Konfigurera och verifiera DNS-namnmatchning för privata Azure Purview-slutpunkter
Viktigt
Om du har skapat en privat portalslutpunkt för ditt Purview-konto före den 27 september 2021 kl. 15:30 UTC måste du vidta de åtgärder som krävs enligt beskrivningen i Konfigurera om DNS för portalens privata slutpunkter. Dessa åtgärder måste slutföras före den 12 november 2021. Om du inte gör det slutar befintliga privata slutpunkter i portalen att fungera.
Begreppsmässig översikt
Korrekt namnmatchning är ett kritiskt krav när du ställer in privata slutpunkter för dina Azure Purview-konton.
Du kan behöva aktivera intern namnmatchning i DNS-inställningarna för att matcha ip-adresserna för privata slutpunkter till det fullständigt kvalificerade domännamnet (FQDN) från datakällor och hanteringsdatorn till Azure Purview-kontot och integrationskörningen med egen värd, beroende på de scenarier som du distribuerar.
I följande exempel visas Azure Purview DNS-namnmatchning utanför det virtuella nätverket eller när en privat Azure-slutpunkt inte har konfigurerats.
I följande exempel visas Azure Purview DNS-namnmatchning inifrån det virtuella nätverket.
Distributionsalternativ
Använd något av följande alternativ för att konfigurera intern namnmatchning när du använder privata slutpunkter för ditt Azure Purview-konto:
- Distribuera nya Azure Privat DNS Zoner i Azure-miljön som en del av distributionen av den privata slutpunkten. (Standardalternativ)
- Använd befintliga Azure Privat DNS Zones. Använd det här alternativet om du använder en privat slutpunkt i en hub-and-spoke-modell från en annan prenumeration eller till och med inom samma prenumeration.
- Använd dina egna DNS-servrar om du inte använder DNS-vidarebefordrare och i stället hanterar A-poster direkt på dina lokala DNS-servrar.
Alternativ 1 – Distribuera nya Azure-Privat DNS zoner
Distribuera nya Azure Privat DNS zoner
Om du vill aktivera intern namnmatchning kan du distribuera de Azure DNS i din Azure-prenumeration där Azure Purview-kontot har distribuerats.
När du skapar inmatnings-, portal- och konto privata slutpunkter, uppdateras DNS CNAME-resursposter för Azure Purview automatiskt till ett alias i några underdomäner med prefixet privatelink :
Som standard under distributionen av kontots privata slutpunkt för ditt Purview-konto skapar vi också en privat DNS-zon som motsvarar underdomänen för Azure Purview som att inkludera DNS A-resursposter för de privata
privatelinkprivatelink.purview.azure.comslutpunkterna.Under distributionen av portalens privata slutpunkt för ditt Purview-konto skapar vi också en ny privat DNS-zon som motsvarar underdomänen för
privatelinkAzure Purview, inklusive DNSprivatelink.purviewstudio.azure.comA-resursposter för webben.Om du aktiverar privata slutpunkter för inmatning krävs ytterligare DNS-zoner för hanterade resurser.
I följande tabell visas ett exempel på Azure Privat DNS-zoner och DNS A-poster som distribueras som en del av konfigurationen av den privata slutpunkten för ett Azure Purview-konto om du aktiverar Privat DNS-integrering under distributionen:
| Privat slutpunkt | Privat slutpunkt som är associerad med | DNS-zon (ny) | En post (exempel) |
|---|---|---|---|
| Konto | Azure Purview | privatelink.purview.azure.com |
Contoso-Purview |
| Portalen | Azure Purview | privatelink.purviewstudio.azure.com |
Webb |
| Datainmatning | Rensa hanterat Storage konto – Blob | privatelink.blob.core.windows.net |
scaneastusabcd1234 |
| Datainmatning | Rensa hanterat Storage konto – kö | privatelink.queue.core.windows.net |
scaneastusabcd1234 |
| Datainmatning | Purview managed Storage Account – Event Hub | privatelink.servicebus.windows.net |
atlas-12345678-1234-1234-abcd-123456789abc |
Verifiera virtuella nätverkslänkar i Azure Privat DNS zoner
När distributionen av den privata slutpunkten är klar kontrollerar du att det finns en virtuell nätverkslänk på alla motsvarande Azure Privat DNS-zoner till ett virtuellt Azure-nätverk där den privata slutpunkten har distribuerats.
