FAQ sobre pontos finais privados do Microsoft Purview e VNets Geridas
Este artigo responde a perguntas comuns que os clientes e as equipas de campo fazem frequentemente sobre as configurações de rede do Microsoft Purview com Link Privado do Azure ou VNets Geridas do Microsoft Purview. Destina-se a esclarecer questões sobre as definições da firewall do Microsoft Purview, pontos finais privados, configuração de DNS e configurações relacionadas.
Para configurar o Microsoft Purview com Link Privado, consulte Utilizar pontos finais privados para a sua conta do Microsoft Purview. Para configurar VNets Geridas para uma conta do Microsoft Purview, veja Utilizar uma rede virtual gerida com a sua conta do Microsoft Purview.
Quando devo utilizar um runtime de integração autoalojado, o IR de rede virtual gerida ou o Azure IR?
Saiba mais em Escolher a configuração do runtime de integração certa para o seu cenário.
Posso utilizar o runtime de integração autoalojado e o IR de rede virtual gerida numa conta do Microsoft Purview?
Sim. Pode utilizar uma ou todas as opções de runtime numa única conta do Microsoft Purview: IR do Azure, IR de rede virtual gerida e runtime de integração autoalojado. Só pode utilizar uma opção de runtime numa única análise.
Qual é o objetivo de implementar o ponto final privado da conta do Microsoft Purview?
O ponto final privado da conta do Microsoft Purview é utilizado para adicionar outra camada de segurança ao ativar cenários em que apenas as chamadas de cliente provenientes da rede virtual têm permissão para aceder à conta. Este ponto final privado também é um pré-requisito para o ponto final privado do portal.
Qual é o objetivo de implementar o ponto final privado do portal do Microsoft Purview?
O ponto final privado do portal do Microsoft Purview fornece conectividade privada ao portal de governação do Microsoft Purview.
Qual é o objetivo de implementar os pontos finais privados de ingestão do Microsoft Purview?
O Microsoft Purview pode analisar origens de dados no Azure ou num ambiente no local com pontos finais privados de ingestão. São implementados e ligados outros três recursos de ponto final privado aos recursos geridos ou configurados do Microsoft Purview quando são criados pontos finais privados de ingestão:
- Se estiver a utilizar hubs de eventos geridos para notificações do Kafka, o espaço de nomes está ligado a um espaço de nomes dos Hubs de Eventos configurado pelo Microsoft Purview.
- Se a sua conta tiver sido criada antes de 15 de dezembro de 2023:
- O Blob está associado a uma conta de armazenamento gerida do Microsoft Purview.
- A fila está ligada a uma conta de armazenamento gerida do Microsoft Purview.
- Se a sua conta tiver sido criada após 15 de dezembro de 2023 (ou implementada com a versão 2023-05-01-preview da API):
- O blob está ligado a um armazenamento de ingestão do Microsoft Purview.
- A fila está ligada a um armazenamento de ingestão do Microsoft Purview.
Posso analisar uma origem de dados através de um ponto final público se um ponto final privado estiver ativado na minha conta do Microsoft Purview?
Sim. As origens de dados que não estão ligadas através de um ponto final privado podem ser analisadas através de um ponto final público enquanto o Microsoft Purview está configurado para utilizar um ponto final privado.
Posso analisar uma origem de dados através de um ponto final de serviço se um ponto final privado estiver ativado?
Sim. As origens de dados que não estão ligadas através de um ponto final privado podem ser analisadas através de um ponto final de serviço enquanto o Microsoft Purview está configurado para utilizar um ponto final privado. Saiba mais em Escolher a configuração do runtime de integração certa para o seu cenário.
Posso aceder ao portal de governação do Microsoft Purview a partir de uma rede pública se o acesso à Rede pública estiver definido como Negar na rede de contas do Microsoft Purview?
Não. Ligar ao Microsoft Purview a partir de um ponto final público onde o acesso à Rede pública está definido como Negar resulta na seguinte mensagem de erro:
"Não autorizado a aceder a esta conta do Microsoft Purview. Esta conta do Microsoft Purview está protegida por um ponto final privado. Aceda à conta a partir de um cliente na mesma rede virtual (rede virtual) que foi configurada para o ponto final privado da conta do Microsoft Purview."
