設定及驗證 Purview 私人端點Microsoft DNS 名稱解析
Conceptual overview
為Microsoft Purview 帳戶設定私人端點時,正確名稱解析是很重要的需求。
您可能需要在 DNS 設定中啟用內部名稱解析,以將私人端點 IP 位址解析為完整的功能變數名稱, (從數據源和管理電腦) FQDN,以根據您部署的案例來Microsoft Purview 帳戶和自我裝載整合運行時間。
提示
當您部署 DNS 區域時,請勿使用特定 IP 位址。 Azure 資源的IP位址不是靜態的,而使用靜態IP位址建置 DNS 區域最終會造成錯誤。
部署選項
針對您的 Microsoft Purview 帳戶使用私人端點時,請使用下列任何選項來設定內部名稱解析:
- 在私人端點部署的 Azure 環境中部署新的 Azure 私用 DNS 區域。 (預設選項)
- 使用現有的 Azure 私用 DNS 區域。 如果您使用來自不同訂用帳戶或甚至相同訂用帳戶中之中樞和輪輻模型中的私人端點,請使用此選項。
- 如果您不使用 DNS 轉寄站,而是直接在內部部署 DNS 伺服器中管理 A 記錄,請使用您自己的 DNS 伺服器。
提示
- 傳統Microsoft Purview 治理入口網站 (https://web.purview.azure.com) :支持 帳戶、 入口網站和 擷取 私人端點。
- 新的 Microsoft Purview 入口網站 (https://purview.microsoft.com/) :支援 平臺 和 擷取 私人端點。
選項 1 - 部署新的 Azure 私用 DNS 區域
部署新的 Azure 私用 DNS 區域
若要啟用內部名稱解析,您可以在部署 Microsoft Purview 帳戶的 Azure 訂用帳戶內部署必要的 Azure DNS 區域。
當您建立擷取、入口網站和帳戶私人端點時,Microsoft Purview 的 DNS CNAME 資源記錄會自動更新為具有 前置詞 privatelink之少數子域中的別名:
根據預設,在部署 Microsoft Purview 帳戶的帳戶或平臺私人端點期間,我們也會針對傳統 Microsoft Purview 治理入口網站和
privatelink.purview-service.microsoft.comMicrosoft Purview 入口網站,建立對應至privatelinkMicrosoft Purviewprivatelink.purview.azure.com子域的私人 DNS 區域,包括私人端點的 DNS A 資源記錄。在部署 Microsoft Purview 帳戶的入口 網站 私人端點期間,我們也會建立新的私人 DNS 區域,其對應至
privatelinkMicrosoft Purview 的子域,包括privatelink.purviewstudio.azure.comWeb 的 DNS A 資源記錄。如果您啟用擷取私人端點,則受控或設定的資源需要其他 DNS 區域。
下表顯示 Azure 私用 DNS 區域和 DNS A 記錄的範例,如果您在部署期間啟用 私用 DNS 整合,這些區域和 DNS A 記錄會部署為 Microsoft Purview 帳戶私人端點設定的一部分:
| 私人端點 | 與相關聯的私人端點 | 入口網站可用性 | 新) (DNS 區域 | 記錄 (範例) |
|---|---|---|---|---|
| 帳戶 | Microsoft Purview | privatelink.purview.azure.com |
Contoso-Purview | |
| 平台 | Microsoft Purview | privatelink.purview-service.microsoft.com |
Contoso-Purview | |
| 入口網站 | Microsoft Purview | privatelink.purviewstudio.azure.com |
網址 | |
| 平台 | Microsoft Purview | privatelink.purview-service.microsoft.com |
網址 | |
| 攝入 | Microsoft Purview 撷取 - Blob* | privatelink.blob.core.windows.net |
ingestioneus2eastusksqky | |
| 攝入 | Microsoft Purview 撷取 - Blob* | privatelink.blob.storage.azure.net |
ingestioneus2eastusksqky | |
| 攝入 | Microsoft Purview 擷取 - 佇列* | privatelink.queue.core.windows.net |
ingestioneus2eastusksqky | |
| 攝入 | Microsoft Purview 擷取 - 佇列* | privatelink.queue.storage.azure.net |
ingestioneus2eastusksqky | |
| 攝入 | Microsoft Purview 設定的事件中樞 - 事件中樞** | privatelink.servicebus.windows.net |
atlas-12345678-1234-1234-abcd-123456789abc |
注意事項
*如果您的帳戶是在 2023 年 12 月 15 日之前建立,則端點會部署到受控記憶體帳戶。 如果是在 11 月 10 日之後建立, (或使用 API 版本 2023-05-01-preview 部署,) ,則會指向擷取記憶體。
