Microsoft Purview 专用终结点和托管 VNet 常见问题解答

本文解答了客户和现场团队经常提出的有关使用 Azure 专用链接进行 Microsoft Purview 网络配置的常见问题。 本文旨在阐明有关 Microsoft Purview 防火墙设置、专用终结点、DNS 配置和相关配置的问题。

若要使用专用链接设置 Microsoft Purview,请参阅为 Microsoft Purview 帐户使用专用终结点

应何时使用自承载集成运行时、托管虚拟网络 IR 或 Azure IR?

为你的方案选择正确的集成运行时配置中了解详细信息。

是否可以在 Microsoft Purview 帐户中同时使用自承载集成运行时和托管虚拟网络 IR?

是的。 可以在单个 Microsoft Purview 帐户中使用单个或全部运行时选项:Azure IR、托管虚拟网络 IR 和自承载集成运行时。 在单个扫描中只能使用一个运行时选项。

部署 Microsoft Purview 帐户专用终结点的目的是什么?

Microsoft Purview 帐户专用终结点用于增加额外的安全层,它可以实现仅允许源自虚拟网络内部的客户端调用访问该帐户的方案。 此专用终结点也是门户专用终结点的一个必备组件。

部署 Microsoft Purview 门户专用终结点的目的是什么?

Microsoft Purview 门户专用终结点提供与 Microsoft Purview 治理门户的专用连接。

部署 Microsoft Purview 引入专用终结点的目的是什么?

Microsoft Purview 可以使用引入专用终结点扫描 Azure 或本地环境中的数据源。 创建引入专用终结点时,将部署另外 3 个专用终结点资源并将其链接到 Microsoft Purview 托管或配置资源:

  • 如果你使用适用于 kafka 通知的托管事件中心,则命名空间会链接到 Microsoft Purview 配置的事件中心命名空间。
  • 如果你的帐户是在 2023 年 12 月 15 日之前创建的:
    • Blob,链接到 Microsoft Purview 托管存储帐户。
    • 队列,链接到 Microsoft Purview 托管存储帐户。
  • 如果你的帐户是在 2023 年 12 月 15 日之后创建的(或者是使用 2023-05-01-preview 之后的 API 版本部署的):
    • Blob 被链接到 Microsoft Purview 引入存储。
    • 队列被链接到 Microsoft Purview 引入存储。

如果在我的 Microsoft Purview 帐户中启用了专用终结点,我是否可以通过公共终结点扫描数据源?

是的。 可以使用公共终结点来扫描并非通过专用终结点连接的数据源,同时,Microsoft Purview 可以配置为使用专用终结点。

如果启用了专用终结点,我是否可以通过服务终结点扫描数据源?

是的。 可以使用服务终结点来扫描并非通过专用终结点连接的数据源,同时,Microsoft Purview 可以配置为使用专用终结点。 从为你的方案选择正确的集成运行时配置中了解详细信息。

如果在“Microsoft Purview 帐户网络”中将“公共网络访问”设置为“拒绝”,我是否可以从公共网络访问 Microsoft Purview 治理门户?

不能。 在“公共网络访问”设置为“拒绝”的情况下,从公共终结点连接到 Microsoft Purview 会导致出现以下错误消息:

“无权访问此 Microsoft Purview 帐户。 此 Microsoft Purview 帐户位于专用终结点后面。 从为 Microsoft Purview 帐户的专用终结点配置的虚拟网络中的客户端访问该帐户。”

在这种情况下,若要打开 Microsoft Purview 治理门户,请使用在 Microsoft Purview 门户专用终结点所在的虚拟网络中部署的计算机,或者使用一台已连接到允许混合连接的企业网络的 VM。

是否可以限制 Web 上的用户对 Microsoft Purview 托管存储帐户或引入存储帐户和事件中心命名空间(仅适用于专用终结点引入)的访问,但仍允许他们进行门户访问?

注意

只有当你的帐户创建于 2023 年 12 月 15 日之前(或者是使用 2023-05-01-preview 之前的 API 版本部署的)时,它才会具有托管存储帐户。 只有当你的帐户配置了 kafka 通知或者创建于 2022 年 12 月 15 日之前时,它才会具有关联的事件中心命名空间。

是的。 可以将 Microsoft Purview 防火墙设置配置为“禁用,仅用于引入(预览版)”。 选择此选项即可通过 API 和 Microsoft Purview 治理门户对 Microsoft Purview 帐户进行公用网络访问,但在你的 Microsoft Purview 帐户的托管存储帐户,公用网络访问设置为禁用。 你还需要确认事件中心网络设置允许通信。

如果“公共网络访问”设置为“允许”,是否意味着托管存储帐户或引入存储帐户和事件中心命名空间可供任何人访问?

注意

只有当你的帐户创建于 2023 年 12 月 15 日之前(或者是使用 2023-05-01-preview 之前的 API 版本部署的)时,它才会具有托管存储帐户。 只有当你的帐户配置了 kafka 通知或者创建于 2022 年 12 月 15 日之前时,它才会具有关联的事件中心命名空间。

否。 作为受保护的资源,Microsoft Purview 托管存储帐户和任何事件中心命名空间仅限通过 Microsoft Purview 使用 RBAC 身份验证方案进行访问。 这些资源在部署时指定为拒绝分配给所有主体,这将阻止任何应用程序、用户或组获取对这些资源的访问权限。

若要详细了解 Azure 拒绝分配,请参阅了解 Azure 拒绝分配

Microsoft Purview 需要为专用终结点使用哪些专用 DNS 区域?

