Configurer et vérifier la résolution de noms DNS pour les points de terminaison privés Microsoft Purview
Présentation conceptuelle
La résolution de noms précise est une exigence essentielle lors de la configuration de points de terminaison privés pour vos comptes Microsoft Purview.
Vous devrez peut-être activer la résolution de noms interne dans vos paramètres DNS pour résoudre les adresses IP du point de terminaison privé en nom de domaine complet (FQDN) à partir des sources de données et de votre ordinateur de gestion vers le compte Microsoft Purview et le runtime d’intégration auto-hébergé, selon les scénarios que vous déployez.
L’exemple suivant montre la résolution de noms DNS Microsoft Purview en dehors du réseau virtuel ou lorsqu’un point de terminaison privé Azure n’est pas configuré.
L’exemple suivant illustre la résolution de noms DNS Microsoft Purview à partir du réseau virtuel.
Options de déploiement
Utilisez l’une des options suivantes pour configurer la résolution de noms interne lors de l’utilisation de points de terminaison privés pour votre compte Microsoft Purview :
- Déployez de nouvelles zones Azure DNS privé dans votre environnement Azure dans le cadre du déploiement de point de terminaison privé. (Option par défaut)
- Utilisez des zones de DNS privé Azure existantes. Utilisez cette option si vous utilisez un point de terminaison privé dans un modèle hub-and-spoke à partir d’un autre abonnement ou même au sein du même abonnement.
- Utilisez vos propres serveurs DNS si vous n’utilisez pas de redirecteurs DNS et que vous gérez les enregistrements A directement dans vos serveurs DNS locaux.
Option 1 : Déployer de nouvelles zones DNS privé Azure
Déployer de nouvelles zones de DNS privé Azure
Pour activer la résolution de noms interne, vous pouvez déployer les zones Azure DNS requises dans votre abonnement Azure où le compte Microsoft Purview est déployé.
Lorsque vous créez des points de terminaison privés d’ingestion, de portail et de compte, les enregistrements de ressources CNAME DNS pour Microsoft Purview sont automatiquement mis à jour vers un alias dans quelques sous-domaines avec le préfixe privatelink:
Par défaut, lors du déploiement d’un point de terminaison privé de compte pour votre compte Microsoft Purview, nous créons également une zone DNS privée qui correspond au
privatelinksous-domaine de Microsoft Purview, en incluantprivatelink.purview.azure.comles enregistrements de ressources DNS A pour les points de terminaison privés.Lors du déploiement du point de terminaison privé du portail pour votre compte Microsoft Purview, nous créons également une zone DNS privée qui correspond au
privatelinksous-domaine de Microsoft Purview, en incluantprivatelink.purviewstudio.azure.comles enregistrements de ressources DNS A pour le web.Si vous activez les points de terminaison privés d’ingestion, des zones DNS supplémentaires sont requises pour les ressources managées ou configurées.
Le tableau suivant montre un exemple de zones Azure DNS privé et d’enregistrements DNS A déployés dans le cadre de la configuration d’un point de terminaison privé pour un compte Microsoft Purview si vous activez l’intégration DNS privé pendant le déploiement :
| Point de terminaison privé | Point de terminaison privé associé à | Zone DNS (nouveau) | Un enregistrement (exemple) |
|---|---|---|---|
| Compte | Microsoft Purview | privatelink.purview.azure.com |
Contoso-Purview |
| Portail | Microsoft Purview | privatelink.purviewstudio.azure.com |
Web |
| Ingestion | Compte de stockage managé Microsoft Purview - Blob | privatelink.blob.core.windows.net |
scaneastusabcd1234 |
| Ingestion | Compte de stockage managé Microsoft Purview - File d’attente | privatelink.queue.core.windows.net |
scaneastusabcd1234 |
| Ingestion | Compte de stockage managé Microsoft Purview - Event Hub | privatelink.servicebus.windows.net |
atlas-12345678-1234-1234-abcd-123456789abc |
Valider les liens de réseau virtuel sur azure DNS privé Zones
Une fois le déploiement du point de terminaison privé terminé, assurez-vous qu’il existe une liaison de réseau virtuel sur toutes les zones Azure DNS privé correspondantes vers le réseau virtuel Azure où le point de terminaison privé a été déployé.
Pour plus d’informations, consultez Configuration DNS du point de terminaison privé Azure.
