Solução de problemas da configuração de ponto de extremidade privado para contas do Microsoft Purview

  • Artigo

Este guia resume as limitações conhecidas relacionadas ao uso de pontos de extremidade privados para o Microsoft Purview e fornece uma lista de etapas e soluções para solucionar alguns dos problemas relevantes mais comuns.

Limitações conhecidas

  • Atualmente, não oferecemos suporte a pontos de extremidade privados de ingestão que funcionam com suas fontes do AWS.
  • Não há suporte para a verificação de várias fontes do Azure usando o runtime de integração auto-hospedada.
  • Não há suporte para usar o runtime de integração do Azure para verificar fontes de dados atrás do ponto de extremidade privado.
  • Os pontos de extremidade privados de ingestão podem ser criados por meio da experiência do portal de governança do Microsoft Purview descrita nas etapas aqui. Eles não podem ser criados a partir do Centro de Link Privado.
  • A criação de um registro DNS para pontos de extremidade privados de ingestão dentro das Zonas DNS existentes do Azure, enquanto as Zonas de DNS privado do Azure estão localizadas em uma assinatura diferente dos pontos de extremidade privados não tem suporte por meio da experiência do portal de governança do Microsoft Purview. Um registro pode ser adicionado manualmente nas Zonas DNS de destino na outra assinatura.
  • Se você habilitar um hub de eventos gerenciado após implantar um ponto de extremidade privado de ingestão, precisará reimplantar o ponto de extremidade privado de ingestão.
  • O computador de runtime de integração auto-hospedado deve ser implantado na mesma VNet ou em uma VNet emparelhada em que a conta do Microsoft Purview e os pontos de extremidade privados de ingestão são implantados.
  • Atualmente, não há suporte para a verificação de um locatário do Power BI entre locatários, que tem um ponto de extremidade privado configurado com acesso público bloqueado.
  • Para obter limitação relacionada ao serviço Link Privado, consulte Link Privado do Azure limites.

  1. Depois de implantar pontos de extremidade privados para sua conta do Microsoft Purview, examine seu ambiente do Azure para garantir que os recursos de ponto de extremidade privado sejam implantados com êxito. Dependendo do cenário, um ou mais dos seguintes pontos de extremidade privados do Azure devem ser implantados em sua assinatura do Azure:

    Ponto de extremidade privado Ponto de extremidade privado atribuído a Exemplo
    Conta Conta do Microsoft Purview mypurview-private-account
    Portal Conta do Microsoft Purview mypurview-private-portal
    Ingestão Conta de Armazenamento Gerenciado (Blob) mypurview-ingestion-blob
    Ingestão Conta de armazenamento gerenciada (fila) mypurview-ingestion-queue
    Ingestão Namespace dos Hubs de Eventos* mypurview-ingestion-namespace

Observação

*O Namespace dos Hubs de Eventos só será necessário se ele tiver sido configurado em sua conta do Microsoft Purview. Você pode marcar na configuração do Kafka em configurações na página da conta do Microsoft Purview no Portal do Azure.

  1. Se o ponto de extremidade privado do portal for implantado, verifique se você também implantará o ponto de extremidade privado da conta.

  2. Se o ponto de extremidade privado do portal for implantado e o acesso à rede pública estiver definido para negar em sua conta do Microsoft Purview, inicie o portal de governança do Microsoft Purview da rede interna.

    • Para verificar a resolução de nomes correta, você pode usar uma ferramenta de linha de comando NSlookup.exe para consultar web.purview.azure.com. O resultado deve retornar um endereço IP privado que pertence ao ponto de extremidade privado do portal.
    • Para verificar a conectividade de rede, você pode usar todas as ferramentas de teste de rede para testar a conectividade de saída para web.purview.azure.com o ponto de extremidade para a porta 443. A conexão deve ser bem-sucedida.

  3. Se as Zonas de DNS privado do Azure forem usadas, verifique se as Zonas DNS do Azure necessárias serão implantadas e há um registro DNS (A) para cada ponto de extremidade privado.

  4. Teste a conectividade de rede e a resolução de nomes do computador de gerenciamento para o ponto de extremidade do Microsoft Purview e a url da Web purview. Se os pontos de extremidade privados da conta e do portal forem implantados, os pontos de extremidade deverão ser resolvidos por meio de endereços IP privados.

