Como usar seu workspace com um servidor DNS personalizado

Ao usar um Workspace do Azure Machine Learning (incluindo hubs de IA do Azure) com um ponto de extremidade privado, há várias maneiras de lidar com a resolução de nomes DNS. Por padrão, o Azure manipula automaticamente a resolução de nomes para seu espaço de trabalho e seu ponto de extremidade privado. Ao usar seu próprio servidor DNS personalizado como alternativa, crie manualmente entradas DNS ou use encaminhadores condicionais para o espaço de trabalho.

Importante

Este artigo mostra como localizar os nomes de domínio totalmente qualificados (FQDN) e os endereços IP para essas entradas se você quiser registrar manualmente os registros DNS na sua solução DNS. Além disso, este artigo fornece recomendações de arquitetura sobre como configurar sua solução DNS personalizada para decidir automaticamente os FQDNs para os endereços IP corretos. Este artigo não fornece informações sobre como configurar os registros DNS para esses itens. Consulte a documentação do software DNS para obter informações sobre como adicionar registros.

Pré-requisitos

• Uma rede virtual do Azure que use seu próprio servidor DNS.

• Um workspace do Azure Machine Learning com um ponto de extremidade privado, incluindo workspaces de hub, como os usados pelo Azure AI Foundry. Para saber mais, consulte Criar um espaço de trabalho do Azure Machine Learning.

• Se os recursos de dependência do workspace forem protegidos com uma rede virtual do Azure, familiaridade com o artigo Isolamento de rede durante o treinamento e inferência.

• Familiaridade com a configuração de zona DNS do ponto de extremidade privado do Azure

• Familiaridade com o DNS Privado do Azure

• Opcionalmente, a CLI do Azure ou o Azure PowerShell.

Integração do servidor DNS automatizado

Introdução

Há duas arquiteturas comuns para usar a integração automatizada do servidor DNS com o Azure Machine Learning:

• Um servidor DNS hospedado em uma Rede Virtual do Azure.
• Um servidor DNS personalizado hospedado no local, conectado ao Azure Machine Learning por meio do ExpressRoute.

Embora sua arquitetura possa ser diferente dos exemplos, você pode usá-las como um ponto de referência. Ambas as arquiteturas de exemplo fornecem etapas de solução de problemas que podem ajudá-lo a identificar componentes que podem estar configurados incorretamente.

Outra opção é modificar o arquivo hosts no cliente que está se conectando à Rede Virtual do Azure (rede virtual) que contém seu workspace. Para obter mais informações, confira a seção Arquivo de host.

Caminho de resolução de DNS do espaço de trabalho

O acesso a um determinado Workspace do Azure Machine Learning por meio do Link Privado é feito comunicando-se com os seguintes Domínios Totalmente Qualificados (chamados de FQDNs do workspace):

Importante

Se você estiver usando um workspace do hub (incluindo o hub da Fábrica de IA do Azure), terá outras entradas para cada workspace de projeto criado a partir do hub.

Regiões públicas do Azure:

• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.azureml.ms
• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.cert.api.azureml.ms
• <compute instance name>.<region the workspace was created in>.instances.azureml.ms
• <compute instance name>-22.<region the workspace was created in>.instances.azureml.ms – Usado pelo comando az ml compute connect-ssh para conectar-se a computadores em uma rede virtual privada.
• ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.azure.net
• <managed online endpoint name>.<region>.inference.ml.azure.com – usado por pontos de extremidade online gerenciados

Dica

Se você estiver usando um workspace de hub, também haverá os seguintes FQDNs para cada workspace de projeto criado a partir do workspace do hub:

• <project workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.azureml.ms
• <project workspace globally-unique identifier>.workspace.<region the workspace was created in>.cert.api.azureml.ms
• ml-<project workspacename, truncated>-<region>-<project workspace globally-unique identifier>.<region>.notebooks.azure.net

Regiões Microsoft Azure operado pelo Domínio 21Vianet:

• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.cn
• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.cert.api.ml.azure.cn
• <compute instance name>.<region the workspace was created in>.instances.azureml.cn
• <compute instance name>-22.<region the workspace was created in>.instances.azureml.cn – Usado pelo comando az ml compute connect-ssh para conectar-se a computadores em uma rede virtual privada.
• ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.chinacloudapi.cn
• <managed online endpoint name>.<region>.inference.ml.azure.cn – usado por pontos de extremidade online gerenciados

Dica

Se você estiver usando um workspace de hub, também haverá os seguintes FQDNs para cada workspace de projeto criado a partir do workspace do hub:

• <project workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.cn
• <project workspace globally-unique identifier>.workspace.<region the workspace was created in>.cert.api.ml.azure.cn
• ml-<project workspace name, truncated>-<region>-<project workspace globally-unique identifier>.<region>.notebooks.chinacloudapi.cn

Regiões do Azure Governamental nos EUA:

• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.us
• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.cert.api.ml.azure.us
• <compute instance name>.<region the workspace was created in>.instances.azureml.us
• <compute instance name>-22.<region the workspace was created in>.instances.azureml.us – Usado pelo comando az ml compute connect-ssh para conectar-se a computadores em uma rede virtual privada.
• ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.usgovcloudapi.net
• <managed online endpoint name>.<region>.inference.ml.azure.us – usado por pontos de extremidade online gerenciados

Dica

Se você estiver usando um workspace de hub, também haverá os seguintes FQDNs para cada workspace de projeto criado a partir do workspace do hub:

