有关 Microsoft Purview 专用终结点和托管 VNet 的常见问题解答
本文解答了客户和现场团队经常提出的有关使用 Azure 专用链接 或 Microsoft Purview 托管 VNet 配置 Microsoft Purview 网络配置的常见问题。 它旨在阐明有关 Microsoft Purview 防火墙设置、专用终结点、DNS 配置和相关配置的问题。
若要使用 专用链接设置 Microsoft Purview,请参阅为 Microsoft Purview 帐户使用专用终结点。 若要为 Microsoft Purview 帐户配置托管 VNet,请参阅 将托管 VNet 与 Microsoft Purview 帐户配合使用。
常见问题
查看以下常见问题的解答。
何时应使用自承载集成运行时或托管 IR?
在以下的情况下使用托管 IR:
- Microsoft Purview 帐户部署在 托管 VNet 支持的区域之一。
- 你正计划扫描托管 IR 支持的任何 数据源 。
在以下的情况下使用自承载集成运行时:
- 你计划扫描 Azure IaaS、专用网络后面的 SaaS 服务或本地网络中的数据源。
- 托管 VNet 在部署 Microsoft Purview 帐户的区域不可用。
- 你计划扫描未在 托管 VNet IR 支持的源下列出的任何源。
是否可以在 Microsoft Purview 帐户内同时使用自承载集成运行时和托管 IR?
能。 可以在单个 Microsoft Purview 帐户中使用一个或所有运行时选项:Azure IR、托管 IR 和自承载集成运行时。 在单个扫描中只能使用一个运行时选项。
部署 Microsoft Purview 帐户专用终结点的用途是什么?
Microsoft Purview 帐户专用终结点用于通过启用仅允许从虚拟网络中发起的客户端调用访问帐户的方案来添加另一层安全层。 此专用终结点也是门户专用终结点的先决条件。
部署 Microsoft Purview 门户专用终结点的用途是什么?
Microsoft Purview 门户专用终结点提供与 Microsoft Purview 治理门户的专用连接。
部署 Microsoft Purview 引入专用终结点的目的是什么?
Microsoft Purview 可以使用引入专用终结点扫描 Azure 或本地环境中的数据源。 创建引入专用终结点时,将部署其他三个专用终结点资源并将其链接到 Microsoft Purview 托管或配置的资源:
- Blob 链接到 Microsoft Purview 托管存储帐户。
- 队列 链接到 Microsoft Purview 托管存储帐户。
- 命名空间 链接到 Microsoft Purview 配置的事件中心命名空间。
如果 Microsoft Purview 帐户上启用了专用终结点,是否可以通过公共终结点扫描数据源?
能。 当 Microsoft Purview 配置为使用专用终结点时,可以使用公共终结点扫描未通过专用终结点连接的数据源。
如果启用了专用终结点,是否可以通过服务终结点扫描数据源?
能。 当 Microsoft Purview 配置为使用专用终结点时,可以使用服务终结点扫描未通过专用终结点连接的数据源。
请确保启用 “允许受信任的 Microsoft 服务 访问 Azure 中数据源资源的服务终结点配置”中的资源。 例如,如果要扫描防火墙和虚拟网络设置设置为所选网络的Azure Blob 存储,请确保选中“允许受信任的 Microsoft 服务访问此存储帐户”复选框作为例外。
是否可以使用托管 IR 通过公共终结点扫描数据源?
能。 如果托管 VNet 支持数据源。 作为先决条件,需要为数据源部署托管专用终结点。
是否可以使用托管 IR 通过服务终结点扫描数据源?
能。 如果托管 VNet 支持数据源。 作为先决条件,需要为数据源部署托管专用终结点。
如果在 Microsoft Purview 帐户网络中将“公用网络访问”设置为“拒绝”,是否可以从公用网络访问 Microsoft Purview 治理门户?
否。 从公共终结点连接到 Microsoft Purview,其中 公用网络访问 设置为 “拒绝” 会导致以下错误消息:
“无权访问此 Microsoft Purview 帐户。 此 Microsoft Purview 帐户位于专用终结点后面。 请从为 Microsoft Purview 帐户的专用终结点配置的同一虚拟网络 (VNet) 中的客户端访问帐户。”
在这种情况下,若要打开 Microsoft Purview 治理门户,请使用部署在与 Microsoft Purview 门户专用终结点相同的虚拟网络中的计算机,或使用连接到允许混合连接的公司网络的 VM。
是否可以限制对 Microsoft Purview 托管存储帐户和事件中心命名空间的访问 (,以便仅) 对专用终结点引入进行访问,但保持对 Web 上的用户启用门户访问?
能。 可以将 Microsoft Purview 防火墙设置配置为“仅 (预览版) 引入禁用”。 通过选择此选项,将允许通过 API 和 Microsoft Purview 治理门户对 Microsoft Purview 帐户进行公用网络访问,但在 Microsoft Purview 帐户的托管存储帐户和事件中心上,公用网络访问设置为禁用。
如果公用网络访问设置为“允许”,是否意味着任何人都可以访问托管存储帐户和事件中心命名空间?
否。 作为受保护的资源,只能使用 RBAC 身份验证方案访问 Microsoft Purview 托管存储帐户和事件中心命名空间。 这些资源部署时会向所有主体分配拒绝,从而阻止任何应用程序、用户或组访问它们。
若要详细了解 Azure 拒绝分配,请参阅 了解 Azure 拒绝分配。
使用专用终结点时支持的身份验证类型有哪些?
