Настройка и проверка разрешения DNS-имен для частных конечных точек Microsoft Purview
Концептуальный обзор
Точное разрешение имен является критически важным требованием при настройке частных конечных точек для учетных записей Microsoft Purview.
Вам может потребоваться включить внутреннее разрешение имен в параметрах DNS, чтобы разрешить IP-адреса частной конечной точки в полное доменное имя (FQDN) из источников данных, а компьютер управления — в учетную запись Microsoft Purview и локальную среду выполнения интеграции в зависимости от развертываемых сценариев.
В следующем примере показано разрешение DNS-имен Microsoft Purview за пределами виртуальной сети или в случае, если частная конечная точка Azure не настроена.
В следующем примере показано разрешение DNS-имен Microsoft Purview из виртуальной сети.
Варианты развертывания
Используйте любой из следующих параметров, чтобы настроить внутреннее разрешение имен при использовании частных конечных точек для учетной записи Microsoft Purview:
- Развертывание новых зон Частная зона DNS Azure в среде Azure в рамках развертывания частной конечной точки. (параметр по умолчанию)
- Используйте существующие зоны Частная зона DNS Azure. Используйте этот параметр, если вы используете частную конечную точку в звездообразной модели из другой подписки или даже в той же подписке.
- Используйте собственные DNS-серверы, если вы не используете DNS-серверы пересылки и вместо этого управляете записями A непосредственно на локальных DNS-серверах.
Вариант 1. Развертывание новых зон Частная зона DNS Azure
Развертывание новых зон Частная зона DNS Azure
Чтобы включить внутреннее разрешение имен, можно развернуть необходимые зоны Azure DNS в подписке Azure, где развернута учетная запись Microsoft Purview.
При создании частных конечных точек приема, портала и учетной записи записи ресурсов DNS CNAME для Microsoft Purview автоматически обновляются до псевдонима в нескольких поддоменах с префиксом privatelink:
По умолчанию во время развертывания частной конечной точки учетной записи Для учетной записи Microsoft Purview мы также создаем частную зону DNS , соответствующую
privatelinkподдомену для Microsoft Purview, включаяprivatelink.purview.azure.comзаписи ресурсов DNS A для частных конечных точек.Во время развертывания частной конечной точки портала для учетной записи Microsoft Purview мы также создаем новую частную зону DNS, которая соответствует
privatelinkподдомену для Microsoft Purview, включаяprivatelink.purviewstudio.azure.comзаписи ресурсов DNS A для Веб-сайта.Если включить частные конечные точки приема, для управляемых или настроенных ресурсов требуются дополнительные зоны DNS.
В следующей таблице показан пример зон Частная зона DNS Azure и записей A DNS, которые развертываются в рамках настройки частной конечной точки для учетной записи Microsoft Purview, если во время развертывания вы включили интеграцию Частная зона DNS.
| Частная конечная точка | Частная конечная точка, связанная с | Зона DNS (новая) | Запись (пример) |
|---|---|---|---|
| Счет | Microsoft Purview | privatelink.purview.azure.com |
Contoso-Purview |
| Портал | Microsoft Purview | privatelink.purviewstudio.azure.com |
Web |
| Приеме внутрь | Управляемая учетная запись хранения Microsoft Purview — BLOB-объект | privatelink.blob.core.windows.net |
scaneastusabcd1234 |
| Приеме внутрь | Управляемая учетная запись хранения Microsoft Purview — очередь | privatelink.queue.core.windows.net |
scaneastusabcd1234 |
| Приеме внутрь | Управляемая учетная запись хранения Microsoft Purview — концентратор событий | privatelink.servicebus.windows.net |
atlas-12345678-1234-1234-abcd-123456789abc |
Проверка каналов виртуальной сети в Зонах Частная зона DNS Azure
После завершения развертывания частной конечной точки убедитесь, что во всех соответствующих зонах Azure Частная зона DNS есть канал виртуальной сети Azure, в которой развернута частная конечная точка.
Дополнительные сведения см. в статье Настройка DNS частной конечной точки Azure.
