为 Microsoft Purview 专用终结点配置和验证 DNS 名称解析
概念概述
为 Microsoft Purview 帐户设置专用终结点时,准确的名称解析是一项关键要求。
你可能需要在 DNS 设置中启用内部名称解析,以将专用终结点 IP 地址解析为数据源中的完全限定域名 (FQDN),将管理计算机解析为 Microsoft Purview 帐户和自承载集成运行时,具体取决于正在部署的方案。
提示
部署 DNS 区域时,请勿使用特定的 IP 地址。 Azure 资源的 IP 地址不是静态的,使用静态 IP 地址构建 DNS 区域最终将导致错误。
部署选项
对 Microsoft Purview 帐户使用专用终结点时,可使用以下任一选项设置内部名称解析:
- 在专用终结点部署的 Azure 环境部分中部署新的 Azure 专用 DNS 区域。 (默认选项)
- 使用现有的 Azure 专用 DNS 区域。 如果在来自不同订阅甚至同一订阅的中心辐射模型中使用专用终结点,请使用此选项。
- 如果不使用 DNS 转发器,而是直接在本地 DNS 服务器中管理 A 记录,则使用自己的 DNS 服务器。
提示
- 经典 Microsoft Purview 治理门户 (https://web.purview.azure.cn):支持“帐户”、“门户”和“引入”专用终结点。
- 新的 Microsoft Purview 治理门户 (https://purview.microsoft.com/):支持“平台”和“引入”专用终结点。
选项 1 - 部署新的 Azure 专用 DNS 区域
部署新的 Azure 专用 DNS 区域
要启用内部名称解析,可以在部署了 Microsoft Purview 帐户的 Azure 订阅中部署所需的 Azure DNS 区域。
创建引入、门户和帐户专用终结点时,Microsoft Purview 的 DNS CNAME 资源记录会自动更新为某些子域中前缀为 privatelink 的别名:
默认情况下,在为 Microsoft Purview 帐户部署“帐户”或“平台”专用终结点期间,我们还会创建一个与 Azure Purview 的
privatelink子域对应的专用 DNS 区域作为privatelink.purview.azure.cn,其中包含专用终结点的 DNS A 资源记录。在为 Microsoft Purview 帐户部署门户专用终结点期间,我们还会创建一个与 Microsoft Purview 的
privatelink子域对应的新专用 DNS 区域作为privatelink.purviewstudio.azure.com,包括 Web 的 DNS A 资源记录。如果启用引入专用终结点,则托管的或配置的资源需要其他 DNS 区域。
下表显示了 Azure 专用 DNS 区域和 DNS A 记录的示例,如果在部署期间启用专用 DNS 集成,它们将作为 Microsoft Purview 帐户的专用终结点配置的一部分进行部署:
| 专用终结点 | 专用终结点关联目标 | 门户可用性 | DNS 区域(新) | A 记录(示例) |
|---|---|---|---|---|
| 帐户 | Microsoft Purview | privatelink.purview.azure.cn |
Contoso-Purview | |
| 门户 | Microsoft Purview | privatelink.purviewstudio.azure.cn |
Web | |
| 引入 | Microsoft Purview 引入 - Blob* | privatelink.blob.core.chinacloudapi.cn |
ingestioneus2chinanorth3ksqky | |
| 引流 | Microsoft Purview 引入 - 队列* | privatelink.queue.core.chinacloudapi.cn |
ingestioneus2chinanorth3ksqky | |
| 引流 | Microsoft Purview 配置的事件中心 - 事件中心** | privatelink.servicebus.chinacloudapi.cn |
atlas-12345678-1234-1234-abcd-123456789abc |
注意
*如果你的帐户创建于 2023 年 12 月 15 日之前,则会将终结点部署到托管存储帐户。 如果创建于 11 月 10 日之后(或者是使用 2023-05-01-preview 之后的 API 版本部署的),则它会指向引入存储。 **如果帐户配置为使用 kafka 通知或创建于 2022 年 12 月 15 日之前,则仅具有关联的事件中心命名空间。
验证 Azure 专用 DNS 区域中的虚拟网络链接
完成专用终结点部署后,请确保在所有相应的 Azure 专用 DNS 区域中存在虚拟网络链接,该链接指向部署了专用终结点的 Azure 虚拟网络。
有关详细信息,请参阅 Azure 专用终结点 DNS 配置。
验证内部名称解析
