Configurare e verificare la risoluzione dei nomi DNS per gli endpoint privati di Microsoft Purview
Panoramica concettuale
La risoluzione accurata dei nomi è un requisito fondamentale quando si configurano endpoint privati per gli account Microsoft Purview.
Potrebbe essere necessario abilitare la risoluzione dei nomi interni nelle impostazioni DNS per risolvere gli indirizzi IP dell'endpoint privato nel nome di dominio completo (FQDN) dalle origini dati e dal computer di gestione all'account Microsoft Purview e al runtime di integrazione self-hosted, a seconda degli scenari che si stanno distribuendo.
Nell'esempio seguente viene illustrata la risoluzione dei nomi DNS di Microsoft Purview dall'esterno della rete virtuale o quando non è configurato un endpoint privato di Azure.
L'esempio seguente illustra la risoluzione dei nomi DNS di Microsoft Purview dall'interno della rete virtuale.
Opzioni di distribuzione
Usare una delle opzioni seguenti per configurare la risoluzione dei nomi interna quando si usano endpoint privati per l'account Microsoft Purview:
- Distribuire le nuove zone di Azure DNS privato nell'ambiente azure parte della distribuzione di endpoint privati. (Opzione predefinita)
- Usare le zone DNS privato di Azure esistenti. Usare questa opzione se si usa un endpoint privato in un modello hub-and-spoke da una sottoscrizione diversa o anche all'interno della stessa sottoscrizione.
- Usare i propri server DNS se non si usano server d'inoltro DNS e si gestiscono invece record A direttamente nei server DNS locali.
Opzione 1- Distribuire nuove zone di DNS privato di Azure
Distribuire nuove zone di Azure DNS privato
Per abilitare la risoluzione dei nomi interna, è possibile distribuire le zone DNS di Azure necessarie all'interno della sottoscrizione di Azure in cui viene distribuito l'account Microsoft Purview.
Quando si creano endpoint privati di inserimento, portale e account, i record di risorse DNS CNAME per Microsoft Purview vengono aggiornati automaticamente a un alias in pochi sottodomini con il prefisso privatelink:
Per impostazione predefinita, durante la distribuzione dell'endpoint privato dell'account per l'account Microsoft Purview, viene anche creata una zona DNS privata che corrisponde al
privatelinksottodominio per Microsoft Purview, in quantoprivatelink.purview.azure.cominclude i record di risorse DNS A per gli endpoint privati.Durante la distribuzione dell'endpoint privato del portale per l'account Microsoft Purview, viene anche creata una nuova zona DNS privata che corrisponde al
privatelinksottodominio per Microsoft Purview, in quantoprivatelink.purviewstudio.azure.cominclude i record di risorse DNS A per il Web.Se si abilitano gli endpoint privati di inserimento, sono necessarie altre zone DNS per le risorse gestite o configurate.
La tabella seguente illustra un esempio di zone di DNS privato di Azure e record DNS A distribuiti come parte della configurazione dell'endpoint privato per un account Microsoft Purview se si abilita l'integrazione DNS privato durante la distribuzione:
| Endpoint privato | Endpoint privato associato a | Zona DNS (nuova) | Un record (esempio) |
|---|---|---|---|
| Account | Microsoft Purview | privatelink.purview.azure.com |
Contoso-Purview |
| Portale | Microsoft Purview | privatelink.purviewstudio.azure.com |
Web |
| Ingestione | Account di archiviazione gestito di Microsoft Purview - BLOB | privatelink.blob.core.windows.net |
scaneastusabcd1234 |
| Ingestione | Account di archiviazione gestito di Microsoft Purview - Coda | privatelink.queue.core.windows.net |
scaneastusabcd1234 |
| Ingestione | Account di archiviazione gestito di Microsoft Purview - Hub eventi | privatelink.servicebus.windows.net |
atlas-12345678-1234-1234-abcd-123456789abc |
Convalidare i collegamenti di rete virtuale nelle zone di DNS privato di Azure
Al termine della distribuzione dell'endpoint privato, assicurarsi che sia presente un collegamento di rete virtuale in tutte le zone di Azure DNS privato corrispondenti alla rete virtuale di Azure in cui è stato distribuito l'endpoint privato.
Per altre informazioni, vedere Configurazione DNS dell'endpoint privato di Azure.
