Microsoft Purview 계정에 대한 프라이빗 엔드포인트 구성 문제 해결

이 가이드에서는 Microsoft Purview용 프라이빗 엔드포인트 사용과 관련된 알려진 제한 사항을 요약하고 가장 일반적인 관련 문제 중 일부를 해결하기 위한 단계 및 솔루션 목록을 제공합니다.

알려진 제한

• 현재 AWS 원본에서 작동하는 프라이빗 엔드포인트 수집은 지원하지 않습니다.
• 자체 호스팅 통합 런타임을 사용하여 Azure 다중 원본을 검사하는 것은 지원되지 않습니다.
• Azure 통합 런타임을 사용하여 프라이빗 엔드포인트 뒤의 데이터 원본을 검사하는 것은 지원되지 않습니다.
• 수집 프라이빗 엔드포인트는 여기 단계에 설명된 Microsoft Purview 거버넌스 포털 환경을 통해 만들 수 있습니다. Private Link 센터에서 만들 수 없습니다.
• 기존 Azure DNS 영역 내에서 프라이빗 엔드포인트를 수집하기 위한 DNS 레코드를 만드는 동안 Azure 프라이빗 DNS 영역은 프라이빗 엔드포인트와 다른 구독에 있지만 Microsoft Purview 거버넌스 포털 환경을 통해 지원되지 않습니다. 레코드는 다른 구독의 대상 DNS 영역에 수동으로 추가할 수 있습니다.
• 수집 프라이빗 엔드포인트를 배포한 후 관리형 이벤트 허브를 사용하도록 설정하는 경우 수집 프라이빗 엔드포인트를 다시 배포해야 합니다.
• 자체 호스팅 통합 런타임 머신은 Microsoft Purview 계정 및 수집 프라이빗 엔드포인트가 배포된 동일한 VNet 또는 피어링된 VNet에 배포되어야 합니다.
• 현재는 공용 액세스가 차단된 프라이빗 엔드포인트가 구성된 테넌트 간 Power BI 테넌트 검사를 지원하지 않습니다.
• Private Link 서비스와 관련된 제한 사항은 Azure Private Link 제한을 참조하세요.

권장되는 문제 해결 단계

1. Microsoft Purview 계정에 대한 프라이빗 엔드포인트를 배포한 후 Azure 환경을 검토하여 프라이빗 엔드포인트 리소스가 성공적으로 배포되었는지 확인합니다. 시나리오에 따라 다음 Azure 프라이빗 엔드포인트 중 하나 이상을 Azure 구독에 배포해야 합니다.

   프라이빗 엔드포인트	에 할당된 프라이빗 엔드포인트	예시
   Account	Microsoft Purview 계정	mypurview-private-account
   포털	Microsoft Purview 계정	mypurview-private-portal
   섭취	Managed Storage 계정(Blob)	mypurview-ingestion-blob
   섭취	Managed Storage 계정(큐)	mypurview-ingestion-queue
   섭취	Event Hubs 네임스페이스*	mypurview-ingestion-namespace

참고

*Event Hubs 네임스페이스는 Microsoft Purview 계정에 구성된 경우에만 필요합니다. Azure Portal의 Microsoft Purview 계정 페이지의 설정에서 Kafka 구성에서 검사 수 있습니다.

2. 포털 프라이빗 엔드포인트가 배포된 경우 계정 프라이빗 엔드포인트도 배포해야 합니다.

3. 포털 프라이빗 엔드포인트가 배포되고 공용 네트워크 액세스가 Microsoft Purview 계정에서 거부되도록 설정된 경우 내부 네트워크에서 Microsoft Purview 거버넌스 포털을 시작해야 합니다.
   

   • 올바른 이름 확인을 확인하려면 NSlookup.exe 명령줄 도구를 사용하여 를 쿼리 web.purview.azure.com할 수 있습니다. 결과는 포털 프라이빗 엔드포인트에 속하는 개인 IP 주소를 반환해야 합니다.
   • 네트워크 연결을 확인하려면 네트워크 테스트 도구를 사용하여 포트 443에 대한 엔드포인트에 web.purview.azure.com 대한 아웃바운드 연결을 테스트할 수 있습니다. 연결이 성공해야 합니다.

4. Azure 프라이빗 DNS 영역을 사용하는 경우 필요한 Azure DNS 영역이 배포되고 각 프라이빗 엔드포인트에 대한 DNS(A) 레코드가 있는지 확인합니다.

5. 관리 컴퓨터에서 Microsoft Purview 엔드포인트 및 purview 웹 URL로의 네트워크 연결 및 이름 확인을 테스트합니다. 계정 및 포털 프라이빗 엔드포인트를 배포하는 경우 프라이빗 IP 주소를 통해 엔드포인트를 확인해야 합니다.

