Compartir vía


Configuración y comprobación de la resolución de nombres DNS para puntos de conexión privados de Microsoft Purview

Información general conceptual

La resolución precisa de nombres es un requisito fundamental al configurar puntos de conexión privados para las cuentas de Microsoft Purview.

Es posible que tenga que habilitar la resolución interna de nombres en la configuración de DNS para resolver las direcciones IP del punto de conexión privado en el nombre de dominio completo (FQDN) de los orígenes de datos y la máquina de administración a la cuenta de Microsoft Purview y al entorno de ejecución de integración autohospedado, en función de los escenarios que implemente.

Sugerencia

Al implementar las zonas DNS, no use direcciones IP específicas. Las direcciones IP de los recursos de Azure no son estáticas y la creación de zonas DNS con direcciones IP estáticas provocará errores.

Opciones de implementación

Use cualquiera de las siguientes opciones para configurar la resolución interna de nombres al usar puntos de conexión privados para su cuenta de Microsoft Purview:

Sugerencia

  • Portal de gobernanza de Microsoft Purview clásico (https://web.purview.azure.com): se admiten puntos de conexión privados de cuenta, portal e ingesta .
  • Nuevo portal de Microsoft Purview (https://purview.microsoft.com/): se admiten los puntos de conexión privados de la plataforma y la ingesta .

Opción 1: Implementación de nuevas zonas de Azure DNS privado

Implementación de nuevas zonas de Azure DNS privado

Para habilitar la resolución interna de nombres, puede implementar las zonas DNS de Azure necesarias dentro de la suscripción de Azure donde se implementa la cuenta de Microsoft Purview.

Captura de pantalla que muestra zonas DNS.

Al crear puntos de conexión privados de ingesta, portal y cuenta, los registros de recursos CNAME de DNS para Microsoft Purview se actualizan automáticamente a un alias en pocos subdominios con el prefijo privatelink:

  • De forma predeterminada, durante la implementación de puntos de conexión privados de cuenta o plataforma para su cuenta de Microsoft Purview, también creamos una zona DNS privada que corresponde al privatelink subdominio para Microsoft Purview, como privatelink.purview.azure.com para el portal de gobernanza clásico de Microsoft Purview y privatelink.purview-service.microsoft.com para el portal de Microsoft Purview, incluidos los registros de recursos A de DNS para los puntos de conexión privados.

  • Durante la implementación del punto de conexión privado del portal para su cuenta de Microsoft Purview, también creamos una nueva zona DNS privada que corresponde al privatelink subdominio de Microsoft Purview, como privatelink.purviewstudio.azure.com incluir registros de recursos A de DNS para Web.

  • Si habilita puntos de conexión privados de ingesta, se requieren otras zonas DNS para los recursos administrados o configurados.

En la tabla siguiente se muestra un ejemplo de zonas de Azure DNS privado y registros A de DNS que se implementan como parte de la configuración del punto de conexión privado para una cuenta de Microsoft Purview si habilita DNS privado integración durante la implementación:

Punto de conexión privado Punto de conexión privado asociado a Disponibilidad del portal Zona DNS (nueva) Un registro (ejemplo)
Cuenta Microsoft Purview privatelink.purview.azure.com Contoso-Purview
Plataforma Microsoft Purview privatelink.purview-service.microsoft.com Contoso-Purview
Portal Microsoft Purview privatelink.purviewstudio.azure.com Web
Plataforma Microsoft Purview privatelink.purview-service.microsoft.com Web
Ingestión Ingesta de Microsoft Purview: Blob* privatelink.blob.core.windows.net ingestioneus2eastusksqky
Ingestión Ingesta de Microsoft Purview: Blob* privatelink.blob.storage.azure.net ingestioneus2eastusksqky
Ingestión Ingesta de Microsoft Purview: cola* privatelink.queue.core.windows.net ingestioneus2eastusksqky
Ingestión Ingesta de Microsoft Purview: cola* privatelink.queue.storage.azure.net ingestioneus2eastusksqky
Ingestión Event Hubs configurado por Microsoft Purview: Event Hubs** privatelink.servicebus.windows.net atlas-12345678-1234-1234-abcd-123456789abc

Nota:

*Si la cuenta se creó antes del 15 de diciembre de 2023, el punto de conexión se implementa en la cuenta de almacenamiento administrada. Si se creó después del 10 de noviembre (o se implementó mediante la versión de API 2023-05-01-preview en adelante), apunta al almacenamiento de ingesta.

