Compartilhar via


Resolver problemas de configuração de pontos finais privados para contas do Microsoft Purview

Este guia resume limitações conhecidas relacionadas com a utilização de pontos finais privados para o Microsoft Purview e fornece uma lista de passos e soluções para resolver alguns dos problemas relevantes mais comuns.

Limitações conhecidas

  • Atualmente, não suportamos pontos finais privados de ingestão que funcionam com as suas origens do AWS.
  • A análise de Múltiplas Origens do Azure com o runtime de integração autoalojado não é suportada.
  • A utilização do runtime de integração do Azure para analisar origens de dados por trás do ponto final privado não é suportada.
  • Os pontos finais privados de ingestão podem ser criados através da experiência do portal de governação do Microsoft Purview descrita nos passos aqui. Não podem ser criadas a partir do Centro de Link Privado.
  • Criar um registo DNS para pontos finais privados de ingestão dentro de Zonas DNS do Azure existentes, enquanto as Zonas de DNS privado do Azure estão localizadas numa subscrição diferente dos pontos finais privados não é suportada através da experiência do portal de governação do Microsoft Purview. Um registo pode ser adicionado manualmente nas Zonas DNS de destino na outra subscrição.
  • Se configurar o seu próprio espaço de nomes dos Hubs de Eventos ou ativar um espaço de nomes dos Hubs de Eventos gerido depois de implementar um ponto final privado de ingestão, terá de reimplementar o ponto final privado de ingestão.
  • A máquina de runtime de integração autoalojada tem de ser implementada na mesma rede virtual ou numa rede virtual em modo de peering onde a conta do Microsoft Purview e os pontos finais privados de ingestão são implementados.
  • Para obter uma limitação relacionada com Link Privado serviço, veja limites de Link Privado do Azure.
  • Atualmente, as instâncias do Microsoft Purview que utilizam o novo portal do Microsoft Purview só podem utilizar pontos finais privados de ingestão.
  1. Depois de implementar pontos finais privados para a sua conta do Microsoft Purview, reveja o ambiente do Azure para garantir que os recursos de ponto final privado são implementados com êxito. Consoante o seu cenário, um ou mais dos seguintes pontos finais privados do Azure têm de ser implementados na sua subscrição do Azure:

    Ponto final privado Ponto final privado atribuído a Exemplo
    Conta Conta do Microsoft Purview mypurview-private-account
    Portal Conta do Microsoft Purview mypurview-private-portal
    Ingestão Armazenamento (Blob)* mypurview-ingestion-blob
    Ingestão Armazenamento (Fila)* mypurview-ingestion-queue
    Ingestão Espaço de Nomes dos Hubs de Eventos** mypurview-ingestion-namespace

    Observação

    *Se a sua conta tiver sido criada antes de 15 de dezembro de 2023, o ponto final é implementado na sua conta de armazenamento gerida. Se tiver sido criado após 10 de novembro (ou implementado com a versão 2023-05-01-preview da API), aponta para o armazenamento de ingestão.

    **A sua conta só tem um espaço de nomes dos Hubs de Eventos associado se estiver configurado para notificações do Kafka ou criado antes de 15 de dezembro de 2022.

  2. Se o ponto final privado do portal estiver implementado, confirme que também implementa o ponto final privado da conta.

  3. Se o ponto final privado do portal estiver implementado e o acesso à rede pública estiver definido para negar na sua conta do Microsoft Purview, certifique-se de que inicia o portal de governação do Microsoft Purview a partir da rede interna.

    • Para verificar a resolução de nomes correta, pode utilizar uma ferramenta de linha de comandos NSlookup.exe para consultar web.purview.azure.com. O resultado tem de devolver um endereço IP privado que pertença ao ponto final privado do portal.
    • Para verificar a conectividade de rede, pode utilizar quaisquer ferramentas de teste de rede para testar a conectividade de saída ao web.purview.azure.com ponto final para a porta 443. A ligação tem de ser bem-sucedida.
  4. Se forem utilizadas Zonas de DNS privado do Azure, confirme que as Zonas DNS do Azure necessárias estão implementadas e que existe um registo DNS (A) para cada ponto final privado.

  5. Teste a conectividade de rede e a resolução de nomes do computador de gestão para o ponto final do Microsoft Purview e o URL Web do Purview. Se os pontos finais privados da conta e do portal forem implementados, os pontos finais têm de ser resolvidos através de endereços IP privados.

