分享方式:


設定及驗證 Microsoft Purview 私人端點的 DNS 名稱解析

Conceptual overview

為您的 Microsoft Purview 帳戶設定私人端點時,正確名稱解析是很重要的需求。

您可能需要在 DNS 設定中啟用內部名稱解析,才能將私人端點 IP 位址解析為完整的功能變數名稱, (FQDN) 從資料來源和管理電腦到 Microsoft Purview 帳戶,以及自我裝載整合執行時間,視您要部署的案例而定。

下列範例顯示從虛擬網路外部或未設定 Azure 私人端點時的 Microsoft Purview DNS 名稱解析。

顯示來自 CorpNet 外部之 Microsoft Purview 名稱解析的螢幕擷取畫面。

下列範例顯示虛擬網路內的 Microsoft Purview DNS 名稱解析。

顯示來自 CorpNet 內部 Microsoft Purview 名稱解析的螢幕擷取畫面。

部署選項

使用 Microsoft Purview 帳戶的私人端點時,請使用下列任何選項來設定內部名稱解析:

選項 1 - 部署新的 Azure 私用 DNS 區域

部署新的 Azure 私用 DNS 區域

若要啟用內部名稱解析,您可以在部署 Microsoft Purview 帳戶的 Azure 訂用帳戶內部署必要的 Azure DNS 區域。

顯示 DNS 區域的螢幕擷取畫面。

當您建立擷取、入口網站和帳戶私人端點時,Microsoft Purview 的 DNS CNAME 資源記錄會自動更新為具有 前置詞 privatelink 之少數子域中的別名:

  • 根據預設,在部署 Microsoft Purview 帳戶的帳戶 私人端點期間,我們也會建立 私人 DNS 區域 ,其對應至 privatelink Microsoft Purview 的子域,包括 privatelink.purview.azure.com 私人端點的 DNS A 資源記錄。

  • 在部署 Microsoft Purview 帳戶的入口 網站 私人端點期間,我們也會建立新的私人 DNS 區域,其對應至 privatelink Microsoft Purview 的子域,包括 privatelink.purviewstudio.azure.comWeb的 DNS A 資源記錄。

  • 如果您啟用擷取私人端點,則受控或設定的資源需要額外的 DNS 區域。

下表顯示 Azure 私用 DNS區域和 DNS A 記錄的範例,如果您在部署期間啟用私用 DNS整合,這些區域和 DNS A 記錄會部署為 Microsoft Purview 帳戶私人端點設定的一部分:

私人端點 與 相關聯的私人端點 新) (DNS 區域 記錄 (範例)
帳戶 Microsoft Purview privatelink.purview.azure.com Contoso-Purview
入口網站 Microsoft Purview privatelink.purviewstudio.azure.com 網址
攝入 Microsoft Purview 受控儲存體帳戶 - Blob privatelink.blob.core.windows.net scaneastusabcd1234
攝入 Microsoft Purview 管理的儲存體帳戶 - 佇列 privatelink.queue.core.windows.net scaneastusabcd1234
攝入 Microsoft Purview 管理的儲存體帳戶 - 事件中樞 privatelink.servicebus.windows.net atlas-12345678-1234-1234-abcd-123456789abc

私人端點部署完成後,請確定所有對應的 Azure 私用 DNS區域上都有虛擬網路連結,可連線到已部署私人端點的 Azure 虛擬網路。

顯示 DNS 區域上虛擬網路連結的螢幕擷取畫面。

如需詳細資訊,請參閱 Azure 私人端點 DNS 設定

驗證內部名稱解析

當您使用私人端點從虛擬網路外部解析 Microsoft Purview 端點 URL 時,它會解析為 Microsoft Purview 的公用端點。 從裝載私人端點的虛擬網路解析時,Microsoft Purview 端點 URL 會解析為私人端點的 IP 位址。

例如,如果 Microsoft Purview 帳戶名稱為 'Contoso-Purview',則從裝載私人端點的虛擬網路外部解析時,會是:

名稱 Type Value (值)
Contoso-Purview.purview.azure.com CNAME Contoso-Purview.privatelink.purview.azure.com
Contoso-Purview.privatelink.purview.azure.com CNAME <Microsoft Purview 公用端點>
<Microsoft Purview 公用端點> A <Microsoft Purview 公用 IP 位址>
Web.purview.azure.com CNAME <Microsoft Purview 治理入口網站公用端點>

Contoso-Purview 的 DNS 資源記錄在裝載私人端點的虛擬網路中解析時,將會是:

名稱 Type Value (值)
Contoso-Purview.purview.azure.com CNAME Contoso-Purview.privatelink.purview.azure.com
Contoso-Purview.privatelink.purview.azure.com A <Microsoft Purview 帳戶私人端點 IP 位址>
Web.purview.azure.com CNAME <Microsoft Purview 入口網站私人端點 IP 位址>

