你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

排查与具有专用终结点的项目的连接问题

重要

本文中标记了“(预览版)”的项目目前为公共预览版。 此预览版未提供服务级别协议,不建议将其用于生产工作负载。 某些功能可能不受支持或者受限。 有关详细信息,请参阅 Microsoft Azure 预览版补充使用条款

连接到具有专用终结点的项目时,可能会遇到 403 或指示禁止访问的消息。 使用本文中的信息检查可能导致此错误的常见配置问题。

安全连接到项目

若要连接到受 VNet 保护的项目,请使用以下方法之一:

  • Azure VPN 网关 - 通过专用连接将本地网络连接到 VNet。 通过公共 Internet 建立连接。 可以使用两种类型的 VPN 网关:

    • 点到站点:每台客户端计算机使用 VPN 客户端连接到 VNet。
    • 站点到站点:VPN 设备将 VNet 连接到本地网络。
  • ExpressRoute - 通过专用连接将本地网络连接到云。 通过连接提供商建立连接。

  • Azure Bastion - 在此方案中,你将在 VNet 内部创建 Azure 虚拟机(有时称作 Jump Box)。 然后使用 Azure Bastion 连接到 VM。 Bastion 允许在本地 Web 浏览器中使用 RDP 或 SSH 会话连接到 VM。 然后使用 Jump Box 作为开发环境。 由于 Jump Box 位于 VNet 中,因此它可以直接访问工作区。

DNS 配置

DNS 配置的问题排查步骤因使用的是 Azure DNS 还是自定义 DNS 而异。 使用以下步骤确定所使用的步骤:

  1. Azure 门户中,选择 Azure AI Foundry 的专用终结点资源。 如果不记得名称,请选择你的 Azure AI Foundry 资源,“网络”,“专用终结点连接”,然后选择“专用终结点”链接。

    资源的专用终结点连接的屏幕截图。

  2. 在“概述”页中,选择“网络接口”链接。

    专用终结点概述的屏幕截图,其中突出显示了网络接口链接。

  3. 在“设置”下,选择“IP 配置”,然后选择“虚拟网络”链接。

    IP 配置的屏幕截图,其中突出显示了虚拟网络链接。

  4. 在页面左侧的“设置”部分,选择“DNS 服务器”条目。

    DNS 服务器配置的屏幕截图。

    • 如果此值为“默认(Azure 提供)”,则 VNet 使用的是 Azure DNS。 跳到 Azure DNS 问题排查部分。
    • 如果列出了其他 IP 地址,则 VNet 使用的是自定义 DNS 解决方案。 跳到自定义 DNS 问题排查部分。

自定义 DNS 问题排查

使用以下步骤验证自定义 DNS 解决方案是否正确将名称解析为 IP 地址:

  1. 子与专用端点有有效连接的虚拟机、笔记本电脑、台式机或其他计算资源中,打开 Web 浏览器。 在浏览器中,使用 Azure 区域的 URL:

    Azure 区域 URL
    Azure Government https://portal.azure.us/?feature.privateendpointmanagedns=false
    由世纪互联运营的 Microsoft Azure https://portal.azure.cn/?feature.privateendpointmanagedns=false
    所有其他区域 https://portal.azure.com/?feature.privateendpointmanagedns=false
  2. 在门户中,选择项目的专用终结点。 在 DNS 配置部分中,列出专用终结点的 FQDN。

    专用终结点的屏幕截图,其中突出显示了自定义 DNS 设置。

  3. 打开命令提示符、PowerShell 或其他命令行,并针对上一步返回的每个 FQDN 运行以下命令。 每次运行命令时,验证返回的 IP 地址是否与门户中列出的 FQDN 的 IP 地址一致:

    nslookup <fqdn>

    例如,运行 nslookup df33e049-7c88-4953-8939-aae374adbef9.workspace.eastus2.api.azureml.ms 命令将返回类似于以下文本的值:

    Server: yourdnsserver
    Address: yourdnsserver-IP-address
    
    Name:   df33e049-7c88-4953-8939-aae374adbef9.workspace.eastus2.api.azureml.ms
    Address: 10.0.0.4
    
  4. 如果 nslookup 命令返回错误,或返回与门户中显示的 IP 地址不同的 IP 地址,则自定义 DNS 解决方案未正确配置。

Azure DNS 问题排查

使用 Azure DNS 进行名称解析时,请使用以下步骤验证是否已正确配置专用 DNS 集成:

  1. 在专用终结点上,选择“DNS 配置”。 对于“专用 DNS 区域”列中的每个条目,“DNS 区域组”列中也应该有一个条目。

    DNS 配置的屏幕截图,其中突出显示了专用 DNS 区域和组。

    • 如果有专用 DNS 区域条目,但没有 DNS 区域组条目,请删除并重新创建专用终结点。 重新创建专用终结点时,启用专用 DNS 区域集成。

    • 如果“DNS 区域组”不为空,请选择“专用 DNS 区域”条目的链接。

      在专用 DNS 区域中,选择“虚拟网络链接”。 应该有一个指向 VNet 的链接。 如果没有,请删除并重新创建专用终结点。 重新创建它时,请选择链接到 VNet 的专用 DNS 区域,或创建链接到该 VNet 的新区域。

      专用 DNS 区域的虚拟网络链接的屏幕截图。

  2. 对专用 DNS 区域条目的其余部分重复上述步骤。

浏览器配置(基于 HTTPS 的 DNS)

检查是否在 Web 浏览器中启用了基于 HTTP 的 DNS。 基于 HTTP 的 DNS 可阻止 Azure DNS 通过专用终结点的 IP 地址进行响应。

  • Mozilla Firefox:有关详细信息,请参阅在 Firefox 中禁用基于 HTTPS 的 DNS
  • Microsoft Edge:
    1. 在 Edge,依次选择“...”和“设置”

    2. 在“设置”中搜索 DNS ,然后禁用“使用安全 DNS 指定如何查找网站的网络地址”

      Microsoft Edge 中“使用安全 DNS”设置的屏幕截图。

代理配置

如果使用代理,它可能会阻止与受保护项目的通信。 要进行测试,请使用以下任一选项:

  • 暂时禁用代理设置,查看是否可以连接。
  • 创建代理自动配置 (PAC) 文件,以允许直接访问专用终结点上列出的 FQDN。 它还应该允许直接访问任何计算实例的 FQDN。
  • 配置代理服务器以将 DNS 请求转发到 Azure DNS。
  • 请确保代理允许连接到 AML API,例如“.<region>.api.azureml.ms”和“.instances.azureml.ms”

排查连接到存储的配置问题

创建项目时,会自动为数据上传方案和工件存储(包括提示流)创建与 Azure 存储的多个连接。 当中心的关联 Azure 存储帐户将公用网络访问设置为“禁用”时,这些存储连接的创建可能会延迟。

请尝试以下步骤进行故障排除:

  1. 在 Azure 门户中,检查与中心关联的存储帐户的网络设置。
  • 如果公用网络访问设置为“从所选虚拟网络和 IP 地址启用”,请确保添加了正确的 IP 地址范围以访问存储帐户。
  • 如果公用网络访问设置为“禁用”,请确保已将专用终结点从 Azure 虚拟网络配置为存储帐户,其中目标子资源为 blob。 此外,必须向托管标识授予存储帐户专用终结点的读取者角色。
  1. 在 Azure 门户中,导航到你的 Azure AI Foundry 中心。 务必要预配托管虚拟网络,并且 Blob 存储的出站专用终结点需处于“活动”状态。 有关如何预配托管虚拟网络的详细信息,请参阅如何为 Azure AI Foundry 中心配置托管网络
  2. 导航到 Azure AI Foundry > 你的项目 > 项目设置。
  3. 刷新该页面。 应会创建许多连接,包括“workspaceblobstore”。