Поделиться через

Устранение неполадок с общими Приватный канал в поиске ИИ Azure

  • Статья

Общая приватная ссылка позволяет службе "Поиск ИИ Azure" обеспечить безопасные исходящие подключения через частную конечную точку при доступе к ресурсам клиентов в виртуальной сети. Эта статья поможет устранить ошибки, которые могут возникнуть.

Создание общей приватной ссылки — это операция плоскости управления службой поиска. Вы можете создать общую частную ссылку с помощью портал Azure или REST API управления. Во время подготовки состояние запроса — "Обновление". После успешного завершения операции состояние "Успешно". Создается частная конечная точка ресурса, а также все зоны и сопоставления DNS. Эта конечная точка используется исключительно экземпляром службы поиска и управляется с помощью поиска ИИ Azure.

Действия, связанные с созданием общих ресурсов приватного канала

Ниже перечислены некоторые распространенные ошибки, возникающие на этапе создания.

Ошибки при проверке запроса

  • Неподдерживаемый номер SKU: общие частные ссылки поддерживаются на уровне "Базовый" и выше. Для индексаторов с наборами навыков минимальный уровень — standard 2 (S2).

  • Недопустимое имя: правила именования для общей приватной ссылки:

    • Длина должна составлять от 1 до 60 символов.
    • Буквенно-цифровые символы
    • Имена могут включать символ подчеркивания _, период .и дефис - , если это не первый символ в имени

  • Недопустимый идентификатор группы: идентификаторы групп чувствительны к регистру и должны быть одним из значений из следующей таблицы:

    Ресурс Azure ИД группы Первая доступная версия API
    Хранилище Azure. Большой двоичный объект (или) ADLS 2-го поколения blob 2020-08-01
    Служба хранилища Azure. Таблицы table 2020-08-01
    Azure Cosmos DB for NoSQL Sql 2020-08-01
    База данных SQL Azure sqlServer 2020-08-01
    База данных Azure для MySQL (предварительная версия) mysqlServer 2020-08-01-Preview
    Azure Key Vault vault 2020-08-01
    Функции Azure (предварительная версия) sites 2020-08-01-Preview

    Ресурсы, помеченные как "(предварительная версия)", должны создаваться с помощью предварительной версии версий REST API управления.

  • privateLinkResourceId Проверка типа: аналогично groupId, поиск ИИ Azure проверяет, указан ли в поле privateLinkResourceId"правильный" тип ресурса. Ниже перечислены допустимые типы ресурсов:

    Ресурс Azure Тип ресурса Первая доступная версия API
    Хранилище Azure Microsoft.Storage/storageAccounts 2020-08-01
    Azure Cosmos DB Microsoft.DocumentDb/databaseAccounts 2020-08-01
    База данных SQL Azure Microsoft.Sql/servers 2020-08-01
    Azure Key Vault Microsoft.KeyVault/vaults 2020-08-01
    База данных Azure для MySQL (предварительная версия) Microsoft.DBforMySQL/servers 2020-08-01-Preview
    Функции Azure (предварительная версия) Microsoft.Web/sites 2020-08-01-Preview
    Управляемый экземпляр SQL Azure (предварительная версия) Microsoft.Sql/managedInstance 2020-08-01-Preview

    Кроме того, указанное значение groupId должно быть допустимым для указанного типа ресурса. Например, groupId blob-объект допустим для типа Microsoft.Storage/storageAccounts, его нельзя использовать с любым другим типом ресурсов. Клиенты могут узнать о поддерживаемом идентификаторе группы groupId и типах ресурсов для данной версии API управления поиском с помощью Списка поддерживаемых API.

  • Принудительное применение квот. Службы поиска имеют квоты, налагаемые на определенное количество общих ресурсов частных ссылок, которые могут быть созданы, а также на количество различных типов целевых ресурсов, которые используются (на основе groupId). Они описаны в разделе ограничений ресурсов общего приватного канала на странице ограничений azure AI служба .

Сбои при развертывании

Служба поиска инициирует запрос на создание общего приватного канала, но Azure Resource Manager выполняет фактическую работу. Вы можете проверить состояние развертывания в портал Azure или запросе и устранить любые ошибки, которые могут возникнуть.

Общие ресурсы приватного канала со сбоем при развертывании Azure Resource Manager будут отображаться в разделах Список и Получить вызовы API, но будут иметь "состояние подготовки" — Failed. После того как причина сбоя развертывания Azure Resource Manager будет устранена, удалите ресурс Failed и создайте его повторно после применения соответствующего разрешения из приведенной ниже таблицы.