選項 2 - 使用現有的 Azure 私用 DNS 區域

使用現有的 Azure 私用 DNS區域

在部署 Microsft Purview 私人端點期間,您可以選擇使用現有的 Azure 私用 DNS 區域私用 DNS整合。 對於在 Azure 中用於其他服務的私人端點的組織而言,這是常見的情況。 在此情況下,在部署私人端點期間,請務必選取現有的 DNS 區域,而不是建立新的 DNS 區域。

如果您的組織針對所有 Azure 私用 DNS 區域使用中央或中樞訂用帳戶,也適用此案例。

下列清單顯示 Microsoft Purview 私人端點所需的 Azure DNS 區域和 A 記錄:

注意事項

使用 Contoso-Purview 環境中對應的 Azure 資源名稱, scaneastusabcd1234atlas-12345678-1234-1234-abcd-123456789abc 以 更新所有名稱。 例如,不要 scaneastusabcd1234 使用 Microsoft Purview 受控儲存體帳戶的名稱。

私人端點 與 相關聯的私人端點 現有) (DNS 區域 記錄 (範例)
帳戶 Microsoft Purview privatelink.purview.azure.com Contoso-Purview
入口網站 Microsoft Purview privatelink.purviewstudio.azure.com 網址
攝入 Microsoft Purview 受控儲存體帳戶 - Blob privatelink.blob.core.windows.net scaneastusabcd1234
攝入 Microsoft Purview 管理的儲存體帳戶 - 佇列 privatelink.queue.core.windows.net scaneastusabcd1234
攝入 Microsoft Purview 管理的儲存體帳戶 - 事件中樞 privatelink.servicebus.windows.net atlas-12345678-1234-1234-abcd-123456789abc

顯示 Microsoft Purview 名稱解析的圖表

如需詳細資訊,請參閱在Azure 私人端點 DNS設定中使用 DNS 轉寄站案例,而沒有自訂 DNS 伺服器的虛擬網路工作負載和內部部署工作負載。

私人端點部署完成後,請確定所有對應的 Azure 私用 DNS區域上都有虛擬網路連結,可連線到已部署私人端點的 Azure 虛擬網路。

顯示 DNS 區域上虛擬網路連結的螢幕擷取畫面。

如需詳細資訊,請參閱 Azure 私人端點 DNS 設定

如果使用自訂 DNS,請設定 DNS 轉寄站

此外,您必須在自我裝載整合執行時間 VM 或管理電腦所在的 Azure 虛擬網路上驗證您的 DNS 設定。

顯示 Azure 虛擬網路自訂 DNS 的圖表

  • 如果設定為 [預設],則此步驟不需要採取任何進一步的動作。

  • 如果使用自訂 DNS 伺服器,您應該在下欄區域的 DNS 伺服器內新增對應的 DNS 轉寄站:

    • Purview.azure.com
    • purviewstudio.azure.com
    • Blob.core.windows.net
    • Queue.core.windows.net
    • Servicebus.windows.net

驗證內部名稱解析

當您使用私人端點從虛擬網路外部解析 Microsoft Purview 端點 URL 時,它會解析為 Microsoft Purview 的公用端點。 從裝載私人端點的虛擬網路解析時,Microsoft Purview 端點 URL 會解析為私人端點的 IP 位址。

例如,如果 Microsoft Purview 帳戶名稱為 'Contoso-Purview',則從裝載私人端點的虛擬網路外部解析時,會是:

名稱 Type Value (值)
Contoso-Purview.purview.azure.com CNAME Contoso-Purview.privatelink.purview.azure.com
Contoso-Purview.privatelink.purview.azure.com CNAME <Microsoft Purview 公用端點>
<Microsoft Purview 公用端點> A <Microsoft Purview 公用 IP 位址>
Web.purview.azure.com CNAME <Microsoft Purview 治理入口網站公用端點>

Contoso-Purview 的 DNS 資源記錄在裝載私人端點的虛擬網路中解析時,將會是:

名稱 Type Value (值)
Contoso-Purview.purview.azure.com CNAME Contoso-Purview.privatelink.purview.azure.com
Contoso-Purview.privatelink.purview.azure.com A <Microsoft Purview 帳戶私人端點 IP 位址>
Web.purview.azure.com CNAME <Microsoft Purview 入口網站私人端點 IP 位址>

選項 3 - 使用您自己的 DNS 伺服器

如果您不使用 DNS 轉寄站,而是直接在內部部署 DNS 伺服器中管理 A 記錄,以透過其私人 IP 位址解析端點,您可能需要在 DNS 伺服器中建立下列 A 記錄。

注意事項

使用 Contoso-Purview 環境中對應的 Azure 資源名稱, scaneastusabcd1234atlas-12345678-1234-1234-abcd-123456789abc 以 更新所有名稱。 例如,不要 scaneastusabcd1234 使用 Microsoft Purview 受控儲存體帳戶的名稱。

