配置并验证 Microsoft Purview 专用终结点的 DNS 名称解析
概念概述
为 Microsoft Purview 帐户设置专用终结点时,准确的名称解析是一项关键要求。
可能需要在 DNS 设置中启用内部名称解析,以将专用终结点 IP 地址解析为完全限定的域名, (FQDN) 从数据源和管理计算机Microsoft Purview 帐户和自承载集成运行时,具体取决于要部署的方案。
提示
部署 DNS 区域时,不要使用特定的 IP 地址。 Azure 资源的 IP 地址不是静态的,使用静态 IP 地址生成 DNS 区域最终会导致错误。
部署选项
使用 Microsoft Purview 帐户的专用终结点时,请使用以下任一选项来设置内部名称解析:
- 在专用终结点部署的 Azure 环境中部署新的 Azure 专用 DNS区域。 (默认选项)
- 使用现有的 Azure 专用 DNS 区域。 如果在中心辐射型模型中使用不同订阅甚至同一订阅中的专用终结点,请使用此选项。
- 如果不使用 DNS 转发器,而是直接在本地 DNS 服务器中管理 A 记录,请使用自己的 DNS 服务器。
提示
- 经典Microsoft Purview 治理门户 (https://web.purview.azure.com) :支持 帐户、 门户和 引入 专用终结点。
- 新的 Microsoft Purview 门户 (https://purview.microsoft.com/) :支持 平台 和 引入 专用终结点。
选项 1 - 部署新的 Azure 专用 DNS区域
部署新的 Azure 专用 DNS区域
若要启用内部名称解析,可以在部署 Microsoft Purview 帐户的 Azure 订阅中部署所需的 Azure DNS 区域。
创建引入、门户和帐户专用终结点时,Microsoft Purview 的 DNS CNAME 资源记录会自动更新为几个子域中的别名,前缀为 privatelink:
默认情况下,在为 Microsoft Purview 帐户部署帐户 或 平台 专用终结点期间,我们还创建一个 专用 DNS 区域,该专用 DNS 区域 对应于
privatelinkMicrosoft Purview 的子域,以及privatelink.purview.azure.com经典 Microsoft Purview 治理门户的子域和privatelink.purview-service.microsoft.comMicrosoft Purview 门户的子域,包括专用终结点的 DNS A 资源记录。在为 Microsoft Purview 帐户部署 门户 专用终结点期间,我们还创建了一个新的专用 DNS 区域,该区域对应于
privatelinkMicrosoft Purview 的子域,包括privatelink.purviewstudio.azure.comWeb 的 DNS A 资源记录。如果启用引入专用终结点,托管或配置的资源需要其他 DNS 区域。
下表显示了 Azure 专用 DNS 区域和 DNS A 记录的示例,如果在部署过程中启用专用 DNS集成,这些区域和 DNS A 记录将作为 Microsoft Purview 帐户的专用终结点配置的一部分进行部署:
| 专用终结点 | 与 关联的专用终结点 | 门户可用性 | DNS 区域 (新) | 记录 (示例) |
|---|---|---|---|---|
| 帐户 | Microsoft Purview | privatelink.purview.azure.com |
Contoso-Purview | |
| 平台 | Microsoft Purview | privatelink.purview-service.microsoft.com |
Contoso-Purview | |
| 门户 | Microsoft Purview | privatelink.purviewstudio.azure.com |
Web | |
| 平台 | Microsoft Purview | privatelink.purview-service.microsoft.com |
Web | |
| 摄入 | Microsoft Purview 引入 - Blob* | privatelink.blob.core.windows.net |
ingestioneus2eastusksqky | |
| 摄入 | Microsoft Purview 引入 - Blob* | privatelink.blob.storage.azure.net |
ingestioneus2eastusksqky | |
| 摄入 | Microsoft Purview 引入 - 队列* | privatelink.queue.core.windows.net |
ingestioneus2eastusksqky | |
| 摄入 | Microsoft Purview 引入 - 队列* | privatelink.queue.storage.azure.net |
ingestioneus2eastusksqky | |
| 摄入 | Microsoft Purview 配置的事件中心 - 事件中心** | privatelink.servicebus.windows.net |
atlas-12345678-1234-1234-abcd-123456789abc |
注意
*如果帐户是在 2023 年 12 月 15 日之前创建的,则终结点将部署到托管存储帐户。 如果它是在 11 月 10 日 (之后创建或使用 API 版本 2023-05-01-preview) 部署的,则它指向引入存储。