Neste caso, para abrir o portal de governação do Microsoft Purview, utilize uma máquina que esteja implementada na mesma rede virtual que o ponto final privado do portal do Microsoft Purview ou utilize uma VM ligada à sua CorpNet na qual a conectividade híbrida é permitida.
É possível restringir o acesso à conta de armazenamento gerida do Microsoft Purview ou à conta de armazenamento de ingestão e ao espaço de nomes dos Hubs de Eventos (apenas para ingestão de pontos finais privados), mas manter o acesso ao portal ativado para os utilizadores na Web?
Observação
A sua conta só tem uma conta de armazenamento gerida se tiver sido criada antes de 15 de dezembro de 2023 (ou implementada com a versão da API anterior para 2023-05-01-preview). A sua conta só tem um espaço de nomes dos Hubs de Eventos associado se estiver configurado para notificações do Kafka ou tiver sido criado antes de 15 de dezembro de 2022.
Sim. Pode configurar a definição da firewall do Microsoft Purview como Desativada apenas para ingestão (Pré-visualização). Ao escolher esta opção, o acesso à rede pública à sua conta do Microsoft Purview através da API e do portal de governação do Microsoft Purview é permitido. No entanto, o acesso à rede pública está definido como desativado na conta de armazenamento gerida da sua conta do Microsoft Purview. Também tem de confirmar que as definições de rede dos Hubs de Eventos permitem a comunicação.
Se o acesso à rede pública estiver definido como Permitir, significa que a conta de armazenamento gerida ou a conta de armazenamento de ingestão e o espaço de nomes dos Hubs de Eventos estão acessíveis por qualquer pessoa?
Observação
A sua conta só tem uma conta de armazenamento gerida se tiver sido criada antes de 15 de dezembro de 2023 (ou implementada com a versão da API anterior para 2023-05-01-preview). A sua conta só tem um espaço de nomes dos Hubs de Eventos associado se estiver configurado para notificações do Kafka ou tiver sido criado antes de 15 de dezembro de 2022.
Não. Como recursos protegidos, o acesso à conta de armazenamento gerida do Microsoft Purview e a qualquer espaço de nomes dos Hubs de Eventos está restrito ao Microsoft Purview apenas através de esquemas de autenticação RBAC. Estes recursos são implementados com uma atribuição de negação a todos os principais, o que impede que quaisquer aplicações, utilizadores ou grupos obtenham acesso aos mesmos.
Para ler mais sobre a atribuição de negações do Azure, veja Compreender as atribuições de negação do Azure.
Que zonas DNS privadas são necessárias para o Microsoft Purview para um ponto final privado?
Para pontos finais privados de conta, portal e plataforma do Microsoft Purview:
-
privatelink.purview.azure.com
- para o portal de governação clássico do Microsoft Purview. -
privatelink.purview-service.microsoft.com
- para o portal do Microsoft Purview.
Para pontos finais privados de ingestão do Microsoft Purview:
privatelink.blob.core.windows.net
privatelink.queue.core.windows.net
privatelink.servicebus.windows.net
Tenho de utilizar uma rede virtual dedicada e uma sub-rede dedicada quando implemento pontos finais privados do Microsoft Purview?
Não. No entanto, PrivateEndpointNetworkPolicies
tem de ser desativado na sub-rede de destino antes de implementar os pontos finais privados. Considere implementar o Microsoft Purview numa rede virtual que tenha conectividade de rede a redes virtuais de origem de dados através do Peering de rede virtual e acesso a uma rede no local se planear analisar origens de dados em vários locais.
Leia mais sobre Desativar políticas de rede para pontos finais privados.
Posso implementar pontos finais privados do Microsoft Purview e utilizar zonas DNS privadas existentes na minha subscrição para registar os registos A?
Sim. As zonas DNS do ponto final privado podem ser centralizadas numa subscrição de gestão de dados ou hub para todas as zonas DNS internas necessárias para o Microsoft Purview e todos os registos de origens de dados. Recomendamos este método para permitir que o Microsoft Purview resolve origens de dados com os respetivos endereços IP internos de ponto final privado.
Também é necessário configurar uma ligação de rede virtual para redes virtuais para a zona DNS privada existente.
