Configurer et vérifier la résolution de noms DNS pour les points de terminaison privés Microsoft Purview
Présentation conceptuelle
La résolution de noms précise est une exigence essentielle lors de la configuration de points de terminaison privés pour vos comptes Microsoft Purview.
Vous devrez peut-être activer la résolution de noms interne dans vos paramètres DNS pour résoudre les adresses IP du point de terminaison privé en nom de domaine complet (FQDN) à partir des sources de données et de votre ordinateur de gestion vers le compte Microsoft Purview et le runtime d’intégration auto-hébergé, selon les scénarios que vous déployez.
Conseil
Lorsque vous déployez vos zones DNS, n’utilisez pas d’adresses IP spécifiques. Les adresses IP des ressources Azure ne sont pas statiques et la création de vos zones DNS avec des adresses IP statiques finira par entraîner des erreurs.
Options de déploiement
Utilisez l’une des options suivantes pour configurer la résolution de noms interne lors de l’utilisation de points de terminaison privés pour votre compte Microsoft Purview :
- Déployez de nouvelles zones Azure DNS privé dans votre environnement Azure dans le cadre du déploiement de point de terminaison privé. (Option par défaut)
- Utilisez des zones de DNS privé Azure existantes. Utilisez cette option si vous utilisez un point de terminaison privé dans un modèle hub-and-spoke à partir d’un autre abonnement ou même au sein du même abonnement.
- Utilisez vos propres serveurs DNS si vous n’utilisez pas de redirecteurs DNS et que vous gérez les enregistrements A directement dans vos serveurs DNS locaux.
Conseil
- Portail de gouvernance Microsoft Purview classique (https://web.purview.azure.com) : les points de terminaison privés de compte, de portail et d’ingestion sont pris en charge.
- Nouveau portail Microsoft Purview (https://purview.microsoft.com/) : les points de terminaison privés de plateforme et d’ingestion sont pris en charge.
Option 1 : Déployer de nouvelles zones DNS privé Azure
Déployer de nouvelles zones de DNS privé Azure
Pour activer la résolution de noms interne, vous pouvez déployer les zones Azure DNS requises dans votre abonnement Azure où le compte Microsoft Purview est déployé.
Lorsque vous créez des points de terminaison privés d’ingestion, de portail et de compte, les enregistrements de ressources CNAME DNS pour Microsoft Purview sont automatiquement mis à jour vers un alias dans quelques sous-domaines avec le préfixe privatelink:
Par défaut, lors du déploiement de points de terminaison privés de compte ou de plateforme pour votre compte Microsoft Purview, nous créons également une zone DNS privée qui correspond au
privatelinksous-domaine pour Microsoft Purview commeprivatelink.purview.azure.compour le portail de gouvernance Microsoft Purview classique etprivatelink.purview-service.microsoft.compour le portail Microsoft Purview, y compris les enregistrements de ressources DNS A pour les points de terminaison privés.Lors du déploiement du point de terminaison privé du portail pour votre compte Microsoft Purview, nous créons également une zone DNS privée qui correspond au
privatelinksous-domaine de Microsoft Purview, en incluantprivatelink.purviewstudio.azure.comles enregistrements de ressources DNS A pour le web.Si vous activez les points de terminaison privés d’ingestion, d’autres zones DNS sont requises pour les ressources managées ou configurées.