• <project workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.us
• <project workspace globally-unique identifier>.workspace.<region the workspace was created in>.cert.api.ml.azure.us
• ml-<project workspace name, truncated>-<region>-<project workspace globally-unique identifier>.<region>.notebooks.usgovcloudapi.net

Os domínios totalmente qualificados são resolvidos para os seguintes CNAMEs (Nomes Canônicos) chamados FQDNs de Link Privado do espaço de trabalho:

Regiões públicas do Azure:

• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.privatelink.api.azureml.ms
• ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.privatelink.notebooks.azure.net
• <managed online endpoint name>.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.azureml.ms – usado por pontos de extremidade online gerenciados

Regiões Microsoft Azure operado pela 21Vianet:

• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.privatelink.api.ml.azure.cn
• ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.privatelink.notebooks.chinacloudapi.cn
• <managed online endpoint name>.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.ml.azure.cn – usado por pontos de extremidade online gerenciados

Regiões do Azure Governamental nos EUA:

• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.privatelink.api.ml.azure.us
• ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.privatelink.notebooks.usgovcloudapi.net
• <managed online endpoint name>.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.ml.azure.us – usado por pontos de extremidade online gerenciados

Os FQDNs apontam para os endereços IP do espaço de trabalho do Azure Machine Learning na região. No entanto, a resolução dos FQDNs de link privado do espaço de trabalho pode ser substituída usando-se um servidor DNS personalizado hospedado na rede virtual. Para obter um exemplo dessa arquitetura, confira o exemplo de servidor DNS personalizado hospedado em uma rede virtual. Para workspaces de hub e projeto, os FQDNs de todos os workspaces de projeto são resolvidos para o endereço IP do workspace do hub.

Observação

Os pontos de extremidade online gerenciados compartilham o ponto de extremidade privado do workspace. Se você estiver adicionando manualmente registros DNS à zona DNS privadaprivatelink.api.azureml.ms, um registro A com curinga *.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.azureml.ms deverá ser adicionado para rotear todos os pontos de extremidade no workspace para o ponto de extremidade privado.

Integração manual do servidor DNS

Esta seção discute para quais domínios totalmente qualificados criar registros A em um servidor DNS e para qual endereço IP definir o valor do registro A.

Recuperar FQDNs de ponto de extremidade privado

Região pública do Azure

A lista a seguir contém os FQDNs (nomes de domínio totalmente qualificados) usados pelo seu espaço de trabalho se ele estiver na Nuvem Pública do Azure:

• <workspace-GUID>.workspace.<region>.cert.api.azureml.ms

• <workspace-GUID>.workspace.<region>.api.azureml.ms

• ml-<workspace-name, truncated>-<region>-<workspace-guid>.<region>.notebooks.azure.net

  Observação

  O nome do espaço de trabalho desse FQDN pode estar truncado. O truncamento é feito para manter ml-<workspace-name, truncated>-<region>-<workspace-guid> a 63 caracteres ou menos.

• <instance-name>.<region>.instances.azureml.ms

  Observação

  • As instâncias de computação só podem ser acessadas na rede virtual.
  • O endereço IP desse FQDN não é o IP da instância de computação. Em vez disso, use o endereço IP privado do ponto de extremidade privado do espaço de trabalho (o IP das entradas *.api.azureml.ms).

• <instance-name>-22.<region>.instances.azureml.ms – Usado somente pelo comando az ml compute connect-ssh para conectar-se a computadores em uma rede virtual privada. Não é necessário se você não estiver usando uma rede gerenciada ou conexões SSH.

• <managed online endpoint name>.<region>.inference.ml.azure.com – usado por pontos de extremidade online gerenciados

Dica

Se você estiver usando workspaces de hub e de projeto, cada workspace de projeto terá seu próprio conjunto de FQDNs. Para obter mais informações, confira a seção de resolução DNS do workspace.

Região Microsoft Azure operado pelo Domínio 21Vianet

Para Microsoft Azure operado por regiões 21Vianet, defina os seguintes nome de domínio totalmente qualificado:

• <workspace-GUID>.workspace.<region>.cert.api.ml.azure.cn

• <workspace-GUID>.workspace.<region>.api.ml.azure.cn

• ml-<workspace-name, truncated>-<region>-<workspace-guid>.<region>.notebooks.chinacloudapi.cn

  Observação

  O nome do espaço de trabalho desse FQDN pode estar truncado. O truncamento é feito para manter ml-<workspace-name, truncated>-<region>-<workspace-guid> a 63 caracteres ou menos.

• <instance-name>.<region>.instances.azureml.cn

  • O endereço IP desse FQDN não é o IP da instância de computação. Em vez disso, use o endereço IP privado do ponto de extremidade privado do espaço de trabalho (o IP das entradas *.api.azureml.ms).

• <instance-name>-22.<region>.instances.azureml.cn – Usado somente pelo comando az ml compute connect-ssh para conectar-se a computadores em uma rede virtual privada. Não é necessário se você não estiver usando uma rede gerenciada ou conexões SSH.

• <managed online endpoint name>.<region>.inference.ml.azure.cn – usado por pontos de extremidade online gerenciados

Dica

Se você estiver usando workspaces de hub e de projeto, cada workspace de projeto terá seu próprio conjunto de FQDNs. Para obter mais informações, confira a seção de resolução DNS do workspace.

