Risoluzione dei problemi di configurazione dell'endpoint privato per gli account Microsoft Purview
Questa guida riepiloga le limitazioni note relative all'uso di endpoint privati per Microsoft Purview e fornisce un elenco di passaggi e soluzioni per la risoluzione di alcuni dei problemi rilevanti più comuni.
Limitazioni note
- Attualmente non sono supportati endpoint privati di inserimento che funzionano con le origini AWS.
- L'analisi di Più origini di Azure usando il runtime di integrazione self-hosted non è supportata.
- L'uso del runtime di integrazione di Azure per analizzare le origini dati dietro l'endpoint privato non è supportato.
- Gli endpoint privati di inserimento possono essere creati tramite l'esperienza del portale di governance di Microsoft Purview descritta nei passaggi qui. Non possono essere creati dal centro collegamento privato.
- La creazione di un record DNS per gli endpoint privati di inserimento all'interno delle zone DNS di Azure esistenti, mentre le zone DNS privato di Azure si trovano in una sottoscrizione diversa rispetto agli endpoint privati non è supportata tramite l'esperienza del portale di governance di Microsoft Purview. Un record può essere aggiunto manualmente nelle zone DNS di destinazione nell'altra sottoscrizione.
- Se si configura lo spazio dei nomi di Hub eventi o si abilita uno spazio dei nomi di Hub eventi gestito dopo la distribuzione di un endpoint privato di inserimento, sarà necessario ridistribuire l'endpoint privato di inserimento.
- Il computer runtime di integrazione self-hosted deve essere distribuito nella stessa rete virtuale o in una rete virtuale con peering in cui vengono distribuiti l'account Microsoft Purview e gli endpoint privati di inserimento.
- Per limitazioni correlate al servizio collegamento privato, vedere limiti collegamento privato di Azure.
- Attualmente, le istanze di Microsoft Purview che usano il nuovo portale di Microsoft Purview possono usare solo endpoint privati di inserimento.
Procedura consigliata per la risoluzione dei problemi
Dopo aver distribuito gli endpoint privati per l'account Microsoft Purview, esaminare l'ambiente Azure per assicurarsi che le risorse degli endpoint privati vengano distribuite correttamente. A seconda dello scenario, è necessario distribuire uno o più degli endpoint privati di Azure seguenti nella sottoscrizione di Azure:
Endpoint privato Endpoint privato assegnato a Esempio Account Microsoft Purview Account mypurview-private-account Portale Microsoft Purview Account mypurview-private-portal Ingestione Archiviazione (BLOB)* mypurview-ingestion-BLOB Ingestione Archiviazione (coda)* mypurview-ingestion-queue Ingestione Spazio dei nomi di Hub eventi** mypurview-ingestion-namespace Nota
*Se l'account è stato creato prima del 15 dicembre 2023, l'endpoint viene distribuito nell'account di archiviazione gestito. Se è stato creato dopo il 10 novembre (o distribuito con la versione API 2023-05-01-preview in poi), punta all'archiviazione di inserimento.
**L'account ha uno spazio dei nomi di Hub eventi associato solo se è configurato per le notifiche kafka o creato prima del 15 dicembre 2022.
Se l'endpoint privato del portale viene distribuito, assicurarsi di distribuire anche l'endpoint privato dell'account.
Se l'endpoint privato del portale viene distribuito e l'accesso alla rete pubblica è impostato su deny nell'account Microsoft Purview, assicurarsi di avviare il portale di governance di Microsoft Purview dalla rete interna.
- Per verificare la risoluzione corretta dei nomi, è possibile usare uno strumento da riga di comando NSlookup.exe per eseguire query
web.purview.azure.com
su . Il risultato deve restituire un indirizzo IP privato appartenente all'endpoint privato del portale. - Per verificare la connettività di rete, è possibile usare qualsiasi strumento di test di rete per testare la connettività in uscita all'endpoint
web.purview.azure.com
alla porta 443. La connessione deve avere esito positivo.
- Per verificare la risoluzione corretta dei nomi, è possibile usare uno strumento da riga di comando NSlookup.exe per eseguire query
Se si usano le zone DNS privato di Azure, assicurarsi che le zone DNS di Azure necessarie siano distribuite e che sia presente un record DNS (A) per ogni endpoint privato.
Testare la connettività di rete e la risoluzione dei nomi dal computer di gestione all'endpoint Microsoft Purview e all'URL Web purview. Se vengono distribuiti endpoint privati dell'account e del portale, gli endpoint devono essere risolti tramite indirizzi IP privati.