Проверка разрешения внутренних имен
При разрешении URL-адреса конечной точки Microsoft Purview за пределами виртуальной сети с частной конечной точкой он разрешается в общедоступную конечную точку Microsoft Purview. При разрешении из виртуальной сети, где размещена частная конечная точка, URL-адрес конечной точки Microsoft Purview разрешается в IP-адрес частной конечной точки.
Например, если имя учетной записи Microsoft Purview — Contoso-Purview, то при разрешении из-за пределов виртуальной сети, в котором размещена частная конечная точка, это будет:
| Имя | Тип | Значение |
|---|---|---|
Contoso-Purview.purview.azure.com |
CNAME | Contoso-Purview.privatelink.purview.azure.com |
Contoso-Purview.privatelink.purview.azure.com |
CNAME | <Общедоступная конечная точка Microsoft Purview> |
| <Общедоступная конечная точка Microsoft Purview> | A | <Общедоступный IP-адрес Microsoft Purview> |
Web.purview.azure.com |
CNAME | <Общедоступная конечная точка портала управления Microsoft Purview> |
Записи ресурсов DNS для Contoso-Purview при разрешении в виртуальной сети, в котором размещена частная конечная точка, будут следующими:
| Имя | Тип | Значение |
|---|---|---|
Contoso-Purview.purview.azure.com |
CNAME | Contoso-Purview.privatelink.purview.azure.com |
Contoso-Purview.privatelink.purview.azure.com |
A | <IP-адрес частной конечной точки учетной записи Microsoft Purview> |
Web.purview.azure.com |
CNAME | <IP-адрес частной конечной точки портала Microsoft Purview> |
Вариант 2. Использование существующих зон Частная зона DNS Azure
Использование существующих зон Частная зона DNS Azure
Во время развертывания частных конечных точек Microsft Purview можно выбрать Частная зона DNS интеграцию с помощью существующих Частная зона DNS зон Azure. Это распространенный случай для организаций, где частная конечная точка используется для других служб в Azure. В этом случае во время развертывания частных конечных точек необходимо выбрать существующие зоны DNS вместо создания новых.
Этот сценарий также применяется, если ваша организация использует центральную или центральную подписку для всех зон Частная зона DNS Azure.
В следующем списке показаны необходимые зоны Azure DNS и записи A для частных конечных точек Microsoft Purview:
Примечание.
Обновите все имена с Contoso-Purviewпомощью иscaneastusabcd1234atlas-12345678-1234-1234-abcd-123456789abc соответствующего имени ресурсов Azure в вашей среде. Например, вместо имени управляемой scaneastusabcd1234 учетной записи хранения Microsoft Purview.
| Частная конечная точка | Частная конечная точка, связанная с | Зона DNS (существующая) | Запись (пример) |
|---|---|---|---|
| Счет | Microsoft Purview | privatelink.purview.azure.com |
Contoso-Purview |
| Портал | Microsoft Purview | privatelink.purviewstudio.azure.com |
Web |
| Приеме внутрь | Управляемая учетная запись хранения Microsoft Purview — BLOB-объект | privatelink.blob.core.windows.net |
scaneastusabcd1234 |
| Приеме внутрь | Управляемая учетная запись хранения Microsoft Purview — очередь | privatelink.queue.core.windows.net |
scaneastusabcd1234 |
| Приеме внутрь | Управляемая учетная запись хранения Microsoft Purview — концентратор событий | privatelink.servicebus.windows.net |
atlas-12345678-1234-1234-abcd-123456789abc |
Дополнительные сведения см. в статье Рабочие нагрузки виртуальной сети без пользовательского DNS-сервера и локальные рабочие нагрузки с использованием DNS-сервера пересылки вконфигурации DNS частной конечной точки Azure.
Проверка связей виртуальной сети в Зонах Частная зона DNS Azure
После завершения развертывания частной конечной точки убедитесь, что во всех соответствующих зонах Azure Частная зона DNS есть канал виртуальной сети Azure, в которой развернута частная конечная точка.
Дополнительные сведения см. в статье Настройка DNS частной конечной точки Azure.
Настройка dns-серверов пересылки, если используется пользовательская служба DNS
Кроме того, необходимо проверить конфигурации DNS в виртуальной сети Azure, где расположена локальная виртуальная машина среды выполнения интеграции или компьютер управления.
