Udostępnij za pośrednictwem


Rozwiązywanie problemów dotyczących połączenia z projektu z prywatnym punktem końcowym

Ważne

Elementy oznaczone (wersja zapoznawcza) w tym artykule są obecnie dostępne w publicznej wersji zapoznawczej. Ta wersja zapoznawcza jest udostępniana bez umowy dotyczącej poziomu usług i nie zalecamy korzystania z niej w przypadku obciążeń produkcyjnych. Niektóre funkcje mogą być nieobsługiwane lub ograniczone. Aby uzyskać więcej informacji, zobacz Uzupełniające warunki korzystania z wersji zapoznawczych platformy Microsoft Azure.

Podczas nawiązywania połączenia z projektem skonfigurowanym przy użyciu prywatnego punktu końcowego może wystąpić komunikat 403 lub komunikat informujący, że dostęp jest zabroniony. Skorzystaj z informacji w tym artykule, aby sprawdzić typowe problemy z konfiguracją, które mogą powodować ten błąd.

Bezpieczne nawiązywanie połączenia z projektem

Aby nawiązać połączenie z projektem zabezpieczonym za siecią wirtualną, użyj jednej z następujących metod:

  • Brama sieci VPN platformy Azure — łączy sieci lokalne z siecią wirtualną za pośrednictwem połączenia prywatnego. Połączenie odbywa się za pośrednictwem publicznego Internetu. Istnieją dwa typy bram sieci VPN, których można użyć:

    • Punkt-lokacja: każdy komputer kliencki używa klienta sieci VPN do nawiązywania połączenia z siecią wirtualną.
    • Lokacja-lokacja: urządzenie sieci VPN łączy sieć wirtualną z siecią lokalną.
  • ExpressRoute — łączy sieci lokalne z chmurą za pośrednictwem połączenia prywatnego. Połączenie jest wykonywane przy użyciu dostawcy łączności.

  • Azure Bastion — w tym scenariuszu tworzysz maszynę wirtualną platformy Azure (czasami nazywaną serwerem przesiadkowym) w sieci wirtualnej. Następnie połączysz się z maszyną wirtualną przy użyciu usługi Azure Bastion. Usługa Bastion umożliwia nawiązywanie połączenia z maszyną wirtualną przy użyciu sesji protokołu RDP lub SSH z lokalnej przeglądarki internetowej. Następnie użyjesz pola przesiadkowego jako środowiska programistycznego. Ponieważ znajduje się ona wewnątrz sieci wirtualnej, może ona uzyskiwać bezpośredni dostęp do obszaru roboczego.

Konfiguracja DNS

Kroki rozwiązywania problemów z konfiguracją DNS różnią się w zależności od tego, czy używasz usługi Azure DNS, czy niestandardowej usługi DNS. Wykonaj następujące kroki, aby określić, którego z nich używasz:

  1. W witrynie Azure Portal wybierz zasób prywatnego punktu końcowego dla rozwiązania Azure AI Foundry. Jeśli nie pamiętasz nazwy, wybierz zasób usługi Azure AI Foundry, sieć, połączenia prywatnego punktu końcowego, a następnie wybierz link Prywatny punkt końcowy.

    Zrzut ekranu przedstawiający połączenia prywatnego punktu końcowego dla zasobu.

  2. Na stronie Przegląd wybierz link Interfejs sieciowy.

    Zrzut ekranu przedstawiający przegląd prywatnego punktu końcowego z wyróżnionym linkiem interfejsu sieciowego.

  3. W obszarze Ustawienia wybierz pozycję Konfiguracje adresów IP, a następnie wybierz link Sieć wirtualna.

    Zrzut ekranu przedstawiający konfigurację adresu IP z wyróżnionym linkiem sieci wirtualnej.

  4. W sekcji Ustawienia po lewej stronie wybierz wpis serwery DNS.

    Zrzut ekranu przedstawiający konfigurację serwerów DNS.

