Configurare e verificare la risoluzione dei nomi DNS per gli endpoint privati di Microsoft Purview
Articolo
Panoramica concettuale
La risoluzione accurata dei nomi è un requisito fondamentale quando si configurano endpoint privati per gli account Microsoft Purview.
Potrebbe essere necessario abilitare la risoluzione dei nomi interni nelle impostazioni DNS per risolvere gli indirizzi IP dell'endpoint privato nel nome di dominio completo (FQDN) dalle origini dati e dal computer di gestione all'account Microsoft Purview e al runtime di integrazione self-hosted, a seconda degli scenari che si stanno distribuendo.
Suggerimento
Quando si distribuiscono le zone DNS, non usare indirizzi IP specifici. Gli indirizzi IP per le risorse di Azure non sono statici e la compilazione delle zone DNS con indirizzi IP statici causerà errori.
Opzioni di distribuzione
Usare una delle opzioni seguenti per configurare la risoluzione dei nomi interna quando si usano endpoint privati per l'account Microsoft Purview:
Usare le zone DNS privato di Azure esistenti. Usare questa opzione se si usa un endpoint privato in un modello hub-and-spoke da una sottoscrizione diversa o anche all'interno della stessa sottoscrizione.
Usare i propri server DNS se non si usano server d'inoltro DNS e si gestiscono invece record A direttamente nei server DNS locali.
Suggerimento
Portale di governance di Microsoft Purview classico (https://web.purview.azure.com): sono supportati gli endpoint privati dell'account, del portale e dell'inserimento .
Nuovo portale Microsoft Purview (https://purview.microsoft.com/): sono supportati gli endpoint privati della piattaforma e dell'inserimento .
Opzione 1- Distribuire nuove zone di DNS privato di Azure
Distribuire nuove zone di Azure DNS privato
Per abilitare la risoluzione dei nomi interna, è possibile distribuire le zone DNS di Azure necessarie all'interno della sottoscrizione di Azure in cui viene distribuito l'account Microsoft Purview.
Quando si creano endpoint privati di inserimento, portale e account, i record di risorse DNS CNAME per Microsoft Purview vengono aggiornati automaticamente a un alias in pochi sottodomini con il prefisso privatelink:
Per impostazione predefinita, durante la distribuzione di endpoint privati dell'account o della piattaforma per l'account Microsoft Purview, viene creata anche una zona DNS privata che corrisponde al privatelink sottodominio per Microsoft Purview come privatelink.purview.azure.com per il portale di governance di Microsoft Purview classico e privatelink.purview-service.microsoft.com per il portale di Microsoft Purview, inclusi i record di risorse DNS A per gli endpoint privati.
Durante la distribuzione dell'endpoint privato del portale per l'account Microsoft Purview, viene anche creata una nuova zona DNS privata che corrisponde al privatelink sottodominio per Microsoft Purview, in quanto privatelink.purviewstudio.azure.com include i record di risorse DNS A per il Web.
Se si abilitano gli endpoint privati di inserimento, sono necessarie altre zone DNS per le risorse gestite o configurate.
La tabella seguente illustra un esempio di zone di DNS privato di Azure e record DNS A distribuiti come parte della configurazione dell'endpoint privato per un account Microsoft Purview se si abilita l'integrazione DNS privato durante la distribuzione:
Endpoint privato
Endpoint privato associato a
Disponibilità del portale
Zona DNS (nuova)
Un record (esempio)
Account
Microsoft Purview
privatelink.purview.azure.com
Contoso-Purview
Piattaforma
Microsoft Purview
privatelink.purview-service.microsoft.com
Contoso-Purview
Portale
Microsoft Purview
privatelink.purviewstudio.azure.com
Web
Piattaforma
Microsoft Purview
privatelink.purview-service.microsoft.com
Web
Ingestione
Inserimento di Microsoft Purview - BLOB*
privatelink.blob.core.windows.net
ingestioneus2eastusksqky
Ingestione
Inserimento di Microsoft Purview - BLOB*
privatelink.blob.storage.azure.net
ingestioneus2eastusksqky
Ingestione
Inserimento di Microsoft Purview - Coda*
privatelink.queue.core.windows.net
ingestioneus2eastusksqky
Ingestione
Inserimento di Microsoft Purview - Coda*
privatelink.queue.storage.azure.net
ingestioneus2eastusksqky
Ingestione
Hub eventi configurato da Microsoft Purview - Hub eventi**
privatelink.servicebus.windows.net
atlas-12345678-1234-1234-abcd-123456789abc
Nota
*Se l'account è stato creato prima del 15 dicembre 2023, l'endpoint viene distribuito nell'account di archiviazione gestito. Se è stato creato dopo il 10 novembre (o distribuito con la versione API 2023-05-01-preview in poi), punta all'archiviazione di inserimento.