**La cuenta solo tiene un espacio de nombres de Event Hubs asociado si está configurada para notificaciones kafka o creada antes del 15 de diciembre de 2022.

Una vez completada la implementación del punto de conexión privado, asegúrese de que hay un vínculo de red virtual en todas las zonas de Azure DNS privado correspondientes a la red virtual de Azure donde se implementó el punto de conexión privado.

Captura de pantalla que muestra los vínculos de red virtual en la zona DNS.

Para más información, consulte Configuración de DNS del punto de conexión privado de Azure.

Comprobación de la resolución interna de nombres

Al resolver la dirección URL del punto de conexión de Microsoft Purview desde fuera de la red virtual con el punto de conexión privado, se resuelve en el punto de conexión público de Microsoft Purview. Cuando se resuelve desde la red virtual que hospeda el punto de conexión privado, la dirección URL del punto de conexión de Microsoft Purview se resuelve en la dirección IP del punto de conexión privado.

Por ejemplo, si un nombre de cuenta de Microsoft Purview es "Contoso-Purview", cuando se resuelva desde fuera de la red virtual que hospeda el punto de conexión privado, será:

Nombre Tipo Valor
Contoso-Purview.purview.azure.com CNAME Contoso-Purview.privatelink.purview.azure.com
Contoso-Purview.privatelink.purview.azure.com CNAME <Punto de conexión público de Microsoft Purview>
<Punto de conexión público de Microsoft Purview> A <Dirección IP pública de Microsoft Purview>
Web.purview.azure.com CNAME <Punto de conexión público del portal de gobernanza de Microsoft Purview>

Los registros de recursos DNS para Contoso-Purview, cuando se resuelvan en la red virtual que hospeda el punto de conexión privado, serán:

Nombre Tipo Valor
Contoso-Purview.purview.azure.com CNAME Contoso-Purview.privatelink.purview.azure.com
Contoso-Purview.privatelink.purview.azure.com A <Dirección IP del punto de conexión privado de la cuenta de Microsoft Purview>
Web.purview.azure.com CNAME <Dirección IP del punto de conexión privado del portal de Microsoft Purview>

Opción 2: Uso de Azure DNS privado Zones existente

Uso de Azure DNS privado Zones existente

Durante la implementación de puntos de conexión privados de Microsoft Purview, puede elegir DNS privado integración mediante zonas de Azure DNS privado existentes. Este es el caso común de las organizaciones en las que se usa un punto de conexión privado para otros servicios de Azure. En este caso, durante la implementación de puntos de conexión privados, asegúrese de seleccionar las zonas DNS existentes en lugar de crear otras nuevas.

Este escenario también se aplica si la organización usa una suscripción central o central para todas las zonas de Azure DNS privado.

En la lista siguiente se muestran las zonas DNS de Azure necesarias y los registros A para los puntos de conexión privados de Microsoft Purview:

Importante

Actualice todos los nombres con Contoso-Purviewy atlas-12345678-1234-1234-abcd-123456789abcingestioneus2eastusksqky con el nombre de recursos de Azure correspondiente en su entorno.

  • Contoso-Purview es el nombre de la cuenta de Microsoft Purview.
  • Solo necesita los puntos de conexión asociados al portal que usa:
    • Portal de gobernanza de Microsoft Purview clásico (https://web.purview.azure.com): se admiten puntos de conexión privados de cuenta, portal e ingesta .
    • Nuevo portal de Microsoft Purview (https://purview.microsoft.com/): se admiten los puntos de conexión privados de la plataforma y la ingesta .
  • Si la cuenta está configurada para notificaciones kafka o se creó antes del 15 de diciembre de 2022, atlas-12345678-1234-1234-abcd-123456789abc es el espacio de nombres de Event Hubs.
  • Si la cuenta se creó antes del 15 de diciembre de 2023, para ingestioneus2eastusksqky usar el nombre de la cuenta de almacenamiento administrada de Microsoft Purview.
  • Si la cuenta se creó después del 15 de diciembre de 2023 (o se implementó mediante la versión de API 2023-05-01-preview en adelante), déjela ingestioneus2eastusksqky tal como está.
Punto de conexión privado Punto de conexión privado asociado a Disponibilidad del portal Zona DNS (existente) Un registro (ejemplo)
Cuenta Microsoft Purview privatelink.purview.azure.com Contoso-Purview
Plataforma Microsoft Purview privatelink.purview-service.microsoft.com Contoso-Purview
Portal Microsoft Purview privatelink.purviewstudio.azure.com Web
Ingestión Ingesta de Microsoft Purview: Blob* privatelink.blob.core.windows.net ingestioneus2eastusksqky
Ingestión Ingesta de Microsoft Purview: Blob* privatelink.blob.storage.azure.net ingestioneus2eastusksqky
Ingestión Ingesta de Microsoft Purview: cola* privatelink.queue.core.windows.net ingestioneus2eastusksqky
Ingestión Ingesta de Microsoft Purview: cola* privatelink.queue.storage.azure.net ingestioneus2eastusksqky
Ingestión Event Hubs configurado por Microsoft Purview** privatelink.servicebus.windows.net atlas-12345678-1234-1234-abcd-123456789abc