Verificare la risoluzione dei nomi interna
Quando si risolve l'URL dell'endpoint di Microsoft Purview dall'esterno della rete virtuale con l'endpoint privato, viene risolto nell'endpoint pubblico di Microsoft Purview. Quando viene risolto dalla rete virtuale che ospita l'endpoint privato, l'URL dell'endpoint Microsoft Purview viene risolto nell'indirizzo IP dell'endpoint privato.
Ad esempio, se un nome di account Microsoft Purview è "Contoso-Purview", quando viene risolto dall'esterno della rete virtuale che ospita l'endpoint privato, sarà:
| Nome | Tipo | Valore |
|---|---|---|
Contoso-Purview.purview.azure.com |
CNAME | Contoso-Purview.privatelink.purview.azure.com |
Contoso-Purview.privatelink.purview.azure.com |
CNAME | <Endpoint pubblico di Microsoft Purview> |
| <Endpoint pubblico di Microsoft Purview> | A | <Indirizzo IP pubblico di Microsoft Purview> |
Web.purview.azure.com |
CNAME | <Endpoint pubblico del portale di governance di Microsoft Purview> |
I record di risorse DNS per Contoso-Purview, se risolti nella rete virtuale che ospita l'endpoint privato, saranno:
| Nome | Tipo | Valore |
|---|---|---|
Contoso-Purview.purview.azure.com |
CNAME | Contoso-Purview.privatelink.purview.azure.com |
Contoso-Purview.privatelink.purview.azure.com |
A | <Indirizzo IP dell'endpoint privato dell'account Microsoft Purview> |
Web.purview.azure.com |
CNAME | <Indirizzo IP dell'endpoint privato del portale Microsoft Purview> |
Opzione 2: usare le zone di DNS privato di Azure esistenti
Usare le zone di DNS privato di Azure esistenti
Durante la distribuzione degli endpoint privati di Microsft Purview, è possibile scegliere l'integrazione DNS privato usando le zone DNS privato di Azure esistenti. Questo è il caso comune per le organizzazioni in cui l'endpoint privato viene usato per altri servizi in Azure. In questo caso, durante la distribuzione degli endpoint privati, assicurarsi di selezionare le zone DNS esistenti anziché crearne di nuove.
Questo scenario si applica anche se l'organizzazione usa una sottoscrizione centrale o hub per tutte le zone di DNS privato di Azure.
L'elenco seguente mostra le zone DNS di Azure necessarie e i record A per gli endpoint privati di Microsoft Purview:
Nota
Aggiornare tutti i nomi con Contoso-Purviewscaneastusabcd1234 e atlas-12345678-1234-1234-abcd-123456789abc con il nome delle risorse di Azure corrispondente nell'ambiente. Ad esempio, anziché scaneastusabcd1234 usare il nome dell'account di archiviazione gestito di Microsoft Purview.
| Endpoint privato | Endpoint privato associato a | Zona DNS (esistente) | Un record (esempio) |
|---|---|---|---|
| Account | Microsoft Purview | privatelink.purview.azure.com |
Contoso-Purview |
| Portale | Microsoft Purview | privatelink.purviewstudio.azure.com |
Web |
| Ingestione | Account di archiviazione gestito di Microsoft Purview - BLOB | privatelink.blob.core.windows.net |
scaneastusabcd1234 |
| Ingestione | Account di archiviazione gestito di Microsoft Purview - Coda | privatelink.queue.core.windows.net |
scaneastusabcd1234 |
| Ingestione | Account di archiviazione gestito di Microsoft Purview - Hub eventi | privatelink.servicebus.windows.net |
atlas-12345678-1234-1234-abcd-123456789abc |
Per altre informazioni, vedere Carichi di lavoro di rete virtuale senza server DNS personalizzato e carichi di lavoro locali che usano scenari di server d'inoltro DNS nella configurazione DNS dell'endpoint privato di Azure.
Verificare i collegamenti di rete virtuale nelle zone di DNS privato di Azure
Al termine della distribuzione dell'endpoint privato, assicurarsi che sia presente un collegamento di rete virtuale in tutte le zone di Azure DNS privato corrispondenti alla rete virtuale di Azure in cui è stato distribuito l'endpoint privato.
Per altre informazioni, vedere Configurazione DNS dell'endpoint privato di Azure.
Configurare i server d'inoltro DNS se viene usato il DNS personalizzato
Inoltre, è necessario convalidare le configurazioni DNS nella rete virtuale di Azure in cui si trova la macchina virtuale del runtime di integrazione self-hosted o il PC di gestione.
