Konfigurace a ověření překladu názvů DNS pro privátní koncové body Azure dosah
Důležité
Pokud jste vytvořili privátní koncový bod portálu pro účet dosah před 27. září 2021 v 15:30 UTC, bude nutné provést požadované akce, jak je popsáno v části, překonfigurujte DNS pro privátní koncové body portálu. Tyto akce musí být dokončeny před 12. listopadu 2021. Neúspěšná akce způsobí, že stávající privátní koncové body portálu nebudou fungovat.
Základní přehled
Přesné rozlišení názvů je zásadní požadavek při nastavování privátních koncových bodů pro účty Azure dosah.
V závislosti na scénářích, které nasazujete, možná budete muset povolit interní překlad adres IP v nastaveních DNS k překladu IP adres privátního koncového bodu na plně kvalifikovaný název domény (FQDN) ze zdrojů dat a z počítače pro správu do účtu Azure dosah a místního prostředí Integration runtime.
Následující příklad ukazuje překlad názvů DNS Azure dosah z oblasti mimo virtuální síť nebo v případě, že není nakonfigurovaný žádný privátní koncový bod Azure.
Následující příklad ukazuje překlad názvů DNS Azure dosah z virtuální sítě do.
Možnosti nasazení
K nastavení interního překladu IP adres při použití privátních koncových bodů pro účet Azure dosah použijte některou z následujících možností:
- V rámci nasazení privátního koncového bodu Nasaďte nové zóny azure privátní DNS v prostředí Azure. (Výchozí možnost)
- Použijte existující zóny Azure privátní DNS. Tuto možnost použijte, pokud používáte privátní koncový bod v modelu hvězdicové lokality z jiného předplatného nebo dokonce i v rámci stejného předplatného.
- Pokud nepoužíváte servery pro přeposílání DNS a místo toho můžete spravovat záznamy přímo na místních serverech DNS, použijte vlastní servery DNS .
Možnost 1 – nasazení nových zón Privátní DNS Azure
Nasazení nových zón Privátní DNS Azure
Pokud chcete povolit interní překlad IP adres, můžete nasadit požadované zóny Azure DNS v rámci předplatného Azure, kde je nasazený účet Azure dosah.
Když vytváříte soukromé koncové body ingestování, portálu a účtu, záznamy prostředků DNS CNAME pro Azure dosah se automaticky aktualizují na alias v několika poddoménách s předponou privatelink :
Ve výchozím nastavení vytvoříme během nasazování privátního koncového bodu účtu pro účet dosah privátní zónu DNS , která odpovídá
privatelinksubdoméně pro Azure dosah, jako třebaprivatelink.purview.azure.comDNS a záznamy prostředků pro privátní koncové body.Během nasazování privátního koncového bodu portálu pro svůj účet dosah vytvoříme také novou privátní zónu DNS, která odpovídá
privatelinksubdoméně pro Azure dosah jakoprivatelink.purviewstudio.azure.comvčetně záznamů o prostředcích DNS pro Web.Pokud povolíte soukromé koncové body ingestování, jsou pro spravované prostředky vyžadovány další zóny DNS.
Následující tabulka ukazuje příklad zón Privátní DNS Azure a záznamů DNS, které jsou nasazené jako součást konfigurace privátního koncového bodu pro účet Azure dosah, pokud povolíte integraci privátní DNS během nasazení:
| Privátní koncový bod | Soukromý koncový bod přidružený k | Zóna DNS (nová) | Záznam A (příklad) |
|---|---|---|---|
| Účet | Azure Purview | privatelink.purview.azure.com |
Contoso-Purview |
| Portál | Azure Purview | privatelink.purviewstudio.azure.com |
Web |
| Příjem dat | dosah spravovaný účet Storage – Blob | privatelink.blob.core.windows.net |
scaneastusabcd1234 |
| Příjem dat | dosah spravovaný účet Storage – fronta | privatelink.queue.core.windows.net |
scaneastusabcd1234 |
| Příjem dat | dosah spravovaný účet Storage – centrum událostí | privatelink.servicebus.windows.net |
Atlas-12345678-1234-1234-abcd-123456789ABC |
Ověření odkazů na virtuální síť v zónách Azure Privátní DNS
Po dokončení nasazení privátního koncového bodu se ujistěte, že existuje odkaz virtuální sítě na všech odpovídajících zónách Azure privátní DNS do služby Azure Virtual Network, ve které byl nasazený privátní koncový bod.