Vérifier la résolution de noms interne
Lorsque vous résolvez l’URL du point de terminaison Microsoft Purview à partir de l’extérieur du réseau virtuel avec le point de terminaison privé, elle est résolue en point de terminaison public de Microsoft Purview. Lorsqu’elle est résolue à partir du réseau virtuel hébergeant le point de terminaison privé, l’URL du point de terminaison Microsoft Purview est résolue en adresse IP du point de terminaison privé.
Par exemple, si un nom de compte Microsoft Purview est « Contoso-Purview », lorsqu’il est résolu à partir de l’extérieur du réseau virtuel qui héberge le point de terminaison privé, il s’agit des éléments suivants :
| Nom | Type | Valeur |
|---|---|---|
Contoso-Purview.purview.azure.com |
CNAME | Contoso-Purview.privatelink.purview.azure.com |
Contoso-Purview.privatelink.purview.azure.com |
CNAME | <Point de terminaison public Microsoft Purview> |
| <Point de terminaison public Microsoft Purview> | A | <Adresse IP publique Microsoft Purview> |
Web.purview.azure.com |
CNAME | <Point de terminaison public du portail de gouvernance Microsoft Purview> |
Les enregistrements de ressources DNS pour Contoso-Purview, lorsqu’ils sont résolus dans le réseau virtuel hébergeant le point de terminaison privé, sont les suivants :
| Nom | Type | Valeur |
|---|---|---|
Contoso-Purview.purview.azure.com |
CNAME | Contoso-Purview.privatelink.purview.azure.com |
Contoso-Purview.privatelink.purview.azure.com |
A | <Adresse IP du point de terminaison privé du compte Microsoft Purview> |
Web.purview.azure.com |
CNAME | <Adresse IP du point de terminaison privé du portail Microsoft Purview> |
Option 2 : Utiliser des zones DNS privé Azure existantes
Utiliser des zones de DNS privé Azure existantes
Pendant le déploiement de points de terminaison privés Microsft Purview, vous pouvez choisir DNS privé’intégration à l’aide de zones Azure DNS privé existantes. C’est le cas courant pour les organisations où un point de terminaison privé est utilisé pour d’autres services dans Azure. Dans ce cas, pendant le déploiement de points de terminaison privés, veillez à sélectionner les zones DNS existantes au lieu d’en créer de nouvelles.
Ce scénario s’applique également si votre organization utilise un abonnement central ou hub pour toutes les zones Azure DNS privé.
La liste suivante présente les zones Azure DNS et les enregistrements A requis pour les points de terminaison privés Microsoft Purview :
Remarque
Mettez à jour tous les noms avec Contoso-Purview,scaneastusabcd1234 et atlas-12345678-1234-1234-abcd-123456789abc avec le nom des ressources Azure correspondantes dans votre environnement. Par exemple, au lieu d’utiliser scaneastusabcd1234 le nom de votre compte de stockage managé Microsoft Purview.
| Point de terminaison privé | Point de terminaison privé associé à | Zone DNS (existante) | Un enregistrement (exemple) |
|---|---|---|---|
| Compte | Microsoft Purview | privatelink.purview.azure.com |
Contoso-Purview |
| Portail | Microsoft Purview | privatelink.purviewstudio.azure.com |
Web |
| Ingestion | Compte de stockage managé Microsoft Purview - Blob | privatelink.blob.core.windows.net |
scaneastusabcd1234 |
| Ingestion | Compte de stockage managé Microsoft Purview - File d’attente | privatelink.queue.core.windows.net |
scaneastusabcd1234 |
| Ingestion | Compte de stockage managé Microsoft Purview - Event Hub | privatelink.servicebus.windows.net |
atlas-12345678-1234-1234-abcd-123456789abc |
Pour plus d’informations, consultez Charges de travail de réseau virtuel sans serveur DNS personnalisé et Charges de travail locales à l’aide d’un redirecteur DNS dans la configuration DNS du point de terminaison privé Azure.
Vérifier les liens de réseau virtuel sur azure DNS privé Zones
Une fois le déploiement du point de terminaison privé terminé, assurez-vous qu’il existe une liaison de réseau virtuel sur toutes les zones Azure DNS privé correspondantes vers le réseau virtuel Azure où le point de terminaison privé a été déployé.
Pour plus d’informations, consultez Configuration DNS du point de terminaison privé Azure.
Configurer des redirecteurs DNS si un DNS personnalisé est utilisé
En outre, il est nécessaire de valider vos configurations DNS sur le réseau virtuel Azure où se trouve la machine virtuelle du runtime d’intégration auto-hébergé ou le PC de gestion.