**L'account ha uno spazio dei nomi di Hub eventi associato solo se è configurato per le notifiche kafka o creato prima del 15 dicembre 2022.
Convalidare i collegamenti di rete virtuale nelle zone di DNS privato di Azure
Al termine della distribuzione dell'endpoint privato, assicurarsi che sia presente un collegamento di rete virtuale in tutte le zone di Azure DNS privato corrispondenti alla rete virtuale di Azure in cui è stato distribuito l'endpoint privato.
Quando si risolve l'URL dell'endpoint di Microsoft Purview dall'esterno della rete virtuale con l'endpoint privato, viene risolto nell'endpoint pubblico di Microsoft Purview. Quando viene risolto dalla rete virtuale che ospita l'endpoint privato, l'URL dell'endpoint Microsoft Purview viene risolto nell'indirizzo IP dell'endpoint privato.
Ad esempio, se un nome di account Microsoft Purview è "Contoso-Purview", quando viene risolto dall'esterno della rete virtuale che ospita l'endpoint privato, sarà:
Nome
Tipo
Valore
Contoso-Purview.purview.azure.com
CNAME
Contoso-Purview.privatelink.purview.azure.com
Contoso-Purview.privatelink.purview.azure.com
CNAME
<Endpoint pubblico di Microsoft Purview>
<Endpoint pubblico di Microsoft Purview>
A
<Indirizzo IP pubblico di Microsoft Purview>
Web.purview.azure.com
CNAME
<Endpoint pubblico del portale di governance di Microsoft Purview>
I record di risorse DNS per Contoso-Purview, se risolti nella rete virtuale che ospita l'endpoint privato, saranno:
Nome
Tipo
Valore
Contoso-Purview.purview.azure.com
CNAME
Contoso-Purview.privatelink.purview.azure.com
Contoso-Purview.privatelink.purview.azure.com
A
<Indirizzo IP dell'endpoint privato dell'account Microsoft Purview>
Web.purview.azure.com
CNAME
<Indirizzo IP dell'endpoint privato del portale Microsoft Purview>
Opzione 2: usare le zone di DNS privato di Azure esistenti
Usare le zone di DNS privato di Azure esistenti
Durante la distribuzione degli endpoint privati di Microsoft Purview, è possibile scegliere l'integrazione DNS privato usando le zone di DNS privato di Azure esistenti. Questo è il caso comune per le organizzazioni in cui l'endpoint privato viene usato per altri servizi in Azure. In questo caso, durante la distribuzione degli endpoint privati, assicurarsi di selezionare le zone DNS esistenti anziché crearne di nuove.
Questo scenario si applica anche se l'organizzazione usa una sottoscrizione centrale o hub per tutte le zone di DNS privato di Azure.
L'elenco seguente mostra le zone DNS di Azure necessarie e i record A per gli endpoint privati di Microsoft Purview:
Importante
Aggiornare tutti i nomi con Contoso-Purviewingestioneus2eastusksqky e atlas-12345678-1234-1234-abcd-123456789abc con il nome delle risorse di Azure corrispondente nell'ambiente.
Contoso-Purview è il nome dell'account Microsoft Purview.
Sono necessari solo gli endpoint associati al portale in uso:
Portale di governance di Microsoft Purview classico (https://web.purview.azure.com): sono supportati gli endpoint privati dell'account, del portale e dell'inserimento .
