關於Microsoft Purview 私人端點和受控 VNet 的常見問題
本文回答客戶和現場小組經常使用 Azure Private Link 或 Microsoft Purview 受控 VNet 來詢問Microsoft Purview 網路設定的常見問題。 其目的是要釐清有關Microsoft Purview 防火牆設定、私人端點、DNS 設定和相關設定的問題。
若要使用 Private Link 設定 Microsoft Purview,請參閱使用 Microsoft Purview 帳戶的私人端點。 若要設定 Microsoft Purview 帳戶的受控 VNet,請參閱 使用受控虛擬網路搭配您的 Microsoft Purview 帳戶。
何時應該使用自我裝載整合運行時間、受控虛擬網路 IR 或 Azure IR?
若要深入瞭解 ,請參閱為您的案例選擇正確的整合運行時間設定。
我可以在 Microsoft Purview 帳戶內使用自我裝載整合運行時間和受控虛擬網路 IR 嗎?
是。 您可以在單一Microsoft Purview 帳戶中使用一或所有運行時間選項:Azure IR、受控虛擬網路 IR 和自我裝載整合運行時間。 在單一掃描中,您只能使用一個運行時間選項。
部署 Microsoft Purview 帳戶私人端點的用途為何?
Microsoft Purview 帳戶私人端點是用來新增另一層安全性,方法是啟用只允許來自虛擬網路內的用戶端呼叫存取帳戶的案例。 此私人端點也是入口網站私人端點的必要條件。
部署 Microsoft Purview 入口網站私人端點的用途為何?
Microsoft Purview 入口網站私人端點提供與 Microsoft Purview 治理入口網站的私人連線。
部署 Microsoft Purview 擷取私人端點的目的為何?
Microsoft Purview 可以使用擷取私人端點來掃描 Azure 或內部部署環境中的數據源。 另外三個私人端點資源會在建立擷取私人端點時部署並連結到 Microsoft Purview 受控或設定的資源:
- 如果您針對 kafka 通知使用受控事件中樞, 命名空間 會連結至 Microsoft Purview 設定的事件中樞命名空間。
- 如果您的帳戶是在 2023 年 12 月 15 日之前建立的:
- Blob 會連結至 Microsoft Purview 受控記憶體帳戶。
- 佇列 會連結至 Microsoft Purview 受控記憶體帳戶。
- 如果您的帳戶是在 2023 年 12 月 15 日之後建立, (或使用 API 版本 2023-05-01-preview 部署,) :
- Blob 會連結至 Microsoft Purview 擷取記憶體。
- 佇列 會連結至 Microsoft Purview 擷取記憶體。
如果我的 Microsoft Purview 帳戶上已啟用私人端點,我可以透過公用端點掃描數據源嗎?
是。 若將 Purview 設定為使用私人端點,則可以使用公用端點掃描未透過私人端點連線的數據源Microsoft。
如果已啟用私人端點,我可以透過服務端點掃描數據源嗎?
是。 當 Purview 設定為使用私人端點時,可以使用服務端點掃描未透過私人端點連線的數據源Microsoft。 若要深入瞭解 ,請參閱為您的案例選擇正確的整合運行時間設定。
如果 [公用網络存取] 設定為 [Microsoft Purview 帳戶網络功能] 中的 [拒絕],我可以從公用網络存取 Microsoft Purview 治理入口網站嗎?
不能。 從公用網路存取設定為 [拒絕] 的公用端點連線到 Microsoft Purview,會導致下列錯誤訊息:
「未獲授權存取此Microsoft Purview 帳戶。 此Microsoft Purview 帳戶位於私人端點後方。 從相同虛擬網路中的用戶端存取帳戶, (已針對 Microsoft Purview 帳戶的私人端點設定的虛擬網路) 。」
在此情況下,若要開啟 Microsoft Purview 治理入口網站,請使用與 Microsoft Purview 入口網站私人端點部署在相同虛擬網路中的計算機,或使用聯機到允許混合式連線的 CorpNet 的 VM。
是否可以限制僅針對私人端點擷取Microsoft存取 Purview 受控記憶體帳戶或擷取記憶體帳戶和事件中樞命名空間 (僅) ,但讓入口網站存取保持為跨網路用戶啟用?
注意事項
如果您的帳戶是在 2023 年 12 月 15 日之前建立, (或使用 2023-05-01-preview) 之前的 API 版本部署,則只有受控記憶體帳戶。 您的帳戶只有在針對 kafka 通知 進行設定,或是在 2022 年 12 月 15 日之前建立時,才會有相關聯的事件中樞命名空間。
是。 您可以將 [Microsoft Purview 防火牆] 設定為 [已停用],僅供擷取 (預覽) 。 藉由選擇此選項,允許透過 API 和 Microsoft Purview 治理入口網站對Microsoft Purview 帳戶進行公用網路存取,但公用網路存取會設定為停用您Microsoft Purview 帳戶的受控記憶體帳戶。 您也需要確認事件中 樞網路設定 允許通訊。
如果公用網路存取設定為 [允許],是否表示任何人都可以存取受控記憶體帳戶或擷取記憶體帳戶和事件中樞命名空間?
注意事項
如果您的帳戶是在 2023 年 12 月 15 日之前建立, (或使用 2023-05-01-preview) 之前的 API 版本部署,則只有受控記憶體帳戶。 您的帳戶只有在針對 kafka 通知 進行設定,或是在 2022 年 12 月 15 日之前建立時,才會有相關聯的事件中樞命名空間。
不能。 作為受保護的資源,只有使用 RBAC 驗證配置,才能存取 Microsoft Purview 受控記憶體帳戶和任何事件中樞命名空間,以限制為 Microsoft Purview。 這些資源會以拒絕指派給所有主體的方式部署,這可防止任何應用程式、使用者或群組取得其存取權。
若要深入瞭解 Azure 拒絕指派,請參閱 瞭解 Azure 拒絕指派。
私人端點Microsoft Purview 需要哪些私人 DNS 區域?