Azure US Government

Os FQDNs a seguir são para as regiões do Azure Governamental nos EUA:

• <workspace-GUID>.workspace.<region>.cert.api.ml.azure.us

• <workspace-GUID>.workspace.<region>.api.ml.azure.us

• ml-<workspace-name, truncated>-<region>-<workspace-guid>.<region>.notebooks.usgovcloudapi.net

  Observação

  O nome do espaço de trabalho desse FQDN pode estar truncado. O truncamento é feito para manter ml-<workspace-name, truncated>-<region>-<workspace-guid> a 63 caracteres ou menos.

• <instance-name>.<region>.instances.azureml.us

  • O endereço IP desse FQDN não é o IP da instância de computação. Em vez disso, use o endereço IP privado do ponto de extremidade privado do espaço de trabalho (o IP das entradas *.api.azureml.ms).

• <instance-name>-22.<region>.instances.azureml.us – Usado somente pelo comando az ml compute connect-ssh para conectar-se a computadores em uma rede virtual privada. Não é necessário se você não estiver usando uma rede gerenciada ou conexões SSH.

• <managed online endpoint name>.<region>.inference.ml.azure.us – usado por pontos de extremidade online gerenciados

Dica

Se você estiver usando workspaces de hub e de projeto, cada workspace de projeto terá seu próprio conjunto de FQDNs. Para obter mais informações, confira a seção de resolução DNS do workspace.

Encontrar o endereço IP

Para localizar os endereços IP internos para os FQDNs na rede virtual, use um dos seguintes métodos:

Observação

Os nomes de domínio totalmente qualificados e os endereços IP são diferentes com base na sua configuração. Por exemplo, o valor do GUID no nome de domínio é específico de seu workspace.

CLI do Azure

1. Para obter a ID da interface de rede de ponto de extremidade privado, use o seguinte comando:

   az network private-endpoint show --name <endpoint> --resource-group <resource-group> --query 'networkInterfaces[*].id' --output table
   

2. Para obter o endereço IP e as informações do FQDN para o workspace ou o workspace do hub, use o comando a seguir. Substitua <resource-id> pela ID da etapa anterior:

   az network nic show --ids <resource-id> --query 'ipConfigurations[*].{IPAddress: privateIPAddress, FQDNs: privateLinkConnectionProperties.fqdns}'
   

   A saída é semelhante ao texto a seguir:

   [
       {
           "FQDNs": [
           "fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.api.azureml.ms",
           "fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.cert.api.azureml.ms"
           ],
           "IPAddress": "10.1.0.5"
       },
       {
           "FQDNs": [
           "ml-myworkspace-eastus-fb7e20a0-8891-458b-b969-55ddb3382f51.eastus.notebooks.azure.net"
           ],
           "IPAddress": "10.1.0.6"
       },
       {
           "FQDNs": [
           "*.eastus.inference.ml.azure.com"
           ],
           "IPAddress": "10.1.0.7"
       }
   ]
   

3. Se você estiver usando um workspace de hub, use as seguintes etapas para cada workspace de projeto criado a partir do hub:

   1. Para obter a ID do workspace do projeto, use o seguinte comando:

      az ml workspace show --name <project-workspace-name> --resource-group <resource-group> --query 'discovery_url'
      

      O valor retornado segue o formato https://<project-workspace-id>.workspace.<region>.api.azureml.ms/mlflow/<version>/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.MachineLearningServices/workspaces/<project-workspace-name>.

   2. Pegue os FQDNs retornados do workspace do hub que terminam em workspace.<region>.api.azureml.ms e workspace.<region>.cert.api.azureml.ms. Substitua o valor GUID no início desses FQDNs pela ID do workspace do projeto. Esses FQDNs são além dos FQDNs do workspace do hub.

   3. Pegue o FQDN retornado do workspace do hub que segue o formato em <workspace-name>-<region>-<GUID>.<region>.notebooks.azure.net. Substitua o valor GUID pela ID do workspace do projeto. Substitua o nome do workspace do hub pelo nome do workspace do projeto. Talvez seja necessário truncar o nome do workspace para manter a entrada em 63 caracteres ou menos. Este FQDN é além do FQDN do workspace do hub.

PowerShell do Azure

$workspaceDns=Get-AzPrivateEndpoint -Name <endpoint> -resourcegroupname <resource-group>
$workspaceDns.CustomDnsConfigs | format-table

Azure portal

1. No portal do Azure, selecione o espaço de trabalho do Azure Machine Learning.

2. Na seção Configurações, selecione Conexões de ponto de extremidade privado.

3. Selecione o link na coluna Ponto de extremidade privado que é exibida.

4. Uma lista de FQDNs (nomes de domínio totalmente qualificados) e endereços IP do ponto de extremidade privado do espaço de trabalho é exibida na parte inferior da página.