名稱 Type
web.purview.azure.com A <Microsoft Purview 的入口網站私人端點 IP 位址>
scaneastusabcd1234.blob.core.windows.net A <Microsoft Purview 的 Blob 擷取私人端點 IP 位址>
scaneastusabcd1234.queue.core.windows.net A <Microsoft Purview 的佇列擷取私人端點 IP 位址>
atlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net A <Microsoft Purview 的 namespace-ingestion 私人端點 IP 位址>
Contoso-Purview.Purview.azure.com A <Microsoft Purview 的帳戶私人端點 IP 位址>
Contoso-Purview.scan.Purview.azure.com A <Microsoft Purview 的帳戶私人端點 IP 位址>
Contoso-Purview.catalog.Purview.azure.com A <Microsoft Purview 的帳戶私人端點 IP 位址>
Contoso-Purview.proxy.purview.azure.com A <Microsoft Purview 的帳戶私人端點 IP 位址>
Contoso-Purview.guardian.purview.azure.com A <Microsoft Purview 的帳戶私人端點 IP 位址>
gateway.purview.azure.com A <Microsoft Purview 的帳戶私人端點 IP 位址>
insight.prod.ext.web.purview.azure.com A <Microsoft Purview 的入口網站私人端點 IP 位址>
manifest.prod.ext.web.purview.azure.com A <Microsoft Purview 的入口網站私人端點 IP 位址>
cdn.prod.ext.web.purview.azure.com A <Microsoft Purview 的入口網站私人端點 IP 位址>
hub.prod.ext.web.purview.azure.com A <Microsoft Purview 的入口網站私人端點 IP 位址>
catalog.prod.ext.web.purview.azure.com A <Microsoft Purview 的入口網站私人端點 IP 位址>
cseo.prod.ext.web.purview.azure.com A <Microsoft Purview 的入口網站私人端點 IP 位址>
datascan.prod.ext.web.purview.azure.com A <Microsoft Purview 的入口網站私人端點 IP 位址>
datashare.prod.ext.web.purview.azure.com A <Microsoft Purview 的入口網站私人端點 IP 位址>
datasource.prod.ext.web.purview.azure.com A <Microsoft Purview 的入口網站私人端點 IP 位址>
policy.prod.ext.web.purview.azure.com A <Microsoft Purview 的入口網站私人端點 IP 位址>
sensitivity.prod.ext.web.purview.azure.com A <Microsoft Purview 的入口網站私人端點 IP 位址>
web.privatelink.purviewstudio.azure.com A <Microsoft Purview 的入口網站私人端點 IP 位址>
workflow.prod.ext.web.purview.azure.com A <Microsoft Purview 的入口網站私人端點 IP 位址>

驗證和 DNS 測試名稱解析和連線能力

  1. 如果您使用 Azure 私用 DNS 區域,請確定已在 Azure 訂用帳戶中建立下列 DNS 區域和對應的 A 記錄:

    私人端點 與 相關聯的私人端點 DNS 區域 記錄 ) (範例)
    帳戶 Microsoft Purview privatelink.purview.azure.com Contoso-Purview
    入口網站 Microsoft Purview privatelink.purviewstudio.azure.com 網址
    攝入 Microsoft Purview 受控儲存體帳戶 - Blob privatelink.blob.core.windows.net scaneastusabcd1234
    攝入 Microsoft Purview 管理的儲存體帳戶 - 佇列 privatelink.queue.core.windows.net scaneastusabcd1234
    攝入 Microsoft Purview 設定的事件中樞 - 事件中樞 privatelink.servicebus.windows.net atlas-12345678-1234-1234-abcd-123456789abc
  2. 在 Azure 虛擬網路的 Azure 私用 DNS 區域中建立虛擬網路連結,以允許內部名稱解析。

  3. 從您的管理電腦和自我裝載整合執行時間 VM,使用 Nslookup.exe 和 PowerShell 等工具測試 Microsoft Purview 帳戶的名稱解析和網路連線

若要測試名稱解析,您需要透過其私人 IP 位址解析下列 FQDN: (而非 Contoso-Purview,scaneastusabcd1234 或 atlas-12345678-1234-1234-abcd-123456789abc,請使用與您的 purview 帳戶名稱相關聯的主機名稱,以及受管理或設定的資源名稱)

  • Contoso-Purview.purview.azure.com
  • web.purview.azure.com
  • scaneastusabcd1234.blob.core.windows.net
  • scaneastusabcd1234.queue.core.windows.net
  • atlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net

若要測試網路連線能力,您可以從自我裝載整合執行時間 VM 啟動 PowerShell 主控台,並使用 Test-NetConnection 來測試連線能力。 您必須依其私人端點解析每個端點,並取得 TcpTestSucceeded 為 True。 (不要使用 Contoso-Purview、scaneastusabcd1234 或 atlas-12345678-1234-1234-abcd-123456789abc,而是使用與您的 purview 帳戶名稱相關聯的主機名稱,以及受控或設定的資源名稱)

  • Test-NetConnection -ComputerName Contoso-Purview.purview.azure.com -port 443
  • Test-NetConnection -ComputerName web.purview.azure.com -port 443
  • Test-NetConnection -ComputerName scaneastusabcd1234.blob.core.windows.net -port 443
  • Test-NetConnection -ComputerName scaneastusabcd1234.queue.core.windows.net -port 443
  • Test-NetConnection -ComputerName atlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net -port 443

後續步驟