :

Point de terminaison privé Point de terminaison privé associé à Zone DNS (nouveau) Un enregistrement (exemple)
Compte Microsoft Purview privatelink.purview.azure.com Contoso-Purview
Portail Microsoft Purview privatelink.purviewstudio.azure.com Web
Ingestion Compte de stockage managé Microsoft Purview - Blob privatelink.blob.core.windows.net scaneastusabcd1234
Ingestion Compte de stockage managé Microsoft Purview - File d’attente privatelink.queue.core.windows.net scaneastusabcd1234
Ingestion Compte de stockage managé Microsoft Purview - Event Hub privatelink.servicebus.windows.net atlas-12345678-1234-1234-abcd-123456789abc

Une fois le déploiement du point de terminaison privé terminé, assurez-vous qu’il existe une liaison de réseau virtuel sur toutes les zones Azure DNS privé correspondantes vers le réseau virtuel Azure où le point de terminaison privé a été déployé.

Capture d’écran montrant les liens de réseau virtuel sur la zone DNS.

Pour plus d’informations, consultez Configuration DNS du point de terminaison privé Azure.

Vérifier la résolution de noms interne

Lorsque vous résolvez l’URL du point de terminaison Microsoft Purview à partir de l’extérieur du réseau virtuel avec le point de terminaison privé, elle est résolue en point de terminaison public de Microsoft Purview. Lorsqu’elle est résolue à partir du réseau virtuel hébergeant le point de terminaison privé, l’URL du point de terminaison Microsoft Purview est résolue en adresse IP du point de terminaison privé.

Par exemple, si un nom de compte Microsoft Purview est « Contoso-Purview », lorsqu’il est résolu à partir de l’extérieur du réseau virtuel qui héberge le point de terminaison privé, il s’agit des éléments suivants :

Nom Type Valeur
Contoso-Purview.purview.azure.com CNAME Contoso-Purview.privatelink.purview.azure.com
Contoso-Purview.privatelink.purview.azure.com CNAME <Point de terminaison public Microsoft Purview>
<Point de terminaison public Microsoft Purview> A <Adresse IP publique Microsoft Purview>
Web.purview.azure.com CNAME <Point de terminaison public du portail de gouvernance Microsoft Purview>

Les enregistrements de ressources DNS pour Contoso-Purview, lorsqu’ils sont résolus dans le réseau virtuel hébergeant le point de terminaison privé, sont les suivants :

Nom Type Valeur
Contoso-Purview.purview.azure.com CNAME Contoso-Purview.privatelink.purview.azure.com
Contoso-Purview.privatelink.purview.azure.com A <Adresse IP du point de terminaison privé du compte Microsoft Purview>
Web.purview.azure.com CNAME <Adresse IP du point de terminaison privé du portail Microsoft Purview>

Option 2 : Utiliser des zones DNS privé Azure existantes

Utiliser des zones de DNS privé Azure existantes

Pendant le déploiement de points de terminaison privés Microsft Purview, vous pouvez choisir DNS privé’intégration à l’aide de zones Azure DNS privé existantes. C’est le cas courant pour les organisations où un point de terminaison privé est utilisé pour d’autres services dans Azure. Dans ce cas, pendant le déploiement de points de terminaison privés, veillez à sélectionner les zones DNS existantes au lieu d’en créer de nouvelles.

Ce scénario s’applique également si votre organization utilise un abonnement central ou hub pour toutes les zones Azure DNS privé.

La liste suivante présente les zones Azure DNS et les enregistrements A requis pour les points de terminaison privés Microsoft Purview :

Remarque

Mettez à jour tous les noms avec Contoso-Purview,scaneastusabcd1234 et atlas-12345678-1234-1234-abcd-123456789abc avec le nom des ressources Azure correspondantes dans votre environnement. Par exemple, au lieu d’utiliser scaneastusabcd1234 le nom de votre compte de stockage managé Microsoft Purview.

Point de terminaison privé Point de terminaison privé associé à Zone DNS (existante) Un enregistrement (exemple)
Compte Microsoft Purview privatelink.purview.azure.com Contoso-Purview
Portail Microsoft Purview privatelink.purviewstudio.azure.com Web
Ingestion Compte de stockage managé Microsoft Purview - Blob privatelink.blob.core.windows.net scaneastusabcd1234
Ingestion Compte de stockage managé Microsoft Purview - File d’attente privatelink.queue.core.windows.net scaneastusabcd1234
Ingestion Compte de stockage managé Microsoft Purview - Event Hub privatelink.servicebus.windows.net atlas-12345678-1234-1234-abcd-123456789abc

Diagramme montrant la résolution de noms Microsoft Purview

Pour plus d’informations, consultez Charges de travail de réseau virtuel sans serveur DNS personnalisé et Charges de travail locales à l’aide d’un redirecteur DNS dans la configuration DNS du point de terminaison privé Azure.