Další informace najdete v tématu Konfigurace DNS privátního koncového bodu Azure.
Ověření interního překladu názvů
Při překladu adresy URL koncového bodu Azure dosah z oblasti mimo virtuální síť s privátním koncovým bodem se přeloží na veřejný koncový bod Azure dosah. Při překladu z virtuální sítě hostující soukromý koncový bod se adresa URL koncového bodu Azure dosah přeloží na IP adresu privátního koncového bodu.
Pokud je například název účtu Azure dosah "contoso-dosah", při jeho překladu mimo virtuální síť, která je hostitelem privátního koncového bodu, bude:
| Název | Typ | Hodnota |
|---|---|---|
Contoso-Purview.purview.azure.com |
CNAME | Contoso-Purview.privatelink.purview.azure.com |
Contoso-Purview.privatelink.purview.azure.com |
CNAME | <Purview public endpoint> |
| <Purview public endpoint> | A | <Purview public IP address> |
Web.purview.azure.com |
CNAME | <Purview Studio public endpoint> |
Záznamy prostředků DNS pro contoso-dosah, pokud jsou vyřešené ve virtuální síti hostující soukromý koncový bod, budou:
| Název | Typ | Hodnota |
|---|---|---|
Contoso-Purview.purview.azure.com |
CNAME | Contoso-Purview.privatelink.purview.azure.com |
Contoso-Purview.privatelink.purview.azure.com |
A | <Purview account private endpoint IP address> |
Web.purview.azure.com |
CNAME | <Purview portal private endpoint IP address> |
Možnost 2 – použití stávajících zón Privátní DNS Azure
Použít existující zóny Azure Privátní DNS
Během nasazování soukromých koncových bodů Azure dosah můžete zvolit integraci privátní DNS pomocí stávajících zón privátní DNS Azure. To je běžný případ pro organizace, kde se privátní koncový bod používá pro jiné služby v Azure. V takovém případě se při nasazování privátních koncových bodů ujistěte, že jste vybrali existující zóny DNS místo vytváření nových.
Tento scénář platí i v případě, že vaše organizace používá centrální nebo centrální předplatné pro všechny zóny Azure Privátní DNS.
V následujícím seznamu jsou uvedeny požadované zóny Azure DNS a záznamy pro soukromé koncové body dosah:
Poznámka
Aktualizujte všechny názvy Contoso-Purview pomocí scaneastusabcd1234 a atlas-12345678-1234-1234-abcd-123456789abc s odpovídajícím názvem prostředků Azure ve vašem prostředí. Místo toho scaneastusabcd1234 použijte například název spravovaného účtu úložiště Azure dosah.
| Privátní koncový bod | Soukromý koncový bod přidružený k | Zóna DNS (existující) | Záznam A (příklad) |
|---|---|---|---|
| Účet | Azure Purview | privatelink.purview.azure.com |
Contoso-Purview |
| Portál | Azure Purview | privatelink.purviewstudio.azure.com |
Web |
| Příjem dat | dosah spravovaný účet Storage – Blob | privatelink.blob.core.windows.net |
scaneastusabcd1234 |
| Příjem dat | dosah spravovaný účet Storage – fronta | privatelink.queue.core.windows.net |
scaneastusabcd1234 |
| Příjem dat | dosah spravovaný účet Storage – centrum událostí | privatelink.servicebus.windows.net |
Atlas-12345678-1234-1234-abcd-123456789ABC |
Další informace najdete v tématu virtuální síťové úlohy bez vlastního serveru DNS a místních úloh pomocí scénářů služby DNS pro přeposílání v konfiguraci DNS privátního koncového bodu Azure.