Quais são os requisitos de firewall e portas de saída para máquinas virtuais com runtime de integração autoalojado para o Microsoft Purview quando utiliza um ponto final privado?
As VMs nas quais o runtime de integração autoalojado é implementado têm de ter acesso de saída aos pontos finais do Azure e um endereço IP privado do Microsoft Purview através da porta 443.
Preciso de ativar o acesso de saída à Internet a partir da máquina virtual que executa o runtime de integração autoalojado se um ponto final privado estiver ativado?
Não. No entanto, espera-se que a máquina virtual que executa o runtime de integração autoalojado possa ligar-se à sua instância do Microsoft Purview através de um endereço IP interno através da porta 443. Utilize ferramentas comuns de resolução de problemas para resolução de nomes e testes de conectividade, como nslookup.exe e Test-NetConnection.
Ainda preciso de implementar pontos finais privados para a minha conta do Microsoft Purview se estiver a utilizar a Rede virtual gerida?
É necessário, pelo menos, um ponto final privado de conta e portal, se o acesso público na conta do Microsoft Purview estiver definido para negar. É necessário, pelo menos, um ponto final privado de conta, portal e ingestão, se o acesso público na conta do Microsoft Purview estiver definido para negar e estiver a planear analisar mais origens de dados com um runtime de integração autoalojado.
Que comunicações de entrada e saída são permitidas através do ponto final público para as VNets Geridas do Microsoft Purview?
Não é permitida nenhuma comunicação de entrada numa rede virtual gerida a partir da rede pública. Todas as portas são abertas para comunicações de saída. No Microsoft Purview, uma rede virtual gerida pode ser utilizada para ligar em privado a origens de dados do Azure para extrair metadados durante a análise.
Por que motivo recebo a seguinte mensagem de erro quando tento iniciar o portal de governação do Microsoft Purview a partir do meu computador?
"Esta conta do Microsoft Purview está protegida por um ponto final privado. Aceda à conta a partir de um cliente na mesma rede virtual (rede virtual) que foi configurada para o ponto final privado da conta do Microsoft Purview."
É provável que a sua conta do Microsoft Purview seja implementada com Link Privado e o acesso público esteja desativado na sua conta do Microsoft Purview. Como resultado, tem de navegar no portal de governação do Microsoft Purview a partir de uma máquina virtual que tenha conectividade de rede interna ao Microsoft Purview.
Se estiver a ligar a partir de uma VM atrás de uma rede híbrida ou a utilizar uma máquina de ligação ligada à sua rede virtual, utilize ferramentas de resolução de problemas comuns para resolução de nomes e testes de conectividade, como nslookup.exe e Test-NetConnection.
Confirme se pode resolve os seguintes endereços através dos endereços IP privados da sua conta do Microsoft Purview.
Web.Purview.Azure.com
<YourPurviewAccountName>.Purview.Azure.com
Verifique a conectividade de rede à sua conta do Microsoft Purview com o seguinte comando do PowerShell:
Test-NetConnection -ComputerName <YourPurviewAccountName>.Purview.Azure.com -Port 443
Verifique a configuração de DNS em vários locais se utilizar a sua própria infraestrutura de resolução de DNS.
Para obter mais informações sobre as definições de DNS para pontos finais privados, veja Configuração do DNS do ponto final privado do Azure.
Posso mover pontos finais privados associados à conta do Microsoft Purview ou aos respetivos recursos geridos para outra subscrição ou grupo de recursos do Azure?
Não. As operações de movimentação para pontos finais privados de Conta, Portal ou Ingestão não são suportadas. Para obter mais informações, veja Mover recursos de rede para um novo grupo de recursos ou subscrição.
Posso criar várias redes virtuais geridas em regiões diferentes?
Sim. Pode criar várias redes virtuais geridas em diferentes regiões numa única instância do Microsoft Purview para que possa aceder a origens de dados disponíveis em regiões diferentes. Esta funcionalidade permite:
- Crie várias redes virtuais geridas (cinco no máximo) em diferentes regiões numa única instância do Microsoft Purview.
- Isolamento de rede na sua própria organização para resolver potenciais problemas de desempenho de residência ou análise de dados.
Próximas etapas
Para configurar o Microsoft Purview com Link Privado, consulte Utilizar pontos finais privados para a sua conta do Microsoft Purview.