Une fois le déploiement du point de terminaison privé terminé, assurez-vous qu’il existe une liaison de réseau virtuel sur toutes les zones Azure DNS privé correspondantes vers le réseau virtuel Azure où le point de terminaison privé a été déployé.

Capture d’écran montrant les liens de réseau virtuel sur la zone DNS.

Pour plus d’informations, consultez Configuration DNS du point de terminaison privé Azure.

Configurer des redirecteurs DNS si un DNS personnalisé est utilisé

En outre, il est nécessaire de valider vos configurations DNS sur le réseau virtuel Azure où se trouve la machine virtuelle du runtime d’intégration auto-hébergé ou le PC de gestion.

Diagramme montrant le DNS personnalisé de réseau virtuel Azure

  • S’il est configuré sur Par défaut, aucune autre action n’est requise dans cette étape.

  • Si un serveur DNS personnalisé est utilisé, vous devez ajouter des redirecteurs DNS correspondants à l’intérieur de vos serveurs DNS pour les zones suivantes :

    • Purview.azure.com
    • purviewstudio.azure.com
    • Blob.core.windows.net
    • Queue.core.windows.net
    • Servicebus.windows.net

Vérifier la résolution de noms interne

Lorsque vous résolvez l’URL du point de terminaison Microsoft Purview à partir de l’extérieur du réseau virtuel avec le point de terminaison privé, elle est résolue en point de terminaison public de Microsoft Purview. Lorsqu’elle est résolue à partir du réseau virtuel hébergeant le point de terminaison privé, l’URL du point de terminaison Microsoft Purview est résolue en adresse IP du point de terminaison privé.

Par exemple, si un nom de compte Microsoft Purview est « Contoso-Purview », lorsqu’il est résolu à partir de l’extérieur du réseau virtuel qui héberge le point de terminaison privé, il s’agit des éléments suivants :

Nom Type Valeur
Contoso-Purview.purview.azure.com CNAME Contoso-Purview.privatelink.purview.azure.com
Contoso-Purview.privatelink.purview.azure.com CNAME <Point de terminaison public Microsoft Purview>
<Point de terminaison public Microsoft Purview> A <Adresse IP publique Microsoft Purview>
Web.purview.azure.com CNAME <Point de terminaison public du portail de gouvernance Microsoft Purview>

Les enregistrements de ressources DNS pour Contoso-Purview, lorsqu’ils sont résolus dans le réseau virtuel hébergeant le point de terminaison privé, sont les suivants :

Nom Type Valeur
Contoso-Purview.purview.azure.com CNAME Contoso-Purview.privatelink.purview.azure.com
Contoso-Purview.privatelink.purview.azure.com A <Adresse IP du point de terminaison privé du compte Microsoft Purview>
Web.purview.azure.com CNAME <Adresse IP du point de terminaison privé du portail Microsoft Purview>

Option 3 - Utiliser vos propres serveurs DNS

Si vous n’utilisez pas de redirecteurs DNS et que vous gérez des enregistrements A directement dans vos serveurs DNS locaux pour résoudre les points de terminaison via leurs adresses IP privées, vous devrez peut-être créer les enregistrements A suivants dans vos serveurs DNS.

Remarque

Mettez à jour tous les noms avec Contoso-Purview,scaneastusabcd1234 et atlas-12345678-1234-1234-abcd-123456789abc avec le nom des ressources Azure correspondantes dans votre environnement. Par exemple, au lieu d’utiliser scaneastusabcd1234 le nom de votre compte de stockage managé Microsoft Purview.

