設定及驗證 Microsoft Purview 私人端點的 DNS 名稱解析
Conceptual overview
為您的 Microsoft Purview 帳戶設定私人端點時,正確名稱解析是很重要的需求。
您可能需要在 DNS 設定中啟用內部名稱解析,才能將私人端點 IP 位址解析為完整的功能變數名稱, (FQDN) 從資料來源和管理電腦到 Microsoft Purview 帳戶,以及自我裝載整合執行時間,視您要部署的案例而定。
下列範例顯示從虛擬網路外部或未設定 Azure 私人端點時的 Microsoft Purview DNS 名稱解析。
下列範例顯示虛擬網路內的 Microsoft Purview DNS 名稱解析。
部署選項
使用 Microsoft Purview 帳戶的私人端點時,請使用下列任何選項來設定內部名稱解析:
- 在私人端點部署的Azure 環境中部署新的 Azure 私用 DNS區域。 (預設選項)
- 使用現有的 Azure 私用 DNS區域。 如果您在來自不同訂用帳戶或甚至相同訂用帳戶的中樞和輪輻模型中使用私人端點,請使用此選項。
- 如果您不使用 DNS 轉寄站,而是直接在內部部署 DNS 伺服器中管理 A 記錄,請使用您自己的DNS 伺服器。
選項 1 - 部署新的 Azure 私用 DNS 區域
部署新的 Azure 私用 DNS 區域
若要啟用內部名稱解析,您可以在部署 Microsoft Purview 帳戶的 Azure 訂用帳戶內部署必要的 Azure DNS 區域。
當您建立擷取、入口網站和帳戶私人端點時,Microsoft Purview 的 DNS CNAME 資源記錄會自動更新為具有 前置詞 privatelink
之少數子域中的別名:
根據預設,在部署 Microsoft Purview 帳戶的帳戶 私人端點期間,我們也會建立 私人 DNS 區域 ,其對應至
privatelink
Microsoft Purview 的子域,包括privatelink.purview.azure.com
私人端點的 DNS A 資源記錄。在部署 Microsoft Purview 帳戶的入口 網站 私人端點期間,我們也會建立新的私人 DNS 區域,其對應至
privatelink
Microsoft Purview 的子域,包括privatelink.purviewstudio.azure.com
Web的 DNS A 資源記錄。如果您啟用擷取私人端點,則受控或設定的資源需要額外的 DNS 區域。
下表顯示 Azure 私用 DNS區域和 DNS A 記錄的範例,如果您在部署期間啟用私用 DNS整合,這些區域和 DNS A 記錄會部署為 Microsoft Purview 帳戶私人端點設定的一部分:
私人端點 | 與 相關聯的私人端點 | 新) (DNS 區域 | 記錄 (範例) |
---|---|---|---|
帳戶 | Microsoft Purview | privatelink.purview.azure.com |
Contoso-Purview |
入口網站 | Microsoft Purview | privatelink.purviewstudio.azure.com |
網址 |
攝入 | Microsoft Purview 受控儲存體帳戶 - Blob | privatelink.blob.core.windows.net |
scaneastusabcd1234 |
攝入 | Microsoft Purview 管理的儲存體帳戶 - 佇列 | privatelink.queue.core.windows.net |
scaneastusabcd1234 |
攝入 | Microsoft Purview 管理的儲存體帳戶 - 事件中樞 | privatelink.servicebus.windows.net |
atlas-12345678-1234-1234-abcd-123456789abc |
驗證 Azure 私用 DNS 區域上的虛擬網路連結
私人端點部署完成後,請確定所有對應的 Azure 私用 DNS區域上都有虛擬網路連結,可連線到已部署私人端點的 Azure 虛擬網路。
如需詳細資訊,請參閱 Azure 私人端點 DNS 設定。
驗證內部名稱解析
當您使用私人端點從虛擬網路外部解析 Microsoft Purview 端點 URL 時,它會解析為 Microsoft Purview 的公用端點。 從裝載私人端點的虛擬網路解析時,Microsoft Purview 端點 URL 會解析為私人端點的 IP 位址。
例如,如果 Microsoft Purview 帳戶名稱為 'Contoso-Purview',則從裝載私人端點的虛擬網路外部解析時,會是:
名稱 | Type | Value (值) |
---|---|---|
Contoso-Purview.purview.azure.com |
CNAME | Contoso-Purview.privatelink.purview.azure.com |
Contoso-Purview.privatelink.purview.azure.com |
CNAME | <Microsoft Purview 公用端點> |
