配置并验证 Microsoft Purview 专用终结点的 DNS 名称解析
概念概述
为 Microsoft Purview 帐户设置专用终结点时,准确的名称解析是一项关键要求。
可能需要在 DNS 设置中启用内部名称解析,以将专用终结点 IP 地址解析为完全限定的域名, (FQDN) 数据源和管理计算机到 Microsoft Purview 帐户和自承载集成运行时,具体取决于要部署的方案。
以下示例演示从虚拟网络外部或未配置 Azure 专用终结点时的 Microsoft Purview DNS 名称解析。
以下示例演示了虚拟网络内部的 Microsoft Purview DNS 名称解析。
部署选项
使用 Microsoft Purview 帐户的专用终结点时,使用以下任何选项来设置内部名称解析:
- 在专用终结点部署的 Azure 环境中部署新的 Azure 专用 DNS区域。 (默认选项)
- 使用现有的 Azure 专用 DNS 区域。 如果在中心辐射型模型中使用不同订阅甚至同一订阅中的专用终结点,请使用此选项。
- 如果不使用 DNS 转发器,而是直接在本地 DNS 服务器中管理 A 记录,请使用自己的 DNS 服务器。
选项 1 - 部署新的 Azure 专用 DNS区域
部署新的 Azure 专用 DNS区域
若要启用内部名称解析,可以在部署 Microsoft Purview 帐户的 Azure 订阅中部署所需的 Azure DNS 区域。
创建引入、门户和帐户专用终结点时,Microsoft Purview 的 DNS CNAME 资源记录会自动更新为几个子域中的别名,前缀为 privatelink:
默认情况下,在为 Microsoft Purview 帐户部署帐户 专用终结点期间,我们还创建一个 专用 DNS 区域 ,该区域对应于
privatelinkMicrosoft Purview 的子域,包括privatelink.purview.azure.com专用终结点的 DNS A 资源记录。在部署 Microsoft Purview 帐户的 门户 专用终结点期间,我们还创建了一个新的专用 DNS 区域,该区域对应于
privatelinkMicrosoft Purview 的子域,包括privatelink.purviewstudio.azure.comWeb 的 DNS A 资源记录。如果启用引入专用终结点,托管或配置的资源需要其他 DNS 区域。
下表显示了 Azure 专用 DNS 区域和 DNS A 记录的示例,如果在部署过程中启用专用 DNS集成,这些记录将部署为 Microsoft Purview 帐户的专用终结点配置的一部分:
| 专用终结点 | 与 关联的专用终结点 | DNS 区域 (新) | 记录 (示例) |
|---|---|---|---|
| 帐户 | Microsoft Purview | privatelink.purview.azure.com |
Contoso-Purview |
| 门户 | Microsoft Purview | privatelink.purviewstudio.azure.com |
Web |
| 摄入 | Microsoft Purview 托管存储帐户 - Blob | privatelink.blob.core.windows.net |
scaneastusabcd1234 |
| 摄入 | Microsoft Purview 托管存储帐户 - 队列 | privatelink.queue.core.windows.net |
scaneastusabcd1234 |
| 摄入 | Microsoft Purview 托管存储帐户 - 事件中心 | privatelink.servicebus.windows.net |
atlas-12345678-1234-1234-abcd-123456789abc |
验证 Azure 专用 DNS 区域中的虚拟网络链接
完成专用终结点部署后,请确保所有相应的 Azure 专用 DNS区域中都有一个虚拟网络链接,该链接指向部署了专用终结点的 Azure 虚拟网络。
有关详细信息,请参阅 Azure 专用终结点 DNS 配置。
验证内部名称解析
使用专用终结点从虚拟网络外部解析 Microsoft Purview 终结点 URL 时,它会解析为 Microsoft Purview 的公共终结点。 从托管专用终结点的虚拟网络解析时,Microsoft Purview 终结点 URL 将解析为专用终结点的 IP 地址。
例如,如果 Microsoft Purview 帐户名称为“Contoso-Purview”,则从托管专用终结点的虚拟网络外部解析时,它将是:
| 名称 | 类型 | 值 |
|---|---|---|
Contoso-Purview.purview.azure.com |
CNAME | Contoso-Purview.privatelink.purview.azure.com |
Contoso-Purview.privatelink.purview.azure.com |
CNAME | <Microsoft Purview 公共终结点> |
| <Microsoft Purview 公共终结点> | A | <Microsoft Purview 公共 IP 地址> |
Web.purview.azure.com |
CNAME | <Microsoft Purview 治理门户公共终结点> |
在托管专用终结点的虚拟网络中解析 Contoso-Purview 的 DNS 资源记录将为:
| 名称 | 类型 | 值 |
|---|---|---|
Contoso-Purview.purview.azure.com |
CNAME | Contoso-Purview.privatelink.purview.azure.com |
Contoso-Purview.privatelink.purview.azure.com |
A | <Microsoft Purview 帐户专用终结点 IP 地址> |
Web.purview.azure.com |
CNAME | <Microsoft Purview 门户专用终结点 IP 地址> |
选项 2 - 使用现有的 Azure 专用 DNS区域
使用现有的 Azure 专用 DNS区域
在部署 Microsft Purview 专用终结点期间,可以选择使用现有 Azure 专用 DNS 区域的专用 DNS集成。 对于 Azure 中的其他服务使用专用终结点的组织来说,这种情况很常见。 在这种情况下,在部署专用终结点期间,请确保选择现有 DNS 区域,而不是创建新的 DNS 区域。
如果组织对所有 Azure 专用 DNS区域使用中央或中心订阅,则此方案也适用。