    Test-NetConnection -ComputerName web.purview.azure.com -Port 443

    Exemplo de conexão de saída bem-sucedida por meio de endereço IP privado:

    ComputerName     : web.purview.azure.com
RemoteAddress    : 10.9.1.7
RemotePort       : 443
InterfaceAlias   : Ethernet 2
SourceAddress    : 10.9.0.10
TcpTestSucceeded : True

    Test-NetConnection -ComputerName purview-test01.purview.azure.com -Port 443

    Exemplo de conexão de saída bem-sucedida por meio de endereço IP privado:

    ComputerName     : purview-test01.purview.azure.com
RemoteAddress    : 10.9.1.8
RemotePort       : 443
InterfaceAlias   : Ethernet 2
SourceAddress    : 10.9.0.10
TcpTestSucceeded : True

  5. Se você criou sua conta do Microsoft Purview após 18 de agosto de 2021, baixe e instale a versão mais recente do runtime de integração auto-hospedada do centro de download da Microsoft.

  6. Da VM do runtime de integração auto-hospedada, teste a conectividade de rede e a resolução de nomes até o ponto de extremidade do Microsoft Purview.

  7. Desde o runtime de integração auto-hospedada, a conectividade de rede de teste e a resolução de nomes até os recursos gerenciados do Microsoft Purview, como fila de blobs, e recursos secundários, como Hubs de Eventos, por meio da porta 443 e endereços IP privados. (Substitua a conta de armazenamento gerenciada e o namespace dos Hubs de Eventos por nomes de recursos correspondentes).

    Test-NetConnection -ComputerName `scansoutdeastasiaocvseab`.blob.core.windows.net -Port 443

    Exemplo de conexão de saída bem-sucedida com o armazenamento de blobs gerenciado por meio de endereço IP privado:

    ComputerName     : scansoutdeastasiaocvseab.blob.core.windows.net
RemoteAddress    : 10.15.1.6
RemotePort       : 443
InterfaceAlias   : Ethernet 2
SourceAddress    : 10.15.0.4
TcpTestSucceeded : True

    Test-NetConnection -ComputerName `scansoutdeastasiaocvseab`.queue.core.windows.net -Port 443

    Exemplo de conexão de saída bem-sucedida com o armazenamento de fila gerenciada por meio de endereço IP privado:

    ComputerName     : scansoutdeastasiaocvseab.blob.core.windows.net
RemoteAddress    : 10.15.1.5
RemotePort       : 443
InterfaceAlias   : Ethernet 2
SourceAddress    : 10.15.0.4
TcpTestSucceeded : True

    Test-NetConnection -ComputerName `Atlas-1225cae9-d651-4039-86a0-b43231a17a4b`.servicebus.windows.net -Port 443

    Exemplo de conexão de saída bem-sucedida com o namespace dos Hubs de Eventos por meio de endereço IP privado:

    ComputerName     : Atlas-1225cae9-d651-4039-86a0-b43231a17a4b.servicebus.windows.net
RemoteAddress    : 10.15.1.4
RemotePort       : 443
InterfaceAlias   : Ethernet 2
SourceAddress    : 10.15.0.4
TcpTestSucceeded : True

  8. Da rede em que a fonte de dados está localizada, teste a conectividade de rede e a resolução de nomes para o ponto de extremidade do Microsoft Purview e os pontos de extremidade de recursos gerenciados ou configurados.

  9. Se as fontes de dados estiverem localizadas na rede local, examine a configuração do encaminhador DNS. Resolução de nome de teste de dentro da mesma rede em que as fontes de dados estão localizadas para o runtime de integração auto-hospedada, pontos de extremidade do Microsoft Purview e recursos gerenciados ou configurados. Espera-se obter um endereço IP privado válido da consulta DNS para cada ponto de extremidade.

    Para obter mais informações, confira Cargas de trabalho de rede virtual sem cargas de trabalho personalizadas do servidor DNS e locais usando cenários de encaminhador DNS na configuração do DNS do Ponto de Extremidade Privado do Azure.

  10. Se as VMs do runtime de integração auto-hospedada e do computador de gerenciamento forem implantadas na rede local e você tiver configurado o encaminhador DNS em seu ambiente, verifique as configurações de DNS e rede em seu ambiente.

  11. Se o ponto de extremidade privado de ingestão for usado, verifique se o runtime de integração auto-hospedado está registrado com êxito na conta do Microsoft Purview e mostra como executando tanto dentro da VM do runtime de integração auto-hospedada quanto no portal de governança do Microsoft Purview .