<Microsoft Purview 公用端點> | A | <Microsoft Purview 公用 IP 位址> |
Web.purview.azure.com |
CNAME | <Microsoft Purview 治理入口網站公用端點> |
Contoso-Purview 的 DNS 資源記錄在裝載私人端點的虛擬網路中解析時,將會是:
名稱 | Type | Value (值) |
---|---|---|
Contoso-Purview.purview.azure.com |
CNAME | Contoso-Purview.privatelink.purview.azure.com |
Contoso-Purview.privatelink.purview.azure.com |
A | <Microsoft Purview 帳戶私人端點 IP 位址> |
Web.purview.azure.com |
CNAME | <Microsoft Purview 入口網站私人端點 IP 位址> |
選項 2 - 使用現有的 Azure 私用 DNS 區域
使用現有的 Azure 私用 DNS區域
在部署 Microsft Purview 私人端點期間,您可以選擇使用現有的 Azure 私用 DNS 區域私用 DNS整合。 對於在 Azure 中用於其他服務的私人端點的組織而言,這是常見的情況。 在此情況下,在部署私人端點期間,請務必選取現有的 DNS 區域,而不是建立新的 DNS 區域。
如果您的組織針對所有 Azure 私用 DNS 區域使用中央或中樞訂用帳戶,也適用此案例。
下列清單顯示 Microsoft Purview 私人端點所需的 Azure DNS 區域和 A 記錄:
注意事項
使用 Contoso-Purview
環境中對應的 Azure 資源名稱, scaneastusabcd1234
atlas-12345678-1234-1234-abcd-123456789abc
以 更新所有名稱。 例如,不要 scaneastusabcd1234
使用 Microsoft Purview 受控儲存體帳戶的名稱。
私人端點 | 與 相關聯的私人端點 | 現有) (DNS 區域 | 記錄 (範例) |
---|---|---|---|
帳戶 | Microsoft Purview | privatelink.purview.azure.com |
Contoso-Purview |
入口網站 | Microsoft Purview | privatelink.purviewstudio.azure.com |
網址 |
攝入 | Microsoft Purview 受控儲存體帳戶 - Blob | privatelink.blob.core.windows.net |
scaneastusabcd1234 |
攝入 | Microsoft Purview 管理的儲存體帳戶 - 佇列 | privatelink.queue.core.windows.net |
scaneastusabcd1234 |
攝入 | Microsoft Purview 管理的儲存體帳戶 - 事件中樞 | privatelink.servicebus.windows.net |
atlas-12345678-1234-1234-abcd-123456789abc |
如需詳細資訊,請參閱在Azure 私人端點 DNS設定中使用 DNS 轉寄站案例,而沒有自訂 DNS 伺服器的虛擬網路工作負載和內部部署工作負載。
確認 Azure 私用 DNS 區域上的虛擬網路連結
私人端點部署完成後,請確定所有對應的 Azure 私用 DNS區域上都有虛擬網路連結,可連線到已部署私人端點的 Azure 虛擬網路。
如需詳細資訊,請參閱 Azure 私人端點 DNS 設定。
如果使用自訂 DNS,請設定 DNS 轉寄站
此外,您必須在自我裝載整合執行時間 VM 或管理電腦所在的 Azure 虛擬網路上驗證您的 DNS 設定。
如果設定為 [預設],則此步驟不需要採取任何進一步的動作。
如果使用自訂 DNS 伺服器,您應該在下欄區域的 DNS 伺服器內新增對應的 DNS 轉寄站:
- Purview.azure.com
- purviewstudio.azure.com
- Blob.core.windows.net
- Queue.core.windows.net
- Servicebus.windows.net
驗證內部名稱解析
當您使用私人端點從虛擬網路外部解析 Microsoft Purview 端點 URL 時,它會解析為 Microsoft Purview 的公用端點。 從裝載私人端點的虛擬網路解析時,Microsoft Purview 端點 URL 會解析為私人端點的 IP 位址。
例如,如果 Microsoft Purview 帳戶名稱為 'Contoso-Purview',則從裝載私人端點的虛擬網路外部解析時,會是:
名稱 | Type | Value (值) |
---|---|---|
Contoso-Purview.purview.azure.com |
CNAME | Contoso-Purview.privatelink.purview.azure.com |
Contoso-Purview.privatelink.purview.azure.com |
CNAME | <Microsoft Purview 公用端點> |
<Microsoft Purview 公用端點> | A | <Microsoft Purview 公用 IP 位址> |
Web.purview.azure.com |
CNAME | <Microsoft Purview 治理入口網站公用端點> |
Contoso-Purview 的 DNS 資源記錄在裝載私人端點的虛擬網路中解析時,將會是:
名稱 | Type | Value (值) |
---|---|---|
Contoso-Purview.purview.azure.com |
CNAME | Contoso-Purview.privatelink.purview.azure.com |
Contoso-Purview.privatelink.purview.azure.com |
A | <Microsoft Purview 帳戶私人端點 IP 位址> |
Web.purview.azure.com |
CNAME | <Microsoft Purview 入口網站私人端點 IP 位址> |
選項 3 - 使用您自己的 DNS 伺服器
如果您不使用 DNS 轉寄站,而是直接在內部部署 DNS 伺服器中管理 A 記錄,以透過其私人 IP 位址解析端點,您可能需要在 DNS 伺服器中建立下列 A 記錄。
注意事項
使用 Contoso-Purview
環境中對應的 Azure 資源名稱, scaneastusabcd1234
atlas-12345678-1234-1234-abcd-123456789abc
以 更新所有名稱。 例如,不要 scaneastusabcd1234
使用 Microsoft Purview 受控儲存體帳戶的名稱。
名稱 | Type | 值 |
---|---|---|
web.purview.azure.com |
A | <Microsoft Purview 的入口網站私人端點 IP 位址> |
scaneastusabcd1234.blob.core.windows.net |
A | <Microsoft Purview 的 Blob 擷取私人端點 IP 位址> |
scaneastusabcd1234.queue.core.windows.net |
A | <Microsoft Purview 的佇列擷取私人端點 IP 位址> |
atlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net |
A | <Microsoft Purview 的 namespace-ingestion 私人端點 IP 位址> |
Contoso-Purview.Purview.azure.com |
A | <Microsoft Purview 的帳戶私人端點 IP 位址> |
Contoso-Purview.scan.Purview.azure.com |
A | <Microsoft Purview 的帳戶私人端點 IP 位址> |
Contoso-Purview.catalog.Purview.azure.com |
A | <Microsoft Purview 的帳戶私人端點 IP 位址> |
Contoso-Purview.proxy.purview.azure.com |
A | <Microsoft Purview 的帳戶私人端點 IP 位址> |
Contoso-Purview.guardian.purview.azure.com |
A | <Microsoft Purview 的帳戶私人端點 IP 位址> |
gateway.purview.azure.com |
A | <Microsoft Purview 的帳戶私人端點 IP 位址> |
insight.prod.ext.web.purview.azure.com |
A | <Microsoft Purview 的入口網站私人端點 IP 位址> |
manifest.prod.ext.web.purview.azure.com |
A | <Microsoft Purview 的入口網站私人端點 IP 位址> |
cdn.prod.ext.web.purview.azure.com |
A | <Microsoft Purview 的入口網站私人端點 IP 位址> |
hub.prod.ext.web.purview.azure.com |
A | <Microsoft Purview 的入口網站私人端點 IP 位址> |
catalog.prod.ext.web.purview.azure.com |
A | <Microsoft Purview 的入口網站私人端點 IP 位址> |
cseo.prod.ext.web.purview.azure.com |
A | <Microsoft Purview 的入口網站私人端點 IP 位址> |
datascan.prod.ext.web.purview.azure.com |
A | <Microsoft Purview 的入口網站私人端點 IP 位址> |
datashare.prod.ext.web.purview.azure.com |
A | <Microsoft Purview 的入口網站私人端點 IP 位址> |
datasource.prod.ext.web.purview.azure.com |
A | <Microsoft Purview 的入口網站私人端點 IP 位址> |
policy.prod.ext.web.purview.azure.com |
A | <Microsoft Purview 的入口網站私人端點 IP 位址> |
sensitivity.prod.ext.web.purview.azure.com |
A | <Microsoft Purview 的入口網站私人端點 IP 位址> |
web.privatelink.purviewstudio.azure.com |
A | <Microsoft Purview 的入口網站私人端點 IP 位址> |
workflow.prod.ext.web.purview.azure.com |
A | <Microsoft Purview 的入口網站私人端點 IP 位址> |
驗證和 DNS 測試名稱解析和連線能力
如果您使用 Azure 私用 DNS 區域,請確定已在 Azure 訂用帳戶中建立下列 DNS 區域和對應的 A 記錄:
私人端點 與 相關聯的私人端點 DNS 區域 記錄 ) (範例) 帳戶 Microsoft Purview privatelink.purview.azure.com
Contoso-Purview 入口網站 Microsoft Purview privatelink.purviewstudio.azure.com
網址 攝入 Microsoft Purview 受控儲存體帳戶 - Blob privatelink.blob.core.windows.net
scaneastusabcd1234 攝入 Microsoft Purview 管理的儲存體帳戶 - 佇列 privatelink.queue.core.windows.net
scaneastusabcd1234 攝入 Microsoft Purview 設定的事件中樞 - 事件中樞 privatelink.servicebus.windows.net
atlas-12345678-1234-1234-abcd-123456789abc 在 Azure 虛擬網路的 Azure 私用 DNS 區域中建立虛擬網路連結,以允許內部名稱解析。
從您的管理電腦和自我裝載整合執行時間 VM,使用 Nslookup.exe 和 PowerShell 等工具測試 Microsoft Purview 帳戶的名稱解析和網路連線
若要測試名稱解析,您需要透過其私人 IP 位址解析下列 FQDN: (而非 Contoso-Purview,scaneastusabcd1234 或 atlas-12345678-1234-1234-abcd-123456789abc,請使用與您的 purview 帳戶名稱相關聯的主機名稱,以及受管理或設定的資源名稱)
Contoso-Purview.purview.azure.com
web.purview.azure.com
scaneastusabcd1234.blob.core.windows.net
scaneastusabcd1234.queue.core.windows.net
atlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net
若要測試網路連線能力,您可以從自我裝載整合執行時間 VM 啟動 PowerShell 主控台,並使用 Test-NetConnection
來測試連線能力。
您必須依其私人端點解析每個端點,並取得 TcpTestSucceeded 為 True。 (不要使用 Contoso-Purview、scaneastusabcd1234 或 atlas-12345678-1234-1234-abcd-123456789abc,而是使用與您的 purview 帳戶名稱相關聯的主機名稱,以及受控或設定的資源名稱)
Test-NetConnection -ComputerName Contoso-Purview.purview.azure.com -port 443
Test-NetConnection -ComputerName web.purview.azure.com -port 443
Test-NetConnection -ComputerName scaneastusabcd1234.blob.core.windows.net -port 443
Test-NetConnection -ComputerName scaneastusabcd1234.queue.core.windows.net -port 443
Test-NetConnection -ComputerName atlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net -port 443