Configurar e verificar a Resolução de Nomes DNS para pontos de extremidade privados do Microsoft Purview
Conceptual overview
A resolução precisa de nomes é um requisito crítico ao configurar pontos de extremidade privados para suas contas do Microsoft Purview.
Você pode exigir a habilitação da resolução de nomes internos em suas configurações de DNS para resolve os endereços IP do ponto de extremidade privado para o FQDN (nome de domínio totalmente qualificado) de fontes de dados e seu computador de gerenciamento para a conta do Microsoft Purview e o runtime de integração auto-hospedado, dependendo dos cenários que você está implantando.
O exemplo a seguir mostra a resolução de nomes DNS do Microsoft Purview de fora da rede virtual ou quando um ponto de extremidade privado do Azure não está configurado.
O exemplo a seguir mostra a resolução de nomes DNS do Microsoft Purview de dentro da rede virtual.
Opções de implantação
Use qualquer uma das seguintes opções para configurar a resolução de nomes internos ao usar pontos de extremidade privados para sua conta do Microsoft Purview:
- Implante novas Zonas de DNS privado do Azure em seu ambiente do Azure, parte da implantação do ponto de extremidade privado. (Opção padrão)
- Use zonas de DNS privado existentes do Azure. Use essa opção se você usar um ponto de extremidade privado em um modelo hub-and-spoke de uma assinatura diferente ou até mesmo dentro da mesma assinatura.
- Use seus próprios servidores DNS se você não usar os encaminhadores DNS e, em vez disso, gerenciar registros A diretamente em seus servidores DNS locais.
Opção 1 – Implantar novas zonas de DNS privado do Azure
Implantar novas zonas de DNS privado do Azure
Para habilitar a resolução de nomes internos, você pode implantar as Zonas DNS do Azure necessárias dentro de sua assinatura do Azure em que a conta do Microsoft Purview é implantada.
Quando você cria pontos de extremidade privados de ingestão, portal e conta, os registros de recursos CNAME DNS para Microsoft Purview são atualizados automaticamente para um alias em poucos subdomínios com o prefixo privatelink:
Por padrão, durante a implantação do ponto de extremidade privado da conta para sua conta do Microsoft Purview, também criamos uma zona DNS privada que corresponde ao
privatelinksubdomínio do Microsoft Purview comoprivatelink.purview.azure.comincluindo registros de recursos DNS A para os pontos de extremidade privados.Durante a implantação do ponto de extremidade privado do portal para sua conta do Microsoft Purview, também criamos uma nova zona DNS privada que corresponde ao
privatelinksubdomínio do Microsoft Purview comoprivatelink.purviewstudio.azure.comincluindo registros de recursos DNS A para Web.Se você habilitar pontos de extremidade privados de ingestão, zonas DNS adicionais serão necessárias para recursos gerenciados ou configurados.
A tabela a seguir mostra um exemplo de zonas DNS privado do Azure e registros DNS A implantados como parte da configuração do ponto de extremidade privado para uma conta do Microsoft Purview se você habilitar DNS privado integração durante a implantação:
| Ponto de extremidade privado | Ponto de extremidade privado associado a | Zona DNS (nova) | Um registro (exemplo) |
|---|---|---|---|
| Conta | Microsoft Purview | privatelink.purview.azure.com |
Contoso-Purview |
| Portal | Microsoft Purview | privatelink.purviewstudio.azure.com |
Web |
| Ingestão | Conta de armazenamento gerenciada do Microsoft Purview – Blob | privatelink.blob.core.windows.net |
scaneastusabcd1234 |
| Ingestão | Conta de armazenamento gerenciada do Microsoft Purview – Fila | privatelink.queue.core.windows.net |
scaneastusabcd1234 |
| Ingestão | Conta de armazenamento gerenciada do Microsoft Purview – Hub de Eventos | privatelink.servicebus.windows.net |
atlas-12345678-1234-1234-abcd-123456789abc |
Validar links de rede virtual em Zonas de DNS privado do Azure
Depois que a implantação do ponto de extremidade privado for concluída, verifique se há um link de rede virtual em todas as zonas de DNS privado do Azure correspondentes à rede virtual do Azure, onde o ponto de extremidade privado foi implantado.
Para obter mais informações, consulte Configuração de DNS do ponto de extremidade privado do Azure.
