DNS-naamresolutie configureren en controleren voor privé-eindpunten van Azure Purview
Belangrijk
Als u vóór 27 september 2021 om 15:30 UTC een privé-eindpunt voor uw Purview-account hebt gemaakt, moet u de vereiste acties uitvoeren zoals beschreven in DNS opnieuw configureren voor privé-eindpunten in de portal. Deze acties moeten vóór 12 november 2021 zijn voltooid. Als u dit niet doet, werken bestaande privé-eindpunten van de portal niet meer.
Conceptueel overzicht
Nauwkeurige naamsoplossing is een essentiële vereiste bij het instellen van privé-eindpunten voor uw Azure Purview-accounts.
Mogelijk moet u interne naamsresolutie inschakelen in uw DNS-instellingen om de IP-adressen van het privé-eindpunt om te zetten in de FQDN (Fully Qualified Domain Name) van gegevensbronnen en uw beheermachine naar een Azure Purview-account en zelf-hostende Integration Runtime, afhankelijk van de scenario's die u implementeert.
In het volgende voorbeeld ziet u azure Purview DNS-naamresolutie van buiten het virtuele netwerk of wanneer een privé-eindpunt van Azure niet is geconfigureerd.
In het volgende voorbeeld ziet u Azure Purview DNS-naamresolutie vanuit het virtuele netwerk.
Implementatieopties
Gebruik een van de volgende opties om interne naamoplossing in te stellen bij het gebruik van privé-eindpunten voor uw Azure Purview-account:
- Implementeer nieuwe Azure Privé-DNS Zones in uw Azure-omgeving die deel uitmaken van de implementatie van privé-eindpunten. (Standaardoptie)
- Bestaande Azure Privé-DNS Zones gebruiken. Gebruik deze optie als u een privé-eindpunt gebruikt in een hub-and-spoke-model van een ander abonnement of zelfs binnen hetzelfde abonnement.
- Gebruik uw eigen DNS-servers als u geen DNS-doorsturen gebruikt en in plaats daarvan A-records rechtstreeks op uw on-premises DNS-servers beheert.
Optie 1: nieuwe Azure Privé-DNS-zones implementeren
Nieuwe Azure Privé-DNS-zones implementeren
Als u interne naamoplossing wilt inschakelen, kunt u de vereiste Azure DNS Zones binnen uw Azure-abonnement waarin het Azure Purview-account is geïmplementeerd.
Wanneer u opname-, portal- en account privé-eindpunten maakt, worden de DNS CNAME-resourcerecords voor Azure Purview automatisch bijgewerkt naar een alias in enkele subdomeinen met het voorvoegsel privatelink :
Tijdens de implementatie van het privé-eindpunt van het account voor uw Purview-account maken we standaard ook een privé-DNS-zone die overeenkomt met het subdomein voor
privatelinkAzure Purview, inclusief DNS A-resourcerecords voor de privé-eindpunten.privatelink.purview.azure.comTijdens de implementatie van het privé-eindpunt van de portal voor uw Purview-account maken we ook een nieuwe privé-DNS-zone die overeenkomt met het subdomein voor
privatelinkAzure Purview, inclusief DNSprivatelink.purviewstudio.azure.comA-resourcerecords voor web.Als u opname van privé-eindpunten inschakelen, zijn extra DNS-zones vereist voor beheerde resources.
In de volgende tabel ziet u een voorbeeld van Azure Privé-DNS-zones en DNS A-records die zijn geïmplementeerd als onderdeel van de configuratie van een privé-eindpunt voor een Azure Purview-account als u Privé-DNS-integratie inschakelen tijdens de implementatie:
| Privé-eindpunt | Privé-eindpunt dat is gekoppeld aan | DNS-zone (nieuw) | Een record (voorbeeld) |
|---|---|---|---|
| Account | Azure Purview | privatelink.purview.azure.com |
Contoso-Purview |
| Portal | Azure Purview | privatelink.purviewstudio.azure.com |
Web |
| Gegevensopname | Beheerde Storage verwijderen - Blob | privatelink.blob.core.windows.net |
scaneastusabcd1234 |
| Gegevensopname | Beheerde Storage openen - wachtrij | privatelink.queue.core.windows.net |
scaneastusabcd1234 |
| Gegevensopname | Beheerde Storage openen - Event Hub | privatelink.servicebus.windows.net |
atlas-12345678-1234-1234-abcd-123456789abc |
Virtuele netwerkkoppelingen valideren in Azure Privé-DNS Zones
Nadat de implementatie van het privé-eindpunt is voltooid, moet u ervoor zorgen dat er een koppeling naar een virtueel netwerk is op alle bijbehorende Azure Privé-DNS-zones naar het virtuele Azure-netwerk waar het privé-eindpunt is geïmplementeerd.