Nuovo portale Microsoft Purview (https://purview.microsoft.com/): sono supportati gli endpoint privati della piattaforma e dell'inserimento .
Se l'account è configurato per le notifiche kafka o è stato creato prima del 15 dicembre 2022, atlas-12345678-1234-1234-abcd-123456789abc è lo spazio dei nomi di Hub eventi.
Se l'account è stato creato prima del 15 dicembre 2023, per ingestioneus2eastusksqky usare il nome dell'account di archiviazione gestito di Microsoft Purview.
Se l'account è stato creato dopo il 15 dicembre 2023 (o distribuito con la versione API 2023-05-01-preview in poi), lasciare così ingestioneus2eastusksqky come è.
Endpoint privato
Endpoint privato associato a
Disponibilità del portale
Zona DNS (esistente)
Un record (esempio)
Account
Microsoft Purview
privatelink.purview.azure.com
Contoso-Purview
Piattaforma
Microsoft Purview
privatelink.purview-service.microsoft.com
Contoso-Purview
Portale
Microsoft Purview
privatelink.purviewstudio.azure.com
Web
Ingestione
Inserimento di Microsoft Purview - BLOB*
privatelink.blob.core.windows.net
ingestioneus2eastusksqky
Ingestione
Inserimento di Microsoft Purview - BLOB*
privatelink.blob.storage.azure.net
ingestioneus2eastusksqky
Ingestione
Inserimento di Microsoft Purview - Coda*
privatelink.queue.core.windows.net
ingestioneus2eastusksqky
Ingestione
Inserimento di Microsoft Purview - Coda*
privatelink.queue.storage.azure.net
ingestioneus2eastusksqky
Ingestione
Hub eventi configurato da Microsoft Purview**
privatelink.servicebus.windows.net
atlas-12345678-1234-1234-abcd-123456789abc
Nota
*Se l'account è stato creato prima del 15 dicembre 2023, l'endpoint viene distribuito nell'account di archiviazione gestito. Se è stato creato dopo il 10 novembre (o distribuito con la versione API 2023-05-01-preview in poi), punta all'archiviazione di inserimento.
**L'account ha uno spazio dei nomi di Hub eventi associato solo se è configurato per le notifiche kafka o creato prima del 15 dicembre 2022.
Verificare i collegamenti di rete virtuale nelle zone di DNS privato di Azure
Al termine della distribuzione dell'endpoint privato, assicurarsi che sia presente un collegamento di rete virtuale in tutte le zone di Azure DNS privato corrispondenti alla rete virtuale di Azure in cui è stato distribuito l'endpoint privato.
Configurare i server d'inoltro DNS se viene usato il DNS personalizzato
Inoltre, è necessario convalidare le configurazioni DNS nella rete virtuale di Azure in cui si trova la macchina virtuale del runtime di integrazione self-hosted o il PC di gestione.
Se è configurato su Predefinito, in questo passaggio non sono necessarie altre azioni.
Se si usa un server DNS personalizzato, è necessario aggiungere server d'inoltro DNS corrispondenti all'interno dei server DNS per le zone seguenti:
Purview.azure.com
purviewstudio.azure.com
Blob.core.windows.net
Queue.core.windows.net
Blob.storage.azure.net
Queue.storage.azure.net
Servicebus.windows.net
Verificare la risoluzione dei nomi interna
Quando si risolve l'URL dell'endpoint di Microsoft Purview dall'esterno della rete virtuale con l'endpoint privato, viene risolto nell'endpoint pubblico di Microsoft Purview. Quando viene risolto dalla rete virtuale che ospita l'endpoint privato, l'URL dell'endpoint Microsoft Purview viene risolto nell'indirizzo IP dell'endpoint privato.