Le tableau suivant montre un exemple de zones Azure DNS privé et d’enregistrements DNS A déployés dans le cadre de la configuration d’un point de terminaison privé pour un compte Microsoft Purview si vous activez l’intégration DNS privé pendant le déploiement :
| Point de terminaison privé | Point de terminaison privé associé à | Disponibilité du portail | Zone DNS (nouveau) | Un enregistrement (exemple) |
|---|---|---|---|---|
| Compte | Microsoft Purview | privatelink.purview.azure.com |
Contoso-Purview | |
| Plateforme | Microsoft Purview | privatelink.purview-service.microsoft.com |
Contoso-Purview | |
| Portail | Microsoft Purview | privatelink.purviewstudio.azure.com |
Web | |
| Plateforme | Microsoft Purview | privatelink.purview-service.microsoft.com |
Web | |
| Ingestion | Microsoft Purview ingestion - Blob* | privatelink.blob.core.windows.net |
ingestioneus2eastusksqky | |
| Ingestion | Microsoft Purview ingestion - Blob* | privatelink.blob.storage.azure.net |
ingestioneus2eastusksqky | |
| Ingestion | Ingestion Microsoft Purview - File d’attente* | privatelink.queue.core.windows.net |
ingestioneus2eastusksqky | |
| Ingestion | Ingestion Microsoft Purview - File d’attente* | privatelink.queue.storage.azure.net |
ingestioneus2eastusksqky | |
| Ingestion | Hubs d’événements configurés par Microsoft Purview - Event Hubs** | privatelink.servicebus.windows.net |
atlas-12345678-1234-1234-abcd-123456789abc |
Remarque
*Si votre compte a été créé avant le 15 décembre 2023, le point de terminaison est déployé sur votre compte de stockage managé. S’il a été créé après le 10 novembre (ou déployé à l’aide de la version d’API 2023-05-01-preview), il pointe vers le stockage d’ingestion.
**Votre compte dispose uniquement d’un espace de noms Event Hubs associé s’il est configuré pour les notifications Kafka ou créé avant le 15 décembre 2022.
Valider les liens de réseau virtuel sur azure DNS privé Zones
Une fois le déploiement du point de terminaison privé terminé, assurez-vous qu’il existe une liaison de réseau virtuel sur toutes les zones Azure DNS privé correspondantes vers le réseau virtuel Azure où le point de terminaison privé a été déployé.
Pour plus d’informations, consultez Configuration DNS du point de terminaison privé Azure.
Vérifier la résolution de noms interne
Lorsque vous résolvez l’URL du point de terminaison Microsoft Purview à partir de l’extérieur du réseau virtuel avec le point de terminaison privé, elle est résolue en point de terminaison public de Microsoft Purview. Lorsqu’elle est résolue à partir du réseau virtuel hébergeant le point de terminaison privé, l’URL du point de terminaison Microsoft Purview est résolue en adresse IP du point de terminaison privé.
Par exemple, si un nom de compte Microsoft Purview est « Contoso-Purview », lorsqu’il est résolu à partir de l’extérieur du réseau virtuel qui héberge le point de terminaison privé, il s’agit des éléments suivants :
| Nom | Type | Valeur |
|---|---|---|
Contoso-Purview.purview.azure.com |
CNAME | Contoso-Purview.privatelink.purview.azure.com |
Contoso-Purview.privatelink.purview.azure.com |
CNAME | <Point de terminaison public Microsoft Purview> |
| <Point de terminaison public Microsoft Purview> | A | <Adresse IP publique Microsoft Purview> |
Web.purview.azure.com |
CNAME | <Point de terminaison public du portail de gouvernance Microsoft Purview> |
Les enregistrements de ressources DNS pour Contoso-Purview, lorsqu’ils sont résolus dans le réseau virtuel hébergeant le point de terminaison privé, sont les suivants :
| Nom | Type | Valeur |
|---|---|---|
Contoso-Purview.purview.azure.com |
CNAME | Contoso-Purview.privatelink.purview.azure.com |
Contoso-Purview.privatelink.purview.azure.com |
A | <Adresse IP du point de terminaison privé du compte Microsoft Purview> |
Web.purview.azure.com |
CNAME | <Adresse IP du point de terminaison privé du portail Microsoft Purview> |
Option 2 : Utiliser des zones DNS privé Azure existantes
Utiliser des zones de DNS privé Azure existantes
Lors du déploiement de points de terminaison privés Microsoft Purview, vous pouvez choisir DNS privé’intégration à l’aide de zones azure DNS privé existantes. C’est le cas courant pour les organisations où un point de terminaison privé est utilisé pour d’autres services dans Azure. Dans ce cas, pendant le déploiement de points de terminaison privés, veillez à sélectionner les zones DNS existantes au lieu d’en créer de nouvelles.