**如果帐户 是为 kafka 通知配置 或在 2022 年 12 月 15 日之前创建的,则只有关联的事件中心命名空间。
验证 Azure 专用 DNS 区域中的虚拟网络链接
完成专用终结点部署后,请确保所有相应的 Azure 专用 DNS区域中都有虚拟网络链接,该链接指向部署了专用终结点的 Azure 虚拟网络。
有关详细信息,请参阅 Azure 专用终结点 DNS 配置。
验证内部名称解析
使用专用终结点从虚拟网络外部解析 Microsoft Purview 终结点 URL 时,它会解析为 Microsoft Purview 的公共终结点。 从托管专用终结点的虚拟网络解析时,Microsoft Purview 终结点 URL 将解析为专用终结点的 IP 地址。
例如,如果Microsoft Purview 帐户名称为“Contoso-Purview”,则从托管专用终结点的虚拟网络外部解析时,它将是:
| 名称 | 类型 | 值 |
|---|---|---|
Contoso-Purview.purview.azure.com |
CNAME | Contoso-Purview.privatelink.purview.azure.com |
Contoso-Purview.privatelink.purview.azure.com |
CNAME | <Microsoft Purview 公共终结点> |
| <Microsoft Purview 公共终结点> | A | <Microsoft Purview 公共 IP 地址> |
Web.purview.azure.com |
CNAME | <Microsoft Purview 治理门户公共终结点> |
在托管专用终结点的虚拟网络中解析 Contoso-Purview 的 DNS 资源记录将为:
| 名称 | 类型 | 值 |
|---|---|---|
Contoso-Purview.purview.azure.com |
CNAME | Contoso-Purview.privatelink.purview.azure.com |
Contoso-Purview.privatelink.purview.azure.com |
A | <Microsoft Purview 帐户专用终结点 IP 地址> |
Web.purview.azure.com |
CNAME | <Microsoft Purview 门户专用终结点 IP 地址> |
选项 2 - 使用现有的 Azure 专用 DNS区域
使用现有的 Azure 专用 DNS区域
在部署 Microsoft Purview 专用终结点期间,可以选择使用现有 Azure 专用 DNS 区域的专用 DNS集成。 对于 Azure 中的其他服务使用专用终结点的组织来说,这种情况很常见。 在这种情况下,在部署专用终结点期间,请确保选择现有 DNS 区域,而不是创建新的 DNS 区域。
如果组织对所有 Azure 专用 DNS区域使用中央或中心订阅,则此方案也适用。
以下列表显示了 Microsoft Purview 专用终结点所需的 Azure DNS 区域和 A 记录:
重要
在环境中使用 Contoso-Purview和ingestioneus2eastusksqkyatlas-12345678-1234-1234-abcd-123456789abc 相应的 Azure 资源名称更新所有名称。
-
Contoso-Purview是 Microsoft Purview 帐户的名称。 - 只需与正在使用的门户关联的终结点:
- 经典Microsoft Purview 治理门户 (https://web.purview.azure.com) :支持 帐户、 门户和 引入 专用终结点。
- 新的 Microsoft Purview 门户 (https://purview.microsoft.com/) :支持 平台 和 引入 专用终结点。
- 如果帐户 已针对 kafka 通知进行配置 或是在 2022 年 12 月 15 日之前创建的,
atlas-12345678-1234-1234-abcd-123456789abc则为事件中心命名空间。 - 如果帐户是在 2023 年 12 月 15 日 之前 创建的,请使用
ingestioneus2eastusksqkyMicrosoft Purview 托管存储帐户的名称。 - 如果你的帐户是在 2023 年 12 月 15 日 之后 创建的, (或使用 API 版本 2023-05-01-preview) 部署,请保留
ingestioneus2eastusksqky原样。
| 专用终结点 | 与 关联的专用终结点 | 门户可用性 | DNS 区域 (现有) | 记录 (示例) |
|---|---|---|---|---|
| 帐户 | Microsoft Purview | privatelink.purview.azure.com |
Contoso-Purview | |
| 平台 | Microsoft Purview | privatelink.purview-service.microsoft.com |
Contoso-Purview | |
| 门户 | Microsoft Purview | privatelink.purviewstudio.azure.com |
Web | |
| 摄入 | Microsoft Purview 引入 - Blob* | privatelink.blob.core.windows.net |