Diagrama que muestra la resolución de nombres de Microsoft Purview

Nota:

*Si la cuenta se creó antes del 15 de diciembre de 2023, el punto de conexión se implementa en la cuenta de almacenamiento administrada. Si se creó después del 10 de noviembre (o se implementó mediante la versión de API 2023-05-01-preview en adelante), apunta al almacenamiento de ingesta. **La cuenta solo tiene un espacio de nombres de Event Hubs asociado si está configurada para notificaciones kafka o creada antes del 15 de diciembre de 2022.

Para obtener más información, consulte Cargas de trabajo de red virtual sin servidor DNS personalizado y cargas de trabajo locales con escenarios de reenviador DNS en la configuración de DNS de punto de conexión privado de Azure.

Una vez completada la implementación del punto de conexión privado, asegúrese de que hay un vínculo de red virtual en todas las zonas de Azure DNS privado correspondientes a la red virtual de Azure donde se implementó el punto de conexión privado.

Captura de pantalla que muestra los vínculos de red virtual en la zona DNS.

Para más información, consulte Configuración de DNS del punto de conexión privado de Azure.

Configuración de reenviadores DNS si se usa DNS personalizado

Además, es necesario validar las configuraciones de DNS en la red virtual de Azure donde se encuentra la máquina virtual o el equipo de administración del entorno de ejecución de integración autohospedado.

Diagrama que muestra dns personalizado de red virtual de Azure

  • Si está configurado como Predeterminado, no se requiere ninguna acción adicional en este paso.

  • Si se usa un servidor DNS personalizado, debe agregar los reenviadores DNS correspondientes dentro de los servidores DNS para las zonas siguientes:

    • Purview.azure.com
    • purviewstudio.azure.com
    • Blob.core.windows.net
    • Queue.core.windows.net
    • Blob.storage.azure.net
    • Queue.storage.azure.net
    • Servicebus.windows.net

Comprobación de la resolución interna de nombres

Al resolver la dirección URL del punto de conexión de Microsoft Purview desde fuera de la red virtual con el punto de conexión privado, se resuelve en el punto de conexión público de Microsoft Purview. Cuando se resuelve desde la red virtual que hospeda el punto de conexión privado, la dirección URL del punto de conexión de Microsoft Purview se resuelve en la dirección IP del punto de conexión privado.

Por ejemplo, si un nombre de cuenta de Microsoft Purview es "Contoso-Purview", cuando se resuelva desde fuera de la red virtual que hospeda el punto de conexión privado, será:

Nombre Tipo Valor
Contoso-Purview.purview.azure.com CNAME Contoso-Purview.privatelink.purview.azure.com
Contoso-Purview.privatelink.purview.azure.com CNAME <Punto de conexión público de Microsoft Purview>
<Punto de conexión público de Microsoft Purview> A <Dirección IP pública de Microsoft Purview>
Web.purview.azure.com CNAME <Punto de conexión público del portal de gobernanza de Microsoft Purview>

Los registros de recursos DNS para Contoso-Purview, cuando se resuelvan en la red virtual que hospeda el punto de conexión privado, serán:

Nombre Tipo Valor
Contoso-Purview.purview.azure.com CNAME Contoso-Purview.privatelink.purview.azure.com
Contoso-Purview.privatelink.purview.azure.com A <Dirección IP del punto de conexión privado de la cuenta de Microsoft Purview>
Web.purview.azure.com CNAME <Dirección IP del punto de conexión privado del portal de Microsoft Purview>

Opción 3: Usar sus propios servidores DNS

Si no usa reenviadores DNS y, en su lugar, administra registros A directamente en los servidores DNS locales para resolver los puntos de conexión a través de sus direcciones IP privadas, es posible que tenga que crear los siguientes registros A en los servidores DNS.

Importante

Actualice todos los nombres con Contoso-Purviewy atlas-12345678-1234-1234-abcd-123456789abcingestioneus2eastusksqky con el nombre de recursos de Azure correspondiente en su entorno.