Ce scénario s’applique également si votre organization utilise un abonnement central ou hub pour toutes les zones Azure DNS privé.
La liste suivante présente les zones Azure DNS et les enregistrements A requis pour les points de terminaison privés Microsoft Purview :
Importante
Mettez à jour tous les noms avec Contoso-Purview,ingestioneus2eastusksqky et atlas-12345678-1234-1234-abcd-123456789abc avec le nom des ressources Azure correspondantes dans votre environnement.
-
Contoso-Purviewest le nom de votre compte Microsoft Purview. - Vous avez uniquement besoin des points de terminaison associés au portail que vous utilisez :
- Portail de gouvernance Microsoft Purview classique (https://web.purview.azure.com) : les points de terminaison privés de compte, de portail et d’ingestion sont pris en charge.
- Nouveau portail Microsoft Purview (https://purview.microsoft.com/) : les points de terminaison privés de plateforme et d’ingestion sont pris en charge.
- Si votre compte est configuré pour les notifications Kafka ou a été créé avant le 15 décembre 2022,
atlas-12345678-1234-1234-abcd-123456789abcest votre espace de noms Event Hubs. - Si votre compte a été créé avant le 15 décembre 2023,
ingestioneus2eastusksqkyutilisez le nom de votre compte de stockage managé Microsoft Purview. - Si votre compte a été créé après le 15 décembre 2023 (ou déployé à l’aide de la version d’API 2023-05-01-preview à partir de), laissez
ingestioneus2eastusksqkytel tel tel que.
| Point de terminaison privé | Point de terminaison privé associé à | Disponibilité du portail | Zone DNS (existante) | Un enregistrement (exemple) |
|---|---|---|---|---|
| Compte | Microsoft Purview | privatelink.purview.azure.com |
Contoso-Purview | |
| Plateforme | Microsoft Purview | privatelink.purview-service.microsoft.com |
Contoso-Purview | |
| Portail | Microsoft Purview | privatelink.purviewstudio.azure.com |
Web | |
| Ingestion | Microsoft Purview ingestion - Blob* | privatelink.blob.core.windows.net |
ingestioneus2eastusksqky | |
| Ingestion | Microsoft Purview ingestion - Blob* | privatelink.blob.storage.azure.net |
ingestioneus2eastusksqky | |
| Ingestion | Ingestion Microsoft Purview - File d’attente* | privatelink.queue.core.windows.net |
ingestioneus2eastusksqky | |
| Ingestion | Ingestion Microsoft Purview - File d’attente* | privatelink.queue.storage.azure.net |
ingestioneus2eastusksqky | |
| Ingestion | Hubs d’événements configurés par Microsoft Purview** | privatelink.servicebus.windows.net |
atlas-12345678-1234-1234-abcd-123456789abc |
Remarque
*Si votre compte a été créé avant le 15 décembre 2023, le point de terminaison est déployé sur votre compte de stockage managé. S’il a été créé après le 10 novembre (ou déployé à l’aide de la version d’API 2023-05-01-preview), il pointe vers le stockage d’ingestion. **Votre compte dispose uniquement d’un espace de noms Event Hubs associé s’il est configuré pour les notifications Kafka ou créé avant le 15 décembre 2022.
Pour plus d’informations, consultez Charges de travail de réseau virtuel sans serveur DNS personnalisé et Charges de travail locales à l’aide d’un redirecteur DNS dans la configuration DNS du point de terminaison privé Azure.
Vérifier les liens de réseau virtuel sur azure DNS privé Zones
Une fois le déploiement du point de terminaison privé terminé, assurez-vous qu’il existe une liaison de réseau virtuel sur toutes les zones Azure DNS privé correspondantes vers le réseau virtuel Azure où le point de terminaison privé a été déployé.
Pour plus d’informations, consultez Configuration DNS du point de terminaison privé Azure.