   

As informações retornadas por todos os métodos são iguais: uma lista de FQDNs e endereços IP privados dos recursos. O exemplo a seguir é da Nuvem Pública do Azure:

FQDN	Endereço IP
fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.api.azureml.ms	10.1.0.5
fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.cert.api.azureml.ms	10.1.0.5
ml-myworkspace-eastus-fb7e20a0-8891-458b-b969-55ddb3382f51.eastus.notebooks.azure.net	10.1.0.6
*.eastus.inference.ml.azure.com	10.1.0.7

A tabela a seguir mostra os IPs de exemplo das regiões do Microsoft Azure operado pela 21Vianet:

FQDN	Endereço IP
52882c08-ead2-44aa-af65-08a75cf094bd.workspace.chinaeast2.api.ml.azure.cn	10.1.0.5
52882c08-ead2-44aa-af65-08a75cf094bd.workspace.chinaeast2.cert.api.ml.azure.cn	10.1.0.5
ml-mype-pltest-chinaeast2-52882c08-ead2-44aa-af65-08a75cf094bd.chinaeast2.notebooks.chinacloudapi.cn	10.1.0.6
*.chinaeast2.inference.ml.azure.cn	10.1.0.7

A tabela a seguir mostra os IPs de exemplo das regiões do Azure Governamental nos EUA:

FQDN	Endereço IP
52882c08-ead2-44aa-af65-08a75cf094bd.workspace.usgovvirginia.api.ml.azure.us	10.1.0.5
52882c08-ead2-44aa-af65-08a75cf094bd.workspace.usgovvirginia.cert.api.ml.azure.us	10.1.0.5
ml-mype-plt-usgovvirginia-52882c08-ead2-44aa-af65-08a75cf094bd.usgovvirginia.notebooks.usgovcloudapi.net	10.1.0.6
*.usgovvirginia.inference.ml.azure.us	10.1.0.7

Observação

Os pontos de extremidade online gerenciados compartilham o ponto de extremidade privado do workspace. Se você estiver adicionando manualmente registros DNS à zona DNS privadaprivatelink.api.azureml.ms, um registro A com curinga *.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.azureml.ms deverá ser adicionado para rotear todos os pontos de extremidade no workspace para o ponto de extremidade privado.

Criar registros A no servidor DNS personalizado

Depois que a lista de FQDNs e os endereços IP correspondentes forem coletados, crie os registros no servidor DNS configurado. Consulte a documentação do seu servidor DNS para determinar como criar registros. É recomendável criar uma zona exclusiva para todo o FQDN e criar o registro A na raiz da zona.

Exemplo: servidor DNS personalizado hospedado na rede virtual

Essa arquitetura usa o Hub comum e a topologia de rede virtual Spoke. Uma rede virtual contém o servidor DNS e outra contém o ponto de extremidade privado para o espaço de trabalho do Azure Machine Learning e os recursos associados. Deve haver uma rota válida entre ambas as redes virtuais. Por exemplo, por meio de uma série de redes virtuais ponto a ponto.

As etapas a seguir descrevem como essa tipologia funciona:

1. Criar Zona Privada de DNS e vincular à Rede Virtual do Servidor DNS:

   A primeira etapa para garantir que uma solução DNS personalizada funcione com seu espaço de trabalho do Azure Machine Learning é criar duas Zonas Privadas de DNS com raiz nos seguintes domínios:

   Regiões públicas do Azure:

   • privatelink.api.azureml.ms
   • privatelink.notebooks.azure.net

   Regiões Microsoft Azure operado pelo Domínio 21Vianet:

   • privatelink.api.ml.azure.cn
   • privatelink.notebooks.chinacloudapi.cn

   Regiões do Azure Governamental nos EUA:

   • privatelink.api.ml.azure.us
   • privatelink.notebooks.usgovcloudapi.net

   Observação

   Os pontos de extremidade online gerenciados compartilham o ponto de extremidade privado do workspace. Se você estiver adicionando manualmente registros DNS à zona DNS privadaprivatelink.api.azureml.ms, um registro A com curinga *.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.azureml.ms deverá ser adicionado para rotear todos os pontos de extremidade no workspace para o ponto de extremidade privado.

   Após a criação da Zona Privada de DNS, ele precisa ser vinculado à Rede Virtual do Servidor DNS. A Rede Virtual que contém o Servidor DNS.

   Uma Zona Privada de DNS substitui o direcionamento de nomes para todos os nomes que estão no escopo da raiz da zona. Essa substituição se aplica a todas as redes virtuais às quais a Zona Privada de DNS estiver vinculada. Por exemplo, se uma Zona DNS Privada com raiz em privatelink.api.azureml.ms estiver vinculada à Rede Virtual foo, todos os recursos na Rede Virtual foo que tentarem resolver bar.workspace.westus2.privatelink.api.azureml.ms receberão qualquer registro listado na zona privatelink.api.azureml.ms.

   No entanto, os registros listados nas Zonas Privadas de DNS retornam somente para dispositivos que direcionem domínios usando o endereço IP padrão do Servidor DNS Virtual do Azure. Portanto, o servidor DNS personalizado resolve domínios para os dispositivos espalhados pela topologia de rede. Mas o servidor DNS personalizado precisa resolver os domínios relacionados ao Azure Machine Learning em relação ao endereço IP do Servidor Virtual DNS do Azure.

2. Crie um ponto de extremidade privado com integração DNS privada direcionada à Zona DNS Privada ligada à Rede Virtual do DNS do Microsoft Azure:

   A próxima etapa consiste em criar um Ponto de Extremidade Privado para o espaço de trabalho do Azure Machine Learning. O ponto de extremidade privado se destina a ambas as zonas DNS privado criadas na etapa 1. Essa etapa garante que toda a comunicação com o workspace seja feita por meio do ponto de extremidade privado na Rede Virtual do Azure Machine Learning.

   Importante

   O ponto de extremidade privado deve ter a integração de DNS privado habilitada para que esse exemplo funcione corretamente.

3. Criar encaminhador condicional no servidor DNS para encaminhar ao DNS do Azure:

   Em seguida, crie um encaminhador condicional para o Servidor DNS Virtual do Azure. O encaminhador condicional garante que o servidor DNS sempre consulte o endereço IP do servidor virtual DNS do Azure para FQDNs relacionados ao seu espaço de trabalho. Isso significa que o servidor DNS retorna o registro correspondente da Zona DNS Privada.

   A lista a seguir é de zonas a serem encaminhadas condicionalmente. O endereço IP do servidor virtual do DNS do Azure é 168.63.129.16:

   Regiões públicas do Azure:

   • api.azureml.ms
   • notebooks.azure.net
   • instances.azureml.ms
   • aznbcontent.net
   • inference.ml.azure.com – usado por pontos de extremidade online gerenciados

   Regiões Microsoft Azure operado pelo Domínio 21Vianet:

   • api.ml.azure.cn
   • notebooks.chinacloudapi.cn
   • instances.azureml.cn
   • aznbcontent.net
   • inference.ml.azure.cn – usado por pontos de extremidade online gerenciados

   Regiões do Azure Governamental nos EUA:

   • api.ml.azure.us
   • notebooks.usgovcloudapi.net
   • instances.azureml.us
   • aznbcontent.net
   • inference.ml.azure.us – usado por pontos de extremidade online gerenciados

   Importante

   As etapas de configuração do servidor DNS não estão incluídas aqui, pois há muitas soluções DNS disponíveis que podem ser usadas como um servidor DNS personalizado. Consulte a documentação da solução de DNS para saber como configurar adequadamente o encaminhamento condicional.

4. Direcionar o domínio do espaço de trabalho:

   Neste ponto, toda a instalação está pronta. Agora, qualquer cliente que usa o servidor DNS para o direcionamento de nomes e tem uma rota para o Ponto de Extremidade Privado do Azure Machine Learning pode continuar a acessar o espaço de trabalho. O cliente começa consultando o servidor DNS para o endereço dos seguintes FQDNs:

   Regiões públicas do Azure:

   • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.azureml.ms
   • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.azure.net
   • <managed online endpoint name>.<region>.inference.ml.azure.com – usado por pontos de extremidade online gerenciados

   Regiões Microsoft Azure operado pelo Domínio 21Vianet:

   • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.cn
   • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.chinacloudapi.cn
   • <managed online endpoint name>.<region>.inference.ml.azure.cn – usado por pontos de extremidade online gerenciados

   Regiões do Azure Governamental nos EUA:

   • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.us
   • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.usgovcloudapi.net
   • <managed online endpoint name>.<region>.inference.ml.azure.us – usado por pontos de extremidade online gerenciados

5. O DNS do Azure resolve recursivamente o domínio do espaço de trabalho para o CNAME:

   O servidor DNS resolve os FQDNs da etapa 4 do DNS do Azure. O DNS do Azure responde com um dos domínios listados na etapa 1.

6. O servidor DNS direciona repetidamente o registro CNAME do domínio do espaço de trabalho do DNS a partir do Azure:

   O servidor DNS prossegue para resolver recursivamente o CNAME recebido na etapa 5. Como houve uma configuração de encaminhador condicional na etapa 3, o Servidor DNS envia a solicitação para o endereço IP do Servidor Virtual DNS do Azure para resolução.

7. O DNS do Azure retorna registros da Zona DNS Privada:

   Os registros correspondentes armazenados nas Zonas DNS Privadas são retornados ao servidor DNS, o que significa que o Servidor Virtual DNS do Azure retorna os endereços IP do ponto de extremidade privado.

8. O servidor DNS personalizado direciona o nome de domínio do espaço de trabalho para o endereço do ponto de extremidade privado:

   Por fim, o Servidor DNS Personalizado agora retorna os endereços IP do ponto de extremidade privado para o cliente da etapa 4. Isso garante que todo o tráfego para o espaço de trabalho do Azure Machine Learning ocorra por meio do ponto de extremidade privado.

Solução de problemas

Se você não conseguir acessar o workspace de uma máquina virtual ou trabalhos falharem em recursos de computação na rede virtual, use as seguintes etapas para identificar a causa:

1. Localize os FQDNs do espaço de trabalho no Ponto de Extremidade Privado:

   Navegue até o portal do Azure usando um dos seguintes links:

   • Regiões públicas do Azure
   • Regiões Microsoft Azure operado pelo 21Vianet
   • Regiões do Azure Governamental nos EUA

   Navegue até o ponto de extremidade privado para o espaço de trabalho do Azure Machine Learning. Os FQDNs do workspace estão listados na guia "Visão geral".

2. Acessar recurso de computação na Topologia de Rede Virtual:

   Siga em frente para acessar um recurso de computação na topologia da Rede Virtual do Azure. Isso provavelmente requer o acesso a uma Máquina Virtual em uma Rede Virtual emparelhada com a Rede Virtual do Hub.

3. Direcionar os FQDNs do espaço de trabalho:

   Abra um prompt de comando, do shell ou PowerShell. Em seguida, para cada um dos FQDNs do espaço de trabalho, execute o seguinte comando:

   nslookup <workspace FQDN>

   O resultado de cada nslookup deve retornar um dos dois endereços IP privados no Ponto de Extremidade Privado para o espaço de trabalho do Azure Machine Learning. Caso contrário, algo está configurado incorretamente na solução DNS personalizada.

   Causas possíveis::

   • O recurso de computação que executa os comandos de solução de problemas não está usando o Servidor DNS para resolução de DNS
   • As zonas DNS privadas escolhidas ao criar o ponto de extremidade privado não estão vinculadas à rede virtual do servidor DNS
   • Os encaminhadores condicionais para o IP do Servidor Virtual DNS do Azure não foram configurados corretamente

Exemplo: Servidor DNS personalizado hospedado no local

Essa arquitetura usa o Hub comum e a topologia de rede virtual Spoke. O ExpressRoute é usado para se conectar de sua rede local à rede virtual do Hub. O Servidor DNS personalizado é hospedado localmente. Uma rede virtual separada contém o ponto de extremidade privado para o espaço de trabalho do Azure Machine Learning e os recursos associados. Com essa topologia, precisa haver outra rede virtual que hospede um servidor DNS que possa enviar solicitações para o endereço IP do Servidor Virtual do DNS do Azure.

As etapas a seguir descrevem como essa tipologia funciona:

1. Criar Zona Privada de DNS e vincular à Rede Virtual do Servidor DNS:

   A primeira etapa para garantir que uma solução DNS personalizada funcione com seu espaço de trabalho do Azure Machine Learning é criar duas Zonas Privadas de DNS com raiz nos seguintes domínios:

   Regiões públicas do Azure:

   • privatelink.api.azureml.ms
   • privatelink.notebooks.azure.net

   Regiões Microsoft Azure operado pelo Domínio 21Vianet:

   • privatelink.api.ml.azure.cn
   • privatelink.notebooks.chinacloudapi.cn

   Regiões do Azure Governamental nos EUA:

   • privatelink.api.ml.azure.us
   • privatelink.notebooks.usgovcloudapi.net

   Observação

   Os pontos de extremidade online gerenciados compartilham o ponto de extremidade privado do workspace. Se você estiver adicionando manualmente registros DNS à zona DNS privadaprivatelink.api.azureml.ms, um registro A com curinga *.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.azureml.ms deverá ser adicionado para rotear todos os pontos de extremidade no workspace para o ponto de extremidade privado.

   Após a criação da Zona DNS Privada, ela precisará ser vinculada à rede virtual do Servidor DNS – a Rede Virtual que contém o Servidor DNS.

   Observação

   O Servidor DNS na rede virtual é separado do Servidor DNS Local.

   Uma Zona Privada de DNS substitui o direcionamento de nomes para todos os nomes que estão no escopo da raiz da zona. Essa substituição se aplica a todas as redes virtuais às quais a Zona Privada de DNS estiver vinculada. Por exemplo, se uma Zona DNS Privada com raiz em privatelink.api.azureml.ms estiver vinculada à Rede Virtual foo, todos os recursos na Rede Virtual foo que tentarem resolver bar.workspace.westus2.privatelink.api.azureml.ms receberão qualquer registro listado na zona privatelink.api.azureml.ms.

   No entanto, os registros listados nas Zonas Privadas de DNS retornam somente para dispositivos que direcionem domínios usando o endereço IP padrão do Servidor DNS Virtual do Azure. O endereço de IP do Servidor DNS Virtual do Azure é válido apenas dentro do contexto de uma Rede Virtual. Ao usar um servidor DNS local, ele não poderá consultar o endereço IP do Servidor Virtual DNS do Azure para recuperar registros.

   Para driblar esse comportamento, crie um Servidor DNS intermediário em uma rede virtual. Esse servidor DNS pode consultar o endereço IP do Servidor DNS Virtual do Azure para recuperar registros de qualquer Zona DNS Privada vinculada à rede virtual.

   Embora o servidor DNS local resolva domínios para os dispositivos espalhados pela topologia de rede, ele resolve domínios relacionados ao Azure Machine Learning em relação ao servidor DNS. O servidor DNS resolve esses domínios do endereço IP do Servidor Virtual DNS do Azure.

2. Crie um ponto de extremidade privado com integração DNS privada direcionada à Zona DNS Privada ligada à Rede Virtual do DNS do Microsoft Azure:

   A próxima etapa consiste em criar um Ponto de Extremidade Privado para o espaço de trabalho do Azure Machine Learning. O ponto de extremidade privado se destina a ambas as zonas DNS privado criadas na etapa 1. Isso garante que toda a comunicação com o espaço de trabalho seja feita por meio do ponto de extremidade privado na rede virtual do Azure Machine Learning.

   Importante

   O ponto de extremidade privado deve ter a integração de DNS privado habilitada para que esse exemplo funcione corretamente.

3. Criar encaminhador condicional no servidor DNS para encaminhar ao DNS do Azure:

   Em seguida, crie um encaminhador condicional para o Servidor DNS Virtual do Azure. O encaminhador condicional garante que o servidor DNS sempre consulte o endereço IP do servidor virtual DNS do Azure para FQDNs relacionados ao seu espaço de trabalho. Isso significa que o servidor DNS retorna o registro correspondente da Zona DNS Privada.

   A lista a seguir é de zonas a serem encaminhadas condicionalmente. O endereço IP do Servidor DNS Virtual do Azure é 168.63.129.16.