    • Jeśli ta wartość to Default (azure-provided), sieć wirtualna korzysta z usługi Azure DNS. Przejdź do sekcji rozwiązywania problemów z usługą Azure DNS.
    • Jeśli na liście znajduje się inny adres IP, sieć wirtualna korzysta z niestandardowego rozwiązania DNS. Przejdź do sekcji Rozwiązywanie problemów z niestandardowym systemem DNS.

Rozwiązywanie problemów z niestandardowym systemem DNS

Wykonaj następujące kroki, aby sprawdzić, czy niestandardowe rozwiązanie DNS prawidłowo rozpozna nazwy adresów IP:

  1. Na maszynie wirtualnej, laptopie, komputerze stacjonarnym lub innym zasobie obliczeniowym, który ma działające połączenie z prywatnym punktem końcowym, otwórz przeglądarkę internetową. W przeglądarce użyj adresu URL dla Twojego regionu świadczenia platformy Azure:

    Region platformy Azure Adres URL
    Azure Government https://portal.azure.us/?feature.privateendpointmanagedns=false
    Platforma Microsoft Azure obsługiwana przez firmę 21Vianet https://portal.azure.cn/?feature.privateendpointmanagedns=false
    Wszystkie inne regiony: https://portal.azure.com/?feature.privateendpointmanagedns=false
  2. W portalu wybierz prywatny punkt końcowy dla projektu. W sekcji Konfiguracja DNS utwórz listę nazw FQDN wymienionych dla prywatnego punktu końcowego.

    Zrzut ekranu przedstawiający prywatny punkt końcowy z wyróżnionymi niestandardowymi ustawieniami DNS.

  3. Otwórz wiersz polecenia, program PowerShell lub inny wiersz polecenia i uruchom następujące polecenie dla każdej nazwy FQDN zwróconej w poprzednim kroku. Za każdym razem, gdy uruchamiasz polecenie, sprawdź, czy zwrócony adres IP jest zgodny z adresem IP wymienionym w portalu dla nazwy FQDN:

    nslookup <fqdn>

    Na przykład uruchomienie polecenia nslookup df33e049-7c88-4953-8939-aae374adbef9.workspace.eastus2.api.azureml.ms zwróci wartość podobną do następującego tekstu:

    Server: yourdnsserver
    Address: yourdnsserver-IP-address
    
    Name:   df33e049-7c88-4953-8939-aae374adbef9.workspace.eastus2.api.azureml.ms
    Address: 10.0.0.4
    
  4. nslookup Jeśli polecenie zwraca błąd lub zwraca inny adres IP niż wyświetlany w portalu, niestandardowe rozwiązanie DNS nie jest poprawnie skonfigurowane.

Rozwiązywanie problemów z usługą Azure DNS

W przypadku korzystania z usługi Azure DNS do rozpoznawania nazw wykonaj następujące kroki, aby sprawdzić, czy integracja Prywatna strefa DNS jest poprawnie skonfigurowana:

  1. W prywatnym punkcie końcowym wybierz pozycję Konfiguracja DNS. Dla każdego wpisu w kolumnie Prywatna strefa DNS strefy powinna również znajdować się wpis w kolumnie grupy strefy DNS.

    Zrzut ekranu przedstawiający konfigurację DNS z wyróżnioną strefą i grupą Prywatna strefa DNS.

    • Jeśli istnieje wpis strefy Prywatna strefa DNS, ale nie ma wpisu grupy strefy DNS, usuń i ponownie utwórz prywatny punkt końcowy. Podczas ponownego tworzenia prywatnego punktu końcowego włącz integrację strefy Prywatna strefa DNS.

    • Jeśli grupa stref DNS nie jest pusta, wybierz link dla wpisu strefy Prywatna strefa DNS.

      W strefie Prywatna strefa DNS wybierz pozycję Łącza sieci wirtualnej. Powinien istnieć link do sieci wirtualnej. Jeśli go nie ma, usuń i utwórz ponownie prywatny punkt końcowy. Podczas ponownego tworzenia wybierz strefę Prywatna strefa DNS połączoną z siecią wirtualną lub utwórz nową, połączoną z nią strefę.

      Zrzut ekranu przedstawiający łącza sieci wirtualnej dla strefy Prywatna strefa DNS.

  2. Powtórz poprzednie kroki dla pozostałych wpisów strefy Prywatna strefa DNS.

Konfiguracja przeglądarki (DNS za pośrednictwem protokołu HTTPS)

Sprawdź, czy usługa DNS za pośrednictwem protokołu HTTP jest włączona w przeglądarce internetowej. Usługa DNS za pośrednictwem protokołu HTTP może uniemożliwić usłudze Azure DNS odpowiadanie przy użyciu adresu IP prywatnego punktu końcowego.

Konfiguracja serwera proxy

Jeśli używasz serwera proxy, może to uniemożliwić komunikację z zabezpieczonym projektem. Aby przetestować, użyj jednej z następujących opcji:

  • Tymczasowo wyłącz ustawienie serwera proxy i sprawdź, czy możesz nawiązać połączenie.
  • Utwórz plik automatycznej konfiguracji serwera proxy (PAC), który umożliwia bezpośredni dostęp do nazw FQDN wymienionych w prywatnym punkcie końcowym. Powinna również zezwalać na bezpośredni dostęp do nazwy FQDN dla wszystkich wystąpień obliczeniowych.
  • Skonfiguruj serwer proxy do przekazywania żądań DNS do usługi Azure DNS.
  • Upewnij się, że serwer proxy zezwala na połączenia z interfejsami API AML, takimi jak ".<region.api.azureml.ms>" i ".instances.azureml.ms"

Rozwiązywanie problemów z konfiguracjami nawiązywania połączenia z magazynem

Podczas tworzenia projektu wiele połączeń z usługą Azure Storage jest tworzonych automatycznie na potrzeby scenariuszy przekazywania danych i magazynu artefaktów, w tym przepływu monitu. Jeśli skojarzone z centrum konto usługi Azure Storage ma ustawiony dostęp do sieci publicznej na wartość "Wyłączone", może wystąpić opóźnienie w tworzeniu tych połączeń magazynu.

Spróbuj wykonać następujące kroki, aby rozwiązać problemy:

  1. W witrynie Azure Portal sprawdź ustawienia sieciowe konta magazynu skojarzonego z centrum.
  • Jeśli dostęp do sieci publicznej jest ustawiony na Włączone z wybranych sieci wirtualnych i adresów IP, upewnij się, że odpowiednie zakresy adresów IP są dodawane w celu uzyskania dostępu do konta magazynu.
  • Jeśli dostęp do sieci publicznej ma wartość Wyłączone, upewnij się, że masz prywatny punkt końcowy skonfigurowany z sieci wirtualnej platformy Azure do konta magazynu z zasobem podrzędnym Target jako obiekt blob. Ponadto należy przyznać rolę Czytelnik dla prywatnego punktu końcowego konta magazynu do tożsamości zarządzanej.
  1. W witrynie Azure Portal przejdź do centrum Azure AI Foundry. Upewnij się, że zarządzana sieć wirtualna jest aprowizowana, a wychodzący prywatny punkt końcowy do magazynu obiektów blob jest aktywny. Aby uzyskać więcej informacji na temat aprowizacji zarządzanej sieci wirtualnej, zobacz How to configure a managed network for Azure AI Foundry hubs (Jak skonfigurować sieć zarządzaną dla centrów usługi Azure AI Foundry).
  2. Przejdź do obszaru Azure AI Foundry > ustawień projektu > .
  3. Odśwież stronę. Należy utworzyć wiele połączeń, w tym "workspaceblobstore".