  • Contoso-Purview es el nombre de la cuenta de Microsoft Purview.
  • Solo necesita los puntos de conexión asociados al portal que usa:
    • Portal de gobernanza de Microsoft Purview clásico (https://web.purview.azure.com): se admiten puntos de conexión privados de cuenta, portal e ingesta .
    • Nuevo portal de Microsoft Purview (https://purview.microsoft.com/): se admiten los puntos de conexión privados de la plataforma y la ingesta .
  • Si la cuenta está configurada para notificaciones kafka o se creó antes del 15 de diciembre de 2022, atlas-12345678-1234-1234-abcd-123456789abc es el espacio de nombres de Event Hubs.
  • Si la cuenta se creó antes del 15 de diciembre de 2023, para ingestioneus2eastusksqky usar el nombre de la cuenta de almacenamiento administrada de Microsoft Purview.
  • Si la cuenta se creó después del 15 de diciembre de 2023 (o se implementó mediante la versión de API 2023-05-01-preview en adelante), déjela ingestioneus2eastusksqky tal como está.
Nombre Tipo Valor Disponibilidad del portal
web.purview.azure.com A <Dirección IP del punto de conexión privado del portal de Microsoft Purview> Portal clásico
ingestioneus2eastusksqky.blob.core.windows.net, ingestioneus2eastusksqky.blob.storage.azure.net A <dirección IP del punto de conexión privado de ingesta de blobs de Microsoft Purview> Portales clásicos y nuevos
ingestioneus2eastusksqky.queue.core.windows.net, ingestioneus2eastusksqky.queue.storage.azure.net A <dirección IP del punto de conexión privado de ingesta de cola de Microsoft Purview> Portales clásicos y nuevos
atlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net A <dirección IP del punto de conexión privado de ingesta de espacio de nombres de Microsoft Purview> Portales clásicos y nuevos
Contoso-Purview.Purview.azure.com A <dirección IP del punto de conexión privado de cuenta o plataforma de Microsoft Purview> Portales clásicos y nuevos
Contoso-Purview.scan.Purview.azure.com A <dirección IP del punto de conexión privado de cuenta o plataforma de Microsoft Purview> Portales clásicos y nuevos
Contoso-Purview.catalog.Purview.azure.com A <dirección IP del punto de conexión privado de cuenta o plataforma de Microsoft Purview> Portales clásicos y nuevos
Contoso-Purview.proxy.purview.azure.com A <dirección IP del punto de conexión privado de cuenta o plataforma de Microsoft Purview> Portales clásicos y nuevos
Contoso-Purview.guardian.purview.azure.com A <dirección IP del punto de conexión privado de cuenta o plataforma de Microsoft Purview> Portales clásicos y nuevos
gateway.purview.azure.com A <dirección IP del punto de conexión privado de cuenta o plataforma de Microsoft Purview> Portales clásicos y nuevos
insight.prod.ext.web.purview.azure.com A <Dirección IP del punto de conexión privado del portal de Microsoft Purview> Portal clásico
manifest.prod.ext.web.purview.azure.com A <Dirección IP del punto de conexión privado del portal de Microsoft Purview> Portal clásico
cdn.prod.ext.web.purview.azure.com A <Dirección IP del punto de conexión privado del portal de Microsoft Purview> Portal clásico
hub.prod.ext.web.purview.azure.com A <Dirección IP del punto de conexión privado del portal de Microsoft Purview> Portal clásico
catalog.prod.ext.web.purview.azure.com A <Dirección IP del punto de conexión privado del portal de Microsoft Purview> Portal clásico
cseo.prod.ext.web.purview.azure.com A <Dirección IP del punto de conexión privado del portal de Microsoft Purview> Portal clásico
datascan.prod.ext.web.purview.azure.com A <Dirección IP del punto de conexión privado del portal de Microsoft Purview> Portal clásico
datashare.prod.ext.web.purview.azure.com A <Dirección IP del punto de conexión privado del portal de Microsoft Purview> Portal clásico
datasource.prod.ext.web.purview.azure.com A <Dirección IP del punto de conexión privado del portal de Microsoft Purview> Portal clásico
policy.prod.ext.web.purview.azure.com A <Dirección IP del punto de conexión privado del portal de Microsoft Purview> Portal clásico
sensitivity.prod.ext.web.purview.azure.com A <Dirección IP del punto de conexión privado del portal de Microsoft Purview> Portal clásico
web.privatelink.purviewstudio.azure.com A <Dirección IP del punto de conexión privado del portal de Microsoft Purview> Portal clásico
workflow.prod.ext.web.purview.azure.com A <Dirección IP del punto de conexión privado del portal de Microsoft Purview> Portal clásico