Se è configurato su Predefinito, in questo passaggio non sono necessarie altre azioni.
Se si usa un server DNS personalizzato, è necessario aggiungere server d'inoltro DNS corrispondenti all'interno dei server DNS per le zone seguenti:
- Purview.azure.com
- purviewstudio.azure.com
- Blob.core.windows.net
- Queue.core.windows.net
- Servicebus.windows.net
Verificare la risoluzione dei nomi interna
Quando si risolve l'URL dell'endpoint di Microsoft Purview dall'esterno della rete virtuale con l'endpoint privato, viene risolto nell'endpoint pubblico di Microsoft Purview. Quando viene risolto dalla rete virtuale che ospita l'endpoint privato, l'URL dell'endpoint Microsoft Purview viene risolto nell'indirizzo IP dell'endpoint privato.
Ad esempio, se un nome di account Microsoft Purview è "Contoso-Purview", quando viene risolto dall'esterno della rete virtuale che ospita l'endpoint privato, sarà:
| Nome | Tipo | Valore |
|---|---|---|
Contoso-Purview.purview.azure.com |
CNAME | Contoso-Purview.privatelink.purview.azure.com |
Contoso-Purview.privatelink.purview.azure.com |
CNAME | <Endpoint pubblico di Microsoft Purview> |
| <Endpoint pubblico di Microsoft Purview> | A | <Indirizzo IP pubblico di Microsoft Purview> |
Web.purview.azure.com |
CNAME | <Endpoint pubblico del portale di governance di Microsoft Purview> |
I record di risorse DNS per Contoso-Purview, se risolti nella rete virtuale che ospita l'endpoint privato, saranno:
| Nome | Tipo | Valore |
|---|---|---|
Contoso-Purview.purview.azure.com |
CNAME | Contoso-Purview.privatelink.purview.azure.com |
Contoso-Purview.privatelink.purview.azure.com |
A | <Indirizzo IP dell'endpoint privato dell'account Microsoft Purview> |
Web.purview.azure.com |
CNAME | <Indirizzo IP dell'endpoint privato del portale Microsoft Purview> |
Opzione 3: usare server DNS personalizzati
Se non si usano server d'inoltro DNS e si gestiscono i record A direttamente nei server DNS locali per risolvere gli endpoint tramite i relativi indirizzi IP privati, potrebbe essere necessario creare i record A seguenti nei server DNS.
Nota
Aggiornare tutti i nomi con Contoso-Purviewscaneastusabcd1234 e atlas-12345678-1234-1234-abcd-123456789abc con il nome delle risorse di Azure corrispondente nell'ambiente. Ad esempio, anziché scaneastusabcd1234 usare il nome dell'account di archiviazione gestito di Microsoft Purview.
| Nome | Tipo | Valore |
|---|---|---|
web.purview.azure.com |
A | <indirizzo IP dell'endpoint privato del portale di Microsoft Purview> |
scaneastusabcd1234.blob.core.windows.net |
A | <Indirizzo IP dell'endpoint privato di inserimento BLOB di Microsoft Purview> |
scaneastusabcd1234.queue.core.windows.net |
A | <indirizzo IP dell'endpoint privato di inserimento della coda di Microsoft Purview> |
atlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net |
A | <namespace-ingestion private endpoint IP address of Microsoft Purview> |
Contoso-Purview.Purview.azure.com |
A | <indirizzo IP dell'endpoint privato dell'account di Microsoft Purview> |
Contoso-Purview.scan.Purview.azure.com |
A | <indirizzo IP dell'endpoint privato dell'account di Microsoft Purview> |
Contoso-Purview.catalog.Purview.azure.com |
A | <indirizzo IP dell'endpoint privato dell'account di Microsoft Purview> |
Contoso-Purview.proxy.purview.azure.com |
A | <indirizzo IP dell'endpoint privato dell'account di Microsoft Purview> |
Contoso-Purview.guardian.purview.azure.com |
A | <indirizzo IP dell'endpoint privato dell'account di Microsoft Purview> |
gateway.purview.azure.com |
A | <indirizzo IP dell'endpoint privato dell'account di Microsoft Purview> |
insight.prod.ext.web.purview.azure.com |
A | <indirizzo IP dell'endpoint privato del portale di Microsoft Purview> |
manifest.prod.ext.web.purview.azure.com |
A | <indirizzo IP dell'endpoint privato del portale di Microsoft Purview> |
cdn.prod.ext.web.purview.azure.com |