Verificar a resolução de nomes internos
Quando você resolve a URL do ponto de extremidade do Microsoft Purview de fora da rede virtual com o ponto de extremidade privado, ela é resolvida para o ponto de extremidade público do Microsoft Purview. Quando resolvido a partir da rede virtual que hospeda o ponto de extremidade privado, a URL do ponto de extremidade do Microsoft Purview é resolvida para o endereço IP do ponto de extremidade privado.
Como exemplo, se um nome de conta do Microsoft Purview for 'Contoso-Purview', quando for resolvido de fora da rede virtual que hospeda o ponto de extremidade privado, será:
| Nome | Tipo | Valor |
|---|---|---|
Contoso-Purview.purview.azure.com |
CNAME | Contoso-Purview.privatelink.purview.azure.com |
Contoso-Purview.privatelink.purview.azure.com |
CNAME | <Ponto de extremidade público do Microsoft Purview> |
| <Ponto de extremidade público do Microsoft Purview> | A | <Endereço IP público do Microsoft Purview> |
Web.purview.azure.com |
CNAME | <Ponto de extremidade público do portal de governança do Microsoft Purview> |
Os registros de recursos DNS para Contoso-Purview, quando resolvidos na rede virtual que hospeda o ponto de extremidade privado, serão:
| Nome | Tipo | Valor |
|---|---|---|
Contoso-Purview.purview.azure.com |
CNAME | Contoso-Purview.privatelink.purview.azure.com |
Contoso-Purview.privatelink.purview.azure.com |
A | <Endereço IP de ponto de extremidade privado da conta do Microsoft Purview> |
Web.purview.azure.com |
CNAME | <Endereço IP do ponto de extremidade privado do portal do Microsoft Purview> |
Opção 2 – Usar zonas de DNS privado existentes do Azure
Usar zonas de DNS privado existentes do Azure
Durante a implantação de pontos de extremidade privados do Microsft Purview, você pode escolher DNS privado integração usando zonas de DNS privado existentes do Azure. Esse é um caso comum para organizações em que o ponto de extremidade privado é usado para outros serviços no Azure. Nesse caso, durante a implantação de pontos de extremidade privados, selecione as zonas DNS existentes em vez de criar novas.
Esse cenário também se aplica se sua organização usa uma assinatura central ou de hub para todas as Zonas de DNS privado do Azure.
A lista a seguir mostra as zonas DNS do Azure necessárias e os registros A para pontos de extremidade privados do Microsoft Purview:
Observação
Atualize todos os nomes com Contoso-Purview,scaneastusabcd1234 e atlas-12345678-1234-1234-abcd-123456789abc com o nome dos recursos correspondentes do Azure em seu ambiente. Por exemplo, em vez de scaneastusabcd1234 usar o nome da sua conta de armazenamento gerenciada do Microsoft Purview.
| Ponto de extremidade privado | Ponto de extremidade privado associado a | Zona DNS (existente) | Um registro (exemplo) |
|---|---|---|---|
| Conta | Microsoft Purview | privatelink.purview.azure.com |
Contoso-Purview |
| Portal | Microsoft Purview | privatelink.purviewstudio.azure.com |
Web |
| Ingestão | Conta de armazenamento gerenciada do Microsoft Purview – Blob | privatelink.blob.core.windows.net |
scaneastusabcd1234 |
| Ingestão | Conta de armazenamento gerenciada do Microsoft Purview – Fila | privatelink.queue.core.windows.net |
scaneastusabcd1234 |
| Ingestão | Conta de armazenamento gerenciada do Microsoft Purview – Hub de Eventos | privatelink.servicebus.windows.net |
atlas-12345678-1234-1234-abcd-123456789abc |
Para obter mais informações, confira Cargas de trabalho de rede virtual sem cargas de trabalho personalizadas do servidor DNS e locais usando cenários de encaminhador DNS na configuração do DNS do Ponto de Extremidade Privado do Azure.
Verificar links de rede virtual em Zonas de DNS privado do Azure
Depois que a implantação do ponto de extremidade privado for concluída, verifique se há um link de rede virtual em todas as zonas de DNS privado do Azure correspondentes à rede virtual do Azure, onde o ponto de extremidade privado foi implantado.
Para obter mais informações, consulte Configuração de DNS do ponto de extremidade privado do Azure.
Configurar encaminhadores DNS se o DNS personalizado for usado
Além disso, é necessário validar suas configurações de DNS na rede virtual do Azure, onde a VM de runtime de integração auto-hospedada ou o computador de gerenciamento está localizado.