   Test-NetConnection -ComputerName web.purview.azure.com -Port 443
   

   개인 IP 주소를 통한 성공적인 아웃바운드 연결의 예:

   ComputerName     : web.purview.azure.com
   RemoteAddress    : 10.9.1.7
   RemotePort       : 443
   InterfaceAlias   : Ethernet 2
   SourceAddress    : 10.9.0.10
   TcpTestSucceeded : True
   

   Test-NetConnection -ComputerName purview-test01.purview.azure.com -Port 443
   

   개인 IP 주소를 통한 성공적인 아웃바운드 연결의 예:

   ComputerName     : purview-test01.purview.azure.com
   RemoteAddress    : 10.9.1.8
   RemotePort       : 443
   InterfaceAlias   : Ethernet 2
   SourceAddress    : 10.9.0.10
   TcpTestSucceeded : True
   

6. 2021년 8월 18일 이후에 Microsoft Purview 계정을 만든 경우 Microsoft 다운로드 센터에서 최신 버전의 자체 호스팅 통합 런타임을 다운로드하여 설치해야 합니다.

7. 자체 호스팅 통합 런타임 VM에서 Microsoft Purview 엔드포인트에 대한 네트워크 연결 및 이름 확인을 테스트합니다.

8. 자체 호스팅 통합 런타임에서 네트워크 연결 및 이름 확인을 테스트하여 Blob 큐와 같은 Microsoft Purview 관리 리소스 및 포트 443 및 개인 IP 주소를 통해 Event Hubs와 같은 보조 리소스에 대해 테스트합니다. (관리되는 스토리지 계정 및 Event Hubs 네임스페이스를 해당 리소스 이름으로 바꿉니다.)

   Test-NetConnection -ComputerName `scansoutdeastasiaocvseab`.blob.core.windows.net -Port 443
   

   개인 IP 주소를 통해 관리되는 Blob Storage에 대한 성공적인 아웃바운드 연결의 예:

   ComputerName     : scansoutdeastasiaocvseab.blob.core.windows.net
   RemoteAddress    : 10.15.1.6
   RemotePort       : 443
   InterfaceAlias   : Ethernet 2
   SourceAddress    : 10.15.0.4
   TcpTestSucceeded : True
   

   Test-NetConnection -ComputerName `scansoutdeastasiaocvseab`.queue.core.windows.net -Port 443
   

   개인 IP 주소를 통해 관리되는 큐 스토리지에 대한 성공적인 아웃바운드 연결의 예:

   ComputerName     : scansoutdeastasiaocvseab.blob.core.windows.net
   RemoteAddress    : 10.15.1.5
   RemotePort       : 443
   InterfaceAlias   : Ethernet 2
   SourceAddress    : 10.15.0.4
   TcpTestSucceeded : True
   

   Test-NetConnection -ComputerName `Atlas-1225cae9-d651-4039-86a0-b43231a17a4b`.servicebus.windows.net -Port 443
   

   개인 IP 주소를 통해 Event Hubs 네임스페이스에 대한 성공적인 아웃바운드 연결의 예:

   ComputerName     : Atlas-1225cae9-d651-4039-86a0-b43231a17a4b.servicebus.windows.net
   RemoteAddress    : 10.15.1.4
   RemotePort       : 443
   InterfaceAlias   : Ethernet 2
   SourceAddress    : 10.15.0.4
   TcpTestSucceeded : True
   

9. 데이터 원본이 있는 네트워크에서 Microsoft Purview 엔드포인트 및 관리 또는 구성된 리소스 엔드포인트에 대한 네트워크 연결 및 이름 확인을 테스트합니다.

10. 데이터 원본이 온-프레미스 네트워크에 있는 경우 DNS 전달자 구성을 검토합니다. 데이터 원본이 자체 호스팅 통합 런타임, Microsoft Purview 엔드포인트 및 관리 또는 구성된 리소스에 있는 동일한 네트워크 내에서 이름 확인을 테스트합니다. 각 엔드포인트에 대한 DNS 쿼리에서 유효한 개인 IP 주소를 가져와야 합니다.

    자세한 내용은 Azure 프라이빗 엔드포인트 DNS 구성에서 DNS 전달자 시나리오를 사용하는 사용자 지정 DNS 서버 및 온-프레미스 워크로드가 없는 가상 네트워크 워크로드를 참조하세요.

11. 관리 머신 및 자체 호스팅 통합 런타임 VM이 온-프레미스 네트워크에 배포되고 사용자 환경에서 DNS 전달자를 설정한 경우 사용자 환경에서 DNS 및 네트워크 설정을 확인합니다.

12. 수집 프라이빗 엔드포인트를 사용하는 경우 자체 호스팅 통합 런타임이 Microsoft Purview 계정 내에 성공적으로 등록되고 자체 호스팅 통합 런타임 VM 내부와 Microsoft Purview 거버넌스 포털 모두에서 실행되는 것으로 표시되는지 확인합니다.