Если настроено значение По умолчанию, дальнейшие действия на этом шаге не требуются.
Если используется пользовательский DNS-сервер, необходимо добавить соответствующие DNS-серверы пересылки внутри DNS-серверов для следующих зон:
- Purview.azure.com
- purviewstudio.azure.com
- Blob.core.windows.net
- Queue.core.windows.net
- Servicebus.windows.net
Проверка разрешения внутренних имен
При разрешении URL-адреса конечной точки Microsoft Purview за пределами виртуальной сети с частной конечной точкой он разрешается в общедоступную конечную точку Microsoft Purview. При разрешении из виртуальной сети, где размещена частная конечная точка, URL-адрес конечной точки Microsoft Purview разрешается в IP-адрес частной конечной точки.
Например, если имя учетной записи Microsoft Purview — Contoso-Purview, то при разрешении из-за пределов виртуальной сети, в котором размещена частная конечная точка, это будет:
| Имя | Тип | Значение |
|---|---|---|
Contoso-Purview.purview.azure.com |
CNAME | Contoso-Purview.privatelink.purview.azure.com |
Contoso-Purview.privatelink.purview.azure.com |
CNAME | <Общедоступная конечная точка Microsoft Purview> |
| <Общедоступная конечная точка Microsoft Purview> | A | <Общедоступный IP-адрес Microsoft Purview> |
Web.purview.azure.com |
CNAME | <Общедоступная конечная точка портала управления Microsoft Purview> |
Записи ресурсов DNS для Contoso-Purview при разрешении в виртуальной сети, в котором размещена частная конечная точка, будут следующими:
| Имя | Тип | Значение |
|---|---|---|
Contoso-Purview.purview.azure.com |
CNAME | Contoso-Purview.privatelink.purview.azure.com |
Contoso-Purview.privatelink.purview.azure.com |
A | <IP-адрес частной конечной точки учетной записи Microsoft Purview> |
Web.purview.azure.com |
CNAME | <IP-адрес частной конечной точки портала Microsoft Purview> |
Вариант 3. Использование собственных DNS-серверов
Если вы не используете DNS-серверы пересылки и вместо этого управляете записями A непосредственно на локальных DNS-серверах для разрешения конечных точек через их частные IP-адреса, может потребоваться создать следующие записи A на DNS-серверах.
Примечание.
Обновите все имена с Contoso-Purviewпомощью иscaneastusabcd1234atlas-12345678-1234-1234-abcd-123456789abc соответствующего имени ресурсов Azure в вашей среде. Например, вместо имени управляемой scaneastusabcd1234 учетной записи хранения Microsoft Purview.
| Имя | Тип | Значение |
|---|---|---|
web.purview.azure.com |
A | <IP-адрес частной конечной точки портала Microsoft Purview> |
scaneastusabcd1234.blob.core.windows.net |
A | <IP-адрес частной конечной точки приема больших двоичных объектов Microsoft Purview> |
scaneastusabcd1234.queue.core.windows.net |
A | <IP-адрес частной конечной точки приема очереди Microsoft Purview> |
atlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net |
A | <IP-адрес частной конечной точки приема имен Microsoft Purview> |
Contoso-Purview.Purview.azure.com |
A | <IP-адрес частной конечной точки учетной записи Microsoft Purview> |
Contoso-Purview.scan.Purview.azure.com |
A | <IP-адрес частной конечной точки учетной записи Microsoft Purview> |
Contoso-Purview.catalog.Purview.azure.com |
A | <IP-адрес частной конечной точки учетной записи Microsoft Purview> |
Contoso-Purview.proxy.purview.azure.com |
A | <IP-адрес частной конечной точки учетной записи Microsoft Purview> |
Contoso-Purview.guardian.purview.azure.com |
A | <IP-адрес частной конечной точки учетной записи Microsoft Purview> |
gateway.purview.azure.com |
A | <IP-адрес частной конечной точки учетной записи Microsoft Purview> |
insight.prod.ext.web.purview.azure.com |
A | <IP-адрес частной конечной точки портала Microsoft Purview> |
manifest.prod.ext.web.purview.azure.com |
A | <IP-адрес частной конечной точки портала Microsoft Purview> |