Mer information finns i DNS-konfiguration för privat Azure-slutpunkt.
Verifiera intern namnmatchning
När du löser url:en för Azure Purview-slutpunkten utanför det virtuella nätverket med den privata slutpunkten matchas den till den offentliga slutpunkten i Azure Purview. När den matchas från det virtuella nätverk som är värd för den privata slutpunkten matchas Azure Purview-slutpunktens URL till den privata slutpunktens IP-adress.
Om ett Azure Purview-kontonamn till exempel är "Contoso-Purview", blir det följande när det matchas utanför det virtuella nätverk som är värd för den privata slutpunkten:
| Namn | Typ | Värde |
|---|---|---|
Contoso-Purview.purview.azure.com |
CNAME | Contoso-Purview.privatelink.purview.azure.com |
Contoso-Purview.privatelink.purview.azure.com |
CNAME | <Purview public endpoint> |
| <Purview public endpoint> | A | <Purview public IP address> |
Web.purview.azure.com |
CNAME | <Purview Studio public endpoint> |
DNS-resursposterna för Contoso-Purview blir följande när de matchas i det virtuella nätverk som är värd för den privata slutpunkten:
| Namn | Typ | Värde |
|---|---|---|
Contoso-Purview.purview.azure.com |
CNAME | Contoso-Purview.privatelink.purview.azure.com |
Contoso-Purview.privatelink.purview.azure.com |
A | <Purview account private endpoint IP address> |
Web.purview.azure.com |
CNAME | <Purview portal private endpoint IP address> |
Alternativ 2 – Använda befintliga Azure-Privat DNS zoner
Använda befintliga Azure Privat DNS zoner
Under distributionen av Azure kan du välja att integrera Privat DNS Azure-Privat DNS zoner. Detta är vanligt för organisationer där den privata slutpunkten används för andra tjänster i Azure. I det här fallet ska du under distributionen av privata slutpunkter se till att du väljer de befintliga DNS-zonerna i stället för att skapa nya.
Det här scenariot gäller även om din organisation använder en central prenumeration eller en hubbprenumeration för alla Azure Privat DNS Zones.
I följande lista visas de obligatoriska Azure DNS och A-poster för privata Purview-slutpunkter:
Anteckning
Uppdatera alla namn med Contoso-Purview och scaneastusabcd1234 med motsvarande atlas-12345678-1234-1234-abcd-123456789abc Azure-resursnamn i din miljö. I stället för att till exempel scaneastusabcd1234 använda namnet på ditt hanterade Lagringskonto i Azure Purview.
| Privat slutpunkt | Privat slutpunkt som är associerad med | DNS-zon (befintlig) | En post (exempel) |
|---|---|---|---|
| Konto | Azure Purview | privatelink.purview.azure.com |
Contoso-Purview |
| Portalen | Azure Purview | privatelink.purviewstudio.azure.com |
Webb |
| Datainmatning | Rensa hanterat Storage konto – Blob | privatelink.blob.core.windows.net |
scaneastusabcd1234 |
| Datainmatning | Rensa hanterat Storage konto – kö | privatelink.queue.core.windows.net |
scaneastusabcd1234 |
| Datainmatning | Purview managed Storage Account – Event Hub | privatelink.servicebus.windows.net |
atlas-12345678-1234-1234-abcd-123456789abc |
Mer information finns i Arbetsbelastningar för virtuella nätverk utan anpassad DNS-server och lokala arbetsbelastningar med hjälp av en DNS-vidarebefordrare i AZURE Private Endpoint DNS-konfigurationen.
