Configurare e verificare la risoluzione dei nomi DNS per gli endpoint privati di Microsoft Purview

Panoramica dei concetti

La risoluzione accurata dei nomi è un requisito fondamentale quando si configurano endpoint privati per gli account Microsoft Purview.

È possibile richiedere l'abilitazione della risoluzione dei nomi interni nelle impostazioni DNS per risolvere gli indirizzi IP dell'endpoint privato al nome di dominio completo (FQDN) dalle origini dati e dal computer di gestione all'account Microsoft Purview e al runtime di integrazione self-hosted, a seconda degli scenari di distribuzione.

Nell'esempio seguente viene illustrata la risoluzione dei nomi DNS di Microsoft Purview dall'esterno della rete virtuale o quando non è configurato un endpoint privato di Azure.

Screenshot che mostra la risoluzione dei nomi di Microsoft Purview dall'esterno di CorpNet.

Nell'esempio seguente viene illustrata la risoluzione dei nomi DNS di Microsoft Purview dall'interno della rete virtuale.

Screenshot che mostra la risoluzione dei nomi di Microsoft Purview dall'interno di CorpNet.

Opzioni di distribuzione

Usare una delle opzioni seguenti per configurare la risoluzione dei nomi interni quando si usano endpoint privati per l'account Microsoft Purview:

Opzione 1 - Distribuire nuove zone di DNS privato di Azure

Distribuire nuove zone di DNS privato di Azure

Per abilitare la risoluzione dei nomi interni, è possibile distribuire le zone DNS di Azure necessarie all'interno della sottoscrizione di Azure in cui viene distribuito l'account Microsoft Purview.

Screenshot che mostra le zone DNS.

Quando si crea l'inserimento, il portale e gli endpoint privati dell'account, i record di risorse DNS CNAME per Microsoft Purview vengono aggiornati automaticamente a un alias in pochi sottodomini con il prefisso privatelink:

  • Per impostazione predefinita, durante la distribuzione dell'endpoint privato dell'account Microsoft Purview, viene creata anche una zona DNS privata che corrisponde al privatelink sottodominio per Microsoft Purview, come privatelink.purview.azure.com incluso i record di risorse DNS per gli endpoint privati.

  • Durante la distribuzione dell'endpoint privato del portale per l'account privatelink Microsoft Purview, viene creata anche una nuova zona DNS privata che corrisponde al sottodominio per Microsoft Purview, come privatelink.purviewstudio.azure.com incluso i record di risorse DNS per Web.

  • Se si abilitano gli endpoint privati di inserimento, sono necessarie altre zone DNS per le risorse gestite o configurate.

La tabella seguente illustra un esempio di zone di Azure DNS privato e record DNS distribuiti come parte della configurazione dell'endpoint privato per un account Microsoft Purview se si abilita l'integrazione DNS privato durante la distribuzione:

Endpoint privato Endpoint privato associato a Zona DNS (nuova) Record (esempio)
Account Microsoft Purview privatelink.purview.azure.com Contoso-Purview
Portale Microsoft Purview privatelink.purviewstudio.azure.com Web
Inserimento Account di archiviazione gestito di Microsoft Purview - BLOB privatelink.blob.core.windows.net scaneastusabcd1234
Inserimento Account di archiviazione gestito di Microsoft Purview - Coda privatelink.queue.core.windows.net scaneastusabcd1234
Inserimento Account di archiviazione gestito di Microsoft Purview - Hub eventi privatelink.servicebus.windows.net atlas-12345678-1234-1234-abcd-123456789abc

Una volta completata la distribuzione dell'endpoint privato, assicurarsi che sia presente un collegamento di rete virtuale in tutte le zone di Azure DNS privato corrispondenti alla rete virtuale di Azure in cui è stato distribuito l'endpoint privato.

Screenshot che mostra i collegamenti di rete virtuale nella zona DNS.

Per altre informazioni, vedere Configurazione DNS dell'endpoint privato di Azure.