**您的帳戶只有在針對 kafka 通知 進行設定或在 2022 年 12 月 15 日之前建立時,才會有相關聯的事件中樞命名空間。
驗證 Azure 私用 DNS 區域上的虛擬網路連結
私人端點部署完成後,請確定所有對應的 Azure 私用 DNS 區域上都有虛擬網路連結,可連線到已部署私人端點的 Azure 虛擬網路。
如需詳細資訊,請參閱 Azure 私人端點 DNS 設定。
驗證內部名稱解析
當您使用私人端點從虛擬網路外部解析 Microsoft Purview 端點 URL 時,它會解析為 Microsoft Purview 的公用端點。 從裝載私人端點的虛擬網路解析時,Microsoft Purview 端點 URL 會解析為私人端點的 IP 位址。
例如,如果 Microsoft Purview 帳戶名稱為 'Contoso-Purview',則從裝載私人端點的虛擬網路外部解析時,會是:
| 名稱 | Type | Value (值) |
|---|---|---|
Contoso-Purview.purview.azure.com |
CNAME | Contoso-Purview.privatelink.purview.azure.com |
Contoso-Purview.privatelink.purview.azure.com |
CNAME | <Microsoft Purview 公用端點> |
| <Microsoft Purview 公用端點> | A | <Microsoft Purview 公用 IP 位址> |
Web.purview.azure.com |
CNAME | <Microsoft Purview 治理入口網站公用端點> |
Contoso-Purview 的 DNS 資源記錄在裝載私人端點的虛擬網路中解析時,將會是:
| 名稱 | Type | Value (值) |
|---|---|---|
Contoso-Purview.purview.azure.com |
CNAME | Contoso-Purview.privatelink.purview.azure.com |
Contoso-Purview.privatelink.purview.azure.com |
A | <Microsoft Purview 帳戶私人端點 IP 位址> |
Web.purview.azure.com |
CNAME | <Microsoft Purview 入口網站私人端點 IP 位址> |
選項 2 - 使用現有的 Azure 私用 DNS 區域
使用現有的 Azure 私用 DNS 區域
在部署 Microsoft Purview 私人端點期間,您可以選擇使用現有的 Azure 私用 DNS 區域 私用 DNS 整合。 對於在 Azure 中用於其他服務的私人端點的組織而言,這是常見的情況。 在此情況下,在部署私人端點期間,請務必選取現有的 DNS 區域,而不是建立新的 DNS 區域。
如果您的組織針對所有 Azure 私用 DNS 區域使用中央或中樞訂用帳戶,也適用此案例。
下列列表顯示 Microsoft Purview 私人端點所需的 Azure DNS 區域和 A 記錄:
重要事項
使用 Contoso-Purview環境中對應的 Azure 資源名稱,ingestioneus2eastusksqkyatlas-12345678-1234-1234-abcd-123456789abc以更新所有名稱。
-
Contoso-Purview是您Microsoft Purview 帳戶的名稱。 - 您只需要與您使用的入口網站相關聯的端點:
- 傳統Microsoft Purview 治理入口網站 (https://web.purview.azure.com) :支持 帳戶、 入口網站和 擷取 私人端點。
- 新的 Microsoft Purview 入口網站 (https://purview.microsoft.com/) :支援 平臺 和 擷取 私人端點。
- 如果您的帳戶已 針對 kafka 通知 進行設定,或是在 2022 年 12 月 15 日之前建立,
atlas-12345678-1234-1234-abcd-123456789abc就是您的事件中樞命名空間。 - 如果您的帳戶是在 2023 年 12 月 15 日 之前 建立,請
ingestioneus2eastusksqky使用 Microsoft Purview 受控記憶體帳戶的名稱。 - 如果您的帳戶是在 2023 年 12 月 15 日 之後 建立, (或使用 API 版本 2023-05-01-preview 部署,) ,請保持
ingestioneus2eastusksqky原樣。
| 私人端點 | 與相關聯的私人端點 | 入口網站可用性 | 現有) (DNS 區域 | 記錄 (範例) |
|---|---|---|---|---|
| 帳戶 | Microsoft Purview | privatelink.purview.azure.com |
Contoso-Purview | |
| 平台 | Microsoft Purview | privatelink.purview-service.microsoft.com |
Contoso-Purview | |
| 入口網站 | Microsoft Purview | privatelink.purviewstudio.azure.com |
網址 | |
| 攝入 | Microsoft Purview 撷取 - Blob* | privatelink.blob.core.windows.net |