cdn.prod.ext.web.purview.azure.com |
A | <IP-адрес частной конечной точки портала Microsoft Purview> |
hub.prod.ext.web.purview.azure.com |
A | <IP-адрес частной конечной точки портала Microsoft Purview> |
catalog.prod.ext.web.purview.azure.com |
A | <IP-адрес частной конечной точки портала Microsoft Purview> |
cseo.prod.ext.web.purview.azure.com |
A | <IP-адрес частной конечной точки портала Microsoft Purview> |
datascan.prod.ext.web.purview.azure.com |
A | <IP-адрес частной конечной точки портала Microsoft Purview> |
datashare.prod.ext.web.purview.azure.com |
A | <IP-адрес частной конечной точки портала Microsoft Purview> |
datasource.prod.ext.web.purview.azure.com |
A | <IP-адрес частной конечной точки портала Microsoft Purview> |
policy.prod.ext.web.purview.azure.com |
A | <IP-адрес частной конечной точки портала Microsoft Purview> |
sensitivity.prod.ext.web.purview.azure.com |
A | <IP-адрес частной конечной точки портала Microsoft Purview> |
web.privatelink.purviewstudio.azure.com |
A | <IP-адрес частной конечной точки портала Microsoft Purview> |
workflow.prod.ext.web.purview.azure.com |
A | <IP-адрес частной конечной точки портала Microsoft Purview> |
Проверка разрешения имен и подключения теста DNS
Если вы используете Зоны Частная зона DNS Azure, убедитесь, что в подписке Azure созданы следующие зоны DNS и соответствующие записи A:
Частная конечная точка Частная конечная точка, связанная с Зона DNS Запись )(пример) Счет Microsoft Purview privatelink.purview.azure.comContoso-Purview Портал Microsoft Purview privatelink.purviewstudio.azure.comWeb Приеме внутрь Управляемая учетная запись хранения Microsoft Purview — BLOB-объект privatelink.blob.core.windows.netscaneastusabcd1234 Приеме внутрь Управляемая учетная запись хранения Microsoft Purview — очередь privatelink.queue.core.windows.netscaneastusabcd1234 Приеме внутрь Центры событий, настроенные в Microsoft Purview— Концентратор событий privatelink.servicebus.windows.netatlas-12345678-1234-1234-abcd-123456789abc Создайте каналы виртуальной сети в зонах azure Частная зона DNS для виртуальных сетей Azure, чтобы разрешить внутреннее разрешение имен.
С компьютера управления и локальной виртуальной машины среды выполнения интеграции проверьте разрешение имен и сетевое подключение к учетной записи Microsoft Purview с помощью таких средств, как Nslookup.exe и PowerShell.
Чтобы проверить разрешение имен, необходимо разрешить следующие полные доменные имена через частные IP-адреса: (Вместо Contoso-Purview, scaneastusabcd1234 или atlas-12345678-1234-1234-1234-abcd-123456789abc используйте имя узла, связанное с именем учетной записи purview и управляемыми или настроенными именами ресурсов).
Contoso-Purview.purview.azure.comweb.purview.azure.comscaneastusabcd1234.blob.core.windows.netscaneastusabcd1234.queue.core.windows.netatlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net
Чтобы проверить сетевое подключение, на виртуальной машине локальной среды выполнения интеграции можно запустить консоль PowerShell и проверить подключение с помощью Test-NetConnection.
Необходимо разрешить каждую конечную точку с помощью частной конечной точки и получить значение TcpTestSucceededed с значением True. (Вместо Contoso-Purview, scaneastusabcd1234 или atlas-12345678-1234-1234-abcd-123456789abc, используйте имя узла, связанное с именем учетной записи purview и управляемыми или настроенными именами ресурсов)
Test-NetConnection -ComputerName Contoso-Purview.purview.azure.com -port 443Test-NetConnection -ComputerName web.purview.azure.com -port 443Test-NetConnection -ComputerName scaneastusabcd1234.blob.core.windows.net -port 443Test-NetConnection -ComputerName scaneastusabcd1234.queue.core.windows.net -port 443Test-NetConnection -ComputerName atlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net -port 443