Configurare e verificare la risoluzione dei nomi DNS per gli endpoint privati di Microsoft Purview
Panoramica dei concetti
La risoluzione accurata dei nomi è un requisito fondamentale quando si configurano endpoint privati per gli account Microsoft Purview.
È possibile richiedere l'abilitazione della risoluzione dei nomi interni nelle impostazioni DNS per risolvere gli indirizzi IP dell'endpoint privato al nome di dominio completo (FQDN) dalle origini dati e dal computer di gestione all'account Microsoft Purview e al runtime di integrazione self-hosted, a seconda degli scenari di distribuzione.
Nell'esempio seguente viene illustrata la risoluzione dei nomi DNS di Microsoft Purview dall'esterno della rete virtuale o quando non è configurato un endpoint privato di Azure.
Nell'esempio seguente viene illustrata la risoluzione dei nomi DNS di Microsoft Purview dall'interno della rete virtuale.
Opzioni di distribuzione
Usare una delle opzioni seguenti per configurare la risoluzione dei nomi interni quando si usano endpoint privati per l'account Microsoft Purview:
- Distribuire nuove zone di Azure DNS privato nell'ambiente di Azure che fa parte della distribuzione di endpoint privati. (Opzione predefinita)
- Usare zone di Azure DNS privato esistenti. Usare questa opzione se si usa un endpoint privato in un modello hub-spoke da una sottoscrizione diversa o anche all'interno della stessa sottoscrizione.
- Usare i propri server DNS se non si usano i server di inoltro DNS e si gestiscono i record A direttamente nei server DNS locali.
Opzione 1 - Distribuire nuove zone di DNS privato di Azure
Distribuire nuove zone di DNS privato di Azure
Per abilitare la risoluzione dei nomi interni, è possibile distribuire le zone DNS di Azure necessarie all'interno della sottoscrizione di Azure in cui viene distribuito l'account Microsoft Purview.
Quando si crea l'inserimento, il portale e gli endpoint privati dell'account, i record di risorse DNS CNAME per Microsoft Purview vengono aggiornati automaticamente a un alias in pochi sottodomini con il prefisso privatelink:
Per impostazione predefinita, durante la distribuzione dell'endpoint privato dell'account Microsoft Purview, viene creata anche una zona DNS privata che corrisponde al
privatelinksottodominio per Microsoft Purview, comeprivatelink.purview.azure.comincluso i record di risorse DNS per gli endpoint privati.Durante la distribuzione dell'endpoint privato del portale per l'account
privatelinkMicrosoft Purview, viene creata anche una nuova zona DNS privata che corrisponde al sottodominio per Microsoft Purview, comeprivatelink.purviewstudio.azure.comincluso i record di risorse DNS per Web.Se si abilitano gli endpoint privati di inserimento, sono necessarie altre zone DNS per le risorse gestite o configurate.
La tabella seguente illustra un esempio di zone di Azure DNS privato e record DNS distribuiti come parte della configurazione dell'endpoint privato per un account Microsoft Purview se si abilita l'integrazione DNS privato durante la distribuzione:
| Endpoint privato | Endpoint privato associato a | Zona DNS (nuova) | Record (esempio) |
|---|---|---|---|
| Account | Microsoft Purview | privatelink.purview.azure.com |
Contoso-Purview |
| Portale | Microsoft Purview | privatelink.purviewstudio.azure.com |
Web |
| Inserimento | Account di archiviazione gestito di Microsoft Purview - BLOB | privatelink.blob.core.windows.net |
scaneastusabcd1234 |
| Inserimento | Account di archiviazione gestito di Microsoft Purview - Coda | privatelink.queue.core.windows.net |
scaneastusabcd1234 |
| Inserimento | Account di archiviazione gestito di Microsoft Purview - Hub eventi | privatelink.servicebus.windows.net |
atlas-12345678-1234-1234-abcd-123456789abc |
Convalidare i collegamenti di rete virtuale nelle zone di DNS privato di Azure
Una volta completata la distribuzione dell'endpoint privato, assicurarsi che sia presente un collegamento di rete virtuale in tutte le zone di Azure DNS privato corrispondenti alla rete virtuale di Azure in cui è stato distribuito l'endpoint privato.
Per altre informazioni, vedere Configurazione DNS dell'endpoint privato di Azure.