Verifiera virtuella nätverkslänkar i Azure Privat DNS zoner
När distributionen av den privata slutpunkten är klar kontrollerar du att det finns en virtuell nätverkslänk på alla motsvarande Azure Privat DNS-zoner till ett virtuellt Azure-nätverk där den privata slutpunkten har distribuerats.
Mer information finns i DNS-konfiguration för privat Azure-slutpunkt.
Konfigurera DNS-vidarebefordrare om anpassad DNS används
Dessutom krävs det att du verifierar dina DNS-konfigurationer i ett virtuellt Azure-nätverk där den virtuella datorn för integrationskörning med egen värd eller hanteringsdatorn finns.
Om den är konfigurerad som Standard krävs ingen ytterligare åtgärd i det här steget.
Om anpassad DNS-server används bör du lägga till motsvarande DNS-vidarebefordrare inuti DNS-servrarna för följande zoner:
- Purview.azure.com
- Blob.core.windows.net
- Queue.core.windows.net
- Servicebus.windows.net
Verifiera intern namnmatchning
När du löser url:en för Azure Purview-slutpunkten utanför det virtuella nätverket med den privata slutpunkten matchas den till den offentliga slutpunkten i Azure Purview. När den matchas från det virtuella nätverk som är värd för den privata slutpunkten matchas Azure Purview-slutpunktens URL till den privata slutpunktens IP-adress.
Om ett Azure Purview-kontonamn till exempel är "Contoso-Purview", blir det följande när det matchas utanför det virtuella nätverk som är värd för den privata slutpunkten:
| Namn | Typ | Värde |
|---|---|---|
Contoso-Purview.purview.azure.com |
CNAME | Contoso-Purview.privatelink.purview.azure.com |
Contoso-Purview.privatelink.purview.azure.com |
CNAME | <Purview public endpoint> |
| <Purview public endpoint> | A | <Purview public IP address> |
Web.purview.azure.com |
CNAME | <Purview Studio public endpoint> |
DNS-resursposterna för Contoso-Purview blir följande när de matchas i det virtuella nätverk som är värd för den privata slutpunkten:
| Namn | Typ | Värde |
|---|---|---|
Contoso-Purview.purview.azure.com |
CNAME | Contoso-Purview.privatelink.purview.azure.com |
Contoso-Purview.privatelink.purview.azure.com |
A | <Purview account private endpoint IP address> |
Web.purview.azure.com |
CNAME | <Purview portal private endpoint IP address> |
Alternativ 3 – Använd dina egna DNS-servrar
Om du inte använder DNS-vidarebefordrare och i stället hanterar A-poster direkt på dina lokala DNS-servrar för att matcha slutpunkterna via deras privata IP-adresser, kan du behöva skapa följande A-poster i dns-servrarna.
Anteckning
Uppdatera alla namn med Contoso-Purview och scaneastusabcd1234 med motsvarande atlas-12345678-1234-1234-abcd-123456789abc Azure-resursnamn i din miljö. I stället för att till exempel scaneastusabcd1234 använda namnet på ditt hanterade Lagringskonto i Azure Purview.