Verificare la risoluzione dei nomi interni

Quando si risolve l'URL dell'endpoint Microsoft Purview dall'esterno della rete virtuale con l'endpoint privato, viene risolto nell'endpoint pubblico di Microsoft Purview. Quando viene risolto dalla rete virtuale che ospita l'endpoint privato, l'URL dell'endpoint Microsoft Purview viene risolto nell'indirizzo IP dell'endpoint privato.

Ad esempio, se un nome dell'account Microsoft Purview è "Contoso-Purview", quando viene risolto dall'esterno della rete virtuale che ospita l'endpoint privato, sarà:

Nome Type valore
Contoso-Purview.purview.azure.com CNAME Contoso-Purview.privatelink.purview.azure.com
Contoso-Purview.privatelink.purview.azure.com CNAME <Endpoint pubblico di Microsoft Purview>
<Endpoint pubblico di Microsoft Purview> A <Indirizzo IP pubblico di Microsoft Purview>
Web.purview.azure.com CNAME <Endpoint pubblico del portale di governance di Microsoft Purview>

I record di risorse DNS per Contoso-Purview, quando risolti nella rete virtuale che ospitano l'endpoint privato, saranno:

Nome Type valore
Contoso-Purview.purview.azure.com CNAME Contoso-Purview.privatelink.purview.azure.com
Contoso-Purview.privatelink.purview.azure.com A <Indirizzo IP dell'endpoint privato dell'account Microsoft Purview>
Web.purview.azure.com CNAME <Indirizzo IP dell'endpoint privato del portale Di Microsoft Purview>

Opzione 2 - Usare zone di Azure DNS privato esistenti

Usare zone di DNS privato di Azure esistenti

Durante la distribuzione degli endpoint privati microsft Purview, è possibile scegliere DNS privato integrazione usando le zone di DNS privato di Azure esistenti. Questo è il caso comune per le organizzazioni in cui viene usato l'endpoint privato per altri servizi in Azure. In questo caso, durante la distribuzione di endpoint privati, assicurarsi di selezionare le zone DNS esistenti anziché crearne di nuove.

Questo scenario si applica anche se l'organizzazione usa una sottoscrizione centrale o hub per tutte le zone di DNS privato di Azure.

L'elenco seguente mostra le zone DNS di Azure necessarie e i record A per gli endpoint privati Di Microsoft Purview:

Nota

Aggiornare tutti i nomi con Contoso-Purviewescaneastusabcd1234atlas-12345678-1234-1234-abcd-123456789abc con il nome delle risorse di Azure corrispondenti nell'ambiente. Ad esempio, anziché scaneastusabcd1234 usare il nome dell'account di archiviazione gestito di Microsoft Purview.

Endpoint privato Endpoint privato associato a Zona DNS (esistente) Record (esempio)
Account Microsoft Purview privatelink.purview.azure.com Contoso-Purview
Portale Microsoft Purview privatelink.purviewstudio.azure.com Web
Inserimento Account di archiviazione gestito di Microsoft Purview - BLOB privatelink.blob.core.windows.net scaneastusabcd1234
Inserimento Account di archiviazione gestito di Microsoft Purview - Coda privatelink.queue.core.windows.net scaneastusabcd1234
Inserimento Account di archiviazione gestito di Microsoft Purview - Hub eventi privatelink.servicebus.windows.net atlas-12345678-1234-1234-abcd-123456789abc

Diagramma che mostra la risoluzione dei nomi di Microsoft Purview

Per altre informazioni, vedere Carichi di lavoro di rete virtuale senza carichi di lavoro DNS personalizzati e locali usando scenari di inoltro DNS nella configurazione DNS dell'endpoint privato di Azure.

Una volta completata la distribuzione dell'endpoint privato, assicurarsi che sia presente un collegamento di rete virtuale in tutte le zone di Azure DNS privato corrispondenti alla rete virtuale di Azure in cui è stato distribuito l'endpoint privato.

Screenshot che mostra i collegamenti di rete virtuale nella zona DNS.

Per altre informazioni, vedere Configurazione DNS dell'endpoint privato di Azure.

Configurare i server di inoltro DNS se viene usato DNS personalizzato

È inoltre necessario convalidare le configurazioni DNS nella rete virtuale di Azure in cui si trova la macchina virtuale del runtime di integrazione self-hosted o il PC di gestione.