    Test-NetConnection -ComputerName web.purview.azure.com -Port 443
    

    Exemplo de ligação de saída bem-sucedida através do endereço IP privado:

    ComputerName     : web.purview.azure.com
    RemoteAddress    : 10.9.1.7
    RemotePort       : 443
    InterfaceAlias   : Ethernet 2
    SourceAddress    : 10.9.0.10
    TcpTestSucceeded : True
    
    Test-NetConnection -ComputerName purview-test01.purview.azure.com -Port 443
    

    Exemplo de ligação de saída bem-sucedida através do endereço IP privado:

    ComputerName     : purview-test01.purview.azure.com
    RemoteAddress    : 10.9.1.8
    RemotePort       : 443
    InterfaceAlias   : Ethernet 2
    SourceAddress    : 10.9.0.10
    TcpTestSucceeded : True
    
  6. Se tiver criado a sua conta do Microsoft Purview após 18 de agosto de 2021, certifique-se de que transfere e instala a versão mais recente do runtime de integração autoalojado a partir do centro de transferências da Microsoft.

  7. Da VM do runtime de integração autoalojado, teste a conectividade de rede e a resolução de nomes para o ponto final do Microsoft Purview.

  8. Desde o runtime de integração autoalojado, teste a conectividade de rede e a resolução de nomes a recursos geridos do Microsoft Purview, como a fila de blobs e recursos secundários, como os Hubs de Eventos, através da porta 443 e dos endereços IP privados. (Se forem necessários, substitua a conta de armazenamento gerida e o espaço de nomes dos Hubs de Eventos pelos nomes de recursos correspondentes).

    Test-NetConnection -ComputerName `scansoutdeastasiaocvseab`.blob.core.windows.net -Port 443
    

    Exemplo de ligação de saída bem-sucedida ao armazenamento de blobs gerido através do endereço IP privado:

    ComputerName     : scansoutdeastasiaocvseab.blob.core.windows.net
    RemoteAddress    : 10.15.1.6
    RemotePort       : 443
    InterfaceAlias   : Ethernet 2
    SourceAddress    : 10.15.0.4
    TcpTestSucceeded : True
    
    Test-NetConnection -ComputerName `scansoutdeastasiaocvseab`.queue.core.windows.net -Port 443
    

    Exemplo de ligação de saída bem-sucedida ao armazenamento de filas geridas através do endereço IP privado:

    ComputerName     : scansoutdeastasiaocvseab.blob.core.windows.net
    RemoteAddress    : 10.15.1.5
    RemotePort       : 443
    InterfaceAlias   : Ethernet 2
    SourceAddress    : 10.15.0.4
    TcpTestSucceeded : True
    
    Test-NetConnection -ComputerName `Atlas-1225cae9-d651-4039-86a0-b43231a17a4b`.servicebus.windows.net -Port 443
    

    Exemplo de ligação de saída bem-sucedida ao espaço de nomes dos Hubs de Eventos através do endereço IP privado:

    ComputerName     : Atlas-1225cae9-d651-4039-86a0-b43231a17a4b.servicebus.windows.net
    RemoteAddress    : 10.15.1.4
    RemotePort       : 443
    InterfaceAlias   : Ethernet 2
    SourceAddress    : 10.15.0.4
    TcpTestSucceeded : True
    
  9. Na rede onde se encontra a origem de dados, teste a conectividade de rede e a resolução de nomes para o ponto final do Microsoft Purview e os pontos finais de recursos geridos ou configurados.

  10. Se as origens de dados estiverem localizadas na rede no local, reveja a configuração do reencaminhador de DNS. Teste a resolução de nomes a partir da mesma rede onde as origens de dados estão localizadas no runtime de integração autoalojado, nos pontos finais do Microsoft Purview e nos recursos geridos ou configurados. Espera-se que obtenha um endereço IP privado válido a partir da consulta DNS para cada ponto final.

    Para obter mais informações, veja Cargas de trabalho de rede virtual sem servidor DNS personalizado e Cargas de trabalho no local com cenários de reencaminhador DNS na configuração do DNS do Ponto Final Privado do Azure.

  11. Se o computador de gestão e as VMs do runtime de integração autoalojados estiverem implementadas na rede no local e tiver configurado o reencaminhador de DNS no seu ambiente, verifique as definições de DNS e de rede no seu ambiente.

  12. Se o ponto final privado de ingestão for utilizado, certifique-se de que o runtime de integração autoalojado é registado com êxito na conta do Microsoft Purview e é apresentado como em execução na VM do runtime de integração autoalojado e no portal de governação do Microsoft Purview .