取决于 Azure 密钥保管库中存储的数据源类型(例如 SQL 身份验证、Windows 身份验证、基本身份验证、服务主体等)支持的身份验证类型。 无法使用 MSI。
使用托管 IR 时支持哪些身份验证类型?
取决于 Azure 密钥保管库 或 MSI 中存储的数据源类型(例如 SQL 身份验证、Windows 身份验证、基本身份验证、服务主体等)支持的身份验证类型。
专用终结点的 Microsoft Purview 需要哪些专用 DNS 区域?
对于 Microsoft Purview 帐户 和 门户 专用终结点:
privatelink.purview.azure.com
对于 Microsoft Purview 引入 专用终结点:
privatelink.blob.core.windows.netprivatelink.queue.core.windows.netprivatelink.servicebus.windows.net
部署 Microsoft Purview 专用终结点时,是否必须使用专用虚拟网络和专用子网?
否。 但是,在部署专用终结点之前, PrivateEndpointNetworkPolicies 必须在目标子网中禁用。 如果计划跨界扫描数据源,请考虑将 Microsoft Purview 部署到虚拟网络中,该虚拟网络通过 VNet 对等互连连接到数据源虚拟网络,并访问本地网络。
详细了解 如何禁用专用终结点的网络策略。
是否可以部署 Microsoft Purview 专用终结点并使用订阅中的现有专用 DNS 区域来注册 A 记录?
能。 专用终结点 DNS 区域可以集中在中心或数据管理订阅中,用于 Microsoft Purview 所需的所有内部 DNS 区域和所有数据源记录。 建议使用此方法,以允许 Microsoft Purview 使用数据源的专用终结点内部 IP 地址解析数据源。
还需要为现有专用 DNS 区域的虚拟网络设置虚拟网络 链接 。
是否可以使用 Azure 集成运行时通过专用终结点扫描数据源?
否。 必须部署和注册自承载集成运行时,才能使用专用连接扫描数据。 必须将 Azure 密钥保管库或服务主体用作数据源的身份验证方法。
是否可以使用托管 IR 通过专用终结点扫描数据源?
如果计划使用托管 IR 扫描任何受支持的数据源,则数据源需要在 Microsoft Purview 托管 VNet 中创建托管专用终结点。 有关详细信息,请参阅 Microsoft Purview 托管 VNet。
使用专用终结点时,具有 Microsoft Purview 自承载集成运行时的虚拟机的出站端口和防火墙要求是什么?
部署自承载集成运行时的 VM 必须通过端口 443 对 Azure 终结点和 Microsoft Purview 专用 IP 地址具有出站访问权限。
如果启用了专用终结点,是否需要从运行自承载集成运行时的虚拟机启用出站 Internet 访问?
否。 但是,预计运行自承载集成运行时的虚拟机可以使用端口 443 通过内部 IP 地址连接到 Microsoft Purview 实例。 使用常见的故障排除工具进行名称解析和连接测试,例如 nslookup.exe 和 Test-NetConnection。
如果我使用的是托管 VNet,是否仍需要为我的 Microsoft Purview 帐户部署专用终结点?
如果 Microsoft Purview 帐户中的公共访问设置为 拒绝,则至少需要一个帐户和门户专用终结点。 如果 Microsoft Purview 帐户中的公共访问设置为 拒绝 ,并且你计划使用自承载集成运行时扫描其他数据源,则至少需要一个帐户、门户和引入专用终结点。
允许通过 Microsoft Purview 托管 VNet 的公共终结点进行哪些入站和出站通信?
不允许从公用网络进入托管 VNet 的入站通信。 将打开所有端口进行出站通信。 在 Microsoft Purview 中,可以使用托管 VNet 以私密方式连接到 Azure 数据源,以在扫描期间提取元数据。
尝试从计算机启动 Microsoft Purview 治理门户时,为什么会收到以下错误消息?
“此 Microsoft Purview 帐户位于专用终结点后面。 请从为 Microsoft Purview 帐户的专用终结点配置的同一虚拟网络 (VNet) 中的客户端访问帐户。”
可能是使用 专用链接部署 Microsoft Purview 帐户,并且已在 Microsoft Purview 帐户上禁用公共访问。 因此,必须从与 Microsoft Purview 建立内部网络连接的虚拟机浏览 Microsoft Purview 治理门户。
如果要从混合网络后面的 VM 连接或使用连接到虚拟网络的跳转计算机进行连接,请使用常见的故障排除工具来进行名称解析和连接测试,例如 nslookup.exe 和 Test-NetConnection。
验证是否可以通过 Microsoft Purview 帐户的专用 IP 地址解析以下地址。
Web.Purview.Azure.com<YourPurviewAccountName>.Purview.Azure.com
使用以下 PowerShell 命令验证与 Microsoft Purview 帐户的网络连接:
Test-NetConnection -ComputerName <YourPurviewAccountName>.Purview.Azure.com -Port 443如果使用自己的 DNS 解析基础结构,请验证跨界 DNS 配置。
有关专用终结点的 DNS 设置的详细信息,请参阅 Azure 专用终结点 DNS 配置。
是否可以将与 Microsoft Purview 帐户或其托管资源关联的专用终结点移到另一个 Azure 订阅或资源组?
否。 不支持对帐户、门户或引入专用终结点执行移动操作。 有关详细信息,请参阅 将网络资源移动到新的资源组或订阅。
后续步骤
若要使用 专用链接设置 Microsoft Purview,请参阅为 Microsoft Purview 帐户使用专用终结点。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