ingestioneus2eastusksqky | |
| 攝入 | Microsoft Purview 撷取 - Blob* | privatelink.blob.storage.azure.net |
ingestioneus2eastusksqky | |
| 攝入 | Microsoft Purview 擷取 - 佇列* | privatelink.queue.core.windows.net |
ingestioneus2eastusksqky | |
| 攝入 | Microsoft Purview 擷取 - 佇列* | privatelink.queue.storage.azure.net |
ingestioneus2eastusksqky | |
| 攝入 | Microsoft Purview 設定的事件中樞** | privatelink.servicebus.windows.net |
atlas-12345678-1234-1234-abcd-123456789abc |
注意事項
*如果您的帳戶是在 2023 年 12 月 15 日之前建立,則端點會部署到受控記憶體帳戶。 如果是在 11 月 10 日之後建立, (或使用 API 版本 2023-05-01-preview 部署,) ,則會指向擷取記憶體。 **您的帳戶只有在針對 kafka 通知 進行設定或在 2022 年 12 月 15 日之前建立時,才會有相關聯的事件中樞命名空間。
如需詳細資訊,請參閱在 Azure 私人端點 DNS 設定中使用 DNS 轉寄站案例,而沒有自定義 DNS 伺服器的虛擬網路工作負載和內部部署工作負載。
確認 Azure 私用 DNS 區域上的虛擬網路連結
私人端點部署完成後,請確定所有對應的 Azure 私用 DNS 區域上都有虛擬網路連結,以連線到已部署私人端點的 Azure 虛擬網路。
如需詳細資訊,請參閱 Azure 私人端點 DNS 設定。
如果使用自定義 DNS,請設定 DNS 轉寄站
此外,您必須在自我裝載整合運行時間 VM 或管理電腦所在的 Azure 虛擬網路上驗證 DNS 設定。
如果設定為 [預設],則此步驟不需要採取任何進一步的動作。
如果使用自定義 DNS 伺服器,您應該在下列區域的 DNS 伺服器內新增對應的 DNS 轉寄站:
- Purview.azure.com
- purviewstudio.azure.com
- Blob.core.windows.net
- Queue.core.windows.net
- Blob.storage.azure.net
- Queue.storage.azure.net
- Servicebus.windows.net
驗證內部名稱解析
當您使用私人端點從虛擬網路外部解析 Microsoft Purview 端點 URL 時,它會解析為 Microsoft Purview 的公用端點。 從裝載私人端點的虛擬網路解析時,Microsoft Purview 端點 URL 會解析為私人端點的 IP 位址。
例如,如果 Microsoft Purview 帳戶名稱為 'Contoso-Purview',則從裝載私人端點的虛擬網路外部解析時,會是:
| 名稱 | Type | Value (值) |
|---|---|---|
Contoso-Purview.purview.azure.com |
CNAME | Contoso-Purview.privatelink.purview.azure.com |
Contoso-Purview.privatelink.purview.azure.com |
CNAME | <Microsoft Purview 公用端點> |
| <Microsoft Purview 公用端點> | A | <Microsoft Purview 公用 IP 位址> |
Web.purview.azure.com |
CNAME | <Microsoft Purview 治理入口網站公用端點> |
Contoso-Purview 的 DNS 資源記錄在裝載私人端點的虛擬網路中解析時,將會是:
| 名稱 | Type | Value (值) |
|---|---|---|
Contoso-Purview.purview.azure.com |
CNAME | Contoso-Purview.privatelink.purview.azure.com |
Contoso-Purview.privatelink.purview.azure.com |
A | <Microsoft Purview 帳戶私人端點 IP 位址> |
Web.purview.azure.com |
CNAME | <Microsoft Purview 入口網站私人端點 IP 位址> |
選項 3 - 使用您自己的 DNS 伺服器
如果您不使用 DNS 轉寄站,而是直接在內部部署 DNS 伺服器中管理 A 記錄,以透過其私人 IP 位址解析端點,您可能需要在 DNS 伺服器中建立下列 A 記錄。
重要事項
使用 Contoso-Purview環境中對應的 Azure 資源名稱,ingestioneus2eastusksqkyatlas-12345678-1234-1234-abcd-123456789abc以更新所有名稱。
-
Contoso-Purview是您Microsoft Purview 帳戶的名稱。 - 您只需要與您使用的入口網站相關聯的端點:
- 傳統Microsoft Purview 治理入口網站 (https://web.purview.azure.com) :支持 帳戶、 入口網站和 擷取 私人端點。
