Microsoft Purview プライベート エンドポイントの DNS 名前解決を構成して確認する
概要情報
Microsoft Purview アカウントのプライベート エンドポイントを設定する場合、正確な名前解決は重要な要件です。
展開するシナリオによっては、DNS 設定で内部名解決を有効にして、プライベート エンドポイント IP アドレスをデータ ソースと管理マシンから Microsoft Purview アカウントとセルフホステッド統合ランタイムに完全修飾ドメイン名 (FQDN) に解決することが必要になる場合があります。
次の例は、仮想ネットワークの外部から、または Azure プライベート エンドポイントが構成されていない場合の Microsoft Purview DNS の名前解決を示しています。
次の例は、仮想ネットワーク内からの Microsoft Purview DNS の名前解決を示しています。
展開オプション
Microsoft Purview アカウントのプライベート エンドポイントを使用する場合は、次のいずれかのオプションを使用して内部名前解決を設定します。
- プライベート エンドポイントデプロイの Azure 環境の一部に新しい Azure プライベート DNS Zones をデプロイします。 (既定のオプション)
- 既存の Azure プライベート DNS Zones を使用します。 別のサブスクリプションまたは同じサブスクリプション内のハブ アンド スポーク モデルでプライベート エンドポイントを使用する場合は、このオプションを使用します。
- DNS フォワーダーを使用せず、代わりにオンプレミスの DNS サーバーで A レコードを直接管理する場合は、独自の DNS サーバーを使用します。
オプション 1 - 新しい Azure プライベート DNS Zones をデプロイする
新しい Azure プライベート DNS Zones をデプロイする
内部の名前解決を有効にするには、Microsoft Purview アカウントがデプロイされている Azure サブスクリプション内に必要な Azure DNS Zones をデプロイできます。
インジェスト、ポータル、アカウントのプライベート エンドポイントを作成すると、Microsoft Purview の DNS CNAME リソース レコードが、プレフィックス privatelinkが付いたいくつかのサブドメインのエイリアスに自動的に更新されます。
既定では、Microsoft Purview アカウントのアカウント プライベート エンドポイントのデプロイ中に、プライベート エンドポイントの DNS A リソース レコードを含む Microsoft
privatelink.purview.azure.comPurview のサブドメインにprivatelink対応するプライベート DNS ゾーンも作成されます。Microsoft Purview アカウントのポータル プライベート エンドポイントのデプロイ中に、Microsoft Purview のサブドメインに対応する
privatelink新しいプライベート DNS ゾーンも作成されます。これには、Web 用の DNS A リソース レコードもprivatelink.purviewstudio.azure.com含まれます。インジェスト プライベート エンドポイントを有効にする場合は、マネージド リソースまたは構成済みリソースに追加の DNS ゾーンが必要です。
次の表は、デプロイ中にプライベート DNS統合を有効にした場合に、Microsoft Purview アカウントのプライベート エンドポイントの構成の一部としてデプロイされる Azure プライベート DNS ゾーンと DNS A レコードの例を示しています。
| プライベート エンドポイント | に関連付けられているプライベート エンドポイント | DNS ゾーン (新規) | A Record (例) |
|---|---|---|---|
| アカウント | Microsoft Purview | privatelink.purview.azure.com |
Contoso-Purview |
| ポータル | Microsoft Purview | privatelink.purviewstudio.azure.com |
Web |
| 摂取 | Microsoft Purview マネージド ストレージ アカウント - BLOB | privatelink.blob.core.windows.net |
scaneastusabcd1234 |
| 摂取 | Microsoft Purview マネージド ストレージ アカウント - キュー | privatelink.queue.core.windows.net |
scaneastusabcd1234 |
| 摂取 | Microsoft Purview マネージド ストレージ アカウント - Event Hub | privatelink.servicebus.windows.net |
atlas-12345678-1234-1234-abcd-123456789abc |
Azure プライベート DNS Zones 上の仮想ネットワーク リンクを検証する
プライベート エンドポイントのデプロイが完了したら、対応するすべての Azure プライベート DNS ゾーンに、プライベート エンドポイントがデプロイされた Azure 仮想ネットワークへの仮想ネットワーク リンクがあることを確認します。
詳細については、「 Azure プライベート エンドポイントの DNS 構成」を参照してください。
内部の名前解決を確認する
プライベート エンドポイントを使用して仮想ネットワークの外部から Microsoft Purview エンドポイント URL を解決すると、Microsoft Purview のパブリック エンドポイントに解決されます。 プライベート エンドポイントをホストする仮想ネットワークから解決されると、Microsoft Purview エンドポイント URL はプライベート エンドポイントの IP アドレスに解決されます。
たとえば、Microsoft Purview アカウント名が "Contoso-Purview" の場合、プライベート エンドポイントをホストする仮想ネットワークの外部から解決されると、次のようになります。