ingestioneus2eastusksqky | |
| 摄入 | Microsoft Purview 引入 - Blob* | privatelink.blob.storage.azure.net |
ingestioneus2eastusksqky | |
| 摄入 | Microsoft Purview 引入 - 队列* | privatelink.queue.core.windows.net |
ingestioneus2eastusksqky | |
| 摄入 | Microsoft Purview 引入 - 队列* | privatelink.queue.storage.azure.net |
ingestioneus2eastusksqky | |
| 摄入 | Microsoft Purview 配置的事件中心** | privatelink.servicebus.windows.net |
atlas-12345678-1234-1234-abcd-123456789abc |
注意
*如果帐户是在 2023 年 12 月 15 日之前创建的,则终结点将部署到托管存储帐户。 如果它是在 11 月 10 日 (之后创建或使用 API 版本 2023-05-01-preview) 部署的,则它指向引入存储。 **如果帐户 是为 kafka 通知配置 或在 2022 年 12 月 15 日之前创建的,则只有关联的事件中心命名空间。
有关详细信息,请参阅不使用自定义 DNS 服务器的虚拟网络工作负载和 Azure 专用终结点 DNS 配置中的使用 DNS 转发器方案的本地工作负载。
验证 Azure 专用 DNS 区域中的虚拟网络链接
完成专用终结点部署后,请确保所有相应的 Azure 专用 DNS区域中都有虚拟网络链接,该链接指向部署了专用终结点的 Azure 虚拟网络。
有关详细信息,请参阅 Azure 专用终结点 DNS 配置。
如果使用自定义 DNS,请配置 DNS 转发器
此外,还需要在自承载集成运行时 VM 或管理电脑所在的 Azure 虚拟网络上验证 DNS 配置。
如果已将其配置为 “默认”,则此步骤无需执行进一步操作。
如果使用自定义 DNS 服务器,则应在 DNS 服务器中为以下区域添加相应的 DNS 转发器:
- Purview.azure.com
- purviewstudio.azure.com
- Blob.core.windows.net
- Queue.core.windows.net
- Blob.storage.azure.net
- Queue.storage.azure.net
- Servicebus.windows.net
验证内部名称解析
使用专用终结点从虚拟网络外部解析 Microsoft Purview 终结点 URL 时,它会解析为 Microsoft Purview 的公共终结点。 从托管专用终结点的虚拟网络解析时,Microsoft Purview 终结点 URL 将解析为专用终结点的 IP 地址。
例如,如果Microsoft Purview 帐户名称为“Contoso-Purview”,则从托管专用终结点的虚拟网络外部解析时,它将是:
| 名称 | 类型 | 值 |
|---|---|---|
Contoso-Purview.purview.azure.com |
CNAME | Contoso-Purview.privatelink.purview.azure.com |
Contoso-Purview.privatelink.purview.azure.com |
CNAME | <Microsoft Purview 公共终结点> |
| <Microsoft Purview 公共终结点> | A | <Microsoft Purview 公共 IP 地址> |
Web.purview.azure.com |
CNAME | <Microsoft Purview 治理门户公共终结点> |
在托管专用终结点的虚拟网络中解析 Contoso-Purview 的 DNS 资源记录将为:
| 名称 | 类型 | 值 |
|---|---|---|
Contoso-Purview.purview.azure.com |
CNAME | Contoso-Purview.privatelink.purview.azure.com |
Contoso-Purview.privatelink.purview.azure.com |
A | <Microsoft Purview 帐户专用终结点 IP 地址> |
Web.purview.azure.com |
CNAME | <Microsoft Purview 门户专用终结点 IP 地址> |
选项 3 - 使用自己的 DNS 服务器
如果不使用 DNS 转发器,而是直接在本地 DNS 服务器中管理 A 记录,以便通过其专用 IP 地址解析终结点,则可能需要在 DNS 服务器中创建以下 A 记录。
重要
在环境中使用 Contoso-Purview和ingestioneus2eastusksqkyatlas-12345678-1234-1234-abcd-123456789abc 相应的 Azure 资源名称更新所有名称。
-
Contoso-Purview是 Microsoft Purview 帐户的名称。 - 只需与正在使用的门户关联的终结点:
- 经典Microsoft Purview 治理门户 (https://web.purview.azure.com) :支持 帐户、 门户和 引入 专用终结点。