Diagramma che mostra il DNS personalizzato della rete virtuale di Azure

  • Se è configurato per Impostazione predefinita, non è necessaria un'ulteriore azione in questo passaggio.

  • Se viene usato un server DNS personalizzato, è necessario aggiungere server di inoltro DNS corrispondenti all'interno dei server DNS per le zone seguenti:

    • Purview.azure.com
    • Blob.core.windows.net
    • Queue.core.windows.net
    • Servicebus.windows.net

Verificare la risoluzione dei nomi interni

Quando si risolve l'URL dell'endpoint Microsoft Purview dall'esterno della rete virtuale con l'endpoint privato, viene risolto nell'endpoint pubblico di Microsoft Purview. Quando viene risolto dalla rete virtuale che ospita l'endpoint privato, l'URL dell'endpoint Microsoft Purview viene risolto nell'indirizzo IP dell'endpoint privato.

Ad esempio, se un nome dell'account Microsoft Purview è "Contoso-Purview", quando viene risolto dall'esterno della rete virtuale che ospita l'endpoint privato, sarà:

Nome Type valore
Contoso-Purview.purview.azure.com CNAME Contoso-Purview.privatelink.purview.azure.com
Contoso-Purview.privatelink.purview.azure.com CNAME <Endpoint pubblico di Microsoft Purview>
<Endpoint pubblico di Microsoft Purview> A <Indirizzo IP pubblico di Microsoft Purview>
Web.purview.azure.com CNAME <Endpoint pubblico del portale di governance di Microsoft Purview>

I record di risorse DNS per Contoso-Purview, quando risolti nella rete virtuale che ospitano l'endpoint privato, saranno:

Nome Type valore
Contoso-Purview.purview.azure.com CNAME Contoso-Purview.privatelink.purview.azure.com
Contoso-Purview.privatelink.purview.azure.com A <Indirizzo IP dell'endpoint privato dell'account Microsoft Purview>
Web.purview.azure.com CNAME <Indirizzo IP dell'endpoint privato del portale Di Microsoft Purview>

Opzione 3 - Usare i propri server DNS

Se non si usano server di inoltro DNS e si gestiscono record A direttamente nei server DNS locali per risolvere gli endpoint tramite gli indirizzi IP privati, potrebbe essere necessario creare i record A seguenti nei server DNS.

Nota

Aggiornare tutti i nomi con Contoso-Purviewescaneastusabcd1234atlas-12345678-1234-1234-abcd-123456789abc con il nome delle risorse di Azure corrispondenti nell'ambiente. Ad esempio, anziché scaneastusabcd1234 usare il nome dell'account di archiviazione gestito di Microsoft Purview.

Nome Type valore
web.purview.azure.com Una <indirizzo IP dell'endpoint privato del portale di Microsoft Purview>
scaneastusabcd1234.blob.core.windows.net A <Indirizzo IP dell'endpoint privato di inserimento BLOB di Microsoft Purview>
scaneastusabcd1234.queue.core.windows.net A <indirizzo IP dell'endpoint privato di inserimento in coda di Microsoft Purview>
atlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net A <indirizzo IP dell'endpoint privato di inserimento dello spazio dei nomi di Microsoft Purview>
Contoso-Purview.Purview.azure.com A <indirizzo IP dell'endpoint privato dell'account di Microsoft Purview>
Contoso-Purview.scan.Purview.azure.com A <indirizzo IP dell'endpoint privato dell'account di Microsoft Purview>
Contoso-Purview.catalog.Purview.azure.com A <indirizzo IP dell'endpoint privato dell'account di Microsoft Purview>
Contoso-Purview.proxy.purview.azure.com A <indirizzo IP dell'endpoint privato dell'account di Microsoft Purview>
Contoso-Purview.guardian.purview.azure.com A <indirizzo IP dell'endpoint privato dell'account di Microsoft Purview>
gateway.purview.azure.com A <indirizzo IP dell'endpoint privato dell'account di Microsoft Purview>
insight.prod.ext.web.purview.azure.com A <indirizzo IP dell'endpoint privato dell'account di Microsoft Purview>
manifest.prod.ext.web.purview.azure.com A <indirizzo IP dell'endpoint privato del portale di Microsoft Purview>
cdn.prod.ext.web.purview.azure.com A <indirizzo IP dell'endpoint privato del portale di Microsoft Purview>
hub.prod.ext.web.purview.azure.com A <indirizzo IP dell'endpoint privato del portale di Microsoft Purview>
catalog.prod.ext.web.purview.azure.com A <indirizzo IP dell'endpoint privato del portale di Microsoft Purview>
cseo.prod.ext.web.purview.azure.com A <indirizzo IP dell'endpoint privato del portale di Microsoft Purview>
datascan.prod.ext.web.purview.azure.com A <indirizzo IP dell'endpoint privato del portale di Microsoft Purview>
datashare.prod.ext.web.purview.azure.com A <indirizzo IP dell'endpoint privato del portale di Microsoft Purview>
datasource.prod.ext.web.purview.azure.com A <indirizzo IP dell'endpoint privato del portale di Microsoft Purview>
policy.prod.ext.web.purview.azure.com A <indirizzo IP dell'endpoint privato del portale di Microsoft Purview>
sensitivity.prod.ext.web.purview.azure.com A <indirizzo IP dell'endpoint privato del portale di Microsoft Purview>