| 名前 | 型 | 値 |
|---|---|---|
Contoso-Purview.purview.azure.com |
CNAME | Contoso-Purview.privatelink.purview.azure.com |
Contoso-Purview.privatelink.purview.azure.com |
CNAME | <Microsoft Purview パブリック エンドポイント> |
| <Microsoft Purview パブリック エンドポイント> | A | <Microsoft Purview パブリック IP アドレス> |
Web.purview.azure.com |
CNAME | <Microsoft Purview ガバナンス ポータルのパブリック エンドポイント> |
Contoso-Purview の DNS リソース レコードは、プライベート エンドポイントをホストする仮想ネットワークで解決されると、次のようになります。
| 名前 | 型 | 値 |
|---|---|---|
Contoso-Purview.purview.azure.com |
CNAME | Contoso-Purview.privatelink.purview.azure.com |
Contoso-Purview.privatelink.purview.azure.com |
A | <Microsoft Purview アカウントのプライベート エンドポイント IP アドレス> |
Web.purview.azure.com |
CNAME | <Microsoft Purview ポータルのプライベート エンドポイント IP アドレス> |
オプション 2 - 既存の Azure プライベート DNS Zones を使用する
既存の Azure プライベート DNS Zones を使用する
Microsft Purview プライベート エンドポイントのデプロイ中に、既存の Azure プライベート DNS ゾーンを使用プライベート DNS統合を選択できます。 これは、Azure の他のサービスにプライベート エンドポイントが使用されている組織では一般的なケースです。 この場合、プライベート エンドポイントのデプロイ中に、新しい DNS ゾーンを作成するのではなく、既存の DNS ゾーンを選択してください。
このシナリオは、organizationがすべての Azure プライベート DNS Zones に中央またはハブサブスクリプションを使用している場合にも適用されます。
次の一覧は、Microsoft Purview プライベート エンドポイントに必要な Azure DNS ゾーンと A レコードを示しています。
注:
環境内の対応する Azure リソース名Contoso-Purviewscaneastusabcd1234で、および atlas-12345678-1234-1234-abcd-123456789abc を使用して、すべての名前を更新します。 たとえば、Microsoft Purview マネージド ストレージ アカウントの名前を使用する代わりに scaneastusabcd1234 、
| プライベート エンドポイント | に関連付けられているプライベート エンドポイント | DNS ゾーン (既存) | A Record (例) |
|---|---|---|---|
| アカウント | Microsoft Purview | privatelink.purview.azure.com |
Contoso-Purview |
| ポータル | Microsoft Purview | privatelink.purviewstudio.azure.com |
Web |
| 摂取 | Microsoft Purview マネージド ストレージ アカウント - BLOB | privatelink.blob.core.windows.net |
scaneastusabcd1234 |
| 摂取 | Microsoft Purview マネージド ストレージ アカウント - キュー | privatelink.queue.core.windows.net |
scaneastusabcd1234 |
| 摂取 | Microsoft Purview マネージド ストレージ アカウント - Event Hub | privatelink.servicebus.windows.net |
atlas-12345678-1234-1234-abcd-123456789abc |
詳細については、「Azure Private Endpoint DNS 構成の DNS フォワーダー シナリオを使用した、カスタム DNS サーバーのない仮想ネットワーク ワークロードとオンプレミス ワークロード」を参照してください。
Azure プライベート DNS Zones 上の仮想ネットワーク リンクを確認する
プライベート エンドポイントのデプロイが完了したら、対応するすべての Azure プライベート DNS ゾーンに、プライベート エンドポイントがデプロイされた Azure 仮想ネットワークへの仮想ネットワーク リンクがあることを確認します。
詳細については、「 Azure プライベート エンドポイントの DNS 構成」を参照してください。
カスタム DNS が使用されている場合に DNS フォワーダーを構成する
さらに、セルフホステッド統合ランタイム VM または管理 PC がある Azure 仮想ネットワーク上の DNS 構成を検証する必要があります。
既定に構成されている場合、この手順ではそれ以上のアクションは必要ありません。
カスタム DNS サーバーを使用する場合は、次のゾーンに対応する DNS フォワーダーを DNS サーバー内に追加する必要があります。
- Purview.azure.com
- purviewstudio.azure.com
- Blob.core.windows.net
- Queue.core.windows.net
- Servicebus.windows.net
内部の名前解決を確認する
プライベート エンドポイントを使用して仮想ネットワークの外部から Microsoft Purview エンドポイント URL を解決すると、Microsoft Purview のパブリック エンドポイントに解決されます。 プライベート エンドポイントをホストする仮想ネットワークから解決されると、Microsoft Purview エンドポイント URL はプライベート エンドポイントの IP アドレスに解決されます。
たとえば、Microsoft Purview アカウント名が "Contoso-Purview" の場合、プライベート エンドポイントをホストする仮想ネットワークの外部から解決されると、次のようになります。
| 名前 | 型 | 値 |
|---|---|---|
Contoso-Purview.purview.azure.com |
CNAME | Contoso-Purview.privatelink.purview.azure.com |
Contoso-Purview.privatelink.purview.azure.com |
CNAME | <Microsoft Purview パブリック エンドポイント> |
| <Microsoft Purview パブリック エンドポイント> | A | <Microsoft Purview パブリック IP アドレス> |
Web.purview.azure.com |
CNAME | <Microsoft Purview ガバナンス ポータルのパブリック エンドポイント> |
Contoso-Purview の DNS リソース レコードは、プライベート エンドポイントをホストする仮想ネットワークで解決されると、次のようになります。
| 名前 | 型 | 値 |
|---|---|---|
Contoso-Purview.purview.azure.com |
CNAME | Contoso-Purview.privatelink.purview.azure.com |
Contoso-Purview.privatelink.purview.azure.com |
A | <Microsoft Purview アカウントのプライベート エンドポイント IP アドレス> |
Web.purview.azure.com |
CNAME | <Microsoft Purview ポータルのプライベート エンドポイント IP アドレス> |
オプション 3 - 独自の DNS サーバーを使用する
DNS フォワーダーを使用せず、代わりにオンプレミスの DNS サーバーで A レコードを直接管理して、プライベート IP アドレスを介してエンドポイントを解決する場合は、DNS サーバーで次の A レコードを作成する必要がある場合があります。
注:
環境内の対応する Azure リソース名Contoso-Purviewscaneastusabcd1234で、および atlas-12345678-1234-1234-abcd-123456789abc を使用して、すべての名前を更新します。 たとえば、Microsoft Purview マネージド ストレージ アカウントの名前を使用する代わりに scaneastusabcd1234 、
| 名前 | 型 | 値 |
|---|---|---|
web.purview.azure.com |
A | <Microsoft Purview のポータル プライベート エンドポイント IP アドレス> |
scaneastusabcd1234.blob.core.windows.net |
A | <Microsoft Purview の BLOB インジェスト プライベート エンドポイント IP アドレス> |
scaneastusabcd1234.queue.core.windows.net |
A | <Microsoft Purview の queue-ingestion プライベート エンドポイント IP アドレス> |
atlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net |
A | <Microsoft Purview の namespace-ingestion プライベート エンドポイント IP アドレス> |
Contoso-Purview.Purview.azure.com |
A | <アカウントの Microsoft Purview のプライベート エンドポイント IP アドレス> |
Contoso-Purview.scan.Purview.azure.com |
A | <アカウントの Microsoft Purview のプライベート エンドポイント IP アドレス> |
Contoso-Purview.catalog.Purview.azure.com |
A | <アカウントの Microsoft Purview のプライベート エンドポイント IP アドレス> |
Contoso-Purview.proxy.purview.azure.com |
A | <アカウントの Microsoft Purview のプライベート エンドポイント IP アドレス> |
Contoso-Purview.guardian.purview.azure.com |
A | <アカウントの Microsoft Purview のプライベート エンドポイント IP アドレス> |
gateway.purview.azure.com |
A | <アカウントの Microsoft Purview のプライベート エンドポイント IP アドレス> |
insight.prod.ext.web.purview.azure.com |
A | <Microsoft Purview のポータル プライベート エンドポイント IP アドレス> |
manifest.prod.ext.web.purview.azure.com |
A | <Microsoft Purview のポータル プライベート エンドポイント IP アドレス> |
cdn.prod.ext.web.purview.azure.com |
A | <Microsoft Purview のポータル プライベート エンドポイント IP アドレス> |
hub.prod.ext.web.purview.azure.com |
A | <Microsoft Purview のポータル プライベート エンドポイント IP アドレス> |
catalog.prod.ext.web.purview.azure.com |
A | <Microsoft Purview のポータル プライベート エンドポイント IP アドレス> |
cseo.prod.ext.web.purview.azure.com |
A | <Microsoft Purview のポータル プライベート エンドポイント IP アドレス> |
datascan.prod.ext.web.purview.azure.com |
A | <Microsoft Purview のポータル プライベート エンドポイント IP アドレス> |
datashare.prod.ext.web.purview.azure.com |
A | <Microsoft Purview のポータル プライベート エンドポイント IP アドレス> |
datasource.prod.ext.web.purview.azure.com |
A | <Microsoft Purview のポータル プライベート エンドポイント IP アドレス> |
policy.prod.ext.web.purview.azure.com |
A | <Microsoft Purview のポータル プライベート エンドポイント IP アドレス> |
sensitivity.prod.ext.web.purview.azure.com |
A | <Microsoft Purview のポータル プライベート エンドポイント IP アドレス> |
web.privatelink.purviewstudio.azure.com |
A | <Microsoft Purview のポータル プライベート エンドポイント IP アドレス> |
workflow.prod.ext.web.purview.azure.com |
A | <Microsoft Purview のポータル プライベート エンドポイント IP アドレス> |
検証と DNS テストの名前解決と接続
Azure プライベート DNS Zones を使用している場合は、次の DNS ゾーンと、対応する A レコードが Azure サブスクリプションに作成されていることを確認します。
プライベート エンドポイント に関連付けられているプライベート エンドポイント DNS ゾーン A Record )(例) アカウント Microsoft Purview privatelink.purview.azure.comContoso-Purview ポータル Microsoft Purview privatelink.purviewstudio.azure.comWeb 摂取 Microsoft Purview マネージド ストレージ アカウント - BLOB privatelink.blob.core.windows.netscaneastusabcd1234 摂取 Microsoft Purview マネージド ストレージ アカウント - キュー privatelink.queue.core.windows.netscaneastusabcd1234 摂取 Microsoft Purview で構成された Event Hubs - Event Hub privatelink.servicebus.windows.netatlas-12345678-1234-1234-abcd-123456789abc Azure Virtual Networks の Azure プライベート DNS Zones に仮想ネットワーク リンクを作成して、内部の名前解決を許可します。
管理 PC とセルフホステッド統合ランタイム VM から、Nslookup.exe や PowerShell などのツールを使用して、Microsoft Purview アカウントへの名前解決とネットワーク接続をテストします
名前解決をテストするには、プライベート IP アドレスを使用して次の FQDN を解決する必要があります。(Contoso-Purview、scaneastusabcd1234、atlas-12345678-1234-abcd-123456789abc の代わりに、Purview アカウント名に関連付けられているホスト名とマネージドまたは構成されたリソース名を使用します)。
Contoso-Purview.purview.azure.comweb.purview.azure.comscaneastusabcd1234.blob.core.windows.netscaneastusabcd1234.queue.core.windows.netatlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net
ネットワーク接続をテストするには、セルフホステッド統合ランタイム VM から PowerShell コンソールを起動し、 を使用して Test-NetConnection接続をテストできます。
各エンドポイントをプライベート エンドポイントで解決し、TcpTestSucceeded を True として取得する必要があります。 (Contoso-Purview、scaneastusabcd1234、atlas-12345678-1234-1234-abcd-123456789abc の代わりに、purview アカウント名と管理または構成されたリソース名に関連付けられているホスト名を使用します)。
Test-NetConnection -ComputerName Contoso-Purview.purview.azure.com -port 443Test-NetConnection -ComputerName web.purview.azure.com -port 443Test-NetConnection -ComputerName scaneastusabcd1234.blob.core.windows.net -port 443Test-NetConnection -ComputerName scaneastusabcd1234.queue.core.windows.net -port 443Test-NetConnection -ComputerName atlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net -port 443