Причина сбоя при развертывании Описание Решение
LinkedAuthorizationFailed Сообщение об ошибке указывает, что клиент имеет разрешение на создание общей приватной ссылки в службе поиска, но не имеет разрешения на выполнение действия privateEndpointConnectionApproval/action в связанной области. Повторно проверьте идентификатор приватного канала в запросе, чтобы убедиться, что в URI отсутствуют ошибки или упущения. Если поиск Azure ИИ и ресурс Azure PaaS находятся в разных подписках, а если вы используете REST или интерфейс командной строки, убедитесь, что активная учетная запись Azure используется для ресурса Azure PaaS. Для клиентов REST убедитесь, что вы не используете маркер носителя с истекшим сроком действия, и что маркер действителен для активной подписки.
Поставщик сетевых ресурсов не зарегистрирован в подписке целевого ресурса Частная конечная точка (и связанные сопоставления DNS) создается для целевого ресурса (учетная запись хранения, Azure Cosmos DB, Azure SQL) через Microsoft.Network поставщика ресурсов (RP). Если подписка, на которую размещен целевой ресурс (целевая подписка), не зарегистрирована в Microsoft.Network RP, развертывание Azure Resource Manager может завершиться ошибкой. Необходимо зарегистрировать эту RP в целевой подписке. Вы можете зарегистрировать поставщика ресурсов с помощью портал Azure, PowerShell или CLI.
Недопустимый идентификатор группы groupId для целевого ресурса При создании учетных записей Azure Cosmos DB можно указать тип API для учетной записи базы данных. Хотя Azure Cosmos DB предлагает несколько различных типов API, поиск ИИ Azure поддерживает только "Sql" в качестве groupId общих ресурсов приватного канала. При создании общей приватной ссылки типа "Sql" для privateLinkResourceId указания на учетную запись базы данных, отличной от SQL, развертывание Azure Resource Manager завершится ошибкой из-за groupId несоответствия. Идентификатор ресурса Azure учетной записи Azure Cosmos DB недостаточно для определения используемого типа API. Поиск ИИ Azure пытается создать частную конечную точку, которая затем отрицается Azure Cosmos DB. Необходимо убедиться, что privateLinkResourceId указанный ресурс Azure Cosmos DB предназначен для учетной записи базы данных типа API "Sql"
Целевой ресурс не найден Существование целевого ресурса, указанного в privateLinkResourceId, проверяется только во время начала развертывания Azure Resource Manager. Если целевой ресурс больше не доступен, развертывание завершится сбоем. Необходимо убедиться, что целевой ресурс присутствует в указанной подписке и группе ресурсов и не перемещается или не удаляется.
Временные и другие ошибки Развертывание Azure Resource Manager может завершиться сбоем в случае сбоя инфраструктуры или из-за других непредвиденных причин. Такие случаи бывают редко и обычно указывают на промежуточное состояние. Повторите попытку создания этого ресурса позже. Если проблема сохранится, обратитесь в службу поддержки Azure.

Проблемы с утверждением резервной частной конечной точки

Частная конечная точка создается для целевого ресурса Azure, как указано в запросе на создание общей приватной связи. Это один из последних шагов в асинхронной операции развертывания Azure Resource Manager, но поиск Azure AI должен связать частный IP-адрес частной конечной точки в рамках конфигурации сети. После завершения provisioningState этой ссылки общий ресурс приватного канала перейдет в состояние Succeededуспешного завершения терминала. Клиенты должны утвердить или запретить (или в целом изменить конфигурацию резервной частной конечной точки) после перехода Succeededсостояния в . Изменение частной конечной точки каким-либо образом, прежде чем это может привести к неполной операции развертывания и может привести к тому, что общий ресурс приватного канала в конечном итоге (немедленно или обычно в течение нескольких часов) в Failed состоянии.

служба изменение сетевого подключения застопорилось в состоянии "Обновление"

Общие частные ссылки и частные конечные точки используются при отключении доступа к общедоступной сети службы поиска. Как правило, изменение сетевого подключения должно завершиться через несколько минут после принятия запроса. В некоторых случаях поиск azure AI может занять несколько часов, чтобы завершить операцию изменения подключения.

Снимок экрана: изменение доступа к общедоступной сети отключенным.

Если вы видите, что операция изменения подключения занимает значительное время, подождите несколько часов. Операции изменения подключения включают такие операции, как обновление записей DNS, которые могут занять больше времени, чем ожидалось.

Если общедоступный сетевой доступ изменен, существующие общие частные каналы и частные конечные точки могут работать неправильно. Если существующие общие частные каналы и частные конечные точки перестают работать во время операции изменения подключения, подождите несколько часов, пока операция завершится. Если они по-прежнему не работают, попробуйте удалить и восстановить их.

Как правило, общий ресурс приватного канала должен перейти к состоянию терминала (Succeeded или Failed) через несколько минут после принятия запроса.