Verificare la risoluzione dei nomi interni
Quando si risolve l'URL dell'endpoint Microsoft Purview dall'esterno della rete virtuale con l'endpoint privato, viene risolto nell'endpoint pubblico di Microsoft Purview. Quando viene risolto dalla rete virtuale che ospita l'endpoint privato, l'URL dell'endpoint Microsoft Purview viene risolto nell'indirizzo IP dell'endpoint privato.
Ad esempio, se un nome dell'account Microsoft Purview è "Contoso-Purview", quando viene risolto dall'esterno della rete virtuale che ospita l'endpoint privato, sarà:
| Nome | Type | valore |
|---|---|---|
Contoso-Purview.purview.azure.com |
CNAME | Contoso-Purview.privatelink.purview.azure.com |
Contoso-Purview.privatelink.purview.azure.com |
CNAME | <Endpoint pubblico di Microsoft Purview> |
| <Endpoint pubblico di Microsoft Purview> | A | <Indirizzo IP pubblico di Microsoft Purview> |
Web.purview.azure.com |
CNAME | <Endpoint pubblico del portale di governance di Microsoft Purview> |
I record di risorse DNS per Contoso-Purview, quando risolti nella rete virtuale che ospitano l'endpoint privato, saranno:
| Nome | Type | valore |
|---|---|---|
Contoso-Purview.purview.azure.com |
CNAME | Contoso-Purview.privatelink.purview.azure.com |
Contoso-Purview.privatelink.purview.azure.com |
A | <Indirizzo IP dell'endpoint privato dell'account Microsoft Purview> |
Web.purview.azure.com |
CNAME | <Indirizzo IP dell'endpoint privato del portale Di Microsoft Purview> |
Opzione 2 - Usare zone di Azure DNS privato esistenti
Usare zone di DNS privato di Azure esistenti
Durante la distribuzione degli endpoint privati microsft Purview, è possibile scegliere DNS privato integrazione usando le zone di DNS privato di Azure esistenti. Questo è il caso comune per le organizzazioni in cui viene usato l'endpoint privato per altri servizi in Azure. In questo caso, durante la distribuzione di endpoint privati, assicurarsi di selezionare le zone DNS esistenti anziché crearne di nuove.
Questo scenario si applica anche se l'organizzazione usa una sottoscrizione centrale o hub per tutte le zone di DNS privato di Azure.
L'elenco seguente mostra le zone DNS di Azure necessarie e i record A per gli endpoint privati Di Microsoft Purview:
Nota
Aggiornare tutti i nomi con Contoso-Purviewescaneastusabcd1234atlas-12345678-1234-1234-abcd-123456789abc con il nome delle risorse di Azure corrispondenti nell'ambiente. Ad esempio, anziché scaneastusabcd1234 usare il nome dell'account di archiviazione gestito di Microsoft Purview.
| Endpoint privato | Endpoint privato associato a | Zona DNS (esistente) | Record (esempio) |
|---|---|---|---|
| Account | Microsoft Purview | privatelink.purview.azure.com |
Contoso-Purview |
| Portale | Microsoft Purview | privatelink.purviewstudio.azure.com |
Web |
| Inserimento | Account di archiviazione gestito di Microsoft Purview - BLOB | privatelink.blob.core.windows.net |
scaneastusabcd1234 |
| Inserimento | Account di archiviazione gestito di Microsoft Purview - Coda | privatelink.queue.core.windows.net |
scaneastusabcd1234 |
| Inserimento | Account di archiviazione gestito di Microsoft Purview - Hub eventi | privatelink.servicebus.windows.net |
atlas-12345678-1234-1234-abcd-123456789abc |
Per altre informazioni, vedere Carichi di lavoro di rete virtuale senza carichi di lavoro DNS personalizzati e locali usando scenari di inoltro DNS nella configurazione DNS dell'endpoint privato di Azure.
Verificare i collegamenti di rete virtuale nelle zone di DNS privato di Azure
Una volta completata la distribuzione dell'endpoint privato, assicurarsi che sia presente un collegamento di rete virtuale in tutte le zone di Azure DNS privato corrispondenti alla rete virtuale di Azure in cui è stato distribuito l'endpoint privato.
Per altre informazioni, vedere Configurazione DNS dell'endpoint privato di Azure.