Verificare e verificare la risoluzione e la connettività dei nomi di test DNS

  1. Se si usa Azure DNS privato Zone, assicurarsi che le zone DNS seguenti e i record A corrispondenti vengano creati nella sottoscrizione di Azure:

    Endpoint privato Endpoint privato associato a Zona DNS Record )(esempio)
    Account Microsoft Purview privatelink.purview.azure.com Contoso-Purview
    Portale Microsoft Purview privatelink.purviewstudio.azure.com Web
    Inserimento Account di archiviazione gestito di Microsoft Purview - BLOB privatelink.blob.core.windows.net scaneastusabcd1234
    Inserimento Account di archiviazione gestito di Microsoft Purview - Coda privatelink.queue.core.windows.net scaneastusabcd1234
    Inserimento Hub eventi configurato da Microsoft Purview - Hub eventi privatelink.servicebus.windows.net atlas-12345678-1234-1234-abcd-123456789abc
  2. Creare collegamenti di rete virtuale nelle zone di DNS privato di Azure per le reti virtuali di Azure per consentire la risoluzione dei nomi interna.

  3. Dal PC di gestione e dalla macchina virtuale del runtime di integrazione self-hosted, testare la risoluzione dei nomi e la connettività di rete all'account Microsoft Purview usando strumenti come Nslookup.exe e PowerShell

Per testare la risoluzione dei nomi, è necessario risolvere i nomi di dominio completi seguenti tramite gli indirizzi IP privati: (anziché Contoso-Purview, scaneastusabcd1234 o atlas-12345678-1234-1234-abcd-123456789abc, usare il nome host associato al nome dell'account purview e ai nomi di risorse gestite o configurate)

  • Contoso-Purview.purview.azure.com
  • web.purview.azure.com
  • scaneastusabcd1234.blob.core.windows.net
  • scaneastusabcd1234.queue.core.windows.net
  • atlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net

Per testare la connettività di rete, dalla macchina virtuale del runtime di integrazione self-hosted è possibile avviare la console di PowerShell e testare la connettività usando Test-NetConnection. È necessario risolvere ogni endpoint in base all'endpoint privato e ottenere TcpTestSucceeded come True. Anziché Contoso-Purview, scaneastusabcd1234 o atlas-12345678-1234-1234-abcd-123456789abc, usare il nome host associato al nome dell'account purview e ai nomi delle risorse gestite o configurate.

  • Test-NetConnection -ComputerName Contoso-Purview.purview.azure.com -port 443
  • Test-NetConnection -ComputerName web.purview.azure.com -port 443
  • Test-NetConnection -ComputerName scaneastusabcd1234.blob.core.windows.net -port 443
  • Test-NetConnection -ComputerName scaneastusabcd1234.queue.core.windows.net -port 443
  • Test-NetConnection -ComputerName atlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net -port 443

Passaggi successivi