Zie DNS-configuratie van azure-privé-eindpunt voor meer informatie.
Interne naamoplossing controleren
Wanneer u de AZURE Purview-eindpunt-URL van buiten het virtuele netwerk met het privé-eindpunt omkeert, wordt deze naar het openbare eindpunt van Azure Purview opgelost. Wanneer deze wordt opgelost vanuit het virtuele netwerk dat als host voor het privé-eindpunt wordt gebruikt, wordt de URL van het Azure Purview-eindpunt opgelost naar het IP-adres van het privé-eindpunt.
Als de naam van een Azure Purview-account bijvoorbeeld Contoso-Purview is, wordt het volgende opgelost wanneer het account wordt opgelost van buiten het virtuele netwerk dat als host voor het privé-eindpunt wordt gebruikt:
| Naam | Type | Waarde |
|---|---|---|
Contoso-Purview.purview.azure.com |
CNAME | Contoso-Purview.privatelink.purview.azure.com |
Contoso-Purview.privatelink.purview.azure.com |
CNAME | <Purview public endpoint> |
| <Purview public endpoint> | A | <Purview public IP address> |
Web.purview.azure.com |
CNAME | <Purview Studio public endpoint> |
De DNS-bronrecords voor Contoso-Purview zijn als deze zijn opgelost in het virtuele netwerk dat als host voor het privé-eindpunt wordt gebruikt:
| Naam | Type | Waarde |
|---|---|---|
Contoso-Purview.purview.azure.com |
CNAME | Contoso-Purview.privatelink.purview.azure.com |
Contoso-Purview.privatelink.purview.azure.com |
A | <Purview account private endpoint IP address> |
Web.purview.azure.com |
CNAME | <Purview portal private endpoint IP address> |
Optie 2: bestaande Azure Privé-DNS-zones
Bestaande Azure Privé-DNS-zones gebruiken
Tijdens de implementatie van privé-eindpunten van Azure Purview kunt u kiezen Privé-DNS integratie met behulp van bestaande Azure Privé-DNS zones. Dit is gebruikelijk voor organisaties waarbij een privé-eindpunt wordt gebruikt voor andere services in Azure. In dit geval moet u tijdens de implementatie van privé-eindpunten de bestaande DNS-zones selecteren in plaats van nieuwe te maken.
Dit scenario is ook van toepassing als uw organisatie een centraal abonnement of hub-abonnement gebruikt voor alle Azure Privé-DNS Zones.
In de volgende lijst ziet u de vereiste Azure DNS zones en A-records voor privé-eindpunten van Purview:
Notitie
Werk alle namen bij met Contoso-Purview en scaneastusabcd1234 met de atlas-12345678-1234-1234-abcd-123456789abc bijbehorende Azure-resourcesnaam in uw omgeving. Gebruik bijvoorbeeld niet de naam van uw door scaneastusabcd1234 Azure Purview beheerde opslagaccount.
| Privé-eindpunt | Privé-eindpunt dat is gekoppeld aan | DNS-zone (bestaand) | Een record (voorbeeld) |
|---|---|---|---|
| Account | Azure Purview | privatelink.purview.azure.com |
Contoso-Purview |
| Portal | Azure Purview | privatelink.purviewstudio.azure.com |
Web |
| Gegevensopname | Beheerde Storage verwijderen - Blob | privatelink.blob.core.windows.net |
scaneastusabcd1234 |
| Gegevensopname | Beheerde Storage openen - wachtrij | privatelink.queue.core.windows.net |
scaneastusabcd1234 |
| Gegevensopname | Beheerde Storage openen - Event Hub | privatelink.servicebus.windows.net |
atlas-12345678-1234-1234-abcd-123456789abc |
Zie Workloads van virtuele netwerken zonder aangepaste DNS-server en On-premises workloads met behulp van een DNS-doorsturen scenario's in Azure Private Endpoint DNS-configuratievoor meer informatie.