Ad esempio, se un nome di account Microsoft Purview è "Contoso-Purview", quando viene risolto dall'esterno della rete virtuale che ospita l'endpoint privato, sarà:
Nome
Tipo
Valore
Contoso-Purview.purview.azure.com
CNAME
Contoso-Purview.privatelink.purview.azure.com
Contoso-Purview.privatelink.purview.azure.com
CNAME
<Endpoint pubblico di Microsoft Purview>
<Endpoint pubblico di Microsoft Purview>
A
<Indirizzo IP pubblico di Microsoft Purview>
Web.purview.azure.com
CNAME
<Endpoint pubblico del portale di governance di Microsoft Purview>
I record di risorse DNS per Contoso-Purview, se risolti nella rete virtuale che ospita l'endpoint privato, saranno:
Nome
Tipo
Valore
Contoso-Purview.purview.azure.com
CNAME
Contoso-Purview.privatelink.purview.azure.com
Contoso-Purview.privatelink.purview.azure.com
A
<Indirizzo IP dell'endpoint privato dell'account Microsoft Purview>
Web.purview.azure.com
CNAME
<Indirizzo IP dell'endpoint privato del portale Microsoft Purview>
Opzione 3: usare server DNS personalizzati
Se non si usano server d'inoltro DNS e invece si gestiscono record A direttamente nei server DNS locali per risolvere gli endpoint tramite i relativi indirizzi IP privati, potrebbe essere necessario creare i record A seguenti nei server DNS.
Importante
Aggiornare tutti i nomi con Contoso-Purviewingestioneus2eastusksqky e atlas-12345678-1234-1234-abcd-123456789abc con il nome delle risorse di Azure corrispondente nell'ambiente.
Contoso-Purview è il nome dell'account Microsoft Purview.
Sono necessari solo gli endpoint associati al portale in uso:
Portale di governance di Microsoft Purview classico (https://web.purview.azure.com): sono supportati gli endpoint privati dell'account, del portale e dell'inserimento .
Nuovo portale Microsoft Purview (https://purview.microsoft.com/): sono supportati gli endpoint privati della piattaforma e dell'inserimento .
Se l'account è configurato per le notifiche kafka o è stato creato prima del 15 dicembre 2022, atlas-12345678-1234-1234-abcd-123456789abc è lo spazio dei nomi di Hub eventi.
Se l'account è stato creato prima del 15 dicembre 2023, per ingestioneus2eastusksqky usare il nome dell'account di archiviazione gestito di Microsoft Purview.
Se l'account è stato creato dopo il 15 dicembre 2023 (o distribuito con la versione API 2023-05-01-preview in poi), lasciare così ingestioneus2eastusksqky come è.
Nome
Tipo
Valore
Disponibilità del portale
web.purview.azure.com
A
<indirizzo IP dell'endpoint privato del portale di Microsoft Purview>
<namespace-ingestion private endpoint IP address of Microsoft Purview>
Portali classici e nuovi
Contoso-Purview.Purview.azure.com
A
<account/indirizzo IP dell'endpoint privato della piattaforma di Microsoft Purview>
Portali classici e nuovi
Contoso-Purview.scan.Purview.azure.com
A
<account/indirizzo IP dell'endpoint privato della piattaforma di Microsoft Purview>
Portali classici e nuovi
Contoso-Purview.catalog.Purview.azure.com
A
<account/indirizzo IP dell'endpoint privato della piattaforma di Microsoft Purview>
Portali classici e nuovi
Contoso-Purview.proxy.purview.azure.com
A
<account/indirizzo IP dell'endpoint privato della piattaforma di Microsoft Purview>
Portali classici e nuovi
Contoso-Purview.guardian.purview.azure.com
A
<account/indirizzo IP dell'endpoint privato della piattaforma di Microsoft Purview>
Portali classici e nuovi
gateway.purview.azure.com
A
<account/indirizzo IP dell'endpoint privato della piattaforma di Microsoft Purview>
Portali classici e nuovi
insight.prod.ext.web.purview.azure.com
A
<indirizzo IP dell'endpoint privato del portale di Microsoft Purview>
Portale classico
manifest.prod.ext.web.purview.azure.com
A
<indirizzo IP dell'endpoint privato del portale di Microsoft Purview>
Portale classico
cdn.prod.ext.web.purview.azure.com
A
<indirizzo IP dell'endpoint privato del portale di Microsoft Purview>
Portale classico
hub.prod.ext.web.purview.azure.com
A
