Compartir a través de

Solución de problemas de conexión con un proyecto con un punto de conexión privado

  • Artículo

Importante

Los elementos marcados (versión preliminar) en este artículo se encuentran actualmente en versión preliminar pública. Esta versión preliminar se ofrece sin acuerdo de nivel de servicio y no se recomienda para las cargas de trabajo de producción. Es posible que algunas características no sean compatibles o que tengan sus funcionalidades limitadas. Para más información, consulte Términos de uso complementarios de las Versiones Preliminares de Microsoft Azure.

Al conectarse a un proyecto que se ha configurado con un punto de conexión privado, es posible que encuentres un mensaje 403 o un mensaje que indique que el acceso está prohibido. Use la información de este artículo para comprobar si hay problemas comunes de configuración que puedan causar este error.

Conexión segura al proyecto

Para conectarse a un proyecto protegido en una red virtual, use uno de los métodos siguientes:

  • Azure VPN Gateway: conecta redes locales a la VNet mediante una conexión privada. La conexión se realiza a través de la red pública de Internet. Hay dos tipos de puertas de enlace de VPN que puede usar:

    • De punto a sitio: cada equipo cliente usa un cliente VPN para conectarse a la red virtual.
    • De sitio a sitio: un dispositivo VPN conecta la red virtual a la red local.

  • ExpressRoute: conecta redes locales a la nube mediante una conexión privada. La conexión se realiza mediante un proveedor de conectividad.

  • Azure Bastion: en este escenario, se crea una máquina virtual de Azure (a veces denominada "jump box") dentro de la VNet. A continuación, se conecta a la máquina virtual mediante Azure Bastion. Bastion permite conectarse a la máquina virtual mediante una sesión RDP o SSH desde el explorador web local. A continuación, use la jump box como entorno de desarrollo. Puesto que está dentro de la VNet, puede acceder directamente al área de trabajo.

Configuración de DNS

Los pasos de solución de problemas para la configuración de DNS difieren en función de si usa Azure DNS o un DNS personalizado. Siga estos pasos para determinar cuál está usando:

  1. En Azure Portal, selecciona el recurso de punto de conexión privado para Azure AI Studio. Si no recuerdas el nombre, selecciona el recurso de Azure AI Studio, Redes, Conexiones de punto de conexión privado y, a continuación, selecciona el vínculo Punto de conexión privado.

    Captura de pantalla de las conexiones de punto de conexión privado para el recurso.

  2. En la página Información general, seleccione el vínculo Interfaz de red.

    Captura de pantalla de la información general del punto de conexión privado con el vínculo de interfaz de red resaltado.

  3. En Configuración, seleccione Configuraciones de IP y, a continuación, seleccione el vínculo Red virtual.

    Captura de pantalla de la configuración de IP con el vínculo de red virtual resaltado.

  4. En la sección Configuración de la izquierda de la página, seleccione la entrada Servidores DNS.

    Captura de pantalla de la configuración de los servidores DNS.

Solución de problemas de DNS personalizado

Siga estos pasos para comprobar si la solución de DNS personalizado está resolviendo correctamente los nombres en direcciones IP:

  1. Desde una máquina virtual, un portátil, un escritorio u otro recurso de proceso que tenga una conexión de trabajo al punto de conexión privado, abra un explorador web. En el explorador, use la dirección URL de la región de Azure:

    Región de Azure Resolución
    Azure Government https://portal.azure.us/?feature.privateendpointmanagedns=false
    Microsoft Azure operado por 21Vianet https://portal.azure.cn/?feature.privateendpointmanagedns=false
    Todas las demás regiones https://portal.azure.com/?feature.privateendpointmanagedns=false

  2. En el portal, selecciona el punto de conexión privado del proyecto. En la sección Configuración de DNS, haz una lista de FQDN enumerados para el punto de conexión privado.

    Captura de pantalla del punto de conexión privado con la configuración de DNS personalizada resaltada.

  3. Abra un símbolo del sistema, PowerShell u otra línea de comandos y ejecute el siguiente comando para cada FQDN devuelto desde el paso anterior. Cada vez que ejecute el comando, compruebe que la dirección IP devuelta coincida con la dirección IP que aparece en el portal para el FQDN:

    nslookup <fqdn>

    Por ejemplo, al ejecutar el comando nslookup df33e049-7c88-4953-8939-aae374adbef9.workspace.eastus2.api.azureml.ms, se devolvería un valor similar al texto siguiente:

    Server: yourdnsserver
Address: yourdnsserver-IP-address

Name:   df33e049-7c88-4953-8939-aae374adbef9.workspace.eastus2.api.azureml.ms
Address: 10.0.0.4

  4. Si el comando nslookup devuelve un error o devuelve una dirección IP diferente de la que se muestra en el portal, tu solución de DNS personalizada no está configurada correctamente.

Solución de problemas de Azure DNS

Al usar Azure DNS para la resolución de nombres, siga estos pasos para comprobar que la integración de DNS privado esté configurada correctamente:

  1. En el punto de conexión privado, seleccione Configuración de DNS. Para cada entrada de la columna Zona DNS privada, también debe haber una entrada en la columna Grupo de zonas DNS.

    Captura de pantalla de la configuración de DNS con la zona DNS privada y el grupo resaltados.

    • Si hay una entrada de zona DNS privada, pero no hay ninguna entrada de grupo de zonas DNS, elimine y vuelva a crear el punto de conexión privado. Al volver a crear el punto de conexión privado, habilite la integración de zona DNS privada.

    • Si el grupo de zonas DNS no está vacío, seleccione el vínculo de la entrada Zona DNS privada.

      En la zona DNS privada, seleccione Vínculos de red virtual. Debe haber un vínculo a la red virtual. Si no hay ninguno, elimine y vuelva a crear el punto de conexión privado. Al volver a crearlo, seleccione una zona DNS privado vinculada a la red virtual o cree una nueva que esté vinculada a ella.

      Captura de pantalla de los vínculos de red virtual para la zona DNS privada.

  2. Repita los pasos anteriores para el resto de las entradas de zona DNS privada.

Configuración del explorador (DNS sobre HTTPS)

Compruebe si está habilitado DNS sobre HTTP en el explorador web. DNS sobre HTTP puede impedir que Azure DNS responda con la dirección IP del punto de conexión privado.

  • Mozilla Firefox: para más información, consulte Deshabilitación de DNS sobre HTTPS en Firefox.
  • Microsoft Edge:

    1. En Edge, seleccione ... y, luego, elija Configuración.

    2. En la configuración, busque DNS y deshabilite Usar DNS seguro para especificar cómo buscar la dirección de red de los sitios web.

      Captura de pantalla del uso de la configuración de DNS segura en Microsoft Edge.

Configuración de proxy

Si usas un proxy, este puede impedir la comunicación con un proyecto protegida. Para probarlo, utilice una de las siguientes opciones:

  • Deshabilite temporalmente la configuración del proxy y compruebe si puede conectarse.
  • Cree un archivo de configuración automática de proxy (PAC) que permita el acceso directo a los FQDN enumerados en el punto de conexión privado. También debe permitir el acceso directo al FQDN de cualquier instancia de proceso.
  • Configure el servidor proxy para que reenvíe las solicitudes DNS a Azure DNS.
  • Asegúrese de que el proxy permite las conexiones a las API de AML, como ".<región>.api.azureml.ms" y ".instances.azureml.ms"

Solución de problemas de configuraciones para conectarse al almacenamiento

Al crear un proyecto, se crean automáticamente varias conexiones a Azure Storage para escenarios de carga de datos y almacenamiento de artefactos, incluido el flujo de avisos. Cuando la cuenta de Azure Storage asociada al centro tiene acceso a la red pública establecida en "Deshabilitado", puede haber un retraso en la creación de estas conexiones de almacenamiento.

Pruebe los siguientes pasos para solucionar problemas:

  1. En Azure Portal, compruebe la configuración de red de la cuenta de almacenamiento asociada al centro.
  • Si el acceso a la red pública está establecido en Habilitado desde redes virtuales seleccionadas y direcciones IP, asegúrese de que se agregan los intervalos de direcciones IP correctos para acceder a la cuenta de almacenamiento.
  • Si el acceso a la red pública está establecido en Deshabilitado, asegúrese de que tiene un punto de conexión privado configurado desde la red virtual de Azure a la cuenta de almacenamiento con subrecurso de destino como blob. Además, debe conceder el rol Lector para el punto de conexión privado de la cuenta de almacenamiento a la identidad administrada.
  1. En Azure Portal, vaya al centro de AI Studio. Asegúrese de que la red virtual administrada está aprovisionada y que el punto de conexión privado saliente en Blob Storage esté activo. Para más información sobre el aprovisionamiento de la red virtual administrada, consulte Configuración de una red administrada para centros de Estudio de IA de Azure.
  2. Vaya a AI Studio > su proyecto > configuración del proyecto.
  3. Actualice la página. Se debe crear una serie de conexiones, entre ellas "workspaceblobstore".