Nom Type Valeur
web.purview.azure.com A <adresse IP du point de terminaison privé du portail de Microsoft Purview>
scaneastusabcd1234.blob.core.windows.net A <Adresse IP du point de terminaison privé d’ingestion d’objets blob de Microsoft Purview>
scaneastusabcd1234.queue.core.windows.net A <Adresse IP du point de terminaison privé d’ingestion de file d’attente de Microsoft Purview>
atlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net A <Adresse IP du point de terminaison privé d’ingestion d’espace de noms de Microsoft Purview>
Contoso-Purview.Purview.azure.com A <adresse IP du point de terminaison privé du compte de Microsoft Purview>
Contoso-Purview.scan.Purview.azure.com A <adresse IP du point de terminaison privé du compte de Microsoft Purview>
Contoso-Purview.catalog.Purview.azure.com A <adresse IP du point de terminaison privé du compte de Microsoft Purview>
Contoso-Purview.proxy.purview.azure.com A <adresse IP du point de terminaison privé du compte de Microsoft Purview>
Contoso-Purview.guardian.purview.azure.com A <adresse IP du point de terminaison privé du compte de Microsoft Purview>
gateway.purview.azure.com A <adresse IP du point de terminaison privé du compte de Microsoft Purview>
insight.prod.ext.web.purview.azure.com A <adresse IP du point de terminaison privé du portail de Microsoft Purview>
manifest.prod.ext.web.purview.azure.com A <adresse IP du point de terminaison privé du portail de Microsoft Purview>
cdn.prod.ext.web.purview.azure.com A <adresse IP du point de terminaison privé du portail de Microsoft Purview>
hub.prod.ext.web.purview.azure.com A <adresse IP du point de terminaison privé du portail de Microsoft Purview>
catalog.prod.ext.web.purview.azure.com A <adresse IP du point de terminaison privé du portail de Microsoft Purview>
cseo.prod.ext.web.purview.azure.com A <adresse IP du point de terminaison privé du portail de Microsoft Purview>
datascan.prod.ext.web.purview.azure.com A <adresse IP du point de terminaison privé du portail de Microsoft Purview>
datashare.prod.ext.web.purview.azure.com A <adresse IP du point de terminaison privé du portail de Microsoft Purview>
datasource.prod.ext.web.purview.azure.com A <adresse IP du point de terminaison privé du portail de Microsoft Purview>
policy.prod.ext.web.purview.azure.com A <adresse IP du point de terminaison privé du portail de Microsoft Purview>
sensitivity.prod.ext.web.purview.azure.com A <adresse IP du point de terminaison privé du portail de Microsoft Purview>
web.privatelink.purviewstudio.azure.com A <adresse IP du point de terminaison privé du portail de Microsoft Purview>
workflow.prod.ext.web.purview.azure.com A <adresse IP du point de terminaison privé du portail de Microsoft Purview>

Vérifier et tester la résolution de noms et la connectivité DNS

  1. Si vous utilisez Azure DNS privé Zones, vérifiez que les zones DNS suivantes et les enregistrements A correspondants sont créés dans votre abonnement Azure :

    Point de terminaison privé Point de terminaison privé associé à DNS Zone A Record )(example)
    Compte Microsoft Purview privatelink.purview.azure.com Contoso-Purview
    Portail Microsoft Purview privatelink.purviewstudio.azure.com Web
    Ingestion Compte de stockage managé Microsoft Purview - Blob privatelink.blob.core.windows.net scaneastusabcd1234
    Ingestion Compte de stockage managé Microsoft Purview - File d’attente privatelink.queue.core.windows.net scaneastusabcd1234
    Ingestion Hubs d’événements configurés par Microsoft Purview - Hub d’événements privatelink.servicebus.windows.net atlas-12345678-1234-1234-abcd-123456789abc
  2. Créez des liens de réseau virtuel dans vos zones Azure DNS privé pour vos réseaux virtuels Azure afin d’autoriser la résolution de noms interne.

  3. À partir de votre PC de gestion et de votre machine virtuelle du runtime d’intégration auto-hébergé, testez la résolution de noms et la connectivité réseau à votre compte Microsoft Purview à l’aide d’outils tels que Nslookup.exe et PowerShell

Pour tester la résolution de noms, vous devez résoudre les noms de domaine complets suivants via leurs adresses IP privées : (au lieu de Contoso-Purview, scaneastusabcd1234 ou atlas-12345678-1234-1234-abcd-123456789abc, utilisez le nom d’hôte associé au nom de votre compte Purview et aux noms des ressources gérées ou configurées)

  • Contoso-Purview.purview.azure.com
  • web.purview.azure.com
  • scaneastusabcd1234.blob.core.windows.net
  • scaneastusabcd1234.queue.core.windows.net
  • atlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net

Pour tester la connectivité réseau, à partir d’une machine virtuelle du runtime d’intégration auto-hébergé, vous pouvez lancer la console PowerShell et tester la connectivité à l’aide Test-NetConnectionde . Vous devez résoudre chaque point de terminaison par leur point de terminaison privé et obtenir TcpTestSucceeded avec la valeur True. (Au lieu de Contoso-Purview, scaneastusabcd1234 ou atlas-12345678-1234-1234-abcd-123456789abc, utilisez le nom d’hôte associé au nom de votre compte Purview et aux noms des ressources gérées ou configurées)

  • Test-NetConnection -ComputerName Contoso-Purview.purview.azure.com -port 443
  • Test-NetConnection -ComputerName web.purview.azure.com -port 443
  • Test-NetConnection -ComputerName scaneastusabcd1234.blob.core.windows.net -port 443
  • Test-NetConnection -ComputerName scaneastusabcd1234.queue.core.windows.net -port 443
  • Test-NetConnection -ComputerName atlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net -port 443

Prochaines étapes