Comprobación y conectividad de la resolución y la conectividad de nombres de prueba de DNS

  1. Si usa Azure DNS privado Zones, asegúrese de que se crean las siguientes zonas DNS y los registros A correspondientes en la suscripción de Azure:

    Punto de conexión privado Punto de conexión privado asociado a Disponibilidad del portal Zona DNS (existente) Un registro (ejemplo)
    Cuenta Microsoft Purview Portal clásico privatelink.purview.azure.com Contoso-Purview
    Plataforma Microsoft Purview Nuevo portal privatelink.purview-service.microsoft.com Contoso-Purview
    Portal Microsoft Purview Portal clásico privatelink.purviewstudio.azure.com Web
    Ingestión Ingesta de Microsoft Purview: Blob* Portales clásicos y nuevos privatelink.blob.core.windows.net,privatelink.blob.storage.azure.net ingestioneus2eastusksqky
    Ingestión Ingesta de Microsoft Purview: cola* Portales clásicos y nuevos privatelink.queue.core.windows.net,privatelink.queue.storage.azure.net ingestioneus2eastusksqky
    Ingestión Event Hubs** Portales clásicos y nuevos privatelink.servicebus.windows.net atlas-12345678-1234-1234-abcd-123456789abc

    Nota:

    *Si la cuenta se creó antes del 15 de diciembre de 2023, el punto de conexión se implementa en la cuenta de almacenamiento administrada. Si se creó después del 10 de noviembre (o se implementó mediante la versión de API 2023-05-01-preview en adelante), apunta al almacenamiento de ingesta. **La cuenta solo tiene un espacio de nombres de Event Hubs asociado si está configurada para notificaciones kafka o creada antes del 15 de diciembre de 2022.

  2. Cree vínculos de red virtual en Azure DNS privado Zones para las redes virtuales de Azure para permitir la resolución interna de nombres.

  3. Desde el equipo de administración y la máquina virtual del entorno de ejecución de integración autohospedado, pruebe la resolución de nombres y la conectividad de red con su cuenta de Microsoft Purview mediante herramientas como Nslookup.exe y PowerShell.

Para probar la resolución de nombres, debe resolver los siguientes FQDN a través de sus direcciones IP privadas: (en lugar de Contoso-Purview, ingestioneus2eastusksqky o atlas-12345678-1234-1234-abcd-123456789abc, use el nombre de host asociado con el nombre de cuenta de Purview y los nombres de recursos administrados o configurados).

  • Contoso-Purview.purview.azure.com
  • web.purview.azure.com
  • ingestioneus2eastusksqky.blob.core.windows.net
  • ingestioneus2eastusksqky.queue.core.windows.net
  • atlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net

Para probar la conectividad de red, desde la máquina virtual del entorno de ejecución de integración autohospedado puede iniciar la consola de PowerShell y probar la conectividad mediante Test-NetConnection. Debe resolver cada punto de conexión por su punto de conexión privado y obtener TcpTestSucceeded como True. (En lugar de Contoso-Purview, ingestioneus2eastusksqky o atlas-12345678-1234-1234-abcd-123456789abc, use el nombre de host asociado con el nombre de cuenta de Purview y los nombres de recursos administrados o configurados)

  • Test-NetConnection -ComputerName Contoso-Purview.purview.azure.com -port 443
  • Test-NetConnection -ComputerName web.purview.azure.com -port 443
  • Test-NetConnection -ComputerName ingestioneus2eastusksqky.blob.core.windows.net -port 443
  • Test-NetConnection -ComputerName ingestioneus2eastusksqky.queue.core.windows.net -port 443
  • Test-NetConnection -ComputerName atlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net -port 443

En el ejemplo siguiente se muestra la resolución de nombres DNS de Microsoft Purview desde fuera de la red virtual o cuando no se configura un punto de conexión privado de Azure.

Captura de pantalla que muestra la resolución de nombres de Microsoft Purview desde fuera de CorpNet.

En el ejemplo siguiente se muestra la resolución de nombres DNS de Microsoft Purview desde dentro de la red virtual.

Captura de pantalla que muestra la resolución de nombres de Microsoft Purview desde corpnet.

Nota:

Los valores de estas imágenes son ejemplos. Use la información del artículo para configurar correctamente las zonas DNS.

Pasos siguientes