Virtuele netwerkkoppelingen controleren in Azure Privé-DNS Zones
Nadat de implementatie van het privé-eindpunt is voltooid, moet u ervoor zorgen dat er een koppeling naar een virtueel netwerk is op alle bijbehorende Azure Privé-DNS-zones naar het virtuele Azure-netwerk waar het privé-eindpunt is geïmplementeerd.
Zie DNS-configuratie voor azure-privé-eindpunten voor meer informatie.
DNS-doorsturen configureren als aangepaste DNS wordt gebruikt
Daarnaast is het vereist om uw DNS-configuraties te valideren in een virtueel Azure-netwerk waar de zelf-hostende Integration Runtime-VM of beheer-pc zich bevindt.
Als deze is geconfigureerd op Standaard, is er geen verdere actie vereist in deze stap.
Als aangepaste DNS-server wordt gebruikt, moet u de bijbehorende DNS-doorsturen binnen uw DNS-servers toevoegen voor de volgende zones:
- Purview.azure.com
- Blob.core.windows.net
- Queue.core.windows.net
- Servicebus.windows.net
Interne naamoplossing controleren
Wanneer u de URL van het Azure Purview-eindpunt van buiten het virtuele netwerk met het privé-eindpunt omkeert, wordt deze omge zetten naar het openbare eindpunt van Azure Purview. Wanneer deze wordt opgelost vanuit het virtuele netwerk dat als host voor het privé-eindpunt wordt gebruikt, wordt de URL van het Azure Purview-eindpunt opgelost naar het IP-adres van het privé-eindpunt.
Als de naam van een Azure Purview-account bijvoorbeeld Contoso-Purview is, wordt het volgende opgelost wanneer het account wordt opgelost van buiten het virtuele netwerk dat als host voor het privé-eindpunt wordt gebruikt:
| Naam | Type | Waarde |
|---|---|---|
Contoso-Purview.purview.azure.com |
CNAME | Contoso-Purview.privatelink.purview.azure.com |
Contoso-Purview.privatelink.purview.azure.com |
CNAME | <Purview public endpoint> |
| <Purview public endpoint> | A | <Purview public IP address> |
Web.purview.azure.com |
CNAME | <Purview Studio public endpoint> |
De DNS-bronrecords voor Contoso-Purview worden als deze zijn opgelost in het virtuele netwerk dat als host voor het privé-eindpunt wordt gebruikt:
| Naam | Type | Waarde |
|---|---|---|
Contoso-Purview.purview.azure.com |
CNAME | Contoso-Purview.privatelink.purview.azure.com |
Contoso-Purview.privatelink.purview.azure.com |
A | <Purview account private endpoint IP address> |
Web.purview.azure.com |
CNAME | <Purview portal private endpoint IP address> |
Optie 3: uw eigen DNS-servers gebruiken
Als u geen DNS-doorsturen gebruikt en in plaats daarvan A-records rechtstreeks in uw on-premises DNS-servers beheert om de eindpunten om te zetten via hun privé-IP-adressen, moet u mogelijk de volgende A-records maken in uw DNS-servers.
Notitie
Werk alle namen bij met Contoso-Purview en scaneastusabcd1234 met de atlas-12345678-1234-1234-abcd-123456789abc bijbehorende azure-resourcesnaam in uw omgeving. Gebruik bijvoorbeeld in plaats scaneastusabcd1234 van de naam van uw beheerde Azure Purview-opslagaccount.
