Configuración y comprobación de la resolución de nombres DNS para puntos de conexión privados de Microsoft Purview
Información general conceptual
La resolución precisa de nombres es un requisito fundamental al configurar puntos de conexión privados para las cuentas de Microsoft Purview.
Es posible que tenga que habilitar la resolución interna de nombres en la configuración de DNS para resolver las direcciones IP del punto de conexión privado en el nombre de dominio completo (FQDN) de los orígenes de datos y la máquina de administración a la cuenta de Microsoft Purview y al entorno de ejecución de integración autohospedado, en función de los escenarios que implemente.
Sugerencia
Al implementar las zonas DNS, no use direcciones IP específicas. Las direcciones IP de los recursos de Azure no son estáticas y la creación de zonas DNS con direcciones IP estáticas provocará errores.
Opciones de implementación
Use cualquiera de las siguientes opciones para configurar la resolución interna de nombres al usar puntos de conexión privados para su cuenta de Microsoft Purview:
- Implemente nuevas zonas de Azure DNS privado en el entorno de Azure que forma parte de la implementación de puntos de conexión privados. (Opción predeterminada)
- Use zonas de Azure DNS privado existentes. Use esta opción si usa un punto de conexión privado en un modelo de concentrador y radio de una suscripción diferente o incluso dentro de la misma suscripción.
- Use sus propios servidores DNS si no usa reenviadores DNS y, en su lugar, administra registros A directamente en los servidores DNS locales.
Sugerencia
- Portal de gobernanza de Microsoft Purview clásico (https://web.purview.azure.com): se admiten puntos de conexión privados de cuenta, portal e ingesta .
- Nuevo portal de Microsoft Purview (https://purview.microsoft.com/): se admiten los puntos de conexión privados de la plataforma y la ingesta .
Opción 1: Implementación de nuevas zonas de Azure DNS privado
Implementación de nuevas zonas de Azure DNS privado
Para habilitar la resolución interna de nombres, puede implementar las zonas DNS de Azure necesarias dentro de la suscripción de Azure donde se implementa la cuenta de Microsoft Purview.
Al crear puntos de conexión privados de ingesta, portal y cuenta, los registros de recursos CNAME de DNS para Microsoft Purview se actualizan automáticamente a un alias en pocos subdominios con el prefijo privatelink:
De forma predeterminada, durante la implementación de puntos de conexión privados de cuenta o plataforma para su cuenta de Microsoft Purview, también creamos una zona DNS privada que corresponde al
privatelinksubdominio para Microsoft Purview, comoprivatelink.purview.azure.compara el portal de gobernanza clásico de Microsoft Purview yprivatelink.purview-service.microsoft.compara el portal de Microsoft Purview, incluidos los registros de recursos A de DNS para los puntos de conexión privados.Durante la implementación del punto de conexión privado del portal para su cuenta de Microsoft Purview, también creamos una nueva zona DNS privada que corresponde al
privatelinksubdominio de Microsoft Purview, comoprivatelink.purviewstudio.azure.comincluir registros de recursos A de DNS para Web.Si habilita puntos de conexión privados de ingesta, se requieren otras zonas DNS para los recursos administrados o configurados.
En la tabla siguiente se muestra un ejemplo de zonas de Azure DNS privado y registros A de DNS que se implementan como parte de la configuración del punto de conexión privado para una cuenta de Microsoft Purview si habilita DNS privado integración durante la implementación:
| Punto de conexión privado | Punto de conexión privado asociado a | Disponibilidad del portal | Zona DNS (nueva) | Un registro (ejemplo) |
|---|---|---|---|---|
| Cuenta | Microsoft Purview | privatelink.purview.azure.com |
Contoso-Purview | |
| Plataforma | Microsoft Purview | privatelink.purview-service.microsoft.com |
Contoso-Purview | |
| Portal | Microsoft Purview | privatelink.purviewstudio.azure.com |
Web | |
| Plataforma | Microsoft Purview | privatelink.purview-service.microsoft.com |
Web | |
| Ingestión | Ingesta de Microsoft Purview: Blob* | privatelink.blob.core.windows.net |
ingestioneus2eastusksqky | |
| Ingestión | Ingesta de Microsoft Purview: Blob* | privatelink.blob.storage.azure.net |
ingestioneus2eastusksqky | |
| Ingestión | Ingesta de Microsoft Purview: cola* | privatelink.queue.core.windows.net |
ingestioneus2eastusksqky | |
| Ingestión | Ingesta de Microsoft Purview: cola* | privatelink.queue.storage.azure.net |
ingestioneus2eastusksqky | |
| Ingestión | Event Hubs configurado por Microsoft Purview: Event Hubs** | privatelink.servicebus.windows.net |
atlas-12345678-1234-1234-abcd-123456789abc |
Nota:
*Si la cuenta se creó antes del 15 de diciembre de 2023, el punto de conexión se implementa en la cuenta de almacenamiento administrada. Si se creó después del 10 de noviembre (o se implementó mediante la versión de API 2023-05-01-preview en adelante), apunta al almacenamiento de ingesta.
**La cuenta solo tiene un espacio de nombres de Event Hubs asociado si está configurada para notificaciones kafka o creada antes del 15 de diciembre de 2022.
Validación de vínculos de red virtual en Azure DNS privado Zones
Una vez completada la implementación del punto de conexión privado, asegúrese de que hay un vínculo de red virtual en todas las zonas de Azure DNS privado correspondientes a la red virtual de Azure donde se implementó el punto de conexión privado.
Para más información, consulte Configuración de DNS del punto de conexión privado de Azure.
Comprobación de la resolución interna de nombres
Al resolver la dirección URL del punto de conexión de Microsoft Purview desde fuera de la red virtual con el punto de conexión privado, se resuelve en el punto de conexión público de Microsoft Purview. Cuando se resuelve desde la red virtual que hospeda el punto de conexión privado, la dirección URL del punto de conexión de Microsoft Purview se resuelve en la dirección IP del punto de conexión privado.
Por ejemplo, si un nombre de cuenta de Microsoft Purview es "Contoso-Purview", cuando se resuelva desde fuera de la red virtual que hospeda el punto de conexión privado, será:
| Nombre | Tipo | Valor |
|---|---|---|
Contoso-Purview.purview.azure.com |
CNAME | Contoso-Purview.privatelink.purview.azure.com |
Contoso-Purview.privatelink.purview.azure.com |
CNAME | <Punto de conexión público de Microsoft Purview> |
| <Punto de conexión público de Microsoft Purview> | A | <Dirección IP pública de Microsoft Purview> |
Web.purview.azure.com |
CNAME | <Punto de conexión público del portal de gobernanza de Microsoft Purview> |
Los registros de recursos DNS para Contoso-Purview, cuando se resuelvan en la red virtual que hospeda el punto de conexión privado, serán:
| Nombre | Tipo | Valor |
|---|---|---|
Contoso-Purview.purview.azure.com |
CNAME | Contoso-Purview.privatelink.purview.azure.com |
Contoso-Purview.privatelink.purview.azure.com |
A | <Dirección IP del punto de conexión privado de la cuenta de Microsoft Purview> |
Web.purview.azure.com |
CNAME | <Dirección IP del punto de conexión privado del portal de Microsoft Purview> |
Opción 2: Uso de Azure DNS privado Zones existente
Uso de Azure DNS privado Zones existente
Durante la implementación de puntos de conexión privados de Microsoft Purview, puede elegir DNS privado integración mediante zonas de Azure DNS privado existentes. Este es el caso común de las organizaciones en las que se usa un punto de conexión privado para otros servicios de Azure. En este caso, durante la implementación de puntos de conexión privados, asegúrese de seleccionar las zonas DNS existentes en lugar de crear otras nuevas.
Este escenario también se aplica si la organización usa una suscripción central o central para todas las zonas de Azure DNS privado.
En la lista siguiente se muestran las zonas DNS de Azure necesarias y los registros A para los puntos de conexión privados de Microsoft Purview:
Importante
Actualice todos los nombres con Contoso-Purviewy atlas-12345678-1234-1234-abcd-123456789abcingestioneus2eastusksqky con el nombre de recursos de Azure correspondiente en su entorno.
-
Contoso-Purviewes el nombre de la cuenta de Microsoft Purview. - Solo necesita los puntos de conexión asociados al portal que usa:
- Portal de gobernanza de Microsoft Purview clásico (https://web.purview.azure.com): se admiten puntos de conexión privados de cuenta, portal e ingesta .
- Nuevo portal de Microsoft Purview (https://purview.microsoft.com/): se admiten los puntos de conexión privados de la plataforma y la ingesta .
- Si la cuenta está configurada para notificaciones kafka o se creó antes del 15 de diciembre de 2022,
atlas-12345678-1234-1234-abcd-123456789abces el espacio de nombres de Event Hubs. - Si la cuenta se creó antes del 15 de diciembre de 2023, para
ingestioneus2eastusksqkyusar el nombre de la cuenta de almacenamiento administrada de Microsoft Purview. - Si la cuenta se creó después del 15 de diciembre de 2023 (o se implementó mediante la versión de API 2023-05-01-preview en adelante), déjela
ingestioneus2eastusksqkytal como está.
| Punto de conexión privado | Punto de conexión privado asociado a | Disponibilidad del portal | Zona DNS (existente) | Un registro (ejemplo) |
|---|---|---|---|---|
| Cuenta | Microsoft Purview | privatelink.purview.azure.com |
Contoso-Purview | |
| Plataforma | Microsoft Purview | privatelink.purview-service.microsoft.com |
Contoso-Purview | |
| Portal | Microsoft Purview | privatelink.purviewstudio.azure.com |
Web | |
| Ingestión | Ingesta de Microsoft Purview: Blob* | privatelink.blob.core.windows.net |
ingestioneus2eastusksqky | |
| Ingestión | Ingesta de Microsoft Purview: Blob* | privatelink.blob.storage.azure.net |
ingestioneus2eastusksqky | |
| Ingestión | Ingesta de Microsoft Purview: cola* | privatelink.queue.core.windows.net |
ingestioneus2eastusksqky | |
| Ingestión | Ingesta de Microsoft Purview: cola* | privatelink.queue.storage.azure.net |
ingestioneus2eastusksqky | |
| Ingestión | Event Hubs configurado por Microsoft Purview** | privatelink.servicebus.windows.net |
atlas-12345678-1234-1234-abcd-123456789abc |
Nota:
*Si la cuenta se creó antes del 15 de diciembre de 2023, el punto de conexión se implementa en la cuenta de almacenamiento administrada. Si se creó después del 10 de noviembre (o se implementó mediante la versión de API 2023-05-01-preview en adelante), apunta al almacenamiento de ingesta. **La cuenta solo tiene un espacio de nombres de Event Hubs asociado si está configurada para notificaciones kafka o creada antes del 15 de diciembre de 2022.
Para obtener más información, consulte Cargas de trabajo de red virtual sin servidor DNS personalizado y cargas de trabajo locales con escenarios de reenviador DNS en la configuración de DNS de punto de conexión privado de Azure.
Comprobación de vínculos de red virtual en Azure DNS privado Zones
Una vez completada la implementación del punto de conexión privado, asegúrese de que hay un vínculo de red virtual en todas las zonas de Azure DNS privado correspondientes a la red virtual de Azure donde se implementó el punto de conexión privado.
Para más información, consulte Configuración de DNS del punto de conexión privado de Azure.
Configuración de reenviadores DNS si se usa DNS personalizado
Además, es necesario validar las configuraciones de DNS en la red virtual de Azure donde se encuentra la máquina virtual o el equipo de administración del entorno de ejecución de integración autohospedado.
Si está configurado como Predeterminado, no se requiere ninguna acción adicional en este paso.
Si se usa un servidor DNS personalizado, debe agregar los reenviadores DNS correspondientes dentro de los servidores DNS para las zonas siguientes:
- Purview.azure.com
- purviewstudio.azure.com
- Blob.core.windows.net
- Queue.core.windows.net
- Blob.storage.azure.net
- Queue.storage.azure.net
- Servicebus.windows.net
Comprobación de la resolución interna de nombres
Al resolver la dirección URL del punto de conexión de Microsoft Purview desde fuera de la red virtual con el punto de conexión privado, se resuelve en el punto de conexión público de Microsoft Purview. Cuando se resuelve desde la red virtual que hospeda el punto de conexión privado, la dirección URL del punto de conexión de Microsoft Purview se resuelve en la dirección IP del punto de conexión privado.
Por ejemplo, si un nombre de cuenta de Microsoft Purview es "Contoso-Purview", cuando se resuelva desde fuera de la red virtual que hospeda el punto de conexión privado, será:
| Nombre | Tipo | Valor |
|---|---|---|
Contoso-Purview.purview.azure.com |
CNAME | Contoso-Purview.privatelink.purview.azure.com |
Contoso-Purview.privatelink.purview.azure.com |
CNAME | <Punto de conexión público de Microsoft Purview> |
| <Punto de conexión público de Microsoft Purview> | A | <Dirección IP pública de Microsoft Purview> |
Web.purview.azure.com |
CNAME | <Punto de conexión público del portal de gobernanza de Microsoft Purview> |
Los registros de recursos DNS para Contoso-Purview, cuando se resuelvan en la red virtual que hospeda el punto de conexión privado, serán:
| Nombre | Tipo | Valor |
|---|---|---|
Contoso-Purview.purview.azure.com |
CNAME | Contoso-Purview.privatelink.purview.azure.com |
Contoso-Purview.privatelink.purview.azure.com |
A | <Dirección IP del punto de conexión privado de la cuenta de Microsoft Purview> |
Web.purview.azure.com |
CNAME | <Dirección IP del punto de conexión privado del portal de Microsoft Purview> |
Opción 3: Usar sus propios servidores DNS
Si no usa reenviadores DNS y, en su lugar, administra registros A directamente en los servidores DNS locales para resolver los puntos de conexión a través de sus direcciones IP privadas, es posible que tenga que crear los siguientes registros A en los servidores DNS.
Importante
Actualice todos los nombres con Contoso-Purviewy atlas-12345678-1234-1234-abcd-123456789abcingestioneus2eastusksqky con el nombre de recursos de Azure correspondiente en su entorno.
-
Contoso-Purviewes el nombre de la cuenta de Microsoft Purview. - Solo necesita los puntos de conexión asociados al portal que usa:
- Portal de gobernanza de Microsoft Purview clásico (https://web.purview.azure.com): se admiten puntos de conexión privados de cuenta, portal e ingesta .
- Nuevo portal de Microsoft Purview (https://purview.microsoft.com/): se admiten los puntos de conexión privados de la plataforma y la ingesta .
- Si la cuenta está configurada para notificaciones kafka o se creó antes del 15 de diciembre de 2022,
atlas-12345678-1234-1234-abcd-123456789abces el espacio de nombres de Event Hubs. - Si la cuenta se creó antes del 15 de diciembre de 2023, para
ingestioneus2eastusksqkyusar el nombre de la cuenta de almacenamiento administrada de Microsoft Purview. - Si la cuenta se creó después del 15 de diciembre de 2023 (o se implementó mediante la versión de API 2023-05-01-preview en adelante), déjela
ingestioneus2eastusksqkytal como está.
| Nombre | Tipo | Valor | Disponibilidad del portal |
|---|---|---|---|
web.purview.azure.com |
A | <Dirección IP del punto de conexión privado del portal de Microsoft Purview> | Portal clásico |
ingestioneus2eastusksqky.blob.core.windows.net, ingestioneus2eastusksqky.blob.storage.azure.net |
A | <dirección IP del punto de conexión privado de ingesta de blobs de Microsoft Purview> | Portales clásicos y nuevos |
ingestioneus2eastusksqky.queue.core.windows.net, ingestioneus2eastusksqky.queue.storage.azure.net |
A | <dirección IP del punto de conexión privado de ingesta de cola de Microsoft Purview> | Portales clásicos y nuevos |
atlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net |
A | <dirección IP del punto de conexión privado de ingesta de espacio de nombres de Microsoft Purview> | Portales clásicos y nuevos |
Contoso-Purview.Purview.azure.com |
A | <dirección IP del punto de conexión privado de cuenta o plataforma de Microsoft Purview> | Portales clásicos y nuevos |
Contoso-Purview.scan.Purview.azure.com |
A | <dirección IP del punto de conexión privado de cuenta o plataforma de Microsoft Purview> | Portales clásicos y nuevos |
Contoso-Purview.catalog.Purview.azure.com |
A | <dirección IP del punto de conexión privado de cuenta o plataforma de Microsoft Purview> | Portales clásicos y nuevos |
Contoso-Purview.proxy.purview.azure.com |
A | <dirección IP del punto de conexión privado de cuenta o plataforma de Microsoft Purview> | Portales clásicos y nuevos |
Contoso-Purview.guardian.purview.azure.com |
A | <dirección IP del punto de conexión privado de cuenta o plataforma de Microsoft Purview> | Portales clásicos y nuevos |
gateway.purview.azure.com |
A | <dirección IP del punto de conexión privado de cuenta o plataforma de Microsoft Purview> | Portales clásicos y nuevos |
insight.prod.ext.web.purview.azure.com |
A | <Dirección IP del punto de conexión privado del portal de Microsoft Purview> | Portal clásico |
manifest.prod.ext.web.purview.azure.com |
A | <Dirección IP del punto de conexión privado del portal de Microsoft Purview> | Portal clásico |
cdn.prod.ext.web.purview.azure.com |
A | <Dirección IP del punto de conexión privado del portal de Microsoft Purview> | Portal clásico |
hub.prod.ext.web.purview.azure.com |
A | <Dirección IP del punto de conexión privado del portal de Microsoft Purview> | Portal clásico |
catalog.prod.ext.web.purview.azure.com |
A | <Dirección IP del punto de conexión privado del portal de Microsoft Purview> | Portal clásico |
cseo.prod.ext.web.purview.azure.com |
A | <Dirección IP del punto de conexión privado del portal de Microsoft Purview> | Portal clásico |
datascan.prod.ext.web.purview.azure.com |
A | <Dirección IP del punto de conexión privado del portal de Microsoft Purview> | Portal clásico |
datashare.prod.ext.web.purview.azure.com |
A | <Dirección IP del punto de conexión privado del portal de Microsoft Purview> | Portal clásico |
datasource.prod.ext.web.purview.azure.com |
A | <Dirección IP del punto de conexión privado del portal de Microsoft Purview> | Portal clásico |
policy.prod.ext.web.purview.azure.com |
A | <Dirección IP del punto de conexión privado del portal de Microsoft Purview> | Portal clásico |
sensitivity.prod.ext.web.purview.azure.com |
A | <Dirección IP del punto de conexión privado del portal de Microsoft Purview> | Portal clásico |
web.privatelink.purviewstudio.azure.com |
A | <Dirección IP del punto de conexión privado del portal de Microsoft Purview> | Portal clásico |
workflow.prod.ext.web.purview.azure.com |
A | <Dirección IP del punto de conexión privado del portal de Microsoft Purview> | Portal clásico |
Comprobación y conectividad de la resolución y la conectividad de nombres de prueba de DNS
Si usa Azure DNS privado Zones, asegúrese de que se crean las siguientes zonas DNS y los registros A correspondientes en la suscripción de Azure:
Punto de conexión privado Punto de conexión privado asociado a Disponibilidad del portal Zona DNS (existente) Un registro (ejemplo) Cuenta Microsoft Purview Portal clásico privatelink.purview.azure.comContoso-Purview Plataforma Microsoft Purview Nuevo portal privatelink.purview-service.microsoft.comContoso-Purview Portal Microsoft Purview Portal clásico privatelink.purviewstudio.azure.comWeb Ingestión Ingesta de Microsoft Purview: Blob* Portales clásicos y nuevos privatelink.blob.core.windows.net,privatelink.blob.storage.azure.netingestioneus2eastusksqky Ingestión Ingesta de Microsoft Purview: cola* Portales clásicos y nuevos privatelink.queue.core.windows.net,privatelink.queue.storage.azure.netingestioneus2eastusksqky Ingestión Event Hubs** Portales clásicos y nuevos privatelink.servicebus.windows.netatlas-12345678-1234-1234-abcd-123456789abc Nota:
*Si la cuenta se creó antes del 15 de diciembre de 2023, el punto de conexión se implementa en la cuenta de almacenamiento administrada. Si se creó después del 10 de noviembre (o se implementó mediante la versión de API 2023-05-01-preview en adelante), apunta al almacenamiento de ingesta. **La cuenta solo tiene un espacio de nombres de Event Hubs asociado si está configurada para notificaciones kafka o creada antes del 15 de diciembre de 2022.
Cree vínculos de red virtual en Azure DNS privado Zones para las redes virtuales de Azure para permitir la resolución interna de nombres.
Desde el equipo de administración y la máquina virtual del entorno de ejecución de integración autohospedado, pruebe la resolución de nombres y la conectividad de red con su cuenta de Microsoft Purview mediante herramientas como Nslookup.exe y PowerShell.
Para probar la resolución de nombres, debe resolver los siguientes FQDN a través de sus direcciones IP privadas: (en lugar de Contoso-Purview, ingestioneus2eastusksqky o atlas-12345678-1234-1234-abcd-123456789abc, use el nombre de host asociado con el nombre de cuenta de Purview y los nombres de recursos administrados o configurados).
Contoso-Purview.purview.azure.comweb.purview.azure.comingestioneus2eastusksqky.blob.core.windows.netingestioneus2eastusksqky.queue.core.windows.netatlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net
Para probar la conectividad de red, desde la máquina virtual del entorno de ejecución de integración autohospedado puede iniciar la consola de PowerShell y probar la conectividad mediante Test-NetConnection.
Debe resolver cada punto de conexión por su punto de conexión privado y obtener TcpTestSucceeded como True. (En lugar de Contoso-Purview, ingestioneus2eastusksqky o atlas-12345678-1234-1234-abcd-123456789abc, use el nombre de host asociado con el nombre de cuenta de Purview y los nombres de recursos administrados o configurados)
Test-NetConnection -ComputerName Contoso-Purview.purview.azure.com -port 443Test-NetConnection -ComputerName web.purview.azure.com -port 443Test-NetConnection -ComputerName ingestioneus2eastusksqky.blob.core.windows.net -port 443Test-NetConnection -ComputerName ingestioneus2eastusksqky.queue.core.windows.net -port 443Test-NetConnection -ComputerName atlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net -port 443
En el ejemplo siguiente se muestra la resolución de nombres DNS de Microsoft Purview desde fuera de la red virtual o cuando no se configura un punto de conexión privado de Azure.
En el ejemplo siguiente se muestra la resolución de nombres DNS de Microsoft Purview desde dentro de la red virtual.
Nota:
Los valores de estas imágenes son ejemplos. Use la información del artículo para configurar correctamente las zonas DNS.