S’il est configuré sur Par défaut, aucune autre action n’est requise dans cette étape.
Si un serveur DNS personnalisé est utilisé, vous devez ajouter des redirecteurs DNS correspondants à l’intérieur de vos serveurs DNS pour les zones suivantes :
- Purview.azure.com
- purviewstudio.azure.com
- Blob.core.windows.net
- Queue.core.windows.net
- Servicebus.windows.net
Vérifier la résolution de noms interne
Lorsque vous résolvez l’URL du point de terminaison Microsoft Purview à partir de l’extérieur du réseau virtuel avec le point de terminaison privé, elle est résolue en point de terminaison public de Microsoft Purview. Lorsqu’elle est résolue à partir du réseau virtuel hébergeant le point de terminaison privé, l’URL du point de terminaison Microsoft Purview est résolue en adresse IP du point de terminaison privé.
Par exemple, si un nom de compte Microsoft Purview est « Contoso-Purview », lorsqu’il est résolu à partir de l’extérieur du réseau virtuel qui héberge le point de terminaison privé, il s’agit des éléments suivants :
| Nom | Type | Valeur |
|---|---|---|
Contoso-Purview.purview.azure.com |
CNAME | Contoso-Purview.privatelink.purview.azure.com |
Contoso-Purview.privatelink.purview.azure.com |
CNAME | <Point de terminaison public Microsoft Purview> |
| <Point de terminaison public Microsoft Purview> | A | <Adresse IP publique Microsoft Purview> |
Web.purview.azure.com |
CNAME | <Point de terminaison public du portail de gouvernance Microsoft Purview> |
Les enregistrements de ressources DNS pour Contoso-Purview, lorsqu’ils sont résolus dans le réseau virtuel hébergeant le point de terminaison privé, sont les suivants :
| Nom | Type | Valeur |
|---|---|---|
Contoso-Purview.purview.azure.com |
CNAME | Contoso-Purview.privatelink.purview.azure.com |
Contoso-Purview.privatelink.purview.azure.com |
A | <Adresse IP du point de terminaison privé du compte Microsoft Purview> |
Web.purview.azure.com |
CNAME | <Adresse IP du point de terminaison privé du portail Microsoft Purview> |
Option 3 - Utiliser vos propres serveurs DNS
Si vous n’utilisez pas de redirecteurs DNS et que vous gérez des enregistrements A directement dans vos serveurs DNS locaux pour résoudre les points de terminaison via leurs adresses IP privées, vous devrez peut-être créer les enregistrements A suivants dans vos serveurs DNS.
Remarque
Mettez à jour tous les noms avec Contoso-Purview,scaneastusabcd1234 et atlas-12345678-1234-1234-abcd-123456789abc avec le nom des ressources Azure correspondantes dans votre environnement. Par exemple, au lieu d’utiliser scaneastusabcd1234 le nom de votre compte de stockage managé Microsoft Purview.
| Nom | Type | Valeur |
|---|---|---|
web.purview.azure.com |
A | <adresse IP du point de terminaison privé du portail de Microsoft Purview> |
scaneastusabcd1234.blob.core.windows.net |
A | <Adresse IP du point de terminaison privé d’ingestion d’objets blob de Microsoft Purview> |
scaneastusabcd1234.queue.core.windows.net |
A | <Adresse IP du point de terminaison privé d’ingestion de file d’attente de Microsoft Purview> |
atlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net |
A | <Adresse IP du point de terminaison privé d’ingestion d’espace de noms de Microsoft Purview> |
Contoso-Purview.Purview.azure.com |
A | <adresse IP du point de terminaison privé du compte de Microsoft Purview> |
Contoso-Purview.scan.Purview.azure.com |
A | <adresse IP du point de terminaison privé du compte de Microsoft Purview> |
Contoso-Purview.catalog.Purview.azure.com |
A | <adresse IP du point de terminaison privé du compte de Microsoft Purview> |
Contoso-Purview.proxy.purview.azure.com |
A | <adresse IP du point de terminaison privé du compte de Microsoft Purview> |
Contoso-Purview.guardian.purview.azure.com |
A | <adresse IP du point de terminaison privé du compte de Microsoft Purview> |
gateway.purview.azure.com |
A | <adresse IP du point de terminaison privé du compte de Microsoft Purview> |
insight.prod.ext.web.purview.azure.com |
A | <adresse IP du point de terminaison privé du portail de Microsoft Purview> |
manifest.prod.ext.web.purview.azure.com |
A | <adresse IP du point de terminaison privé du portail de Microsoft Purview> |