使用专用终结点从虚拟网络外部解析 Microsoft Purview 终结点 URL 时,它会解析为 Microsoft Purview 的公共终结点。 从托管专用终结点的虚拟网络进行解析时,Microsoft Purview 终结点 URL 解析为专用终结点的 IP 地址。
例如,如果 Microsoft Purview 帐户名称为“Contoso-Purview”,则从托管专用终结点的虚拟网络外部对它进行解析时,它将为:
| 名称 | 类型 | 值 |
|---|---|---|
Contoso-Purview.purview.azure.cn |
CNAME | Contoso-Purview.privatelink.purview.azure.cn |
Contoso-Purview.privatelink.purview.azure.cn |
CNAME | <Microsoft Purview 公共终结点> |
| <Microsoft Purview 公共终结点> | A | <Microsoft Purview 公共 IP 地址> |
Web.purview.azure.cn |
CNAME | <Microsoft Purview 治理门户公共终结点> |
Contoso-Purview 的 DNS 资源记录在托管专用终结点的虚拟网络中进行解析时,将为:
| 名称 | 类型 | 值 |
|---|---|---|
Contoso-Purview.purview.azure.cn |
CNAME | Contoso-Purview.privatelink.purview.azure.cn |
Contoso-Purview.privatelink.purview.azure.cn |
A | <Microsoft Purview 帐户专用终结点 IP 地址> |
Web.purview.azure.cn |
CNAME | <Microsoft Purview 门户专用终结点 IP 地址> |
选项 2 - 使用现有的 Azure 专用 DNS 区域
使用现有的 Azure 专用 DNS 区域
在部署 Microsoft Purview 专用终结点期间,可以选择采用了现有 Azure 专用 DNS 区域的“专用 DNS 集成”。 对于将专用终结点用于 Azure 中的其他服务的组织来说,这是一种常见情况。 在这种情况下,在部署专用端点期间,请务必选择现有 DNS 区域,而不是创建新区域。
如果你的组织对所有 Azure 专用 DNS 区域使用中央或中心订阅,则此方案也适用。
以下列表显示了 Microsoft Purview 专用终结点所需的 Azure DNS 区域和 A 记录:
重要
使用 Contoso-Purview、ingestioneus2chinanorth3ksqky 和 atlas-12345678-1234-1234-abcd-123456789abc 更新环境中包含对应 Azure 资源名称的所有名称。
Contoso-Purview是 Microsoft Purview 帐户的名称。- 只需要与你正在使用的门户关联的终结点:
- 经典 Microsoft Purview 治理门户 (https://web.purview.azure.cn):支持“帐户”、“门户”和“引入”专用终结点。
- 新的 Microsoft Purview 治理门户 (https://purview.microsoft.com/):支持“平台”和“引入”专用终结点。
- 如果帐户配置为使用 kafka 通知或创建于 2022 年 12 月 15 日之前,则
atlas-12345678-1234-1234-abcd-123456789abc是你的事件中心命名空间。 - 如果帐户创建于 2023 年 12 月 15 日之前,对于
ingestioneus2chinanorth3ksqky,请使用 Microsoft Purview 托管存储帐户的名称。 - 如果帐户创建于 2023 年 12 月 15 日之后(或者是使用 2023-05-01-preview 之后的 API 版本部署的),请将
ingestioneus2chinanorth3ksqky保留原样。
| 专用终结点 | 专用终结点关联目标 | 门户可用性 | DNS 区域(现有) | A 记录(示例) |
|---|---|---|---|---|
| 帐户 | Microsoft Purview | privatelink.purview.azure.cn |
Contoso-Purview | |
| 门户 | Microsoft Purview | privatelink.purviewstudio.azure.cn |
Web | |
| 引入 | Microsoft Purview 引入 - Blob* | privatelink.blob.core.chinacloudapi.cn |
ingestioneus2chinanorth3ksqky | |
| 引流 | Microsoft Purview 引入 - 队列* | privatelink.queue.core.chinacloudapi.cn |
ingestioneus2chinanorth3ksqky | |
| 引流 | Microsoft Purview 配置的事件中心** | privatelink.servicebus.chinacloudapi.cn |
