通过

有关 Microsoft Purview 专用终结点和托管 VNet 的常见问题解答

  • 项目

注意

Microsoft Purview 数据目录将其名称更改为 Microsoft Purview 统一目录。 所有功能将保持不变。 当新的 Microsoft Purview 数据治理体验在你的区域中正式发布时,你将看到名称更改。 检查你所在的区域的名称

本文解答了客户和现场团队经常提出的有关使用 Azure 专用链接 或 Microsoft Purview 托管 VNet Microsoft Purview 网络配置的常见问题。 它旨在阐明有关 Microsoft Purview 防火墙设置、专用终结点、DNS 配置和相关配置的问题。

若要使用 专用链接 设置 Microsoft Purview,请参阅为 Microsoft Purview 帐户使用专用终结点。 若要为 Microsoft Purview 帐户配置托管 VNet,请参阅 将托管虚拟网络与 Microsoft Purview 帐户配合使用

何时应使用自承载集成运行时、托管虚拟网络 IR 或 Azure IR?

有关详细信息,请参阅 为方案选择正确的集成运行时配置

是否可以在 Microsoft Purview 帐户内同时使用自承载集成运行时和托管虚拟网络 IR?

是。 可以在单个 Microsoft Purview 帐户中使用一个或多个运行时选项:Azure IR、托管虚拟网络 IR 和自承载集成运行时。 在单个扫描中只能使用一个运行时选项。

部署 Microsoft Purview 帐户专用终结点的用途是什么?

Microsoft Purview 帐户专用终结点用于通过启用仅允许从虚拟网络中发起的客户端调用访问帐户的方案来添加另一层安全层。 此专用终结点也是门户专用终结点的先决条件。

部署 Microsoft Purview 门户专用终结点的用途是什么?

Microsoft Purview 门户专用终结点提供与 Microsoft Purview 治理门户的专用连接。

部署 Microsoft Purview 引入专用终结点的用途是什么?

Microsoft Purview 可以使用引入专用终结点扫描 Azure 或本地环境中的数据源。 创建引入专用终结点时,将部署其他三个专用终结点资源并将其链接到Microsoft Purview 托管或配置的资源:

  • 如果将 托管事件中心用于 kafka 通知命名空间 将链接到Microsoft Purview 配置的事件中心命名空间。
  • 如果你的帐户是在 2023 年 12 月 15 日之前创建的:
    • Blob 链接到 Microsoft Purview 托管存储帐户。
    • 队列 链接到 Microsoft Purview 托管存储帐户。
  • 如果帐户是在 2023 年 12 月 15 日之后创建的, (或使用 API 版本 2023-05-01-preview) 部署:
    • Blob 链接到 Microsoft Purview 引入存储。
    • 队列 链接到Microsoft Purview 引入存储。

如果在我的 Microsoft Purview 帐户上启用了专用终结点,是否可以通过公共终结点扫描数据源?

是。 Microsoft Purview 配置为使用专用终结点时,可以使用公共终结点扫描未通过专用终结点连接的数据源。

如果启用了专用终结点,是否可以通过服务终结点扫描数据源?

是。 Microsoft Purview 配置为使用专用终结点时,可以使用服务终结点扫描未通过专用终结点连接的数据源。 有关详细信息,请参阅 为方案选择正确的集成运行时配置

如果在 Microsoft Purview 帐户网络中将“公用网络访问”设置为“拒绝”,是否可以从公用网络访问 Microsoft Purview 治理门户?

不正确。 从公共终结点连接到 Microsoft Purview,其中 公共网络访问 设置为 “拒绝 ”会导致以下错误消息:

“无权访问此 Microsoft Purview 帐户。 此Microsoft Purview 帐户位于专用终结点后面。 从为 Microsoft Purview 帐户的专用终结点配置的同一虚拟网络 (虚拟网络) 中的客户端访问帐户。”

在这种情况下,若要打开 Microsoft Purview 治理门户,请使用部署在与 Microsoft Purview 门户专用终结点相同的虚拟网络中的计算机,或使用连接到允许混合连接的 CorpNet 的 VM。

是否可以限制对 Microsoft Purview 托管存储帐户或引入存储帐户和事件中心命名空间的访问, (专用终结点引入仅) 但保持对跨 Web 的用户启用门户访问?

注意

如果帐户是在 2023 年 12 月 15 日 (之前创建或使用 2023-05-01-preview) 之前的 API 版本部署的,则只有托管存储帐户。 如果帐户 已针对 kafka 通知进行了配置 或在 2022 年 12 月 15 日之前创建,则只有关联的事件中心命名空间。

是。 可以将 Microsoft Purview 防火墙设置配置为“仅对预览版 () 引入禁用”。 通过选择此选项,将允许通过 API 和 Microsoft Purview 治理门户对 Microsoft Purview 帐户进行公用网络访问,但在 Microsoft Purview 帐户的托管存储帐户上,公用网络访问设置为禁用。 还需要确认 事件中心网络设置 允许通信。

如果公用网络访问设置为“允许”,是否意味着任何人都可以访问托管存储帐户或引入存储帐户和事件中心命名空间?