Configurer des redirecteurs DNS si un DNS personnalisé est utilisé
En outre, il est nécessaire de valider vos configurations DNS sur le réseau virtuel Azure où se trouve la machine virtuelle du runtime d’intégration auto-hébergé ou le PC de gestion.
S’il est configuré sur Par défaut, aucune autre action n’est requise dans cette étape.
Si un serveur DNS personnalisé est utilisé, vous devez ajouter des redirecteurs DNS correspondants à l’intérieur de vos serveurs DNS pour les zones suivantes :
- Purview.azure.com
- purviewstudio.azure.com
- Blob.core.windows.net
- Queue.core.windows.net
- Blob.storage.azure.net
- Queue.storage.azure.net
- Servicebus.windows.net
Vérifier la résolution de noms interne
Lorsque vous résolvez l’URL du point de terminaison Microsoft Purview à partir de l’extérieur du réseau virtuel avec le point de terminaison privé, elle est résolue en point de terminaison public de Microsoft Purview. Lorsqu’elle est résolue à partir du réseau virtuel hébergeant le point de terminaison privé, l’URL du point de terminaison Microsoft Purview est résolue en adresse IP du point de terminaison privé.
Par exemple, si un nom de compte Microsoft Purview est « Contoso-Purview », lorsqu’il est résolu à partir de l’extérieur du réseau virtuel qui héberge le point de terminaison privé, il s’agit des éléments suivants :
| Nom | Type | Valeur |
|---|---|---|
Contoso-Purview.purview.azure.com |
CNAME | Contoso-Purview.privatelink.purview.azure.com |
Contoso-Purview.privatelink.purview.azure.com |
CNAME | <Point de terminaison public Microsoft Purview> |
| <Point de terminaison public Microsoft Purview> | A | <Adresse IP publique Microsoft Purview> |
Web.purview.azure.com |
CNAME | <Point de terminaison public du portail de gouvernance Microsoft Purview> |
Les enregistrements de ressources DNS pour Contoso-Purview, lorsqu’ils sont résolus dans le réseau virtuel hébergeant le point de terminaison privé, sont les suivants :
| Nom | Type | Valeur |
|---|---|---|
Contoso-Purview.purview.azure.com |
CNAME | Contoso-Purview.privatelink.purview.azure.com |
Contoso-Purview.privatelink.purview.azure.com |
A | <Adresse IP du point de terminaison privé du compte Microsoft Purview> |
Web.purview.azure.com |
CNAME | <Adresse IP du point de terminaison privé du portail Microsoft Purview> |
Option 3 - Utiliser vos propres serveurs DNS
Si vous n’utilisez pas de redirecteurs DNS et que vous gérez des enregistrements A directement dans vos serveurs DNS locaux pour résoudre les points de terminaison via leurs adresses IP privées, vous devrez peut-être créer les enregistrements A suivants dans vos serveurs DNS.
Importante
Mettez à jour tous les noms avec Contoso-Purview,ingestioneus2eastusksqky et atlas-12345678-1234-1234-abcd-123456789abc avec le nom des ressources Azure correspondantes dans votre environnement.
-
Contoso-Purviewest le nom de votre compte Microsoft Purview. - Vous avez uniquement besoin des points de terminaison associés au portail que vous utilisez :
- Portail de gouvernance Microsoft Purview classique (https://web.purview.azure.com) : les points de terminaison privés de compte, de portail et d’ingestion sont pris en charge.
- Nouveau portail Microsoft Purview (https://purview.microsoft.com/) : les points de terminaison privés de plateforme et d’ingestion sont pris en charge.