Ověření odkazů na virtuální síť v zónách Azure Privátní DNS
Po dokončení nasazení privátního koncového bodu se ujistěte, že existuje odkaz virtuální sítě na všech odpovídajících zónách Azure privátní DNS do služby Azure Virtual Network, ve které byl nasazený privátní koncový bod.
Další informace najdete v tématu Konfigurace DNS privátního koncového bodu Azure.
Konfigurace služby DNS pro přeposílání, pokud se používá vlastní DNS
Kromě toho se vyžaduje ověření konfigurace DNS ve službě Azure Virtual Network, kde se nachází virtuální počítač nebo počítač pro správu v místním prostředí Integration runtime.
Pokud je nakonfigurovaná na výchozí hodnotu, v tomto kroku není nutná žádná další akce.
Pokud se používá vlastní server DNS, měli byste do svých serverů DNS přidat odpovídající servery DNS pro následující zóny:
- Purview.azure.com
- Blob.core.windows.net
- Queue.core.windows.net
- Servicebus.windows.net
Ověření interního překladu názvů
Při překladu adresy URL koncového bodu Azure dosah z oblasti mimo virtuální síť s privátním koncovým bodem se přeloží na veřejný koncový bod Azure dosah. Při překladu z virtuální sítě hostující soukromý koncový bod se adresa URL koncového bodu Azure dosah přeloží na IP adresu privátního koncového bodu.
Pokud je například název účtu Azure dosah "contoso-dosah", při jeho překladu mimo virtuální síť, která je hostitelem privátního koncového bodu, bude:
| Název | Typ | Hodnota |
|---|---|---|
Contoso-Purview.purview.azure.com |
CNAME | Contoso-Purview.privatelink.purview.azure.com |
Contoso-Purview.privatelink.purview.azure.com |
CNAME | <Purview public endpoint> |
| <Purview public endpoint> | A | <Purview public IP address> |
Web.purview.azure.com |
CNAME | <Purview Studio public endpoint> |
Záznamy prostředků DNS pro contoso-dosah, pokud jsou vyřešené ve virtuální síti hostující soukromý koncový bod, budou:
| Název | Typ | Hodnota |
|---|---|---|
Contoso-Purview.purview.azure.com |
CNAME | Contoso-Purview.privatelink.purview.azure.com |
Contoso-Purview.privatelink.purview.azure.com |
A | <Purview account private endpoint IP address> |
Web.purview.azure.com |
CNAME | <Purview portal private endpoint IP address> |
Možnost 3 – použití vlastních serverů DNS
Pokud nepoužíváte servery pro předávání DNS a místo toho budete spravovat záznamy přímo na místních serverech DNS k vyřešení koncových bodů prostřednictvím jejich privátních IP adres, možná budete muset vytvořit následující záznamy na serverech DNS.
Poznámka
Aktualizujte všechny názvy Contoso-Purview pomocí scaneastusabcd1234 a atlas-12345678-1234-1234-abcd-123456789abc s odpovídajícím názvem prostředků Azure ve vašem prostředí. Místo toho scaneastusabcd1234 použijte například název spravovaného účtu úložiště Azure dosah.
