你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
排查与具有专用终结点的项目的连接问题
重要
本文中标记了“(预览版)”的项目目前为公共预览版。 此预览版未提供服务级别协议,不建议将其用于生产工作负载。 某些功能可能不受支持或者受限。 有关详细信息,请参阅 Microsoft Azure 预览版补充使用条款。
连接到具有专用终结点的项目时,可能会遇到 403 或指示禁止访问的消息。 使用本文中的信息检查可能导致此错误的常见配置问题。
安全连接到项目
若要连接到受 VNet 保护的项目,请使用以下方法之一:
Azure VPN 网关 - 通过专用连接将本地网络连接到 VNet。 通过公共 Internet 建立连接。 可以使用两种类型的 VPN 网关:
ExpressRoute - 通过专用连接将本地网络连接到云。 通过连接提供商建立连接。
Azure Bastion - 在此方案中,你将在 VNet 内部创建 Azure 虚拟机(有时称作 Jump Box)。 然后使用 Azure Bastion 连接到 VM。 Bastion 允许在本地 Web 浏览器中使用 RDP 或 SSH 会话连接到 VM。 然后使用 Jump Box 作为开发环境。 由于 Jump Box 位于 VNet 中,因此它可以直接访问工作区。
DNS 配置
DNS 配置的问题排查步骤因使用的是 Azure DNS 还是自定义 DNS 而异。 使用以下步骤确定所使用的步骤:
在 Azure 门户中,选择 Azure AI Foundry 的专用终结点资源。 如果不记得名称,请选择你的 Azure AI Foundry 资源,“网络”,“专用终结点连接”,然后选择“专用终结点”链接。
在“概述”页中,选择“网络接口”链接。
在“设置”下,选择“IP 配置”,然后选择“虚拟网络”链接。
在页面左侧的“设置”部分,选择“DNS 服务器”条目。
- 如果此值为“默认(Azure 提供)”,则 VNet 使用的是 Azure DNS。 跳到 Azure DNS 问题排查部分。
- 如果列出了其他 IP 地址,则 VNet 使用的是自定义 DNS 解决方案。 跳到自定义 DNS 问题排查部分。
自定义 DNS 问题排查
使用以下步骤验证自定义 DNS 解决方案是否正确将名称解析为 IP 地址:
子与专用端点有有效连接的虚拟机、笔记本电脑、台式机或其他计算资源中,打开 Web 浏览器。 在浏览器中,使用 Azure 区域的 URL:
Azure 区域 URL Azure Government https://portal.azure.us/?feature.privateendpointmanagedns=false 由世纪互联运营的 Microsoft Azure https://portal.azure.cn/?feature.privateendpointmanagedns=false 所有其他区域 https://portal.azure.com/?feature.privateendpointmanagedns=false 在门户中,选择项目的专用终结点。 在 DNS 配置部分中,列出专用终结点的 FQDN。
打开命令提示符、PowerShell 或其他命令行,并针对上一步返回的每个 FQDN 运行以下命令。 每次运行命令时,验证返回的 IP 地址是否与门户中列出的 FQDN 的 IP 地址一致:
nslookup <fqdn>
例如,运行
nslookup df33e049-7c88-4953-8939-aae374adbef9.workspace.eastus2.api.azureml.ms
命令将返回类似于以下文本的值:Server: yourdnsserver Address: yourdnsserver-IP-address Name: df33e049-7c88-4953-8939-aae374adbef9.workspace.eastus2.api.azureml.ms Address: 10.0.0.4
如果
nslookup
命令返回错误,或返回与门户中显示的 IP 地址不同的 IP 地址,则自定义 DNS 解决方案未正确配置。
Azure DNS 问题排查
使用 Azure DNS 进行名称解析时,请使用以下步骤验证是否已正确配置专用 DNS 集成:
在专用终结点上,选择“DNS 配置”。 对于“专用 DNS 区域”列中的每个条目,“DNS 区域组”列中也应该有一个条目。
对专用 DNS 区域条目的其余部分重复上述步骤。
浏览器配置(基于 HTTPS 的 DNS)
检查是否在 Web 浏览器中启用了基于 HTTP 的 DNS。 基于 HTTP 的 DNS 可阻止 Azure DNS 通过专用终结点的 IP 地址进行响应。
- Mozilla Firefox:有关详细信息,请参阅在 Firefox 中禁用基于 HTTPS 的 DNS。
- Microsoft Edge:
代理配置
如果使用代理,它可能会阻止与受保护项目的通信。 要进行测试,请使用以下任一选项:
- 暂时禁用代理设置,查看是否可以连接。
- 创建代理自动配置 (PAC) 文件,以允许直接访问专用终结点上列出的 FQDN。 它还应该允许直接访问任何计算实例的 FQDN。
- 配置代理服务器以将 DNS 请求转发到 Azure DNS。
- 请确保代理允许连接到 AML API,例如“.<region>.api.azureml.ms”和“.instances.azureml.ms”
排查连接到存储的配置问题
创建项目时,会自动为数据上传方案和工件存储(包括提示流)创建与 Azure 存储的多个连接。 当中心的关联 Azure 存储帐户将公用网络访问设置为“禁用”时,这些存储连接的创建可能会延迟。
请尝试以下步骤进行故障排除:
- 在 Azure 门户中,检查与中心关联的存储帐户的网络设置。
- 如果公用网络访问设置为“从所选虚拟网络和 IP 地址启用”,请确保添加了正确的 IP 地址范围以访问存储帐户。
- 如果公用网络访问设置为“禁用”,请确保已将专用终结点从 Azure 虚拟网络配置为存储帐户,其中目标子资源为 blob。 此外,必须向托管标识授予存储帐户专用终结点的读取者角色。
- 在 Azure 门户中,导航到你的 Azure AI Foundry 中心。 务必要预配托管虚拟网络,并且 Blob 存储的出站专用终结点需处于“活动”状态。 有关如何预配托管虚拟网络的详细信息,请参阅如何为 Azure AI Foundry 中心配置托管网络。
- 导航到 Azure AI Foundry > 你的项目 > 项目设置。
- 刷新该页面。 应会创建许多连接,包括“workspaceblobstore”。