atlas-12345678-1234-1234-abcd-123456789abc |
注意
*如果你的帐户创建于 2023 年 12 月 15 日之前,则会将终结点部署到托管存储帐户。 如果创建于 11 月 10 日之后(或者是使用 2023-05-01-preview 之后的 API 版本部署的),则它会指向引入存储。 **如果帐户配置为使用 kafka 通知或创建于 2022 年 12 月 15 日之前,则仅具有关联的事件中心命名空间。
有关详细信息,请参阅 Azure 专用终结点 DNS 配置中的不带自定义 DNS 服务器的虚拟网络工作负荷和使用 DNS 转发器的本地工作负荷方案。
验证 Azure 专用 DNS 区域中的虚拟网络链接
完成专用终结点部署后,请确保在所有相应的 Azure 专用 DNS 区域中存在虚拟网络链接,该链接指向部署了专用终结点的 Azure 虚拟网络。
有关详细信息,请参阅 Azure 专用终结点 DNS 配置。
配置 DNS 转发器(如果使用了自定义 DNS)
此外,还需要验证自承载集成运行时 VM 或管理电脑所在的 Azure 虚拟网络上的 DNS 配置。
如果将它配置为“默认”,则不需在此步骤中执行其他操作。
如果使用自定义 DNS 服务器,应在 DNS 服务器内为以下区域添加相应的 DNS 转发器:
- Purview.azure.cn
- purviewstudio.azure.cn
- Blob.core.chinacloudapi.cn
- Queue.core.chinacloudapi.cn
- Servicebus.chinacloudapi.cn
验证内部名称解析
使用专用终结点从虚拟网络外部解析 Microsoft Purview 终结点 URL 时,它会解析为 Microsoft Purview 的公共终结点。 从托管专用终结点的虚拟网络进行解析时,Microsoft Purview 终结点 URL 解析为专用终结点的 IP 地址。
例如,如果 Microsoft Purview 帐户名称为“Contoso-Purview”,则从托管专用终结点的虚拟网络外部对它进行解析时,它将为:
| 名称 | 类型 | 值 |
|---|---|---|
Contoso-Purview.purview.azure.cn |
CNAME | Contoso-Purview.privatelink.purview.azure.cn |
Contoso-Purview.privatelink.purview.azure.cn |
CNAME | <Microsoft Purview 公共终结点> |
| <Microsoft Purview 公共终结点> | A | <Microsoft Purview 公共 IP 地址> |
Web.purview.azure.cn |
CNAME | <Microsoft Purview 治理门户公共终结点> |
Contoso-Purview 的 DNS 资源记录在托管专用终结点的虚拟网络中进行解析时,将为:
| 名称 | 类型 | 值 |
|---|---|---|
Contoso-Purview.purview.azure.cn |
CNAME | Contoso-Purview.privatelink.purview.azure.cn |
Contoso-Purview.privatelink.purview.azure.cn |
A | <Microsoft Purview 帐户专用终结点 IP 地址> |
Web.purview.azure.cn |
CNAME | <Microsoft Purview 门户专用终结点 IP 地址> |
选项 3 - 使用自己的 DNS 服务器
如果不使用 DNS 转发器,而是直接在本地 DNS 服务器中管理 A 记录,以通过其专用 IP 地址解析终结点,则可能需要在 DNS 服务器中创建以下 A 记录。
重要
使用 Contoso-Purview、ingestioneus2chinanorth3ksqky 和 atlas-12345678-1234-1234-abcd-123456789abc 更新环境中包含对应 Azure 资源名称的所有名称。
Contoso-Purview是 Microsoft Purview 帐户的名称。- 只需要与你正在使用的门户关联的终结点:
- 经典 Microsoft Purview 治理门户 (https://web.purview.azure.cn):支持“帐户”、“门户”和“引入”专用终结点。
- 新的 Microsoft Purview 治理门户 (https://purview.microsoft.com/):支持“平台”和“引入”专用终结点。
- 如果帐户配置为使用 kafka 通知或创建于 2022 年 12 月 15 日之前,则
atlas-12345678-1234-1234-abcd-123456789abc是你的事件中心命名空间。 - 如果帐户创建于 2023 年 12 月 15 日之前,对于