注意

如果帐户是在 2023 年 12 月 15 日 (之前创建或使用 2023-05-01-preview) 之前的 API 版本部署的,则只有托管存储帐户。 如果帐户 已针对 kafka 通知进行了配置 或在 2022 年 12 月 15 日之前创建,则只有关联的事件中心命名空间。

不正确。 作为受保护的资源,对 Microsoft Purview 托管存储帐户和任何事件中心命名空间的访问仅限于使用 RBAC 身份验证方案Microsoft Purview。 这些资源部署时会向所有主体分配拒绝,从而阻止任何应用程序、用户或组访问它们。

若要详细了解 Azure 拒绝分配,请参阅 了解 Azure 拒绝分配

专用终结点的 Microsoft Purview 需要哪些专用 DNS 区域?

对于 Microsoft Purview 帐户门户平台 专用终结点:

  • privatelink.purview.azure.com - 用于经典 Microsoft Purview 治理门户。
  • privatelink.purview-service.microsoft.com - 用于 Microsoft Purview 门户。

对于 Microsoft Purview 引入 专用终结点:

  • privatelink.blob.core.windows.net
  • privatelink.queue.core.windows.net
  • privatelink.servicebus.windows.net

部署 Microsoft Purview 专用终结点时,是否必须使用专用虚拟网络和专用子网?

不正确。 但是,在部署专用终结点之前, PrivateEndpointNetworkPolicies 必须在目标子网中禁用。 如果计划跨界扫描数据源,请考虑将 Microsoft Purview 部署到虚拟网络中,该虚拟网络通过虚拟网络对等互连连接到数据源虚拟网络,并访问本地网络。

详细了解 如何禁用专用终结点的网络策略

是否可以部署 Microsoft Purview 专用终结点并使用订阅中的现有专用 DNS 区域来注册 A 记录?

是。 专用终结点 DNS 区域可以集中在中心或数据管理订阅中,用于Microsoft Purview 和所有数据源记录所需的所有内部 DNS 区域。 建议使用此方法,以允许 Microsoft Purview 使用其专用终结点内部 IP 地址解析数据源。

还需要为现有专用 DNS 区域的虚拟网络设置虚拟网络 链接

使用专用终结点时,Microsoft Purview 具有自承载集成运行时的虚拟机的出站端口和防火墙要求是什么?

部署自承载集成运行时的 VM 必须具有对 Azure 终结点的出站访问权限,并通过端口 443 Microsoft Purview 专用 IP 地址。

如果启用了专用终结点,是否需要从运行自承载集成运行时的虚拟机启用出站 Internet 访问?

不正确。 但是,运行自承载集成运行时的虚拟机预期可以使用端口 443 通过内部 IP 地址连接到 Microsoft Purview 实例。 使用常见的故障排除工具进行名称解析和连接测试,例如 nslookup.exe 和 Test-NetConnection。

如果使用托管虚拟网络,是否仍需要为 Microsoft Purview 帐户部署专用终结点?

如果 Microsoft Purview 帐户中的公共访问设置为 拒绝,则至少需要一个帐户和门户专用终结点。 如果 Microsoft Purview 帐户中的公共访问设置为 拒绝 ,并且你计划使用自承载集成运行时扫描更多数据源,则至少需要一个帐户、门户和引入专用终结点。

Microsoft Purview 托管 VNet 允许通过公共终结点进行哪些入站和出站通信?

不允许从公用网络进入托管虚拟网络的入站通信。 将打开所有端口进行出站通信。 在 Microsoft Purview 中,可以使用托管虚拟网络以私密方式连接到 Azure 数据源,以在扫描期间提取元数据。

当我尝试从计算机启动 Microsoft Purview 治理门户时,为什么会收到以下错误消息?

“此Microsoft Purview 帐户位于专用终结点后面。 从为 Microsoft Purview 帐户的专用终结点配置的同一虚拟网络 (虚拟网络) 中的客户端访问帐户。”

Microsoft Purview 帐户可能是使用 专用链接 部署的,并且对 Microsoft Purview 帐户禁用公共访问。 因此,必须从具有内部网络连接的虚拟机浏览 Microsoft Purview 治理门户,Microsoft Purview。

如果要从混合网络后面的 VM 连接或使用连接到虚拟网络的跳转计算机进行连接,请使用常见的故障排除工具来进行名称解析和连接测试,例如 nslookup.exe 和 Test-NetConnection。

  1. 验证是否可以通过 Microsoft Purview 帐户的专用 IP 地址解析以下地址。

    • Web.Purview.Azure.com
    • <YourPurviewAccountName>.Purview.Azure.com

  2. 使用以下 PowerShell 命令验证与 Microsoft Purview 帐户的网络连接:

    Test-NetConnection -ComputerName <YourPurviewAccountName>.Purview.Azure.com -Port 443

  3. 如果使用自己的 DNS 解析基础结构,请验证跨界 DNS 配置。

有关专用终结点的 DNS 设置的详细信息,请参阅 Azure 专用终结点 DNS 配置

是否可以将与 Microsoft Purview 帐户或其托管资源关联的专用终结点移到另一个 Azure 订阅或资源组?

不正确。 不支持对帐户、门户或引入专用终结点执行移动操作。 有关详细信息,请参阅 将网络资源移动到新的资源组或订阅

是否可以在不同区域中创建多个托管虚拟网络?

是。 可以在单个 Microsoft Purview 实例中跨不同区域创建多个托管虚拟网络,以便访问不同区域中可用的数据源。 此功能提供以下功能:

  • 在单个 Microsoft Purview 实例内,跨不同区域创建多个托管虚拟网络 (最多 5 个) 。
  • 在你自己的组织中实现网络隔离,以解决潜在的数据驻留或扫描性能问题。

后续步骤

若要使用 专用链接 设置 Microsoft Purview,请参阅为 Microsoft Purview 帐户使用专用终结点