- Si votre compte est configuré pour les notifications Kafka ou a été créé avant le 15 décembre 2022,
atlas-12345678-1234-1234-abcd-123456789abcest votre espace de noms Event Hubs. - Si votre compte a été créé avant le 15 décembre 2023,
ingestioneus2eastusksqkyutilisez le nom de votre compte de stockage managé Microsoft Purview. - Si votre compte a été créé après le 15 décembre 2023 (ou déployé à l’aide de la version d’API 2023-05-01-preview à partir de), laissez
ingestioneus2eastusksqkytel tel tel que.
| Nom | Type | Valeur | Disponibilité du portail |
|---|---|---|---|
web.purview.azure.com |
A | <adresse IP du point de terminaison privé du portail de Microsoft Purview> | Portail classique |
ingestioneus2eastusksqky.blob.core.windows.net, ingestioneus2eastusksqky.blob.storage.azure.net |
A | <Adresse IP du point de terminaison privé d’ingestion d’objets blob de Microsoft Purview> | Portails classiques et nouveaux |
ingestioneus2eastusksqky.queue.core.windows.net, ingestioneus2eastusksqky.queue.storage.azure.net |
A | <Adresse IP du point de terminaison privé d’ingestion de file d’attente de Microsoft Purview> | Portails classiques et nouveaux |
atlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net |
A | <Adresse IP du point de terminaison privé d’ingestion d’espace de noms de Microsoft Purview> | Portails classiques et nouveaux |
Contoso-Purview.Purview.azure.com |
A | <adresse IP du point de terminaison privé de compte/plateforme de Microsoft Purview> | Portails classiques et nouveaux |
Contoso-Purview.scan.Purview.azure.com |
A | <adresse IP du point de terminaison privé de compte/plateforme de Microsoft Purview> | Portails classiques et nouveaux |
Contoso-Purview.catalog.Purview.azure.com |
A | <adresse IP du point de terminaison privé de compte/plateforme de Microsoft Purview> | Portails classiques et nouveaux |
Contoso-Purview.proxy.purview.azure.com |
A | <adresse IP du point de terminaison privé de compte/plateforme de Microsoft Purview> | Portails classiques et nouveaux |
Contoso-Purview.guardian.purview.azure.com |
A | <adresse IP du point de terminaison privé de compte/plateforme de Microsoft Purview> | Portails classiques et nouveaux |
gateway.purview.azure.com |
A | <adresse IP du point de terminaison privé de compte/plateforme de Microsoft Purview> | Portails classiques et nouveaux |
insight.prod.ext.web.purview.azure.com |
A | <adresse IP du point de terminaison privé du portail de Microsoft Purview> | Portail classique |
manifest.prod.ext.web.purview.azure.com |
A | <adresse IP du point de terminaison privé du portail de Microsoft Purview> | Portail classique |
cdn.prod.ext.web.purview.azure.com |
A | <adresse IP du point de terminaison privé du portail de Microsoft Purview> | Portail classique |
hub.prod.ext.web.purview.azure.com |
A | <adresse IP du point de terminaison privé du portail de Microsoft Purview> | Portail classique |
catalog.prod.ext.web.purview.azure.com |
A | <adresse IP du point de terminaison privé du portail de Microsoft Purview> | Portail classique |
cseo.prod.ext.web.purview.azure.com |
A | <adresse IP du point de terminaison privé du portail de Microsoft Purview> | Portail classique |
datascan.prod.ext.web.purview.azure.com |
A | <adresse IP du point de terminaison privé du portail de Microsoft Purview> | Portail classique |
datashare.prod.ext.web.purview.azure.com |
A | <adresse IP du point de terminaison privé du portail de Microsoft Purview> | Portail classique |
datasource.prod.ext.web.purview.azure.com |
A | <adresse IP du point de terminaison privé du portail de Microsoft Purview> | Portail classique |
policy.prod.ext.web.purview.azure.com |
A | <adresse IP du point de terminaison privé du portail de Microsoft Purview> | Portail classique |
sensitivity.prod.ext.web.purview.azure.com |
A | <adresse IP du point de terminaison privé du portail de Microsoft Purview> | Portail classique |
web.privatelink.purviewstudio.azure.com |
A | <adresse IP du point de terminaison privé du portail de Microsoft Purview> | Portail classique |
workflow.prod.ext.web.purview.azure.com |
A | <adresse IP du point de terminaison privé du portail de Microsoft Purview> | Portail classique |
Vérifier et tester la résolution de noms et la connectivité DNS
Si vous utilisez Azure DNS privé Zones, assurez-vous que les zones DNS suivantes et les enregistrements A correspondants sont créés dans votre abonnement Azure :
Point de terminaison privé Point de terminaison privé associé à Disponibilité du portail Zone DNS (existante) Un enregistrement (exemple) Compte Microsoft Purview Portail classique privatelink.purview.azure.comContoso-Purview Plateforme Microsoft Purview Nouveau portail privatelink.purview-service.microsoft.comContoso-Purview Portail Microsoft Purview Portail classique privatelink.purviewstudio.azure.comWeb Ingestion Microsoft Purview ingestion - Blob* Portails classiques et nouveaux privatelink.blob.core.windows.net,privatelink.blob.storage.azure.netingestioneus2eastusksqky Ingestion Ingestion Microsoft Purview - File d’attente* Portails classiques et nouveaux privatelink.queue.core.windows.net,privatelink.queue.storage.azure.netingestioneus2eastusksqky Ingestion Event Hubs** Portails classiques et nouveaux privatelink.servicebus.windows.netatlas-12345678-1234-1234-abcd-123456789abc Remarque
*Si votre compte a été créé avant le 15 décembre 2023, le point de terminaison est déployé sur votre compte de stockage managé. S’il a été créé après le 10 novembre (ou déployé à l’aide de la version d’API 2023-05-01-preview), il pointe vers le stockage d’ingestion. **Votre compte dispose uniquement d’un espace de noms Event Hubs associé s’il est configuré pour les notifications Kafka ou créé avant le 15 décembre 2022.
Créez des liens de réseau virtuel dans vos zones Azure DNS privé pour vos réseaux virtuels Azure afin d’autoriser la résolution de noms interne.
À partir de votre PC de gestion et de votre machine virtuelle du runtime d’intégration auto-hébergé, testez la résolution de noms et la connectivité réseau à votre compte Microsoft Purview à l’aide d’outils tels que Nslookup.exe et PowerShell
Pour tester la résolution de noms, vous devez résoudre les noms de domaine complets suivants via leurs adresses IP privées : (au lieu de Contoso-Purview, ingestioneus2eastusksqky ou atlas-12345678-1234-1234-abcd-123456789abc, utilisez le nom d’hôte associé au nom de votre compte Purview et aux noms des ressources gérées ou configurées)
Contoso-Purview.purview.azure.comweb.purview.azure.comingestioneus2eastusksqky.blob.core.windows.netingestioneus2eastusksqky.queue.core.windows.netatlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net
Pour tester la connectivité réseau, à partir d’une machine virtuelle du runtime d’intégration auto-hébergé, vous pouvez lancer la console PowerShell et tester la connectivité à l’aide Test-NetConnectionde .
Vous devez résoudre chaque point de terminaison par leur point de terminaison privé et obtenir TcpTestSucceeded avec la valeur True. (Au lieu de Contoso-Purview, ingestioneus2eastusksqky ou atlas-12345678-1234-1234-abcd-123456789abc, utilisez le nom d’hôte associé au nom de votre compte Purview et aux noms des ressources gérées ou configurées)
Test-NetConnection -ComputerName Contoso-Purview.purview.azure.com -port 443Test-NetConnection -ComputerName web.purview.azure.com -port 443Test-NetConnection -ComputerName ingestioneus2eastusksqky.blob.core.windows.net -port 443Test-NetConnection -ComputerName ingestioneus2eastusksqky.queue.core.windows.net -port 443Test-NetConnection -ComputerName atlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net -port 443
L’exemple suivant montre la résolution de noms DNS Microsoft Purview en dehors du réseau virtuel ou lorsqu’un point de terminaison privé Azure n’est pas configuré.
L’exemple suivant illustre la résolution de noms DNS Microsoft Purview à partir du réseau virtuel.
Remarque
Les valeurs de ces images sont des exemples. Utilisez les informations de l’article pour configurer correctement vos zones DNS.