| Namn | Typ | Värde |
|---|---|---|
web.purview.azure.com |
A | <portal private endpoint IP address of Azure Purview> |
scaneastusabcd1234.blob.core.windows.net |
A | <blob-ingestion private endpoint IP address of Azure Purview> |
scaneastusabcd1234.queue.core.windows.net |
A | <queue-ingestion private endpoint IP address of Azure Purview> |
atlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net |
A | <namespace-ingestion private endpoint IP address of Azure Purview> |
Contoso-Purview.Purview.azure.com |
A | <account private endpoint IP address of Azure Purview> |
Contoso-Purview.scan.Purview.azure.com |
A | <account private endpoint IP address of Azure Purview> |
Contoso-Purview.catalog.Purview.azure.com |
A | <account private endpoint IP address of Azure Purview> |
Contoso-Purview.proxy.purview.azure.com |
A | <account private endpoint IP address of Azure Purview> |
Contoso-Purview.guardian.purview.azure.com |
A | <account private endpoint IP address of Azure Purview> |
gateway.purview.azure.com |
A | <account private endpoint IP address of Azure Purview> |
Contoso-Purview.web.purview.azure.com |
A | <portal private endpoint IP address of Azure Purview> |
manifest.prod.ext.web.purview.azure.com |
A | <portal private endpoint IP address of Azure Purview> |
cdn.prod.ext.web.purview.azure.com |
A | <portal private endpoint IP address of Azure Purview> |
hub.prod.ext.web.purview.azure.com |
A | <portal private endpoint IP address of Azure Purview> |
catalog.prod.ext.web.purview.azure.com |
A | <portal private endpoint IP address of Azure Purview> |
cseo.prod.ext.web.purview.azure.com |
A | <portal private endpoint IP address of Azure Purview> |
datascan.prod.ext.web.purview.azure.com |
A | <portal private endpoint IP address of Azure Purview> |
datashare.prod.ext.web.purview.azure.com |
A | <portal private endpoint IP address of Azure Purview> |
datasource.prod.ext.web.purview.azure.com |
A | <portal private endpoint IP address of Azure Purview> |
policy.prod.ext.web.purview.azure.com |
A | <portal private endpoint IP address of Azure Purview> |
sensitivity.prod.ext.web.purview.azure.com |
A | <portal private endpoint IP address of Azure Purview> |
Verifiera och DNS-testnamnmatchning och anslutning
Om du använder Azure Privat DNS Zones kontrollerar du att följande DNS-zoner och motsvarande A-poster har skapats i din Azure-prenumeration:
Privat slutpunkt Privat slutpunkt som är associerad med DNS-zon En post )(exempel) Konto Azure Purview privatelink.purview.azure.comContoso-Purview Portalen Azure Purview privatelink.purviewstudio.azure.comWebb Datainmatning Rensa hanterat Storage konto – Blob privatelink.blob.core.windows.netscaneastusabcd1234 Datainmatning Rensa hanterat Storage konto – kö privatelink.queue.core.windows.netscaneastusabcd1234 Datainmatning Purview managed Storage Account – Event Hub privatelink.servicebus.windows.netatlas-12345678-1234-1234-abcd-123456789abc Skapa virtuella nätverkslänkar i Azure Privat DNS Zoner för dina virtuella Azure-nätverk för att tillåta intern namnmatchning.
Från hanteringsdatorn och den virtuella datorn för integrationskörning med egen värd testar du namnmatchning och nätverksanslutning till ditt Azure Purview-konto med verktyg som Nslookup.exe och PowerShell
För att testa namnmatchning måste du matcha följande FQDN:er via deras privata IP-adresser: (I stället för Contoso-Purview, scaneastusabcd1234 eller atlas-12345678-1234-1234-abcd-123456789abc använder du det värdnamn som är associerat med ditt purview-kontonamn och hanterade resursnamn)
Contoso-Purview.purview.azure.comweb.purview.azure.comscaneastusabcd1234.blob.core.windows.netscaneastusabcd1234.queue.core.windows.netatlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net
Om du vill testa nätverksanslutningen från en virtuell dator med egen värd kan du starta PowerShell-konsolen och testa anslutningen med Test-NetConnection . Du måste matcha varje slutpunkt med deras privata slutpunkt och hämta TcpTestSucceeded som True. (I stället för Contoso-Purview, scaneastusabcd1234 eller atlas-12345678-1234-1234-abcd-123456789abc använder du det värdnamn som är associerat med ditt kontonamn för purview och hanterade resursnamn)
Test-NetConnection -ComputerName Contoso-Purview.purview.azure.com -port 443Test-NetConnection -ComputerName web.purview.azure.com -port 443Test-NetConnection -ComputerName scaneastusabcd1234.blob.core.windows.net -port 443Test-NetConnection -ComputerName scaneastusabcd1234.queue.core.windows.net -port 443Test-NetConnection -ComputerName atlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net -port 443