A | <indirizzo IP dell'endpoint privato del portale di Microsoft Purview> |
hub.prod.ext.web.purview.azure.com |
A | <indirizzo IP dell'endpoint privato del portale di Microsoft Purview> |
catalog.prod.ext.web.purview.azure.com |
A | <indirizzo IP dell'endpoint privato del portale di Microsoft Purview> |
cseo.prod.ext.web.purview.azure.com |
A | <indirizzo IP dell'endpoint privato del portale di Microsoft Purview> |
datascan.prod.ext.web.purview.azure.com |
A | <indirizzo IP dell'endpoint privato del portale di Microsoft Purview> |
datashare.prod.ext.web.purview.azure.com |
A | <indirizzo IP dell'endpoint privato del portale di Microsoft Purview> |
datasource.prod.ext.web.purview.azure.com |
A | <indirizzo IP dell'endpoint privato del portale di Microsoft Purview> |
policy.prod.ext.web.purview.azure.com |
A | <indirizzo IP dell'endpoint privato del portale di Microsoft Purview> |
sensitivity.prod.ext.web.purview.azure.com |
A | <indirizzo IP dell'endpoint privato del portale di Microsoft Purview> |
web.privatelink.purviewstudio.azure.com |
A | <indirizzo IP dell'endpoint privato del portale di Microsoft Purview> |
workflow.prod.ext.web.purview.azure.com |
A | <indirizzo IP dell'endpoint privato del portale di Microsoft Purview> |
Verifica e risoluzione e connettività dei nomi di test DNS
Se si usano le zone di DNS privato di Azure, assicurarsi che le zone DNS seguenti e i record A corrispondenti vengano creati nella sottoscrizione di Azure:
Endpoint privato Endpoint privato associato a Zona DNS Un record )(esempio) Account Microsoft Purview privatelink.purview.azure.comContoso-Purview Portale Microsoft Purview privatelink.purviewstudio.azure.comWeb Ingestione Account di archiviazione gestito di Microsoft Purview - BLOB privatelink.blob.core.windows.netscaneastusabcd1234 Ingestione Account di archiviazione gestito di Microsoft Purview - Coda privatelink.queue.core.windows.netscaneastusabcd1234 Ingestione Hub eventi configurato da Microsoft Purview - Hub eventi privatelink.servicebus.windows.netatlas-12345678-1234-1234-abcd-123456789abc Creare collegamenti di rete virtuale nelle zone di DNS privato di Azure per le reti virtuali di Azure per consentire la risoluzione dei nomi interna.
Dal PC di gestione e dalla macchina virtuale di runtime di integrazione self-hosted, risoluzione dei nomi di test e connettività di rete all'account Microsoft Purview usando strumenti come Nslookup.exe e PowerShell
Per testare la risoluzione dei nomi è necessario risolvere i nomi FQDN seguenti tramite i relativi indirizzi IP privati: (anziché Contoso-Purview, scaneastusabcd1234 o atlas-12345678-1234-1234-abcd-123456789abc, usare il nome host associato al nome dell'account purview e ai nomi di risorse gestiti o configurati)
Contoso-Purview.purview.azure.comweb.purview.azure.comscaneastusabcd1234.blob.core.windows.netscaneastusabcd1234.queue.core.windows.netatlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net
Per testare la connettività di rete, dalla macchina virtuale di runtime di integrazione self-hosted è possibile avviare la console di PowerShell e testare la connettività usando Test-NetConnection.
È necessario risolvere ogni endpoint in base al relativo endpoint privato e ottenere TcpTestSucceeded come True. Anziché Contoso-Purview, scaneastusabcd1234 o atlas-12345678-1234-1234-abcd-123456789abc, usare il nome host associato al nome dell'account purview e ai nomi delle risorse gestite o configurate.
Test-NetConnection -ComputerName Contoso-Purview.purview.azure.com -port 443Test-NetConnection -ComputerName web.purview.azure.com -port 443Test-NetConnection -ComputerName scaneastusabcd1234.blob.core.windows.net -port 443Test-NetConnection -ComputerName scaneastusabcd1234.queue.core.windows.net -port 443Test-NetConnection -ComputerName atlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net -port 443