Se ele estiver configurado como Padrão, nenhuma ação adicional será necessária nesta etapa.
Se o servidor DNS personalizado for usado, você deverá adicionar encaminhadores DNS correspondentes dentro de seus servidores DNS para as seguintes zonas:
- Purview.azure.com
- purviewstudio.azure.com
- Blob.core.windows.net
- Queue.core.windows.net
- Servicebus.windows.net
Verificar a resolução de nomes internos
Quando você resolve a URL do ponto de extremidade do Microsoft Purview de fora da rede virtual com o ponto de extremidade privado, ela é resolvida para o ponto de extremidade público do Microsoft Purview. Quando resolvido a partir da rede virtual que hospeda o ponto de extremidade privado, a URL do ponto de extremidade do Microsoft Purview é resolvida para o endereço IP do ponto de extremidade privado.
Como exemplo, se um nome de conta do Microsoft Purview for 'Contoso-Purview', quando for resolvido de fora da rede virtual que hospeda o ponto de extremidade privado, será:
| Nome | Tipo | Valor |
|---|---|---|
Contoso-Purview.purview.azure.com |
CNAME | Contoso-Purview.privatelink.purview.azure.com |
Contoso-Purview.privatelink.purview.azure.com |
CNAME | <Ponto de extremidade público do Microsoft Purview> |
| <Ponto de extremidade público do Microsoft Purview> | A | <Endereço IP público do Microsoft Purview> |
Web.purview.azure.com |
CNAME | <Ponto de extremidade público do portal de governança do Microsoft Purview> |
Os registros de recursos DNS para Contoso-Purview, quando resolvidos na rede virtual que hospeda o ponto de extremidade privado, serão:
| Nome | Tipo | Valor |
|---|---|---|
Contoso-Purview.purview.azure.com |
CNAME | Contoso-Purview.privatelink.purview.azure.com |
Contoso-Purview.privatelink.purview.azure.com |
A | <Endereço IP de ponto de extremidade privado da conta do Microsoft Purview> |
Web.purview.azure.com |
CNAME | <Endereço IP do ponto de extremidade privado do portal do Microsoft Purview> |
Opção 3 – Usar seus próprios servidores DNS
Se você não usar os encaminhadores DNS e, em vez disso, gerenciar um registro diretamente em seus servidores DNS locais para resolve os pontos de extremidade por meio de seus endereços IP privados, talvez seja necessário criar os seguintes registros A em seus servidores DNS.
Observação
Atualize todos os nomes com Contoso-Purview,scaneastusabcd1234 e atlas-12345678-1234-1234-abcd-123456789abc com o nome dos recursos correspondentes do Azure em seu ambiente. Por exemplo, em vez de scaneastusabcd1234 usar o nome da sua conta de armazenamento gerenciada do Microsoft Purview.
| Nome | Tipo | Valor |
|---|---|---|
web.purview.azure.com |
A | <endereço IP do ponto de extremidade privado do Microsoft Purview> |
scaneastusabcd1234.blob.core.windows.net |
A | <Endereço IP do ponto de extremidade privado de ingestão de blob do Microsoft Purview> |
scaneastusabcd1234.queue.core.windows.net |
A | <endereço IP de ponto de extremidade privado de ingestão de fila do Microsoft Purview> |
atlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net |
A | <endereço IP do ponto de extremidade privado de ingestão de namespace do Microsoft Purview> |
Contoso-Purview.Purview.azure.com |
A | <endereço IP do ponto de extremidade privado da conta do Microsoft Purview> |
Contoso-Purview.scan.Purview.azure.com |
A | <endereço IP do ponto de extremidade privado da conta do Microsoft Purview> |
Contoso-Purview.catalog.Purview.azure.com |
A | <endereço IP do ponto de extremidade privado da conta do Microsoft Purview> |
Contoso-Purview.proxy.purview.azure.com |
A | <endereço IP do ponto de extremidade privado da conta do Microsoft Purview> |
Contoso-Purview.guardian.purview.azure.com |
A | <endereço IP do ponto de extremidade privado da conta do Microsoft Purview> |
gateway.purview.azure.com |
A | <endereço IP do ponto de extremidade privado da conta do Microsoft Purview> |
insight.prod.ext.web.purview.azure.com |
A | <endereço IP do ponto de extremidade privado do Microsoft Purview> |