| Název | Typ | Hodnota |
|---|---|---|
web.purview.azure.com |
A | <portal private endpoint IP address of Azure Purview> |
scaneastusabcd1234.blob.core.windows.net |
A | <blob-ingestion private endpoint IP address of Azure Purview> |
scaneastusabcd1234.queue.core.windows.net |
A | <queue-ingestion private endpoint IP address of Azure Purview> |
atlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net |
A | <namespace-ingestion private endpoint IP address of Azure Purview> |
Contoso-Purview.Purview.azure.com |
A | <account private endpoint IP address of Azure Purview> |
Contoso-Purview.scan.Purview.azure.com |
A | <account private endpoint IP address of Azure Purview> |
Contoso-Purview.catalog.Purview.azure.com |
A | <account private endpoint IP address of Azure Purview> |
Contoso-Purview.proxy.purview.azure.com |
A | <account private endpoint IP address of Azure Purview> |
Contoso-Purview.guardian.purview.azure.com |
A | <account private endpoint IP address of Azure Purview> |
gateway.purview.azure.com |
A | <account private endpoint IP address of Azure Purview> |
Contoso-Purview.web.purview.azure.com |
A | <portal private endpoint IP address of Azure Purview> |
manifest.prod.ext.web.purview.azure.com |
A | <portal private endpoint IP address of Azure Purview> |
cdn.prod.ext.web.purview.azure.com |
A | <portal private endpoint IP address of Azure Purview> |
hub.prod.ext.web.purview.azure.com |
A | <portal private endpoint IP address of Azure Purview> |
catalog.prod.ext.web.purview.azure.com |
A | <portal private endpoint IP address of Azure Purview> |
cseo.prod.ext.web.purview.azure.com |
A | <portal private endpoint IP address of Azure Purview> |
datascan.prod.ext.web.purview.azure.com |
A | <portal private endpoint IP address of Azure Purview> |
datashare.prod.ext.web.purview.azure.com |
A | <portal private endpoint IP address of Azure Purview> |
datasource.prod.ext.web.purview.azure.com |
A | <portal private endpoint IP address of Azure Purview> |
policy.prod.ext.web.purview.azure.com |
A | <portal private endpoint IP address of Azure Purview> |
sensitivity.prod.ext.web.purview.azure.com |
A | <portal private endpoint IP address of Azure Purview> |
Ověření a překlad názvů testů DNS a připojení
Pokud používáte zóny Privátní DNS Azure, ujistěte se, že se ve vašem předplatném Azure vytvoří následující Zóny DNS a odpovídající záznamy:
Privátní koncový bod Soukromý koncový bod přidružený k Zóna DNS Záznam A) (příklad) Účet Azure Purview privatelink.purview.azure.comContoso-Purview Portál Azure Purview privatelink.purviewstudio.azure.comWeb Příjem dat dosah spravovaný účet Storage – Blob privatelink.blob.core.windows.netscaneastusabcd1234 Příjem dat dosah spravovaný účet Storage – fronta privatelink.queue.core.windows.netscaneastusabcd1234 Příjem dat dosah spravovaný účet Storage – centrum událostí privatelink.servicebus.windows.netAtlas-12345678-1234-1234-abcd-123456789ABC Vytvořte odkazy virtuální sítě ve vašich zónách Azure privátní DNS pro virtuální sítě Azure, aby bylo možné interní překlad adres IP.
Pomocí nástrojů, jako jsou Nslookup.exe a PowerShell, můžete z počítače pro správu a virtuálního počítače s integrací prostředí Integration runtime otestovat překlad názvů a síťové připojení k vašemu účtu Azure dosah.
K otestování překladu názvů potřebujete vyřešit následující plně kvalifikované názvy domény prostřednictvím jejich privátních IP adres: (místo contoso-dosah, scaneastusabcd1234 nebo Atlas-12345678-1234-1234-abcd-123456789ABC použijte název hostitele přidružený k vašemu názvu účtu dosah a názvy spravovaných prostředků).
Contoso-Purview.purview.azure.comweb.purview.azure.comscaneastusabcd1234.blob.core.windows.netscaneastusabcd1234.queue.core.windows.netatlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net
K otestování připojení k síti z místního počítače Integration runtime můžete spustit konzolu PowerShellu a testovat připojení pomocí Test-NetConnection . Každý koncový bod musíte vyřešit pomocí svého privátního koncového bodu a získat TcpTestSucceeded jako true. (Místo contoso-dosah, scaneastusabcd1234 nebo Atlas-12345678-1234-1234-abcd-123456789ABC použijte název hostitele přidružený k vašemu názvu účtu dosah a názvy spravovaných zdrojů).
Test-NetConnection -ComputerName Contoso-Purview.purview.azure.com -port 443Test-NetConnection -ComputerName web.purview.azure.com -port 443Test-NetConnection -ComputerName scaneastusabcd1234.blob.core.windows.net -port 443Test-NetConnection -ComputerName scaneastusabcd1234.queue.core.windows.net -port 443Test-NetConnection -ComputerName atlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net -port 443