일반적인 오류 및 메시지

문제

검사를 실행할 때 다음 오류 메시지가 표시될 수 있습니다.

Internal system error. Please contact support with correlationId:xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx System Error, contact support.

원인

이는 자체 호스팅 통합 런타임을 실행하는 VM과 Microsoft Purview의 관리되는 스토리지 계정 또는 구성된 Event Hubs 간의 연결 또는 이름 확인과 관련된 문제를 나타낼 수 있습니다.

해결 방법

Self-Hosted Integration Runtime 실행하는 VM과 Microsoft Purview 관리 Blob 큐 또는 포트 443 및 개인 IP 주소를 통해 구성된 Event Hubs 간에 이름 확인이 성공했는지 확인합니다(위의 8단계).

문제

새 검사를 실행할 때 다음 오류 메시지가 표시될 수 있습니다.

message: Unable to setup config overrides for this scan. Exception:'Type=Microsoft.WindowsAzure.Storage.StorageException,Message=The remote server returned an error: (404) Not Found.,Source=Microsoft.WindowsAzure.Storage,StackTrace= at Microsoft.WindowsAzure.Storage.Core.Executor.Executor.EndExecuteAsync[T](IAsyncResult result)

원인

이는 이전 버전의 자체 호스팅 통합 런타임을 실행 중일 수 있습니다. 자체 호스팅 통합 런타임 버전 5.9.7885.3 이상을 사용해야 합니다.

해결 방법

자체 호스팅 통합 런타임을 5.9.7885.3으로 업그레이드합니다.

문제

프라이빗 엔드포인트 배포가 있는 Microsoft Purview 계정이 배포 중에 Azure Policy 유효성 검사 오류로 실패했습니다.

원인

이 오류는 필요한 Azure 리소스의 배포를 방해하는 기존 Azure Policy 할당이 Azure 구독에 있을 수 있음을 시사합니다.

해결 방법

기존 Azure Policy 할당을 검토하고 Azure 구독에서 다음 Azure 리소스의 배포가 허용되는지 확인합니다.

참고

시나리오에 따라 다음 Azure 리소스 유형 중 하나 이상을 배포해야 할 수 있습니다.

• Microsoft Purview(Microsoft.Purview/Accounts)
• 프라이빗 엔드포인트(Microsoft.Network/privateEndpoints)
• 프라이빗 DNS 영역(Microsoft.Network/privateDnsZones)
• 이벤트 허브 이름 공간(Microsoft.EventHub/namespaces)
• 스토리지 계정(Microsoft.Storage/storageAccounts)

문제

이 Microsoft Purview 계정에 액세스할 수 있는 권한이 없습니다. 이 Microsoft Purview 계정은 프라이빗 엔드포인트 뒤에 있습니다. Microsoft Purview 계정의 프라이빗 엔드포인트에 대해 구성된 동일한 VNet(가상 네트워크)의 클라이언트에서 계정에 액세스합니다.

원인

사용자가 퍼블릭 엔드포인트에서 Microsoft Purview에 연결하거나 공용 네트워크 액세스 가 거부로 설정된 Microsoft Purview 퍼블릭 엔드포인트를 사용하려고 합니다.

해결 방법

이 경우 Microsoft Purview 거버넌스 포털을 열려면 Microsoft Purview 거버넌스 포털 프라이빗 엔드포인트와 동일한 가상 네트워크에 배포된 컴퓨터를 사용하거나 하이브리드 연결이 허용되는 CorpNet에 연결된 VM을 사용합니다.

문제

자체 호스팅 통합 런타임을 사용하여 SQL Server를 검사할 때 다음 오류 메시지가 표시될 수 있습니다.

Message=This implementation is not part of the Windows Platform FIPS validated cryptographic algorithms

원인

자체 호스팅 통합 런타임 컴퓨터에서 FIPS 모드를 사용하도록 설정했습니다. FIPS(Federal Information Processing Standards)는 사용할 수 있는 특정 암호화 알고리즘 집합을 정의합니다. 컴퓨터에서 FIPS 모드를 사용하도록 설정하면 호출된 프로세스가 종속된 일부 암호화 클래스가 일부 시나리오에서 차단됩니다.

해결 방법

자체 호스팅 통합 서버에서 FIPS 모드를 사용하지 않도록 설정합니다.

다음 단계

문제가 이 문서에 나열되지 않았거나 resolve 수 없는 경우 다음 채널 중 하나를 방문하여 지원을 받으세요.

• Microsoft Q&A를 통해 전문가의 답변을 얻으세요.
• @AzureSupport 연결합니다. Twitter의 이 공식 Microsoft Azure 리소스는 Azure 커뮤니티를 올바른 답변, 지원 및 전문가에 연결하여 고객 환경을 개선하는 데 도움이 됩니다.
• 여전히 도움이 필요한 경우 Azure 지원 사이트로 이동하여 지원 요청 제출을 선택합니다.