ingestioneus2chinanorth3ksqky,请使用 Microsoft Purview 托管存储帐户的名称。 - 如果帐户创建于 2023 年 12 月 15 日之后(或者是使用 2023-05-01-preview 之后的 API 版本部署的),请将
ingestioneus2chinanorth3ksqky保留原样。
| 名称 | 类型 | 值 | 门户可用性 |
|---|---|---|---|
web.purview.azure.cn |
A | <Microsoft Purview 的门户专用终结点 IP 地址> | 经典门户 |
ingestioneus2chinanorth3ksqky.blob.core.chinacloudapi.cn |
A | <Microsoft Purview 的 blob-ingestion 专用终结点 IP 地址> | 经典门户和新门户 |
ingestioneus2chinanorth3ksqky.queue.core.chinacloudapi.cn |
A | <Microsoft Purview 的 queue-ingestion 专用终结点 IP 地址> | 经典门户和新门户 |
atlas-12345678-1234-1234-abcd-123456789abc.servicebus.chinacloudapi.cn |
A | <Microsoft Purview 的 namespace-ingestion 专用终结点 IP 地址> | 经典门户和新门户 |
Contoso-Purview.Purview.azure.com |
A | <Microsoft Purview 的帐户/平台专用终结点 IP 地址> | 经典门户和新门户 |
Contoso-Purview.scan.Purview.azure.com |
A | <Microsoft Purview 的帐户/平台专用终结点 IP 地址> | 经典门户和新门户 |
Contoso-Purview.catalog.Purview.azure.com |
A | <Microsoft Purview 的帐户/平台专用终结点 IP 地址> | 经典门户和新门户 |
Contoso-Purview.proxy.purview.azure.cn |
A | <Microsoft Purview 的帐户/平台专用终结点 IP 地址> | 经典门户和新门户 |
Contoso-Purview.guardian.purview.azure.cn |
A | <Microsoft Purview 的帐户/平台专用终结点 IP 地址> | 经典门户和新门户 |
gateway.purview.azure.cn |
A | <Microsoft Purview 的帐户/平台专用终结点 IP 地址> | 经典门户和新门户 |
insight.prod.ext.web.purview.azure.cn |
A | <Microsoft Purview 的门户专用终结点 IP 地址> | 经典门户 |
manifest.prod.ext.web.purview.azure.cn |
A | <Microsoft Purview 的门户专用终结点 IP 地址> | 经典门户 |
cdn.prod.ext.web.purview.azure.cn |
A | <Microsoft Purview 的门户专用终结点 IP 地址> | 经典门户 |
hub.prod.ext.web.purview.azure.cn |
A | <Microsoft Purview 的门户专用终结点 IP 地址> | 经典门户 |
catalog.prod.ext.web.purview.azure.cn |
A | <Microsoft Purview 的门户专用终结点 IP 地址> | 经典门户 |
cseo.prod.ext.web.purview.azure.cn |
A | <Microsoft Purview 的门户专用终结点 IP 地址> | 经典门户 |
datascan.prod.ext.web.purview.azure.cn |
A | <Microsoft Purview 的门户专用终结点 IP 地址> | 经典门户 |
datashare.prod.ext.web.purview.azure.cn |
A | <Microsoft Purview 的门户专用终结点 IP 地址> | 经典门户 |
datasource.prod.ext.web.purview.azure.cn |
A | <Microsoft Purview 的门户专用终结点 IP 地址> | 经典门户 |
policy.prod.ext.web.purview.azure.cn |
A | <Microsoft Purview 的门户专用终结点 IP 地址> | 经典门户 |
sensitivity.prod.ext.web.purview.azure.cn |
A | <Microsoft Purview 的门户专用终结点 IP 地址> | 经典门户 |
web.privatelink.purviewstudio.azure.com |
A | <Microsoft Purview 的门户专用终结点 IP 地址> | 经典门户 |
workflow.prod.ext.web.purview.azure.cn |