<indirizzo IP dell'endpoint privato del portale di Microsoft Purview>
Portale classico
catalog.prod.ext.web.purview.azure.com
A
<indirizzo IP dell'endpoint privato del portale di Microsoft Purview>
Portale classico
cseo.prod.ext.web.purview.azure.com
A
<indirizzo IP dell'endpoint privato del portale di Microsoft Purview>
Portale classico
datascan.prod.ext.web.purview.azure.com
A
<indirizzo IP dell'endpoint privato del portale di Microsoft Purview>
Portale classico
datashare.prod.ext.web.purview.azure.com
A
<indirizzo IP dell'endpoint privato del portale di Microsoft Purview>
Portale classico
datasource.prod.ext.web.purview.azure.com
A
<indirizzo IP dell'endpoint privato del portale di Microsoft Purview>
Portale classico
policy.prod.ext.web.purview.azure.com
A
<indirizzo IP dell'endpoint privato del portale di Microsoft Purview>
Portale classico
sensitivity.prod.ext.web.purview.azure.com
A
<indirizzo IP dell'endpoint privato del portale di Microsoft Purview>
Portale classico
web.privatelink.purviewstudio.azure.com
A
<indirizzo IP dell'endpoint privato del portale di Microsoft Purview>
Portale classico
workflow.prod.ext.web.purview.azure.com
A
<indirizzo IP dell'endpoint privato del portale di Microsoft Purview>
Portale classico
Verifica e risoluzione e connettività dei nomi di test DNS
Se si usano le zone di DNS privato di Azure, assicurarsi che le zone DNS seguenti e i record A corrispondenti vengano creati nella sottoscrizione di Azure:
*Se l'account è stato creato prima del 15 dicembre 2023, l'endpoint viene distribuito nell'account di archiviazione gestito. Se è stato creato dopo il 10 novembre (o distribuito con la versione API 2023-05-01-preview in poi), punta all'archiviazione di inserimento.
**L'account ha uno spazio dei nomi di Hub eventi associato solo se è configurato per le notifiche kafka o creato prima del 15 dicembre 2022.
Creare collegamenti di rete virtuale nelle zone di DNS privato di Azure per le reti virtuali di Azure per consentire la risoluzione dei nomi interna.
Dal PC di gestione e dalla macchina virtuale di runtime di integrazione self-hosted, risoluzione dei nomi di test e connettività di rete all'account Microsoft Purview usando strumenti come Nslookup.exe e PowerShell
Per testare la risoluzione dei nomi è necessario risolvere i nomi FQDN seguenti tramite i relativi indirizzi IP privati: (invece di Contoso-Purview, ingestioneus2eastusksqky o atlas-12345678-1234-1234-abcd-123456789abc, usare il nome host associato al nome dell'account purview e nomi di risorse gestiti o configurati)
Per testare la connettività di rete, dalla macchina virtuale di runtime di integrazione self-hosted è possibile avviare la console di PowerShell e testare la connettività usando Test-NetConnection.
È necessario risolvere ogni endpoint in base al relativo endpoint privato e ottenere TcpTestSucceeded come True. Anziché Contoso-Purview, ingestioneus2eastusksqky o atlas-12345678-1234-1234-abcd-123456789abc, usare il nome host associato al nome dell'account purview e ai nomi delle risorse gestite o configurate.
L'esempio seguente illustra la risoluzione dei nomi DNS di Microsoft Purview dall'esterno della rete virtuale o quando non è configurato un endpoint privato di Azure.
L'esempio seguente illustra la risoluzione dei nomi DNS di Microsoft Purview dall'interno della rete virtuale.
Nota
I valori in queste immagini sono esempi. Usare le informazioni contenute nell'articolo per configurare correttamente le zone DNS.
La risoluzione dei nomi è il processo di associazione del nome di un computer al suo indirizzo di rete. Questo modulo esamina i problemi di risoluzione dei nomi per reti pubbliche, reti private e reti interne che si connettono ad Azure. AZ720 AZ-720 az-720 networking
Illustrare la progettazione, l'implementazione e la manutenzione dell'infrastruttura di rete di Azure, il bilanciamento del carico del traffico, il routing di rete e altro ancora.