以下列表显示了 Microsoft Purview 专用终结点所需的 Azure DNS 区域和 A 记录:
注意
在环境中使用 Contoso-Purview和scaneastusabcd1234atlas-12345678-1234-1234-abcd-123456789abc 相应的 Azure 资源名称更新所有名称。 例如,不要 scaneastusabcd1234 使用 Microsoft Purview 托管存储帐户的名称。
| 专用终结点 | 与 关联的专用终结点 | DNS 区域 (现有) | 记录 (示例) |
|---|---|---|---|
| 帐户 | Microsoft Purview | privatelink.purview.azure.com |
Contoso-Purview |
| 门户 | Microsoft Purview | privatelink.purviewstudio.azure.com |
Web |
| 摄入 | Microsoft Purview 托管存储帐户 - Blob | privatelink.blob.core.windows.net |
scaneastusabcd1234 |
| 摄入 | Microsoft Purview 托管存储帐户 - 队列 | privatelink.queue.core.windows.net |
scaneastusabcd1234 |
| 摄入 | Microsoft Purview 托管存储帐户 - 事件中心 | privatelink.servicebus.windows.net |
atlas-12345678-1234-1234-abcd-123456789abc |
有关详细信息,请参阅不使用自定义 DNS 服务器的虚拟网络工作负载和 Azure 专用终结点 DNS 配置中的使用 DNS 转发器方案的本地工作负载。
验证 Azure 专用 DNS 区域中的虚拟网络链接
完成专用终结点部署后,请确保所有相应的 Azure 专用 DNS区域中都有一个虚拟网络链接,该链接指向部署了专用终结点的 Azure 虚拟网络。
有关详细信息,请参阅 Azure 专用终结点 DNS 配置。
如果使用自定义 DNS,请配置 DNS 转发器
此外,还需要在自承载集成运行时 VM 或管理电脑所在的 Azure 虚拟网络上验证 DNS 配置。
如果将其配置为 “默认”,则此步骤中无需执行进一步操作。
如果使用自定义 DNS 服务器,则应在 DNS 服务器中为以下区域添加相应的 DNS 转发器:
- Purview.azure.com
- purviewstudio.azure.com
- Blob.core.windows.net
- Queue.core.windows.net
- Servicebus.windows.net
验证内部名称解析
使用专用终结点从虚拟网络外部解析 Microsoft Purview 终结点 URL 时,它会解析为 Microsoft Purview 的公共终结点。 从托管专用终结点的虚拟网络解析时,Microsoft Purview 终结点 URL 将解析为专用终结点的 IP 地址。
例如,如果 Microsoft Purview 帐户名称为“Contoso-Purview”,则从托管专用终结点的虚拟网络外部解析时,它将是:
| 名称 | 类型 | 值 |
|---|---|---|
Contoso-Purview.purview.azure.com |
CNAME | Contoso-Purview.privatelink.purview.azure.com |
Contoso-Purview.privatelink.purview.azure.com |
CNAME | <Microsoft Purview 公共终结点> |
| <Microsoft Purview 公共终结点> | A | <Microsoft Purview 公共 IP 地址> |
Web.purview.azure.com |
CNAME | <Microsoft Purview 治理门户公共终结点> |
在托管专用终结点的虚拟网络中解析 Contoso-Purview 的 DNS 资源记录将为:
| 名称 | 类型 | 值 |
|---|---|---|
Contoso-Purview.purview.azure.com |
CNAME | Contoso-Purview.privatelink.purview.azure.com |
Contoso-Purview.privatelink.purview.azure.com |
A | <Microsoft Purview 帐户专用终结点 IP 地址> |
Web.purview.azure.com |
CNAME | <Microsoft Purview 门户专用终结点 IP 地址> |
选项 3 - 使用自己的 DNS 服务器
如果不使用 DNS 转发器,而是直接在本地 DNS 服务器中管理 A 记录,以便通过终结点的专用 IP 地址解析终结点,则可能需要在 DNS 服务器中创建以下 A 记录。
注意
在环境中使用 Contoso-Purview和scaneastusabcd1234atlas-12345678-1234-1234-abcd-123456789abc 相应的 Azure 资源名称更新所有名称。 例如,不要 scaneastusabcd1234 使用 Microsoft Purview 托管存储帐户的名称。
| 名称 | 类型 | 值 |
|---|---|---|
web.purview.azure.com |
A | <Microsoft Purview 的门户专用终结点 IP 地址> |
scaneastusabcd1234.blob.core.windows.net |
A | <Microsoft Purview 的 blob 引入专用终结点 IP 地址> |
scaneastusabcd1234.queue.core.windows.net |
A | <Microsoft Purview 的队列引入专用终结点 IP 地址> |
atlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net |
A | <microsoft Purview 的命名空间引入专用终结点 IP 地址> |
Contoso-Purview.Purview.azure.com |
A | <Microsoft Purview 的帐户专用终结点 IP 地址> |
Contoso-Purview.scan.Purview.azure.com |
A | <Microsoft Purview 的帐户专用终结点 IP 地址> |
Contoso-Purview.catalog.Purview.azure.com |