- 新的 Microsoft Purview 门户 (https://purview.microsoft.com/) :支持 平台 和 引入 专用终结点。
- 如果帐户 已针对 kafka 通知进行配置 或是在 2022 年 12 月 15 日之前创建的,
atlas-12345678-1234-1234-abcd-123456789abc则为事件中心命名空间。 - 如果帐户是在 2023 年 12 月 15 日 之前 创建的,请使用
ingestioneus2eastusksqkyMicrosoft Purview 托管存储帐户的名称。 - 如果你的帐户是在 2023 年 12 月 15 日 之后 创建的, (或使用 API 版本 2023-05-01-preview) 部署,请保留
ingestioneus2eastusksqky原样。
| 名称 | 类型 | 值 | 门户可用性 |
|---|---|---|---|
web.purview.azure.com |
A | <Microsoft Purview 的门户专用终结点 IP 地址> | 经典门户 |
ingestioneus2eastusksqky.blob.core.windows.net, ingestioneus2eastusksqky.blob.storage.azure.net |
A | <Microsoft Purview 的 blob 引入专用终结点 IP 地址> | 经典门户和新门户 |
ingestioneus2eastusksqky.queue.core.windows.net, ingestioneus2eastusksqky.queue.storage.azure.net |
A | <Microsoft Purview 的队列引入专用终结点 IP 地址> | 经典门户和新门户 |
atlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net |
A | <Microsoft Purview 的命名空间引入专用终结点 IP 地址> | 经典门户和新门户 |
Contoso-Purview.Purview.azure.com |
A | <Microsoft Purview 的帐户/平台专用终结点 IP 地址> | 经典门户和新门户 |
Contoso-Purview.scan.Purview.azure.com |
A | <Microsoft Purview 的帐户/平台专用终结点 IP 地址> | 经典门户和新门户 |
Contoso-Purview.catalog.Purview.azure.com |
A | <Microsoft Purview 的帐户/平台专用终结点 IP 地址> | 经典门户和新门户 |
Contoso-Purview.proxy.purview.azure.com |
A | <Microsoft Purview 的帐户/平台专用终结点 IP 地址> | 经典门户和新门户 |
Contoso-Purview.guardian.purview.azure.com |
A | <Microsoft Purview 的帐户/平台专用终结点 IP 地址> | 经典门户和新门户 |
gateway.purview.azure.com |
A | <Microsoft Purview 的帐户/平台专用终结点 IP 地址> | 经典门户和新门户 |
insight.prod.ext.web.purview.azure.com |
A | <Microsoft Purview 的门户专用终结点 IP 地址> | 经典门户 |
manifest.prod.ext.web.purview.azure.com |
A | <Microsoft Purview 的门户专用终结点 IP 地址> | 经典门户 |
cdn.prod.ext.web.purview.azure.com |
A | <Microsoft Purview 的门户专用终结点 IP 地址> | 经典门户 |
hub.prod.ext.web.purview.azure.com |
A | <Microsoft Purview 的门户专用终结点 IP 地址> | 经典门户 |
catalog.prod.ext.web.purview.azure.com |
A | <Microsoft Purview 的门户专用终结点 IP 地址> | 经典门户 |
cseo.prod.ext.web.purview.azure.com |
A | <Microsoft Purview 的门户专用终结点 IP 地址> | 经典门户 |
datascan.prod.ext.web.purview.azure.com |
A | <Microsoft Purview 的门户专用终结点 IP 地址> | 经典门户 |
datashare.prod.ext.web.purview.azure.com |
A | <Microsoft Purview 的门户专用终结点 IP 地址> | 经典门户 |
datasource.prod.ext.web.purview.azure.com |
A | <Microsoft Purview 的门户专用终结点 IP 地址> | 经典门户 |
policy.prod.ext.web.purview.azure.com |
A | <Microsoft Purview 的门户专用终结点 IP 地址> | 经典门户 |
sensitivity.prod.ext.web.purview.azure.com |