Configurare i server di inoltro DNS se viene usato DNS personalizzato
È inoltre necessario convalidare le configurazioni DNS nella rete virtuale di Azure in cui si trova la macchina virtuale del runtime di integrazione self-hosted o il PC di gestione.
Se è configurato per Impostazione predefinita, non è necessaria un'ulteriore azione in questo passaggio.
Se viene usato un server DNS personalizzato, è necessario aggiungere server di inoltro DNS corrispondenti all'interno dei server DNS per le zone seguenti:
- Purview.azure.com
- Blob.core.windows.net
- Queue.core.windows.net
- Servicebus.windows.net
Verificare la risoluzione dei nomi interni
Quando si risolve l'URL dell'endpoint Microsoft Purview dall'esterno della rete virtuale con l'endpoint privato, viene risolto nell'endpoint pubblico di Microsoft Purview. Quando viene risolto dalla rete virtuale che ospita l'endpoint privato, l'URL dell'endpoint Microsoft Purview viene risolto nell'indirizzo IP dell'endpoint privato.
Ad esempio, se un nome dell'account Microsoft Purview è "Contoso-Purview", quando viene risolto dall'esterno della rete virtuale che ospita l'endpoint privato, sarà:
| Nome | Type | valore |
|---|---|---|
Contoso-Purview.purview.azure.com |
CNAME | Contoso-Purview.privatelink.purview.azure.com |
Contoso-Purview.privatelink.purview.azure.com |
CNAME | <Endpoint pubblico di Microsoft Purview> |
| <Endpoint pubblico di Microsoft Purview> | A | <Indirizzo IP pubblico di Microsoft Purview> |
Web.purview.azure.com |
CNAME | <Endpoint pubblico del portale di governance di Microsoft Purview> |
I record di risorse DNS per Contoso-Purview, quando risolti nella rete virtuale che ospitano l'endpoint privato, saranno:
| Nome | Type | valore |
|---|---|---|
Contoso-Purview.purview.azure.com |
CNAME | Contoso-Purview.privatelink.purview.azure.com |
Contoso-Purview.privatelink.purview.azure.com |
A | <Indirizzo IP dell'endpoint privato dell'account Microsoft Purview> |
Web.purview.azure.com |
CNAME | <Indirizzo IP dell'endpoint privato del portale Di Microsoft Purview> |
Opzione 3 - Usare i propri server DNS
Se non si usano server di inoltro DNS e si gestiscono record A direttamente nei server DNS locali per risolvere gli endpoint tramite gli indirizzi IP privati, potrebbe essere necessario creare i record A seguenti nei server DNS.
Nota
Aggiornare tutti i nomi con Contoso-Purviewescaneastusabcd1234atlas-12345678-1234-1234-abcd-123456789abc con il nome delle risorse di Azure corrispondenti nell'ambiente. Ad esempio, anziché scaneastusabcd1234 usare il nome dell'account di archiviazione gestito di Microsoft Purview.
| Nome | Type | valore |
|---|---|---|
web.purview.azure.com |
Una | <indirizzo IP dell'endpoint privato del portale di Microsoft Purview> |
scaneastusabcd1234.blob.core.windows.net |
A | <Indirizzo IP dell'endpoint privato di inserimento BLOB di Microsoft Purview> |
scaneastusabcd1234.queue.core.windows.net |
A | <indirizzo IP dell'endpoint privato di inserimento in coda di Microsoft Purview> |
atlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net |
A | <indirizzo IP dell'endpoint privato di inserimento dello spazio dei nomi di Microsoft Purview> |
Contoso-Purview.Purview.azure.com |
A | <indirizzo IP dell'endpoint privato dell'account di Microsoft Purview> |
Contoso-Purview.scan.Purview.azure.com |
A | <indirizzo IP dell'endpoint privato dell'account di Microsoft Purview> |
Contoso-Purview.catalog.Purview.azure.com |
A | <indirizzo IP dell'endpoint privato dell'account di Microsoft Purview> |
Contoso-Purview.proxy.purview.azure.com |
A | <indirizzo IP dell'endpoint privato dell'account di Microsoft Purview> |
Contoso-Purview.guardian.purview.azure.com |
A | <indirizzo IP dell'endpoint privato dell'account di Microsoft Purview> |
gateway.purview.azure.com |
A | <indirizzo IP dell'endpoint privato dell'account di Microsoft Purview> |