A | <Microsoft Purview 的门户专用终结点 IP 地址> | 经典门户 |
验证和 DNS 测试名称解析和连接
如果使用 Azure 专用 DNS 区域,请确保在 Azure 订阅中创建以下 DNS 区域和相应的 A 记录:
专用终结点 专用终结点关联目标 门户可用性 DNS 区域(现有) A 记录(示例) 帐户 Microsoft Purview 经典门户 privatelink.purview.azure.cnContoso-Purview 平台 Microsoft Purview 新门户 privatelink.purview.azure.cnContoso-Purview 门户 Microsoft Purview 经典门户 privatelink.purviewstudio.azure.comWeb 引入 Microsoft Purview 引入 - Blob* 经典门户和新门户 privatelink.blob.core.chinacloudapi.cningestioneus2chinanorth3ksqky 引流 Microsoft Purview 引入 - 队列* 经典门户和新门户 privatelink.queue.core.chinacloudapi.cningestioneus2chinanorth3ksqky 引流 事件中心** 经典门户和新门户 privatelink.servicebus.chinacloudapi.cnatlas-12345678-1234-1234-abcd-123456789abc 注意
*如果你的帐户创建于 2023 年 12 月 15 日之前,则会将终结点部署到托管存储帐户。 如果创建于 11 月 10 日之后(或者是使用 2023-05-01-preview 之后的 API 版本部署的),则它会指向引入存储。 **如果帐户配置为使用 kafka 通知或创建于 2022 年 12 月 15 日之前,则仅具有关联的事件中心命名空间。
在 Azure 虚拟网络的 Azure 专用 DNS 区域中创建虚拟网络链接以便于进行内部名称解析。
在管理电脑和自承载集成运行时 VM 中,使用 Nslookup.exe 和 PowerShell 等工具测试名称解析以及与 Microsoft Purview 帐户的网络连接
若要测试名称解析,需要通过专用 IP 地址解析以下 FQDN:(请使用与你的 Purview 帐户名称和托管或配置资源名称关联的主机名,而不是使用 Contoso-Purview、ingestioneus2chinanorth3ksqky 或 atlas-12345678-1234-1234-abcd-123456789abc)
Contoso-Purview.purview.azure.cnweb.purview.azure.cningestioneus2chinanorth3ksqky.blob.core.chinacloudapi.cningestioneus2chinanorth3ksqky.queue.core.chinacloudapi.cnatlas-12345678-1234-1234-abcd-123456789abc.servicebus.chinacloudapi.cn
要测试网络连接,可以从自承载集成运行时 VM 启动 PowerShell 控制台,然后使用 Test-NetConnection 来测试连接。
必须通过其专用终结点解析每个终结点,并获得值为 true 的 TcpTestSucceeded。 (请使用与你的 Purview 帐户名称和托管或配置资源名称关联的主机名,而不是使用 Contoso-Purview、ingestioneus2chinanorth3ksqky 或 atlas-12345678-1234-1234-abcd-123456789abc)
Test-NetConnection -ComputerName Contoso-Purview.purview.azure.cn -port 443Test-NetConnection -ComputerName web.purview.azure.cn -port 443Test-NetConnection -ComputerName ingestioneus2chinanorth3ksqky.blob.core.chinacloudapi.cn -port 443Test-NetConnection -ComputerName ingestioneus2chinanorth3ksqky.queue.core.chinacloudapi.cn -port 443Test-NetConnection -ComputerName atlas-12345678-1234-1234-abcd-123456789abc.servicebus.chinacloudapi.cn -port 443
以下示例展示了来自虚拟网络外部或未配置 Azure 专用终结点时的 Microsoft Purview DNS 名称解析。
以下示例展示了来自虚拟网络内部的 Microsoft Purview DNS 名称解析。
注意
这些图像中的值是示例。 使用本文中的信息正确配置 DNS 区域。