Test-NetConnection -ComputerName web.purview.azure.com -Port 443
Esempio di connessione in uscita riuscita tramite indirizzo IP privato:
ComputerName : web.purview.azure.com RemoteAddress : 10.9.1.7 RemotePort : 443 InterfaceAlias : Ethernet 2 SourceAddress : 10.9.0.10 TcpTestSucceeded : True
Test-NetConnection -ComputerName purview-test01.purview.azure.com -Port 443
Esempio di connessione in uscita riuscita tramite indirizzo IP privato:
ComputerName : purview-test01.purview.azure.com RemoteAddress : 10.9.1.8 RemotePort : 443 InterfaceAlias : Ethernet 2 SourceAddress : 10.9.0.10 TcpTestSucceeded : True
Se l'account Microsoft Purview è stato creato dopo il 18 agosto 2021, assicurarsi di scaricare e installare la versione più recente del runtime di integrazione self-hosted dall'Area download Microsoft.
Dalla macchina virtuale di runtime di integrazione self-hosted, testare la connettività di rete e la risoluzione dei nomi all'endpoint di Microsoft Purview.
Dal runtime di integrazione self-hosted, testare la connettività di rete e la risoluzione dei nomi alle risorse gestite di Microsoft Purview, ad esempio la coda BLOB, e alle risorse secondarie, come Hub eventi, fino alla porta 443 e agli indirizzi IP privati. Se sono necessari, sostituire l'account di archiviazione gestito e lo spazio dei nomi di Hub eventi con i nomi delle risorse corrispondenti.
Test-NetConnection -ComputerName `scansoutdeastasiaocvseab`.blob.core.windows.net -Port 443
Esempio di connessione in uscita riuscita all'archiviazione BLOB gestita tramite indirizzo IP privato:
ComputerName : scansoutdeastasiaocvseab.blob.core.windows.net RemoteAddress : 10.15.1.6 RemotePort : 443 InterfaceAlias : Ethernet 2 SourceAddress : 10.15.0.4 TcpTestSucceeded : True
Test-NetConnection -ComputerName `scansoutdeastasiaocvseab`.queue.core.windows.net -Port 443
Esempio di connessione in uscita riuscita all'archiviazione code gestita tramite indirizzo IP privato:
ComputerName : scansoutdeastasiaocvseab.blob.core.windows.net RemoteAddress : 10.15.1.5 RemotePort : 443 InterfaceAlias : Ethernet 2 SourceAddress : 10.15.0.4 TcpTestSucceeded : True
Test-NetConnection -ComputerName `Atlas-1225cae9-d651-4039-86a0-b43231a17a4b`.servicebus.windows.net -Port 443
Esempio di connessione in uscita riuscita allo spazio dei nomi di Hub eventi tramite indirizzo IP privato:
ComputerName : Atlas-1225cae9-d651-4039-86a0-b43231a17a4b.servicebus.windows.net RemoteAddress : 10.15.1.4 RemotePort : 443 InterfaceAlias : Ethernet 2 SourceAddress : 10.15.0.4 TcpTestSucceeded : True
Dalla rete in cui si trova l'origine dati, testare la connettività di rete e la risoluzione dei nomi all'endpoint di Microsoft Purview e agli endpoint delle risorse gestiti o configurati.
Se le origini dati si trovano nella rete locale, esaminare la configurazione del server d'inoltro DNS. Risoluzione dei nomi di test dalla stessa rete in cui si trovano le origini dati al runtime di integrazione self-hosted, agli endpoint di Microsoft Purview e alle risorse gestite o configurate. Si prevede che ottenga un indirizzo IP privato valido dalla query DNS per ogni endpoint.
Per altre informazioni, vedere Carichi di lavoro di rete virtuale senza server DNS personalizzato e carichi di lavoro locali che usano scenari di server d'inoltro DNS nella configurazione DNS dell'endpoint privato di Azure.
Se le macchine virtuali del runtime di integrazione self-hosted e del computer di gestione vengono distribuite nella rete locale e si è configurato il server d'inoltro DNS nell'ambiente, verificare le impostazioni DNS e di rete nell'ambiente.
Se viene usato l'endpoint privato di inserimento, assicurarsi che il runtime di integrazione self-hosted sia registrato correttamente all'interno dell'account Microsoft Purview e che sia in esecuzione sia all'interno della macchina virtuale di runtime di integrazione self-hosted che nel portale di governance di Microsoft Purview .