   Regiões públicas do Azure:

   • api.azureml.ms
   • notebooks.azure.net
   • instances.azureml.ms
   • aznbcontent.net
   • inference.ml.azure.com – usado por pontos de extremidade online gerenciados

   Regiões Microsoft Azure operado pelo Domínio 21Vianet:

   • api.ml.azure.cn
   • notebooks.chinacloudapi.cn
   • instances.azureml.cn
   • aznbcontent.net
   • inference.ml.azure.cn – usado por pontos de extremidade online gerenciados

   Regiões do Azure Governamental nos EUA:

   • api.ml.azure.us
   • notebooks.usgovcloudapi.net
   • instances.azureml.us
   • aznbcontent.net
   • inference.ml.azure.us – usado por pontos de extremidade online gerenciados

   Importante

   As etapas de configuração do servidor DNS não estão incluídas aqui, pois há muitas soluções DNS disponíveis que podem ser usadas como um servidor DNS personalizado. Consulte a documentação da solução de DNS para saber como configurar adequadamente o encaminhamento condicional.

4. Criar encaminhador condicional no Servidor DNS Local para encaminhar ao Servidor DNS:

   Em seguida, crie um encaminhador condicional para o Servidor DNS na Rede Virtual do Servidor DNS. Esse encaminhador é para as zonas listadas na etapa 1. É semelhante à etapa 3, mas, em vez de encaminhar para o endereço IP do Servidor Virtual DNS do Azure, o servidor DNS local direciona o endereço IP do servidor DNS. Como o servidor DNS local não está no Azure, ele não poderá resolver registros diretamente em zonas DNS privadas. Nesse caso, o servidor DNS faz solicitações do servidor DNS local para o IP do Servidor Virtual DNS do Azure. Isso permite que o Servidor DNS local recupere registros nas Zonas de DNS Privadas vinculadas à Rede Virtual do Servidor DNS.

   A lista a seguir é das zonas a serem encaminhadas condicionalmente. Os endereços IP aos quais encaminhar são os endereços IP dos seus Servidores DNS:

   Regiões públicas do Azure:

   • api.azureml.ms
   • notebooks.azure.net
   • instances.azureml.ms
   • inference.ml.azure.com – usado por pontos de extremidade online gerenciados

   Regiões Microsoft Azure operado pelo Domínio 21Vianet:

   • api.ml.azure.cn
   • notebooks.chinacloudapi.cn
   • instances.azureml.cn
   • inference.ml.azure.cn – usado por pontos de extremidade online gerenciados

   Regiões do Azure Governamental nos EUA:

   • api.ml.azure.us
   • notebooks.usgovcloudapi.net
   • instances.azureml.us
   • inference.ml.azure.us – usado por pontos de extremidade online gerenciados

   Importante

   As etapas de configuração do servidor DNS não estão incluídas aqui, pois há muitas soluções DNS disponíveis que podem ser usadas como um servidor DNS personalizado. Consulte a documentação da solução de DNS para saber como configurar adequadamente o encaminhamento condicional.

5. Direcionar o domínio do espaço de trabalho:

   Neste ponto, toda a instalação está pronta. Qualquer cliente que usa o Servidor DNS local para o direcionamento de nomes e tem uma rota para o Ponto de Extremidade Privado do Azure Machine Learning, pode continuar a acessar o espaço de trabalho.

   O cliente começa consultando o servidor DNS local para o endereço dos seguintes FQDNs:

   Regiões públicas do Azure:

   • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.azureml.ms
   • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.azure.net
   • <managed online endpoint name>.<region>.inference.ml.azure.com – usado por pontos de extremidade online gerenciados

   Regiões Microsoft Azure operado pelo Domínio 21Vianet:

   • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.cn
   • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.chinacloudapi.cn
   • <managed online endpoint name>.<region>.inference.ml.azure.cn – usado por pontos de extremidade online gerenciados

   Regiões do Azure Governamental nos EUA:

   • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.us
   • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.usgovcloudapi.net
   • <managed online endpoint name>.<region>.inference.ml.azure.us – usado por pontos de extremidade online gerenciados

6. O servidor DNS local resolve recursivamente o domínio do espaço de trabalho:

   O servidor DNS local resolve os FQDNs da etapa 5 do servidor DNS. Como há um encaminhador condicional (etapa 4), o servidor DNS local envia a solicitação para o servidor DNS para resolução.

7. O servidor DNS resolve o domínio do espaço de trabalho para CNAME do DNS do Azure:

   O servidor DNS resolve os FQDNs da etapa 5 do DNS do Azure. O DNS do Azure responde com um dos domínios listados na etapa 1.

8. O Servidor DNS Local direciona repetidamente o registro CNAME do domínio do espaço de trabalho do DNS a partir do Servidor DNS:

   O servidor DNS local continua a resolver recursivamente o CNAME recebido na etapa 7. Como houve uma configuração de encaminhador condicional na etapa 4, o servidor DNS local envia a solicitação ao Servidor DNS para resolução.

9. O servidor DNS direciona repetidamente o registro CNAME do domínio do espaço de trabalho do DNS a partir do Azure:

   O servidor DNS prossegue para resolver recursivamente o CNAME recebido na etapa 7. Como houve uma configuração de encaminhador condicional na etapa 3, o Servidor DNS envia a solicitação para o endereço IP do Servidor Virtual DNS do Azure para resolução.

10. O DNS do Azure retorna registros da Zona DNS Privada:

    Os registros correspondentes armazenados nas Zonas DNS Privadas são retornados ao servidor DNS, o que significa que o Servidor Virtual DNS do Azure retorna os endereços IP do ponto de extremidade privado.