| Naam | Type | Waarde |
|---|---|---|
web.purview.azure.com |
A | <portal private endpoint IP address of Azure Purview> |
scaneastusabcd1234.blob.core.windows.net |
A | <blob-ingestion private endpoint IP address of Azure Purview> |
scaneastusabcd1234.queue.core.windows.net |
A | <queue-ingestion private endpoint IP address of Azure Purview> |
atlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net |
A | <namespace-ingestion private endpoint IP address of Azure Purview> |
Contoso-Purview.Purview.azure.com |
A | <account private endpoint IP address of Azure Purview> |
Contoso-Purview.scan.Purview.azure.com |
A | <account private endpoint IP address of Azure Purview> |
Contoso-Purview.catalog.Purview.azure.com |
A | <account private endpoint IP address of Azure Purview> |
Contoso-Purview.proxy.purview.azure.com |
A | <account private endpoint IP address of Azure Purview> |
Contoso-Purview.guardian.purview.azure.com |
A | <account private endpoint IP address of Azure Purview> |
gateway.purview.azure.com |
A | <account private endpoint IP address of Azure Purview> |
Contoso-Purview.web.purview.azure.com |
A | <portal private endpoint IP address of Azure Purview> |
manifest.prod.ext.web.purview.azure.com |
A | <portal private endpoint IP address of Azure Purview> |
cdn.prod.ext.web.purview.azure.com |
A | <portal private endpoint IP address of Azure Purview> |
hub.prod.ext.web.purview.azure.com |
A | <portal private endpoint IP address of Azure Purview> |
catalog.prod.ext.web.purview.azure.com |
A | <portal private endpoint IP address of Azure Purview> |
cseo.prod.ext.web.purview.azure.com |
A | <portal private endpoint IP address of Azure Purview> |
datascan.prod.ext.web.purview.azure.com |
A | <portal private endpoint IP address of Azure Purview> |
datashare.prod.ext.web.purview.azure.com |
A | <portal private endpoint IP address of Azure Purview> |
datasource.prod.ext.web.purview.azure.com |
A | <portal private endpoint IP address of Azure Purview> |
policy.prod.ext.web.purview.azure.com |
A | <portal private endpoint IP address of Azure Purview> |
sensitivity.prod.ext.web.purview.azure.com |
A | <portal private endpoint IP address of Azure Purview> |
Naamresolutie en connectiviteit van DNS-test controleren
Als u Azure Privé-DNS Zones gebruikt, moet u ervoor zorgen dat de volgende DNS-zones en de bijbehorende A-records zijn gemaakt in uw Azure-abonnement:
Privé-eindpunt Privé-eindpunt dat is gekoppeld aan DNS-zone A Record )(voorbeeld) Account Azure Purview privatelink.purview.azure.comContoso-Purview Portal Azure Purview privatelink.purviewstudio.azure.comWeb Gegevensopname Beheerde Storage verwijderen - Blob privatelink.blob.core.windows.netscaneastusabcd1234 Gegevensopname Beheerde Storage in de wachtrij privatelink.queue.core.windows.netscaneastusabcd1234 Gegevensopname Beheerde Storage verwijderen - Event Hub privatelink.servicebus.windows.netatlas-12345678-1234-1234-abcd-123456789abc Maak virtuele netwerkkoppelingen in uw Azure Privé-DNS Zones voor uw virtuele Azure-netwerken om interne naamsresolutie toe te staan.
Test vanaf uw beheer-pc en zelf-hostende Integration Runtime-VM de naamomleiding en netwerkverbinding met uw Azure Purview-account met behulp van hulpprogramma's zoals Nslookup.exe en PowerShell
Als u de naamom oplossing wilt testen, moet u de volgende FQDN's oplossen via hun privé-IP-adressen: (In plaats van Contoso-Purview, scaneastusabcd1234 of atlas-12345678-1234-1234-abcd-123456789abc, gebruikt u de hostnaam die is gekoppeld aan de naam van uw account en de namen van beheerde resources)
Contoso-Purview.purview.azure.comweb.purview.azure.comscaneastusabcd1234.blob.core.windows.netscaneastusabcd1234.queue.core.windows.netatlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net
Als u de netwerkconnectiviteit wilt testen, kunt u vanaf een zelf-hostende Integration Runtime-VM de PowerShell-console starten en de connectiviteit testen met behulp van Test-NetConnection . U moet elk eindpunt oplossen op hun privé-eindpunt en TcpTestSucceeded als True verkrijgen. (In plaats van Contoso-Purview scaneastusabcd1234 of atlas-12345678-1234-1234-abcd-123456789abc, gebruikt u de hostnaam die is gekoppeld aan de naam van uw purview-account en namen van beheerde resources)
Test-NetConnection -ComputerName Contoso-Purview.purview.azure.com -port 443Test-NetConnection -ComputerName web.purview.azure.com -port 443Test-NetConnection -ComputerName scaneastusabcd1234.blob.core.windows.net -port 443Test-NetConnection -ComputerName scaneastusabcd1234.queue.core.windows.net -port 443Test-NetConnection -ComputerName atlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net -port 443