Konfigurowanie i weryfikowanie rozpoznawania nazw DNS dla prywatnych punktów końcowych usługi Microsoft Purview

Omówienie pojęć

Dokładne rozpoznawanie nazw jest krytycznym wymaganiem podczas konfigurowania prywatnych punktów końcowych dla kont usługi Microsoft Purview.

W ustawieniach DNS może być konieczne włączenie wewnętrznego rozpoznawania nazw w celu rozpoznania prywatnych adresów IP punktu końcowego do w pełni kwalifikowanej nazwy domeny (FQDN) ze źródeł danych i maszyny zarządzania do konta usługi Microsoft Purview i własnego środowiska Integration Runtime, w zależności od wdrożonych scenariuszy.

W poniższym przykładzie pokazano rozpoznawanie nazw DNS usługi Microsoft Purview spoza sieci wirtualnej lub gdy prywatny punkt końcowy platformy Azure nie jest skonfigurowany.

Zrzut ekranu przedstawiający rozpoznawanie nazw usługi Microsoft Purview spoza sieci CorpNet.

W poniższym przykładzie pokazano rozpoznawanie nazw DNS usługi Microsoft Purview z poziomu sieci wirtualnej.

Zrzut ekranu przedstawiający rozpoznawanie nazw usługi Microsoft Purview z poziomu sieci CorpNet.

Opcje wdrożenia

Użyj dowolnej z poniższych opcji, aby skonfigurować wewnętrzne rozpoznawanie nazw podczas korzystania z prywatnych punktów końcowych dla konta usługi Microsoft Purview:

Opcja 1 — wdrażanie nowych stref usługi Azure Prywatna strefa DNS

Wdrażanie nowych stref usługi Azure Prywatna strefa DNS

Aby włączyć wewnętrzne rozpoznawanie nazw, możesz wdrożyć wymagane strefy usługi Azure DNS w ramach subskrypcji platformy Azure, w której wdrożono konto usługi Microsoft Purview.

Zrzut ekranu przedstawiający strefy DNS.

Podczas tworzenia pozyskiwania, portalu i prywatnego punktu końcowego konta rekordy zasobów CNAME systemu DNS dla usługi Microsoft Purview są automatycznie aktualizowane do aliasu w kilku poddomenach z prefiksem privatelink:

  • Domyślnie podczas wdrażania prywatnego punktu końcowego konta dla konta usługi Microsoft Purview tworzymy również prywatną strefę DNS odpowiadającą privatelink poddomenie dla usługi Microsoft Purview jako privatelink.purview.azure.com zawierającą rekordy zasobów DNS A dla prywatnych punktów końcowych.

  • Podczas wdrażania prywatnego punktu końcowego portalu dla konta usługi Microsoft Purview utworzymy również nową prywatną strefę DNS odpowiadającą privatelink poddomenie dla usługi Microsoft Purview jako privatelink.purviewstudio.azure.com zawierającą rekordy zasobów DNS A dla sieci Web.

  • W przypadku włączenia prywatnych punktów końcowych pozyskiwania dodatkowe strefy DNS są wymagane dla zasobów zarządzanych lub skonfigurowanych.

W poniższej tabeli przedstawiono przykład stref usługi Azure Prywatna strefa DNS i rekordów USŁUGI DNS wdrożonych w ramach konfiguracji prywatnego punktu końcowego dla konta usługi Microsoft Purview, jeśli włączysz integrację Prywatna strefa DNS podczas wdrażania:

Prywatny punkt końcowy Prywatny punkt końcowy skojarzony z Strefa DNS (nowa) Rekord (przykład)
Konto Microsoft Purview privatelink.purview.azure.com Contoso-Purview
Portal Microsoft Purview privatelink.purviewstudio.azure.com Internet
Pozyskiwanie Konto magazynu zarządzanego przez usługę Microsoft Purview — blob privatelink.blob.core.windows.net scaneastusabcd1234
Pozyskiwanie Zarządzane konto magazynu usługi Microsoft Purview — kolejka privatelink.queue.core.windows.net scaneastusabcd1234
Pozyskiwanie Zarządzane konto magazynu usługi Microsoft Purview — centrum zdarzeń privatelink.servicebus.windows.net atlas-12345678-1234-1234-abcd-123456789abc

Po zakończeniu wdrażania prywatnego punktu końcowego upewnij się, że istnieje link sieć wirtualna we wszystkich odpowiednich strefach usługi Azure Prywatna strefa DNS do sieci wirtualnej platformy Azure, w której wdrożono prywatny punkt końcowy.

Zrzut ekranu przedstawiający łącza sieci wirtualnej w strefie DNS.

Aby uzyskać więcej informacji, zobacz Konfiguracja usługi DNS prywatnego punktu końcowego platformy Azure.

Weryfikowanie wewnętrznego rozpoznawania nazw

Po rozpoznaniu adresu URL punktu końcowego usługi Microsoft Purview spoza sieci wirtualnej za pomocą prywatnego punktu końcowego jest rozpoznawany jako publiczny punkt końcowy usługi Microsoft Purview. Po rozpoznaniu z sieci wirtualnej obsługującej prywatny punkt końcowy adres URL punktu końcowego usługi Microsoft Purview jest rozpoznawany jako adres IP prywatnego punktu końcowego.

Jeśli na przykład nazwa konta usługi Microsoft Purview to "Contoso-Purview", gdy zostanie rozpoznana spoza sieci wirtualnej, która hostuje prywatny punkt końcowy, będzie to:

Nazwa Typ Wartość
Contoso-Purview.purview.azure.com CNAME Contoso-Purview.privatelink.purview.azure.com
Contoso-Purview.privatelink.purview.azure.com CNAME <Publiczny punkt końcowy usługi Microsoft Purview>
<Publiczny punkt końcowy usługi Microsoft Purview> A <Publiczny adres IP usługi Microsoft Purview>
Web.purview.azure.com CNAME <Publiczny punkt końcowy portalu ładu usługi Microsoft Purview>

Rekordy zasobów DNS dla firmy Contoso-Purview po rozpoznaniu w sieci wirtualnej obsługującej prywatny punkt końcowy będą następujące:

Nazwa Typ Wartość
Contoso-Purview.purview.azure.com CNAME Contoso-Purview.privatelink.purview.azure.com
Contoso-Purview.privatelink.purview.azure.com A <Prywatny adres IP prywatnego punktu końcowego konta usługi Microsoft Purview>
Web.purview.azure.com CNAME <Prywatny adres IP prywatnego punktu końcowego portalu usługi Microsoft Purview>

Opcja 2 — używanie istniejących stref usługi Azure Prywatna strefa DNS

Korzystanie z istniejących stref usługi Azure Prywatna strefa DNS

Podczas wdrażania prywatnych punktów końcowych usługi Microsft Purview można wybrać Prywatna strefa DNS integrację przy użyciu istniejących stref usługi Azure Prywatna strefa DNS. Jest to typowy przypadek w przypadku organizacji, w których prywatny punkt końcowy jest używany dla innych usług na platformie Azure. W tym przypadku podczas wdrażania prywatnych punktów końcowych upewnij się, że wybrano istniejące strefy DNS zamiast tworzyć nowe.

Ten scenariusz dotyczy również sytuacji, w których organizacja używa subskrypcji centralnej lub centralnej dla wszystkich stref usługi Azure Prywatna strefa DNS.

Poniższa lista zawiera wymagane strefy usługi Azure DNS i rekordy A dla prywatnych punktów końcowych usługi Microsoft Purview:

Uwaga

Zaktualizuj wszystkie nazwy przy użyciu Contoso-Purviewelementów iscaneastusabcd1234atlas-12345678-1234-1234-abcd-123456789abc przy użyciu odpowiedniej nazwy zasobów platformy Azure w danym środowisku. Na przykład zamiast używać scaneastusabcd1234 nazwy zarządzanego konta magazynu usługi Microsoft Purview.

Prywatny punkt końcowy Prywatny punkt końcowy skojarzony z Strefa DNS (istniejąca) Rekord (przykład)
Konto Microsoft Purview privatelink.purview.azure.com Contoso-Purview
Portal Microsoft Purview privatelink.purviewstudio.azure.com Internet
Pozyskiwanie Konto magazynu zarządzanego przez usługę Microsoft Purview — blob privatelink.blob.core.windows.net scaneastusabcd1234
Pozyskiwanie Zarządzane konto magazynu usługi Microsoft Purview — kolejka privatelink.queue.core.windows.net scaneastusabcd1234
Pozyskiwanie Zarządzane konto magazynu usługi Microsoft Purview — Centrum zdarzeń privatelink.servicebus.windows.net atlas-12345678-1234-1234-abcd-123456789abc

Diagram przedstawiający rozpoznawanie nazw usługi Microsoft Purview

Aby uzyskać więcej informacji, zobacz Obciążenia sieci wirtualnej bez niestandardowych obciążeń serwera DNS i obciążeń lokalnych przy użyciu scenariuszy usługi przesyłania dalej DNS w konfiguracji dns prywatnego punktu końcowego platformy Azure.

Po zakończeniu wdrażania prywatnego punktu końcowego upewnij się, że na wszystkich odpowiednich strefach usługi Azure Prywatna strefa DNS znajduje się link do sieci wirtualnej platformy Azure, w której wdrożono prywatny punkt końcowy.

Zrzut ekranu przedstawiający łącza sieci wirtualnej w strefie DNS.

Aby uzyskać więcej informacji, zobacz Konfiguracja usługi DNS prywatnego punktu końcowego platformy Azure.