11. O Servidor DNS Local direciona o nome de domínio do espaço de trabalho para o endereço do ponto de extremidade privado:

    A consulta do Servidor DNS local ao Servidor DNS na etapa 8, por fim, retorna os endereços IP associados ao Ponto de Extremidade Privado para o espaço de trabalho do Azure Machine Learning. Esses endereços IP são retornados para o cliente original, que agora se comunica com o workspace do Azure Machine Learning pelo ponto de extremidade privado configurado na etapa 1.

    Importante

    Se o Gateway de VPN estiver sendo usado nessa configuração, juntamente com os IPs de servidor DNS personalizados na rede virtual, o IP do DNS do Azure (168.63.129.16) precisará ser adicionado na lista também para manter a comunicação ininterrupta.

Exemplo: arquivo de hosts

O arquivo hosts é um documento de texto que o Linux, o macOS e o Windows usam para substituir a resolução de nomes do computador local. O arquivo contém uma lista de endereços IP e o nome de host correspondente. Quando o computador local tentar resolver um nome de host, se o nome do host estiver listado no arquivo hosts, o nome será resolvido para o endereço IP correspondente.

Importante

O arquivo hosts substitui apenas a resolução de nomes do computador local. Se você quiser usar um arquivo hosts com vários computadores, deverá modificá-lo individualmente em cada computador.

A tabela a seguir lista a localização do arquivo hosts:

Sistema operacional	Local
Linux	/etc/hosts
macOS	/etc/hosts
Windows	%SystemRoot%\System32\drivers\etc\hosts

Dica

O nome do arquivo é hosts sem extensão. Ao editar o arquivo, use o acesso de administrador. Por exemplo, no Linux ou no macOS, você pode usar sudo vi. No Windows, execute o bloco de notas como administrador.

O texto a seguir é um exemplo de entradas de arquivo hosts para o Azure Machine Learning:

# For core Azure Machine Learning hosts
10.1.0.5    fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.api.azureml.ms
10.1.0.5    fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.cert.api.azureml.ms
10.1.0.6    ml-myworkspace-eastus-fb7e20a0-8891-458b-b969-55ddb3382f51.eastus.notebooks.azure.net

# For a managed online/batch endpoint named 'mymanagedendpoint'
10.1.0.7    mymanagedendpoint.eastus.inference.ml.azure.com

# For a compute instance named 'mycomputeinstance'
10.1.0.5    mycomputeinstance.eastus.instances.azureml.ms

Para obter mais informações sobre o arquivo hosts, confira https://wikipedia.org/wiki/Hosts_(file).

Resolução de DNS dos serviços de dependência

Os serviços dos quais seu workspace depende também podem ser protegidos por meio de um ponto de extremidade privado. Nesse caso, talvez seja necessário criar um registro DNS personalizado se precisar se comunicar diretamente com o serviço. Por exemplo, se você quiser trabalhar diretamente com os dados em uma conta do Armazenamento do Azure usada pelo workspace.

Observação

Alguns serviços têm vários pontos de extremidade privados para subsserviços ou recursos. Por exemplo, uma conta do Armazenamento do Azure pode ter pontos de extremidade privados individuais para Blob, Arquivo e DFS. Caso precise acessar o Armazenamento de Blobs e Arquivos, habilite a resolução para cada ponto de extremidade privado específico.

Para obter mais informações sobre os serviços e a resolução de DNS, confira Configuração de DNS do ponto de extremidade privado do Azure.

Solução de problemas

Se, depois de executar as etapas acima, você não conseguir acessar o workspace a partir de uma máquina virtual ou os trabalhos falharem nos recursos de computação na Rede Virtual que contém o Ponto de Extremidade Privado para o workspace do Azure Machine Learning, siga as etapas abaixo para tentar identificar a causa.

1. Localize os FQDNs do espaço de trabalho no Ponto de Extremidade Privado:

   Navegue até o portal do Azure usando um dos seguintes links:

   • Regiões públicas do Azure
   • Regiões Microsoft Azure operado pelo 21Vianet
   • Regiões do Azure Governamental nos EUA

   Navegue até o ponto de extremidade privado para o espaço de trabalho do Azure Machine Learning. Os FQDNs do workspace estão listados na guia "Visão geral".

2. Acessar recurso de computação na Topologia de Rede Virtual:

   Siga em frente para acessar um recurso de computação na topologia da Rede Virtual do Azure. Isso provavelmente requer o acesso a uma Máquina Virtual em uma Rede Virtual emparelhada com a Rede Virtual do Hub.

3. Direcionar os FQDNs do espaço de trabalho:

   Abra um prompt de comando, do shell ou PowerShell. Em seguida, para cada um dos FQDNs do espaço de trabalho, execute o seguinte comando:

   nslookup <workspace FQDN>

   O resultado de cada nslookup deve produzir um dos dois endereços IP privados no Ponto de Extremidade Privado para o espaço de trabalho do Azure Machine Learning. Caso contrário, algo está configurado incorretamente na solução DNS personalizada.

   Causas possíveis::

   • O recurso de computação que executa os comandos de solução de problemas não está usando o Servidor DNS para resolução de DNS
   • As zonas DNS privadas escolhidas ao criar o ponto de extremidade privado não estão vinculadas à rede virtual do servidor DNS
   • Os encaminhadores condicionais do Servidor DNS para o IP do Servidor Virtual DNS do Azure não foram configurados corretamente
   • Os encaminhadores condicionais do servidor DNS local para o servidor DNS não foram configurados corretamente

Conteúdo relacionado

Para informações sobre como integrar pontos de extremidade privados à sua configuração de DNS, confira Configuração de DNS do ponto de extremidade privado do Azure.