- 新的 Microsoft Purview 入口網站 (https://purview.microsoft.com/) :支援 平臺 和 擷取 私人端點。
- 如果您的帳戶已 針對 kafka 通知 進行設定,或是在 2022 年 12 月 15 日之前建立,
atlas-12345678-1234-1234-abcd-123456789abc就是您的事件中樞命名空間。 - 如果您的帳戶是在 2023 年 12 月 15 日 之前 建立,請
ingestioneus2eastusksqky使用 Microsoft Purview 受控記憶體帳戶的名稱。 - 如果您的帳戶是在 2023 年 12 月 15 日 之後 建立, (或使用 API 版本 2023-05-01-preview 部署,) ,請保持
ingestioneus2eastusksqky原樣。
| 名稱 | Type | 值 | 入口網站可用性 |
|---|---|---|---|
web.purview.azure.com |
A | <Microsoft Purview 的入口網站私人端點 IP 位址> | 傳統入口網站 |
ingestioneus2eastusksqky.blob.core.windows.net, ingestioneus2eastusksqky.blob.storage.azure.net |
A | <Microsoft Purview 的 Blob 擷取私人端點 IP 位址> | 傳統和新的入口網站 |
ingestioneus2eastusksqky.queue.core.windows.net, ingestioneus2eastusksqky.queue.storage.azure.net |
A | <Microsoft Purview 的佇列內嵌私人端點 IP 位址> | 傳統和新的入口網站 |
atlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net |
A | <Microsoft Purview 的 namespace-ingestion 私人端點 IP 位址> | 傳統和新的入口網站 |
Contoso-Purview.Purview.azure.com |
A | <Microsoft Purview 的帳戶/平臺私人端點 IP 位址> | 傳統和新的入口網站 |
Contoso-Purview.scan.Purview.azure.com |
A | <Microsoft Purview 的帳戶/平臺私人端點 IP 位址> | 傳統和新的入口網站 |
Contoso-Purview.catalog.Purview.azure.com |
A | <Microsoft Purview 的帳戶/平臺私人端點 IP 位址> | 傳統和新的入口網站 |
Contoso-Purview.proxy.purview.azure.com |
A | <Microsoft Purview 的帳戶/平臺私人端點 IP 位址> | 傳統和新的入口網站 |
Contoso-Purview.guardian.purview.azure.com |
A | <Microsoft Purview 的帳戶/平臺私人端點 IP 位址> | 傳統和新的入口網站 |
gateway.purview.azure.com |
A | <Microsoft Purview 的帳戶/平臺私人端點 IP 位址> | 傳統和新的入口網站 |
insight.prod.ext.web.purview.azure.com |
A | <Microsoft Purview 的入口網站私人端點 IP 位址> | 傳統入口網站 |
manifest.prod.ext.web.purview.azure.com |
A | <Microsoft Purview 的入口網站私人端點 IP 位址> | 傳統入口網站 |
cdn.prod.ext.web.purview.azure.com |
A | <Microsoft Purview 的入口網站私人端點 IP 位址> | 傳統入口網站 |
hub.prod.ext.web.purview.azure.com |
A | <Microsoft Purview 的入口網站私人端點 IP 位址> | 傳統入口網站 |
catalog.prod.ext.web.purview.azure.com |
A | <Microsoft Purview 的入口網站私人端點 IP 位址> | 傳統入口網站 |
cseo.prod.ext.web.purview.azure.com |
A | <Microsoft Purview 的入口網站私人端點 IP 位址> | 傳統入口網站 |
datascan.prod.ext.web.purview.azure.com |
A | <Microsoft Purview 的入口網站私人端點 IP 位址> | 傳統入口網站 |
datashare.prod.ext.web.purview.azure.com |
A | <Microsoft Purview 的入口網站私人端點 IP 位址> | 傳統入口網站 |
datasource.prod.ext.web.purview.azure.com |
A | <Microsoft Purview 的入口網站私人端點 IP 位址> | 傳統入口網站 |
policy.prod.ext.web.purview.azure.com |
A | <Microsoft Purview 的入口網站私人端點 IP 位址> | 傳統入口網站 |
sensitivity.prod.ext.web.purview.azure.com |
