对 Microsoft Purview 帐户的专用终结点配置进行故障排除

  • 项目

本指南总结与使用 Microsoft Purview 专用终结点相关的已知限制,并列出排除某些最常见相关问题的步骤和解决方案。

已知的限制

  • 我们当前不支持用于 AWS 源的引入专用终结点。
  • 不支持使用自承载集成运行时扫描 Azure 多源。
  • 不支持使用 Azure 集成运行时扫描专用终结点后面的数据源。
  • 引入专用终结点可通过此处步骤中介绍的 Microsoft Purview 治理门户体验进行创建。 无法从专用链接中心创建。
  • 当 Azure 专用 DNS 区域与专用终结点在不同订阅中时,不支持通过 Microsoft Purview 治理门户体验在现有 Azure DNS 区域内创建引入专用终结点的 DNS 记录。 可以在其他订阅中的目标 DNS 区域中手动添加 A 记录。
  • 如果在部署引入专用终结点后配置自己的事件中心命名空间启用托管事件中心命名空间,则需要重新部署引入专用终结点。
  • 自承载集成运行时计算机必须部署在同一虚拟网络或已部署 Microsoft Purview 帐户和引入专用终结点的对等虚拟网络中。
  • 有关专用链接服务的相关限制,请参阅 Azure 专用链接限制
  • 目前,使用新的 Microsoft Purview 门户的 Microsoft Purview 实例只能使用引入专用终结点

  1. 在部署 Microsoft Purview 帐户的专用终结点后,查看 Azure 环境以确保成功部署专用终结点资源。 根据自己的方案,必须在 Azure 订阅中部署以下一个或多个 Azure 专用终结点:

    专用终结点 专用终结点的目标分配对象 示例
    帐户 Microsoft Purview 帐户 mypurview-private-account
    门户 Microsoft Purview 帐户 mypurview-private-portal
    引流 存储 (Blob)* mypurview-ingestion-blob
    引流 存储(队列)* mypurview-ingestion-queue
    引流 事件中心命名空间** mypurview-ingestion-namespace

    注意

    *如果你的帐户创建于 2023 年 12 月 15 日之前,则会将终结点部署到托管存储帐户。 如果创建于 11 月 10 日之后(或者是使用 2023-05-01-preview 之后的 API 版本部署的),则它会指向引入存储。

    **如果帐户配置为 kafka 通知或创建于 2022 年 12 月 15 日之前,则账户只有一个关联的事件中心命名空间。

  2. 如果已部署门户专用终结点,确保同时部署帐户专用终结点。

  3. 如果已部署门户专用终结点,并在 Microsoft Purview 帐户中将“公用网络访问”设置为“拒绝”,请确保从内部网络启动 Microsoft Purview 治理门户

    • 若要验证名称解析是否正确,可使用 NSlookup.exe 命令行工具查询 web.purview.azure.cn。 结果必须返回一个属于门户专用终结点的专用 IP 地址。
    • 要验证网络连接,可以使用任何网络测试工具测试端口 443 的 web.purview.azure.cn 终结点出站连接。 连接必须成功。

  4. 如果使用 Azure 专用 DNS 区域,则确保已部署所需 Azure DNS 区域,并且每个专用终结点都有 DNS (A) 记录。

  5. 测试从管理计算机到 Microsoft Purview 终结点和 Microsoft Purview Web URL 的网络连接和名称解析。 如果已部署帐户和门户专用终结点,则必须通过专用 IP 地址解析终结点。

    Test-NetConnection -ComputerName web.purview.azure.cn -Port 443

    通过专用 IP 地址成功建立出站连接的示例:

    ComputerName     : web.purview.azure.cn
RemoteAddress    : 10.9.1.7
RemotePort       : 443
InterfaceAlias   : Ethernet 2
SourceAddress    : 10.9.0.10
TcpTestSucceeded : True

    Test-NetConnection -ComputerName purview-test01.purview.azure.cn -Port 443

    通过专用 IP 地址成功建立出站连接的示例:

    ComputerName     : purview-test01.purview.azure.cn
RemoteAddress    : 10.9.1.8
RemotePort       : 443
InterfaceAlias   : Ethernet 2
SourceAddress    : 10.9.0.10
TcpTestSucceeded : True

  6. 如果已在 2021 年 8 月 18 日之后创建 Microsoft Purview 帐户,则确保从 Microsoft 下载中心下载并安装最新版本的自承载集成运行时。

  7. 测试从自承载集成运行时虚拟机到 Microsoft Purview 终结点的网络连接和名称解析。

  8. 通过端口 443 和专用 IP 地址,测试从自承载集成运行时到 Microsoft Purview 受管理资源(如 blob 队列)和辅助资源(如事件中心)的网络连接和名称解析。 (如果需要其中之一,请将托管存储帐户和事件中心命名空间替换为相应的资源名称)。

    Test-NetConnection -ComputerName `scansoutdeastasiaocvseab`.blob.core.chinacloudapi.cn -Port 443

    通过专用 IP 地址与托管 blob 存储成功建立出站连接的示例:

    ComputerName     : scansoutdeastasiaocvseab.blob.core.chinacloudapi.cn
RemoteAddress    : 10.15.1.6
RemotePort       : 443
InterfaceAlias   : Ethernet 2
SourceAddress    : 10.15.0.4
TcpTestSucceeded : True

    Test-NetConnection -ComputerName `scansoutdeastasiaocvseab`.queue.core.chinacloudapi.cn -Port 443

    通过专用 IP 地址与托管队列存储成功建立出站连接的示例:

    ComputerName     : scansoutdeastasiaocvseab.blob.core.chinacloudapi.cn
RemoteAddress    : 10.15.1.5
RemotePort       : 443
InterfaceAlias   : Ethernet 2
SourceAddress    : 10.15.0.4
TcpTestSucceeded : True

    Test-NetConnection -ComputerName `Atlas-1225cae9-d651-4039-86a0-b43231a17a4b`.servicebus.chinacloudapi.cn -Port 443

    通过专用 IP 地址与事件中心命名空间成功建立出站连接的示例:

    ComputerName     : Atlas-1225cae9-d651-4039-86a0-b43231a17a4b.servicebus.chinacloudapi.cn
RemoteAddress    : 10.15.1.4
RemotePort       : 443
InterfaceAlias   : Ethernet 2
SourceAddress    : 10.15.0.4
TcpTestSucceeded : True

  9. 测试从数据源所在网络到 Microsoft Purview 终结点和受管理或配置的资源终结点的网络连接和名称解析。

  10. 如果数据源位于本地网络中,则查看 DNS 转发器配置。 测试从数据源所在的网络到自承载集成运行时、Microsoft Purview 终结点和受管理或配置的资源的名称解析。 应通过每个终结点的 DNS 查询获取有效的专用 IP 地址。

    有关详细信息,请参阅 Azure 专用终结点 DNS 配置中的不带自定义 DNS 服务器的虚拟网络工作负载使用 DNS 转发器的本地工作负载方案。

  11. 如果已在本地网络中部署管理计算机和自承载集成运行时虚拟机,并已在自己的环境中设置 DNS 转发器,则在自己的环境中验证 DNS 和网络设置。

  12. 如果使用引入专用终结点,则确保自承载集成运行时已在 Microsoft Purview 帐户中成功注册,并同时在自承载集成运行时虚拟机和 Microsoft Purview 治理门户中显示为正在运行。

常见错误和消息

问题

运行扫描时,可能会收到以下错误消息:

Internal system error. Please contact support with correlationId:xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx System Error, contact support.

原因

这可能指示运行自承载集成运行时的虚拟机与 Microsoft Purview 受管理存储帐户或配置的事件中心之间存在连接或名称解析相关问题。

解决方法

验证运行自承载集成运行时的 VM 与 Microsoft Purview 受管理 blob 队列或配置的事件中心之间通过端口 443 和专用 IP 地址的名称解析是否成功(上述步骤 8)。

问题

运行新扫描时,可能会收到以下错误消息:

message: Unable to setup config overrides for this scan. Exception:'Type=Microsoft.WindowsAzure.Storage.StorageException,Message=The remote server returned an error: (404) Not Found.,Source=Microsoft.WindowsAzure.Storage,StackTrace= at Microsoft.WindowsAzure.Storage.Core.Executor.Executor.EndExecuteAsync[T](IAsyncResult result)

原因

这可能指示运行的自承载集成运行时的版本较旧。 需要使用 5.9.7885.3 或更高版本的自承载集成运行时。

解决方法

将自承载集成运行时升级到 5.9.7885.3 版。

问题

带有专用终结点的 Microsoft Purview 帐户部署在部署期间因 Azure Policy 验证错误失败。

原因

此错误表明 Azure 订阅中存在的现有 Azure Policy 分配可能会阻止部署任何所需 Azure 资源。

解决

查看现有 Azure Policy 分配,确保在 Azure 订阅中允许部署以下 Azure 资源。

注意

根据自己的方案,可能需要部署以下一个或多个 Azure 资源类型:

  • Microsoft Purview (Microsoft.Purview/Accounts)
  • 专用终结点 (Microsoft.Network/privateEndpoints)
  • 专用 DNS 区域 (Microsoft.Network/privateDnsZones)
  • 事件中心命名空间 (Microsoft.EventHub/namespaces)
  • 存储帐户 (Microsoft.Storage/storageAccounts)

问题

无权访问此 Microsoft Purview 帐户。 此 Microsoft Purview 帐户位于专用终结点后面。 从为 Microsoft Purview 帐户的专用终结点配置的虚拟网络中的客户端访问该帐户。

原因

用户尝试从公共终结点或使用“公用网络访问”设置为“拒绝”的 Microsoft Purview 公共终结点连接到 Microsoft Purview。

解决方法

在这种情况下,若要打开 Microsoft Purview 治理门户,请使用在 Microsoft Purview 治理门户专用终结点所在的虚拟网络中部署的计算机,或者使用一台已连接到允许混合连接的企业网络的 VM。