Konfigurowanie usług przesyłania dalej DNS, jeśli jest używany niestandardowy system DNS

Ponadto należy zweryfikować konfiguracje DNS w sieci wirtualnej platformy Azure, w której znajduje się maszyna wirtualna własnego środowiska Integration Runtime lub komputer zarządzania.

Diagram przedstawiający niestandardową usługę DNS sieci wirtualnej platformy Azure

  • Jeśli jest ona skonfigurowana na wartość Domyślna, w tym kroku nie jest wymagana żadna dalsza akcja.

  • Jeśli jest używany niestandardowy serwer DNS, należy dodać odpowiednie usługi przesyłania dalej DNS wewnątrz serwerów DNS dla następujących stref:

    • Purview.azure.com
    • Blob.core.windows.net
    • Queue.core.windows.net
    • Servicebus.windows.net

Weryfikowanie wewnętrznego rozpoznawania nazw

Po rozpoznaniu adresu URL punktu końcowego usługi Microsoft Purview spoza sieci wirtualnej przy użyciu prywatnego punktu końcowego zostanie rozpoznany publiczny punkt końcowy usługi Microsoft Purview. Po rozpoznaniu z sieci wirtualnej obsługującej prywatny punkt końcowy adres URL punktu końcowego usługi Microsoft Purview jest rozpoznawany jako adres IP prywatnego punktu końcowego.

Jeśli na przykład nazwa konta usługi Microsoft Purview to "Contoso-Purview", gdy zostanie rozpoznana spoza sieci wirtualnej, która hostuje prywatny punkt końcowy, będzie to:

Nazwa Typ Wartość
Contoso-Purview.purview.azure.com CNAME Contoso-Purview.privatelink.purview.azure.com
Contoso-Purview.privatelink.purview.azure.com CNAME <Publiczny punkt końcowy usługi Microsoft Purview>
<Publiczny punkt końcowy usługi Microsoft Purview> A <Publiczny adres IP usługi Microsoft Purview>
Web.purview.azure.com CNAME <Publiczny punkt końcowy portalu ładu usługi Microsoft Purview>

Rekordy zasobów DNS dla firmy Contoso-Purview, po rozpoznaniu w sieci wirtualnej hostująca prywatny punkt końcowy, będą następujące:

Nazwa Typ Wartość
Contoso-Purview.purview.azure.com CNAME Contoso-Purview.privatelink.purview.azure.com
Contoso-Purview.privatelink.purview.azure.com A <Prywatny adres IP prywatnego punktu końcowego konta usługi Microsoft Purview>
Web.purview.azure.com CNAME <Prywatny adres IP prywatnego punktu końcowego portalu Microsoft Purview>

Opcja 3 — korzystanie z własnych serwerów DNS

Jeśli nie używasz usług przesyłania dalej DNS i zamiast tego zarządzasz rekordami A bezpośrednio na lokalnych serwerach DNS w celu rozpoznawania punktów końcowych za pośrednictwem ich prywatnych adresów IP, może być konieczne utworzenie następujących rekordów A na serwerach DNS.

Uwaga

Zaktualizuj wszystkie nazwy za pomocą polecenia Contoso-Purviewiscaneastusabcd1234atlas-12345678-1234-1234-abcd-123456789abc przy użyciu odpowiedniej nazwy zasobów platformy Azure w środowisku. Na przykład zamiast używać scaneastusabcd1234 nazwy zarządzanego konta magazynu usługi Microsoft Purview.