Erros e mensagens comuns

Problema

Você pode receber a seguinte mensagem de erro ao executar uma verificação:

Internal system error. Please contact support with correlationId:xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx System Error, contact support.

Motivo

Isso pode ser uma indicação de problemas relacionados à conectividade ou resolução de nomes entre a VM que executa o runtime de integração auto-hospedada e a conta de armazenamento gerenciada do Microsoft Purview ou hubs de eventos configurados.

Solução

Valide se a resolução de nomes for bem-sucedida entre a VM que executa o Self-Hosted Integration Runtime e a fila de blobs gerenciada do Microsoft Purview ou os Hubs de Eventos configurados por meio da porta 443 e endereços IP privados (etapa 8 acima).)

Problema

Você pode receber a seguinte mensagem de erro ao executar uma nova verificação:

message: Unable to setup config overrides for this scan. Exception:'Type=Microsoft.WindowsAzure.Storage.StorageException,Message=The remote server returned an error: (404) Not Found.,Source=Microsoft.WindowsAzure.Storage,StackTrace= at Microsoft.WindowsAzure.Storage.Core.Executor.Executor.EndExecuteAsync[T](IAsyncResult result)

Motivo

Isso pode ser uma indicação de executar uma versão mais antiga do runtime de integração auto-hospedada. Você precisará usar o runtime de integração auto-hospedada versão 5.9.7885.3 ou superior.

Solução

Atualize o runtime de integração auto-hospedada para 5.9.7885.3.

Problema

Falha na conta do Microsoft Purview com implantação de ponto de extremidade privado com Azure Policy erro de validação durante a implantação.

Motivo

Esse erro sugere que pode haver uma atribuição de Azure Policy existente em sua assinatura do Azure que está impedindo a implantação de qualquer um dos recursos necessários do Azure.

Solução

Examine suas atribuições de Azure Policy existentes e verifique se a implantação dos recursos do Azure a seguir são permitidas em sua assinatura do Azure.

Observação

Dependendo do cenário, talvez seja necessário implantar um ou mais dos seguintes tipos de recursos do Azure:

  • Microsoft Purview (Microsoft.Purview/Accounts)
  • Ponto de Extremidade Privado (Microsoft.Network/privateEndpoints)
  • Zonas DNS privado (Microsoft.Network/privateDnsZones)
  • Espaço de Nome do Hub de Eventos (Microsoft.EventHub/namespaces)
  • Conta de armazenamento (Microsoft.Storage/storageAccounts)

Problema

Não está autorizado a acessar essa conta do Microsoft Purview. Essa conta do Microsoft Purview está por trás de um ponto de extremidade privado. Acesse a conta de um cliente na mesma VNet (rede virtual) que foi configurada para o ponto de extremidade privado da conta do Microsoft Purview.

Motivo

O usuário está tentando se conectar ao Microsoft Purview a partir de um ponto de extremidade público ou usando pontos de extremidade públicos do Microsoft Purview em que o acesso à rede pública está definido como Negar.

Solução

Nesse caso, para abrir o portal de governança do Microsoft Purview, use uma máquina implantada na mesma rede virtual que o ponto de extremidade privado do portal de governança do Microsoft Purview ou use uma VM conectada à Sua CorpNet na qual a conectividade híbrida é permitida.

Problema

Você pode receber a seguinte mensagem de erro ao examinar um SQL Server usando um runtime de integração auto-hospedado:

Message=This implementation is not part of the Windows Platform FIPS validated cryptographic algorithms

Motivo

O computador de runtime de integração auto-hospedada habilitou o modo FIPS. O FIPS (Federal Information Processing Standards) define um determinado conjunto de algoritmos criptográficos que podem ser usados. Quando o modo FIPS é habilitado no computador, algumas classes criptográficas das quais os processos invocados dependem são bloqueadas em alguns cenários.

Solução

Desabilite o modo FIPS no servidor de integração auto-hospedado.

Próximas etapas

Se o problema não estiver listado neste artigo ou não puder resolve-lo, obtenha suporte visitando um dos seguintes canais:

  • Obtenha respostas de especialistas por meio do Microsoft Q&A.
  • Conecte-se com @AzureSupport. Este recurso oficial do Microsoft Azure no Twitter ajuda a melhorar a experiência do cliente conectando a comunidade do Azure às respostas, suporte e especialistas certos.
  • Se você ainda precisar de ajuda, acesse o site Suporte do Azure e selecione Enviar uma solicitação de suporte.