針對 Microsoft Purview 帳戶、 入口網站和 平臺 私人端點:
-
privatelink.purview.azure.com
- 適用於傳統Microsoft Purview 治理入口網站。 -
privatelink.purview-service.microsoft.com
- 適用於 Microsoft Purview 入口網站。
針對 Microsoft Purview 擷取 私人端點:
privatelink.blob.core.windows.net
privatelink.queue.core.windows.net
privatelink.servicebus.windows.net
當我部署 Microsoft Purview 私人端點時,是否必須使用專用虛擬網路和專用子網?
不能。 不過, PrivateEndpointNetworkPolicies
在部署私人端點之前,必須在目的地子網中停用 。 如果您打算跨單位掃描數據源,請考慮將 Microsoft Purview 部署到可透過虛擬網路對等互連對數據源虛擬網路進行網路連線的虛擬網路,以及對內部部署網路的存取。
深入瞭解 停用私人端點的網路原則。
我可以部署 Microsoft Purview 私人端點,並使用訂用帳戶中現有的私人 DNS 區域來註冊 A 記錄嗎?
是。 您的私人端點 DNS 區域可以集中在中樞或數據管理訂用帳戶中,以供 Microsoft Purview 和所有數據源記錄所需的所有內部 DNS 區域使用。 建議使用此方法,讓 Microsoft Purview 使用其私人端點內部 IP 位址來解析數據源。
您也必須為現有私人 DNS 區域的 虛擬網路設定虛擬網路連結 。
當您使用私人端點時,Microsoft Purview 的虛擬機具有自我裝載整合運行時間的輸出埠和防火牆需求為何?
部署自我裝載整合運行時間的 VM 必須具有 Azure 端點的輸出存取權,以及透過埠 443 Microsoft Purview 私人 IP 位址。
如果已啟用私人端點,我是否需要從執行自我裝載整合運行時間的虛擬機啟用輸出因特網存取?
不能。 不過,執行自我裝載整合運行時間的虛擬機應該可以使用埠 443,透過內部 IP 位址連線到 Microsoft Purview 的實例。 使用常見的疑難解答工具進行名稱解析和連線能力測試,例如 nslookup.exe 和 Test-NetConnection。
如果我使用受控虛擬網路,仍然需要為Microsoft Purview 帳戶部署私人端點嗎?
如果 Purview 帳戶中的公用存取Microsoft設定為 拒絕,則至少需要一個帳戶和入口網站私人端點。 如果 Purview 帳戶中的公用存取設為 拒絕 ,且您打算使用自我裝載整合運行時間掃描更多數據源,則至少需要一個帳戶、入口網站和擷取私人端點Microsoft。
Microsoft Purview 受控 VNet 可透過公用端點允許哪些輸入和輸出通訊?
不允許從公用網路對受控虛擬網路進行輸入通訊。 所有埠都會開啟以進行輸出通訊。 在 Microsoft Purview 中,受控虛擬網路可用來私下連線到 Azure 數據源,以在掃描期間擷取元數據。
當我嘗試從計算機啟動 Microsoft Purview 治理入口網站時,為什麼會收到下列錯誤訊息?
「此Microsoft Purview 帳戶位於私人端點後方。 從相同虛擬網路中的用戶端存取帳戶, (已針對 Microsoft Purview 帳戶的私人端點設定的虛擬網路) 。」
您的 Microsoft Purview 帳戶很可能是使用 Private Link 部署,而您Microsoft Purview 帳戶上的公用存取權已停用。 因此,您必須從具有內部網路連線至 Microsoft Purview 的虛擬機流覽 Microsoft Purview 治理入口網站。
如果您是從混合式網路後方的 VM 連線,或使用連線到虛擬網路的跳板電腦,請使用常見的疑難解答工具進行名稱解析和連線測試,例如 nslookup.exe 和 Test-NetConnection。
驗證您是否可以透過 Microsoft Purview 帳戶的私人 IP 位址解析下列位址。
Web.Purview.Azure.com
<YourPurviewAccountName>.Purview.Azure.com
使用下列 PowerShell 命令,確認您Microsoft Purview 帳戶的網路連線能力:
Test-NetConnection -ComputerName <YourPurviewAccountName>.Purview.Azure.com -Port 443
如果您使用自己的 DNS 解析基礎結構,請確認您的跨單位 DNS 設定。
如需私人端點 DNS 設定的詳細資訊,請參閱 Azure 私人端點 DNS 設定。
我可以將與 Microsoft Purview 帳戶或其受控資源相關聯的私人端點移至另一個 Azure 訂用帳戶或資源群組嗎?
不能。 不支持帳戶、入口網站或擷取私人端點的移動作業。 如需詳細資訊,請 參閱將網路資源移至新的資源群組或訂用帳戶。
我可以在不同區域中建立多個受控虛擬網路嗎?
是。 您可以在單一Microsoft Purview 實例中跨不同區域建立多個受控虛擬網路,以便存取不同區域中可用的數據源。 這項功能提供下列功能:
- 在單一 Microsoft Purview 實例內,跨不同區域建立多個受控虛擬網路 (最多五個) 。
- 在您自己的組織內隔離網路,以解決潛在的數據落地或掃描效能考慮。
後續步驟
若要使用 Private Link 設定 Microsoft Purview,請參閱使用 Microsoft Purview 帳戶的私人端點。