Erros e mensagens comuns

Problema

Pode receber a seguinte mensagem de erro ao executar uma análise:

Internal system error. Please contact support with correlationId:xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx System Error, contact support.

Motivo

Isto pode ser uma indicação de problemas relacionados com a conectividade ou a resolução de nomes entre a VM que executa o runtime de integração autoalojado e a conta de armazenamento gerida do Microsoft Purview ou os Hubs de Eventos configurados.

Resolução

Confirme se a resolução de nomes foi bem-sucedida entre a VM que executa o Self-Hosted Integration Runtime e a fila de blobs geridos do Microsoft Purview ou os Hubs de Eventos configurados através da porta 443 e dos endereços IP privados (passo 8 acima).

Problema

Pode receber a seguinte mensagem de erro ao executar uma nova análise:

message: Unable to setup config overrides for this scan. Exception:'Type=Microsoft.WindowsAzure.Storage.StorageException,Message=The remote server returned an error: (404) Not Found.,Source=Microsoft.WindowsAzure.Storage,StackTrace= at Microsoft.WindowsAzure.Storage.Core.Executor.Executor.EndExecuteAsync[T](IAsyncResult result)

Motivo

Isto pode ser uma indicação da execução de uma versão mais antiga do runtime de integração autoalojado. Terá de utilizar a versão 5.9.7885.3 ou superior do runtime de integração autoalojado.

Resolução

Atualize o runtime de integração autoalojado para a versão 5.9.7885.3.

Problema

A conta do Microsoft Purview com implementação de ponto final privado falhou com Azure Policy erro de validação durante a implementação.

Motivo

Este erro sugere que pode existir uma Atribuição de Azure Policy existente na sua subscrição do Azure que está a impedir a implementação de qualquer um dos recursos do Azure necessários.

Resolução

Reveja as Atribuições de Azure Policy existentes e confirme que a implementação dos seguintes recursos do Azure é permitida na sua subscrição do Azure.

Observação

Consoante o seu cenário, poderá ter de implementar um ou mais dos seguintes tipos de recursos do Azure:

  • Microsoft Purview (Microsoft.Purview/Contas)
  • Ponto Final Privado (Microsoft.Network/privateEndpoints)
  • DNS privado Zones (Microsoft.Network/privateDnsZones)
  • Espaço de Nomes do Hub de Eventos (Microsoft.EventHub/espaços de nomes)
  • Conta de Armazenamento (Microsoft.Storage/storageAccounts)

Problema

Não autorizado a aceder a esta conta do Microsoft Purview. Esta conta do Microsoft Purview está protegida por um ponto final privado. Aceda à conta a partir de um cliente na mesma rede virtual (rede virtual) que foi configurada para o ponto final privado da conta do Microsoft Purview.

Motivo

O utilizador está a tentar ligar-se ao Microsoft Purview a partir de um ponto final público ou a utilizar pontos finais públicos do Microsoft Purview em que o acesso à Rede pública está definido como Negar.

Resolução

Neste caso, para abrir o portal de governação do Microsoft Purview, utilize uma máquina que esteja implementada na mesma rede virtual que o ponto final privado do portal de governação do Microsoft Purview ou utilize uma VM ligada à sua CorpNet na qual a conectividade híbrida é permitida.

Problema

Pode receber a seguinte mensagem de erro ao analisar um SQL Server com um runtime de integração autoalojado:

Message=This implementation is not part of the Windows Platform FIPS validated cryptographic algorithms

Motivo

O computador runtime de integração autoalojado ativou o modo FIPS. As Normas Federais de Processamento de Informações (FIPS) definem um determinado conjunto de algoritmos criptográficos que podem ser utilizados. Quando o modo FIPS está ativado no computador, algumas classes criptográficas de que os processos invocados dependem são bloqueadas em alguns cenários.

Resolução

Desative o modo FIPS no servidor de integração autoalojado.

Próximas etapas

Se o seu problema não estiver listado neste artigo ou não o conseguir resolve, obtenha suporte ao visitar um dos seguintes canais:

  • Obtenha respostas de especialistas através do Microsoft Q&A.
  • Ligue-se com @AzureSupport. Este recurso oficial do Microsoft Azure no Twitter ajuda a melhorar a experiência do cliente ao ligar a comunidade do Azure às respostas, suporte e especialistas certos.
  • Se ainda precisar de ajuda, aceda ao site Suporte do Azure e selecione Submeter um pedido de suporte.