Nazwa Typ Wartość
web.purview.azure.com A <prywatny adres IP punktu końcowego portalu usługi Microsoft Purview>
scaneastusabcd1234.blob.core.windows.net A <Prywatny adres IP punktu końcowego pozyskiwania obiektów blob w usłudze Microsoft Purview>
scaneastusabcd1234.queue.core.windows.net A <prywatny adres IP punktu końcowego pozyskiwania kolejek w usłudze Microsoft Purview>
atlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net A <prywatny adres IP punktu końcowego pozyskiwania przestrzeni nazw w usłudze Microsoft Purview>
Contoso-Purview.Purview.azure.com A <prywatny adres IP prywatnego punktu końcowego konta usługi Microsoft Purview>
Contoso-Purview.scan.Purview.azure.com A <prywatny adres IP prywatnego punktu końcowego konta usługi Microsoft Purview>
Contoso-Purview.catalog.Purview.azure.com A <prywatny adres IP prywatnego punktu końcowego konta usługi Microsoft Purview>
Contoso-Purview.proxy.purview.azure.com A <prywatny adres IP prywatnego punktu końcowego konta usługi Microsoft Purview>
Contoso-Purview.guardian.purview.azure.com A <prywatny adres IP prywatnego punktu końcowego konta usługi Microsoft Purview>
gateway.purview.azure.com A <prywatny adres IP prywatnego punktu końcowego konta usługi Microsoft Purview>
insight.prod.ext.web.purview.azure.com A <prywatny adres IP prywatnego punktu końcowego konta usługi Microsoft Purview>
manifest.prod.ext.web.purview.azure.com A <prywatny adres IP punktu końcowego portalu usługi Microsoft Purview>
cdn.prod.ext.web.purview.azure.com A <prywatny adres IP punktu końcowego portalu usługi Microsoft Purview>
hub.prod.ext.web.purview.azure.com A <prywatny adres IP punktu końcowego portalu usługi Microsoft Purview>
catalog.prod.ext.web.purview.azure.com A <prywatny adres IP punktu końcowego portalu usługi Microsoft Purview>
cseo.prod.ext.web.purview.azure.com A <prywatny adres IP punktu końcowego portalu usługi Microsoft Purview>
datascan.prod.ext.web.purview.azure.com A <prywatny adres IP punktu końcowego portalu usługi Microsoft Purview>
datashare.prod.ext.web.purview.azure.com A <prywatny adres IP punktu końcowego portalu usługi Microsoft Purview>
datasource.prod.ext.web.purview.azure.com A <prywatny adres IP punktu końcowego portalu usługi Microsoft Purview>
policy.prod.ext.web.purview.azure.com A <prywatny adres IP punktu końcowego portalu usługi Microsoft Purview>
sensitivity.prod.ext.web.purview.azure.com A <prywatny adres IP punktu końcowego portalu usługi Microsoft Purview>

Weryfikowanie i testowanie rozpoznawania nazw DNS i łączności

  1. Jeśli używasz stref usługi Azure Prywatna strefa DNS, upewnij się, że w subskrypcji platformy Azure są tworzone następujące strefy DNS i odpowiednie rekordy A:

    Prywatny punkt końcowy Prywatny punkt końcowy skojarzony z Strefa DNS Rekord )(przykład)
    Konto Microsoft Purview privatelink.purview.azure.com Contoso-Purview
    Portal Microsoft Purview privatelink.purviewstudio.azure.com Internet
    Pozyskiwanie Zarządzane konto magazynu usługi Microsoft Purview — obiekt blob privatelink.blob.core.windows.net scaneastusabcd1234
    Pozyskiwanie Zarządzane konto magazynu usługi Microsoft Purview — kolejka privatelink.queue.core.windows.net scaneastusabcd1234
    Pozyskiwanie Usługa Event Hubs skonfigurowana przez usługę Microsoft Purview — Event Hub privatelink.servicebus.windows.net atlas-12345678-1234-1234-abcd-123456789abc
  2. Utwórz łącza sieci wirtualnej w strefach usługi Azure Prywatna strefa DNS dla sieci wirtualnych platformy Azure, aby umożliwić wewnętrzne rozpoznawanie nazw.

  3. Z poziomu komputera zarządzania i własnej maszyny wirtualnej środowiska Integration Runtime przetestuj rozpoznawanie nazw i łączność sieciową z kontem usługi Microsoft Purview przy użyciu narzędzi, takich jak Nslookup.exe i Program PowerShell

Aby przetestować rozpoznawanie nazw, należy rozpoznać następujące nazwy FQDN za pośrednictwem prywatnych adresów IP: (zamiast contoso-Purview, scaneastusabcd1234 lub atlas-12345678-1234-1234-abcd-123456789abc, użyj nazwy hosta skojarzonej z nazwą konta usługi Purview i nazwami zarządzanych lub skonfigurowanych zasobów)

  • Contoso-Purview.purview.azure.com
  • web.purview.azure.com
  • scaneastusabcd1234.blob.core.windows.net
  • scaneastusabcd1234.queue.core.windows.net
  • atlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net

Aby przetestować łączność sieciową, na maszynie wirtualnej własnego środowiska Integration Runtime możesz uruchomić konsolę programu PowerShell i przetestować łączność przy użyciu polecenia Test-NetConnection. Należy rozpoznać każdy punkt końcowy według prywatnego punktu końcowego i uzyskać wartość TcpTestSucceededed jako True. (Zamiast Contoso-Purview, scaneastusabcd1234 lub atlas-12345678-1234-1234-abcd-123456789abc, użyj nazwy hosta skojarzonej z nazwą konta usługi Purview i nazwami zarządzanych lub skonfigurowanych zasobów)

  • Test-NetConnection -ComputerName Contoso-Purview.purview.azure.com -port 443
  • Test-NetConnection -ComputerName web.purview.azure.com -port 443
  • Test-NetConnection -ComputerName scaneastusabcd1234.blob.core.windows.net -port 443
  • Test-NetConnection -ComputerName scaneastusabcd1234.queue.core.windows.net -port 443
  • Test-NetConnection -ComputerName atlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net -port 443

Następne kroki