Errori e messaggi comuni
Problema
Durante l'esecuzione di un'analisi, è possibile ricevere il messaggio di errore seguente:
Internal system error. Please contact support with correlationId:xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx System Error, contact support.
Causa
Può essere un'indicazione dei problemi relativi alla connettività o alla risoluzione dei nomi tra la macchina virtuale che esegue il runtime di integrazione self-hosted e l'account di archiviazione gestito di Microsoft Purview o hub eventi configurato.
Risoluzione
Verificare se la risoluzione dei nomi ha esito positivo tra la macchina virtuale che esegue il Self-Hosted Integration Runtime e la coda BLOB gestita di Microsoft Purview o gli hub eventi configurati tramite la porta 443 e gli indirizzi IP privati (passaggio 8 precedente).
Problema
Quando si esegue una nuova analisi, è possibile ricevere il messaggio di errore seguente:
message: Unable to setup config overrides for this scan. Exception:'Type=Microsoft.WindowsAzure.Storage.StorageException,Message=The remote server returned an error: (404) Not Found.,Source=Microsoft.WindowsAzure.Storage,StackTrace= at Microsoft.WindowsAzure.Storage.Core.Executor.Executor.EndExecuteAsync[T](IAsyncResult result)
Causa
Può essere un'indicazione dell'esecuzione di una versione precedente del runtime di integrazione self-hosted. Sarà necessario usare il runtime di integrazione self-hosted versione 5.9.7885.3 o successiva.
Risoluzione
Aggiornare il runtime di integrazione self-hosted alla versione 5.9.7885.3.
Problema
L'account Microsoft Purview con distribuzione di endpoint privati non è riuscito con Criteri di Azure errore di convalida durante la distribuzione.
Causa
Questo errore suggerisce che potrebbe essere presente un'assegnazione di Criteri di Azure esistente nella sottoscrizione di Azure che impedisce la distribuzione di una delle risorse di Azure necessarie.
Risoluzione
Esaminare le assegnazioni di Criteri di Azure esistenti e assicurarsi che la distribuzione delle risorse di Azure seguenti sia consentita nella sottoscrizione di Azure.
Nota
A seconda dello scenario, potrebbe essere necessario distribuire uno o più dei tipi di risorse di Azure seguenti:
- Microsoft Purview (Microsoft.Purview/Accounts)
- Endpoint privato (Microsoft.Network/privateEndpoints)
- zone DNS privato (Microsoft.Network/privateDnsZones)
- Spazio dei nomi dell'hub eventi (Microsoft.EventHub/namespaces)
- Account di archiviazione (Microsoft.Storage/storageAccounts)
Problema
Non autorizzato ad accedere a questo account Microsoft Purview. Questo account Microsoft Purview si trova dietro un endpoint privato. Accedere all'account da un client nella stessa rete virtuale (rete virtuale) configurata per l'endpoint privato dell'account Microsoft Purview.
Causa
L'utente sta provando a connettersi a Microsoft Purview da un endpoint pubblico o usando gli endpoint pubblici di Microsoft Purview in cui l'accesso alla rete pubblica è impostato su Nega.
Risoluzione
In questo caso, per aprire il portale di governance di Microsoft Purview, usare un computer distribuito nella stessa rete virtuale dell'endpoint privato del portale di governance di Microsoft Purview o usare una macchina virtuale connessa a CorpNet in cui è consentita la connettività ibrida.
Problema
È possibile ricevere il messaggio di errore seguente durante l'analisi di un server SQL usando un runtime di integrazione self-hosted:
Message=This implementation is not part of the Windows Platform FIPS validated cryptographic algorithms
Causa
Il computer di runtime di integrazione self-hosted ha abilitato la modalità FIPS. Federal Information Processing Standards (FIPS) definisce un determinato set di algoritmi di crittografia che possono essere usati. Quando la modalità FIPS è abilitata nel computer, alcune classi di crittografia da cui dipendono i processi richiamati vengono bloccate in alcuni scenari.
Risoluzione
Disabilitare la modalità FIPS nel server di integrazione self-hosted.
Passaggi successivi
Se il problema non è elencato in questo articolo o non è possibile risolverlo, ottenere supporto visitando uno dei canali seguenti:
- Ottenere risposte dagli esperti tramite Microsoft Q&A.
- Connettersi con @AzureSupport. Questa risorsa ufficiale di Microsoft Azure su Twitter consente di migliorare l'esperienza dei clienti connettendo la community di Azure alle risposte, al supporto e agli esperti corretti.
- Se è ancora necessaria assistenza, passare al sito supporto tecnico di Azure e selezionare Invia una richiesta di supporto.