A | <Microsoft Purview 的帐户专用终结点 IP 地址> |
Contoso-Purview.proxy.purview.azure.com |
A | <Microsoft Purview 的帐户专用终结点 IP 地址> |
Contoso-Purview.guardian.purview.azure.com |
A | <Microsoft Purview 的帐户专用终结点 IP 地址> |
gateway.purview.azure.com |
A | <Microsoft Purview 的帐户专用终结点 IP 地址> |
insight.prod.ext.web.purview.azure.com |
A | <Microsoft Purview 的门户专用终结点 IP 地址> |
manifest.prod.ext.web.purview.azure.com |
A | <Microsoft Purview 的门户专用终结点 IP 地址> |
cdn.prod.ext.web.purview.azure.com |
A | <Microsoft Purview 的门户专用终结点 IP 地址> |
hub.prod.ext.web.purview.azure.com |
A | <Microsoft Purview 的门户专用终结点 IP 地址> |
catalog.prod.ext.web.purview.azure.com |
A | <Microsoft Purview 的门户专用终结点 IP 地址> |
cseo.prod.ext.web.purview.azure.com |
A | <Microsoft Purview 的门户专用终结点 IP 地址> |
datascan.prod.ext.web.purview.azure.com |
A | <Microsoft Purview 的门户专用终结点 IP 地址> |
datashare.prod.ext.web.purview.azure.com |
A | <Microsoft Purview 的门户专用终结点 IP 地址> |
datasource.prod.ext.web.purview.azure.com |
A | <Microsoft Purview 的门户专用终结点 IP 地址> |
policy.prod.ext.web.purview.azure.com |
A | <Microsoft Purview 的门户专用终结点 IP 地址> |
sensitivity.prod.ext.web.purview.azure.com |
A | <Microsoft Purview 的门户专用终结点 IP 地址> |
web.privatelink.purviewstudio.azure.com |
A | <Microsoft Purview 的门户专用终结点 IP 地址> |
workflow.prod.ext.web.purview.azure.com |
A | <Microsoft Purview 的门户专用终结点 IP 地址> |
验证和 DNS 测试名称解析和连接
如果使用 Azure 专用 DNS区域,请确保在 Azure 订阅中创建以下 DNS 区域和相应的 A 记录:
专用终结点 与 关联的专用终结点 DNS 区域 记录 ) (示例) 帐户 Microsoft Purview privatelink.purview.azure.comContoso-Purview 门户 Microsoft Purview privatelink.purviewstudio.azure.comWeb 摄入 Microsoft Purview 托管存储帐户 - Blob privatelink.blob.core.windows.netscaneastusabcd1234 摄入 Microsoft Purview 托管存储帐户 - 队列 privatelink.queue.core.windows.netscaneastusabcd1234 摄入 Microsoft Purview 配置的事件中心 - 事件中心 privatelink.servicebus.windows.netatlas-12345678-1234-1234-abcd-123456789abc 在 Azure 专用 DNS区域中为 Azure 虚拟网络创建虚拟网络链接,以允许内部名称解析。
使用 Nslookup.exe 和 PowerShell 等工具从管理电脑和自承载集成运行时 VM 测试名称解析和与 Microsoft Purview 帐户的网络连接
若要测试名称解析,需要通过其专用 IP 地址解析以下 FQDN: (而不是 Contoso-Purview、scaneastusabcd1234 或 atlas-12345678-1234-1234-1234-abcd-123456789abc,请使用与 purview 帐户名称关联的主机名,并使用托管或配置的资源名称)
Contoso-Purview.purview.azure.comweb.purview.azure.comscaneastusabcd1234.blob.core.windows.netscaneastusabcd1234.queue.core.windows.netatlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net
若要测试网络连接,可以从自承载集成运行时 VM 启动 PowerShell 控制台并使用 测试连接 Test-NetConnection。
必须通过专用终结点解析每个终结点,并将 TcpTestSucceeded 设置为 True。 (使用与 purview 帐户名称关联的主机名,并使用与 purview 帐户名称关联的主机名,并使用托管或配置的资源名称)
Test-NetConnection -ComputerName Contoso-Purview.purview.azure.com -port 443Test-NetConnection -ComputerName web.purview.azure.com -port 443Test-NetConnection -ComputerName scaneastusabcd1234.blob.core.windows.net -port 443Test-NetConnection -ComputerName scaneastusabcd1234.queue.core.windows.net -port 443Test-NetConnection -ComputerName atlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net -port 443