cdn.prod.ext.web.purview.azure.com |
A | <adresse IP du point de terminaison privé du portail de Microsoft Purview> |
hub.prod.ext.web.purview.azure.com |
A | <adresse IP du point de terminaison privé du portail de Microsoft Purview> |
catalog.prod.ext.web.purview.azure.com |
A | <adresse IP du point de terminaison privé du portail de Microsoft Purview> |
cseo.prod.ext.web.purview.azure.com |
A | <adresse IP du point de terminaison privé du portail de Microsoft Purview> |
datascan.prod.ext.web.purview.azure.com |
A | <adresse IP du point de terminaison privé du portail de Microsoft Purview> |
datashare.prod.ext.web.purview.azure.com |
A | <adresse IP du point de terminaison privé du portail de Microsoft Purview> |
datasource.prod.ext.web.purview.azure.com |
A | <adresse IP du point de terminaison privé du portail de Microsoft Purview> |
policy.prod.ext.web.purview.azure.com |
A | <adresse IP du point de terminaison privé du portail de Microsoft Purview> |
sensitivity.prod.ext.web.purview.azure.com |
A | <adresse IP du point de terminaison privé du portail de Microsoft Purview> |
web.privatelink.purviewstudio.azure.com |
A | <adresse IP du point de terminaison privé du portail de Microsoft Purview> |
workflow.prod.ext.web.purview.azure.com |
A | <adresse IP du point de terminaison privé du portail de Microsoft Purview> |
Vérifier et tester la résolution de noms et la connectivité DNS
Si vous utilisez Azure DNS privé Zones, vérifiez que les zones DNS suivantes et les enregistrements A correspondants sont créés dans votre abonnement Azure :
Point de terminaison privé Point de terminaison privé associé à DNS Zone A Record )(example) Compte Microsoft Purview privatelink.purview.azure.comContoso-Purview Portail Microsoft Purview privatelink.purviewstudio.azure.comWeb Ingestion Compte de stockage managé Microsoft Purview - Blob privatelink.blob.core.windows.netscaneastusabcd1234 Ingestion Compte de stockage managé Microsoft Purview - File d’attente privatelink.queue.core.windows.netscaneastusabcd1234 Ingestion Hubs d’événements configurés par Microsoft Purview - Hub d’événements privatelink.servicebus.windows.netatlas-12345678-1234-1234-abcd-123456789abc Créez des liens de réseau virtuel dans vos zones Azure DNS privé pour vos réseaux virtuels Azure afin d’autoriser la résolution de noms interne.
À partir de votre PC de gestion et de votre machine virtuelle du runtime d’intégration auto-hébergé, testez la résolution de noms et la connectivité réseau à votre compte Microsoft Purview à l’aide d’outils tels que Nslookup.exe et PowerShell
Pour tester la résolution de noms, vous devez résoudre les noms de domaine complets suivants via leurs adresses IP privées : (au lieu de Contoso-Purview, scaneastusabcd1234 ou atlas-12345678-1234-1234-abcd-123456789abc, utilisez le nom d’hôte associé au nom de votre compte Purview et aux noms des ressources gérées ou configurées)
Contoso-Purview.purview.azure.comweb.purview.azure.comscaneastusabcd1234.blob.core.windows.netscaneastusabcd1234.queue.core.windows.netatlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net
Pour tester la connectivité réseau, à partir d’une machine virtuelle du runtime d’intégration auto-hébergé, vous pouvez lancer la console PowerShell et tester la connectivité à l’aide Test-NetConnectionde .
Vous devez résoudre chaque point de terminaison par leur point de terminaison privé et obtenir TcpTestSucceeded avec la valeur True. (Au lieu de Contoso-Purview, scaneastusabcd1234 ou atlas-12345678-1234-1234-abcd-123456789abc, utilisez le nom d’hôte associé au nom de votre compte Purview et aux noms des ressources gérées ou configurées)
Test-NetConnection -ComputerName Contoso-Purview.purview.azure.com -port 443Test-NetConnection -ComputerName web.purview.azure.com -port 443Test-NetConnection -ComputerName scaneastusabcd1234.blob.core.windows.net -port 443Test-NetConnection -ComputerName scaneastusabcd1234.queue.core.windows.net -port 443Test-NetConnection -ComputerName atlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net -port 443
Prochaines étapes
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour