Microsoft Purview プライベート エンドポイントの DNS 名前解決を構成して確認する
概要情報
Microsoft Purview アカウントのプライベート エンドポイントを設定する場合、正確な名前解決は重要な要件です。
展開するシナリオに応じて、DNS 設定で内部名解決を有効にして、プライベート エンドポイント IP アドレスをデータ ソースと管理マシンから Microsoft Purview アカウントとセルフホステッド統合ランタイムに完全修飾ドメイン名 (FQDN) に解決する必要がある場合があります。
ヒント
DNS ゾーンをデプロイするときは、特定の IP アドレスを使用しないでください。 Azure リソースの IP アドレスは静的ではなく、静的 IP アドレスを使用して DNS ゾーンを構築すると、最終的にエラーが発生します。
展開オプション
Microsoft Purview アカウントのプライベート エンドポイントを使用する場合は、次のいずれかのオプションを使用して内部名前解決を設定します。
- プライベート エンドポイントデプロイの Azure 環境の一部に新しい Azure プライベート DNS Zones をデプロイします。 (既定のオプション)
- 既存の Azure プライベート DNS Zones を使用します。 別のサブスクリプションまたは同じサブスクリプション内のハブ アンド スポーク モデルでプライベート エンドポイントを使用している場合は、このオプションを使用します。
- DNS フォワーダーを使用せず、代わりにオンプレミスの DNS サーバーで A レコードを直接管理する場合は、独自の DNS サーバーを使用します。
ヒント
- 従来の Microsoft Purview ガバナンス ポータル (https://web.purview.azure.com): アカウント、 ポータル、 インジェスト のプライベート エンドポイントがサポートされています。
- 新しい Microsoft Purview ポータル (https://purview.microsoft.com/): プラットフォーム と インジェスト のプライベート エンドポイントがサポートされています。
オプション 1 - 新しい Azure プライベート DNS Zones をデプロイする
新しい Azure プライベート DNS Zones をデプロイする
内部の名前解決を有効にするには、Microsoft Purview アカウントがデプロイされている Azure サブスクリプション内に必要な Azure DNS Zones をデプロイできます。
インジェスト、ポータル、アカウントのプライベート エンドポイントを作成すると、Microsoft Purview の DNS CNAME リソース レコードは、プレフィックスが privatelinkされたいくつかのサブドメインのエイリアスに自動的に更新されます。
既定では、Microsoft Purview アカウントのアカウントまたはプラットフォームプライベート エンドポイントのデプロイ中に、Microsoft Purview の
privatelinkサブドメインに対応するプライベート DNS ゾーンも、従来の Microsoft Purview ガバナンス ポータルのprivatelink.purview.azure.comとして作成され、プライベート エンドポイントの DNS A リソース レコードを含む Microsoft Purview ポータルのprivatelink.purview-service.microsoft.comが作成されます。Microsoft Purview アカウントのポータル プライベート エンドポイントのデプロイ中に、Web 用の DNS A リソース レコードを含む
privatelink.purviewstudio.azure.comとして、Microsoft Purview のprivatelinkサブドメインに対応する新しいプライベート DNS ゾーンも作成します。インジェスト プライベート エンドポイントを有効にした場合、管理または構成されたリソースには他の DNS ゾーンが必要です。
次の表は、デプロイ中にプライベート DNS統合を有効にした場合に、Microsoft Purview アカウントのプライベート エンドポイントの構成の一部としてデプロイされる Azure プライベート DNS ゾーンと DNS A レコードの例を示しています。
| プライベート エンドポイント | に関連付けられているプライベート エンドポイント | ポータルの可用性 | DNS ゾーン (新規) | A Record (例) |
|---|---|---|---|---|
| アカウント | Microsoft Purview | privatelink.purview.azure.com |
Contoso-Purview | |
| プラットフォーム | Microsoft Purview | privatelink.purview-service.microsoft.com |
Contoso-Purview | |
| ポータル | Microsoft Purview | privatelink.purviewstudio.azure.com |
Web | |
| プラットフォーム | Microsoft Purview | privatelink.purview-service.microsoft.com |
Web | |
| 摂取 | Microsoft Purview インジェスト - BLOB* | privatelink.blob.core.windows.net |
ingestioneus2eastusksqky | |
| 摂取 | Microsoft Purview インジェスト - BLOB* | privatelink.blob.storage.azure.net |
ingestioneus2eastusksqky | |
| 摂取 | Microsoft Purview インジェスト - キュー* | privatelink.queue.core.windows.net |
ingestioneus2eastusksqky | |
| 摂取 | Microsoft Purview インジェスト - キュー* | privatelink.queue.storage.azure.net |
ingestioneus2eastusksqky | |
| 摂取 | Microsoft Purview で構成された Event Hubs - Event Hubs** | privatelink.servicebus.windows.net |
atlas-12345678-1234-1234-abcd-123456789abc |
注:
*2023 年 12 月 15 日より前にアカウントが作成された場合、エンドポイントはマネージド ストレージ アカウントにデプロイされます。 11 月 10 日以降に作成された場合 (または API バージョン 2023-05-01-preview 以降を使用してデプロイされた場合)、インジェスト ストレージを指します。
**アカウントには、 Kafka 通知用に構成されているか 、2022 年 12 月 15 日より前に作成された Event Hubs 名前空間のみが関連付けられています。
Azure プライベート DNS Zones 上の仮想ネットワーク リンクを検証する
プライベート エンドポイントのデプロイが完了したら、対応するすべての Azure プライベート DNS ゾーンに、プライベート エンドポイントがデプロイされた Azure 仮想ネットワークへの仮想ネットワーク リンクがあることを確認します。
詳細については、「 Azure プライベート エンドポイントの DNS 構成」を参照してください。
内部の名前解決を確認する
プライベート エンドポイントを使用して仮想ネットワークの外部から Microsoft Purview エンドポイント URL を解決すると、Microsoft Purview のパブリック エンドポイントに解決されます。 プライベート エンドポイントをホストする仮想ネットワークから解決されると、Microsoft Purview エンドポイント URL はプライベート エンドポイントの IP アドレスに解決されます。
たとえば、Microsoft Purview アカウント名が "Contoso-Purview" の場合、プライベート エンドポイントをホストする仮想ネットワークの外部から解決されると、次のようになります。
| 名前 | 型 | 値 |
|---|---|---|
Contoso-Purview.purview.azure.com |
CNAME | Contoso-Purview.privatelink.purview.azure.com |
Contoso-Purview.privatelink.purview.azure.com |
CNAME | <Microsoft Purview パブリック エンドポイント> |
| <Microsoft Purview パブリック エンドポイント> | A | <Microsoft Purview パブリック IP アドレス> |
Web.purview.azure.com |
CNAME | <Microsoft Purview ガバナンス ポータルのパブリック エンドポイント> |
Contoso-Purview の DNS リソース レコードは、プライベート エンドポイントをホストする仮想ネットワークで解決されると、次のようになります。
| 名前 | 型 | 値 |
|---|---|---|
Contoso-Purview.purview.azure.com |
CNAME | Contoso-Purview.privatelink.purview.azure.com |
Contoso-Purview.privatelink.purview.azure.com |
A | <Microsoft Purview アカウントのプライベート エンドポイント IP アドレス> |
Web.purview.azure.com |
CNAME | <Microsoft Purview ポータルのプライベート エンドポイント IP アドレス> |
オプション 2 - 既存の Azure プライベート DNS Zones を使用する
既存の Azure プライベート DNS Zones を使用する
Microsoft Purview プライベート エンドポイントのデプロイ中に、既存の Azure プライベート DNS ゾーンを使用プライベート DNS統合を選択できます。 これは、Azure の他のサービスにプライベート エンドポイントが使用されている組織では一般的なケースです。 この場合、プライベート エンドポイントのデプロイ中に、新しい DNS ゾーンを作成するのではなく、既存の DNS ゾーンを選択してください。
このシナリオは、organizationがすべての Azure プライベート DNS Zones に中央またはハブサブスクリプションを使用している場合にも適用されます。
次の一覧は、Microsoft Purview プライベート エンドポイントに必要な Azure DNS ゾーンと A レコードを示しています。
重要
環境内の対応する Azure リソース名を使用して、 Contoso-Purview、ingestioneus2eastusksqky 、 atlas-12345678-1234-1234-abcd-123456789abc を使用して、すべての名前を更新します。
-
Contoso-Purviewは Microsoft Purview アカウントの名前です。 - 必要なのは、使用しているポータルに関連付けられているエンドポイントのみです。
- 従来の Microsoft Purview ガバナンス ポータル (https://web.purview.azure.com): アカウント、 ポータル、 インジェスト のプライベート エンドポイントがサポートされています。
- 新しい Microsoft Purview ポータル (https://purview.microsoft.com/): プラットフォーム と インジェスト のプライベート エンドポイントがサポートされています。
- アカウントが kafka 通知用に構成されているか 、2022 年 12 月 15 日より前に作成された場合、
atlas-12345678-1234-1234-abcd-123456789abcは Event Hubs 名前空間です。 - アカウントが 2023 年 12 月 15 日 より前に 作成された場合、
ingestioneus2eastusksqkyは Microsoft Purview マネージド ストレージ アカウントの名前を使用します。 - アカウントが 2023 年 12 月 15 日以降に作成された (または API バージョン 2023-05-01-preview 以降を使用してデプロイされた) 場合は、
ingestioneus2eastusksqkyのままにします。
| プライベート エンドポイント | に関連付けられているプライベート エンドポイント | ポータルの可用性 | DNS ゾーン (既存) | A Record (例) |
|---|---|---|---|---|
| アカウント | Microsoft Purview | privatelink.purview.azure.com |
Contoso-Purview | |
| プラットフォーム | Microsoft Purview | privatelink.purview-service.microsoft.com |
Contoso-Purview | |
| ポータル | Microsoft Purview | privatelink.purviewstudio.azure.com |
Web | |
| 摂取 | Microsoft Purview インジェスト - BLOB* | privatelink.blob.core.windows.net |
ingestioneus2eastusksqky | |
| 摂取 | Microsoft Purview インジェスト - BLOB* | privatelink.blob.storage.azure.net |
ingestioneus2eastusksqky | |
| 摂取 | Microsoft Purview インジェスト - キュー* | privatelink.queue.core.windows.net |
ingestioneus2eastusksqky | |
| 摂取 | Microsoft Purview インジェスト - キュー* | privatelink.queue.storage.azure.net |
ingestioneus2eastusksqky | |
| 摂取 | Microsoft Purview で構成された Event Hubs** | privatelink.servicebus.windows.net |
atlas-12345678-1234-1234-abcd-123456789abc |
注:
*2023 年 12 月 15 日より前にアカウントが作成された場合、エンドポイントはマネージド ストレージ アカウントにデプロイされます。 11 月 10 日以降に作成された場合 (または API バージョン 2023-05-01-preview 以降を使用してデプロイされた場合)、インジェスト ストレージを指します。 **アカウントには、 Kafka 通知用に構成されているか 、2022 年 12 月 15 日より前に作成された Event Hubs 名前空間のみが関連付けられています。
詳細については、「Azure Private Endpoint DNS 構成の DNS フォワーダー シナリオを使用した、カスタム DNS サーバーのない仮想ネットワーク ワークロードとオンプレミス ワークロード」を参照してください。
Azure プライベート DNS Zones 上の仮想ネットワーク リンクを確認する
プライベート エンドポイントのデプロイが完了したら、対応するすべての Azure プライベート DNS ゾーンに、プライベート エンドポイントがデプロイされた Azure 仮想ネットワークへの仮想ネットワーク リンクがあることを確認します。
詳細については、「 Azure プライベート エンドポイントの DNS 構成」を参照してください。
カスタム DNS が使用されている場合に DNS フォワーダーを構成する
さらに、セルフホステッド統合ランタイム VM または管理 PC がある Azure 仮想ネットワーク上の DNS 構成を検証する必要があります。
既定に構成されている場合、この手順ではそれ以上のアクションは必要ありません。
カスタム DNS サーバーを使用する場合は、次のゾーンに対応する DNS フォワーダーを DNS サーバー内に追加する必要があります。
- Purview.azure.com
- purviewstudio.azure.com
- Blob.core.windows.net
- Queue.core.windows.net
- Blob.storage.azure.net
- Queue.storage.azure.net
- Servicebus.windows.net
内部の名前解決を確認する
プライベート エンドポイントを使用して仮想ネットワークの外部から Microsoft Purview エンドポイント URL を解決すると、Microsoft Purview のパブリック エンドポイントに解決されます。 プライベート エンドポイントをホストする仮想ネットワークから解決されると、Microsoft Purview エンドポイント URL はプライベート エンドポイントの IP アドレスに解決されます。
たとえば、Microsoft Purview アカウント名が "Contoso-Purview" の場合、プライベート エンドポイントをホストする仮想ネットワークの外部から解決されると、次のようになります。
| 名前 | 型 | 値 |
|---|---|---|
Contoso-Purview.purview.azure.com |
CNAME | Contoso-Purview.privatelink.purview.azure.com |
Contoso-Purview.privatelink.purview.azure.com |
CNAME | <Microsoft Purview パブリック エンドポイント> |
| <Microsoft Purview パブリック エンドポイント> | A | <Microsoft Purview パブリック IP アドレス> |
Web.purview.azure.com |
CNAME | <Microsoft Purview ガバナンス ポータルのパブリック エンドポイント> |
Contoso-Purview の DNS リソース レコードは、プライベート エンドポイントをホストする仮想ネットワークで解決されると、次のようになります。
| 名前 | 型 | 値 |
|---|---|---|
Contoso-Purview.purview.azure.com |
CNAME | Contoso-Purview.privatelink.purview.azure.com |
Contoso-Purview.privatelink.purview.azure.com |
A | <Microsoft Purview アカウントのプライベート エンドポイント IP アドレス> |
Web.purview.azure.com |
CNAME | <Microsoft Purview ポータルのプライベート エンドポイント IP アドレス> |
オプション 3 - 独自の DNS サーバーを使用する
DNS フォワーダーを使用せず、代わりにオンプレミスの DNS サーバーで A レコードを直接管理して、プライベート IP アドレスを介してエンドポイントを解決する場合は、DNS サーバーで次の A レコードを作成する必要があります。
重要
環境内の対応する Azure リソース名を使用して、 Contoso-Purview、ingestioneus2eastusksqky 、 atlas-12345678-1234-1234-abcd-123456789abc を使用して、すべての名前を更新します。
-
Contoso-Purviewは Microsoft Purview アカウントの名前です。 - 必要なのは、使用しているポータルに関連付けられているエンドポイントのみです。
- 従来の Microsoft Purview ガバナンス ポータル (https://web.purview.azure.com): アカウント、 ポータル、 インジェスト のプライベート エンドポイントがサポートされています。
- 新しい Microsoft Purview ポータル (https://purview.microsoft.com/): プラットフォーム と インジェスト のプライベート エンドポイントがサポートされています。
- アカウントが kafka 通知用に構成されているか 、2022 年 12 月 15 日より前に作成された場合、
atlas-12345678-1234-1234-abcd-123456789abcは Event Hubs 名前空間です。 - アカウントが 2023 年 12 月 15 日 より前に 作成された場合、
ingestioneus2eastusksqkyは Microsoft Purview マネージド ストレージ アカウントの名前を使用します。 - アカウントが 2023 年 12 月 15 日以降に作成された (または API バージョン 2023-05-01-preview 以降を使用してデプロイされた) 場合は、
ingestioneus2eastusksqkyのままにします。
| 名前 | 型 | 値 | ポータルの可用性 |
|---|---|---|---|
web.purview.azure.com |
A | <Microsoft Purview のポータル プライベート エンドポイント IP アドレス> | クラシック ポータル |
ingestioneus2eastusksqky.blob.core.windows.net, ingestioneus2eastusksqky.blob.storage.azure.net |
A | <Microsoft Purview の BLOB インジェスト プライベート エンドポイント IP アドレス> | クラシック ポータルと新しいポータル |
ingestioneus2eastusksqky.queue.core.windows.net, ingestioneus2eastusksqky.queue.storage.azure.net |
A | <Microsoft Purview の queue-ingestion プライベート エンドポイント IP アドレス> | クラシック ポータルと新しいポータル |
atlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net |
A | <Microsoft Purview の namespace-ingestion プライベート エンドポイント IP アドレス> | クラシック ポータルと新しいポータル |
Contoso-Purview.Purview.azure.com |
A | <Microsoft Purview の account/platform プライベート エンドポイント IP アドレス> | クラシック ポータルと新しいポータル |
Contoso-Purview.scan.Purview.azure.com |
A | <Microsoft Purview の account/platform プライベート エンドポイント IP アドレス> | クラシック ポータルと新しいポータル |
Contoso-Purview.catalog.Purview.azure.com |
A | <Microsoft Purview の account/platform プライベート エンドポイント IP アドレス> | クラシック ポータルと新しいポータル |
Contoso-Purview.proxy.purview.azure.com |
A | <Microsoft Purview の account/platform プライベート エンドポイント IP アドレス> | クラシック ポータルと新しいポータル |
Contoso-Purview.guardian.purview.azure.com |
A | <Microsoft Purview の account/platform プライベート エンドポイント IP アドレス> | クラシック ポータルと新しいポータル |
gateway.purview.azure.com |
A | <Microsoft Purview の account/platform プライベート エンドポイント IP アドレス> | クラシック ポータルと新しいポータル |
insight.prod.ext.web.purview.azure.com |
A | <Microsoft Purview のポータル プライベート エンドポイント IP アドレス> | クラシック ポータル |
manifest.prod.ext.web.purview.azure.com |
A | <Microsoft Purview のポータル プライベート エンドポイント IP アドレス> | クラシック ポータル |
cdn.prod.ext.web.purview.azure.com |
A | <Microsoft Purview のポータル プライベート エンドポイント IP アドレス> | クラシック ポータル |
hub.prod.ext.web.purview.azure.com |
A | <Microsoft Purview のポータル プライベート エンドポイント IP アドレス> | クラシック ポータル |
catalog.prod.ext.web.purview.azure.com |
A | <Microsoft Purview のポータル プライベート エンドポイント IP アドレス> | クラシック ポータル |
cseo.prod.ext.web.purview.azure.com |
A | <Microsoft Purview のポータル プライベート エンドポイント IP アドレス> | クラシック ポータル |
datascan.prod.ext.web.purview.azure.com |
A | <Microsoft Purview のポータル プライベート エンドポイント IP アドレス> | クラシック ポータル |
datashare.prod.ext.web.purview.azure.com |
A | <Microsoft Purview のポータル プライベート エンドポイント IP アドレス> | クラシック ポータル |
datasource.prod.ext.web.purview.azure.com |
A | <Microsoft Purview のポータル プライベート エンドポイント IP アドレス> | クラシック ポータル |
policy.prod.ext.web.purview.azure.com |
A | <Microsoft Purview のポータル プライベート エンドポイント IP アドレス> | クラシック ポータル |
sensitivity.prod.ext.web.purview.azure.com |
A | <Microsoft Purview のポータル プライベート エンドポイント IP アドレス> | クラシック ポータル |
web.privatelink.purviewstudio.azure.com |
A | <Microsoft Purview のポータル プライベート エンドポイント IP アドレス> | クラシック ポータル |
workflow.prod.ext.web.purview.azure.com |
A | <Microsoft Purview のポータル プライベート エンドポイント IP アドレス> | クラシック ポータル |
検証と DNS テストの名前解決と接続
Azure プライベート DNS Zones を使用している場合は、次の DNS ゾーンと、対応する A レコードが Azure サブスクリプションに作成されていることを確認します。
プライベート エンドポイント に関連付けられているプライベート エンドポイント ポータルの可用性 DNS ゾーン (既存) A Record (例) アカウント Microsoft Purview クラシック ポータル privatelink.purview.azure.comContoso-Purview プラットフォーム Microsoft Purview 新しいポータル privatelink.purview-service.microsoft.comContoso-Purview ポータル Microsoft Purview クラシック ポータル privatelink.purviewstudio.azure.comWeb 摂取 Microsoft Purview インジェスト - BLOB* クラシック ポータルと新しいポータル privatelink.blob.core.windows.net,privatelink.blob.storage.azure.netingestioneus2eastusksqky 摂取 Microsoft Purview インジェスト - キュー* クラシック ポータルと新しいポータル privatelink.queue.core.windows.net,privatelink.queue.storage.azure.netingestioneus2eastusksqky 摂取 Event Hubs** クラシック ポータルと新しいポータル privatelink.servicebus.windows.netatlas-12345678-1234-1234-abcd-123456789abc 注:
*2023 年 12 月 15 日より前にアカウントが作成された場合、エンドポイントはマネージド ストレージ アカウントにデプロイされます。 11 月 10 日以降に作成された場合 (または API バージョン 2023-05-01-preview 以降を使用してデプロイされた場合)、インジェスト ストレージを指します。 **アカウントには、 Kafka 通知用に構成されているか 、2022 年 12 月 15 日より前に作成された Event Hubs 名前空間のみが関連付けられています。
Azure Virtual Networks の Azure プライベート DNS Zones に仮想ネットワーク リンクを作成して、内部の名前解決を許可します。
管理 PC とセルフホステッド統合ランタイム VM から、Nslookup.exe や PowerShell などのツールを使用して、Microsoft Purview アカウントへの名前解決とネットワーク接続をテストします
名前解決をテストするには、プライベート IP アドレスを使用して次の FQDN を解決する必要があります。(Contoso-Purview、ingestioneus2eastusksqky、atlas-12345678-1234-abcd-123456789abc の代わりに、purview アカウント名に関連付けられているホスト名を使用し、管理または構成されたリソース名)
Contoso-Purview.purview.azure.comweb.purview.azure.comingestioneus2eastusksqky.blob.core.windows.netingestioneus2eastusksqky.queue.core.windows.netatlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net
ネットワーク接続をテストするには、セルフホステッド統合ランタイム VM から PowerShell コンソールを起動し、 Test-NetConnectionを使用して接続をテストできます。
各エンドポイントをプライベート エンドポイントで解決し、TcpTestSucceeded を True として取得する必要があります。 (Contoso-Purview、ingestioneus2eastusksqky または atlas-12345678-1234-abcd-123456789abc の代わりに、purview アカウント名と管理または構成されたリソース名に関連付けられているホスト名を使用します)。
Test-NetConnection -ComputerName Contoso-Purview.purview.azure.com -port 443Test-NetConnection -ComputerName web.purview.azure.com -port 443Test-NetConnection -ComputerName ingestioneus2eastusksqky.blob.core.windows.net -port 443Test-NetConnection -ComputerName ingestioneus2eastusksqky.queue.core.windows.net -port 443Test-NetConnection -ComputerName atlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net -port 443
次の例は、仮想ネットワークの外部から、または Azure プライベート エンドポイントが構成されていない場合の Microsoft Purview DNS の名前解決を示しています。
次の例は、仮想ネットワーク内からの Microsoft Purview DNS の名前解決を示しています。
注:
これらの画像の値は例です。 記事の情報を使用して、DNS ゾーンを正しく構成します。