manifest.prod.ext.web.purview.azure.com |
A | <endereço IP do ponto de extremidade privado do Microsoft Purview> |
cdn.prod.ext.web.purview.azure.com |
A | <endereço IP do ponto de extremidade privado do Microsoft Purview> |
hub.prod.ext.web.purview.azure.com |
A | <endereço IP do ponto de extremidade privado do Microsoft Purview> |
catalog.prod.ext.web.purview.azure.com |
A | <endereço IP do ponto de extremidade privado do Microsoft Purview> |
cseo.prod.ext.web.purview.azure.com |
A | <endereço IP do ponto de extremidade privado do Microsoft Purview> |
datascan.prod.ext.web.purview.azure.com |
A | <endereço IP do ponto de extremidade privado do Microsoft Purview> |
datashare.prod.ext.web.purview.azure.com |
A | <endereço IP do ponto de extremidade privado do Microsoft Purview> |
datasource.prod.ext.web.purview.azure.com |
A | <endereço IP do ponto de extremidade privado do Microsoft Purview> |
policy.prod.ext.web.purview.azure.com |
A | <endereço IP do ponto de extremidade privado do Microsoft Purview> |
sensitivity.prod.ext.web.purview.azure.com |
A | <endereço IP do ponto de extremidade privado do Microsoft Purview> |
web.privatelink.purviewstudio.azure.com |
A | <endereço IP do ponto de extremidade privado do Microsoft Purview> |
workflow.prod.ext.web.purview.azure.com |
A | <endereço IP do ponto de extremidade privado do Microsoft Purview> |
Verificar e DNS testar a resolução e a conectividade do nome de teste
Se você estiver usando o Azure DNS privado Zones, verifique se as seguintes Zonas DNS e os registros A correspondentes serão criados em sua Assinatura do Azure:
Ponto de extremidade privado Ponto de extremidade privado associado a Zona DNS Um registro )(exemplo) Conta Microsoft Purview privatelink.purview.azure.comContoso-Purview Portal Microsoft Purview privatelink.purviewstudio.azure.comWeb Ingestão Conta de armazenamento gerenciada do Microsoft Purview – Blob privatelink.blob.core.windows.netscaneastusabcd1234 Ingestão Conta de armazenamento gerenciada do Microsoft Purview – Fila privatelink.queue.core.windows.netscaneastusabcd1234 Ingestão Hubs de Eventos configurados do Microsoft Purview – Hub de Eventos privatelink.servicebus.windows.netatlas-12345678-1234-1234-abcd-123456789abc Crie links de rede virtual em suas Zonas de DNS privado do Azure para suas Redes Virtuais do Azure para permitir a resolução de nomes internos.
Do computador de gerenciamento e da VM do runtime de integração auto-hospedada, da resolução de nomes de teste e da conectividade de rede à sua conta do Microsoft Purview usando ferramentas como Nslookup.exe e PowerShell
Para testar a resolução de nomes, você precisa resolve os seguintes FQDNs por meio de seus endereços IP privados: (Em vez de Contoso-Purview, scaneastusabcd1234 ou atlas-12345678-1234-1234-abcd-123456789abc, use o nome do host associado ao nome da conta purview e nomes de recursos gerenciados ou configurados)
Contoso-Purview.purview.azure.comweb.purview.azure.comscaneastusabcd1234.blob.core.windows.netscaneastusabcd1234.queue.core.windows.netatlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net
Para testar a conectividade de rede, da VM do runtime de integração auto-hospedada, você pode iniciar o console do PowerShell e testar a conectividade usando Test-NetConnection.
Você deve resolve cada ponto de extremidade pelo ponto de extremidade privado e obter TcpTestSucceeded como True. (Em vez de Contoso-Purview, scaneastusabcd1234 ou atlas-12345678-1234-1234-abcd-123456789abc, use o nome do host associado ao nome da conta purview e nomes de recursos gerenciados ou configurados)
Test-NetConnection -ComputerName Contoso-Purview.purview.azure.com -port 443Test-NetConnection -ComputerName web.purview.azure.com -port 443Test-NetConnection -ComputerName scaneastusabcd1234.blob.core.windows.net -port 443Test-NetConnection -ComputerName scaneastusabcd1234.queue.core.windows.net -port 443Test-NetConnection -ComputerName atlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net -port 443