A | <Microsoft Purview 的门户专用终结点 IP 地址> | 经典门户 |
web.privatelink.purviewstudio.azure.com |
A | <Microsoft Purview 的门户专用终结点 IP 地址> | 经典门户 |
workflow.prod.ext.web.purview.azure.com |
A | <Microsoft Purview 的门户专用终结点 IP 地址> | 经典门户 |
验证和 DNS 测试名称解析和连接
如果使用 Azure 专用 DNS区域,请确保在 Azure 订阅中创建以下 DNS 区域和相应的 A 记录:
专用终结点 与 关联的专用终结点 门户可用性 DNS 区域 (现有) 记录 (示例) 帐户 Microsoft Purview 经典门户 privatelink.purview.azure.comContoso-Purview 平台 Microsoft Purview 新门户 privatelink.purview-service.microsoft.comContoso-Purview 门户 Microsoft Purview 经典门户 privatelink.purviewstudio.azure.comWeb 摄入 Microsoft Purview 引入 - Blob* 经典门户和新门户 privatelink.blob.core.windows.net,privatelink.blob.storage.azure.netingestioneus2eastusksqky 摄入 Microsoft Purview 引入 - 队列* 经典门户和新门户 privatelink.queue.core.windows.net,privatelink.queue.storage.azure.netingestioneus2eastusksqky 摄入 事件中心** 经典门户和新门户 privatelink.servicebus.windows.netatlas-12345678-1234-1234-abcd-123456789abc 注意
*如果帐户是在 2023 年 12 月 15 日之前创建的,则终结点将部署到托管存储帐户。 如果它是在 11 月 10 日 (之后创建或使用 API 版本 2023-05-01-preview) 部署的,则它指向引入存储。 **如果帐户 是为 kafka 通知配置 或在 2022 年 12 月 15 日之前创建的,则只有关联的事件中心命名空间。
在 Azure 专用 DNS区域中为 Azure 虚拟网络创建虚拟网络链接,以允许内部名称解析。
从管理电脑和自承载集成运行时 VM,使用 Nslookup.exe 和 PowerShell 等工具测试名称解析和与 Microsoft Purview 帐户的网络连接
若要测试名称解析,需要通过其专用 IP 地址解析以下 FQDN: (而不是 Contoso-Purview, ingestioneus2eastusksqky 或 atlas-12345678-1234-1234-abcd-123456789abc,使用与 purview 帐户名称关联的主机名以及托管或配置的资源名称)
Contoso-Purview.purview.azure.comweb.purview.azure.comingestioneus2eastusksqky.blob.core.windows.netingestioneus2eastusksqky.queue.core.windows.netatlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net
若要测试网络连接,可以从自承载集成运行时 VM 启动 PowerShell 控制台并使用 测试连接 Test-NetConnection。
必须通过专用终结点解析每个终结点,并将 TcpTestSucceeded 设置为 True。 (而不是 Contoso-Purview、ingestioneus2eastusksqky 或 atlas-12345678-1234-1234-abcd-123456789abc,而是使用与 purview 帐户名称关联的主机名以及托管或配置的资源名称)
Test-NetConnection -ComputerName Contoso-Purview.purview.azure.com -port 443Test-NetConnection -ComputerName web.purview.azure.com -port 443Test-NetConnection -ComputerName ingestioneus2eastusksqky.blob.core.windows.net -port 443Test-NetConnection -ComputerName ingestioneus2eastusksqky.queue.core.windows.net -port 443Test-NetConnection -ComputerName atlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net -port 443
以下示例演示从虚拟网络外部或未配置 Azure 专用终结点时Microsoft Purview DNS 名称解析。
以下示例显示从虚拟网络内部Microsoft Purview DNS 名称解析。
注意
这些图像中的值是示例。 使用文章中的信息来正确配置 DNS 区域。