A | <Microsoft Purview 的入口網站私人端點 IP 位址> | 傳統入口網站 |
web.privatelink.purviewstudio.azure.com |
A | <Microsoft Purview 的入口網站私人端點 IP 位址> | 傳統入口網站 |
workflow.prod.ext.web.purview.azure.com |
A | <Microsoft Purview 的入口網站私人端點 IP 位址> | 傳統入口網站 |
驗證和 DNS 測試名稱解析和連線能力
如果您使用 Azure 私用 DNS 區域,請確定已在 Azure 訂用帳戶中建立下列 DNS 區域和對應的 A 記錄:
私人端點 與相關聯的私人端點 入口網站可用性 現有) (DNS 區域 記錄 (範例) 帳戶 Microsoft Purview 傳統入口網站 privatelink.purview.azure.comContoso-Purview 平台 Microsoft Purview 新入口網站 privatelink.purview-service.microsoft.comContoso-Purview 入口網站 Microsoft Purview 傳統入口網站 privatelink.purviewstudio.azure.com網址 攝入 Microsoft Purview 撷取 - Blob* 傳統和新的入口網站 privatelink.blob.core.windows.net,privatelink.blob.storage.azure.netingestioneus2eastusksqky 攝入 Microsoft Purview 擷取 - 佇列* 傳統和新的入口網站 privatelink.queue.core.windows.net,privatelink.queue.storage.azure.netingestioneus2eastusksqky 攝入 事件中樞** 傳統和新的入口網站 privatelink.servicebus.windows.netatlas-12345678-1234-1234-abcd-123456789abc 注意事項
*如果您的帳戶是在 2023 年 12 月 15 日之前建立,則端點會部署到受控記憶體帳戶。 如果是在 11 月 10 日之後建立, (或使用 API 版本 2023-05-01-preview 部署,) ,則會指向擷取記憶體。 **您的帳戶只有在針對 kafka 通知 進行設定或在 2022 年 12 月 15 日之前建立時,才會有相關聯的事件中樞命名空間。
在 Azure 虛擬網路的 Azure 私用 DNS 區域中建立虛擬網路連結,以允許內部名稱解析。
從您的管理計算機和自我裝載整合運行時間 VM,使用 Nslookup.exe 和 PowerShell 等工具,測試與 Microsoft Purview 帳戶的名稱解析和網路連線
若要測試名稱解析,您必須透過其私人IP位址解析下列 FQDN: (而非 Contoso-Purview、 ingestioneus2eastusksqky 或 atlas-12345678-1234-1234-abcd-123456789abc,使用與您的 purview 帳戶名稱相關聯的主機名,以及受控或設定的資源名稱)
Contoso-Purview.purview.azure.comweb.purview.azure.comingestioneus2eastusksqky.blob.core.windows.netingestioneus2eastusksqky.queue.core.windows.netatlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net
若要測試網路連線能力,您可以從自我裝載整合運行時間 VM 啟動 PowerShell 控制台,並使用 Test-NetConnection來測試連線能力。
您必須依其私人端點解析每個端點,並取得 TcpTestSucceeded 為 True。 (不要使用 Contoso-Purview、ingestioneus2eastusksqky 或 atlas-12345678-1234-1234-abcd-123456789abc,請使用與您的 purview 帳戶名稱相關聯的主機名,以及受管理或設定的資源名稱)
Test-NetConnection -ComputerName Contoso-Purview.purview.azure.com -port 443Test-NetConnection -ComputerName web.purview.azure.com -port 443Test-NetConnection -ComputerName ingestioneus2eastusksqky.blob.core.windows.net -port 443Test-NetConnection -ComputerName ingestioneus2eastusksqky.queue.core.windows.net -port 443Test-NetConnection -ComputerName atlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net -port 443
下列範例顯示Microsoft虛擬網路外部或未設定 Azure 私人端點時的 Purview DNS 名稱解析。
下列範例顯示Microsoft虛擬網路內部的 Purview DNS 名稱解析。
注意事項
這些影像中的值是範例。 使用文章中的資訊正確設定您的 DNS 區域。