Felsöka problem med anslutning till privat slutpunkt
När du ansluter till en Azure Machine Learning-arbetsyta som konfigurerats med en privat slutpunkt kan det uppstå ett 403-fel eller ett meddelande om att åtkomst är förbjuden. I den här artikeln beskrivs hur du kan söka efter vanliga konfigurationsproblem som orsakar det här felet.
Dricks
Innan du använder stegen i den här artikeln kan du prova diagnostik-API:et för Azure Machine Learning-arbetsytan. Det kan hjälpa dig att identifiera konfigurationsproblem med din arbetsyta. Mer information finns i Så här använder du arbetsytediagnostik.
DNS-konfiguration
Felsökningsstegen för DNS-konfigurationen skiljer sig beroende på om du använder Azure DNS eller en anpassad DNS. Använd följande steg för att avgöra vilken du använder:
I Azure Portal väljer du den privata slutpunkten för din Azure Machine Learning-arbetsyta.
På sidan Översikt väljer du länken Nätverksgränssnitt .
Under Inställningar väljer du IP-konfigurationer och sedan länken Virtuellt nätverk .
I avsnittet Inställningar till vänster på sidan väljer du posten DNS-servrar .
- Om det här värdet är Standard (Tillhandahålls av Azure) eller 168.63.129.16 använder det virtuella nätverket Azure DNS. Gå till felsökningsavsnittet för Azure DNS .
- Om det finns en annan IP-adress i listan använder det virtuella nätverket en anpassad DNS-lösning. Hoppa till avsnittet Anpassad DNS-felsökning .
Anpassad DNS-felsökning
Använd följande steg för att kontrollera om din anpassade DNS-lösning matchar namn till IP-adresser på rätt sätt:
Öppna en webbläsare från en virtuell dator, bärbar dator, stationär dator eller annan beräkningsresurs som har en fungerande anslutning till den privata slutpunkten. I webbläsaren använder du URL:en för din Azure-region:
Azure-region URL Azure Government https://portal.azure.us/?feature.privateendpointmanagedns=false Microsoft Azure drivs av 21Vianet https://portal.azure.cn/?feature.privateendpointmanagedns=false Alla andra regioner https://portal.azure.com/?feature.privateendpointmanagedns=false I portalen väljer du den privata slutpunkten för arbetsytan. Skapa en lista över fullständiga domännamn som visas för den privata slutpunkten.
Öppna en kommandotolk, PowerShell eller en annan kommandorad och kör följande kommando för varje fullständigt domännamn som returnerades från föregående steg. Varje gång du kör kommandot kontrollerar du att IP-adressen som returneras matchar den IP-adress som anges i portalen för det fullständiga domännamnet:
nslookup <fqdn>
Om du till exempel kör kommandot
nslookup a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1.workspace.eastus.api.azureml.ms
returneras ett värde som liknar följande text:Server: yourdnsserver Address: yourdnsserver-IP-address Name: a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1.workspace.eastus.api.azureml.ms Address: 10.3.0.5
Om kommandot
nslookup
returnerar ett fel eller returnerar en annan IP-adress än vad som visas i portalen är den anpassade DNS-lösningen inte korrekt konfigurerad. Mer information finns i Så här använder du din arbetsyta med en anpassad DNS-server.
Felsökning av Azure DNS
När du använder Azure DNS för namnmatchning använder du följande steg för att kontrollera att Privat DNS-integreringen är korrekt konfigurerad:
På den privata slutpunkten väljer du DNS-konfiguration. För varje post i kolumnen Privat DNS zon bör det också finnas en post i kolumnen DNS-zongrupp.
Om det finns en Privat DNS zonpost, men ingen dns-zongrupppost, tar du bort och återskapar den privata slutpunkten. När du återskapar den privata slutpunkten aktiverar du Privat DNS zonintegrering.
Om DNS-zongruppen inte är tom väljer du länken för posten Privat DNS zon.
I zonen Privat DNS väljer du Länkar till virtuellt nätverk. Det bör finnas en länk till det virtuella nätverket. Om det inte finns någon tar du bort och återskapar den privata slutpunkten. När du återskapar den väljer du en Privat DNS zon som är länkad till det virtuella nätverket eller skapar en ny som är länkad till det.
Upprepa föregående steg för resten av Privat DNS zonposter.
Webbläsarkonfiguration (DNS via HTTPS)
Kontrollera om DNS via HTTP är aktiverat i webbläsaren. DNS via HTTP kan förhindra att Azure DNS svarar med IP-adressen för den privata slutpunkten.
- Mozilla Firefox: Mer information finns i Inaktivera DNS via HTTPS i Firefox.
- Microsoft Edge:
Välj ... i det övre högra hörnet och välj sedan Inställningar.
Från inställningar söker du efter DNS och inaktiverar sedan Använd säker DNS för att ange hur du söker efter nätverksadressen för webbplatser.
Proxykonfiguration
Om du använder en proxy kan det förhindra kommunikation med en säker arbetsyta. Testa genom att använda något av följande alternativ:
- Inaktivera proxyinställningen tillfälligt och se om du kan ansluta.
- Skapa en PAC-fil (Proxy auto-config) som ger direkt åtkomst till de FQDN:er som anges på den privata slutpunkten. Den bör också tillåta direkt åtkomst till det fullständiga domännamnet för alla beräkningsinstanser.
- Konfigurera proxyservern för att vidarebefordra DNS-begäranden till Azure DNS.