对于 Microsoft Purview 帐户门户平台专用终结点:

  • privatelink.purview.azure.cn - 对于经典 Microsoft Purview 治理门户。
  • privatelink.purview-service.microsoft.cn - 对于 Microsoft Purview 门户。

对于 Microsoft Purview 引入专用终结点:

  • privatelink.blob.core.chinacloudapi.cn
  • privatelink.queue.core.chinacloudapi.cn
  • privatelink.servicebus.chinacloudapi.cn

部署 Microsoft Purview 专用终结点时,是否必须使用专用虚拟网络和专用子网?

否。 但是,部署专用终结点之前,必须在目标子网中禁用 PrivateEndpointNetworkPolicies。 如果你打算跨界扫描数据源,请考虑将 Microsoft Purview 部署到某个已通过虚拟网络对等互连与数据源虚拟网络建立了网络连接并可访问本地网络的虚拟网络中。

详细了解如何禁用专用终结点的网络策略

是否可以部署 Microsoft Purview 专用终结点,并使用订阅中的现有专用 DNS 区域来注册 A 记录?

是的。 可将专用终结点 DNS 区域集中放置在某个中心或数据管理订阅中,供 Microsoft Purview 所需的所有内部 DNS 区域和所有数据源记录使用。 我们建议使用此方法,以允许 Microsoft Purview 使用其专用终结点内部 IP 地址解析数据源。

你还需要为现有专用 DNS 区域的虚拟网络设置虚拟网络链接

使用专用终结点时,对于具有自承载集成运行时的虚拟机,Microsoft Purview 在出站端口和防火墙方面有哪些要求?

部署了自承载集成运行时的 VM 必须可以通过端口 443 对 Azure 终结点和 Microsoft Purview 专用 IP 地址进行出站访问。

如果启用了专用终结点,是否需要允许从运行自承载集成运行时的虚拟机进行出站 Internet 访问?

否。 但是,运行自承载集成运行时的虚拟机应当可以使用端口 443 通过内部 IP 地址连接到 Microsoft Purview 实例。 使用常用的故障排除工具(例如 nslookup.exe 和 Test-NetConnection)进行名称解析和连接测试。

如果我使用的是托管虚拟网络,我是否仍需要为 Microsoft Purview 帐户部署专用终结点?

如果在 Microsoft Purview 帐户中将公共访问设置为“拒绝”,则至少需要一个帐户和门户专用终结点。 如果在 Microsoft Purview 帐户中将公共访问设置为“拒绝”,并且你打算使用自承载集成运行时扫描更多数据源,则至少需要一个帐户、门户和引入专用终结点。

允许通过 Microsoft Purview 托管 VNet 的公共终结点进行哪些入站和出站通信?

不允许从公用网络向托管虚拟网络进行入站通信。 打开所有端口进行出站通信。 在 Microsoft Purview 中,托管虚拟网络可用于在扫描期间以专用方式连接到 Azure 数据源以提取元数据。

当我尝试从计算机启动 Microsoft Purview 治理门户时,为何会收到以下错误消息?

此 Microsoft Purview 帐户位于专用终结点后面。 从为 Microsoft Purview 帐户的专用终结点配置的虚拟网络中的客户端访问该帐户。”

你的 Microsoft Purview 帐户可能是使用专用链接部署的,并且你的 Microsoft Purview 帐户上可能禁用了公共访问。 因此,你必须从一台通过内部网络连接到 Microsoft Purview 的虚拟机浏览 Microsoft Purview 治理门户。

如果要从混合网络后面的 VM 进行连接,或者要使用连接到虚拟网络的跳转计算机进行连接,请使用常用的故障排除工具(例如 nslookup.exe 和 Test-NetConnection)进行名称解析和连接测试。

  1. 验证是否可以通过 Microsoft Purview 帐户的专用 IP 地址解析以下地址。

    • Web.Purview.Azure.com
    • <YourPurviewAccountName>.Purview.Azure.com
  2. 使用以下 PowerShell 命令验证是否与 Microsoft Purview 帐户建立了网络连接:

    Test-NetConnection -ComputerName <YourPurviewAccountName>.Purview.Azure.com -Port 443
    
  3. 如果你使用自己的 DNS 解析基础结构,请验证跨界 DNS 配置。

有关专用终结点 DNS 设置的详细信息,请参阅 Azure 专用终结点 DNS 配置

是否可以将与 Microsoft Purview 帐户或其托管资源关联的专用终结点移懂到另一个 Azure 订阅或资源组?

否。 不支持对帐户、门户或引入专用终结点执行移动操作。 有关详细信息,请参阅将网络资源移懂到新资源组或订阅

是否可以在不同区域中创建多个托管虚拟网络?

是的。 可以在单个 Microsoft Purview 实例中跨不同区域创建多个托管虚拟网络,以便访问不同区域中可用的数据源。 此特性提供以下功能:

  • 在单个 Microsoft Purview 实例中跨不同区域创建多个托管虚拟网络(最多五个)。
  • 在你自己的组织中实现网络隔离,以解决潜在的数据驻留或扫描性能问题。

后续步骤

若要使用专用链接设置 Microsoft Purview,请参阅为 Microsoft Purview 帐户使用专用终结点