В редких случаях поиск ИИ Azure может неправильно пометить состояние общего ресурса приватного канала в состоянии терминала (Succeeded или Failed). Обычно это происходит из-за неожиданного сбоя. Общие ресурсы приватного канала автоматически переходят Failed в состояние, если оно было "застряло" в состоянии, отличном от терминала, в течение более чем нескольких часов.

Если вы видите, что ресурс общего приватного канала не переключился в состояние терминала, подождите несколько часов, чтобы убедиться, что он станет Failed , прежде чем удалить его и повторно создать. Кроме того, можно также попытаться создать еще один общий ресурс приватного канала с другим именем (сохранив все остальные параметры).

Существующий ресурс общего приватного канала можно обновить с помощью API создания или обновления. Поиск позволяет выполнять только узкие обновления для ресурса общей приватной ссылки. С помощью этого API можно изменить только сообщение запроса.

  • Невозможно обновить какие-либо из свойств "ядра" существующего ресурса общей частной связи (например privateLinkResourceId , или groupId) и это всегда будет неподдерживаемо. Если необходимо изменить любое другое свойство, кроме сообщения запроса, мы советуем клиентам удалить и повторно создать общий ресурс приватного канала.

  • Попытка обновить сообщение запроса общего ресурса приватного канала возможна только в том случае, если достигнуто состояние подготовки Succeeded.

Клиенты могут удалить существующий общий ресурс приватного канала с помощью API удаления. Подобно процессу создания (или обновления), это также асинхронная операция с четырьмя шагами:

  1. Вы запрашиваете службу поиска, чтобы удалить общий ресурс приватного канала.

  2. Служба поиска проверяет, существует ли ресурс и находится в состоянии, допустимом для удаления. Если это так, она инициирует операцию Azure Resource Manager по удалению ресурса.

  3. Поисковые запросы для завершения операции (обычно занимают несколько минут). На этом этапе общий ресурс приватного канала будет иметь состояние подготовки "Удаление".

  4. После успешного выполнения операции резервная частная конечная точка и все связанные с ней сопоставления DNS удаляются. Ресурс не будет отображаться в рамках операции list и попытка получить операцию Get для этого ресурса приведет к ошибке 404 Not Found.

Действия, связанные с удалением общих ресурсов приватного канала

Ниже перечислены некоторые распространенные ошибки, возникающие на этапе удаления.

Тип сбоя Описание Решение
Ресурс находится в состоянии, отличном от терминального Общий ресурс приватного канала, который не находится в состоянии терминала (Succeeded или Failed) не может быть удален. Возможно , что общий ресурс приватного канала может застрять в состоянии, отличном от терминала, в течение 8 часов. Дождитесь, когда ресурс достигнет терминального состояния, и повторите запрос на удаление.
Операция удаления завершилась с ошибкой "Конфликт" Операция Azure Resource Manager по удалению общего ресурса приватного канала обратится к поставщику целевого ресурса, указанного в privateLinkResourceId ("целевой поставщик ресурсов"), прежде чем он сможет удалить частную конечную точку и сопоставления DNS. Клиенты могут использовать блокировки ресурсов Azure, чтобы предотвратить любые изменения в своих ресурсах. Когда Azure Resource Manager обращается к целевому поставщику ресурсов, он требует, чтобы целевой поставщик ресурсов изменил состояние целевого ресурса (чтобы удалить сведения о частной конечной точке из ее метаданных). Если для целевого ресурса настроена блокировка (либо для его группы ресурсов или подписки), операция Azure Resource Manager завершается ошибкой "Конфликт" (с соответствующими сведениями). Общий ресурс приватного канала не будет удален. Перед повторным выполнением операции удаления клиенты должны снять блокировку с целевого ресурса. Примечание. Эта проблема также может возникнуть, когда клиенты пытаются удалить службу поиска с общими ресурсами приватного канала, которые указывают на "заблокированные" целевые ресурсы
Сбой операции удаления Асинхронная операция удаления Azure Resource Manager может завершиться сбоем в редких случаях. В случае сбоя этой операции запрос состояния асинхронной операции предоставит клиентам сообщение об ошибке и соответствующие сведения. Повторите операцию позже или обратитесь в Службу поддержки Azure, если проблема не будет разрешена.
Ресурс завис в состоянии "Удаление" В редких случаях общий ресурс приватного канала может зависнуть в состоянии "Удаление" на срок до 8 часов, вероятно, из-за разрушительного сбоя в службе поиска RP. Дождитесь, когда ресурс перейдет в состояние Failed (это займет 8 часов), а затем повторно отправьте запрос.

Следующие шаги

Узнайте больше об общих ресурсах приватного канала и о том, как их использовать для безопасного доступа к защищенному содержимому.