insight.prod.ext.web.purview.azure.com |
A | <indirizzo IP dell'endpoint privato dell'account di Microsoft Purview> |
manifest.prod.ext.web.purview.azure.com |
A | <indirizzo IP dell'endpoint privato del portale di Microsoft Purview> |
cdn.prod.ext.web.purview.azure.com |
A | <indirizzo IP dell'endpoint privato del portale di Microsoft Purview> |
hub.prod.ext.web.purview.azure.com |
A | <indirizzo IP dell'endpoint privato del portale di Microsoft Purview> |
catalog.prod.ext.web.purview.azure.com |
A | <indirizzo IP dell'endpoint privato del portale di Microsoft Purview> |
cseo.prod.ext.web.purview.azure.com |
A | <indirizzo IP dell'endpoint privato del portale di Microsoft Purview> |
datascan.prod.ext.web.purview.azure.com |
A | <indirizzo IP dell'endpoint privato del portale di Microsoft Purview> |
datashare.prod.ext.web.purview.azure.com |
A | <indirizzo IP dell'endpoint privato del portale di Microsoft Purview> |
datasource.prod.ext.web.purview.azure.com |
A | <indirizzo IP dell'endpoint privato del portale di Microsoft Purview> |
policy.prod.ext.web.purview.azure.com |
A | <indirizzo IP dell'endpoint privato del portale di Microsoft Purview> |
sensitivity.prod.ext.web.purview.azure.com |
A | <indirizzo IP dell'endpoint privato del portale di Microsoft Purview> |
Verificare e verificare la risoluzione e la connettività dei nomi di test DNS
Se si usa Azure DNS privato Zone, assicurarsi che le zone DNS seguenti e i record A corrispondenti vengano creati nella sottoscrizione di Azure:
Endpoint privato Endpoint privato associato a Zona DNS Record )(esempio) Account Microsoft Purview privatelink.purview.azure.comContoso-Purview Portale Microsoft Purview privatelink.purviewstudio.azure.comWeb Inserimento Account di archiviazione gestito di Microsoft Purview - BLOB privatelink.blob.core.windows.netscaneastusabcd1234 Inserimento Account di archiviazione gestito di Microsoft Purview - Coda privatelink.queue.core.windows.netscaneastusabcd1234 Inserimento Hub eventi configurato da Microsoft Purview - Hub eventi privatelink.servicebus.windows.netatlas-12345678-1234-1234-abcd-123456789abc Creare collegamenti di rete virtuale nelle zone di DNS privato di Azure per le reti virtuali di Azure per consentire la risoluzione dei nomi interna.
Dal PC di gestione e dalla macchina virtuale del runtime di integrazione self-hosted, testare la risoluzione dei nomi e la connettività di rete all'account Microsoft Purview usando strumenti come Nslookup.exe e PowerShell
Per testare la risoluzione dei nomi, è necessario risolvere i nomi di dominio completi seguenti tramite gli indirizzi IP privati: (anziché Contoso-Purview, scaneastusabcd1234 o atlas-12345678-1234-1234-abcd-123456789abc, usare il nome host associato al nome dell'account purview e ai nomi di risorse gestite o configurate)
Contoso-Purview.purview.azure.comweb.purview.azure.comscaneastusabcd1234.blob.core.windows.netscaneastusabcd1234.queue.core.windows.netatlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net
Per testare la connettività di rete, dalla macchina virtuale del runtime di integrazione self-hosted è possibile avviare la console di PowerShell e testare la connettività usando Test-NetConnection.
È necessario risolvere ogni endpoint in base all'endpoint privato e ottenere TcpTestSucceeded come True. Anziché Contoso-Purview, scaneastusabcd1234 o atlas-12345678-1234-1234-abcd-123456789abc, usare il nome host associato al nome dell'account purview e ai nomi delle risorse gestite o configurate.
Test-NetConnection -ComputerName Contoso-Purview.purview.azure.com -port 443Test-NetConnection -ComputerName web.purview.azure.com -port 443Test-NetConnection -ComputerName scaneastusabcd1234.blob.core.windows.net -port 443Test-NetConnection -ComputerName scaneastusabcd1234.queue.core.windows.net -port 443Test-NetConnection -ComputerName atlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net -port 443